本发明专利技术公开了一种识别异常网络互联流量的方法,所述方法包括:在核心路由器上针对指定的下行接口建立网络会话记录;确认接收的报文为可疑报文时,构建探测报文,并将所述探测报文在所述指定的下行接口上发送至可疑报文的发送方;接收可疑报文的发送方根据所述探测报文发送的网络请求报文,并根据所述网络请求报文识别异常网络互联流量。本发明专利技术还同时公开了一种识别异常网络互联流量的装置。
【技术实现步骤摘要】
本专利技术涉及数据处理技术,尤其涉及一种识别异常网络互联流量的方法及装置。
技术介绍
目前,中国的各运营商接入网、城域网和骨干网基本都是独立建设,通过集团层面建设统一的互联互通链路实现不同运营商之间的互联互通;集团层面建设的互联互通链路的流量需要进行网间结算。由于网间结算是基于流量的计算,滋生个别非法企业从一级网络运营商批量购买带宽后,企业自己并不使用低价批量购买的带宽,而是将低价批量购买的带宽转卖给二级网络运营商,以此谋取利润。互联互通链路的流量示意图,如图1所示,互联网服务提供商(InternetServiceProvider,ISP)A属于一级网络运营商,ISPB属于二级网络运营商;实线部分表示异常流量,即非法流量,虚线部分表示正常流量,即合法流量。二级网络运营商通过非法的互联互通链路使自己的接入客户绕开正常的网间结算的互联互通通道来访问一级网络运营商的业务资源,降低二级网络运营商的网间结算费用和运营成本,损害一级网络运营商的利益。
技术实现思路
有鉴于此,本专利技术实施例期望提供一种识别异常网络互联流量的方法及装置,不仅能够识别异常网络互联流量,即二级网络运营商通过非法的互联互通链路使自己的接入客户绕开正常的网间结算的互联互通通道来访问一级网络运营商的业务资源所使用的流量,保护一级网络运营商的利益。本专利技术实施例的技术方案是这样实现的:本专利技术实施例提供一种识别异常网络互联流量的方法,所述方法包括:在核心路由器上针对指定的下行接口建立网络会话记录;确认接收的报文为可疑报文时,构建探测报文,并将所述探测报文在所述指定的下行接口上发送至可疑报文的发送方;接收可疑报文的发送方根据所述探测报文发送的网络请求报文,并根据所述网络请求报文识别异常网络互联流量。在一实施例中,在接收报文后,所述方法还包括:在所述指定的下行接口上接收报文时检查已经建立的网络会话记录,确认所述报文的信息与已经建立的网络会话记录信息不匹配时,新建所述报文的网络会话记录;其中,所述报文的网络会话记录与已经建立的网络会话记录信息不匹配,包括:所述报文的中的源地址、目的地址、源端口号、目的端口号、接收报文的入接口和接收报文的时间戳与已经建立的网络会话记录信息不一致。在一实施例中,所述确认接收的报文为可疑报文,包括:所述报文的入接口为所述指定的下行接口时,确认所述报文为可疑报文。在一实施例中,所述根据所述网络请求报文识别异常网络互联流量,包括:在已经建立的网络会话记录中不存在与所述网络请求报文的网络会话记录信息匹配的信息、或所述网络请求报文的入接口不是所述指定的下行接口、或所述网络请求报文不包括可疑报文的网络会话记录所关联的标识所述可疑报文的数据特征时,识别为异常网络互联流量。在一实施例中,所述方法还包括:在识别异常网络互联流量后,记录异常访问用户的互联网协议IP地址和访问时间。本专利技术实施例还提供一种识别异常网络互联流量的装置,所述装置包括:建立模块、第一处理模块和识别模块;其中,所述建立模块,用于在核心路由器上针对指定的下行接口建立网络会话记录;所述第一处理模块,用于确认接收的报文为可疑报文时,构建探测报文,并将所述探测报文在所述指定的下行接口上发送至可疑报文的发送方;所述识别模块,用于接收可疑报文的发送方根据所述探测报文发送的网络请求报文,并根据所述网络请求报文识别异常网络互联流量。在一实施例中,所述装置还包括:第二处理模块,用于在所述指定的下行接口上接收报文时检查已经建立的网络会话记录,确认所述报文的信息与已经建立的网络会话记录信息是否匹配;相应的,所述建立模块,还用于在所述第二处理模块确认所述报文的信息与已经建立的网络会话记录信息不匹配时,新建所述报文的网络会话记录;所述报文的信息与已经建立的网络会话记录信息不匹配,包括:所述报文的中的源地址、目的地址、源端口号、目的端口号、接收报文的入接口和接收报文的时间戳与已经建立的网络会话记录信息不一致时,确认所述报文的信息与已经建立的网络会话记录信息不匹配。在一实施例中,所述第一处理模块,具体用于在所述报文的入接口为所述指定的下行接口时,确认所述报文为可疑报文。在一实施例中,所述识别模块,具体用于在已经建立的网络会话记录中不存在与所述网络请求报文的网络会话记录信息匹配的信息、或所述网络请求报文的入接口不是所述指定的下行接口、或所述网络请求报文不包括可疑报文的网络会话记录所关联的标识所述可疑报文的数据特征时,识别为异常网络互联流量。在一实施例中,所述装置还包括:记录模块,用于在识别异常网络互联流量后,记录异常访问用户的IP地址和访问时间。本专利技术实施例所提供的识别异常网络互联流量的方法及装置,在核心路由器上针对指定的下行接口建立网络会话记录;确认接收的报文为可疑报文时,构建探测报文,并将所述探测报文在所述指定的下行接口上发送至可疑报文的发送方;接收可疑报文的发送方根据所述探测报文发送的网络请求报文,并根据所述网络请求报文识别异常网络互联流量。如此,通过对可疑报文构建探测报文,能够主动探测可疑报文的源端主机位置,将合法报文和非法报文的流量路径进行分离,识别异常网络互联流量,即二级网络运营商通过非法的互联互通链路使自己的接入客户绕开正常的网间结算的互联互通通道来访问一级网络运营商的业务资源所使用的流量,保护了一级网络运营商的利益。附图说明图1为本专利技术互联互通链路的流量示意图;图2为本专利技术一级网络运营商检测异常网络互联互通流量的方案示意图;图3为本专利技术实施例识别异常网络互联流量的方法的处理流程示意图;图4为本专利技术实施例报文路径示意图;图5为本专利技术实施例可疑报文为企业客户内部服务器或主机发出的网络报文时,识别异常网络互联流量的处理流程示意图;图6为本专利技术实施例可疑报文为ISPB的用户B发出的网络报文时,识别异常网络互联流量的处理流程示意图;图7为本专利技术实施例识别异常网络互联流量的装置的组成结构示意图。具体实施方式本专利技术实施例中,在一级网络运营商的核心路由器上针对指定的下行接口建立网络会话记录;确认接收的报文为可疑报文时,构建探测报文,并将所述探测报文在所述指定的下行接口上发送至可疑报文的发送方;接收可疑报文的发送方根据所述探测报文发送的网络请求报文,并根据所述网络请求报文识别异常网络互联流量。为更好地理解本专利技术实施例的技术方案,下面简要说明现有技术中一级网本文档来自技高网...
【技术保护点】
一种识别异常网络互联流量的方法,其特征在于,所述方法包括:在核心路由器上针对指定的下行接口建立网络会话记录;确认接收的报文为可疑报文时,构建探测报文,并将所述探测报文在所述指定的下行接口上发送至可疑报文的发送方;接收可疑报文的发送方根据所述探测报文发送的网络请求报文,并根据所述网络请求报文识别异常网络互联流量。
【技术特征摘要】
1.一种识别异常网络互联流量的方法,其特征在于,所述方法包括:
在核心路由器上针对指定的下行接口建立网络会话记录;
确认接收的报文为可疑报文时,构建探测报文,并将所述探测报文在所述
指定的下行接口上发送至可疑报文的发送方;
接收可疑报文的发送方根据所述探测报文发送的网络请求报文,并根据所
述网络请求报文识别异常网络互联流量。
2.根据权利要求1所述识别异常网络互联流量的方法,其特征在于,在接
收报文后,所述方法还包括:
在所述指定的下行接口上接收报文时检查已经建立的网络会话记录,确认
所述报文的信息与已经建立的网络会话记录信息不匹配时,新建所述报文的网
络会话记录;其中,
所述报文的信息与已经建立的网络会话记录信息不匹配,包括:
所述报文的中的源地址、目的地址、源端口号、目的端口号、接收报文的
入接口和接收报文的时间戳与已经建立的网络会话记录信息不一致。
3.根据权利要求1或2所述识别异常网络互联流量的方法,其特征在于,
所述确认接收的报文为可疑报文,包括:
所述报文的入接口为所述指定的下行接口时,确认所述报文为可疑报文。
4.根据权利要求1或2所述识别异常网络互联流量的方法,其特征在于,
所述根据所述网络请求报文识别异常网络互联流量,包括:
在已经建立的网络会话记录中不存在与所述网络请求报文的网络会话记录
信息匹配的信息、或所述网络请求报文的入接口不是所述指定的下行接口、或
所述网络请求报文不包括可疑报文的网络会话记录所关联的标识所述可疑报文
的数据特征时,识别为异常网络互联流量。
5.根据权利要求1或2所述识别异常网络互联流量的方法,其特征在于,
所述方法还包括:
在识别异常网络互联流量后,记录异常访问用户的互联网协议IP地址和访
问时间。
6.一种识别异常网络互联流量的装置,其特征在于,所述装置包括:建立
模块、第一处理模...
【专利技术属性】
技术研发人员:龚纯,
申请(专利权)人:中国移动通信集团江西有限公司,
类型:发明
国别省市:江西;36
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。