非常规网络接入行为的监测系统及监测方法技术方案

本发明专利技术揭示了一种非常规网络接入行为的监测系统，该监测系统部署于电信运营商的互联网数据中心(IDC)机房内，与接入高宽带用户专网的接入层交换机和汇聚层路由器通信连接并进行基于NetFlow的流量流向数据采集，该监测系统包括：基础信息数据库、IP流量流向数据采集与分析模块、高宽带用户专网边界网关协议(BGP)路由信息过滤模块、高宽带用户专网下活跃用户识别模块、高宽带用户专网下活跃用户行为合法性甄别模块、信息展示及黑名单管理模块。本发明专利技术还提出一种非常规网络接入行为的监测方法。本发明专利技术的技术方案效针对高宽带(＞45Mb/s)IDC客户，对通过租赁运营商IDC数据专线等方式，非常规接入电信运营商互联网违规行为进行有效监测。

【技术实现步骤摘要】

本专利技术涉及通信领域，尤其涉及一种。
技术介绍
互联网数据中心(IDC)业务是电信运营商依托电信级机房设施、高质量网络环境和系统化监控手段为客户提供标准机房环境和优质运行指标的设备托管及互联网相关增值服务的一项业务。然而，实际运营中发现，某些高宽带IDC客户利用电信运营商提供的高宽带接入互联网便利条件，以相对廉价的专线租用费用，非常规接入运营商IDC机房的高宽带链路，从事分包二次提供互联网接入服务或违反用户协议擅自为第三方提供互联网转接(透传)服务的违规行为，而且带宽盗用手段通常较为隐蔽，给从事正当IDC业务经营的电信运营商带来巨大经济损失。近年来，违规高带宽IDC接入在电信运营商的部分省级公司屡有发生，给不法网络运营商、电信服务商、网络广告代理商提供了可乘之机，并严重影响国家对扫黄打非的高压态势。高宽带IDC客户的非常规接入行为，不利于建设文明健康的网络环境，不利于保护青少年的身心健康，不利于电信运营商作为央企的企业社会责任。为净化互联网网络环境，遏制淫秽色情信息蔓延的传播，电信运营商加大了对违规高带宽接入的清理整治力度。现有的违规检测手段多以人工检测分析等手工作坊式方式为主，效率低下。有部分专利文献涉及了网络流量管理技术，但并不适用于非常规网络接入行为的监测。例如，CN1486019揭示了一种基于服务质量的网络管理方法。该专利技术提出一种基于服务质量的网络管理方法， 该方法扩充radius server作为业务管理平台，针对具体的网络应用定制相应的QoS策略；在用户向IDC申请所要获得的服务质量和权限，并提供业务选择信息时，IDC存储上述信息,并将该信息发给radius server ；radius server对用户进行认证，同时根据用户的属性和申请的业务类型确定为该用户提供的QoS策略，在与会聚层设备交互用户认证消息时，将具体的QoS策略下发到会聚层设备上，对会聚层设备做相应的QoS策略配置，会聚层设备再向接入层设备配置针对接入层设备制定的QoS策略；最后，利用预制的QoS策略为用户服务；上述方案能够将QoS管理和用户管理、业务管理结合起来，提闻网络的服务质量和效率。CN101980506A揭示了一种基于流量特征分析的分布式入侵检测方法。该专利技术提出了一种基于流量特征分析的分布式入侵检测方法，基于JADE平台，采用智能决策分析代理和数据采集、独立入侵条件监测代理实施入侵检测数据采集、独立入侵条件监测代理针对入侵特征明确的网络入侵行为进行检测；智能决策分析代理通过改进的非参数CUSUM算法——阈值回归算法，将网络流量中不同统计特征量，包括流量带宽、新源IP地址等进行综合监测并结合数据采集、独立入侵条件代理传送的相关信息实现网络异常检测，有效提高入侵检测效率和准确性。该方法通过监测新源IP地址可以有效地区分不同的网络流量模式，进一步降低入侵检测系统的误报率。CN101155175揭示了一种基于BGP协议的出路由过滤的方法和装置。该专利技术提出了一种基于BGP协议的出路由过滤的方法和装置，本专利技术的核心是在BGP协议中承载下一跳出路由过滤(Nexthop 0RF)信息，BGP Peer之间进行出路由过滤(Outbound RouteFilter ；0RF)能力协商；然后，BGPPeer之间根据所进行的ORF能力协商结果进行出路由过滤处理。采用本专利技术，可以解决现有ORF不能根据路由的Nexthop来进行过滤的问题，大大简化配置，同时也能简化BGP在进行ORF处理的复杂度。总体而言，现有技术中并不存在对非常规网络接入行为进行有效监测的技术。
