異網(wǎng)流量穿透檢測方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供的異網(wǎng)流量穿透檢測方法及系統(tǒng)，針對異網(wǎng)流量穿透現(xiàn)象，通過對比正常訪問和異常流量穿透的數(shù)據(jù)包，識別特征差別來作為判斷是否屬于異常流量穿透行為；本系統(tǒng)針對異網(wǎng)流量穿透識別準確率高，避免識別錯誤封堵帶來的用戶投訴和退網(wǎng)的風險。
【專利說明】
異網(wǎng)流量穿透檢測方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明屬于計算機網(wǎng)絡(luò)傳輸技術(shù)領(lǐng)域，尤其涉及異網(wǎng)流量穿透檢測方法及系統(tǒng)。
【背景技術(shù)】
[0002]由于國內(nèi)不同運營商具備的資源不相同，用戶在訪問過程中存在本網(wǎng)內(nèi)沒有而網(wǎng)外運營商有相關(guān)資源的情況。各個運營商之間為了方便數(shù)據(jù)交換和傳輸，通過相互開放端口互聯(lián)互通的方式實現(xiàn)用戶無感知跨網(wǎng)訪問。目前，國內(nèi)運營商之間的互聯(lián)互通主要有三種方式:一是骨干網(wǎng)間直聯(lián)，二是通過NAP點互聯(lián)，三是通過第三方接入。但無論哪一種方式，都要產(chǎn)生網(wǎng)間結(jié)算。按照工信部規(guī)定，為補償中國電信和聯(lián)通的骨干網(wǎng)，網(wǎng)絡(luò)結(jié)算方式為其他運營商向它們單向結(jié)算，以彌補建設(shè)網(wǎng)絡(luò)和提供服務(wù)的成本。
[0003]近年來，出現(xiàn)了異網(wǎng)流量穿透現(xiàn)象，且越來越嚴重。所謂“穿透流量接入”是指由于互聯(lián)網(wǎng)帶寬存在規(guī)定價格與市場價格差價，一些公司從運營商B購買帶寬后，轉(zhuǎn)售給弱勢運營商A的行為，這條路徑被稱為“流量穿透”。運營商A采用流量穿透接入，以某種方式進入到運營商B，繞開互聯(lián)互通的網(wǎng)關(guān)直接訪問到運營商B的資源，如圖1所示。這種方式一方面給運營商B的運營維護帶來不便，另一方面違反了正常運作流程造成了運營商B的經(jīng)濟損失。

【發(fā)明內(nèi)容】

[0004]本發(fā)明所要解決的技術(shù)問題是針對前述【背景技術(shù)】中的缺陷和不足，提供異網(wǎng)流量穿透檢測方法及系統(tǒng)，通過對比正常訪問和異常流量穿透的數(shù)據(jù)包，識別特征差別來作為判斷是否屬于異常流量穿透行為，該方法及系統(tǒng)識別準確率高，避免識別錯誤封堵帶來的用戶投訴和退網(wǎng)的風險。
[0005]本發(fā)明提供的異網(wǎng)流量穿透檢測方法包括以下步驟:
[0006]步驟一，在某待測運營商的網(wǎng)關(guān)處設(shè)置探測模塊，稱帶有所述探測模塊的設(shè)備為探針端，并對探針端進行配置；
[0007]步驟二，啟動所述探針端，探針端開始按照配置的策略規(guī)則對用戶訪問的特征數(shù)據(jù)包進行提取，并將提取的數(shù)據(jù)包上傳至數(shù)據(jù)庫；
[0008]步驟三，數(shù)據(jù)統(tǒng)計分析模塊根據(jù)所述數(shù)據(jù)包中的關(guān)鍵信息，對比用戶HTTP請求數(shù)據(jù)包中URL路徑與DNS解析信息是否匹配，判斷是否屬于異網(wǎng)流量穿透方式。
[0009]在步驟一中，由配置模塊對所述探針端進行配置，所述配置模塊包括探測策略版塊、策略生效版塊；
[0010]所述探測策略版塊負責設(shè)置配置，配置的內(nèi)容包括:
[0011]提取時間、提取頻率、數(shù)據(jù)包大小、數(shù)據(jù)包過濾要求。
[0012]所述步驟二具體包括:
[0013]步驟2.1，所述策略生效版塊負責給不同的探針端分配策略并啟動生效；
[0014]步驟2.2，所述探針端按照設(shè)置好的探測策略提取符合要求的數(shù)據(jù)包;所述數(shù)據(jù)包包括HTTP的請求包和DNS解析的數(shù)據(jù)包信息；
[0015]步驟2.3，所述探針端提取好數(shù)據(jù)后將相關(guān)數(shù)據(jù)上傳至數(shù)據(jù)庫存儲。
[0016]所述步驟三具體包括:
[0017]步驟3.1，首先對將數(shù)據(jù)庫中原始數(shù)據(jù)進行預(yù)處理，將HTTP請求包的若干數(shù)據(jù)項拆分提取出URL路徑；
[0018]步驟3.2，其次，分析HTTP請求包中URL信息與DNS信息是否匹配，若匹配成功則表明為正常訪問行為;若匹配失敗，則表明為異網(wǎng)流量穿透方式；
[0019]步驟3.3，通過條件篩選的方式查詢異網(wǎng)流量穿透的具體信息，便于管理者了解詳情和決策。
[0020]異網(wǎng)流量穿透檢測系統(tǒng)，包括探測模塊、數(shù)據(jù)統(tǒng)計分析模塊、配置模塊和設(shè)備管理豐旲塊;
[0021]所述探測模塊設(shè)置在某待測運營商的網(wǎng)關(guān)處設(shè)置探測模塊，稱帶有所述探測模塊的設(shè)備為探針端；
[0022]所述數(shù)據(jù)統(tǒng)計分析模塊對將數(shù)據(jù)庫中原始數(shù)據(jù)進行預(yù)處理，將HTTP請求包的若干數(shù)據(jù)項拆分提取出URL路徑;分析HTTP請求包中URL信息與DNS信息是否匹配，若匹配成功則表明為正常訪問行為;若匹配失敗，則表明為異網(wǎng)流量穿透方式;并且通過條件篩選的方式查詢異網(wǎng)流量穿透的具體信息，便于管理者了解詳情和決策；
[0023]所述配置模塊對所述探針端進行配置；
[0024]所述設(shè)備管理模塊對所述探針端設(shè)備性能和業(yè)務(wù)運行狀態(tài)實時監(jiān)測反饋的記錄。
[0025]所述配置模塊包括探測策略版塊、策略生效版塊；
[0026]所述探測策略版塊負責設(shè)置配置，配置的內(nèi)容包括:
[0027]提取時間、提取頻率、數(shù)據(jù)包大小、數(shù)據(jù)包過濾要求；
[0028]所述策略生效版塊負責給不同的探針端分配策略并啟動生效。
[0029]所述性能狀態(tài)包括CPU、內(nèi)存、存儲參數(shù)進行周期性信息采集；
[0030]所述業(yè)務(wù)運行狀態(tài)包括位置拓撲結(jié)構(gòu)圖、運行狀態(tài)、執(zhí)行的探針策略信息。
[0031]本發(fā)明采用以上技術(shù)方案與現(xiàn)有技術(shù)相比，具有以下技術(shù)效果:
[0032]通過提取數(shù)據(jù)包的方式，對比用戶HTTP請求數(shù)據(jù)包中URL路徑與DNS解析信息是否匹配來判斷是否屬于正常訪問行為。若匹配成功則視為正常訪問行為，若匹配失敗則確定為異網(wǎng)流量穿透行為。系統(tǒng)通過這種判斷規(guī)則，極大地提高異網(wǎng)流量穿透的識別準確率。
[0033]系統(tǒng)具有靈活的配置策略，可以支持全天不間斷監(jiān)測也可以針對流量數(shù)據(jù)包較多的時間段抽樣檢測。采用全天模式可以最大程度發(fā)現(xiàn)存在的異網(wǎng)流量穿透行為;采用重點時間段抽樣的形式，可以節(jié)省存儲空間并提升處理效率。
[0034]無論采取何種模式，都具體一個共同的優(yōu)點就是識別異網(wǎng)流量穿透的準確率高，接近100 %。
【附圖說明】
[0035]圖1是跨網(wǎng)訪問正常和非正常途徑示意圖；
[0036]圖2是異網(wǎng)流量穿透檢測系統(tǒng)的功能模塊圖；
[0037]圖3是異網(wǎng)流量穿透檢測方法的流程圖。
【具體實施方式】
[0038]本發(fā)明提供異網(wǎng)流量穿透檢測方法及系統(tǒng)，為使本發(fā)明的目的，技術(shù)方案及效果更加清楚，明確，以及參照附圖并舉實例對本發(fā)明進一步詳細說明。應(yīng)當理解，此處所描述的具體實施僅用以解釋本發(fā)明，并不用于限定本發(fā)明。
[0039]如果用戶通過正常方式訪問網(wǎng)站，首先DNS解析成功后獲取網(wǎng)站的目標地址，隨后與web服務(wù)器建立連接。此時向目標地址網(wǎng)站發(fā)送HTTP請求包中的URL數(shù)據(jù)將與DNS解析信息成功匹配。即每個HTTP請求包的URL數(shù)據(jù)將與每條DNS解析信息一一對應(yīng)，如果出現(xiàn)URL數(shù)據(jù)與DNS解析信息不匹配，則此請求包存在異常訪問，即出現(xiàn)異網(wǎng)流量穿透行為。
[0040]由于正常的網(wǎng)站訪問都有DNS解析信息與HTTP請求包的URL匹配對應(yīng)的特點，基于此特征我司研發(fā)了異網(wǎng)流量穿透檢測系統(tǒng)。本系統(tǒng)所具有的模塊主要包括探測模塊、數(shù)據(jù)統(tǒng)計分析模塊、配置模塊和設(shè)備管理模塊，如圖2所示。
[0041]系統(tǒng)有4個模塊:探測模塊、數(shù)據(jù)統(tǒng)計分析模塊、配置模塊和設(shè)備管理模塊。探測模塊設(shè)置在某待測運營商的網(wǎng)關(guān)處設(shè)置探測模塊，稱帶有探測模塊的設(shè)備為探針端;數(shù)據(jù)統(tǒng)計分析模塊對將數(shù)據(jù)庫中原始數(shù)據(jù)進行預(yù)處理，將HTTP請求包的若干數(shù)據(jù)項拆分提取出URL路徑;分析HTTP請求包中URL信息與DNS信息是否匹配，若匹配成功則表明為正常訪問行為;若匹配失敗，則表明為異網(wǎng)流量穿透方式;并且通過條件篩選的方式查詢異網(wǎng)流量穿透的具體信息，便于管理者了解詳情和決策;配置模塊對所述探針端進行配置;設(shè)備管理模塊對所述探針端設(shè)備性能和業(yè)務(wù)運行狀態(tài)實時監(jiān)測反饋的記錄。
[0042]其中，配置模塊包括探測策略版塊、策略生效版塊;探測策略版塊負責設(shè)置配置，配置的內(nèi)容有:提取時間、提取頻率、數(shù)據(jù)包大小、數(shù)據(jù)包過濾要求;策略生效版塊負責給不同的探針端分配策略并啟動生效。
[0043]性能狀態(tài)包括CPU、內(nèi)存、存儲參數(shù)進行周期性信息采集;業(yè)務(wù)運行狀態(tài)包括位置拓撲結(jié)構(gòu)圖、運行狀態(tài)、執(zhí)行的探針策略信息。
[0044]本系統(tǒng)的探測模塊將安裝在探針端，探針端可以是多個，且分布在不同區(qū)域位置。部署位置在運營商B的家庭網(wǎng)關(guān)處。其他模塊集中安裝在應(yīng)用服務(wù)器中用于分析和配置管理等。
[0045]根據(jù)本部署方案，系統(tǒng)的運作流程如圖3所述，主要為:
[0046]步驟一:在某待測運營商的網(wǎng)關(guān)處設(shè)置探測模塊，稱帶有所述探測模塊的設(shè)備為探針端，并對探針端進行配置。配置模塊的策略配置版塊進行設(shè)置包括探針時間周期、探針頻率、數(shù)據(jù)包大小、篩選等條件。若不設(shè)置，則默認為全天提取所有數(shù)據(jù)模式。
[0047]步驟二:策略生效版塊負責給不同的探針端分配策略并啟動生效。啟動所述探針端，探針端開始按照配置的策略規(guī)則對用戶訪問的特征數(shù)據(jù)包進行提取，并將提取的數(shù)據(jù)包上傳至數(shù)據(jù)庫。配置模塊中策略生效版塊給不同的探針端分配策略并啟動生效。一個探針端可以有多個探針策略，只要確保不沖突矛盾，探針端按照設(shè)置好的探測策略提取符合要求的數(shù)據(jù)包;所述數(shù)據(jù)包包括HTTP的請求包和DNS解析的數(shù)據(jù)包信息。啟動探針設(shè)備支持單臺開啟或批量設(shè)備開啟。開啟后，探針端開始按照相關(guān)策略規(guī)則進行數(shù)據(jù)包的提供工作。
[0048]步驟三:數(shù)據(jù)統(tǒng)計分析模塊根據(jù)所述數(shù)據(jù)包中的關(guān)鍵信息，對比用戶HTTP請求數(shù)據(jù)包中URL路徑與DNS解析信息是否匹配，判斷是否屬于異網(wǎng)流量穿透方式。
[0049]首先對將數(shù)據(jù)庫中原始數(shù)據(jù)進行預(yù)處理，將HTTP請求包的若干數(shù)據(jù)項拆分提取出URL路徑；其次，分析HTTP請求包中URL信息與DNS信息是否匹配，若匹配成功則表明為正常訪問行為;若匹配失敗，則表明為異網(wǎng)流量穿透方式;通過條件篩選的方式查詢異網(wǎng)流量穿透的具體信息，便于管理者了解詳情和決策。
[0050]除了上述業(yè)務(wù)處理流程，系統(tǒng)還具有狀態(tài)監(jiān)控的功能，包括對設(shè)備性能和業(yè)務(wù)運行的雙方面監(jiān)測。其中設(shè)備性能數(shù)據(jù)可在設(shè)備管理模塊中性能信息模塊進行查看。業(yè)務(wù)運行狀態(tài)可在設(shè)備管理的業(yè)務(wù)運行模塊查看。
【主權(quán)項】
1.異網(wǎng)流量穿透檢測方法，其特征在于，該方法包括以下步驟: 步驟一，在某待測運營商的網(wǎng)關(guān)處設(shè)置探測模塊，稱帶有所述探測模塊的設(shè)備為探針端，并對探針端進行配置； 步驟二，啟動所述探針端，探針端開始按照配置的策略規(guī)則對用戶訪問的特征數(shù)據(jù)包進行提取，并將提取的數(shù)據(jù)包上傳至數(shù)據(jù)庫； 步驟三，數(shù)據(jù)統(tǒng)計分析模塊根據(jù)所述數(shù)據(jù)包中的關(guān)鍵信息，對比用戶HTTP請求數(shù)據(jù)包中URL路徑與DNS解析信息是否匹配，判斷是否屬于異網(wǎng)流量穿透方式。2.根據(jù)權(quán)利要求1所述的異網(wǎng)流量穿透檢測方法，其特征在于，在步驟一中，由配置模塊對所述探針端進行配置，所述配置模塊包括探測策略版塊、策略生效版塊； 所述探測策略版塊負責設(shè)置配置，配置的內(nèi)容包括: 提取時間、提取頻率、數(shù)據(jù)包大小、數(shù)據(jù)包過濾要求。3.根據(jù)權(quán)利要求1所述的異網(wǎng)流量穿透檢測方法，其特征在于，所述步驟二具體包括: 步驟2.1，所述策略生效版塊負責給不同的探針端分配策略并啟動生效； 步驟2.2，所述探針端按照設(shè)置好的探測策略提取符合要求的數(shù)據(jù)包;所述數(shù)據(jù)包包括HTTP的請求包和DNS解析的數(shù)據(jù)包信息； 步驟2.3，所述探針端提取好數(shù)據(jù)后將相關(guān)數(shù)據(jù)上傳至數(shù)據(jù)庫存儲。4.根據(jù)權(quán)利要求1所述的異網(wǎng)流量穿透檢測方法，其特征在于，所述步驟三具體包括: 步驟3.1，首先對將數(shù)據(jù)庫中原始數(shù)據(jù)進行預(yù)處理，將HTTP請求包的若干數(shù)據(jù)項拆分提取出URL路徑； 步驟3.2，其次，分析HTTP請求包中URL信息與DNS信息是否匹配，若匹配成功則表明為正常訪問行為;若匹配失敗，則表明為異網(wǎng)流量穿透方式； 步驟3.3，通過條件篩選的方式查詢異網(wǎng)流量穿透的具體信息，便于管理者了解詳情和決策。5.異網(wǎng)流量穿透檢測系統(tǒng)，其特征在于，該系統(tǒng)包括探測模塊、數(shù)據(jù)統(tǒng)計分析模塊、配置模塊和設(shè)備管理模塊； 所述探測模塊設(shè)置在某待測運營商的網(wǎng)關(guān)處設(shè)置探測模塊，稱帶有所述探測模塊的設(shè)備為探針端； 所述數(shù)據(jù)統(tǒng)計分析模塊對將數(shù)據(jù)庫中原始數(shù)據(jù)進行預(yù)處理，將HTTP請求包的若干數(shù)據(jù)項拆分提取出URL路徑;分析HTTP請求包中URL信息與DNS信息是否匹配，若匹配成功則表明為正常訪問行為;若匹配失敗，則表明為異網(wǎng)流量穿透方式;并且通過條件篩選的方式查詢異網(wǎng)流量穿透的具體信息，便于管理者了解詳情和決策； 所述配置模塊對所述探針端進行配置； 所述設(shè)備管理模塊對所述探針端設(shè)備性能和業(yè)務(wù)運行狀態(tài)實時監(jiān)測反饋的記錄。6.根據(jù)權(quán)利要求5所述的異網(wǎng)流量穿透檢測系統(tǒng)，其特征在于， 所述配置模塊包括探測策略版塊、策略生效版塊； 所述探測策略版塊負責設(shè)置配置，配置的內(nèi)容包括: 提取時間、提取頻率、數(shù)據(jù)包大小、數(shù)據(jù)包過濾要求； 所述策略生效版塊負責給不同的探針端分配策略并啟動生效。7.根據(jù)權(quán)利要求5所述的異網(wǎng)流量穿透檢測系統(tǒng)，其特征在于，所述性能狀態(tài)包括CPU、內(nèi)存、存儲參數(shù)進行周期性信息采集； 所述業(yè)務(wù)運行狀態(tài)包括位置拓撲結(jié)構(gòu)圖、運行狀態(tài)、執(zhí)行的探針策略信息。
【文檔編號】H04L12/26GK106059854SQ201610370862
【公開日】2016年10月26日
【申請日】2016年5月30日
【發(fā)明人】黃韜, 吳興利, 戴云偉, 林金印, 孫慶沖, 唐天龍
【申請人】南京優(yōu)速網(wǎng)絡(luò)科技有限公司