CN111385244B - 异常流量识别方法、装置、设备、系统和介质 - Google Patents
异常流量识别方法、装置、设备、系统和介质 Download PDFInfo
- Publication number
- CN111385244B CN111385244B CN201811615774.XA CN201811615774A CN111385244B CN 111385244 B CN111385244 B CN 111385244B CN 201811615774 A CN201811615774 A CN 201811615774A CN 111385244 B CN111385244 B CN 111385244B
- Authority
- CN
- China
- Prior art keywords
- information
- trusted server
- server
- identity authentication
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种异常流量的识别方法、装置、设备、系统和介质。该方法包括:根据具有身份认证的数据请求报文,访问可信服务器,数据请求报文包括流量信息;基于可信服务器的身份认证信息的反馈结果,判断流量信息是否为异常流量信息。根据本发明的实施例,能够准确识别异常流量。
Description
技术领域
本发明涉及通信技术领域,尤其涉及异常流量识别方法、装置、设备、系统和介质。
背景技术
用户终端在使用运营商提供的网络访问数据业务时,运营商通过核心网侧PGW设备对数据报文进行业务识别并记录其产生的数据流量。
现有的数据业务流量统计机制,由PGW设备识别用户终端访问的服务器A,根据用户需要访问的服务器A的地址与PGW侧配置的业务规则进行匹配,将该部分流量打上相应的业务标识并将流量上报至BOSS,BOSS侧根据不同的业务标识配置的流量计算规则,确认用户最终产生的流量总数。
当非法用户通过各种途径欺骗PGW,使PGW设备识别用户终端访问的服务器A与用户终端通过非法手段到达的服务器B不一致,导致PGW设备业务识别有误,进而用户终端与服务器B之间产生异常流量。
针对PGW侧识别的服务器与用户实现访问的服务器不一致,导致业务识别有误的问题,现网缺乏一种机制能够及时发现异常流量行为,起到对非法上网行为的及时管控。
发明内容
本发明实施例提供了一种异常流量识别方法、装置、设备、系统和介质,能够对异常流量进行识别。
本发明实施例一方面提供一种异常流量的识别方法,该方法包括:
根据具有身份认证的数据请求报文,访问可信服务器,其中,数据请求报文包括流量信息;
基于可信服务器的身份认证信息的反馈结果,判断流量信息是否为异常流量信息。
本发明实施例的另一方面,提供一种异常流量识别的装置,该装置包括:
信息采集模块,用于接收具有身份认证的数据请求报文和访问可信服务器;
合规判断模块,用于基于可信服务器的身份认证信息的反馈结果,判断流量信息是否为异常流量信息。
本发明实施例的另一方面,该装置还包括:定时模块,用于在访问可信服务器时开始计时,在接收可信服务器的身份认证信息的反馈结果时结束计时,并根据结束计时的时间节点及开始计时的时间节点计算计时时长;流量统计模块,用于获取与可信服务器之间的传输总流量;上报流量模块,用于获取可信服务器的上报流量;异常触发模块,用于根据获取的与可信服务器之间的传输总流量与获取的可信服务器的上报流量计算差值;差值大于预设差异阈值时,发出触发安全处理策略的指令;异常处理模块,用于启动安全处理策略。
根据本发明实施例的另一方面,提供一种异常流量识别的设备,包括:至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令,当计算机程序指令被处理器执行时实现上述本发明实施例的任一方面提供的异常流量识别方法。
根据本发明实施例的另一方面,提供一种异常流量识别的系统包括:
终端设备、业务服务器和可信服务器;
终端设备用于发起数据请求报文;业务服务器用于接收终端设备上的数据请求报文并根据具有身份认证的数据请求报文,访问可信服务器,业务服务器还用于定时接收可信服务器的身份认证信息并根据定时接收到的身份认证信息,判断流量信息是否为异常流量信息;可信服务器用于接收业务服务器发送的数据请求报文并对相应的业务服务器发送身份验证信息。
根据本发明实施例的另一方面,提供一种计算机存储介质,计算机存储介质上存储有计算机程序指令,当计算机程序指令被处理器执行时实现如上述本发明实施例的任意一方面提供的异常流量识别方法。