技术实现思路
本专利技术旨在提出一种针对高宽带(>45Mb/s)IDC客户，通过租赁运营商IDC数据专线等方式，非常规接入电信运营商互联网违规行为的监测方法和监测系统。根据本专利技术的一实施例，提出一种非常规网络接入行为的监测系统，该监测系统部署于电信运营商的互联网数据中心(IDC)机房内，与接入高宽带用户专网的接入层交换机和汇聚层路由器通信连接，该监测系统对所述接入层交换机和汇聚层路由器进行基于NetFlow的流量流向数据采集，该监测系统包括 基础信息数据库，保存IP地址信息；IP流量流向数据采集与分析模块，周期性地检测高宽带客户专网的实际使用者的AS号和IP地址，并周期性地对基础信息数据库中的IP地址信息进行更新；高宽带用户专网边界网关协议(BGP)路由信息过滤模块，对于自带AS号和IP地址接入的高宽带用户专网用户，对高宽带用户专网的基本呼叫处理(BCP)邻居公告的路由信息进行监控，对照IP地址信息库，对没有记录在IP地址信息库中的AS号和IP地址进行告警;高宽带用户专网下活跃用户识别模块，检测指定用户范围内下联端口流量，从下联流量中汇总用户活跃地址清单，并自动识别入/出流量比值较大的设备或端口 ；高宽带用户专网下活跃用户行为合法性甄别模块，确认违规行为的活跃用户地址并列入黑名单库；其中合法性甄别包括归属甄别、路由甄别和应用甄别；信息展示及黑名单管理模块，保存黑名单库。在一个实施例中，高宽带用户专网BGP路由信息过滤模块将没有记录在所述IP地址信息库中的AS号和IP地址列入黑名单库。在一个实施例中，高宽带用户专网下活跃用户识别模块利用深度包检测(DPI)技术识别使用地址映射技术的用户网络中的真实网元数量。在一个实施例中，高宽带用户专网下活跃用户行为合法性甄别模块执行的归属甄别包括核对用户活跃地址清单中每个地址的真实AS号归属，将不属于本AS域的地址整理为存疑地址清单；路由甄别包括发起自IDC机房固定检测点至用户活跃地址清单中每个地址的路由检测，识别流量所经历的网络路径及路由跳数；应用甄别包括在流量流向管理基础上，基于用户IP地址及应用类型进行分类分析，针对用户侧的HTTP、FTP、邮件、视频、语音等常用服务的流量，以应用类型、接入位置、用户IP地址、服务流量比例等为关键索引进行分类排序。根据本专利技术的一实施例，提出一种非常规网络接入行为的监测方法，在电信运营商的互联网数据中心(IDC)机房内部署一监测系统，该监测系统与接入高宽带用户专网的接入层交换机和汇聚层路由器通信连接，该监测系统对接入层交换机和汇聚层路由器进行基于NetFlow的流量流向数据采集，该监测方法包括建立IP地址信息库，周期性地检测高宽带客户专网的实际使用者的AS号和IP地址，并周期性地对IP地址信息库进行更新；对高宽带用户专网边界网关协议(BGP)路由信息进行过滤，对于自带AS号和IP地址接入的高宽带用户专网用户，对高宽带用户专网的基本呼叫处理(BCP)邻居公告的路由信息进行监控，对照IP地址信息库，对没有记录在IP地址信息库中的AS号和IP地址进行告警；对高宽带用户专网下活跃用户进行识别，检测指定用户范围内下联端口流量，从下联流量中汇总用户活跃地址清单，并自动识别入/出流量比值较大的设备或端口 ；高宽带用户专网下活跃用户行为合法性甄别，确认违规行为的活跃用户地址并列入黑名单库；其中合法性甄别包括归属甄别、路由甄别和应用甄别。在一个实施例中，将没有记录在所述IP地址信息库中的AS号和IP地址列入黑名单库。在一个实施例中，在对高宽带用户专网下活跃用户进行识别的步骤中，利用深度包检测(DPI)技术识别使用本文档来自技高网...

【技术保护点】
一种非常规网络接入行为的监测系统，其特征在于，该监测系统部署于电信运营商的互联网数据中心(IDC)机房内，与接入高宽带用户专网的接入层交换机和汇聚层路由器通信连接，该监测系统对所述接入层交换机和汇聚层路由器进行基于NetFlow的流量流向数据采集，该监测系统包括：基础信息数据库，保存IP地址信息；IP流量流向数据采集与分析模块，周期性地检测高宽带客户专网的实际使用者的AS号和IP地址，并周期性地对基础信息数据库中的IP地址信息进行更新；高宽带用户专网边界网关协议(BGP)路由信息过滤模块，对于自带AS号和IP地址接入的高宽带用户专网用户，对高宽带用户专网的基本呼叫处理(BCP)邻居公告的路由信息进行监控，对照所述IP地址信息库，对没有记录在所述IP地址信息库中的AS号和IP地址进行告警；高宽带用户专网下活跃用户识别模块，检测指定用户范围内下联端口流量，从下联流量中汇总用户活跃地址清单，并自动识别入/出流量比值较大的设备或端口；高宽带用户专网下活跃用户行为合法性甄别模块，确认违规行为的活跃用户地址并列入黑名单库；其中所述的合法性甄别包括归属甄别、路由甄别和应用甄别；信息展示及黑名单管理模块，保存黑名单库。...

【技术特征摘要】
1.ー种非常规网络接入行为的监测系统，其特征在于，该监测系统部署于电信运营商的互联网数据中心(IDC)机房内，与接入高宽带用户专网的接入层交换机和汇聚层路由器通信连接，该监测系统对所述接入层交换机和汇聚层路由器进行基于NetFlow的流量流向数据采集，该监测系统包括 基础信息数据库，保存IP地址信息； IP流量流向数据采集与分析模块，周期性地检测高宽带客户专网的实际使用者的AS号和IP地址，并周期性地对基础信息数据库中的IP地址信息进行更新； 高宽带用户专网边界网关协议(BGP)路由信息过滤模块，对于自带AS号和IP地址接入的高宽带用户专网用户，对高宽带用户专网的基本呼叫处理(BCP)邻居公告的路由信息进行监控，对照所述IP地址信息库，对没有记录在所述IP地址信息库中的AS号和IP地址进行告警； 高宽带用户专网下活跃用户识别模块，检测指定用户范围内下联端ロ流量，从下联流量中汇总用户活跃地址清单，并自动识别入/出流量比值较大的设备或端ロ ； 高宽带用户专网下活跃用户行为合法性甄别模块，确认违规行为的活跃用户地址并列入黑名单库；其中所述的合法性甄别包括归属甄别、路由甄别和应用甄别； 信息展示及黑名单管理模块，保存黑名单库。2.如权利要求1所述的非常规网络接入行为的监测系统，其特征在于，所述高宽带用户专网BGP路由信息过滤模块将没有记录在所述IP地址信息库中的AS号和IP地址列入黑名单库。3.如权利要求1所述的非常规网络接入行为的监测系统，其特征在于，所述高宽带用户专网下活跃用户识别模块利用深度包检测(DPI)技术识别使用地址映射技术的用户网络中的真实网元数量。4.如权利要求1所述的非常规网络接入行为的监测系统，其特征在于，所述高宽带用户专网下活跃用户行为合法性甄别模块执行的所述归属甄别包括核对用户活跃地址清单中每个地址的真实AS号归属，将不属于本AS域的地址整理为存疑地址清单；所述路由甄别包括发起自IDC机房固定检测点至用户活跃地址清单中每个地址的路由检测，识别流量所经历的网络路径及路由跳数；所述应用甄别包括在流量流向管理基础上，基于用户IP地址及应用类型进行分类分析，针对用户侧的HTTP、FTP、邮件、视频、语...

【专利技术属性】
技术研发人员：熊立宏，汤正冬，
申请(专利权)人：上海城际互通通信有限公司，
类型：发明
国别省市：