【技术实现步骤摘要】
恶意流量检测方法和系统、监控平台
本专利技术涉及移动互联网领域,特别涉及一种恶意流量检测方法和系统、监控平台。
技术介绍
随着移动互联网应用的广泛使用,移动互联网中的恶意流量问题也不断涌现,这些恶意流量包括用户终端对网络产生的恶意流量,也包括非法服务提供商(简称为:SP)向用户终端发送数据包产生的恶意流量。目前,移动互联网中恶意流量产生的原因主要有如下两种:第一种是SP在用户访问过该SP提供的网页之后,记录该访问用户的IP地址,根据其记录的IP地址,在用户没有请求的情况下,向用户推送数据包。第二种是当用户去激活数据业务(即:离线)后,如果SP没有释放该用户的IP地址,而该IP地址已经分配给新的用户使用,新用户在没有访问该SP的情况下,SP还向该IP地址恶意推送数据包,导致计费系统对该恶意流量进行计费。上述在用户不知情下的恶意流量推送给用户造成了流量损失,从而给用户带来了巨额的上网数据流量费用。但是,目前移动互联网中还没有监测这种恶意流量推送行为的方法。
技术实现思路
本专利技术实施例提供了一种恶意流量检测方法和系统、监控平台,以解决移动互联网中SP向已离线用户终端恶意推送数据流量,给用户带来巨额流量费用的问题。本专利技术实施例提供的一种恶意流量检测方法,包括:服务提供商SP监管平台采集到用户的上行请求报文时,若针对用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取上行请求报文中携带的用户的第一用户IP地址和用户请求访问的SP服务器的第一SPIP地址,在IP地址关联记录中建立第一用户IP地址和第一SPIP地址之间的对应关系;计费事件类型包括计费开...
【技术保护点】
一种恶意流量检测方法,其特征在于,包括:服务提供商SP监管平台采集到用户的上行请求报文时,若针对所述用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取所述上行请求报文中携带的所述用户的第一用户IP地址和所述用户请求访问的SP服务器的第一SP IP地址,在IP地址关联记录中建立所述第一用户IP地址和所述第一SPIP地址之间的对应关系;所述计费事件类型包括计费开始或计费结束;所述对应关系在针对所述用户的计费消息字段中的计费事件类型为计费结束时删除;所述SP监管平台采集到SP服务器发送给用户的下行请求报文时,获取所述下行请求报文中携带的第二用户IP地址和第二SPIP地址,并查询所述IP地址关联记录中是否存在所述第二用户IP地址和所述第二SP IP地址之间的对应关系;若所述IP地址关联记录中不存在所述第二用户IP地址和所述第二SP IP地址之间对应关系,所述SP监管平台检测所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配;若所述下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,所述SP监管平台将所述SP设置为非法SP。
【技术特征摘要】
1.一种恶意流量检测方法,其特征在于,包括:服务提供商SP监管平台采集到用户的上行请求报文时,若针对所述用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取所述上行请求报文中携带的所述用户的第一用户IP地址和所述用户请求访问的SP服务器的第一SPIP地址,在IP地址关联记录中建立所述第一用户IP地址和所述第一SPIP地址之间的对应关系;所述计费事件类型包括计费开始或计费结束;所述对应关系在针对所述用户的计费消息字段中的计费事件类型为计费结束时删除;所述SP监管平台采集到SP服务器发送给用户的下行请求报文时,获取所述下行请求报文中携带的第二用户IP地址和第二SPIP地址,并查询所述IP地址关联记录中是否存在所述第二用户IP地址和所述第二SPIP地址之间的对应关系;若所述IP地址关联记录中不存在所述第二用户IP地址和所述第二SPIP地址之间对应关系,所述SP监管平台检测所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配;若所述下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,所述SP监管平台将发送所述下行请求报文的SP设置为非法SP。2.根据权利要求1所述的方法,其特征在于,还包括:所述SP监管平台采集用户面报文,并识别采集到的用户面报文为上行请求报文或下行请求报文。3.根据权利要求1所述的方法,其特征在于,计费事件类型字段携带的计费事件类型为计费开始的计费消息具体为远程用户拨号认证系统RADIUS计费开始消息;所述SP监管平台采集到用户的上行请求报文包括:所述SP监管平台采集到用户的上行请求报文时,根据所述上行请求报文中携带的第一用户IP地址,从RADIUS服务器查询针对所述用户的RADIUS计费开始消息;响应于查询到所述用户的RADIUS计费开始消息,执行所述获取所述上行请求报文中携带的所述用户的第一用户IP地址和所述用户请求访问的SP的第一SPIP地址的操作,所述RADIUS计费开始消息中包括所述第一用户IP地址和所述用户的用户标识。4.根据权利要求1所述的方法,其特征在于,计费事件类型字段携带的计费事件类型为计费开始的计费消息具体为RADIUS计费开始消息;RADIUS服务器接收到针对所述用户的RADIUS计费开始消息时,向所述SP监管平台上报针对所述用户的RADIUS计费开始消息,所述RADIUS计费开始消息中包括所述第一用户IP地址和所述用户的用户标识;所述SP监管平台根据所述第一用户IP地址,采集所述用户的上行请求报文,并在采集到所述用户的上行请求报文时,执行所述获取所述上行请求报文中携带的所述用户的第一用户IP地址和所述用户请求访问的SP的第一SPIP地址的操作。5.根据权利要求3或4所述的方法,其特征在于,所述在IP地址关联记录中建立所述第一用户IP地址和所述第一SPIP地址之间的对应关系包括:所述SP监管平台从所述RADIUS计费开始消息中获取所述用户的用户标识,在IP地址关联记录中建立所述用户的用户标识、第一用户IP地址和所述第一SPIP地址之间的对应关系。6.根据权利要求1至4任意一项所述的方法,其特征在于,计费事件类型字段携带的计费事件类型为计费结束的计费消息具体为RADIUS计费结束消息;所述方法还包括:RADIUS服务器接收到针对所述用户的RADIUS计费结束消息时,向所述SP监管平台上报针对所述用户的RADIUS计费结束消息,所述RADIUS计费结束消息中包括所述第一用户IP地址和所述用户的用户标识;所述SP监管平台根据所述第一用户IP地址,从所述IP地址关联记录中删除包括所述第一用户IP地址的对应关系。7.根据权利要求1至4任意一项所述的方法,其特征在于,业务数据的业务特征为业务特征库中的预设业务特征时,对所述第二用户IP地址不做限定;所述SP监管平台检测所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配包括:所述SP监管平台请求深度包检测DPI系统对所述业务数据的业务特征进行DPI分析,检测所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配。8.根据权利要求1至4任意一项所述的方法,其特征在于,若所述下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,所述方法还包括:所述SP监控平台切断所述SP服务器与所述用户的用户终端之间的下行数据连接。9.一种监管平台,其特征在于,包括:获取单元,用于在采集到用户的上行请求报文时,若针对所述用户的计费消息中计费事件类型字段携带的计费事件类型为计费开始,获取所述上行请求报文中携带的所述用户的第一用户IP地址和所述用户请求访问的SP服务器的第一SPIP地址;并在IP地址关联记录中建立所述第一用户IP地址和所述第一SPIP地址之间的对应关系;所述对应关系在针对所述用户的计费消息字段中的计费事件类型为计费结束时删除;以及在采集到SP服务器发送给用户的下行请求报文时,获取所述下行请求报文中携带的第二用户IP地址和第二SPIP地址;所述计费事件类型包括计费开始或计费结束;存储单元,用于存储所述IP地址关联记录;查询单元,用于查询所述IP地址关联记录中是否存在所述第二用户IP地址和所述第二SPIP地址之间的对应关系;检测单元,用于根据所述查询单元的查询结果,若所述IP地址关联记录中不存在所述第二用户IP地址和所述第二SPIP地址之间对应关系,检测所述下行请求报文中业务数据的业务特征是否与业务特征库中的预设业务特征匹配;执行单元,用于根据检测单元的检测结果,若所述下行请求报文中业务数据的业务特征与业务特征库中的预设业务特征不相匹配,将发送所述下行请求报文的SP设置为非法SP。10.根据权利要求9所述的监管平台,其特征在于,还包括:采集单元,用于采集用户面报文;识别单元,用于识别所述采集单元采集到的用户面报文为上行请求报文或下行请求报文,并将采集到...
【专利技术属性】
技术研发人员:凌颖,陈健,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。