用于识别宽带违规接入的方法和装置与流程

1.本公开总体上涉及宽带接入，更具体地涉及一种用于识别宽带违规接入的方法、装置和计算机可读存储介质。


背景技术：

2.由于互联网上的内容大多数都是在一级运营商(诸如中国电信、中国联通)的骨干网上(即，在一级运营商及其合作商的机房中)，其他的二级运营商(诸如广电有线运营商和其他民营运营商)都有着与一级运营商互联互通的需求，并向一级运用上支付费用。在目前的中国互联网架构中，一级运营商是骨干网运营商，它们之间的互联互通不需要相互支付费用，而其他的二级或三级运营商在与一级运营商的骨干网接入都需要支付较为昂贵的互联互通费用。很多第三方公司从一级运营商处购买接入带宽，但是并不自己使用，而是转卖给其它运营商赚取差价。
3.第三方公司从一级运营商购买大带宽后转卖给其它运营商，这种方式违反了现行通信行业法规，在一定范围内造成不正当市场竞争，扰乱了通信市场秩序。由于第三方公司在一级运营商处购买带宽的门槛较低，又很难通过事前的资料审核进行判断，需要突破传统检测技术。
4.目前，现有技术的一种思路是通过对特定应用报文内容进行识别，来确定宽带违规接入行为的发生。所述识别例如可以包括统计特定应用的累积使用账号数量，统计特定应用的累积账号登录次数，或者统计网络地址转换(nat)系统的并发nat会话数量。


技术实现要素：

5.在下文中给出了关于本公开的简要概述，以便提供关于本公开的一些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。
6.根据本公开的一个方面，提供了一种用于识别宽带违规接入的方法，包括：由计算终端从核心路由器获取来自与特定用户关联的源ip地址的get方式的http请求报文；由所述计算终端对所获取的http请求报文进行分析以统计单位时间内所述http请求报文中包含的不同目的ip地址的数量；由所述计算终端将所述不同目的ip地址的数量与阈值进行比较；以及响应于确定所述不同目的ip地址的数量大于阈值，所述计算终端识别出所述特定用户有宽带违规接入行为。
7.根据本公开的另一个方面，提供了一种用于识别宽带违规接入的装置，包括其上存储有指令的存储器以及处理器。该处理器被配置为执行存储在所述存储器上的指令以执行：由该装置从核心路由器获取来自与特定用户关联的源ip地址的get方式的http请求报文；由所述装置对所获取的http请求报文进行分析以统计单位时间内所述http请求报文中包含的不同目的ip地址的数量；由所述装置将所述不同目的ip地址的数量与阈值进行比
较；以及响应于确定所述不同目的ip地址的数量大于阈值，所述装置识别出所述特定用户有宽带违规接入行为。
8.根据本公开的又一个方面，提供了一种计算机可读存储介质，其包括计算机可执行指令，所述计算机可执行指令在由一个或多个处理器执行时，使得所述一个或多个处理器执行根据本公开的上述方面所述的方法。
附图说明
9.构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。
10.参照附图，根据下面的详细描述，可以更清楚地理解本公开，其中：
11.图1示出了根据本发明的一个实施例的用于识别宽带违规接入的方法的流程图；
12.图2示出了根据本公开的一个实施例的对用户的流量进行镜像操作的示意图；
13.图3示出了对单台主机的接入点进行根据本公开的实施例的检测得到的结果的示例；
14.图4示出了对大带宽用户的接入点进行根据本公开的实施例的检测得到的结果的示例；
15.图5示出了对另一大带宽用户的接入点进行根据本公开的实施例的检测得到的结果的示例；以及
16.图6示出了可以实现根据本公开的实施例的计算设备的示例性配置。
具体实施方式
17.参考附图进行以下详细描述，并且提供以下详细描述以帮助全面理解本公开的各种示例实施例。以下描述包括各种细节以帮助理解，但是这些细节仅被认为是示例，而不是为了限制本公开，本公开是由随附权利要求及其等同内容限定的。在以下描述中使用的词语和短语仅用于能够清楚一致地理解本公开。另外，为了清楚和简洁起见，可能省略了对公知的结构、功能和配置的描述。本领域普通技术人员将认识到，在不脱离本公开的精神和范围的情况下，可以对本文描述的示例进行各种改变和修改。
18.本发明的发明人发现现有技术使用的宽带违规接入识别技术存在一定局限性。例如，当统计特定应用的使用账号数量或者账号登录次数并以此作为判断依据时，由于互联网的用户众多，无法统一要统计的特定应用，即使是常见应用也可能存在统计偏差。例如，存在宽带违规接入行为的用户可能完全不使用被进行统计的一种或多种应用。此外，当统计nat会话数量并以此作为判断依据时，不容易得到用户的nat会话数量，并且可以通过nat设备或第三方软件修改特定字段以达到规避检查的目的。所以如何解决检测的普遍性以及防止篡改字段来规避检查是本发明的课题。
19.基于此，发明人提出了本发明。本发明是聚焦于电信带宽违规私接，基于用户行为的大数据分析，自动识别违规接入行为，从技术上实现了对宽带违规接入的有效监控。
20.现在参看图1，图1示出了根据本发明的一个实施例的用于识别宽带违规接入的方法100的流程图。该方法100例如由图6所述的计算设备1200执行。该方法100可以包括http请求报文获取步骤110、ip地址统计步骤120、比较步骤130、以及违规接入识别步骤140。
21.方法100开始于http请求报文获取步骤110。在http请求报文获取步骤110中，由计算终端从核心路由器获取来自与特定用户关联的源ip地址的get方式的http请求报文。根据本公开的一个实施例，所述计算终端可以通过网线被连接到城域网机房的核心路由器。该计算终端例如可以被部署在大带宽上层的城域网机房中作为监控终端，从而使用单台终端就可以覆盖更多的用户接入点。具体地，在一个例子中，可以将该计算终端的网线连接到城域网机房的核心出口路由器的千兆网线接口上。
22.在这里，获取的是get方式的http请求报文。这样的请求可被缓存并且只用于取回数据。根据本公开的一个实施例，http请求报文获取步骤110可以包括：通过对所述核心路由器进行命令配置来实现http协议流量的镜像，针对所述源ip地址，通过策略将get方式的http请求报文镜像至所述计算终端。根据本公开的一个实施例，http协议下的http请求报文例如可以使用80端口来传送。
23.图2示出了根据本公开的一个实施例的对用户的流量进行镜像操作的示意图。在图2中，用户210接入其本地的路由器(用户接入路由器220)。用户210发出的http请求经由本地路由器220和核心路由器230而被发送到互联网250(参见图2中使用点划线箭头标注的数据流)。根据本公开的一个实施例，通过在运营商的城域网机房中的监控终端240(即，计算终端)处执行用于识别宽带违规接入的方法100的各个步骤来实现本发明。具体地，核心路由器230通过命令配置实现http协议流量的镜像，针对用户的源ip地址，通过策略将get方式的http请求报文镜像至监控终端(参见图2中使用虚线箭头标注的数据流)。由于使用了镜像方式，不会影响用户网络访问操作，用户不会感知http请求报文被获取。根据本公开的一个实施例，对所述核心路由器进行命令配置包括使用双线程实镜像功能。
24.由于get方式的http请求报文较小，实测10万在网用户镜像流量带宽大约在100m左右，因此性能一般的机房监控终端就可以执行根据本发明的实施例的方法100，从而本方案的整体投资几乎为零。
25.现在返回参照图1，在图1的ip地址统计步骤120中，由所述计算终端对所获取的http请求报文进行分析以统计单位时间内所述http请求报文中包含的不同目的ip地址的数量。
26.图3示出了对单台主机的接入点进行根据本公开的实施例的检测得到的结果的示例。从图3中可以看出，该单台主机的接入点在大部分时间统计结果为0，偶尔会出现小于每分钟100个ip地址的数据。这种情况也印证了用户的真实使用情况，即，在大部分间用户没有网页浏览操作，而在偶尔浏览网页的时候，由于大部分主流网站页面链接较多，单个用户在每分钟内访问的不同ip地址大概在几十的数量级。
27.图4示出了对大带宽用户的接入点进行根据本公开的实施例的检测得到的结果的示例。在图4的示例中，该大带宽用户例如具有80台主机。大带宽用户(例如具有80台主机)的接入点在大部分时间的统计结果在大约每分钟300个ip地址。虽然单台主机的贡献值根据经验在大约每分钟30个ip地址，但考虑到浏览网页的时间差和主流网站的重复性，所统计的每分钟的ip地址总数并不是简单的80台主机的数据进行叠加，因此每分钟300个ip地址的数量级应该在合理的范围内。
28.图5示出了对另一大带宽用户的接入点进行根据本公开的实施例的检测得到的结果的示例。为了验证本文提出识别方法的可用性，在新发现的某违规接入大带宽用户的接
入点被关停前进行了测试，结果显示一个源ip地址每分钟访问的目的ip地址(即，网站服务器)的数量在1200个以上。图5中的违规接入大带宽用户同样具有80台主机。从图5中可以看出，与同样带宽和用户数量级的正常大带宽用户(例如，图4中被检测的用户)相比，其访问量是正常访问量的4倍以上。综合考虑用户浏览网页的时间离散程度和主流网站的重复性，保守估计真实用户数至少在1万以上。
29.根据本公开的一个实施例，ip地址统计步骤120可以包括统计多个时段内的所述http请求报文中包含的不同目的ip地址的数量，以及求取所统计的多个时段内的所述http请求报文中包含的不同目的ip地址的数量的中位数。例如，在图4的例子中，连续的三个检测时段的检测结果依次为282、270和314(个/分钟)。此时，多个时段内检测到的ip地址的数量的中位数是282。在图5的例子中，连续的三个检测时段的检测结果依次为1240、1254和1252(个/分钟)。此时，多个时段内检测到的ip地址的数量的中位数是1252。在另一个例子中，也可以求取所统计的多个时段内的http请求报文中包含的不同目的ip地址的数量的平均数，作为判断指标。
30.现在返回参照图1，在图1的比较步骤130中，由所述计算终端将不同目的ip地址的数量与阈值进行比较。根据本公开的一个实施例，所述阈值可以基于与所述特定用户在同节点下的其他同带宽同规模的用户的统计数据确定。例如，可以根据以图4的例子中示出的正常大带宽用户的检测结果确定阈值，从而判断图5的例子中示出的大带宽用户的http访问行为是否异常。
31.根据本公开的一个实施例，所述阈值可以是与所述特定用户在同节点下的其他同带宽同规模的用户的单位时间内的http请求报文中包含的不同目的ip地址的数量的倍数。例如，可以将以图4的例子中示出的正常大带宽用户的检测结果的两倍作为阈值。例如，可以将图4中显示的282、270或314的两倍作为阈值。
32.需要说明的是，这里的两倍仅仅是作为说明的例子，也可以将正常用户的检测结果的三倍或四倍或更高倍数作为阈值，这取决于实际应用经验。此外，阈值可以不必是正常用户的检测结果的整数倍数。
33.尽管在上面的说明中仅利用一个正常用户(图4的示例中的用户)的检测结果来确定阈值。在其他实施例中，可以利用多个正常用户的检测结果来确定阈值。例如，使用多个正常用户的检测结果的平均值的倍数作为阈值。
34.现在返回参照图1，在图1的违规接入识别步骤140中，响应于确定所述不同目的ip地址的数量大于阈值，所述计算终端识别出所述特定用户有宽带违规接入行为。例如，可以将图4的例子中显示的检测结果282的两倍作为阈值。当使用282*2＝564作为阈值时，图5的例子中的用户的检测结果1240、1254和1252都超过了该阈值，从而可以确定图5的例子中的用户涉嫌宽带违规接入。根据一个实施例，在一个用户的任一检测结果超过阈值的情况下，可以确定该用户可能具有宽带违规接入行为。
35.根据本公开的一个实施例，将所述不同目的ip地址的数量与阈值进行比较可以包括将所述中位数与所述阈值进行比较。在利用图4和图5中的例子进行说明的情况下，图5的例子中的用户的检测结果的中位数1252超过了阈值564，从而可以确定图5的例子中的用户涉嫌宽带违规接入。
36.根据本公开的一个实施例，方法100还可以包括将与所述特定用户关联的统计数
据和分析结果以列表或图表的形式呈现。该呈现可以在监控终端240上实现。也可以通过网络由监控终端240将所述特定用户关联的统计数据和分析结果发送到其它终端或服务器上以用于呈现，从而可以为管理部门提供一个统一、直观的结果展现。根据本公开的一个实施例，所述呈现例如可以使用echart组件来实现，从而方便监管部门的查看和统计。
37.本发明可以是装置、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。
38.根据本发明的一个实施例，提供了一种用于识别宽带违规接入的装置，包括其上存储有指令的存储器以及处理器。该处理器被配置为执行存储在所述存储器上的指令以执行：由该装置从核心路由器获取来自与特定用户关联的源ip地址的get方式的http请求报文；由所述装置对所获取的http请求报文进行分析以统计单位时间内所述http请求报文中包含的不同目的ip地址的数量；由所述装置将所述不同目的ip地址的数量与阈值进行比较；以及响应于确定所述不同目的ip地址的数量大于阈值，所述装置识别出所述特定用户有宽带违规接入行为。
39.根据本发明的一个实施例，提供了一种计算机可读存储介质，包括计算机可执行指令，所述计算机可执行指令在由一个或多个处理器执行时，使得所述一个或多个处理器执行：由计算终端从核心路由器获取来自与特定用户关联的源ip地址的get方式的http请求报文；由所述计算终端对所获取的http请求报文进行分析以统计单位时间内所述http请求报文中包含的不同目的ip地址的数量；由所述计算终端将所述不同目的ip地址的数量与阈值进行比较；以及响应于确定所述不同目的ip地址的数量大于阈值，所述计算终端识别出所述特定用户有宽带违规接入行为。
40.通过本发明的结合用户网络访问必然存在的行为特点，通过对用户行为分析的方法识别违规行为的准确率高，解决了第三方技术修改ip报文头信息来规避检测的问题。同时由于发明方法采用客户端/服务器c/s架构，充分利用了机房终端，减少了由于异网部署探针导致投资大的问题。
41.本发明针对用户上网的http报文中必不可少且无法修改的信息(目的ip地址)进行分析和统计，避免了现有技术针对特定应用或账号进行统计带来的局限性，也避免了被第三方设备或程序修改报文头的字段导致检测被规避的风险。通过实践验证，本发明能够准确地发现存在违规私接的大带宽用户。此外，本发明的技术方案部署方便，充分利用了监控机房终端的计算能力，同时可以提供直观且高效的结果展示。
42.图6示出了能够实现根据本公开的实施例的计算设备1200的示例性配置。
43.计算设备1200是能够应用本公开的上述方面的硬件设备的实例。计算设备1200可以是被配置为执行处理和/或计算的任何机器。计算设备1200可以是但不限制于工作站、服务器、台式计算机、膝上型计算机、平板计算机、个人数据助手(pda)、智能电话、车载计算机或以上组合。
44.如图6所示，计算设备1200可以包括可以经由一个或多个接口与总线1202连接或通信的一个或多个元件。总线2102可以包括但不限于，工业标准架构(industry standard architecture，isa)总线、微通道架构(micro channel architecture，mca)总线、增强isa(eisa)总线、视频电子标准协会(vesa)局部总线、以及外设组件互连(pci)总线等。计算设备1200可以包括例如一个或多个处理器1204、一个或多个输入设备1206以及一个或多个输
出设备1208。一个或多个处理器1204可以是任何种类的处理器，并且可以包括但不限于一个或多个通用处理器或专用处理器(诸如专用处理芯片)。计算设备1200例如可以对应于图2中的监控终端240，被配置为实现用于识别宽带违规接入的方法100。输入设备1206可以是能够向计算设备输入信息的任何类型的输入设备，并且可以包括但不限于鼠标、键盘、触摸屏、麦克风和/或远程控制器。输出设备1208可以是能够呈现信息的任何类型的设备，并且可以包括但不限于显示器、扬声器、视频/音频输出终端、振动器和/或打印机。
45.计算设备1200还可以包括或被连接至非暂态存储设备1214，该非暂态存储设备1214可以是任何非暂态的并且可以实现数据存储的存储设备，并且可以包括但不限于盘驱动器、光存储设备、固态存储器、软盘、柔性盘、硬盘、磁带或任何其他磁性介质、压缩盘或任何其他光学介质、缓存存储器和/或任何其他存储芯片或模块、和/或计算机可以从其中读取数据、指令和/或代码的其他任何介质。计算设备1200还可以包括随机存取存储器(ram)1210和只读存储器(rom)1212。rom 1212可以以非易失性方式存储待执行的程序、实用程序或进程。ram 1210可提供易失性数据存储，并存储与计算设备1200的操作相关的指令。计算设备1200还可包括耦接至数据链路1218的网络/总线接口1216。网络/总线接口1216可以是能够启用与外部装置和/或网络通信的任何种类的设备或系统，并且可以包括但不限于调制解调器、网络卡、红外线通信设备、无线通信设备和/或芯片集(诸如蓝牙
tm
设备、802.11设备、wifi设备、wimax设备、蜂窝通信设施等)。
46.本公开可以被实现为装置、系统、集成电路和非瞬时性计算机可读介质上的计算机程序的任何组合。可以将一个或多个处理器实现为执行本公开中描述的部分或全部功能的集成电路(ic)、专用集成电路(asic)或大规模集成电路(lsi)、系统lsi，超级lsi或超lsi组件。
47.本公开包括软件、应用程序、计算机程序或算法的使用。可以将软件、应用程序、计算机程序或算法存储在非瞬时性计算机可读介质上，以使诸如一个或多个处理器的计算机执行上述步骤和附图中描述的步骤。例如，一个或多个存储器以可执行指令存储软件或算法，并且一个或多个处理器可以关联执行该软件或算法的一组指令，以根据本公开中描述的实施例提供各种功能。
48.软件和计算机程序(也可以称为程序、软件应用程序、应用程序、组件或代码)包括用于可编程处理器的机器指令，并且可以以高级过程性语言、面向对象编程语言、功能性编程语言、逻辑编程语言或汇编语言或机器语言来实现。术语“计算机可读介质”是指用于向可编程数据处理器提供机器指令或数据的任何计算机程序产品、装置或设备，例如磁盘、光盘、固态存储设备、存储器和可编程逻辑设备(pld)，包括将机器指令作为计算机可读信号来接收的计算机可读介质。
49.举例来说，计算机可读介质可以包括动态随机存取存储器(dram)、随机存取存储器(ram)、只读存储器(rom)、电可擦只读存储器(eeprom)、紧凑盘只读存储器(cd-rom)或其他光盘存储设备、磁盘存储设备或其他磁性存储设备，或可以用于以指令或数据结构的形式携带或存储所需的计算机可读程序代码以及能够被通用或专用计算机或通用或专用处理器访问的任何其它介质。如本文中所使用的，磁盘或盘包括紧凑盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘和蓝光盘，其中磁盘通常以磁性方式复制数据，而盘则通过激光以光学方式复制数据。上述的组合也包括在计算机可读介质的范围内。
50.提供本公开的主题作为用于执行本公开中描述的特征的装置、系统、方法和程序的示例。但是，除了上述特征之外，还可以预期其他特征或变型。可以预期的是，可以用可能代替任何上述实现的技术的任何新出现的技术来完成本公开的部件和功能的实现。
51.另外，以上描述提供了示例，而不限制权利要求中阐述的范围、适用性或配置。在不脱离本公开的精神和范围的情况下，可以对所讨论的元件的功能和布置进行改变。各种实施例可以适当地省略、替代或添加各种过程或部件。例如，关于某些实施例描述的特征可以在其他实施例中被结合。
52.另外，在本公开的描述中，术语“第一”、“第二”、“第三”等仅用于描述目的，而不能理解为指示或暗示相对重要性和顺序。
53.类似地，虽然在附图中以特定次序描绘了操作，但是这不应该被理解为要求以所示的特定次序或者以顺序次序执行这样的操作，或者要求执行所有图示的操作以实现所希望的结果。在某些情况下，多任务处理和并行处理可以是有利的。