本发明实施例提供的异常流量识别方法、装置、设备、系统和介质。通过根据具有身份认证的数据请求报文,访问可信服务器,定时接收可信服务器的身份认证信息,并根据定时接收到的身份认证信息判断流量信息是否为异常流量信息。将定时时间段内接收到身份认证信息的流量信息判断为正常流量信息,将定时时间段内未接收到身份认证信息的流量信息判断为异常流量信息,能够准确识别异常流量。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本发明一实施例的异常流量的识别方法的示意图;
图2示出本发明一实施例的异常流量的识别方法的流程图;
图3示出图2中S210步骤的一个实施例的流程图;
图4示出图2中S220步骤的一个实施例的流程图;
图5示出本发明另一实施例的异常流量的识别方法的流程图;
图6示出本发明一实施例的异常流量识别的装置的结构示意图;
图7示出了能够实现根据本发明实施例的异常流量的识别方法和计算设备的示例性硬件架构的结构图;
图8示出本发明一实施例的异常流量识别的装置的结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
下面结合附图,详细描述根据本发明实施例的异常流量的识别方法、装置、设备和介质。应注意,这些实施例并不是用来限制本发明公开的范围。
在本发明的一个实施例中,如图1所示,图1示出本发明一实施例的异常流量识别方法的示意图。
在互联网中,用户终端设备110在使用运营商提供的网络访问数据业务时,通过无线侧基站120将数据业务连接至运营商核心网130后,由核心网130侧PGW设备将数据业务转发至用户需要访问的服务器A 140或服务器B 150。终端设备110与服务器A 140或服务器B150之间有数据传输会产生相应的数据流量。运营商通过核心网130侧PGW设备对数据报文进行业务识别并记录其产生的数据流量并将数据流量上报至业务运营支撑系统BOSS 160(Business&Operation Support System,BOSS),BOSS 160侧配置了流量计算规则对用户使用流量的最终确认。
为更好的理解本发明,下面结合图2至图4对本发明一实施例的异常流量识别方法200进行详细说明,图2示出本发明一实施例的异常流量识别方法200的流程图。
如图2所示,本发明实施例中的异常流量识别的方法包括以下步骤:
S210,根据具有身份认证的数据请求报文,访问可信服务器,数据请求报文包括流量信息。
在本发明的一个实施例中,可以通过业务服务器根据具有身份认证的数据请求报文,访问可信服务器。业务服务器接收具有身份认证的数据请求报文,业务服务器将具有身份认证的数据请求报文发送至可信服务器进而访问可信服务器。数据请求报文中包括访问可信服务器的流量信息。业务服务器为PGW服务器能够进行数据流量统计,可信服务器配置在PGW服务器上。
在本发明实施例中,S210步骤中还包括有S211步骤和S212步骤,下面结合图3对本发明一实施例的S210步骤进行详细说明,其中S211步骤和S212步骤具体为:
S211,在上述需要转发至可信服务器的数据请求报文中增加标识信息后,访问可信服务器
在用户终端向PGW服务器发起数据请求报文时,基于预先存储在PGW服务器上的业务类型与数据请求报文之间的对应关系,PGW服务器识别并分析出业务以及数据请求报文访问的服务器地址。当PGW服务器发现数据请求报文需要访问可信服务器时,将访问可信服务器的数据请求报文中打上相应的标识信息,PGW服务器将具有身份认证的数据请求报文以及访问数据包发送给可信服务器,要求可信服务器回复身份认证信息。本发明实施例中的标识信息为特殊业务标识。
S212,在增加标识信息的数据请求报文中增加预设字段,将增加预设字段的数据请求报文转发至可信服务器。其中预设字段包括可信服务器的身份认证信息的传输路径,
当可信服务器与多个PGW服务器配置时,可信服务器可以根据预设字段包含的身份认证信息的传输路径准确的将身份认证信息传输给相应的PGW服务器。
本发明实施例中,PGW服务器将在转发至可信服务器的数据请求报文中增加预设字段,可选择的,PGW服务器在首个转发至可信服务器的数据请求报文中增加预设字段,能够有效缩短验证时间。当用户终端持续发起数据请求报文时,对持续发起数据请求报文中的首个报文增加预设字段。当用户终端间隔多个时段发起数据请求报文时,需要将每个间隔时段中的首个数据请求报文均增加预设字段,有效提高异常流量的识别效率。可选择的,预设字段为“PGW-ADDRESS”字段。
S220,基于可信服务器的身份认证信息的反馈结果,判断流量信息是否为异常流量信息。
具体的,可以通过业务服务器定时接收可信服务器的身份认证信息。身份认证信息可以是可信服务器告知业务服务器具有身份认证的数据请求报文和数据包成功到达可信服务器的信息、可信服务器同意接受访问的确认信息,可以理解的是身份认证信息还可以为业务服务器与可信服务器之间共同协议的认证信息。
根据本发明的一个实施例,如图4所示,S220步骤还包括S221步骤至S222步骤。
S221,定时接收可信服务器的身份认证信息的反馈结果。
S222,并根据定时接收的到身份认证信息的反馈结果,判断流量信息是否为异常流量信息。
本发明实施例中需要对定时接收到的身份认证信息的反馈结果进行确认,具体的,S222步骤包括以下步骤:
步骤1,在访问可信服务器时开始计时的步骤。在本发明的一个实施例中,PGW服务器上新增定时时长字段,即在PGW服务器设置定时器进行定时统计,同时PGW服务器中设置预设时长。PGW服务器将增加预设字段数据请求报文转发至可信服务器同时启动定时器并开始计时,PGW服务器记录开始计时的时间节点,同时PGW服务器要求可信服务器在配置的定时时长内回复身份认证信息。
步骤2,在接收可信服务器的身份认证信息时结束计时的步骤。
可信服务器接收到增加预设字段数据请求报文时,可信服务器解析“PGW-ADDRESS”字段,可信服务器将解析出的与“PGW-ADDRESS”字段相对应的上报PGW地址与可信服务器上预先配置的“可信PGW地址”相对比,如果上报PGW地址在预先配置的“可信PGW地址”段后,则可信服务器向相应的PGW服务器回复身份确认信息,告知PGW服务器数据请求报文及数据包正常到达。
当PGW服务器接收到可信服务器发送的身份确认信息时,PGW服务器上的定时器结束计时,PGW服务器记录结束计时的时间节点。
步骤3,根据结束计时的时间节点及开始计时的时间节点计算计时时长;当计时时长大于预设时长时,判断流量信息为异常流量信息。
本发明实施例的一个方面,根据PGW服务器上记录的结束计时的时间节点及开始计时的时间节点计算计时时长,PGW服务器将计算的计时时长与预设在PGW服务器中的预设时长进行对比,当计时时长大于预设时长时,PGW服务器能够准确判断数据请求报文包括的流量信息为异常流量信息。
本发明实施例的另一个方面,若在定时时间段内未接收到身份认证信息,则PGW服务器能够准确判断数据请求报文包括的流量信息判断为异常流量信息。
当PGW服务器判断数据请求报文中包括的流量信息为异常流量信息时,PGW服务器会将增加在相应的数据请求报文上的特殊业务标识及时修改为普通业务标识,防止PGW服务器错误识别业务类型而造成损失,进一步的PGW服务器会与普通服务器之间进行业务交互。
本发明实施例提供的异常流量识别方法进一步包括与可信服务器之间开展业务交互的步骤。
进一步的,当计时时长小于等于预设时长时,即PGW服务器在定时时间内收到身份认证信息,PGW服务器判断数据请求报文包括的流量信息为正常流量信息,此时,PGW服务器确认标识信息即特殊业务标识生效。
当PGW服务器判断数据请问报文包括的流量信息为正常流量信息时,本发明实施例提供的识别方法还包括PGW服务器与可信服务器之间的业务交互。
具体的,在可信服务器上新增上报阈值和运营商提供的可信PGW地址两个字段。当收到用户通过PGW服务器发至可信服务器的首个数据包时,可信服务器解析数据包里是否含有可信PGW地址字段或与可信PGW地址字段匹配的上报PGW地址,如果有,则可信服务器向PGW服务器回复收到数据报文的确认信息。以用户为上报单位,以流量上报阈值为标准,信度认证服务器每次统计到流量达到阈值就向该PGW服务器发起一次流量上报,在可信服务器设置上报阈值能够使其对流量进行实时监控并上报。
PGW服务器上还新增流量统计、上报流量、差异阈值和流量异常策略对数据流量进行实时监测。PGW服务器统计与可信服务器之间的传输总流量,该总流量和BOSS侧流量确认时间相关,比如在每个月月初进行流量清零,则PGW服务器和可信服务器上记录的总流量均需要清零。可以理解的是,具体的流量监测策略可以根据用户或运营商的需求,对字段内容进行个性化配置。
上报流量为可信服务器上报的流量统计数值。差异阈值是指允许PGW服务器承载的流量与可信服务器上报流量两者允许存在的最大差异值,当差异值超过该阈值时,会触发PGW上的安全处理策略,本发明实施例中安全处理策略为流量异常策略。流量异常策略为当PGW服务器判断为流量异常时PGW服务器可采取的操作,比如PGW服务器限制对到可信服务器的速度或生成相应的告警通知维护人员。设置差异阈值和流量异常策略能对终端用户产生的数据流量进行更加准确的监测,并及时对流量异常的情况进行处理。
PGW服务器与可信服务器之间的业务交互包括PGW服务器与可信服务器之间进行数据传输。
在本发明的一个实施例中,当PGW服务器与可信服务器之间的业务交互时,PGW服务器与可信服务器之间的业务交互还包括获取与可信服务器之间的传输总流量;获取可信服务器的上报流量;根据获取的与可信服务器之间的传输总流量与获取的可信服务器的上报流量计算差值;差值大于预设差异阈值时,发出触发安全处理策略的指令;根据发出的触发安全处理策略的指令,启动安全处理策略。
本发明实施例中安全处理策略为流量异常策略。具体的由PGW服务器记录访问每台可信服务器的总流量,比较PGW服务器记录的总流量及可信服务器上报的流量,两者流量之差超过差异阈值时,则表示出现异常流量行为,需要进行管控,如限制用户访问该服务器的速率、通知维护人员对访问该服务器流量最多的用户进行异常流量行为分析和管控等。
在本发明的一个实施例中,用于PGW服务器到可信服务器1.1.1.1之间的业务交互,PGW服务器将其打上100000001的特殊业务标识,可以理解的是特殊业务标识为用户基于自身的规则制定的计费标识,当PGW服务器将数据请求报文及数据包发至可信服务器1.1.1.1时,PGW服务器要求可信服务器在10S回复身份确认信息,否则PGW服务器将修改特殊业务标识为普通业务。PGW服务器上设定的差异阈值为500M,在业务交互过程中,当前PGW服务器上统计的流量为900M,可信服务器1.1.1.1上报的流量为500M,PGW服务器计算传输总流量与上报流量之间的差值为400M,小于差异阈值500M,则PGW服务器与可信服务器之间进行正常业务交互。
若当前PGW服务器上统计的流量为1200M,可信服务器1.1.1.1上报的流量为500M,PGW服务器计算传输总流量与上报流量之间的差值为700M,大于差异阈值500M,会对该用户访问可信服务器1.1.1.1的业务进行限速处理。
在本发明的另一个实施例中,用于PGW服务器到可信服务器www.baidu.com之间的业务交互,PGW服务器将其打上100000002的特殊业务标识,可以理解的是特殊业务标识为用户基于自身的规则制定的计费标识,当PGW服务器将数据请求报文及数据包发至可信服务器www.baidu.com时,PGW服务器要求可信服务器在5S内回复身份确认信息,否则PGW服务器将修改特殊业务标识为普通业务。PGW服务器上设定的差异阈值为300M,在业务交互过程中,当前PGW服务器上统计的流量为500M,可信服务器上报的流量为300M,两者的差异为200M,尚未超过差异阈值300M,则PGW服务器与可信服务器之间进行正常业务交互。当两者差异值达到差异阈值300M时,生成告警通知维护人员进行核查。
图5示出了本发明另一实施例的异常流量识别方法的流程图。
如图5所示,本发明实施例中的异常流量识别方法500包括以下步骤:
S510,终端设备发起数据业务请求报文。
S511,PGW服务器收到数据请求报文后,对数据请求报文进行解析并打上业务标识,若业务标识为特殊业务标识,则进行S512步,否则直接进入S518步骤将报文转发至指定的普通报务器。
S512,对于打上特殊业务标识的数据请求报文和数据包,PGW服务器在首个数据请求报文中增加“PGW-ADDRESS”字段,转发至可信服务器,同时开启定时器开始计时,并要求可信服务器在预设时长内回复身份确认信息。
S513,首个数据包到达可信服务器,可信服务器解析“PGW-ADDRESS”字段后得到上报PGW地址,可信服务器将上报PGW地址与可信服务器上配置的“可信PGW地址”相对比,如果上报PGW地址在配置的地址段后,则回复身份确认信息,告知PGW服务器数据请求报文和数据包正常到达;当PGW服务器确认身份确认信息后开始正常开展终端设备与可信服务器之间进行数据的交互。
S514,若数据请求报文不存在欺诈行为,则PGW服务器向可信服务器发送的数据请求报文和数据包会送至可信服务器,可信服务器收到数据请求报文和数据包后,回复PGW服务器身份确认信息。
S515,PGW服务器删除定时器,确认所打的特殊业务标识有效。
S516,可信服务器根据自身配置的流量上报阈值,定期向PGW服务器上报流量,PGW服务器根据可信服务器的上报流量对“上报流量”字段进行更新,并与自身流量统计进行比较,确认两者之差是否超过差异阈值。
S517,若网络中不存在异常流量行为,则PGW服务器记录的流量统计与上报流量不会超过差异阈值,与现网或PGW服务器保持一致,不执行流量异常管控策略。
其中,S514步骤至S517步骤为正常数据报文的处理流程,正常数据报文为包括正常流量信息的数据请求报文。
S518,若网络存在异常流量行为,则PGW服务器会将数据请求报文和数据包转发至其他的服务器或普通服务器,而不是指定的可信服务器。
S519,PGW服务器收不到识别出的可信服务器的身份确认信息,待定时器超时,修改特殊业务标识为普通业务标识。PGW服务器结合可信服务器能够及时并准确的识别异常流量信息并及时更改业务类型,能够对非法上网行为及时管控。
其中,S518步骤至S519步骤为异常数据报文的处理流程,异常数据报文为包括异常流量信息的数据请求报文。
S520,若PGW服务器收到可信服务器的上报流量后,PGW服务器将上报流量与自身统计的流量进行对比,若超过预先配置在PGW服务器的差异阈值,此时产生流量统计异常的情况,此时根据配置在PGW服务器的流量异常管控策略,对产生流量统计异常的业务进行限速或生成告警等操作,更加完善了流量监测机制。
下面通过图6详细介绍根据本发明实施例的异常流量识别的装置,异常流量识别的装置与异常流量识别的方法相对应。
图6示出了本发明一实施例的异常流量识别的装置的结构示意图。
如图6所示,异常流量识别的装置600包括:
信息采集模块610,用于根据具有身份认证的数据请求报文,访问可信服务器,数据请求报文包括流量信息;
合规判断模块620,用于基于可信服务器的身份认证信息的反馈结果,判断流量信息是否为异常流量信息。
通过上述实施例的异常流量识别的装置,通过信息采集模块610根据具有身份认证的数据请求报文并将数据请求报文转发至可信服务器,当可信服务器接收到数据请求报文后发送身份认证信息,合规判断模块620用于基于可信服务器的身份认证信息的反馈结果,比如告知数据请求报文正常到达的认证信息,合规判断模块620可以有效识别数据请求报文包括的流量信息是否为异常流量信息。
信服务器的身份认证信息的传输路径,预设字段使可信服务器将身份认证信息按照传输路径准确的发送。
在本发明实施例中,信息采集模块610还可以用于与可信服务器之间开展业务交互。在本发明的一个实施例中,信息采集模块610,具体用于在数据请求报文中增加标识信息至可信服务器,便于对相应的数据请求报文进行管理和分类。
在本发明的一个实施例中,信息采集模块610,具体用于在增加标识信息的数据请求报文中增加预设字段至可信服务器,预设字段包括可信服务器的身份认证信息的传输路径。
进一步的,在本发明的一个实施例中,异常流量识别的装置600还包括:
定时模块630,用于在访问可信服务器时开始计时,在接收可信服务器的身份认证信息的反馈结果时结束计时,并根据结束计时的时间节点及开始计时的时间节点计算计时时长;
流量统计模块640,用于获取与可信服务器之间的传输总流量;
上报流量模块650,用于获取可信服务器的上报流量;
异常触发模块660,用于根据获取的与可信服务器之间的传输总流量与获取的可信服务器的上报流量计算差值;差值大于预设差异阈值时,发出触发安全处理策略的指令;
异常处理模块670,用于启动安全处理策略,能够对流量异常情况进行及时有效的管控,实现对业务的综合管理。
在本发明实施例中,异常流量识别的装置还包括信息接收模块690,信息接收模块690中预先配置有预设时长,同时还用于定时接收可信服务器的身份认证信息的反馈结果,在信息采集模块610访问可信服务器时,定时模块开始计时,信息接收模块690接收到可信服务器的身份认证信息的反馈结果是结束计时,并准确计算计时时长。
在本发明实施例中,通过合规判断模块620判断信息接收模块690在定时时间段内有无接收到身份认证信息,进而准确有效的判断数据请求报文中包括的流量信息是否为异常流量信息。具体的,合规判断模块620判断当计时时长大于预设时长时,判断流量信息为异常流量信息;当计时时长小于等于预设时长时,准确判断流量信息为异常流量信息。
在本发明实施例中,当合规判断模块620判断流量信息为异常流量信息时,信息采集模块610还可以用于将写在数据请求报文中增加标识信息修改为普通业务标识。
在本发明实施例中,当合规判断模块620判断流量信息为正常流量信息时,即合规判断模块620判断信息接收模块690在定时时间内收到身份认证信息,则信息采集模块610确认标识信息生效。
通过合规判断模块620对流量信息是否异常进行准确有效的判断,能够使信息采集模块610准确的判断标识信息是否生效。当产生异常流量信息时,信息采集模块610能够及时将标识信息修改为普通业务标识,有效减少损失。
图7示出了能够实现根据本发明实施例的异常流量识别方法和装置的计算设备的示例性硬件架构的结构图。
如图7所示,计算设备700包括输入设备701、输入接口702、中央处理器703、存储器704、输出接口705、以及输出设备706。其中,输入接口702、中央处理器703、存储器704、以及输出接口705通过总线710相互连接,输入设备701和输出设备706分别通过输入接口702和输出接口705与总线710连接,进而与计算设备700的其他组件连接。
具体地,输入设备701接收来自外部的输入信息,并通过输入接口702将输入信息传送到中央处理器703;中央处理器703基于存储器704中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器704中,然后通过输出接口705将输出信息传送到输出设备706;输出设备706将输出信息输出到计算设备700的外部供用户使用。
也就是说,图7所示的计算设备也可以被实现异常流量识别的设备,该异常流量识别的设备可以包括:存储有计算机可执行指令的存储器;以及处理器,该处理器在执行计算机可执行指令时可以实现结合图1至图6描述的异常流量识别的方法和装置。
如图8所示,本发明实施例的另一方面还提供一种异常流量识别的系统,异常流量识别的系统包括:终端设备810、业务服务器820和可信服务器830;终端设备810用于发起数据请求报文;业务服务器820用于接收终端设备810上的数据请求报文,业务服务器820分析该数据请求报文的访问服务器,业务服务器820分析到该数据请求报文需要进行身份验证并将数据请求报文更新为具有身份认证的数据请求报文,并根据具有身份认证的数据请求报文,访问可信服务器830,业务服务器820还用于定时接收可信服务器830的身份认证信息并根据定时接收到的身份认证信息,准确判断流量信息是否为异常流量信息;可信服务器830用于接收业务服务器820发送的数据请求报文并对相应的业务服务器820发送身份验证信息。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现本发明实施例提供的对异常流量识别。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。以上的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (7)
1.一种异常流量的识别方法,其特征在于,包括:
根据具有身份认证的数据请求报文,访问可信服务器,所述数据请求报文包括流量信息;
基于所述可信服务器的身份认证信息的反馈结果,判断所述流量信息是否为异常流量信息;
所述基于所述可信服务器的身份认证信息的反馈结果;判断所述流量信息是否为异常流量信息,包括:
定时接收所述可信服务器的身份认证信息的反馈结果;
根据所述定时接收到的身份认证信息的反馈结果,判断所述流量信息是否为异常流量信息;
所述根据定时接收到的所述身份认证信息的反馈结果,判断所述流量信息是否为异常流量信息的步骤包括:
在访问可信服务器时开始计时的步骤;
在接收所述可信服务器的身份认证信息的反馈结果时结束计时的步骤;
根据所述结束计时的时间节点及所述开始计时的时间节点计算计时时长;
当所述计时时长大于预设时长时,判断所述流量信息为异常流量信息;
所述根据具有身份认证的数据请求报文,访问可信服务器,所述数据请求报文包括流量信息的步骤包括:
所述数据请求报文增加标识信息后,访问可信服务器;
所述根据所述定时接收的到身份认证信息的反馈结果,判断所述流量信息是否为异常流量信息的步骤中,若在定时时间内收到身份认证信息,则确认所述标识信息生效;
获取与可信服务器之间的传输总流量;
获取可信服务器的上报流量;
根据所述获取的与可信服务器之间的传输总流量与所述获取的可信服务器的上报流量计算差值;
所述差值大于预设差异阈值时,发出触发安全处理策略的指令;
根据所述发出的触发安全处理策略的指令,启动安全处理策略。
2.根据权利要求1所述异常流量的识别方法,其特征在于,所述根据所述定时接收的到身份认证信息的反馈结果,判断所述流量信息是否为异常流量信息的步骤中,若在定时时间内未收到所述身份认证信息,则确认所述流量信息为异常流量信息。
3.根据权利要求1所述异常流量的识别方法,其特征在于,所述根据具有身份认证的数据请求报文,访问可信服务器,所述数据请求报文包括流量信息的步骤包括:
在增加标识信息的所述数据请求报文中增加预设字段至所述可信服务器,所述预设字段包括所述可信服务器的身份认证信息的传输路径。
4.一种异常流量识别的装置,其特征在于,所述装置包括:
信息采集模块,用于根据具有身份认证的数据请求报文,访问可信服务器,所述数据请求报文包括流量信息;
合规判断模块,用于基于可信服务器的身份认证信息的反馈结果,判断所述流量信息是否为异常流量信息;
所述基于所述可信服务器的身份认证信息的反馈结果;判断所述流量信息是否为异常流量信息,包括:
定时接收所述可信服务器的身份认证信息的反馈结果;
根据所述定时接收到的身份认证信息的反馈结果,判断所述流量信息是否为异常流量信息;
所述根据定时接收到的所述身份认证信息的反馈结果,判断所述流量信息是否为异常流量信息的步骤包括:
在访问可信服务器时开始计时的步骤;
在接收所述可信服务器的身份认证信息的反馈结果时结束计时的步骤;
根据所述结束计时的时间节点及所述开始计时的时间节点计算计时时长;
当所述计时时长大于预设时长时,判断所述流量信息为异常流量信息;
所述根据具有身份认证的数据请求报文,访问可信服务器,所述数据请求报文包括流量信息的步骤包括:
所述数据请求报文增加标识信息后,访问可信服务器;
所述根据所述定时接收的到身份认证信息的反馈结果,判断所述流量信息是否为异常流量信息的步骤中,若在定时时间内收到身份认证信息,则确认所述标识信息生效;
获取与可信服务器之间的传输总流量;
获取可信服务器的上报流量;
根据所述获取的与可信服务器之间的传输总流量与所述获取的可信服务器的上报流量计算差值;
所述差值大于预设差异阈值时,发出触发安全处理策略的指令;
根据所述发出的触发安全处理策略的指令,启动安全处理策略。
5.一种异常流量识别的设备,其特征在于,所述设备包括:至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令,当所述计算机程序指令被所述处理器执行时实现如权利要求1-3中任一项所述的异常流量识别方法。
6.一种异常流量识别的系统,其特征在于,所述系统包括:
终端设备、业务服务器和可信服务器;
所述终端设备用于发起数据请求报文;所述业务服务器用于接收所述终端设备上的数据请求报文并根据具有身份认证的数据请求报文,访问可信服务器,所述业务服务器还用于定时接收所述可信服务器的身份认证信息并根据定时接收到的身份认证信息,判断所述流量信息是否为异常流量信息;所述可信服务器用于接收所述业务服务器发送的数据请求报文并对相应的所述业务服务器发送身份认证信息;
基于所述可信服务器的身份认证信息的反馈结果;判断所述流量信息是否为异常流量信息,包括:
定时接收所述可信服务器的身份认证信息的反馈结果;
根据所述定时接收到的身份认证信息的反馈结果,判断所述流量信息是否为异常流量信息;
所述根据定时接收到的所述身份认证信息的反馈结果,判断所述流量信息是否为异常流量信息的步骤包括:
在访问可信服务器时开始计时的步骤;
在接收所述可信服务器的身份认证信息的反馈结果时结束计时的步骤;
根据所述结束计时的时间节点及所述开始计时的时间节点计算计时时长;
当所述计时时长大于预设时长时,判断所述流量信息为异常流量信息;
所述根据具有身份认证的数据请求报文,访问可信服务器,所述数据请求报文包括流量信息的步骤包括:
所述数据请求报文增加标识信息后,访问可信服务器;
所述根据所述定时接收的到身份认证信息的反馈结果,判断所述流量信息是否为异常流量信息的步骤中,若在定时时间内收到身份认证信息,则确认所述标识信息生效;
获取与可信服务器之间的传输总流量;
获取可信服务器的上报流量;
根据所述获取的与可信服务器之间的传输总流量与所述获取的可信服务器的上报流量计算差值;
所述差值大于预设差异阈值时,发出触发安全处理策略的指令;
根据所述发出的触发安全处理策略的指令,启动安全处理策略。
7.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-3中任一项所述的异常流量识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811615774.XA CN111385244B (zh) | 2018-12-27 | 2018-12-27 | 异常流量识别方法、装置、设备、系统和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811615774.XA CN111385244B (zh) | 2018-12-27 | 2018-12-27 | 异常流量识别方法、装置、设备、系统和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111385244A CN111385244A (zh) | 2020-07-07 |
| CN111385244B true CN111385244B (zh) | 2022-12-27 |
Family
ID=71217905
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811615774.XA Active CN111385244B (zh) | 2018-12-27 | 2018-12-27 | 异常流量识别方法、装置、设备、系统和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111385244B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112925779A (zh) * | 2021-03-02 | 2021-06-08 | 重庆度小满优扬科技有限公司 | 一种报文回执修改方法及装置 |
| CN113206852B (zh) * | 2021-05-06 | 2023-03-24 | 深信服科技股份有限公司 | 一种安全防护方法、装置、设备及存储介质 |
| CN117669594B (zh) * | 2024-02-02 | 2024-04-16 | 智器云南京信息科技有限公司 | 针对异常信息的大数据关系网络分析方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104883364A (zh) * | 2015-05-11 | 2015-09-02 | 广东小天才科技有限公司 | 一种判断用户访问服务器异常的方法及装置 |
| CN106559386A (zh) * | 2015-09-25 | 2017-04-05 | 阿里巴巴集团控股有限公司 | 一种认证方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105119776B (zh) * | 2015-09-08 | 2017-10-31 | 广东欧珀移动通信有限公司 | 一种WiFi连接失败原因检测方法及系统 |
| CN106533722B (zh) * | 2015-09-11 | 2019-06-21 | 北京国双科技有限公司 | 网络监测方法和装置 |
| CN106027472B (zh) * | 2016-01-21 | 2019-06-28 | 李明 | 一种身份证认证信息处理请求的异常处理方法 |
| CN106027468B (zh) * | 2016-01-21 | 2019-05-21 | 李明 | 一种身份证认证信息处理请求的异常处理系统 |
| CN108429645A (zh) * | 2018-03-05 | 2018-08-21 | 深圳乐信软件技术有限公司 | 一种api网关的配置方法、装置、存储介质及api网关 |
-
2018
- 2018-12-27 CN CN201811615774.XA patent/CN111385244B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104883364A (zh) * | 2015-05-11 | 2015-09-02 | 广东小天才科技有限公司 | 一种判断用户访问服务器异常的方法及装置 |
| CN106559386A (zh) * | 2015-09-25 | 2017-04-05 | 阿里巴巴集团控股有限公司 | 一种认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111385244A (zh) | 2020-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111385244B (zh) | 异常流量识别方法、装置、设备、系统和介质 | |
| CN102870445B (zh) | 一种识别网络共享行为的方法、节点、移动终端及系统 | |
| JP7402924B2 (ja) | 独立したコンピューティングリソースを管理し、および同期させるためのシステム、方法、装置、およびコンピュータプログラム製品 | |
| CN108183950A (zh) | 一种网络设备建立连接的方法及装置 | |
| US20190082341A1 (en) | Data transmission method, apparatus, and system | |
| CN104067649A (zh) | 对唯一机器标识符的欺骗的确定 | |
| CN110730087A (zh) | 一种告警风暴的处理方法及装置 | |
| CN116647505A (zh) | 一种用户流量动态管理方法和系统 | |
| CN107395451B (zh) | 上网流量异常的处理方法、装置、设备及存储介质 | |
| US11689928B2 (en) | Detecting unauthorized access to a wireless network | |
| US20150089050A1 (en) | Mobile network system | |
| CN105893150B (zh) | 接口调用频度控制、接口调用请求处理方法及装置 | |
| CN113709083A (zh) | 网络攻击检测控制方法、装置、基站及计算机存储介质 | |
| CN108156086B (zh) | 一种策略规则下发方法及装置 | |
| CN114268509B (zh) | 防范“僵尸”终端ddos攻击的方法以及系统 | |
| US20170026524A1 (en) | Charging method and apparatus | |
| EP2988476A1 (en) | Method and apparatus for processing operation on endpoint peripheral | |
| CN105591762B (zh) | 用户计费的方法和装置 | |
| JP2018121148A (ja) | 端末装置、通信制御システム及びプログラム | |
| CN106453408B (zh) | 一种防仿冒下线攻击的方法和装置 | |
| CN112672293B (zh) | 报警短信的下发方法、装置、系统及电子设备 | |
| CN111400161B (zh) | 一种移动终端的真机验证方法、装置和系统 | |
| CN110855453B (zh) | 一种终端移动网络使用管控方法和检测服务器 | |
| CN113950072B (zh) | 网关分流的方法、装置、设备及存储介质 | |
| CN107968721B (zh) | 针对服务器主动放行的方法、网络管控系统及被管控终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |