用于控制恶意流量的方法、装置和系统制造方法及图纸

本发明专利技术公开一种用于控制恶意流量的方法、装置和系统，涉及大数据领域。其中恶意流量控制装置从流量监测装置中实时采集用户的流量记录，判断流量记录的URL是否记录在安全库中，若URL未记录在安全库中，则进一步判断流量记录是否为持续下载记录，若流量记录为持续下载记录，则将流量记录与用户的历史行为进行比较，以获得流量记录的疑似度，根据疑似度的大小向流量控制装置发送相应的控制策略，以便对恶意流量进行控制。本发明专利技术通过对从流量监测装置实时采集的流量记录进行过滤，筛选出可疑的持续下载记录，基于用户历史行为进行疑似度评分，并根据疑似度评分高低进行相应的处理，从而有效提高了网络智能服务的准确度和精细度。

Method, device and system for controlling malicious traffic

The invention discloses a method, a device and a system for controlling malicious traffic, and relates to the field of big data. The malicious traffic control device collects the user's traffic record in real time from the traffic monitoring device, determines whether the URL of the traffic record is recorded in the security library, and if the URL is not recorded in the security library, it will further determine whether the flow record is a continuous download record, and if the traffic record is a continuous download record, the flow record is recorded and The user's historical behavior is compared to obtain the suspect degree of the traffic record, and the corresponding control strategy is sent to the flow control device according to the size of the suspected degree, in order to control the malicious traffic. The invention filters the traffic records collected in real time from the flow monitoring device, filters out suspicious continuous downloading records, carries on the suspect grade based on the user's historical behavior, and handles the corresponding degree according to the degree of suspected degree, thus effectively improving the accuracy and fineness of the network intelligent service.

【技术实现步骤摘要】
用于控制恶意流量的方法、装置和系统
本专利技术涉及大数据领域，特别涉及一种用于控制恶意流量的方法、装置和系统。
技术介绍
随着4G带来网速的提升，移动终端上恶意软件/插件“偷跑流量”带来巨额话费的投诉越来越多，恶意软件的后台持续下载、偷跑，让运营商背了黑锅。例如：1)广东佛山某电信手机用户：3小时用掉23G流量。后经查为手机APP出错，反复访问并重复下载文件而产生巨大流量；2)武汉某电信手机用户：一夜之间流量跑50GB，次日凌晨被欠费停机。后经查为个人热点被盗，用于BT下载所致。为了避免这种情况的发生，目前运营商主要采用以下策略：1)方法1：短信提醒。具体为当流量达到套餐限额时，进行短信提醒。2)方法2：自动封顶。具体为流量封顶或费用超套餐500元后封顶。运营商采取的上述不区分真假“李逵”的封顶策略，虽然避免了“天价”账单，但用户的话费和损失仍然存在，用户相关投诉仍居高不下。
技术实现思路
本专利技术实施例提供一种用于控制恶意流量的方法、装置和系统，通过对从流量监测装置实时采集的流量记录进行过滤，筛选出可疑的持续下载记录，基于用户历史行为进行疑似度评分，并根据疑似度评分高低进行相应的处理本文档来自技高网...

【技术保护点】
一种用于控制恶意流量的方法，其特征在于，包括：从流量监测装置中实时采集用户的流量记录；判断所述流量记录的URL是否记录在安全库中；若所述URL未记录在安全库中，则进一步判断所述流量记录是否为持续下载记录；若所述流量记录为持续下载记录，则将所述流量记录与所述用户的历史行为进行比较，以获得所述流量记录的疑似度；根据所述疑似度的大小向流量控制装置发送相应的控制策略，以便对恶意流量进行控制。

【技术特征摘要】
1.一种用于控制恶意流量的方法，其特征在于，包括：从流量监测装置中实时采集用户的流量记录；判断所述流量记录的URL是否记录在安全库中；若所述URL未记录在安全库中，则进一步判断所述流量记录是否为持续下载记录；若所述流量记录为持续下载记录，则将所述流量记录与所述用户的历史行为进行比较，以获得所述流量记录的疑似度；根据所述疑似度的大小向流量控制装置发送相应的控制策略，以便对恶意流量进行控制。2.根据权利要求1所述的方法，其特征在于，判断所述流量记录是否为持续下载记录包括：判断具有所述URL的各流量记录之间的平均时间间隔是否小于预定间隔门限；若所述平均时间间隔小于预定间隔门限，进一步判断具有所述URL的流量记录持续条数是否大于预定条数门限；若所述流量记录持续条数大于预定条数门限，则判断所述流量记录为持续下载记录。3.根据权利要求1所述的方法，其特征在于，将所述流量记录与所述用户的历史行为进行比较，以获得所述流量记录的疑似度包括：统计所述流量记录的流量值与所述用户的流量平均值之比以作为第一指标；统计所述流量记录的流量值与所述用户的流量峰值之比以作为第二指标；判断所述URL是否出现在所述用户的历史下载地址中以作为第三指标；判断所述流量记录的生成时间是否在所述用户的上网休闲时段以作为第四指标；将第一指标至第四指标的加权和作为所述流量记录的疑似度。4.根据权利要求3所述的方法，其特征在于，若所述URL未出现在所述用户的历史下载地址中，则第三指标值为指定值，若所述URL出现在所述用户的历史下载地址中，则第三指标值为0；若所述流量记录的生成时间在所述用户的上网休闲时段，则第四指标值为指定值，若所述流量记录的生成时间未在所述用户的上网休闲时段，则第四指标值为0。5.根据权利要求3所述的方法，其特征在于，第一指标至第四指标的权重之和为1。6.根据权利要求1-5中任一项所述的方法，其特征在于，在从流量监测装置中实时采集用户的流量记录后，还包括：根据所述流量记录中的网络接入标识判断是否采用指定网络接入；若采用指定网络接入，则进一步判断所述流量记录的流量值是否大于预定流量门限；若所述流量记录的流量值大于预定流量门限，则执行判断所述流量记录的URL是否记录在安全库中的步骤。7.一种用于控制恶意流量的装置，其特征在于，包括采集模块、第一识别模块、第二识别模块、疑似度计算模块和控制模块，其中：采集模块，用于从流量监测装置中实时采集用户的流量记录；第一识别模块，用于判断所述流量记录的...

【专利技术属性】
技术研发人员：魏民，王芸，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京,11