CN116962255B - 发现pcdn用户的检测方法、系统、设备及可读介质 - Google Patents
发现pcdn用户的检测方法、系统、设备及可读介质 Download PDFInfo
- Publication number
- CN116962255B CN116962255B CN202311211766.XA CN202311211766A CN116962255B CN 116962255 B CN116962255 B CN 116962255B CN 202311211766 A CN202311211766 A CN 202311211766A CN 116962255 B CN116962255 B CN 116962255B
- Authority
- CN
- China
- Prior art keywords
- pcdn
- data
- user
- flow
- users
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 32
- 230000002159 abnormal effect Effects 0.000 claims abstract description 45
- 238000000034 method Methods 0.000 claims abstract description 35
- 238000004458 analytical method Methods 0.000 claims abstract description 23
- 238000012216 screening Methods 0.000 claims abstract description 23
- 238000013507 mapping Methods 0.000 claims abstract description 19
- 230000006399 behavior Effects 0.000 claims description 53
- 238000011144 upstream manufacturing Methods 0.000 claims description 20
- 230000005856 abnormality Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 9
- 238000005111 flow chemistry technique Methods 0.000 claims description 3
- 238000003860 storage Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 230000000875 corresponding effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 230000003542 behavioural effect Effects 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000010921 in-depth analysis Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/1396—Protocols specially adapted for monitoring users' activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Abstract
本申请提供了一种发现PCDN用户的检测方法、系统、设备及介质,方法包括获取radius流量数据,根据所述radius流量数据筛选出异常流量用户;构建所述异常流量用户与IP地址和网络端口的映射关系;获取宽带流量数据,根据所述映射关系对所述宽带流量数据进行筛选和标记,得到所述异常流量用户对应的网络行为数据;对所述网络行为数据进行分析应用识别和地址分析,得到应用流量数据和地址访问数据;根据所述radius流量数据、应用流量数据和地址访问数据,确定PCDN用户。本申请结合了实际的应用流量和特征,误差率更小,同时针对标记的PCDN用户流量进行追踪和回朔方便运营商持续分析该类用户行为。
Description
技术领域
本申请涉及网络数据处理领域,尤其涉及一种发现PCDN用户的检测方法、系统、设备及可读介质。
背景技术
近年来,随着网络流量的快速增长,内容分发网络(CDN)在提高用户体验和降低网络拥塞中扮演了关键角色。为了进一步提高内容分发效率和降低成本,P2P CDN(PCDN)技术得到了广泛应用。然而,一些PCDN用户违规地使用这种服务,导致电信运营商的正常业务受到严重影响。因此,迅速并准确地检测PCDN违规用户对电信运营商至关重要。
传统的PCDN检测方法主要依赖于对AAA(Authentication, Authorization, andAccounting)的radius流量进行分析。通过AAA流量,运营商可以得到用户的上行和下行带宽数据,进而根据某些设定的阈值来判定哪些用户可能是PCDN用户。这些阈值一般是基于正常网络使用行为的带宽利用模式设定的,例如,当一个用户的上行带宽利用率远高于下行带宽利用率时,他可能被视为一个潜在的PCDN用户。
尽管上述方法能够为运营商提供初步的PCDN用户筛选,但它也存在一些明显的限制。首先,仅仅依赖于带宽利用率可能会导致大量的误报和漏报。例如,某些正常的业务应用也可能导致上行带宽利用率的短暂增加。其次,这种方法没有深入到具体的应用流量层面,可能会忽略PCDN用户的某些细微但关键的行为特征。
发明内容
本申请的一个目的是提供一种发现PCDN用户的检测方法、系统、设备及可读介质,至少用以使得该方法可以结合实际的应用流量和特征,解决无法准确发现PCDN用户的问题。
为实现上述目的,本申请的一些实施例提供了一种发现PCDN用户的检测方法,所述方法包括获取radius流量数据,根据所述radius流量数据筛选出异常流量用户;构建所述异常流量用户与IP地址和网络端口的映射关系;获取宽带流量数据,根据所述映射关系对所述宽带流量数据进行筛选和标记,得到所述异常流量用户对应的网络行为数据;对所述网络行为数据进行分析应用识别和地址分析,得到应用流量数据和地址访问数据;根据所述radius流量数据、应用流量数据和地址访问数据,确定PCDN用户。
进一步地,所述根据所述radius流量数据筛选出异常流量用户包括:根据所述radius流量数据,计算上行流量带宽利用率和下行流量带宽利用率;筛选所述上行流量的利用率高于第一阈值而下行流量带宽利用率低于第二阈值的异常流量用户。
进一步地,所述网络行为数据包括:视频浏览行为、网页浏览行为和文件下载行为。
进一步地,所述确定PCDN用户包括:根据所述radius流量数据,得到上下行带宽异常的用户;根据所述应用流量数据,得到使用PCDN类应用上下行流量异常的用户;根据所述地址访问数据,得到访问PCDN服务商网络地址异常的用户。
进一步地,所述方法还包括:将符合上下行带宽异常、使用PCDN类应用上下行流量异常和访问PCDN服务商网络地址异常的用户标记为高PCDN用户;将只符合上下行带宽异常、使用PCDN类应用上下行流量异常和访问PCDN服务商网络地址异常中任意两项的用户标记为中PCDN用户。
进一步地,所述构建所述异常流量用户与IP地址和网络端口的映射关系,采用哈希表技术。
进一步地,所述获取宽带流量数据后采用DPI技术进行分析。
本申请的一些实施例还提供了一种发现PCDN用户的检测系统,所述系统包括:radius流量数据处理模块,用于根据所述radius流量数据筛选出异常流量用户,构建所述异常流量用户与IP地址和网络端口的映射关系;带宽流量处理模块,用于获取宽带流量数据,根据所述映射关系对所述宽带流量数据进行筛选和标记,得到所述异常流量用户对应的网络行为数据;PCDN分析模块,用于对所述网络行为数据进行分析应用识别和地址分析,得到应用流量数据和地址访问数据;根据所述radius流量数据、应用流量数据和地址访问数据,确定PCDN用户。
本申请的一些实施例还提供了一种发现PCDN用户的检测设备,所述设备包括:一个或多个处理器;以及存储有计算机程序指令的存储器,所述计算机程序指令在被执行时使所述处理器执行如上所述的方法。
本申请的一些实施例还提供了一种计算机可读介质,其上存储有计算机程序指令,所述计算机程序指令可被处理器执行以实现所述的发现PCDN用户的检测方法。
相较于现有技术,本申请实施例提供的方案中,发现PCDN用户的检测方法通过结合AAA radius流量与用户的实际网络行为报文,方法能够更为全面地捕获用户的网络活动,这种综合性分析大大减少了误报和漏报的可能性。不仅仅是基于带宽利用率来判断,还能识别用户的实际应用行为,例如视频播放、文件下载等,进一步细化用户的网络行为模式,增强了检测的深度。通过设置不同的阈值和规则,能够灵活地应对不同的网络环境和用户行为模式变化,确保检测效果持续优化。标记和追踪特定的PCDN用户流量,有助于电信运营商进行进一步的行为分析和审查,以确定违规行为的本质,并采取相应的措施。总的来说,本申请实施例提供的方案相比于传统技术,能够提供更为全面、深入和准确的PCDN用户检测,从而帮助电信运营商更为有效地管理网络资源和维护正常的业务运营。
附图说明
图1为本申请实施例提供的一种发现PCDN用户的检测方法的流程示意图;
图2为本申请实施例提供的一种发现PCDN用户的检测系统的结构示意图;
图3为本申请实施例提供的一种发现PCDN用户的检测设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在现有的技术中,PCDN用户检测主要依赖于AAA radius流量的分析。这种单纯的分析方法有以下缺陷:仅仅通过AAA radius流量进行分析,可能只捕获到部分用户的网络行为特点,从而忽略了一些细微但关键的行为特征;单一数据源导致的检测可能对一些正常用户的行为产生误解,从而产生误报,对运营商的业务运营产生不必要的干扰;由于缺乏对实际应用流量的分析,一些巧妙地隐藏自己行为的PCDN用户可能会逃脱检测,使得运营商无法对其进行及时的管理和干预;仅通过流量数据,很难对用户的实际网络活动进行深入理解,这意味着运营商可能无法得知用户访问的具体应用和服务,从而缺少了决策的上下文信息;由于传统方法主要依赖于固定阈值或规则,对于不断变化的网络环境和用户行为模式,它们可能无法做出及时和有效的反应。正因为现有技术的这些缺陷,迫切需要一个更为全面、准确和灵活的PCDN用户检测方法,从而更好地捕获和管理这些潜在的违规用户。
针对上述技术问题,本申请实施例提供了一种发现PCDN用户的检测方法,如图1所示,本申请实施例的核心在于:获取radius流量数据,根据所述radius流量数据筛选出异常流量用户;构建所述异常流量用户与IP地址和网络端口的映射关系;获取宽带流量数据,根据所述映射关系对所述宽带流量数据进行筛选和标记,得到所述异常流量用户对应的网络行为数据;对所述网络行为数据进行分析应用识别和地址分析,得到应用流量数据和地址访问数据;根据所述radius流量数据、应用流量数据和地址访问数据,确定PCDN用户。
可以理解的是,本申请所处理的网络流量分为两类,一类是radius流量数据即AAA的radius协议报文,另外一类是宽带流量数据即用户正常的网络行为报文。
radius流量数据是由AAA (Authentication, Authorization, and Accounting)系统使用的RADIUS (Remote Authentication Dial-In User Service) 协议产生的,这种协议主要用于远程用户认证和账单,这些数据包括有关用户身份、会话时间、上行和下行数据量、IP地址分配等信息。radius流量数据在这个方案中被用作一个筛选工具,来找出那些可能是PCDN用户的异常流量用户,例如,这些数据可以显示某个用户的上行带宽使用率长时间异常地高,而下行带宽使用率较低。这些被认为是异常流量用户,因为在正常情况下,大多数用户的下载(下行)带宽利用率应该高于上传(上行)。
宽带流量数据 (用户正常的网络行为报文),宽带流量数据是用户在网络上进行的常规活动(如浏览、下载、上传等)产生的网络流量,这些数据包含用户实际上在网络上做了什么的信息,包括访问的网站、使用的应用、上传和下载的文件等。一旦通过radius流量数据识别出异常流量用户,方案就会针对这些用户的宽带流量数据进行深入分析,这是为了查看这些用户是否在进行PCDN相关的活动,如P2P传输、大文件下载或访问PCDN服务商的URL等。通过结合radius流量数据和宽带流量数据,该方案能够更准确地识别出PCDN用户。radius流量数据提供了一个初步的筛选,而宽带流量数据则为该筛选提供了具体的网络行为证据。这种多维度分析使得该方案更加全面和准确。
在本申请一些实施例中,所述根据所述radius流量数据筛选出异常流量用户包括:根据所述radius流量数据,计算上行流量带宽利用率和下行流量带宽利用率;筛选所述上行流量的利用率高于第一阈值而下行流量带宽利用率低于第二阈值的异常流量用户。
上行流量带宽利用率是指用户上传数据的量与其带宽上限之间的比例,下行流量带宽利用率是指用户下载数据的量与其带宽上限之间的比例。例如,如果一个用户的上行带宽上限是10Mbps,而他实际上传的数据速率是5Mbps,那么上行带宽利用率就是50%。为了筛选出可能是PCDN用户的异常流量用户,设置了两个阈值:第一阈值和第二阈值。如果用户的上行流量带宽利用率超过了第一阈值,这意味着用户正在进行大量的上传活动,这是因为在PCDN(私有内容分发网络)中,用户的设备不仅从网络中下载内容,还将内容上传到其他用户的设备。同时,如果用户的下行流量带宽利用率低于第二阈值,这可能意味着用户在下载方面并不活跃,或者他们的下载速度受到了限制。结合这两个阈值,可以有效地筛选出那些在上传方面非常活跃,但在下载方面相对不活跃的用户,因为这种特征是PCDN用户的典型行为特征。简而言之,此实施例利用radius流量数据的信息,通过上行和下行带宽利用率与预先设定的阈值进行对比,筛选出可能的PCDN用户。这种筛选方法提供了一种有效的方法,以区分PCDN用户和其他普通网络用户。
在本申请一些实施例中,所述网络行为数据包括:视频浏览行为、网页浏览行为和文件下载行为。
网络行为数据是指用户在网络上的各种活动和行为,反映了用户如何使用其互联网连接。网络行为数据主要分为三大类:
视频浏览行为:这是指用户在观看在线视频时的行为,包括但不限于流媒体、在线直播、点播等。由于视频通常需要较大的带宽,所以视频浏览行为会产生较大的流量。此外,如今的网络中,流媒体和视频内容消费已经非常普遍,因此这一类的网络行为对于确定PCDN用户非常关键。
网页浏览行为:这主要指的是用户在浏览网页、社交媒体、新闻网站或任何其他在线内容时的行为。这类行为的流量通常小于视频,但频繁的网页浏览行为(如频繁刷新或点击)可能也会产生大量的网络流量。
文件下载行为:这是指用户下载文件或其他大量数据的行为。这可以是软件下载、大文件传输、在线游戏资源包下载等。文件下载通常会持续一段时间,并且需要较大的带宽。
通过对这些网络行为数据的分析,可以更加准确地确定用户的互联网使用模式。特别是对于PCDN用户,他们可能会有大量的上传和下载行为,尤其是在P2P文件分享或类似的应用场景中。通过识别和分析这些网络行为,可以更准确地确定和标记PCDN用户,从而帮助网络运营商更好地管理和优化其网络资源。
在本申请一些实施例中,所述确定PCDN用户包括:根据所述radius流量数据,得到上下行带宽异常的用户;根据所述应用流量数据,得到使用PCDN类应用上下行流量异常的用户;根据所述地址访问数据,得到访问PCDN服务商网络地址异常的用户。
基于radius流量数据确定带宽异常用户:Radius流量数据提供了关于用户上下行流量的详细信息。当用户的上行或下行带宽利用率超出常规范围时,它可以被视为异常。PCDN用户可能会有不均匀的上下行带宽利用,例如,在P2P文件共享中,他们可能会上传大量的内容。通过检测这些异常,可以初步标记可能的PCDN用户。
基于应用流量数据确定使用PCDN类应用的异常流量用户:应用流量数据提供了关于用户使用哪些应用的信息,例如视频流、P2P共享或其他。
PCDN类应用会产生特定的流量模式。例如,P2P文件共享应用会有大量的上下行流量。通过分析应用流量数据,可以进一步确认和标记PCDN用户,确保不漏掉那些在radius数据中可能被忽略的用户。
基于地址访问数据确定访问PCDN服务商网络地址异常的用户:地址访问数据显示了用户正在访问哪些特定的网络地址或服务器,PCDN服务通常会有特定的网络地址或IP范围。如果用户频繁地或大量地访问这些特定地址,那么他们很可能是PCDN用户。通过这一步,可以确保对PCDN用户的准确标记,尤其是对那些可能使用不太常见的PCDN服务的用户。
在本申请一些实施例中,所述方法还包括:将符合上下行带宽异常、使用PCDN类应用上下行流量异常和访问PCDN服务商网络地址异常的用户标记为高PCDN用户;将只符合上下行带宽异常、使用PCDN类应用上下行流量异常和访问PCDN服务商网络地址异常中任意两项的用户标记为中PCDN用户。
本方法不仅识别PCDN用户,而且进一步对这些用户进行分类,根据他们的行为特征将他们归类为"高PCDN用户"和"中PCDN用户"。这种分类方式为网络运营商提供了一个更细致的管理工具,以便他们更有效地管理网络资源和优化服务。
高PCDN用户:这类用户在三个关键领域内都显示出了异常行为,这三个领域分别是:上下行带宽利用、使用的PCDN类应用产生的上下行流量和访问的PCDN服务商网络地址。例如,一个高PCDN用户可能会有非常高的上行带宽利用率,同时频繁地使用P2P文件共享应用,并且经常访问已知的PCDN服务地址。这类用户对网络资源的需求可能会非常高,因此需要特别关注。网络运营商可能需要为这些用户提供优化的服务或考虑对他们进行更严格的管理。
中PCDN用户:这类用户在上述的三个关键领域内只显示了两个领域的异常行为。例如,他们可能会有高的上行带宽利用率,经常使用P2P文件共享应用,但不经常访问已知的PCDN服务地址。或者,他们可能会有高的下行带宽利用率,经常访问已知的PCDN服务地址,但不使用常见的PCDN应用。这类用户对网络资源的需求可能会中等,但仍然高于常规用户。他们可能需要适当的管理,但不像高PCDN用户那样紧急。
这种分类方法允许网络运营商有针对性地管理不同类型的PCDN用户。高PCDN用户的处理优先级较高,对运营商造成的损失较大,中PCDN用户的处理优先级一般,运营商可以根据处理的优先级更好的进行网络管理。
在本申请一些实施例中,所述构建所述异常流量用户与IP地址和网络端口的映射关系,采用哈希表技术。哈希表技术非常适合用于构建映射关系,因为它具有高效的查找和检索性能。这样,对于识别的异常流量用户,系统可以轻松地访问他们的IP地址和端口信息,以便进一步的网络分析和管理。这有助于确保数据的高效处理和准确性。除哈希表外还可以采用数据库系统、内存缓存和其他数据结构构建所述异常流量用户与IP地址和网络端口的映射关系。
在本申请一些实施例中,所述获取宽带流量数据后采用DPI技术进行分析。
深度包检测(DPI)是一种网络流量分析技术,它能够深入解析和检查网络数据包的内容,而不仅仅是基于网络协议或端口的信息。它允许系统深入了解数据包中的应用层数据和协议,从而更精确地识别网络流量。
在本申请的上下文中,宽带流量数据包含了用户在网络上的各种活动,包括应用的使用、文件的上传和下载、网页浏览等。DPI技术用于分析这些数据包,以了解用户在网络上执行的确切操作和使用的应用。DPI技术可以识别用户在使用的具体应用,例如视频流媒体应用、P2P文件共享应用、网络游戏等。这有助于确定用户是否在使用与PCDN相关的应用。DPI技术还可以分析数据包的流量特征,例如数据包的大小、协议头、数据内容等。通过检查这些特征,可以识别出异常的流量模式,例如大文件下载或大量的上传活动。DPI技术还可以用于网络安全检测,以识别恶意流量或网络攻击。这有助于确保网络的安全性。在本申请中,DPI技术的应用有助于更深入地了解宽带流量数据,从而更准确地识别PCDN用户。这种分析方法提供了关于用户网络行为的详细信息,有助于更好地管理和优化网络资源。
图2示出了一种发现PCDN用户的检测系统,所述系统包括:
radius流量数据处理模块,用于根据所述radius流量数据筛选出异常流量用户,构建所述异常流量用户与IP地址和网络端口的映射关系;
带宽流量处理模块,用于获取宽带流量数据,根据所述映射关系对所述宽带流量数据进行筛选和标记,得到所述异常流量用户对应的网络行为数据;
PCDN分析模块,用于对所述网络行为数据进行分析应用识别和地址分析,得到应用流量数据和地址访问数据;根据所述radius流量数据、应用流量数据和地址访问数据,确定PCDN用户。
不难发现,本申请实施例是与方法实施例相对应的系统实施例,本申请实施例的实现细节已在方法实施例中阐述,为避免重复,此处不再赘述。
此外,本申请实施例还提供了一种发现PCDN用户的检测设备,该设备的结构如图3所示,所述设备包括用于存储计算机可读指令的存储器90和用于执行计算机可读指令的处理器100,其中,当该计算机可读指令被该处理器执行时,触发所述处理器执行所述发现PCDN用户的检测方法。
本申请实施例中的方法和/或实施例可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在该计算机程序被处理单元执行时,执行本申请的方法中限定的上述功能。
需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图或框图示出了按照本申请各种实施例的设备、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的针对硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
作为另一方面,本申请实施例还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个计算机可读指令,所述计算机可读指令可被处理器执行以实现前述本申请的多个实施例的方法和/或技术方案的步骤。
在本申请一个典型的配置中,终端、服务网络的设备均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器 (RAM) 和/或非易失性内存等形式,如只读存储器 (ROM) 或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器(ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
此外,本申请实施例还提供了一种计算机程序,所述计算机程序存储于计算机设备,使得计算机设备执行所述控制代码执行的方法。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一些实施例中,本申请的软件程序可以通过处理器执行以实现上文步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (10)
1.一种发现PCDN用户的检测方法,其特征在于,所述方法包括:
获取radius流量数据,根据所述radius流量数据筛选出异常流量用户;
构建所述异常流量用户与IP地址和网络端口的映射关系;
获取宽带流量数据,根据所述映射关系对所述宽带流量数据进行筛选和标记,得到所述异常流量用户对应的网络行为数据;
对所述网络行为数据进行分析应用识别和地址分析,得到应用流量数据和地址访问数据;
根据所述radius流量数据、应用流量数据和地址访问数据,确定PCDN用户。
2.根据权利要求1所述方法,其特征在于,所述根据所述radius流量数据筛选出异常流量用户包括:
根据所述radius流量数据,计算上行流量带宽利用率和下行流量带宽利用率;
筛选所述上行流量的利用率高于第一阈值而下行流量带宽利用率低于第二阈值的异常流量用户。
3.根据权利要求2所述方法,其特征在于,所述网络行为数据包括:视频浏览行为、网页浏览行为和文件下载行为。
4.根据权利要求1-3任意一项所述方法,其特征在于,所述确定PCDN用户包括:
根据所述radius流量数据,得到上下行带宽异常的用户;
根据所述应用流量数据,得到使用PCDN类应用上下行流量异常的用户;
根据所述地址访问数据,得到访问PCDN服务商网络地址异常的用户。
5.根据权利要求4所述方法,其特征在于,所述方法还包括:
将符合上下行带宽异常、使用PCDN类应用上下行流量异常和访问PCDN服务商网络地址异常的用户标记为高PCDN用户;
将只符合上下行带宽异常、使用PCDN类应用上下行流量异常和访问PCDN服务商网络地址异常中任意两项的用户标记为中PCDN用户。
6.根据权利要求1-3任意一项所述方法,其特征在于,所述构建所述异常流量用户与IP地址和网络端口的映射关系,采用哈希表技术。
7.根据权利要求1-3任意一项所述方法,其特征在于,所述获取宽带流量数据后采用DPI技术进行分析。
8.一种发现PCDN用户的检测系统,其特征在于,所述系统包括:
radius流量数据处理模块,用于根据所述radius流量数据筛选出异常流量用户,构建所述异常流量用户与IP地址和网络端口的映射关系;
带宽流量处理模块,用于获取宽带流量数据,根据所述映射关系对所述宽带流量数据进行筛选和标记,得到所述异常流量用户对应的网络行为数据;
PCDN分析模块,用于对所述网络行为数据进行分析应用识别和地址分析,得到应用流量数据和地址访问数据;根据所述radius流量数据、应用流量数据和地址访问数据,确定PCDN用户。
9.一种发现PCDN用户的检测设备,其特征在于,所述设备包括:
一个或多个处理器;以及
存储有计算机程序指令的存储器,所述计算机程序指令在被执行时使所述处理器执行如权利要求1-7任意一项所述的方法。
10.一种计算机可读介质,其上存储有计算机程序指令,所述计算机程序指令可被处理器执行以实现如权利要求1-7任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311211766.XA CN116962255B (zh) | 2023-09-20 | 2023-09-20 | 发现pcdn用户的检测方法、系统、设备及可读介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311211766.XA CN116962255B (zh) | 2023-09-20 | 2023-09-20 | 发现pcdn用户的检测方法、系统、设备及可读介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116962255A CN116962255A (zh) | 2023-10-27 |
CN116962255B true CN116962255B (zh) | 2023-11-21 |
Family
ID=88462419
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311211766.XA Active CN116962255B (zh) | 2023-09-20 | 2023-09-20 | 发现pcdn用户的检测方法、系统、设备及可读介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116962255B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016192615A1 (zh) * | 2015-06-02 | 2016-12-08 | 华为技术有限公司 | 一种通信方法、接入网网元以及用户设备 |
US11133999B1 (en) * | 2019-10-04 | 2021-09-28 | Rapid7, Inc. | Network sensor deployment for deep packet inspection |
CN113536256A (zh) * | 2021-07-27 | 2021-10-22 | 江西高创保安服务技术有限公司 | 一种人口流动数据的统计分析方法、装置及电子设备 |
CN114070619A (zh) * | 2021-11-12 | 2022-02-18 | 中国工商银行股份有限公司 | 数据库异常访问的监控方法、监控系统、设备和存储介质 |
CN114389977A (zh) * | 2021-12-29 | 2022-04-22 | 中国电信股份有限公司 | Pcdn违规业务检测方法、装置、电子设备及存储介质 |
CN115473876A (zh) * | 2022-09-15 | 2022-12-13 | 北京百度网讯科技有限公司 | 实时流媒体数据的传输方法、装置、系统和存储介质 |
CN116432805A (zh) * | 2022-12-15 | 2023-07-14 | 中国电信股份有限公司 | 违规业务预测方法、装置、电子设备及可读存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10425380B2 (en) * | 2017-06-22 | 2019-09-24 | BitSight Technologies, Inc. | Methods for mapping IP addresses and domains to organizations using user activity data |
-
2023
- 2023-09-20 CN CN202311211766.XA patent/CN116962255B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016192615A1 (zh) * | 2015-06-02 | 2016-12-08 | 华为技术有限公司 | 一种通信方法、接入网网元以及用户设备 |
US11133999B1 (en) * | 2019-10-04 | 2021-09-28 | Rapid7, Inc. | Network sensor deployment for deep packet inspection |
CN113536256A (zh) * | 2021-07-27 | 2021-10-22 | 江西高创保安服务技术有限公司 | 一种人口流动数据的统计分析方法、装置及电子设备 |
CN114070619A (zh) * | 2021-11-12 | 2022-02-18 | 中国工商银行股份有限公司 | 数据库异常访问的监控方法、监控系统、设备和存储介质 |
CN114389977A (zh) * | 2021-12-29 | 2022-04-22 | 中国电信股份有限公司 | Pcdn违规业务检测方法、装置、电子设备及存储介质 |
CN115473876A (zh) * | 2022-09-15 | 2022-12-13 | 北京百度网讯科技有限公司 | 实时流媒体数据的传输方法、装置、系统和存储介质 |
CN116432805A (zh) * | 2022-12-15 | 2023-07-14 | 中国电信股份有限公司 | 违规业务预测方法、装置、电子设备及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN116962255A (zh) | 2023-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
US20120317151A1 (en) | Model-Based Method for Managing Information Derived From Network Traffic | |
Muraleedharan et al. | A deep learning based HTTP slow DoS classification approach using flow data | |
CN108768921B (zh) | 一种基于特征检测的恶意网页发现方法及系统 | |
AU2021291150B2 (en) | Fast identification of offense and attack execution in network traffic patterns | |
US11089039B2 (en) | Network traffic spike detection and management | |
CN112822147B (zh) | 一种用于分析攻击链的方法、系统及设备 | |
Aiello et al. | Profiling DNS tunneling attacks with PCA and mutual information | |
Jia et al. | A lightweight DDoS detection scheme under SDN context | |
CN112217777A (zh) | 攻击回溯方法及设备 | |
CN116962255B (zh) | 发现pcdn用户的检测方法、系统、设备及可读介质 | |
US11194839B2 (en) | System and method for aggregating subscriber perspective data | |
CN115499230A (zh) | 网络攻击检测方法和装置、设备及存储介质 | |
US11789743B2 (en) | Host operating system identification using transport layer probe metadata and machine learning | |
Zhou et al. | Classification of botnet families based on features self-learning under network traffic censorship | |
Vu et al. | A real-time evaluation framework for machine learning-based ids | |
Zaki et al. | Applications and use cases of multilevel granularity for network traffic classification | |
Yoon et al. | Header signature maintenance for Internet traffic identification | |
Uzun et al. | End-to-end internet speed analysis of mobile networks with mapReduce | |
Barradas | Unobservable Multimedia-based Covert Channels for Internet Censorship Circumvention | |
Keshvadi | Traffic characterization of social network applications | |
Sanders | Techniques for the analysis of modern web page traffic using anonymized tcp/ip headers | |
Değirmenci et al. | ROSIDS23: Network intrusion detection dataset for robot operating system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |