WO2017107780A1

WO2017107780A1 - 一种识别计费欺诈的非法代理的方法、设备及系统

Info

Publication number: WO2017107780A1
Application number: PCT/CN2016/109060
Authority: WO
Inventors: 王彩娟; 朱璎; 郑磊斌
Original assignee: 华为技术有限公司
Priority date: 2015-12-22
Filing date: 2016-12-08
Publication date: 2017-06-29
Also published as: CN105516165B; CN105516165A

Abstract

本发明公开了一种识别计费欺诈的非法代理的方法，包括：核心网设备获取业务报文中携带的目的网址URL和目的服务器的IP地址；所述核心网设备从预先建立的白名单中查找与所述目的网址对应的服务器的IP地址，所述白名单中包含免费网址与合法服务器的IP地址的对应关系；当与所述目的网址对应的服务器的IP地址中不包含所述目的服务器的IP地址时，所述核心网设备识别所述目的服务器为疑似非法代理服务器。本发明实施例提供的识别计费欺诈的非法代理的方法，可以准确的识别用于计费欺诈的非法代理，从而有效的阻断计费欺诈。

Description

一种识别计费欺诈的非法代理的方法、设备及系统

本申请要求于2015年12月22日提交中国专利局、申请号为201510969780.5、发明名称为“一种识别计费欺诈的非法代理的方法、设备及系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络安全技术领域，具体涉及一种识别计费欺诈的非法代理的方法、设备及系统。

背景技术

随着经济发展和移动通讯市场的大规模部署，传统语音和新型“流量”业务已经广泛被应用和推广。不过在一些地区，移动网络流量资费比较昂贵，在这种背景下，网络上就存在很多利用优惠计费策略漏洞进行计费欺诈的行为。例如：计费执行功能实体(Policy and Charging Enforcement Function，PCEF)上设置了免费套餐业务的过滤条件(0.facebook.com)，用户利用该免费过来条件，在用户想要访问付费的业务(www.test.com)时，将需要付费的真实访问业务报文(www.test.com)伪装成免费业务报文(0.facebook.com/www.test.com)。在伪装报文通过计费检测后，将伪装报文送到代理服务器上。代理服务器忽略计费欺诈，获取用户真实业务的网址(Uniform Resource Locator，URL)(www.test.com)，转发到业务服务器。同样，用户下行报文也会经代理服务器处理后转发到PCEF上，继而转发到用户设备上，实现诈取优惠费率访问真实业务。

对于这类伪装报文，真实业务的网址总是不停的更换隐藏的字段，导致开发人员总需要不停的升级，只要伪装报文中真实业务的网址字段稍有更改，就会检测不到。

对于网络中存在的上述超文本传送协议(Hypertext transfer protocol，HTTP)计费欺诈场景，PCEF可预先获取欺诈的代理服务器的互联网络协议(Internet Protocol，IP)地址，但欺诈产业链可以随时更换欺诈的代理服务器的IP地址，导致对欺诈的代理服务器的识别不准确。

发明内容

为了解决现有技术中对计费欺诈的识别效果很差的问题，本发明实施例提供一种识别计费欺诈的非法代理的方法，可以准确的识别用于计费欺诈的非法代理，从而有效的阻断计费欺诈。本发明实施例还提供了相应的设备及系统。

本发明第一方面提供一种识别计费欺诈的非法代理的方法，该方法应用于通信系统的核心网设备，通信系统中独立的PCEF、内嵌有PCEF的GGSN/PGW、可视化设备、DNS Server 等都属于核心网设备，所述方法包括：核心网设备获取业务报文中携带的目的网址URL和目的服务器的IP地址；所述核心网设备从预先建立的白名单中查找与所述目的网址对应的服务器的IP地址，所述白名单中包含免费网址与合法服务器的IP地址的对应关系；当与所述目的网址对应的服务器的IP地址中不包含所述目的服务器的IP地址时，所述核心网设备识别所述目的服务器为疑似非法代理服务器。与现有技术中对对计费欺诈的识别效果很差的问题相比，本发明实施例提供的识别计费欺诈的非法代理的方法，可以准确的识别用于计费欺诈的非法代理，从而有效的阻断计费欺诈。

可选地，所述核心网设备识别所述目的服务器为疑似非法代理服务器之后，所述方法还包括：

所述核心网设备将所述目的服务器的IP地址添加到灰名单中，所述灰名单中包含所述免费网址与所述疑似非法代理服务器的IP地址之间的对应关系。

可选地，所述方法还包括：

所述核心网设备监控所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值；

所述核心网设备将预置时间段内所述流量占比高于第一预置阈值的疑似非法代理服务器的IP地址转移到黑名单中，所述黑名单中包含所述免费网址与非法代理服务器的IP地址之间的对应关系。

可选地，所述方法还包括：

所述核心网设备将预置时间段内所述流量占比低于第二预置阈值的疑似非法代理服务器的IP地址转移到所述白名单中。

可选地，所述方法还包括

所述核心网设备获取域名报文的合法网址；

当所述合法网址为免费网址时，所述核心网设备从域名服务器发送的域名响应报文中获取与所述合法网址对应的合法服务器的IP地址；

所述核心网设备将所述合法网址和所述对应的合法服务器的IP地址对应的添加到所述白名单中。

所述核心网设备根据针对非法代理的防控策略，处理所述业务报文。

本发明第二方面提供一种核心网设备，应用于通信系统，通信系统中独立的PCEF、内嵌有PCEF的GGSN/PGW、可视化设备、DNS Server等都属于核心网设备，核心网设备包括：

获取单元，用于获取业务报文中携带的目的网址URL和目的服务器的IP地址；

查找单元，用于从预先建立的白名单中查找与所述获取单元获取的所述目的网址对应的服务器的IP地址，所述白名单中包含免费网址与合法服务器的IP地址的对应关系；

识别单元，用于当与所述查找单元查找到的所述目的网址对应的服务器的IP地址中不包含所述目的服务器的IP地址时，识别所述目的服务器为疑似非法代理服务器。

与现有技术中对对计费欺诈的识别效果很差的问题相比，本发明实施例提供的核心网设备，可以准确的识别用于计费欺诈的非法代理，从而有效的阻断计费欺诈。

可选地，所述核心网设备还包括：

第一添加单元，用于在所述识别单元识别所述目的服务器为疑似非法代理服务器之后，将所述目的服务器的IP地址添加到灰名单中，所述灰名单中包含所述免费网址与所述疑似非法代理服务器的IP地址之间的对应关系。

可选地，所述核心网设备还包括：

第一监控单元，用于监控所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值；

第一转移单元，用于将预置时间段内所述第一监控单元监控的流量占比高于第一预置阈值的疑似非法代理服务器的IP地址转移到黑名单中，所述黑名单中包含所述免费网址与非法代理服务器的IP地址之间的对应关系。

可选地，所述核心网设备还包括：

第二监控单元，用于监控所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值；

第二转移单元，用于将预置时间段内所述第二监控单元监控的流量占比低于第二预置阈值的疑似非法代理服务器的IP地址转移到所述白名单中。

可选地，所述核心网设备还包括：第二添加单元，

所述获取单元，还用于获取域名报文的合法网址，当所述合法网址为免费网址时，从域名服务器发送的域名响应报文中获取与所述合法网址对应的合法服务器的IP地址；

所述第二添加单元，用于将所述获取单元获取所述合法网址和所述获取单元获取的所述对应的合法服务器的IP地址对应的添加到所述白名单中。

可选地，所述核心网设备还包括：

处理单元，用于在所述识别单元识别出所述目的服务器为疑似非法代理服务器之后，根据针对非法代理的防控策略，处理所述业务报文。

本发明第三方面提供一种核心网设备，应用于通信系统，通信系统中独立的PCEF、内嵌有PCEF的GGSN/PGW、可视化设备、DNS Server等都属于核心网设备，核心网设备包括：收发器、处理器和存储器，所述存储器中存储有处理器执行识别计费欺诈的非法代理的程序；

处理器用于执行如下步骤：

获取业务报文中携带的目的网址URL和目的服务器的IP地址；

从预先建立的白名单中查找与所述目的网址对应的服务器的IP地址，所述白名单中包含免费网址与合法服务器的IP地址的对应关系；

当与所述目的网址对应的服务器的IP地址中不包含所述目的服务器的IP地址时，识别所述目的服务器为疑似非法代理服务器。

可选地，所述处理器还用于将所述目的服务器的IP地址添加到灰名单中，所述灰名单中包含所述免费网址与所述疑似非法代理服务器的IP地址之间的对应关系。

可选地，所述处理器还用于监控所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值；将预置时间段内所述流量占比高于第一预置阈值的疑似非法代理服务器的IP地址转移到黑名单中，所述黑名单中包含所述免费网址与非法代理服务器的IP地址之间的对应关系。

可选地，所述处理器还用于监控所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值；将预置时间段内所述流量占比低于第二预置阈值的疑似非法代理服务器的IP地址转移到所述白名单中。

可选地，所述处理器还用于获取域名报文的合法网址；当所述合法网址为免费网址时，从域名服务器发送的域名响应报文中获取与所述合法网址对应的合法服务器的IP地址；将所述合法网址和所述对应的合法服务器的IP地址对应的添加到所述白名单中。

可选地，所述处理器还用于根据针对非法代理的防控策略，处理所述业务报文。

本发明第四方面提供一种识别计费欺诈的非法代理的系统，包括：计费执行功能实体PCEF和域名服务器，

所述PCEF为上述第二方面或第二方面任一可选实现方式所述的核心网设备。

本发明第五方面提供一种识别计费欺诈的非法代理的系统，包括：计费执行功能实体PCEF、可视化设备和域名服务器，

所述可视化设备上述第二方面或第二方面任一可选实现方式所述的核心网设备。

与现有技术中对对计费欺诈的识别效果很差的问题相比，本发明实施例提供的识别计费欺诈的非法代理的系统，可以准确的识别用于计费欺诈的非法代理，从而有效的阻断计费欺诈。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例中通信系统的一实施例示意图；

图2是本发明实施例中识别计费欺诈的非法代理的系统的一实施例示意图；

图3是本发明实施例中灰、白、黑名单内容转移示意图；

图4是本发明实施例中建立白名单的过程的一实施例示意图；

图5是本发明实施例中建立白名单的过程的另一实施例示意图；

图6是本发明实施例中识别计费欺诈的非法代理的方法的一实施例示意图；

图7是本发明实施例中核心网设备的一实施例示意图；

图8是本发明实施例中核心网设备的另一实施例示意图；

图9是本发明实施例中核心网设备的另一实施例示意图；

图10是本发明实施例中核心网设备的另一实施例示意图；

图11是本发明实施例中核心网设备的另一实施例示意图；

图12是本发明实施例中核心网设备的另一实施例示意图；

图13是本发明实施例中核心网设备的另一实施例示意图。

具体实施方式

本发明实施例提供一种识别计费欺诈的非法代理的方法，可以准确的识别用于计费欺诈的非法代理，从而有效的阻断计费欺诈。本发明实施例还提供了相应的设备及系统。以下分别进行详细说明。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例中通信系统的一实施例示意图。

参阅图1，本发明实施例提供的通信系统的一实施例包括：用户设备(User Equipment，UE)、居民接入网(Residential Access Network，RAN)、计费执行功能实体(Policy and Charging Enforcement Function，PCEF)、话单计费设备(Billing)、可视化设备、域名服务器(Domain Name System Server，DNS Server)和业务提供商(Service Provider，SP)所提供的业务服务器。其中，UE上可以安装有帮助用户以欺诈的方式获取免费流量或者优惠流量的客户端。RAN中可以包括基站或者演进基站等无线接入设备。PCEF可以以内置形式嵌入网关GPRS支持节点(Gateway GPRS Support Node，GGSN)或者分组交换网关(Packet Data Network Gateway，PGW)，也可以独立设置PCEF。运营商通过Billing分配流量业务标识，以及用户流量的业务注册信息及计费标识管理，实施在线/离线计费功能。可视化设备可以展示网络的数据情况，供运营商及时了解网络数据。DNS Server可以将域名转换成网络可以识别的IP地址。其中，独立的PCEF、内嵌有PCEF的GGSN/PGW、可视化设备、DNS Server 等都属于核心网设备。

本发明实施例所提供的识别计费欺诈的非法代理的核心网络设备主要包括独立的PCEF、内嵌有PCEF的GGSN/PGW，或者具有识别计费欺诈的非法代理能力的可视化设备。

图2为本发明实施例中识别计费欺诈的非法代理的系统的一实施例示意图。

下面结合图2，说明本发明实施例中依靠独立的PCEF(当然，也可以是内嵌有PCEF的GGSN/PGW)识别计费欺诈的非法代理的过程：

PCEF接收RAN传输过来的用户设备发出的业务报文，该业务报文中携带的目的网址URL和目的服务器的IP地址；例如：目的网址为www.google.com，目的服务器的IP地址为74.125.71.120。

PCEF从业务报文的网络层获取URL，从IP层获取目的服务器的IP地址。

PCEF从预先建立的白名单中查找与所述目的网址对应的服务器的IP地址，所述白名单中包含免费网址与合法服务器的IP地址的对应关系。

因为本发明实施例中主要的功能是防止具有流量欺诈功能的代理服务器以欺诈的方式获取免费流量，当然也可以包括优惠流量，所以白名单中的网址都是免费网址或者优惠网址，当PCEF从白名单中查找到www.google.com，则可以确定白名单中与www.google.com网址对应的合法服务器的IP地址，具体过程可以参阅表1进行理解：如表1所示：

表1：白名单

从表1中可以确定www.google.com所对应的合法服务器的IP地址。

当与所述目的网址URL对应的服务器的IP地址中不包含所述目的服务器的IP地址时，PCEF识别所述目的服务器为疑似非法代理服务器。

从表1中可以确定www.google.com所对应的合法服务器的IP地址中不包含目的服务器的IP地址74.125.71.120。当然，此处是假设表1中www.google.com所对应的IP地址中省略未写出的IP地址中不包括该目的IP地址，则可以确定IP地址为74.125.71.120的服务器为疑似非法代理服务器。考虑到可能会有识别失误，所以不将识别出的代理服务器拉黑，而是定义为疑似非法代理服务器，通过进一步监控观测再确定疑似非法代理服务器是否为真正的非法代理服务器。

识别出疑似非法代理服务器后，可以通过防控策略，如阻塞、回归收费费率和带宽限制等方式来降低运营商损失。

PCEF识别所述目的服务器为疑似非法代理服务器后，将所述目的服务器的IP地址添加到灰名单中，所述灰名单中包含所述免费网址与所述疑似非法代理服务器的IP地址之间的对应关系。

PCEF会对灰名单中的疑似非法代理服务器进行持续监控，从而进一步定性疑似非法代理服务器。

PCEF监控所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值，也就是基于疑似非法代理服务器IP的免费流量与总流量的比值；

PCEF将预置时间段内所述流量占比高于第一预置阈值的疑似非法代理服务器的IP地址转移到黑名单中，所述黑名单中包含所述免费网址与非法代理服务器的IP地址之间的对应关系。

将预置时间段内所述流量占比低于第二预置阈值的疑似非法代理服务器的IP地址转移到所述白名单中。

第一预置阈值和第二预置阈值都可以是预先设置的值，第一预置阈值和第二预置阈值可以根据需求动态调整。

PCEF持续监测灰名单中的各IP地址下的流量，记录免费流量/总流量的流量占比，若高于预先配置的黑名单阈值，如90％，也就是第一预置阈值，则将则将流量占比高于90％的IP地址转移到黑名单列表中。若低于预先配置的白名单阈值，如50％，也就是第二预置阈值，则将流量占比低于50％IP地址转移到白名单列表中。

例如：如图3所示，PCEF监控到灰名单中某个IP地址下的流量占比高于第一预置阈值，说明该IP地址对应的疑似非法代理服务器为非法代理服务器，则将该IP地址转移到黑名单中，针对黑名单中的IP地址可以输入计费防欺诈系统进行处理，还可以针对这些IP地址对应的服务器进行追根溯源，追究设置这些非法代理服务器的人员的法律责任。PCEF监控到灰名单中某个IP地址下流量占比低于第二预置阈值，说明该IP地址对应的疑似非法代理服务器为合法的代理服务器，则将该IP地址转移到白名单中。

其中，第一预置阈值和第二预置阈值可以根据需求进行调整，对具体数值不做限定。

本发明实施例中可以存在一个自动黑名单的开关，黑名单可以手工配置，也需支持从灰名单自动转化为黑名单。黑名单需要老化，如果预定时间段内黑名单中所标记的非法代理服务器没有业务报文，则从黑名单中删除该非法代理服务器的IP地址，也就是定时刷新黑名单，从黑名单中删除已经失效的IP地址。

以上所描述的实施例都可以准确的识别用于计费欺诈的非法代理，从而有效的阻断计费欺诈。

以上所描述的都是对白名单、灰名单和黑名单的使用，下面介绍白名单、灰名单和黑名单的自适应建立过程：

域名服务器中会存储有预先注册的合法网址和合法服务器的IP地址的对应关系。在自学习建立白名单的过程中，初始状态时白名单列表为空，包括免费网址和合法服务器的IP地址两列。

如图4所示，PCEF从Get/POST/Connect等域名报文中获取合法的网址(URL)，然后根据已存在的免费费率组(Rating Group，RG)确认该合法网址是否属于免费网址，免费RG中包含已注册的所有免费网址。当确认该合法网址为免费网址时，则将该合法网址添加到白名单的免费网址列中。当URL为www.google.com时，得到的白名单如表2所示：

表2：白名单

免费(优惠)网址	合法服务器的IP地址
www.google.com

然后，如图5所示，PCEF通过域名响应报文从域名服务器获取www.google.com与合法服务器的IP地址的对应关系，假设获取到的合法服务器的IP地址为74.125.71.104、173.194.64.199、……。则再将对应的IP地址添加到白名单中，得到如表3所示的白名单。

表3：白名单

这样，重复图4和图5所对应的过程以及表2和表3的添加过程，就可以自动建立白名单。

如果某次请求的URL在免费URL列表中但是对应的IP地址不在IP白名单中，则该IP加入到灰名单。这个过程前面的内容已经有描述，关于灰名单中的内容转移到白名单或者转移到黑名单的过程在前述过程也已经有描述，因此在此处不再重复赘述。

建立黑、白、灰名单后，还可以通知可视化设备判断欺诈的黑白灰名单：

PCEF通知可视化平台每个流是否黑/白/灰名单，源数据中增加一个字段即可。

可视化平台针对灰名单进行统计，基于流量占比和用户占比等找出可疑黑代理。

专业服务通过抓包分析等确认黑代理，把黑名单输入计费防欺诈系统进行处理。

特殊场景下剔除合法服务器IP，部署WAPGW时的IP剔除，正常WAPGW，有免费流量，也有收费流量。通过DNS查询的IP地址与实际目的IP不同，WAPGW IP server进入灰名单，然后判断WAPGW IP的流量占比阈值，对正常WAPGW来说，会有收费流量，因此可以判断是否正常WAPGW。

当用户采用UC、Operamini浏览器访问业务时，用户使用UC浏览有几种情况：

1、不开启云加速，浏览器直接访问ISP；

2、开启云加速，部分业务通过UC的代理服务器进行访问，此时，HOST与IP不同，进入灰名单，通过IP全局流量占比判定。

用户部署了CDN、云端加速等cache类业务，当部署CDN或者云加速，从已有抓包来看，网址就会带有CDN字样，去DNS查询的IP也就是CDN网站的IP。

比如PCEF配置*facebook*免费，用户访问facebook时，携带类似*facebook.CDN.amazon.*的网址(此网址在PCEF可以被识别为免费)，目的IP也就是CDN的IP地址。此时，CDN IP被加入白名单。

对cache类网站，一个IP可以被多个内容使用，若非免费URL使用此IP，在PCEF会被正常计费。

通过可信的DNS报文收集Server IP白名单，识别Proxy代理，避免欺诈产业链通过伪造DNS Server响应报文篡改数据。

本发明实施例中，在配置免费RG列表后，通过在预设时间统计免费流量和总流量占比进行精确定位识别欺诈代理服务器IP，解决了之前运营商不能获取信息的情况。可以根据PCEF自学习的欺诈代理服务器IP在PCEF配置防控动作，如阻塞、回归收费费率、带宽限制等，减低运营商损失。

以上所描述的内容都是以PCEF作为执行主体，或者是以内嵌有PCEF的核心网设备作为执行主体来描述的，实际上，还可以是可视化设备与PCEF配合来完成本发明实施例中的识别计费欺诈的非法代理的过程：

可以是可视化设备建立白名单、灰名单和黑名单，然后PCEF接收到业务报文后，从业务报文中解析出业务报文中携带的目的网址和目的服务器的IP地址，然后PCEF将目的网址和目的服务器的IP地址发送给可视化设备，由可视化设备来识别疑似非法代理服务器，并由可视化设备来进一步监控灰名单疑似非法代理服务器的流量占比，执行灰名单到白名单、灰名单到黑名单之间的内容转移，具体过程和上述PCEF所执行的过程基本相同，此处不再做过多的介绍。

可视化设备还可以根据免费RG，统计免费流量的TOP N Server IP。可视化平台支持配置免费网址列表、可信域名列表，通过DNS学习免费IP白名单。免费流量的TOP Server IP 除去IP白名单后，其余视为灰名单。可视化平台同时统计每个Server IP的免费流量、总流量、免费流量占比，支持根据自定义免费流量阈值、免费流量占比阈值从灰名单中输出疑似欺诈的IP黑名单列表，当然灰名单中的IP，可能是正常Proxy，比如UC浏览器，也可能是欺诈Proxy的IP地址。对于欺诈Proxy，其绝大部分流量都是免费流量，可以从免费流量占比初步判断欺诈IP，对于欺诈Proxy IP，可以进一步钻取欺诈的Top用户。该报表可以进行即时查询、定时任务查询和发送，服务人员可以基于该报表进一步指定黑名单/灰名单IP进行抓包分析，以确定欺诈行为和欺诈手段。

在可视化设备上可以展现PCEF上识别和控制的效果给运营商。

现有技术是通过人工识别、手动配置欺诈代理服务器IP再配置防控动作。与现有技术相比，本实施例引入了新的识别计费欺诈的方式----自动识别欺诈的代理服务器IP，可实现计费欺诈防控的自动化闭环。

可视化设备上可以配置可信DNS服务器的IP地址，可以是运营商提供，也可以在网关上查询DNS配置，配置免费网址URL列表，比如现网facebook为免费，则配置“*.facebook.*”。

初始，IP白名单为空。

源数据中满足以下3个条件：则将DNS TLV中的IP列表保存到IP白名单中；

a、源数据中Server IP是可信DNS服务器IP；

b、协议类型是DNS；

c、DNS TLV中DNS host和免费URL能够匹配；

另外可视化平台可以直接配置IP白名单，以适应网关配置L3/L4层免费规则的场景。

本发明实施例中，通过可信的DNS报文收集Server IP白名单，识别Proxy代理，避免欺诈产业链通过伪造DNS Server响应报文篡改数据。

在配置免费RG列表后，通过分流用户和server IP给定时间统计免费流量和总流量占比进行精确定位识别欺诈代理服务器IP，解决了之前运营商不能获取信息的情况。

可视化平台可指示PCEF自学习的欺诈代理服务器IP列表，并且配置防控动作。

可视化平台在PCEF上采集计费信息的原始诉求并不是来源于计费防欺诈，而是给运营商提供用户访问业务的分布情况，计费防欺诈依赖于原有上报数据，通过可视化平台的处理闭环自学习欺诈代理服务器，最大程度的利用了已有组网和业务层次架构，易于部署。

本实施例引入了新的识别计费欺诈的方式----自动识别欺诈的代理服务器IP，可实现计费欺诈防控的自动化闭环。而且本发明实施例提供的识别计费欺诈的非法代理的系统还具有以下优点：

适用广：不管真实业务数据隐藏在什么位置，都不会影响欺诈服务器IP的判断和识别，适用范围较广。

自动学习：在配置免费业务RG列表后，通过匹配免费RG的欺诈代理服务器的IP地址不需要手工配置，由设备自学习获得，适应欺诈代理服务器IP动态变化的特点，提升了可维护性。

参阅图6，本发明实施例提供的识别计费欺诈的非法代理的方法的一实施例包括：

101、核心网设备获取业务报文中携带的目的网址URL和目的服务器的IP地址。

102、所述核心网设备从预先建立的白名单中查找与所述目的网址对应的服务器的IP地址，所述白名单中包含免费网址与合法服务器的IP地址的对应关系。

103、当与所述目的网址对应的服务器的IP地址中不包含所述目的服务器的IP地址时，所述核心网设备识别所述目的服务器为疑似非法代理服务器。

本发明实施例提供一种识别计费欺诈的非法代理的方法，可以准确的识别用于计费欺诈的非法代理，从而有效的阻断计费欺诈。

可选地，在上述图6对应的实施例的基础上，本发明实施例提供的识别计费欺诈的非法代理的方法的第一个可选实施例中，所述核心网设备识别所述目的服务器为疑似非法代理服务器之后，所述方法还可以包括：

可选地，在上述识别计费欺诈的非法代理的方法的第一个可选实施例的基础上，本发明实施例提供的识别计费欺诈的非法代理的方法的第二个可选实施例中，

可选地，在上述识别计费欺诈的非法代理的方法的第一个可选实施例的基础上，本发明实施例提供的识别计费欺诈的非法代理的方法的第三个可选实施例中，

可选地，在上述识别计费欺诈的非法代理的方法的任一实施例的基础上，本发明实施例提供的识别计费欺诈的非法代理的方法的第四个可选实施例中，所述方法还包括

所述核心网设备获取域名报文的合法网址；

可选地，在上述识别计费欺诈的非法代理的方法的任一实施例的基础上，本发明实施例提供的识别计费欺诈的非法代理的方法的第五个可选实施例中，所述核心网设备识别所述目的服务器为疑似非法代理服务器之后，所述方法还可以包括：

图6对应的实施例或任一可选实施例可以参阅图1至图5部分的描述进行理解，此处不再重复赘述。

参阅图7，本发明实施例提供的核心网设备30的一实施例包括：

获取单元301，用于获取业务报文中携带的目的网址和目的服务器的IP地址；

查找单元302，用于从预先建立的白名单中查找与所述获取单元301获取的所述目的网址对应的服务器的IP地址，所述白名单中包含免费网址与合法服务器的IP地址的对应关系；

识别单元303，用于当与所述查找单元302查找到的所述目的网址对应的服务器的IP地址中不包含所述目的服务器的IP地址时，识别所述目的服务器为疑似非法代理服务器。

本发明实施例中，获取单元301获取业务报文中携带的目的网址和目的服务器的IP地址；查找单元302从预先建立的白名单中查找与所述获取单元301获取的所述目的网址对应的服务器的IP地址，所述白名单中包含免费网址与合法服务器的IP地址的对应关系；识别单元303当与所述查找单元302查找到的所述目的网址对应的服务器的IP地址中不包含所述目的服务器的IP地址时，识别所述目的服务器为疑似非法代理服务器。本发明实施例提供的核心网设备可以准确的识别用于计费欺诈的非法代理，从而有效的阻断计费欺诈。

可选地，在上述图7对应的实施例的基础上，参阅图8，本发明实施例提供的核心网设备30的第一个可选实施例中，所述核心网设备30还包括：

第一添加单元304，用于在所述识别单元303识别所述目的服务器为疑似非法代理服务器之后，将所述目的服务器的IP地址添加到灰名单中，所述灰名单中包含所述免费网址与所述疑似非法代理服务器的IP地址之间的对应关系。

可选地，在上述图8对应的实施例的基础上，参阅图9，本发明实施例提供的核心网设备30的第二个可选实施例中，所述核心网设备30还包括：

第一监控单元305，用于监控所述第一添加单元304添加到所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值；

第一转移单元306，用于将预置时间段内所述第一监控单元305监控的流量占比高于第一预置阈值的疑似非法代理服务器的IP地址转移到黑名单中，所述黑名单中包含所述免费网址与非法代理服务器的IP地址之间的对应关系。

可选地，在上述图8对应的实施例的基础上，参阅图10，本发明实施例提供的核心网设备30的第三个可选实施例中，所述核心网设备30还包括：

第二监控单元307，用于监控所述第一添加单元304添加到所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值；

第二转移单元308，用于将预置时间段内所述第二监控单元307监控的流量占比低于第二预置阈值的疑似非法代理服务器的IP地址转移到所述白名单中。

可选地，在上述图7对应的实施例的基础上，参阅图11，本发明实施例提供的核心网设备30的第四个可选实施例中，所述核心网设备还包括：第二添加单元309，

所述获取单元301，还用于获取域名报文的合法网址，当所述合法网址为免费网址时，从域名服务器发送的域名响应报文中获取与所述合法网址对应的合法服务器的IP地址；

所述第二添加单元309，用于将所述获取单元301获取所述合法网址和所述获取单元获取的所述对应的合法服务器的IP地址对应的添加到所述白名单中。

可选地，在上述图7对应的实施例的基础上，参阅图12，本发明实施例提供的核心网设备30的第五个可选实施例中，所述核心网设备30还包括：

处理单元311，用于在所述识别单元303识别出所述目的服务器为疑似非法代理服务器之后，根据针对非法代理的防控策略，处理所述业务报文。

图13是本发明实施例提供的核心网设备30的结构示意图。所述核心网设备30包括处理器310、存储器350和输入/输出I/O设备330，存储器350可以包括只读存储器和随机存取存储器，并向处理器310提供操作指令和数据。存储器350的一部分还可以包括非易失性随机存取存储器(NVRAM)。

在一些实施方式中，存储器350存储了如下的元素，可执行模块或者数据结构，或者他们的子集，或者他们的扩展集:

在本发明实施例中，通过调用存储器350存储的操作指令(该操作指令可存储在操作系统中)，

获取业务报文中携带的目的网址和目的服务器的IP地址；

本发明实施例提供的核心网设备，可以准确的识别用于计费欺诈的非法代理，从而有效的阻断计费欺诈。

处理器310控制核心网设备30的操作，处理器310还可以称为CPU(Central Processing Unit，中央处理单元)。存储器350可以包括只读存储器和随机存取存储器，并向处理器310提供指令和数据。存储器350的一部分还可以包括非易失性随机存取存储器(NVRAM)。具体的应用中核心网设备30的各个组件通过总线系统320耦合在一起，其中总线系统320除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图中将各种总线都标为总线系统320。

上述本发明实施例揭示的方法可以应用于处理器310中，或者由处理器310实现。处理器310可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器310中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器310可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器350，处理器310读取存储器350中的信息，结合其硬件完成上述方法的步骤。

可选地，处理器310还用于将所述目的服务器的IP地址添加到灰名单中，所述灰名单中包含所述免费网址与所述疑似非法代理服务器的IP地址之间的对应关系。

可选地，处理器310还用于：

监控所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值；

将预置时间段内所述流量占比高于第一预置阈值的疑似非法代理服务器的IP地址转移到黑名单中，所述黑名单中包含所述免费网址与非法代理服务器的IP地址之间的对应关系。

可选地，处理器310还用于：

获取域名报文的合法网址；

当所述合法网址为免费网址时，从域名服务器发送的域名响应报文中获取与所述合法网址对应的合法服务器的IP地址；

将所述合法网址和所述对应的合法服务器的IP地址对应的添加到所述白名单中。

可选地，处理器310还用于根据针对非法代理的防控策略，处理所述业务报文。

以上的核心网设备30可以参阅图1至图6部分的描述进行理解，本处不做过多赘述。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：ROM、RAM、磁盘或光盘等。

以上对本发明实施例所提供的识别计费欺诈的非法代理的方法、设备以及系统进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

一种识别计费欺诈的非法代理的方法，其特征在于，包括：

核心网设备获取业务报文中携带的目的网址URL和目的服务器的IP地址；

所述核心网设备从预先建立的白名单中查找与所述目的网址对应的服务器的IP地址，所述白名单中包含免费网址与合法服务器的IP地址的对应关系；

当与所述目的网址对应的服务器的IP地址中不包含所述目的服务器的IP地址时，所述核心网设备识别所述目的服务器为疑似非法代理服务器。
根据权利要求1所述的方法，其特征在于，所述核心网设备识别所述目的服务器为疑似非法代理服务器之后，所述方法还包括：

所述核心网设备将所述目的服务器的IP地址添加到灰名单中，所述灰名单中包含所述免费网址与所述疑似非法代理服务器的IP地址之间的对应关系。
根据权利要求2所述的方法，其特征在于，所述方法还包括：

所述核心网设备监控所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值；

所述核心网设备将预置时间段内所述流量占比高于第一预置阈值的疑似非法代理服务器的IP地址转移到黑名单中，所述黑名单中包含所述免费网址与非法代理服务器的IP地址之间的对应关系。
根据权利要求2所述的方法，其特征在于，所述方法还包括：

所述核心网设备监控所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值；

所述核心网设备将预置时间段内所述流量占比低于第二预置阈值的疑似非法代理服务器的IP地址转移到所述白名单中。
根据权利要求1-4任一所述的方法，其特征在于，所述方法还包括

所述核心网设备获取域名报文的合法网址；

当所述合法网址为免费网址时，所述核心网设备从域名服务器发送的域名响应报文中获取与所述合法网址对应的合法服务器的IP地址；

所述核心网设备将所述合法网址和所述对应的合法服务器的IP地址对应的添加到所述白名单中。
根据权利要求1-4任一所述的方法，其特征在于，所述核心网设备识别所述目的服务器为疑似非法代理服务器之后，所述方法还包括：

所述核心网设备根据针对非法代理的防控策略，处理所述业务报文。
一种核心网设备，其特征在于，包括：

获取单元，用于获取业务报文中携带的目的网址URL和目的服务器的IP地址；

查找单元，用于从预先建立的白名单中查找与所述获取单元获取的所述目的网址对应的服务器的IP地址，所述白名单中包含免费网址与合法服务器的IP地址的对应关系；

识别单元，用于当与所述查找单元查找到的所述目的网址对应的服务器的IP地址中不包含所述目的服务器的IP地址时，识别所述目的服务器为疑似非法代理服务器。
根据权利要求7所述的核心网设备，其特征在于，所述核心网设备还包括：

第一添加单元，用于在所述识别单元识别所述目的服务器为疑似非法代理服务器之后，将所述目的服务器的IP地址添加到灰名单中，所述灰名单中包含所述免费网址与所述疑似非法代理服务器的IP地址之间的对应关系。
根据权利要求8所述的核心网设备，其特征在于，所述核心网设备还包括：

第一监控单元，用于监控所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值；

第一转移单元，用于将预置时间段内所述第一监控单元监控的流量占比高于第一预置阈值的疑似非法代理服务器的IP地址转移到黑名单中，所述黑名单中包含所述免费网址与非法代理服务器的IP地址之间的对应关系。
根据权利要求8所述的核心网设备，其特征在于，所述核心网设备还包括：

第二监控单元，用于监控所述灰名单中的疑似非法代理服务器的流量占比，所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值；

第二转移单元，用于将预置时间段内所述第二监控单元监控的流量占比低于第二预置阈值的疑似非法代理服务器的IP地址转移到所述白名单中。
根据权利要求7-10任一所述的核心网设备，其特征在于，所述核心网设备还包括：第二添加单元，

所述获取单元，还用于获取域名报文的合法网址，当所述合法网址为免费网址时，从域名服务器发送的域名响应报文中获取与所述合法网址对应的合法服务器的IP地址；

所述第二添加单元，用于将所述获取单元获取所述合法网址和所述获取单元获取的所述对应的合法服务器的IP地址对应的添加到所述白名单中。
根据权利要求7-10任一所述的核心网设备，其特征在于，所述核心网设备还包括：

处理单元，用于在所述识别单元识别出所述目的服务器为疑似非法代理服务器之后，根据针对非法代理的防控策略，处理所述业务报文。
一种识别计费欺诈的非法代理的系统，其特征在于，包括：计费执行功能实体PCEF和域名服务器，

所述PCEF为上述权利要求7-12任一所述的核心网设备。
一种识别计费欺诈的非法代理的系统，其特征在于，包括：计费执行功能实体PCEF、可视化设备和域名服务器，

所述可视化设备上述权利要求7-12任一所述的核心网设备。