CN111314266A - 一种流量欺诈检测方法、装置、电子设备及存储介质 - Google Patents
一种流量欺诈检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111314266A CN111314266A CN201811509330.8A CN201811509330A CN111314266A CN 111314266 A CN111314266 A CN 111314266A CN 201811509330 A CN201811509330 A CN 201811509330A CN 111314266 A CN111314266 A CN 111314266A
- Authority
- CN
- China
- Prior art keywords
- user
- service
- traffic
- type
- free flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Time Recorders, Dirve Recorders, Access Control (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种流量欺诈检测方法、装置、电子设备及存储介质,所述方法包括:获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量;根据每类业务使用的免费流量与总流量的比值,确定每类业务的免费流量占比;并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务;如果是,确定用户为流量欺诈用户。由于在本发明实施例中,按照检测周期进行流量欺诈检测,并在当前检测周期判断用户存在免费流量占比大于业务对应的免费流量占比阈值的目标业务时,确定用户为流量欺诈用户,提供了一种能高时效发现流量欺诈的方案,并能准确的定位发生流量欺诈的时间范围,便于准确的回溯流量欺诈,对流量欺诈漏洞的识别与修复。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种流量欺诈检测方法、装置、电子设备及存储介质。
背景技术
随着移动通信技术的不断发展,上网的流量业务已经成为运营商的主营业务,目前运营商面向用户提供两种流量,即正常流量和免费流量,供用户进行使用,正常流量指需要计费的流量,免费流量指不需要计费的流量,通常情况下,免费流量是运营商由通过向用户收费转为向移动互联网厂商收费实现。
流量欺诈是指不法用户利用网络协议或运营商计费规则等的漏洞恶意免费使用流量的行为,表现形式均为正常网络协议或网络访问请求,因此运营商所在的网络侧难以发现流量欺诈。目前流量欺诈检测主要是在进行离线计费时,如果发现用户已使用的免费流量特别巨大,由工作人员在网络侧继续抽取用户上网发送的数据报文,并对数据报文进行分析,来确定用户是否存在流量欺诈,确定用户是否为流量欺诈用户。
然而,现有流量欺诈检测,并不能高时效的发现流量欺诈,也不能准确的定位存在流量欺诈的时间范围,进行准确回溯,影响了工作人员对流量欺诈漏洞的识别与修复,影响了网络的安全性。
发明内容
本发明提供一种流量欺诈检测方法、装置、电子设备及存储介质,用以解决现有技术中存在无法高时效的发现流量欺诈,也不能准确的定位存在流量欺诈的时间范围,进行准确回溯的问题。
第一方面,本发明公开了一种流量欺诈检测方法,所述方法包括:
获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量;
根据所述每类业务使用的免费流量与所述总流量的比值,确定所述每类业务的免费流量占比;并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务;
如果是,确定所述用户为流量欺诈用户。
在一个可选的设计中,所述方法还包括:
识别所述用户在所述当前检测周期内发送的数据报文中是否存在主机host字段和/或x-online-host字段不规范的第一目标数据报文;
如果是,确定所述用户为host漏洞类型。
在一个可选的设计中,所述方法还包括:
识别所述用户在所述当前检测周期内发送的数据报文中是否存在请求的统一资源定位符URL与IP地址不相符的第二目标数据报文;
如果是,确定所述用户为伪七层漏洞类型。
在一个可选的设计中,所述方法还包括:
获取所述用户在所述当前检测周期内发送的数据报文并存储。
第二方面,本发明公开了一种流量欺诈检测装置,所述装置包括:
获取模块,用于获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量;
检测模块,用于根据所述每类业务使用的免费流量与所述总流量的比值,确定所述每类业务的免费流量占比;并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务,如果判断结果为是,触发确定模块;
确定模块,用于确定所述用户为流量欺诈用户。
在一个可选的设计中,所述装置还包括:
匹配模块,用于识别所述用户在所述当前检测周期内发送的数据报文中是否存在host字段和/或x-online-host字段不规范的第一目标数据报文;如果是,确定所述用户为host漏洞类型。
在一个可选的设计中,所述匹配模块,还用于识别所述用户在所述当前检测周期内发送的数据报文中是否存在请求的URL与IP地址不相符的第二目标数据报文;如果是,确定所述用户为伪七层漏洞类型。
在一个可选的设计中,所述获取模块,还用于获取所述用户在所述当前检测周期内发送的数据报文并存储。
第三方面,本发明公开了一种电子设备,包括:存储器和处理器;
所述处理器,用于读取存储器中的程序,执行下列过程:获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量;根据所述每类业务使用的免费流量与所述总流量的比值,确定所述每类业务的免费流量占比;并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务;如果是,确定所述用户为流量欺诈用户。
在一个可选的设计中,所述处理器,还用于识别所述用户在所述当前检测周期内发送的数据报文中是否存在主机host字段和/或x-online-host字段不规范的第一目标数据报文;如果是,确定所述用户为host漏洞类型。
在一个可选的设计中,所述处理器,还用于识别所述用户在所述当前检测周期内发送的数据报文中是否存在请求的统一资源定位符URL与IP地址不相符的第二目标数据报文;如果是,确定所述用户为伪七层漏洞类型。
在一个可选的设计中,所述处理器,还用于获取所述用户在所述当前检测周期内发送的数据报文并存储。
第四方面,本发明公开了一种电子设备,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行上述第一方面或第一方面的任一种可选的设计中所述的方法。
第五方面,本发明公开了一种计算机可读存储介质,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行上述第一方面或第一方面的任一种可选的设计中所述的方法。
第六方面,本发明公开了一种计算机程序产品,当电子设备读取并执行所述计算机程序产品时,使得所述电子设备执行上述第一方面或第一方面的任一种可选的设计中所述的方法。
本发明公开了一种流量欺诈检测方法、装置、电子设备及存储介质,所述方法包括:获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量;根据所述每类业务使用的免费流量与所述总流量的比值,确定所述每类业务的免费流量占比;并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务;如果是,确定所述用户为流量欺诈用户。由于在本发明实施例中,电子设备获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量,根据每类业务使用的免费流量与总流量的比值,确定每类业务的免费流量占比,并在存在免费流量占比大于业务对应的免费流量占比阈值的目标业务时,确定用户存在将正常流量伪装为目标业务的免费流量的行为,确定用户为流量欺诈用户,避免了现有流量欺诈检测不能高时效发现流量欺诈的问题,提供了一种能高时效发现流量欺诈的方案,并能准确的定位发生流量欺诈的时间范围,能够准确的回溯流量欺诈,便于工作人员对流量欺诈漏洞的发现和修复,提供了网络的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种流量欺诈检测过程示意图之一;
图2为本发明实施例提供的一种流量欺诈检测涉及的数据及接口示意图;
图3为本发明实施例提供的一种流量欺诈检测过程示意图之二;
图4为本发明实施例提供的一种流量欺诈检测装置结构示意图;
图5为本发明实施例提供的一种电子设备结构示意图之一;
图6为本发明实施例提供的一种电子设备结构示意图之二。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
另外,需要理解的是,在本申请的描述中,“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
另外,需要理解的是,在本申请的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
实施例1:
图1为本发明实施例提供的一种流量欺诈检测过程示意图,该过程包括:
S101:获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量。
本发明实施例提供的流量欺诈检测方法应用于电子设备,该电子设备可以是基站、服务器等设备。
在上网时,用户可以使用用户设备(User Equipment,UE)通过运营商提供的4G网络、5G网络等进行上网,产生流量,目前用户设备可以是智能手机、平板电脑、笔记本电脑、智能手表等设备。网络侧根据用户上网访问的主机(host)、统一资源定位符(UniformResource Locator,URL)、私有代理协议字段(x-online-host)等区分用户上网产生的流量是正常流量还是免费流量,及流量对应的业务类型,如网页类业务、视频类业务等。
目前网络侧对上网产生的流量的计费七层匹配的优先级通常为x-online-host>URL>host。示例性的:用户发送的数据报文中未携带x-online-host的信息,用户发送的数据报文请求的URL中记录有“www.10086.com”,“www.10086.com”是流量免费的地址,并对应网页类业务,网络侧将用户发送该数据报文产生的流量,记录到网页类业务下的免费流量中。
具体的,电子设备按照预设的检测周期,如1min、2min、5min等,通过与网络侧核心网的S11接口、S1-MME接口和网络侧的实时计费接口(Gy接口),获取用户在当前检测周期内使用的总流量和每类业务使用的免费流量。
S102:根据所述每类业务使用的免费流量与所述总流量的比值,确定所述每类业务的免费流量占比;并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务,如果是,进行S103,如果否,则结束。
在本发明实施例中,针对每类业务均设置有流量占比阈值,其中针对不同类业务设置的免费流量占比阈值可以相同,也可以不同,例如:针对网页类业务设置的免费流量占比阈值为40%、针对视频类业务设置的免费流量占比阈值为50%。
具体的,电子设备根据用户在当前检测周期内每类业务使用的免费流量与使用的总流量的比值,确定每类业务的免费流量占比。示例性的:用户当前检测周期内使用的总流量为200M,网页类业务使用的免费流量为40M、视频类业务使用的免费流量为120M,确定网页类业务使用的免费流量与使用的总流量的比值为0.2,确定网页类业务的免费流量占比为20%;视频类业务使用的免费流量与使用的总流量的比值为0.6,确定视频类业务的免费流量占比为60%。
电子设备确定每类业务的免费流量占比后,针对每类业务分别识别该业务的免费流量占比是否大于该业务对应的免费流量占比阈值,并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务。例如:存在视频类业务的免费流量占比“60%”,大于视频类业务对应的免费流量占比阈值“50%”,判断存在免费流量占比大于业务对应的免费流量占比阈值的目标业务,且目标业务为视频类业务。
S103:确定所述用户为流量欺诈用户。
具体的,如果用户在当前检测周期存在免费流量占比大于业务对应的免费流量占比阈值的目标业务,如上述视频类业务免费流量占比大于视频类业务免费流量占比阈值,则说明用户有较大的可能将正常流量伪装成视频类业务的免费流量进行上网,存在流量欺诈,确定用户为流量欺诈用户,如果用户在当前检测周期不存在免费流量占比大于业务对应的免费流量占比阈值的目标业务,确定用户为正常用户,结束。
由于在本发明实施例中,电子设备获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量,根据每类业务使用的免费流量与总流量的比值,确定每类业务的免费流量占比,并在存在免费流量占比大于业务对应的免费流量占比阈值的目标业务时,确定用户存在将正常流量伪装为目标业务的免费流量的行为,确定用户为流量欺诈用户,避免了现有流量欺诈检测不能高时效发现流量欺诈的问题,提供了一种能高时效发现流量欺诈的方案,并能准确的定位发生流量欺诈的时间范围,能够准确的回溯流量欺诈,便于工作人员对流量欺诈漏洞的发现和修复,提供了网络的安全性。
实施例2:
为了便于工作人员对流量欺诈进行准确的定位,进行回溯,在上述实施例的基础上,在本发明实施例中,所述方法还包括:
获取所述用户在所述当前检测周期内发送的数据报文并存储。
具体的,电子设备可以通过网络侧的用户平面接口(S1-U)获取用户在当前周期内发送的数据报文并存储,便于工作人员根据数据报文对用户进行的流量欺诈进行回溯,确定出现的漏洞并加以修复,保证网络安全。
实施例3:
在流量欺诈时,用户通常通过修改数据报文中请求的(目的)x-online-host、URL、host、IP等字段,达到将需要计费的流量伪装成免费流量,逃避计费的目的,为了进一步对用户流量欺诈利用的漏洞进行识别,在上述各实施例的基础上,在本发明实施例中,如果确定用户为流量欺诈用户,所述方法还包括:
识别所述用户在所述当前检测周期内发送的数据报文中是否存在主机host字段和/或x-online-host字段不规范的第一目标数据报文;
如果是,确定所述用户为host漏洞类型。
在本发明实施例中数据报文的host字段不规范包括:存在多个host、host与请求的IP不相符、host与请求的URL不相符,如请求的URL为“www.10086.com”,host为“www.baidu.com”等;x-online-host字段不规范包括存在多个x-online-host、x-online-host与请求的IP不相符、x-online-host与请求的URL不相符等。
具体的,电子设备如果识别到用户在当前检测周期内发送的数据报文中存在host字段和/或x-online-host字段不规范的第一目标数据报文,确定用户为host漏洞类型,便于工作人员进行漏洞的确定和修复。
进一步地,所述方法还包括:
识别所述用户在所述当前检测周期内发送的数据报文中是否存在请求的URL与IP地址不相符的第二目标数据报文;
如果是,确定所述用户为伪七层漏洞类型。
电子设备如果识别到用户在当前检测周期内发送的数据报文中存在请求的URL与请求的IP地址不相符,确定用户为伪七层漏洞类型,便于工作人员进行漏洞的确定和修复。较佳的,所述IP地址为三层IP地址。
如果电子设备,不能确定流量欺诈用户为host漏洞类型或伪七层漏洞类型,确定用户为未知漏洞类型或新漏洞类型。
参照图2和图3所示,电子设备通过网络侧的S11接口和S1-MME接口的信令数据、Gy接口的信令数据和S1-U接口的用户面数据(数据报文)三大类基础数据实现流量欺诈的检测,具体的,电子设备通过网络侧的S11接口和S1-MME接口的信令数据和Gy接口的信令数据,获取用户在当前检测周期内使用的总流量和每类业务使用的免费流量,根据是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务,对用户的身份进行匹配,确定用户是正常用户还是流量欺诈用户,如果用户为流量欺诈用户,通过S1-U接口获取用户的数据报文并存储,并匹配用户的漏洞类型,如host漏洞类型、伪七层漏洞类型、新漏洞类型,使工作人员可以根据存储的数据报文及匹配出的漏洞类型进行流量欺诈回溯,以便更准确的确定漏洞并修复,保证网络的安全性。
实施例4:
图4为本发明实施例提供的一种流量欺诈检测装置结构示意图,该装置包括:
获取模块41,用于获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量;
检测模块42,用于根据所述每类业务使用的免费流量与所述总流量的比值,确定所述每类业务的免费流量占比;并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务,如果判断结果为是,触发确定模块;
确定模块43,用于确定所述用户为流量欺诈用户。
所述装置还包括:
匹配模块44,用于识别所述用户在所述当前检测周期内发送的数据报文中是否存在host字段和/或x-online-host字段不规范的第一目标数据报文;如果是,确定所述用户为host漏洞类型。
所述匹配模块44,还用于识别所述用户在所述当前检测周期内发送的数据报文中是否存在请求的URL与IP地址不相符的第二目标数据报文;如果是,确定所述用户为伪七层漏洞类型。
所述获取模块41,还用于获取所述用户在所述当前检测周期内发送的数据报文并存储。
实施例5:
基于同一发明构思,本发明实施例中还提供了一种电子设备,由于上述电子设备解决问题的原理与流量欺诈检测方法相似,因此上述电子设备的实施可以参见方法的实施,重复之处不再赘述。
如图5所示,其为本发明实施例提供的电子设备的结构示意图,其中在图5中,总线架构可以包括任意数量的互联的总线和桥,具体有处理器51代表的一个或多个处理器51和存储器52代表的存储器52的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。处理器51负责管理总线架构和通常的处理,存储器52可以存储处理器51在执行操作时所使用的数据。
在本发明实施例提供的电子设备中:
所述处理器51,用于读取存储器52中的程序,执行下列过程:获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量;根据所述每类业务使用的免费流量与所述总流量的比值,确定所述每类业务的免费流量占比;并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务;如果是,确定所述用户为流量欺诈用户。
优选地,所述处理器51,还用于识别所述用户在所述当前检测周期内发送的数据报文中是否存在host字段和/或x-online-host字段不规范的第一目标数据报文;如果是,确定所述用户为host漏洞类型。
优选地,所述处理器51,还用于识别所述用户在所述当前检测周期内发送的数据报文中是否存在请求的统一资源定位符URL与IP地址不相符的第二目标数据报文;如果是,确定所述用户为伪七层漏洞类型。
优选地,所述处理器51,还用于获取所述用户在所述当前检测周期内发送的数据报文并存储。
实施例6:
在上述各实施例的基础上,本发明实施例还提供了一种电子设备,如图6所示,包括:处理器61、通信接口62、存储器63和通信总线64,其中,处理器61、通信接口62、存储器63通过通信总线64完成相互间的通信;
所述存储器63中存储有计算机程序,当所述程序被所述处理器61执行时,使得所述处理器61执行上述实施例描述的流量欺诈检测方法。
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行上述实施例描述的流量欺诈检测方法。
在上述各实施例的基础上,本发明实施例还提供了一种计算机程序产品,当电子设备读取并执行所述计算机程序产品时,使得所述电子设备执行上述实施例描述的流量欺诈检测方法。
本发明公开了一种流量欺诈检测方法、装置、电子设备及存储介质,所述方法包括:获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量;根据所述每类业务使用的免费流量与所述总流量的比值,确定所述每类业务的免费流量占比;并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务;如果是,确定所述用户为流量欺诈用户。由于在本发明实施例中,电子设备获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量,根据每类业务使用的免费流量与总流量的比值,确定每类业务的免费流量占比,并在存在免费流量占比大于业务对应的免费流量占比阈值的目标业务时,确定用户存在将正常流量伪装为目标业务的免费流量的行为,确定用户为流量欺诈用户,避免了现有流量欺诈检测不能高时效发现流量欺诈的问题,提供了一种能高时效发现流量欺诈的方案,并能准确的定位发生流量欺诈的时间范围,能够准确的回溯流量欺诈,便于工作人员对流量欺诈漏洞的发现和修复,提供了网络的安全性。
对于系统/装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种流量欺诈检测方法,其特征在于,所述方法包括:
获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量;
根据所述每类业务使用的免费流量与所述总流量的比值,确定所述每类业务的免费流量占比;并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务;
如果是,确定所述用户为流量欺诈用户。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
识别所述用户在所述当前检测周期内发送的数据报文中是否存在主机host字段和/或x-online-host字段不规范的第一目标数据报文;
如果是,确定所述用户为host漏洞类型。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
识别所述用户在所述当前检测周期内发送的数据报文中是否存在请求的统一资源定位符URL与IP地址不相符的第二目标数据报文;
如果是,确定所述用户为伪七层漏洞类型。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述用户在所述当前检测周期内发送的数据报文并存储。
5.一种流量欺诈检测装置,其特征在于,所述装置包括:
获取模块,用于获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量;
检测模块,用于根据所述每类业务使用的免费流量与所述总流量的比值,确定所述每类业务的免费流量占比;并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务,如果判断结果为是,触发确定模块;
确定模块,用于确定所述用户为流量欺诈用户。
6.一种电子设备,其特征在于,包括:存储器和处理器;
所述处理器,用于读取存储器中的程序,执行下列过程:获取用户在当前检测周期内使用的总流量及每类业务使用的免费流量;根据所述每类业务使用的免费流量与所述总流量的比值,确定所述每类业务的免费流量占比;并判断是否存在免费流量占比大于业务对应的免费流量占比阈值的目标业务;如果是,确定所述用户为流量欺诈用户。
7.如权利要求6所述的电子设备,其特征在于,所述处理器,还用于识别所述用户在所述当前检测周期内发送的数据报文中是否存在主机host字段和/或x-online-host字段不规范的第一目标数据报文;如果是,确定所述用户为host漏洞类型。
8.如权利要求6所述的电子设备,其特征在于,所述处理器,还用于识别所述用户在所述当前检测周期内发送的数据报文中是否存在请求的统一资源定位符URL与IP地址不相符的第二目标数据报文;如果是,确定所述用户为伪七层漏洞类型。
9.如权利要求6所述的电子设备,其特征在于,所述处理器,还用于获取所述用户在所述当前检测周期内发送的数据报文并存储。
10.一种电子设备,其特征在于,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1-4任一项所述方法的步骤。
11.一种计算机可读存储介质,其特征在于,其存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行权利要求1-4任一项所述方法的步骤。
12.一种计算机程序产品,其特征在于,当电子设备读取并执行所述计算机程序产品时,使得所述电子设备执行权利要求1-4任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811509330.8A CN111314266B (zh) | 2018-12-11 | 2018-12-11 | 一种流量欺诈检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811509330.8A CN111314266B (zh) | 2018-12-11 | 2018-12-11 | 一种流量欺诈检测方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111314266A true CN111314266A (zh) | 2020-06-19 |
CN111314266B CN111314266B (zh) | 2022-08-23 |
Family
ID=71146547
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811509330.8A Active CN111314266B (zh) | 2018-12-11 | 2018-12-11 | 一种流量欺诈检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111314266B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110167495A1 (en) * | 2010-01-06 | 2011-07-07 | Antonakakis Emmanouil | Method and system for detecting malware |
CN105827593A (zh) * | 2016-03-08 | 2016-08-03 | 中国联合网络通信集团有限公司 | 一种免流量欺诈用户的识别方法和识别系统 |
CN105898726A (zh) * | 2015-10-22 | 2016-08-24 | 乐视致新电子科技(天津)有限公司 | 一种免费流量客户端代理方法及装置 |
CN108322354A (zh) * | 2017-01-18 | 2018-07-24 | 中国移动通信集团河南有限公司 | 一种偷跑流量账户识别方法及装置 |
CN108337652A (zh) * | 2017-01-20 | 2018-07-27 | 中国移动通信集团河南有限公司 | 一种检测流量欺诈的方法及装置 |
-
2018
- 2018-12-11 CN CN201811509330.8A patent/CN111314266B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110167495A1 (en) * | 2010-01-06 | 2011-07-07 | Antonakakis Emmanouil | Method and system for detecting malware |
CN105898726A (zh) * | 2015-10-22 | 2016-08-24 | 乐视致新电子科技(天津)有限公司 | 一种免费流量客户端代理方法及装置 |
CN105827593A (zh) * | 2016-03-08 | 2016-08-03 | 中国联合网络通信集团有限公司 | 一种免流量欺诈用户的识别方法和识别系统 |
CN108322354A (zh) * | 2017-01-18 | 2018-07-24 | 中国移动通信集团河南有限公司 | 一种偷跑流量账户识别方法及装置 |
CN108337652A (zh) * | 2017-01-20 | 2018-07-27 | 中国移动通信集团河南有限公司 | 一种检测流量欺诈的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111314266B (zh) | 2022-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210035126A1 (en) | Data processing method, system and computer device based on electronic payment behaviors | |
CN111556059A (zh) | 异常检测方法、异常检测装置及终端设备 | |
CN108521405B (zh) | 一种风险管控方法、装置及存储介质 | |
CN106600275B (zh) | 一种风险识别方法及装置 | |
CN103297267B (zh) | 一种网络行为的风险评估方法和系统 | |
CN110516173B (zh) | 一种非法网站识别方法、装置、设备及介质 | |
CN105119735B (zh) | 一种用于确定流量类型的方法和装置 | |
CN110324416B (zh) | 下载路径跟踪方法、装置、服务器、终端及介质 | |
CN107948199B (zh) | 一种对终端共享接入进行快速检测的方法及装置 | |
CN112448969A (zh) | 链路追踪方法、装置、系统、设备及可读存储介质 | |
CN111277598A (zh) | 一种基于流量的应用攻击识别方法及系统 | |
CN109981533B (zh) | 一种DDoS攻击检测方法、装置、电子设备及存储介质 | |
CN110309669A (zh) | 一种数据标注方法、装置及设备 | |
CN111612452A (zh) | 一种基于区块链的知识产权管理系统及方法 | |
CN106127463A (zh) | 一种转账控制方法及终端设备 | |
CN109559149A (zh) | 一种流量识别处理方法及装置 | |
CN114626033A (zh) | 一种数据安全屋的实现方法及终端 | |
CN113852639A (zh) | 数据处理方法、装置、电子设备和计算机可读存储介质 | |
CN112422486B (zh) | 一种基于sdk的安全防护方法及设备 | |
CN106101117B (zh) | 一种钓鱼网站阻断方法、装置和系统 | |
CN111314266B (zh) | 一种流量欺诈检测方法、装置、电子设备及存储介质 | |
CN105227532A (zh) | 一种恶意行为的阻断方法及装置 | |
CN111212153A (zh) | Ip地址核查方法、装置、终端设备及存储介质 | |
CN107995167B (zh) | 一种设备识别方法及服务器 | |
CN106454884A (zh) | 用于区分同名无线接入点的方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |