一种基于客户端行为识别网络共享的方法和系统的制作方法

一种基于客户端行为识别网络共享的方法和系统的制作方法
【专利摘要】一种基于客户端行为识别网络共享的方法和系统，本发明公开了一种基于客户端行为识别网络共享的方法，包括：步骤1：基于操作系统和应用程序自身对DNS的规律性访问行为特征建立终端特征库；步骤2：获取包含用户终端的操作系统和应用程度对DNS的访问数据的网络访问数据；步骤3：基于以上网络访问数据识别某一时间段内同一账号的宽带用户或者同一IP下的操作系统和应用程序的规律性访问行为特征；步骤4：基于以上规律性访问行为特征和终端特征库区分同一时刻内同一账号的宽带用户或者同一IP下的终端数量，并判断出存在私接网络共享的账号。本发明结合记录的用户使用DNS的行为，配合认证实现单一用户多个接入终端的识别，进一步指导业务决策和运维支撑。
【专利说明】-种基于客户端行为识别网络共享的方法和系统

【技术领域】
[0001] 本发明属于一种基于客户端行为识别网络共享的方法和系统。

【背景技术】
[0002] 随着计算机技术的快速发展，网络日益成为人们日常生活的一部分。然而，在网络 普及的过程中，出现了一个现象：在实际的宽带接入中存在着大量的非法连接用户，即私接 用户。例如，一个用户通过路由器级联或者建立无线热点使得多个用户可以利用其进行上 网、办公等，这种现象在当下社会非常普遍，如校园、小区等，蔓延速度迅速。直接导致接入 商投入的巨额基础建设费用难以正常回收。
[0003] 对任何一个运营商来说，都希望做到一对一的宽带级联，或者说是宽带费用的规 范化。在规范收费与服务的同时，需要采取一种强有力的措施来予以配合，对这种错误趋势 的泛滥加以引导，成为运营商开辟新天地的用户基础。
[0004] 目前社会上采用城域网出口分光的方式实现宽带用户防私接成本越来越高，并且 需要根据出口带宽的扩容和上行链路10-40-100G变化，不断进行投资扩容；同时由于分光 方式涉及更多安全问题，通讯中所有明文信息可以全部被识别和利用，存在非常大的安全 隐患。


【发明内容】

[0005] 本发明所要解决的技术问题是克服现有的基于城域网出口分光的方式实现宽带 用户防私接的缺点，为此，提供了一种基于客户端行为识别网络共享的方法和系统。
[0006] 本发明解决上述技术问题所采取的技术方案如下：
[0007] -种基于客户端行为识别网络共享的方法，包括：
[0008] 步骤1 :基于操作系统和应用程序自身对DNS的规律性访问行为特征建立终端特 征库；
[0009] 步骤2 :获取包含用户终端的操作系统和应用程度对DNS的访问数据的网络访问 数据；
[0010] 步骤3 :基于以上网络访问数据识别某一时间段内同一账号的宽带用户或者同一 IP下的操作系统和应用程序的访问行为特征；
[0011] 步骤4:基于以上访问行为特征和终端特征库区分同一时刻内同一账号的宽带用 户或者同一 IP下的终端数量，并判断出存在私接网络共享的账号。
[0012] 进一步地，优选的是，基于操作系统和应用程序自身对DNS的访问行为特征建立 终端特征库，包括：
[0013] 统计主流操作系统和主流应用程序自身在不同事件中对DNS的访问特征，根据以 上访问特征建立终端特征库。
[0014] 进一步地，优选的是，获取包含用户终端的操作系统和应用程度对DNS的访问数 据的网络访问数据，包括：
[0015] 获取用户对网络访问的全网流量数据；
[0016] 通过RADIUS日志信息识别用户账号上线使用的ip地址；
[0017] 根据所述用户账号、相同IP地址识别出某一个用户账号或者IP地址对DNS的访 问数据。
[0018] 进一步地，优选的是，基于以上访问行为特征和终端特征库区分同一时刻内同一 账号的宽带用户或者同一 IP下的终端数量，包括：
[0019] 根据网络数据包的数据包特征识别PC终端和移动终端；
[0020] 基于终端特征库和网络数据包识别终端操作系统启动或新接入网络的开始行 为；
[0021] 基于应用程序的规律行为，识别一个终端从开启或接入网络到应用程序规律性行 为中断的关机或离线行为；
[0022] 根据同时在线的规律性行为和终端系统特征，确认该用户实际拥有的终端数量。
[0023] -种基于客户端行为识别网络共享的系统，包括：
[0024] 特征库构建单元，基于操作系统和应用程序自身对DNS的规律性访问行为特征建 立终％5特征库；
[0025] 网络访问数据获取单元，获取包含用户终端的操作系统和应用程度对DNS的访问 数据的网络访问数据；
[0026] 用户识别单元，基于以上网络访问数据识别某一时间段内同一账号的宽带用户或 者同一 IP下的操作系统和应用程序的访问行为特征；
[0027] 网络共享识别单元，基于以上访问行为特征和终端特征库区分同一时刻内同一账 号的宽带用户或者同一 IP下的终端数量，并判断出存在私接网络共享的账号。
[0028] 进一步地，优选的是，所述特征库构建单元，基于操作系统和应用程序自身对DNS 的访问行为特征建立终端特征库，包括：
[0029] 统计主流操作系统和主流应用程序自身在不同事件中对DNS的访问特征，根据以 上访问特征建立终端特征库。
[0030] 进一步地，优选的是，所述网络访问数据获取单元，获取包含用户终端的操作系统 和应用程度对DNS的访问数据的网络访问数据，包括：
[0031] 获取用户对网络访问的全网流量数据；
[0032] 通过RADIUS日志信息识别用户账号上线使用的ip地址；
[0033] 根据所述用户账号、相同IP地址识别出某一个用户账号或者IP地址对DNS的访 问数据。
[0034] 进一步地，优选的是，所述网络共享识别单元，基于以上访问行为特征和终端特征 库区分同一时刻内同一账号的宽带用户或者同一 IP下的终端数量，包括：
[0035] 根据网络数据包的数据包特征识别PC终端和移动终端；
[0036] 基于终端特征库和网络数据包识别终端操作系统启动或新接入网络的开始行 为；
[0037] 基于应用程序的规律行为，识别一个终端从开启或接入网络到应用程序规律性行 为中断的关机或离线行为；
[0038] 根据同时在线的规律性行为和终端系统特征，确认该用户实际拥有的终端数量。
[0039] 本发明采取了上述方案以后，通过基于操作系统和应用程序自身对DNS的规律性 访问行为特征建立终端特征库，并结合记录的用户使用DNS的行为，配合认证实现单一用 户多个接入终端的识别，识别出存在私接的账号列表，更进一步指导业务决策和运维支撑。
[0040] 本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变 得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、以及附图中所特别指出的结构来实现和获得。

【专利附图】

【附图说明】
[0041] 下面结合附图对本发明进行详细的描述，以使得本发明的上述优点更加明确。其 中，
[0042] 图1是本发明基于客户端行为识别网络共享的方法的流程示意图；
[0043] 图2是本发明基于客户端行为识别网络共享的系统的结构示意图。

【具体实施方式】
[0044] 以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用 技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。需要说明 的是，只要不构成冲突，本发明中的各个实施例以及各实施例中的各个特征可以相互结合， 所形成的技术方案均在本发明的保护范围之内。
[0045] 另外，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系 统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处 的顺序执行所示出或描述的步骤。
[0046] 实施例一：
[0047] 具体来说，如图1所示，本发明基于客户端行为识别网络共享的方法，包括：步 骤1 :基于操作系统和应用程序自身对DNS的规律性访问行为特征建立终端特征库，例如： Windows操作系统开机上线会访问dns.msftncsi.com这个域名；360安全卫士，启动时，会 在5秒内完成请求下列域名：
[0048] safe, matrix, uc. 360. cn
[0049] u. qurl. f. 360. cn
[0050] tconf. f. 360. cn
[0051] qurl. f. 360. cn
[0052] tconf2. f. 360. cn
[0053] s. conf. wsm. 360. cn
[0054] md. openapi. 360. cn
[0055] 在运行过程中，腾讯电脑管家，会每小时向masterconnll. qq. com产生一次域名 请求；360安全系列，每小时会向updatem. 360safe. com产生一次域名请求，而每一台电脑 一般仅仅会安装一个操作系统，相同版本的软件也只能安装一个，因此，若能够基于以上特 征构建终端特征库，即可作为区分终端数量的标准。
[0056] 统计主流操作系统和主流应用程序自身在不同事件中对DNS的访问特征，根据以 上访问特征建立终端特征库。
[0057] 步骤2 :获取包含用户终端的操作系统和应用程度对DNS的访问数据的网络访问 数据；实施例中，主要是运营商服务器侧，其能够获取到以上对DNS访问的网络数据；或者， 利用镜像服务器从主干网络镜像数据访问流量，并进行数据挖掘分析，以获取以上网络访 问数据；
[0058] 步骤3 :基于以上网络访问数据识别某一时间段内同一账号的宽带用户或者同一 IP下的操作系统和应用程序的访问行为特征；
[0059] 也即时说，基于账号/IP地址，统计某一个时间段内的操作系统和应用程序的访 问行为特征。
[0060] 步骤4:基于以上访问行为特征和终端特征库区分同一时刻内同一账号的宽带用 户或者同一 IP下的终端数量，并判断出存在私接网络共享的账号。
[0061] 例如，在实施例中，以账号作为基准，获得了以下数据，从中可以简单地判断，这个 用户下至少有51个终端通过以上账号连接。
[0062]

【权利要求】
1. 一种基于客户端行为识别网络共享的方法，其特征在于，包括： 步骤1 :基于操作系统和应用程序自身对DNS的规律性访问行为特征建立终端特征 库； 步骤2 :获取包含用户终端的操作系统和应用程度对DNS的访问数据的网络访问数 据； 步骤3:基于以上网络访问数据识别某一时间段内同一账号的宽带用户或者同一 IP下 的操作系统和应用程序的访问行为特征； 步骤4:基于以上访问行为特征和终端特征库区分同一时刻内同一账号的宽带用户或 者同一 IP下的终端数量，并判断出存在私接网络共享的账号。
2. 根据权利要求1所述的基于客户端行为识别网络共享的方法，其特征在于，基于操 作系统和应用程序自身对DNS的访问行为特征建立终端特征库，包括： 统计主流操作系统和主流应用程序自身在不同事件中对DNS的访问特征，根据以上访 问特征建立终端特征库。
3. 根据权利要求1或2所述的基于客户端行为识别网络共享的方法，其特征在于，获取 包含用户终端的操作系统和应用程度对DNS的访问数据的网络访问数据，包括 ： 获取用户对网络访问的全网流量数据； 通过RADIUS日志信息识别用户账号上线使用的ip地址； 根据所述用户账号、相同IP地址识别出某一个用户账号或者IP地址对DNS的访问数 据。
4. 根据权利要求1或2所述的基于客户端行为识别网络共享的方法，其特征在于，基于 以上访问行为特征和终端特征库区分同一时刻内同一账号的宽带用户或者同一 IP下的终 端数量，包括： 根据网络数据包的数据包特征识别PC终端和移动终端； 基于终端特征库和网络数据包识别终端操作系统启动或新接入网络的开始行为； 基于应用程序的规律行为，识别一个终端从开启或接入网络到应用程序规律性行为中 断的关机或离线行为； 根据同时在线的规律性行为和终端系统特征，确认该用户实际拥有的终端数量。
5. -种基于客户端行为识别网络共享的系统，其特征在于，包括： 特征库构建单元，基于操作系统和应用程序自身对DNS的规律性访问行为特征建立终 夂而特征库； 网络访问数据获取单元，获取包含用户终端的操作系统和应用程度对DNS的访问数据 的网络访问数据； 用户识别单元，基于以上网络访问数据识别某一时间段内同一账号的宽带用户或者同 一 IP下的操作系统和应用程序的访问行为特征； 网络共享识别单元，基于以上访问行为特征和终端特征库区分同一时刻内同一账号的 宽带用户或者同一 IP下的终端数量，并判断出存在私接网络共享的账号。
6. 根据权利要求5所述的基于客户端行为识别网络共享的系统，其特征在于，所述特 征库构建单元，基于操作系统和应用程序自身对DNS的访问行为特征建立终端特征库，包 括： 统计主流操作系统和主流应用程序自身在不同事件中对DNS的访问特征，根据以上访 问特征建立终端特征库。
7. 根据权利要求5或6所述的基于客户端行为识别网络共享的系统，其特征在于，所述 网络访问数据获取单元，获取包含用户终端的操作系统和应用程度对DNS的访问数据的网 络访问数据，包括： 获取用户对网络访问的全网流量数据； 通过RADIUS日志信息识别用户账号上线使用的ip地址； 根据所述用户账号、相同IP地址识别出某一个用户账号或者IP地址对DNS的访问数 据。
8. 根据权利要求5或6所述的基于客户端行为识别网络共享的系统，其特征在于，所述 网络共享识别单元，基于以上访问行为特征和终端特征库区分同一时刻内同一账号的宽带 用户或者同一 IP下的终端数量，包括： 根据网络数据包的数据包特征识别PC终端和移动终端； 基于终端特征库和网络数据包识别终端操作系统启动或新接入网络的开始行为； 基于应用程序的规律行为，识别一个终端从开启或接入网络到应用程序规律性行为中 断的关机或离线行为； 根据同时在线的规律性行为和终端系统特征，确认该用户实际拥有的终端数量。
【文档编号】H04L29/08GK104243618SQ201410549766
【公开日】2014年12月24日 申请日期:2014年10月17日 优先权日:2014年7月2日
【发明者】王立俊, 丁文涛 申请人:北京润通丰华科技有限公司