CN114978640A - 一种异常上网流量的监控方法、设备、系统及存储介质 - Google Patents

Abstract

本发明公开了一种异常上网流量的监控方法、设备、系统及存储介质。包括：检测目标用户的联网请求，将与之匹配的认证申请发送至远程用户拨号认证系统进行异常用户的检测；接收到针对认证申请反馈的断开连接指令时，发至目标用户，触发目标用户发送断网重连请求；接收到目标用户再次发送的联网请求时，将目标用户的上网流量导流至异常监控系统，使目标用户在异常监控系统的监控下连接互联网；本发明实施例的技术方案通过将异常用户的上网流量导流至异常监控系统进行监控上网，可以将正常用户和异常用户的上网流量进行有效的隔离，在保证正常用户正常上网的前提下，对异常用户的上网流量进行有效的管控和追溯。

Description

一种异常上网流量的监控方法、设备、系统及存储介质

技术领域

本发明涉及网络安全技术领域，尤其涉及一种异常上网流量的监控方法、设备、系统及存储介质。

背景技术

目前，互联网已经加速融入人们的工作和生活，因此，如何保证网络用户能够安全、放心的使用互联网，对异常上网行为进行有效的管理和约束，是目前有待解决的重要问题。

现有技术可以对异常上网行为进行追溯，主要采用的是事后追溯，通过相关特征和检测筛选出异常上网行为。

但是，目前在进行异常上网流量的监控时，仅仅是对异常上网行为进行区分，并没有采取后续的监控处理，无法对存在安全隐患的用户进行追溯和隔离，因此并不能及时对异常上网行为进行处理，无法实现对网络空间的管理和净化。

发明内容

本发明实施例提供了一种异常上网流量的监控方法、设备、系统及存储介质，以解决无法对存在安全隐患的用户的上网流量进行追溯和隔离的问题。

第一方面，本发明实施例提供了一种异常上网流量的监控方法，由BRAS(Broadband Remote Access Server，宽带接入服务器)执行，包括：在检测到目标用户的联网请求时，将与联网请求匹配的认证申请发送至RADIUS(Remote Authentication Dial InUser Service，远程用户拨号认证系统)进行异常用户的检测；

在接收到RADIUS针对认证申请反馈的断开连接指令时，将断开连接指令转发至目标用户，以触发目标用户发送断网重连请求；

在接收到目标用户再次发送的重新联网请求时，将目标用户的上网流量导流至异常监控系统，以使目标用户在异常监控系统的监控下连接互联网。

第二方面，本发明实施例还提供了一种异常上网流量的监控方法，由RADIUS执行，包括：

在接收到BRAS发送的认证申请时，提取认证申请中包括的目标用户的识别标识；

检测识别标识是否存储在设定的异常用户名单中；

若是，则向BRAS反馈与认证申请匹配的断开连接指令，以控制目标用户以断网重连的方式在异常监控系统的监控下连接互联网。

第三方面，本发明实施例还提供了一种BRAS，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行计算机程序时实现如本发明任一实施例所述的由BRAS执行的异常上网流量的监控方法，或者，实现如本发明任一实施例所述的由RADIUS执行的异常上网流量的监控方法。

第四方面，本发明实施例还提供了一种RADIUS，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行计算机程序时实现如本发明任一实施例所述的由BRAS执行的一种异常上网流量的监控方法，或者，实现如本发明任一实施例所述的由RADIUS执行的异常上网流量的监控方法。

第五方面，本发明实施例还提供了一种计算机可执行指令的存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明任一实施例所述的由BRAS执行的异常上网流量的监控方法，或者，实现如本发明任一实施例所述的由RADIUS执行的异常上网流量的监控方法。

第六方面，本发明实施例还提供了一种异常上网流量的监控系统，包括：至少一个BRAS、分别与各BRAS相连的RADIUS以及异常监控系统；每个BRAS与至少一个用户路由器相连；

BRAS，用于执行本发明任一实施例所述的由BRAS执行的异常上网流量的监控方法；

RADIUS，用于执行本发明任一实施例所述的由RADIUS执行的异常上网流量的监控方法；

异常监控系统，用于对接收到的上网流量进行攻击行为的过滤后，对过滤后的上网流量进行行为检测和行为存储。

本发明实施例的技术方案，通过将异常用户的上网流量导流至异常监控系统进行监控上网，可以将正常用户和异常用户的上网流量进行有效的隔离，在保证正常用户正常上网的前提下，对异常用户的上网流量进行有效的管控和追溯。

应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例一提供的一种异常上网流量的监控方法的流程图；

图2是根据本发明实施例二提供的另一种异常上网流量的监控方法的流程图；

图3是本发明实施例所适用的一种异常上网流量的监控方法的交互逻辑示意图；

图4是根据本发明实施例三提供的一种异常上网流量的监控装置的结构示意图；

图5是根据本发明实施例四提供的另一种异常上网流量的监控装置的结构示意图；

图6是根据本发明实施例五提供的一种电子设备的结构示意图；

图7是根据本发明实施例六提供的一种异常上网流量的监控系统的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

实施例一

图1为本发明实施例一提供了一种异常上网流量的监控方法的流程图，本实施例可适用于监控并隔离异常上网行为的情况。该方法可以由本公开实施例所提供的异常上网流量的监控装置来执行，该装置可采用软件和/或硬件的方式实现，并一般可集成在BRAS中，用于和RADIUS进行联动，共同实现对异常用户的隔离管控。本公开实施例的方法具体包括：

S110、在检测到目标用户的联网请求时，将与联网请求匹配的认证申请发送至RADIUS进行异常用户的检测。

其中，用户包括正常用户和异常用户，正常用户，可以理解为按照常规的方式访问互联网，所形成的各种上网行为对访问互联网其他用户不会造成影响的用户；相对应的，异常用户，可以理解为会进行异常上网行为，且该异常上网行为会对访问互联网的其他用户，或者对互联网本身带来安全隐患的潜在用户。

BRAS是指宽带接入服务器，是面向宽带网络应用的新型接入网关，它位于骨干网的边缘层，可以完成用户带宽的数据接入，实现商业楼宇及小区住户的宽带上网。

在本实施例中，目标用户是指需要访问互联网的一个特定的用户所适用的终端设备(例如，手机或者平板电脑等)。联网请求是指用户在连接互联网之前发送的联网申请，用户需要进行认证申请，认证内容包括上网日志和各类安全日志，一般来说，联网请求中包括有该目标用户的身份识别信息，例如，MAC(Medium Access Control,媒体访问控制)地址，IP(Internet Protocol，网际协议)地址或者是登录账号等信息。

在本发明实施例中，RADIUS在获取目标用户的联网请求后，在对该联网请求中的身份识别信息进行是否允许联网的验证的同时，进一步验证该目标用户是否为异常用户。只要在确定该目标用户不为异常用户且该目标用户允许联网这两个条件同时满足时，该目标用户才可以通过该RADIUS正常的接入并访问互联网。

可选的，RADIUS可以预先收集多个用户的网日志和各类安全日志，对有异常操作行为的用户进行身份识别信息的标记。进而，当RADIUS提取出目标用户的身份识别信息后，通过和预先标记的各异常用户的身份识别信息进行比对，可以检测到目标用户是否为异常用户。

或者，该RADIUS可以实时获取策略管理中心定期下发的管控用户集合，该管控用户集合中包括有通过各种渠道筛选出的异常用户的身份识别标识。进而，当RADIUS提取出目标用户的身份识别信息后，通过和异常用户集合中的各异常用户的身份识别信息进行比对，可以检测到目标用户是否为异常用户。

其中，RADIUS是应用最广泛的AAA(Authentication、Authorization、Accounting，认证、授权和计费)协议；AAA是一种管理框架，因此，它可以用多种协议来实现；在实践中，人们最常使用远程访问拨号用户服务来实现AAA。

S120、在接收到RADIUS针对认证申请反馈的断开连接指令时，将断开连接指令转发至目标用户，以触发目标用户发送断网重连请求。

其中，断开连接指令是在RADIUS发现异常用户后对异常用户进行的断网处理，目标用户当前连接交换设备(典型的，交换机或者路由器)在收到该指令后会自动触发发送针对该目标用户的断网重连请求。

具体的，首先由RADIUS检测出目标用户为异常用户，然后发送断开连接指令给BRAS，BRAS将会转发该断开连接指令给目标用户，目标用户所连接的路由器在接收到该断开连接指令后会自动触发断网重连，也即，会重新向该BRAS发送断网重连请求。断网重连请求是指目标用户在断开互联网连接后重新申请接入的操作请求。

S130、在接收到目标用户再次发送的重新联网请求时，将目标用户的上网流量导流至异常监控系统，以使目标用户在异常监控系统的监控下连接互联网。

在本实施例中，当BRAS接收到RADIUS针对该目标用户发送的断开连接指令时，会记录上述操作。进而，当BRAS收到目标用户发送的重新联网请求后，通过比对之前记录的信息，可以确定该重新联网请求是目标用户基于BRAS所转发断开连接指令所触发生成的，也即，确定接收到目标用户再次发送的重新联网请求。

这样操作的目的在于，正常用户因为网络不稳定，其实也是有可能向BRAS发送重新联网请求的，通过对RADIUS所发送的断开连接指令所指向的用户进行记录，可以有效区分出当前接收到的重新联网请求是否为异常用户所发出的。

其中，导流是指将原连接方式导入至其他连接方式的过程，而在本实施例中，此时的重新联网请求将会把异常用户由原普通上网方式导流至异常监控系统，便于对异常用户的异常操作进行管控，但不会影响异常用户的联网操作，仅对其进行监控，便于及时阻止用户的异常操作，示例性的，可以在异常用户浏览异常网站进行异常操作时，对其进行弹窗提醒。

其中，异常监控系统是指对异常用户上网行为进行监控和隔离的系统，具体可以包括：安全防护中心、处置策略中心、深度检测中心和操作记录中心；不同中心之间互相配合工作，共同实现对异常用户的监控，异常监控系统还可以部署检测和清洗设备，可以经过防护节点检测、分析并过滤掉互联网中的攻击行为。

具体的，通过异常监控系统可以监控异常用户的上网行为，示例性的，当异常用户正在进行异常操作时，异常监控系统可以监控用户的异常操作行为，防止用户进行对互联网或对其他正常用户进行的具有安全隐患的异常操作，实现的异常上网行为的管控和追溯。

作为优选，可以建立BRAS与异常监控系统之间的直连通道，并将目标用户的上网流量通过该直连通道发送至异常监控系统。

作为优选，建立BRAS与异常监控系统之间的直连通道，可以包括：

基于L2TP(Layer 2Tunneling Protocol，第二层隧道协议)，与异常监控系统中的终端路由器建立针对目标用户的VPDN(虚拟专有拨号网络，Virtual Private DialNetwork)隧道。

其中，L2TP是一种虚拟隧道协议，通常用于虚拟专用网；L2TP协议自身不提供加密与可靠性验证的功能，可以和安全协议搭配使用，从而实现数据的加密传输。VPDN业务是在中国宽带互联网基础上开放的基于拨号方式的虚拟专有网络业务，它向用户提供以拨号方式接入中国宽带互联网，采用专用的网络加密和通信协议，可以使企业在公共网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业网内部数据资源的业务。

具体的，L2TP是基于连接的协议，建立一条隧道传递PPP(Point to PointProtocol，点对点协议)会话的过程包括：

(1)建立一条隧道的控制连接。

(2)根据入流/出流呼叫的请求，触发建立一个会话。

具体的，控制连接的建立包括对端的身份验证以及对端的L2TP版本号识别、帧类型和硬件承载能力等信息的协商交换。在控制连接的建立过程中，L2TP的隧道验证功能是可选的，如果使用，则在LAC(L2TP Access Concentrator，L2TP访问集中器)和LNS(L2TPNetwork Server，L2TP网络服务器)之间必须存在唯一的共享认证密钥。

其中，LAC是指交换网络上具有PPP和L2TP处理能力的设备，LAC根据PPP报文中所携带的用户名或者域名信息，和LNS建立L2TP隧道连接，将PPP协商延展到LNS。PPP可应用在多种网络。LNS是终止PPP会话的一端，通过LNS的认证，PPP会话协商成功，远程用户可以访问企业总部的资源。

示例性的，L2TP隧道可以建立在LAC和LNS之间，由一条控制连接和至少一个L2TP会话组成，在一对LAC和LNS之间可以建立多条L2TP隧道；L2TP会话也可以建立在LAC与LNS之间，但必须在L2TP能够通过隧道传递PPP帧之前，隧道建立成功之后才能建立，会话与呼叫是一一对应的，呼叫状态由LAC和LNS维护，一条L2TP隧道中可以建立多个会话。

会话连接的建立必须在隧道(控制连接)成功建立之后进行，每个会话连接对应于LAC和LNS之间的一个数据流，与隧道的建立过程不同，会话连接的建立是有方向性的，LAC请求LNS接受一个对应于“入呼叫”的会话，或者LNS请求LAC接受一个对应于“出呼叫”的请求。

本公开实施例中，通过将异常用户的上网流量导流至异常监控系统进行监控上网，可以将正常用户和异常用户的上网流量进行有效的隔离，在保证正常用户正常上网的前提下，对异常用户的上网流量进行有效的管控和追溯。

实施例二

图2为本发明实施例二提供了一种异常上网流量的监控方法的流程图，本实施例可适用于监控并隔离异常上网行为的情况。该方法可以由本公开实施例所提供的异常上网流量的监控装置来执行，该装置可采用软件和/或硬件的方式实现，并一般可集成在RADIUS中，用于和BRAS进行联动，共同实现对异常用户的隔离管控。

如图2所示，该方法包括：

S210、在接收到BRAS发送的认证申请时，提取认证申请中包括的目标用户的识别标识。

其中，认证申请是RADIUS用来区分用户的，示例性的，认证申请可以包括上网时间、目标用户所属城市、目标用户IP、手机号、域名信息等，提取主要是指RADIUS通过对这些数据信息进行过滤，筛选出黑名单库，即生成异常用户的名单的过程。

具体的，在目标用户申请接入互联网时，BRAS发送认证申请给RADIUS，RADIUS提取目标用户关键信息作为用户的识别标识，以便进一步判断目标用户是否为异常用户。

S220、检测识别标识是否存储在设定的异常用户名单中。

具体的，RADIUS内部存储有异常用户名单，当有新用户进行联网请求时，RADIUS将会对其认证申请进行检测，检测主要是指判断目标用户是否属于内部黑名单库，将异常用户挑选出来的过程。

S230、若是，则向BRAS反馈与认证申请匹配的断开连接指令，以控制目标用户以断网重连的方式在异常监控系统的监控下连接互联网。

具体的，如果目标用户不属于内部黑名单库，即该目标用户为正常用户，正常用户不会被RADIUS挑选出来，可以正常接入互联网。

具体的，当RADIUS检测出目标用户为异常用户时，就会向BRAS进行反馈，发送给BRAS断开连接指令，BRAS再转发给异常用户进行断网重连处理，通过断网重连，目标用户在重新联网的过程中就会被导流至异常监控系统下进行互联网连接。

作为优选，在接收到策略管理中心下发的管控用户集时，根据管控用户集更新本地存储的异常用户名单。

其中，策略管理中心是指大数据处理中心，可以对用户的上网操作行为进行分析，管理处置能力可根据实际情况进行选择建设；管控用户集是指策略管理中心内部生成的异常用户名单，当策略管理中心的异常用户名单更新后，会及时发送给RADIUS。

具体的，策略管理中心会判断用户的上网环境和上网行为是否正常，并将异常信息发送给RADIUS，RADIUS也会及时更新内部的异常用户名单，确保及时对异常用户的上网行为进行监控隔离。

示例性的，目标用户多次进行对其他用户或者是互联网有安全隐患的操作行为时就会被策略管理中心记录，RADIUS会对这些用户生成标识，更新记录在内部的异常用户名单中。

具体应用场景可以是黑灰产业行为监管处置、重大网络安全事件处理、特殊对象的强化保护、涉密对象的分析和科研分析研究等，本实施方式中仅是以用户异常上网行为进行说明，本实施方式并不对具体应用场景进行限定。

示例性的，图3为本发明实施例所适用的一种异常上网流量的监控方法的交互逻辑示意图，在该逻辑示意图，示出了BRAS和RADIUS的联动实现过程。

如图3所示，目标用户会向BRAS发送联网请求，BRAS将目标用户对应的认证申请发送至RADIUS进行异常用户的检测，RADIUS提取认证申请中目标用户的识别标识，如果识别标识存储在设定的异常用户名单中，RADIUS将向BRAS反馈断开指令，BRAS将断开连接指令转发至目标用户，目标用户以断网重连的方式在异常监控系统的监控下连接互联网；如果识别标识没有存储在设定的异常用户名单中，即通过认证就能正常接入互联网。

本公开实施例中，通过将RADIUS与前述实施例中的BRAS进行联动，可以准确识别异常用户，即上网行为存在安全隐患的用户，通过向异常用户发送断网指令的方式，转移异常用户至异常监控系统中接入互联网，从而实现针对海量流量中异常行为的筛选、处置一体化工作，可以有效处理存在安全隐患的用户的上网行为。

实施例三

图4为本发明实施例三提供的一种异常上网流量的监控装置的结构示意图。如图4所示，该装置包括：认证申请发送模块401、断开连接指令转发模块402和异常上网流量导流模块403。

其中，认证申请发送模块401，用于在检测到目标用户的联网请求时，将与联网请求匹配的认证申请发送至RADIUS进行异常用户的检测；断开连接指令转发模块402，用于在接收到RADIUS针对认证申请反馈的断开连接指令时，将断开连接指令转发至目标用户，以触发目标用户发送断网重连请求；异常上网流量导流模块403，用于在接收到目标用户再次发送的重新联网请求时，将目标用户的上网流量导流至异常监控系统，以使目标用户在异常监控系统的监控下连接互联网。

本公开实施例中，通过将异常用户的上网流量导流至异常监控系统进行监控上网，可以将正常用户和异常用户的上网流量进行有效的隔离，在保证正常用户正常上网的前提下，对异常用户的上网流量进行有效的管控和追溯。

在上述各实施例的基础上，异常上网流量导流模块403，可以具体用于：建立与异常监控系统之间的直连通道，并将目标用户的上网流量通过直连通道发送至异常监控系统。

在上述各实施例的技术上，异常上网流量导流模块403，可以进一步具体用于：基于L2TP，与异常监控系统中的终端路由器建立针对目标用户的VPDN隧道。

本发明实施例所提供的一种异常上网流量的监控装置可执行本发明一个或多个实施例所提供的一种异常上网流量的监控方法，具备执行方法相应的功能模块和有益效果。

实施例四

图5为本发明实施例四提供的一种异常上网流量的监控装置的结构示意图。如图5所示，该装置包括：识别标识提取模块501、异常用户检测模块502和断开连接指令反馈模块503。

其中，识别标识提取模块501，用于在接收到宽带接入服务器BRAS发送的认证申请时，提取认证申请中包括的目标用户的识别标识；异常用户检测模块502，用于检测识别标识是否存储在设定的异常用户名单中；断开连接指令反馈模块503，用于若是，则向BRAS反馈与认证申请匹配的断开连接指令，以控制目标用户以断网重连的方式在异常监控系统的监控下连接互联网。

本公开实施例中，通过将RADIUS与前述实施例中的BRAS进行联动，可以准确识别异常用户，即上网行为存在安全隐患的用户，通过向异常用户发送断网指令的方式，转移异常用户至异常监控系统中接入互联网，从而实现针对海量流量中异常行为的筛选、处置一体化工作，可以有效处理存在安全隐患的用户的上网行为。

在上述各实施例的技术上，该装置还包括：异常用户名单更新模块504；用于在接收到策略管理中心下发的管控用户集时，根据管控用户集更新本地存储的异常用户名单。

本发明实施例所提供的一种异常上网流量的监控装置可执行本发明一个或多个实施例所提供的一种异常上网流量的监控方法，具备执行方法相应的功能模块和有益效果。

实施例五

图6为本发明实施例五提供的一种电子设备600的结构示意图。如图6所示，电子设备600可以是BRAS或RADIUS，具体包括：存储器601、处理器602、输入装置603和输出装置604；其中存储器601和处理器602可以是一个或多个；图中的存储器、处理器、输入装置和输出装置可以通过总线或其他方式连接，图6中以通过总线连接为例。

存储器601作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块。

当该电子设备600为BRAS时，该计算机可读存储介质用于存储如本发明实施例中的一种异常上网流量的监控方法对应的模块(例如，基于BRAS异常上网流量的监控装置中的认证申请发送模块401、断开连接指令转发模块402和异常上网流量导流模块403)，处理器602通过运行存储在存储器601中的软件程序、指令以及模块，处理器602通过运行存储在存储器601中的软件程序、指令以及模块，从而执行设备的各种功能应用以及数据处理，即实现上述的由BRAS执行的异常上网流量的监控方法。

当该电子设备600为RADIUS时，该计算机可读存储介质用于存储如本发明实施例中的一种异常上网流量的监控方法对应的模块(例如，基于RADIUS异常上网流量的监控装置中的识别标识提取模块501、异常用户检测模块502和断开连接指令反馈模块503)，处理器602通过运行存储在存储器601中的软件程序、指令以及模块，处理器602通过运行存储在存储器601中的软件程序、指令以及模块，从而执行设备的各种功能应用以及数据处理，即实现上述的由RADIUS执行的异常上网流量的监控方法。

存储器601可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器601可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。

输入装置603可用于接收输入的数字或字符信息，以及产生与互联网的用户设置以及功能控制有关的键信号输入。输出装置604可以是服务器等设备。

实施例六

图7为本发明实施例五提供的一种异常上网流量的监控系统的结构示意图。如图7所示，该系统包括：BRAS701、RADIUS702、用户路由器703、异常监控系统704和策略管理中心705。

其中，至少一个宽带接入服务器BRAS701、分别与各BRAS701相连的远程用户拨号认证系统RADIUS702以及异常监控系统704；每个BRAS701与至少一个用户路由器703相连。

具体的，BRAS701用于执行如本发明任一实施例中的由BRAS执行的一种异常上网流量监控的方法，RADIUS702用于执行如本发明任一实施例中的由RADIUS执行的异常上网流量监控的方法，异常监控系统704，用于对接收到的上网流量进行攻击行为的过滤后，对过滤后的上网流量进行行为检测和行为存储。

其中，异常监控系统包括：安全防护中心、处置策略中心、深度检测中心和操作记录中心。

作为优选，监控系统还包括：策略管理中心705，策略管理中心705与至少一个RADIUS702相连；用于向相连的RADIUS702下发管控用户集。

具体的，本系统在核心网区域对接RADIUS通道，具备向RADIUS发送宽带账号的能力，通过RADIUS向BRAS下达断开指定账号网络连接。通过BRAS实现指定账号流量牵引，并构建处置能力中心，功能上实现：

(1)网络中存在的安全威胁及安全风险事件的监测及识别。

(2)存在安全隐患用户的溯源及隔离。

(3)从LNS侧接入指定用户流量并进行深度分析及用户画像。

实施例六

本发明实施例六还提供一种包含计算机可执行指令的存储介质，计算机可执行指令在由计算机处理器执行时用于执行一种基于BRAS的异常上网流量监控的方法，该方法包括：

在检测到目标用户的联网请求时，将与联网请求匹配的认证申请发送至RADIUS进行异常用户的检测；

在接收到RADIUS针对认证申请反馈的断开连接指令时，将断开连接指令转发至目标用户，以触发目标用户发送断网重连请求；

在接收到目标用户再次发送的重新联网请求时，将目标用户的上网流量导流至异常监控系统，以使目标用户在异常监控系统的监控下连接互联网。

还可用于执行一种基于RADIUS的异常上网流量监控的方法，该方法包括：

在接收到BRAS发送的认证申请时，提取认证申请中包括的目标用户的识别标识；

检测识别标识是否存储在设定的异常用户名单中；

若是，则向BRAS反馈与所述认证申请匹配的断开连接指令，以控制目标用户以断网重连的方式在异常监控系统的监控下连接互联网。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

此外，虽然采用特定次序描绘了各操作，但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地，在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。

尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。

Claims (10)

1.一种异常上网流量的监控方法，由宽带接入服务器BRAS执行，其特征在于，包括：

在检测到目标用户的联网请求时，将与所述联网请求匹配的认证申请发送至远程用户拨号认证系统RADIUS进行异常用户的检测；

在接收到所述RADIUS针对所述认证申请反馈的断开连接指令时，将所述断开连接指令转发至目标用户，以触发目标用户发送断网重连请求；

在接收到目标用户再次发送的重新联网请求时，将目标用户的上网流量导流至异常监控系统，以使目标用户在异常监控系统的监控下连接互联网。

2.根据权利要求1所述的方法，其特征在于，将目标用户的上网流量导流至异常监控系统，包括：

建立与所述异常监控系统之间的直连通道，并将目标用户的上网流量通过所述直连通道发送至异常监控系统。

3.根据权利要求2所述的方法，其特征在于，建立与所述异常监控系统之间的直连通道，包括：

基于第二层隧道协议L2TP，与所述异常监控系统中的终端路由器建立针对目标用户的虚拟专有拨号网络VPDN隧道。

4.一种异常上网流量的监控方法，由远程用户拨号认证系统RADIUS执行，其特征在于，包括：

在接收到宽带接入服务器BRAS发送的认证申请时，提取所述认证申请中包括的目标用户的识别标识；

检测所述识别标识是否存储在设定的异常用户名单中；

若是，则向所述BRAS反馈与所述认证申请匹配的断开连接指令，以控制目标用户以断网重连的方式在异常监控系统的监控下连接互联网。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

在接收到策略管理中心下发的管控用户集时，根据所述管控用户集更新本地存储的所述异常用户名单。

6.一种宽带接入服务器BRAS，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-3中任一项所述的异常上网流量的监控方法。

7.一种远程用户拨号认证系统RADIUS，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求4或5中任一项所述的异常上网流量的监控方法。

8.一种计算机可执行指令的存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-3中任一项所述的异常上网流量的监控方法，或者，实现如权利要求4或5中任一项所述的异常上网流量的监控方法。

9.一种异常上网流量的监控系统，其特征在于，包括：至少一个宽带接入服务器BRAS、分别与各BRAS相连的远程用户拨号认证系统RADIUS以及异常监控系统；每个BRAS与至少一个用户路由器相连；

所述BRAS，用于执行如权利要求1-3任一项所述的方法；

所述RADIUS，用于执行如权利要求4或5所述的方法；

所述异常监控系统，用于对接收到的上网流量进行攻击行为的过滤后，对过滤后的上网流量进行行为检测和行为存储。

10.根据权利要求9所述的监控系统，其特征在于，所述监控系统还包括：策略管理中心，所述策略管理中心与至少一个所述RADIUS相连；

所述策略管理中心，用于向相连的所述RADIUS下发管控用户集。

Images