【技术实现步骤摘要】
一种基于流量识别技术的宽带私接检测方法及检测设备
[0001]本专利技术涉及信息安全领域,更具体地,涉及一种基于流量识别技术的宽带私接检测方法及检测设备
。
技术介绍
[0002]随着互联网的普及,我国网民数量不断增加,对于运营商来说,为在校生提供校园宽带服务是一个非常重要的营收来源
。
当前,大多数高校的校园网都提供包月或包年套餐,其中校园宽带套餐费用相对于企业用户和家庭用户来说较低,以便满足学生的支付能力
。
然而,运营商发现高校学生用户普遍存在利用宽带计费技术的不足来共享宽带的情况,这给运营商带来了巨大的经济损失
。
此外,这种共享校园网宽带的行为也不利于高校信息化管理部门进行网络监管
。
教育部颁发了关于加强高等学校网络管理工作的意见,要求切实抓好校园网站的登记
、
备案工作落实用户实名制登记制度,加强校园网站与网络用户的统一归口管理
。
学生共享上网的行为会导致实名认证上网失效,因此学校也无法进行精确监管
。
如何设计一个防止用户私自接入网络的检测系统,来解决高校信息化管理部门的监管痛点以及减少运营商的经济损失是一个亟待解决的问题
。
[0003]自出现用户私接上网的行为之后,有各种各样的宽带私接检测方案被提出,但是这些方案或多或少都存在着一些问题
。
例如,检测
TCP
同步确认报文中的时间戳与系统时间的差值是否超过设定值
、 />检测用户是否有多个不同的
IPid
的轨迹图以及检测用户是否有多个设备使用同一个
IP
上网等等,这些做法都较为单一,存在可靠性较差的问题,容易受网络环境的影响
。
而基于操作系统或应用程序自身对
DNS
的规律性访问行为特征,建立终端特征库,以此来判断用户是否出现私接上网的行为的做法实时性较差,此外用户终端特征库的建立也需要花费大量的时间,在应用流量日趋复杂的当今,无法满足宽带私接检测系统对于用户私接行为的精确判定和高效打击的需求
。
技术实现思路
[0004]本专利技术针对现有技术中存在的技术问题,提供一种基于流量识别技术的宽带私接检测方法及检测设备
。
[0005]根据本专利技术的第一方面,提供了一种基于流量识别技术的宽带私接检测方法,包括:
[0006]获取
BRAS
设备的镜像流量;
[0007]对所述镜像流量进行特征识别,提取用户的上网认证信息和用户在线状态信息;
[0008]通过流表追踪所述镜像流量中的用户应用数据流,通过应用识别库找到所述用户应用数据流所属的应用
ID
号,根据所述应用
ID
号,从特征提取库中找到对应的特征字符集,通过所述特征字符集匹配得到用户的应用特征和设备特征;
[0009]根据用户的上网认证信息
、
用户在线状态信息
、
用户的应用特征和设备特征,绘制出用户关系图谱;
[0010]根据所述用户关系图谱对用户宽带私接行为进行判断,根据用户宽带私接行为的严重程度,采取对应的打击策略对私接用户上网进行打击干扰
。
[0011]在上述技术方案的基础上,本专利技术还可以作出如下改进
。
[0012]可选的,对所述镜像流量进行特征识别,提取用户的上网认证信息和用户在线状态信息,包括:
[0013]获取所述镜像流量中用户认证上网阶段所产生的
PPPoE
报文
、Portal
报文和
RADIUS
报文;
[0014]对所述
PPPoE
报文
、Portal
报文和
RADIUS
报文进行特征识别,提取用户的上网账号信息;
[0015]根据用户的上网账号信息,建立用户表并维护用户的上网在线状态信息
。
[0016]可选的,所述对
PPPoE
报文
、Portal
报文和
RADIUS
报文进行特征识别,提取用户的上网账号信息,包括:
[0017]对
PPPoE
报文进行解析,从
PPPoE
报文的发现阶段中产生的
PADS
报文里提取会话
ID
,从
PPPoE
报文的会话阶段的报文中提取出用户名
、
密码
、
认证结果和链路连接状态信息;
[0018]对
Portal
报文进行解析,解析
HTTP POST
请求中的表单字段,获取用户输入的用户名
、
密码信息;对
URL、Cookie
字段进行解析,获取用户会话状态以及用户设备信息;
[0019]从
RADIUS
报文的
Access
‑
Request
报文中提取用户名
、
密码,从
Access
‑
Accept
报文中获取用户
IP
地址
、
用户组
、
接入服务类型信息,从
Accounting
‑
Request
报文中获取用户上网时长
、
进
/
出的字节数
。
[0020]可选的,所述通过流表追踪所述镜像流量中的用户应用数据流,通过应用识别库找到所述用户应用数据流所属的应用
ID
号,包括:
[0021]对所述镜像流量中的
IP
报文进行识别处理,根据
IP
报文中的五元组信息建立流表或者匹配已有流表,使用流表来记录属于同一条应用流的数据信息,所述应用流的数据信息包括上下行包数
、
字节数和应用
ID
;
[0022]加载应用识别库,根据不同的协议类型识别
IP
报文中不同类型的报文;
[0023]从不同类型的报文中匹配识别相应的字段,返回所述字段对应的应用
ID
号
。
[0024]可选的,所述从不同类型的报文中匹配识别相应的字段,返回所述字段对应的应用
ID
号,包括:
[0025]对于
TCP
报文和
UDP
报文,匹配
TCP
报文和
UDP
报文的
Payload
中五元组和特征码
、
特征包长;
[0026]对于
HTTP
报文,匹配
Host、Url、User
‑
Agent、Coo本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种基于流量识别技术的宽带私接检测方法,其特征在于,包括:获取
BRAS
设备的镜像流量;对所述镜像流量进行特征识别,提取用户的上网认证信息和用户在线状态信息;通过流表追踪所述镜像流量中的用户应用数据流,通过应用识别库找到所述用户应用数据流所属的应用
ID
号,根据所述应用
ID
号,从特征提取库中找到对应的特征字符集,通过所述特征字符集匹配得到用户的应用特征和设备特征;根据用户的上网认证信息
、
用户在线状态信息
、
用户的应用特征和设备特征,绘制出用户关系图谱;根据所述用户关系图谱对用户宽带私接行为进行判断,根据用户宽带私接行为的严重程度,采取对应的打击策略对私接用户上网进行打击干扰
。2.
根据权利要求1所述的宽带私接检测方法,其特征在于,所述对所述镜像流量进行特征识别,提取用户的上网认证信息和用户在线状态信息,包括:获取所述镜像流量中用户认证上网阶段所产生的
PPPoE
报文
、Portal
报文和
RADIUS
报文;对所述
PPPoE
报文
、Portal
报文和
RADIUS
报文进行特征识别,提取用户的上网账号信息;根据用户的上网账号信息,建立用户表并维护用户的上网在线状态信息
。3.
根据权利要求2所述的宽带私接检测方法,其特征在于,所述对所述
PPPoE
报文
、Portal
报文和
RADIUS
报文进行特征识别,提取用户的上网账号信息,包括:对
PPPoE
报文进行解析,从
PPPoE
报文的发现阶段中产生的
PADS
报文里提取会话
ID
,从
PPPoE
报文的会话阶段的报文中提取出用户名
、
密码
、
认证结果和链路连接状态信息;对
Portal
报文进行解析,解析
HTTP POST
请求中的表单字段,获取用户输入的用户名
、
密码信息;对
URL、Cookie
字段进行解析,获取用户会话状态以及用户设备信息;从
RADIUS
报文的
Access
‑
Request
报文中提取用户名
、
密码,从
Access
‑
Accept
报文中获取用户
IP
地址
、
用户组
、
接入服务类型信息,从
Accounting
‑
Request
报文中获取用户上网时长
、
进
/
出的字节数
。4.
根据权利要求1所述的宽带私接检测方法,其特征在于,所述通过流表追踪所述镜像流量中的用户应用数据流,通过应用识别库找到所述用户应用数据流所属的应用
ID
号,包括:对所述镜像流量中的
IP
报文进行识别处理,根据
IP
报文中的五元组信息建立流表或者匹配已有流表,使用流表来记录属于同一条应用流的数据信息,所述应用流的数据信息包括上下行包数
、
字节数和应用
ID
;加载应用识别库,根据不同的协议类型识别
IP
报文中不同类型的报文;从不同类型的报文中匹配识别相应的字段,返回所述字段对应的应用
ID
号
。5.
根据权利要求4所述的宽带私接检测方法,其特征在于,所述从不同类型的报文中匹配识别相应的字段,...
【专利技术属性】
技术研发人员:彭凯,李书胜,徐博,梅松,郭佳璐,陆通,李梦君,胡梦兰,肖世达,张晓枫,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。