本發(fā)明涉及通信數(shù)據(jù)傳輸技術(shù)領(lǐng)域，特別涉及一種檢測數(shù)據(jù)透傳的方法及設(shè)備。

背景技術(shù)：

目前，大部分IDC機房使用電信、聯(lián)通線路作為其主要接入帶寬，兩大運營商的帶寬資源長期存在被小運營商或競爭對手通過VPN+NAT方式非法盜用的問題，這種行為被稱為“透傳”。

競爭對手的“透傳”行為對運營商的盈利能力產(chǎn)生很大威脅，并嚴(yán)重擾亂了互聯(lián)網(wǎng)接入行業(yè)秩序，互聯(lián)網(wǎng)監(jiān)管部門也嚴(yán)令禁止互聯(lián)網(wǎng)接入商做透傳。對于IDC服務(wù)提供商來說，更有著對其客戶的服務(wù)器所做業(yè)務(wù)進行監(jiān)管、審查的義務(wù)。目前，已經(jīng)有多家IDC服務(wù)商因為涉及透傳問題而被要求賠償巨額損失，最終不得不申請破產(chǎn)。

因此，電信運營商和IDC服務(wù)提供商都急需一種技術(shù)或方法，能有效地監(jiān)控、統(tǒng)計機房內(nèi)各臺服務(wù)器的流量情況，并能自動篩查存在“透傳”行為的IP或服務(wù)器，準(zhǔn)確地發(fā)現(xiàn)透傳并實施封鎖。

但是數(shù)據(jù)“透傳”隱蔽性很強，常規(guī)的抓包等分析方法很難發(fā)現(xiàn)，而很多通用的流量統(tǒng)計工具又存在著監(jiān)控性能不足(10Gbps接入在IDC機房已很常見)、統(tǒng)計不準(zhǔn)確、無法定位遠(yuǎn)端IP等缺點，無法為“透傳”行為的篩查提供有效依據(jù)，并缺乏針對“透傳”審查的業(yè)務(wù)流程。

技術(shù)實現(xiàn)要素：

為了解決上述問題，本發(fā)明提供了一種檢測數(shù)據(jù)透傳的方法及設(shè)備，通過對IP流量數(shù)據(jù)進行多層次的統(tǒng)計分析，達到根據(jù)疑似私接IP確定透傳IP的目的。

所述技術(shù)方案如下：

第一方面，提供了一種檢測數(shù)據(jù)透傳的方法，其特征在于，所述方法包括：

采集IDC服務(wù)器的至少一個IP的流量數(shù)據(jù)，其中，所述流量數(shù)據(jù)包括機房外訪流量、機房外訪http get數(shù)量、VPN疑似流量占比、單純外訪流量和異常應(yīng)用數(shù)量中的任意一個或多個；

根據(jù)所述流量數(shù)據(jù)對所述IP進行多層統(tǒng)計分析，得到至少一個疑似私接IP；

對所述疑似私接IP抓取數(shù)據(jù)包，確定為透傳IP。

結(jié)合第一方面，在第一種可能的實施方式中，所述根據(jù)所述流量數(shù)據(jù)對所述IP進行多層統(tǒng)計分析，得到至少一個疑似私接IP包括：

根據(jù)所述流量數(shù)據(jù)對所述IP進行初步排序并計算，得到所述IP的初步疑似度；

根據(jù)預(yù)設(shè)的初步疑似度的閾值對所述IP進行綜合排序并計算，得到所述IP的綜合疑似度；

根據(jù)所述綜合疑似度確定至少一個疑似私接IP。

結(jié)合第一種可能的實施方式，在第二種可能的實施方式中，根據(jù)所述流量數(shù)據(jù)對所述IP進行初步排序并計算，得到所述IP的初步疑似度包括：

根據(jù)所述流量數(shù)據(jù)對所述IP進行前100排序，對前30個IP賦值疑似度60％，后70個IP賦值疑似度40％；

根據(jù)IP備案庫信息，對判定不屬于本運營商的IP賦值疑似度80％；其中，所述流量數(shù)據(jù)包括：機房外訪流量、機房外訪http get數(shù)量和單純外訪流量中的任意一個或多個。

結(jié)合第一種可能的實施方式，在第三種可能的實施方式中，根據(jù)所述流量數(shù)據(jù)對所述IP進行初步排序并計算，得到所述IP的初步疑似度包括：

根據(jù)所述流量數(shù)據(jù)對所述IP進行前100排序，并賦值疑似度75％；

根據(jù)IP備案庫信息，對判定不屬于本運營商的IP賦值疑似度85％，其中，所述流量數(shù)據(jù)包括：VPN疑似流量占比和異常應(yīng)用數(shù)量中的任意一個或多個。

結(jié)合第一種可能的實施方式，在第四種可能的實施方式中，所述根據(jù)預(yù)設(shè)的初步疑似度的閾值對所述IP進行綜合排序并計算，得到所述IP的綜合疑似度包括：

將初步疑似度大于或等于60％的IP進行排序并計算，得到所述IP的綜合疑似度；

若所述IP出現(xiàn)多個初步疑似度，則每出現(xiàn)一次，則取疑似度高的疑似度值，并賦值疑似度增加5％。

第二方面，提供了一種檢測數(shù)據(jù)透傳的設(shè)備，其特征在于，所述設(shè)備包括：

數(shù)據(jù)采集單元，用于采集IDC服務(wù)器的至少一個IP的流量數(shù)據(jù)，其中，所述流量數(shù)據(jù)包括機房外訪流量、機房外訪http get數(shù)量、VPN疑似流量占比、單純外訪流量和異常應(yīng)用數(shù)量中的任意一個或多個；

數(shù)據(jù)分析單元，用于根據(jù)所述流量數(shù)據(jù)對所述IP進行多層統(tǒng)計分析，得到至少一個疑似私接IP；

透傳IP確定單元，用于對所述疑似私接IP抓取數(shù)據(jù)包，確定為透傳IP。

結(jié)合第二方面，在第一種可能的實施方式中，所述數(shù)據(jù)單元還包括：

初步分析單元，用于根據(jù)所述流量數(shù)據(jù)對所述IP進行初步排序并計算，得到所述IP的初步疑似度；

綜合分析單元，用于根據(jù)預(yù)設(shè)的初步疑似度的閾值對所述IP進行綜合排序并計算，得到所述IP的綜合疑似度；

疑似私接IP確定單元，用于根據(jù)所述綜合疑似度確定至少一個疑似私接IP。

結(jié)合第一種可能的實施方式，在第二種可能的實施方式中，初步分析單元具體用于：

根據(jù)所述流量數(shù)據(jù)對所述IP進行前100排序，對前30個IP賦值疑似度60％，后70個IP賦值疑似度40％；

根據(jù)IP備案庫信息，對判定不屬于本運營商的IP賦值疑似度80％；其中，所述流量數(shù)據(jù)包括：機房外訪流量、機房外訪http get數(shù)量和單純外訪流量中的任意一個或多個。

結(jié)合第一種可能的實施方式，在第三種可能的實施方式中，初步分析單元還用于：

根據(jù)所述流量數(shù)據(jù)對所述IP進行前100排序，并賦值疑似度75％；

根據(jù)IP備案庫信息，對判定不屬于本運營商的IP賦值疑似度85％，其中，所述流量數(shù)據(jù)包括：VPN疑似流量占比和異常應(yīng)用數(shù)量中的任意一個或多個。

結(jié)合第一種可能的實施方式，在第四種可能的實施方式中，綜合分析單元用于：

將初步疑似度大于或等于60％的IP進行排序并計算，得到所述IP的綜合疑似度；

若所述IP出現(xiàn)多個初步疑似度，則每出現(xiàn)一次，則取疑似度高的疑似度值，并賦值疑似度增加5％。

本發(fā)明實施例提供了一種檢測數(shù)據(jù)透傳的方法及設(shè)備，通過采集IDC服務(wù)器的至少一個IP的流量數(shù)據(jù)，可以從多個維度對IP的流量進行統(tǒng)計和分析，提高檢測精確度；通過對IP進行多層統(tǒng)計分析，得到至少一個疑似私接IP，多層統(tǒng)計分析可以分別對單個維度的流量數(shù)據(jù)和綜合流量數(shù)據(jù)進行統(tǒng)計分析，進一步提高檢測精確度；通過抓取數(shù)據(jù)包，確定透傳IP，能夠?qū)P進行追蹤并記錄為透傳證據(jù)，定位遠(yuǎn)端IP，同時進一步分析IP提高對透傳IP的檢測精度。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明一優(yōu)選實施例提供的檢測數(shù)據(jù)透傳的方法流程示意圖；

圖2是本發(fā)明另一優(yōu)選實施例提供的檢測數(shù)據(jù)透傳的設(shè)備結(jié)構(gòu)示意圖。

具體實施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

在一優(yōu)選的實施例中提供了一種檢測數(shù)據(jù)透傳的方法，參見圖1，該方法包括：

S101、采集IDC服務(wù)器的至少一個IP的流量數(shù)據(jù)，其中，流量數(shù)據(jù)包括機房外訪流量、機房外訪http get數(shù)量、VPN疑似流量占比、單純外訪流量和異常應(yīng)用數(shù)量中的任意一個或多個。

其中，機房外訪流量是IDC機房內(nèi)的服務(wù)器主動向機房外部、公網(wǎng)上的站點發(fā)起的訪問所使用的流量。

其中，機房外訪http get數(shù)量是IDC機房內(nèi)的服務(wù)器主動向機房外部、公網(wǎng)上的站點發(fā)起的訪問數(shù)量。

其中，VPN疑似流量占比是IDC機房內(nèi)的服務(wù)器IP含有VPN協(xié)議類型，基于IP，計算VPN流量在總流量(總流入流量+總流出流量)中的占比，若占比高于96％，則確定為VPN疑似流量占比。

其中，單純外訪流量是IDC機房內(nèi)的服務(wù)器IP單純向機房外部網(wǎng)絡(luò)站點發(fā)起訪問的上下行流量，而上網(wǎng)用戶向此IP發(fā)起的訪問總流量為0。

其中，異常應(yīng)用數(shù)量是對IDC機房內(nèi)的服務(wù)器IP進行識別分析，具體對其流量中的QQ賬號、郵件賬號、UA數(shù)量等，得到承載多個應(yīng)用賬號的IP的信息。

可選的，對IDC服務(wù)器中的IP的流量數(shù)據(jù)進行采集的方法不做具體限定，可以在服務(wù)器端設(shè)置專門的采集和統(tǒng)計設(shè)備對其中的IP流量數(shù)據(jù)進行采集，也可以在外網(wǎng)出入口設(shè)置采集和統(tǒng)計設(shè)備。

值得注意的是，由于CDN業(yè)務(wù)與寬帶私接業(yè)務(wù)有相似性，因此，在獲取IP的流量數(shù)據(jù)時，不采集屬于CDN業(yè)務(wù)的IP流量數(shù)據(jù)。

通過采集IP的機房外訪流量、機房外訪http get數(shù)量、VPN疑似流量占比、單純外訪流量和異常應(yīng)用等多個維度的流量數(shù)據(jù)，可以從多個維度對IP進行統(tǒng)計和分析，保證從多方面反應(yīng)IP的流量情況，對IP進行多層次的跟蹤訪問并保證確定為透傳IP的準(zhǔn)確性。

S102、根據(jù)流量數(shù)據(jù)對IP進行多層統(tǒng)計分析，得到至少一個疑似私接IP。

具體地，根據(jù)流量數(shù)據(jù)對IP進行初步排序并計算，得到IP的初步疑似度；

根據(jù)預(yù)設(shè)的初步疑似度的閾值對IP進行綜合排序并計算，得到IP的綜合疑似度；

根據(jù)綜合疑似度確定至少一個疑似私接IP。

其中，根據(jù)機房外訪流量對IP進行初步排序并計算，得到IP的初步疑似度包括：

根據(jù)機房外訪流量對IDC服務(wù)器中的IP進行前100排序和展示，對前30個IP賦值疑似度60％，后70個賦值疑似度40％；

基于IP過濾，根據(jù)IP備案庫信息，對IP是否歸屬于本運營商進行標(biāo)記，非本運營商的IP賦值疑似度直接提升至80％，并列出IP具體歸屬信息。

其中，根據(jù)機房外訪http get數(shù)量對IP進行初步排序并計算，得到IP的初步疑似度包括：

根據(jù)機房外訪http get數(shù)量對IDC服務(wù)器中的IP進行前100排序，對前30個IP賦值疑似度60％，后70個賦值疑似度40％；

基于IP過濾，若有非本運營商的IP計入排序，則賦值疑似度提升至80％，并列出具體歸屬信息。

其中，根據(jù)VPN疑似流量占比對IP進行初步排序并計算，得到IP的初步疑似度包括：

將得到的VPN流量占比進行前100排序并展示，賦值疑似度75％；

基于IP過濾，若有非本運營商的IP計入排序，則賦值疑似度提升至85％，并列出具體歸屬信息。

值得注意的是，因VPN涉及到內(nèi)外層IP地址，在判斷運營商歸屬時，需按照內(nèi)層IP地址進行其他運營商IP歸屬判斷，按照外層IP進行本運營商合法IP的判斷，并將上述兩種歸屬信息均展示。

其中，根據(jù)單純外訪流量對IP進行初步排序并計算，得到IP的初步疑似度包括：

根據(jù)單純外訪流量對IDC服務(wù)器中的IP進行前100排序，對前30個IP賦值疑似度60％，后70個賦值疑似度40％；

基于IP過濾，若有非本運營商的IP計入排序，則賦值疑似度提升至80％，并列出具體歸屬信息。

值得注意的是，通過采集單純外訪流量的方式可以涵蓋到機房內(nèi)服務(wù)器采用兩個或兩個以上IP地址的情況，尤其是VPN流量在一個IP地址上面終結(jié)，終結(jié)后流量從同服務(wù)器另外一個IP地址轉(zhuǎn)發(fā)出去的情況。

其中，根據(jù)異常應(yīng)用數(shù)量對IP進行初步排序并計算，得到IP的初步疑似度包括：

根據(jù)異常應(yīng)用數(shù)量對IP進行前100排序并展示，賦值疑似度75％；

基于IP過濾，若有非本運營商的IP計入排序，則賦值疑似度提升至85％。

對上述各個單維度的流量數(shù)據(jù)進行排序統(tǒng)計和計算，能夠衡量IDC服務(wù)器中的IP在各個維度上的“透傳嫌疑”，更精確的統(tǒng)計帶來更全面的監(jiān)控IP的流量數(shù)據(jù)。

根據(jù)預(yù)設(shè)的初步疑似度的閾值對IP進行綜合排序并計算，得到IP的綜合疑似度具體包括：

將初步疑似度大于或等于60％的IP進行前100排序并計算，得到IP的綜合疑似度；

若IP出現(xiàn)多個初步疑似度，則每出現(xiàn)一次，則取疑似度高的疑似度值，并賦值疑似度增加5％。

其中，IP的綜合疑似度最高設(shè)置為95％。

其中，在對初步疑似度大于60％的IP進行前100排序并計算時，構(gòu)建如下計算函數(shù)：

1)排名函數(shù)Tn(IP，V)：基于IP，根據(jù)V值的大小，進行前N排序，輸出為前N的名次。其中，V值為各個維度的流量數(shù)據(jù)。

2)初步疑似度函數(shù)Zi(IP，Tn)：在每個流量數(shù)據(jù)維度內(nèi)，基于IP和對應(yīng)Tn值，計算輸出該IP的初步疑似度。

3)綜合疑似度函數(shù)Zq(IP，Zi)：對全部初步疑似度大于或等于60％的IP，計算綜合疑似度(含IP交叉出現(xiàn)情況)。

所以，整體數(shù)學(xué)表達如下：

∑TN(IP，Zq)＝∑TN(IP，Zq(IP，Zi))＝∑TN(IP，Zq(IP，Zi(IP，Tn(IP，Vi))))

其中：N＝1，2...100表示疑似匯總排名前100；i＝1，2...5表示5個疑似維度下的不同情況；n＝1，2...100表示單維度疑似排名前100。

通過對各個維度的流量數(shù)據(jù)進行綜合排序和計算，得到IP的綜合疑似度，便于對直觀的對疑似IP進行分析和比較，能夠精確統(tǒng)計到應(yīng)用層協(xié)議類型和遠(yuǎn)端IP，也能夠更全面的體現(xiàn)IP的可疑性，進一步提高對透傳IP的準(zhǔn)確監(jiān)控。

S103、對疑似私接IP抓取數(shù)據(jù)包，確定為透傳IP。

具體地，對疑似私接IP進行在線自動抓取數(shù)據(jù)包和展現(xiàn)；

解析數(shù)據(jù)包并根據(jù)展現(xiàn)內(nèi)容判定疑似私接IP是否為透傳IP，若是，則確認(rèn)抓取記錄，若否，則結(jié)束。

其中，抓取記錄可以作為證明透傳IP的證據(jù)，留存在專用目錄。

可選的，對疑似私接IP進行實時http訪問跟蹤，記錄其訪問記錄，作為確定其為透傳IP和實施封鎖的最終證據(jù)。

本發(fā)明實施例提供了一種檢測數(shù)據(jù)透傳的方法，通過對流量數(shù)據(jù)進行協(xié)議識別、連接跟蹤、流量統(tǒng)計和內(nèi)容掃描，可以對機房或子網(wǎng)內(nèi)的所有IP進行多層次的流量統(tǒng)計，并能夠通過下方規(guī)則對部分IP流量的統(tǒng)計準(zhǔn)確到應(yīng)用層協(xié)議類型和遠(yuǎn)端IP，對疑似私接IP進行實時的訪問跟蹤也可以作為實施封堵的證據(jù)，進一步提高對透傳IP實時的監(jiān)控性和檢測的精確度。

在另一優(yōu)選的實施例中提供了一種檢測數(shù)據(jù)透傳的設(shè)備，參照圖2所示，該設(shè)備包括：

數(shù)據(jù)采集單元210，用于采集IDC服務(wù)器的至少一個IP的流量數(shù)據(jù)，其中，流量數(shù)據(jù)包括機房外訪流量、機房外訪http get數(shù)量、VPN疑似流量占比、單純外訪流量和異常應(yīng)用數(shù)量中的任意一個或多個。

值得注意的是，由于CDN業(yè)務(wù)與寬帶私接業(yè)務(wù)有相似性，因此，數(shù)據(jù)采集單元210獲取IP的流量數(shù)據(jù)時，不采集屬于CDN業(yè)務(wù)的IP流量數(shù)據(jù)。

數(shù)據(jù)分析單元220，用于根據(jù)流量數(shù)據(jù)對IP進行多層統(tǒng)計分析，得到至少一個疑似私接IP。

透傳IP確定單元230，用于對疑似私接IP抓取數(shù)據(jù)包，確定為透傳IP。

其中，機房外訪流量是IDC機房內(nèi)的服務(wù)器主動向機房外部、公網(wǎng)上的站點發(fā)起的訪問所使用的流量。

其中，機房外訪http get數(shù)量是IDC機房內(nèi)的服務(wù)器主動向機房外部、公網(wǎng)上的站點發(fā)起的訪問數(shù)量。

其中，VPN疑似流量占比是IDC機房內(nèi)的服務(wù)器IP含有VPN協(xié)議類型，基于IP，計算VPN流量在總流量(總流入流量+總流出流量)中的占比，若占比高于96％，則確定為VPN疑似流量占比。

其中，單純外訪流量是IDC機房內(nèi)的服務(wù)器IP單純向機房外部網(wǎng)絡(luò)站點發(fā)起訪問的上下行流量，而上網(wǎng)用戶向此IP發(fā)起的訪問總流量為0。

其中，異常應(yīng)用數(shù)量是對IDC機房內(nèi)的服務(wù)器IP進行識別分析，具體對其流量中的QQ賬號、郵件賬號、UA數(shù)量等，得到承載多個應(yīng)用賬號的IP的信息。

可選的，數(shù)據(jù)分析單元220還包括：

初步分析單元221，用于根據(jù)流量數(shù)據(jù)對IP進行初步排序并計算，得到IP的初步疑似度。

綜合分析單元222，用于根據(jù)預(yù)設(shè)的初步疑似度的閾值對IP進行綜合排序并計算，得到IP的綜合疑似度。

疑似私接IP確定單元223，用于根據(jù)綜合疑似度確定至少一個疑似私接IP。

可選的，初步分析單元221具體用于：

根據(jù)流量數(shù)據(jù)對IP進行前100排序，對前30個IP賦值疑似度60％，后70個IP賦值疑似度40％；

根據(jù)IP備案庫信息，對判定不屬于本運營商的IP賦值疑似度80％；其中，流量數(shù)據(jù)包括：機房外訪流量、機房外訪http get數(shù)量和單純外訪流量中的任意一個或多個。

可選的，初步分析單元221還用于：

根據(jù)流量數(shù)據(jù)對IP進行前100排序，并賦值疑似度75％；

根據(jù)IP備案庫信息，對判定不屬于本運營商的IP賦值疑似度85％，其中，流量數(shù)據(jù)包括：VPN疑似流量占比和異常應(yīng)用數(shù)量中的任意一個或多個。

可選的，綜合分析單元223具體用于：

將初步疑似度大于或等于60％的IP進行排序并計算，得到IP的綜合疑似度；

若IP出現(xiàn)多個初步疑似度，則每出現(xiàn)一次，則取疑似度高的疑似度值，并賦值疑似度增加5％。

本發(fā)明實施例提供了一種檢測數(shù)據(jù)透傳的設(shè)備，數(shù)據(jù)采集單元210通過采集IDC服務(wù)器的至少一個IP的流量數(shù)據(jù)，可以從多個維度對IP的流量進行統(tǒng)計和分析，提高檢測精確度；數(shù)據(jù)分析單元220通過對IP進行多層統(tǒng)計分析，得到至少一個疑似私接IP，多層統(tǒng)計分析可以分別對單個維度的流量數(shù)據(jù)和綜合流量數(shù)據(jù)進行統(tǒng)計分析，進一步提高檢測精確度；透傳IP確定單元230通過抓取數(shù)據(jù)包，確定透傳IP，能夠?qū)P進行追蹤并記錄為透傳證據(jù)，定位遠(yuǎn)端IP，同時進一步分析IP提高對透傳IP的檢測精度。

需要說明的是：所述實施例提供的一種檢測數(shù)據(jù)透傳的方法及設(shè)備，僅以所述各功能模塊的劃分進行舉例說明，實際應(yīng)用中，可以根據(jù)需要而將所述功能分配由不同的功能模塊完成，即將設(shè)備的內(nèi)部結(jié)構(gòu)劃分成不同的單元模塊，以完成以上描述的全部或者部分功能。另外，所述實施例提供的檢測數(shù)據(jù)透傳的方法及設(shè)備屬于同一構(gòu)思，其具體實現(xiàn)過程詳見實施例，這里不再贅述。

以上所述僅為本發(fā)明的較佳實施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。