一种检测数据透传的方法及设备与流程

本发明涉及通信数据传输技术领域，特别涉及一种检测数据透传的方法及设备。

背景技术：

目前，大部分IDC机房使用电信、联通线路作为其主要接入带宽，两大运营商的带宽资源长期存在被小运营商或竞争对手通过VPN+NAT方式非法盗用的问题，这种行为被称为“透传”。

竞争对手的“透传”行为对运营商的盈利能力产生很大威胁，并严重扰乱了互联网接入行业秩序，互联网监管部门也严令禁止互联网接入商做透传。对于IDC服务提供商来说，更有着对其客户的服务器所做业务进行监管、审查的义务。目前，已经有多家IDC服务商因为涉及透传问题而被要求赔偿巨额损失，最终不得不申请破产。

因此，电信运营商和IDC服务提供商都急需一种技术或方法，能有效地监控、统计机房内各台服务器的流量情况，并能自动筛查存在“透传”行为的IP或服务器，准确地发现透传并实施封锁。

但是数据“透传”隐蔽性很强，常规的抓包等分析方法很难发现，而很多通用的流量统计工具又存在着监控性能不足(10Gbps接入在IDC机房已很常见)、统计不准确、无法定位远端IP等缺点，无法为“透传”行为的筛查提供有效依据，并缺乏针对“透传”审查的业务流程。

技术实现要素：

为了解决上述问题，本发明提供了一种检测数据透传的方法及设备，通过对IP流量数据进行多层次的统计分析，达到根据疑似私接IP确定透传IP的目的。

所述技术方案如下：

第一方面，提供了一种检测数据透传的方法，其特征在于，所述方法包括：

采集IDC服务器的至少一个IP的流量数据，其中，所述流量数据包括机房外访流量、机房外访http get数量、VPN疑似流量占比、单纯外访流量和异常应用数量中的任意一个或多个；

根据所述流量数据对所述IP进行多层统计分析，得到至少一个疑似私接IP；

对所述疑似私接IP抓取数据包，确定为透传IP。

结合第一方面，在第一种可能的实施方式中，所述根据所述流量数据对所述IP进行多层统计分析，得到至少一个疑似私接IP包括：

根据所述流量数据对所述IP进行初步排序并计算，得到所述IP的初步疑似度；

根据预设的初步疑似度的阈值对所述IP进行综合排序并计算，得到所述IP的综合疑似度；

根据所述综合疑似度确定至少一个疑似私接IP。

结合第一种可能的实施方式，在第二种可能的实施方式中，根据所述流量数据对所述IP进行初步排序并计算，得到所述IP的初步疑似度包括：

根据所述流量数据对所述IP进行前100排序，对前30个IP赋值疑似度60％，后70个IP赋值疑似度40％；

根据IP备案库信息，对判定不属于本运营商的IP赋值疑似度80％；其中，所述流量数据包括：机房外访流量、机房外访http get数量和单纯外访流量中的任意一个或多个。

结合第一种可能的实施方式，在第三种可能的实施方式中，根据所述流量数据对所述IP进行初步排序并计算，得到所述IP的初步疑似度包括：

根据所述流量数据对所述IP进行前100排序，并赋值疑似度75％；

根据IP备案库信息，对判定不属于本运营商的IP赋值疑似度85％，其中，所述流量数据包括：VPN疑似流量占比和异常应用数量中的任意一个或多个。

结合第一种可能的实施方式，在第四种可能的实施方式中，所述根据预设的初步疑似度的阈值对所述IP进行综合排序并计算，得到所述IP的综合疑似度包括：

将初步疑似度大于或等于60％的IP进行排序并计算，得到所述IP的综合疑似度；

若所述IP出现多个初步疑似度，则每出现一次，则取疑似度高的疑似度值，并赋值疑似度增加5％。

第二方面，提供了一种检测数据透传的设备，其特征在于，所述设备包括：

数据采集单元，用于采集IDC服务器的至少一个IP的流量数据，其中，所述流量数据包括机房外访流量、机房外访http get数量、VPN疑似流量占比、单纯外访流量和异常应用数量中的任意一个或多个；

数据分析单元，用于根据所述流量数据对所述IP进行多层统计分析，得到至少一个疑似私接IP；

透传IP确定单元，用于对所述疑似私接IP抓取数据包，确定为透传IP。

结合第二方面，在第一种可能的实施方式中，所述数据单元还包括：

初步分析单元，用于根据所述流量数据对所述IP进行初步排序并计算，得到所述IP的初步疑似度；

综合分析单元，用于根据预设的初步疑似度的阈值对所述IP进行综合排序并计算，得到所述IP的综合疑似度；

疑似私接IP确定单元，用于根据所述综合疑似度确定至少一个疑似私接IP。

结合第一种可能的实施方式，在第二种可能的实施方式中，初步分析单元具体用于：

根据所述流量数据对所述IP进行前100排序，对前30个IP赋值疑似度60％，后70个IP赋值疑似度40％；

根据IP备案库信息，对判定不属于本运营商的IP赋值疑似度80％；其中，所述流量数据包括：机房外访流量、机房外访http get数量和单纯外访流量中的任意一个或多个。

结合第一种可能的实施方式，在第三种可能的实施方式中，初步分析单元还用于：

根据所述流量数据对所述IP进行前100排序，并赋值疑似度75％；

根据IP备案库信息，对判定不属于本运营商的IP赋值疑似度85％，其中，所述流量数据包括：VPN疑似流量占比和异常应用数量中的任意一个或多个。

结合第一种可能的实施方式，在第四种可能的实施方式中，综合分析单元用于：

将初步疑似度大于或等于60％的IP进行排序并计算，得到所述IP的综合疑似度；

若所述IP出现多个初步疑似度，则每出现一次，则取疑似度高的疑似度值，并赋值疑似度增加5％。

本发明实施例提供了一种检测数据透传的方法及设备，通过采集IDC服务器的至少一个IP的流量数据，可以从多个维度对IP的流量进行统计和分析，提高检测精确度；通过对IP进行多层统计分析，得到至少一个疑似私接IP，多层统计分析可以分别对单个维度的流量数据和综合流量数据进行统计分析，进一步提高检测精确度；通过抓取数据包，确定透传IP，能够对IP进行追踪并记录为透传证据，定位远端IP，同时进一步分析IP提高对透传IP的检测精度。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一优选实施例提供的检测数据透传的方法流程示意图；

图2是本发明另一优选实施例提供的检测数据透传的设备结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在一优选的实施例中提供了一种检测数据透传的方法，参见图1，该方法包括：

S101、采集IDC服务器的至少一个IP的流量数据，其中，流量数据包括机房外访流量、机房外访http get数量、VPN疑似流量占比、单纯外访流量和异常应用数量中的任意一个或多个。

其中，机房外访流量是IDC机房内的服务器主动向机房外部、公网上的站点发起的访问所使用的流量。

其中，机房外访http get数量是IDC机房内的服务器主动向机房外部、公网上的站点发起的访问数量。

其中，VPN疑似流量占比是IDC机房内的服务器IP含有VPN协议类型，基于IP，计算VPN流量在总流量(总流入流量+总流出流量)中的占比，若占比高于96％，则确定为VPN疑似流量占比。

其中，单纯外访流量是IDC机房内的服务器IP单纯向机房外部网络站点发起访问的上下行流量，而上网用户向此IP发起的访问总流量为0。

其中，异常应用数量是对IDC机房内的服务器IP进行识别分析，具体对其流量中的QQ账号、邮件账号、UA数量等，得到承载多个应用账号的IP的信息。

可选的，对IDC服务器中的IP的流量数据进行采集的方法不做具体限定，可以在服务器端设置专门的采集和统计设备对其中的IP流量数据进行采集，也可以在外网出入口设置采集和统计设备。

值得注意的是，由于CDN业务与宽带私接业务有相似性，因此，在获取IP的流量数据时，不采集属于CDN业务的IP流量数据。

通过采集IP的机房外访流量、机房外访http get数量、VPN疑似流量占比、单纯外访流量和异常应用等多个维度的流量数据，可以从多个维度对IP进行统计和分析，保证从多方面反应IP的流量情况，对IP进行多层次的跟踪访问并保证确定为透传IP的准确性。

S102、根据流量数据对IP进行多层统计分析，得到至少一个疑似私接IP。

具体地，根据流量数据对IP进行初步排序并计算，得到IP的初步疑似度；

根据预设的初步疑似度的阈值对IP进行综合排序并计算，得到IP的综合疑似度；

根据综合疑似度确定至少一个疑似私接IP。

其中，根据机房外访流量对IP进行初步排序并计算，得到IP的初步疑似度包括：

根据机房外访流量对IDC服务器中的IP进行前100排序和展示，对前30个IP赋值疑似度60％，后70个赋值疑似度40％；

基于IP过滤，根据IP备案库信息，对IP是否归属于本运营商进行标记，非本运营商的IP赋值疑似度直接提升至80％，并列出IP具体归属信息。

其中，根据机房外访http get数量对IP进行初步排序并计算，得到IP的初步疑似度包括：

根据机房外访http get数量对IDC服务器中的IP进行前100排序，对前30个IP赋值疑似度60％，后70个赋值疑似度40％；

基于IP过滤，若有非本运营商的IP计入排序，则赋值疑似度提升至80％，并列出具体归属信息。

其中，根据VPN疑似流量占比对IP进行初步排序并计算，得到IP的初步疑似度包括：

将得到的VPN流量占比进行前100排序并展示，赋值疑似度75％；

基于IP过滤，若有非本运营商的IP计入排序，则赋值疑似度提升至85％，并列出具体归属信息。

值得注意的是，因VPN涉及到内外层IP地址，在判断运营商归属时，需按照内层IP地址进行其他运营商IP归属判断，按照外层IP进行本运营商合法IP的判断，并将上述两种归属信息均展示。

其中，根据单纯外访流量对IP进行初步排序并计算，得到IP的初步疑似度包括：

根据单纯外访流量对IDC服务器中的IP进行前100排序，对前30个IP赋值疑似度60％，后70个赋值疑似度40％；

基于IP过滤，若有非本运营商的IP计入排序，则赋值疑似度提升至80％，并列出具体归属信息。

值得注意的是，通过采集单纯外访流量的方式可以涵盖到机房内服务器采用两个或两个以上IP地址的情况，尤其是VPN流量在一个IP地址上面终结，终结后流量从同服务器另外一个IP地址转发出去的情况。

其中，根据异常应用数量对IP进行初步排序并计算，得到IP的初步疑似度包括：

根据异常应用数量对IP进行前100排序并展示，赋值疑似度75％；

基于IP过滤，若有非本运营商的IP计入排序，则赋值疑似度提升至85％。

对上述各个单维度的流量数据进行排序统计和计算，能够衡量IDC服务器中的IP在各个维度上的“透传嫌疑”，更精确的统计带来更全面的监控IP的流量数据。

根据预设的初步疑似度的阈值对IP进行综合排序并计算，得到IP的综合疑似度具体包括：

将初步疑似度大于或等于60％的IP进行前100排序并计算，得到IP的综合疑似度；

若IP出现多个初步疑似度，则每出现一次，则取疑似度高的疑似度值，并赋值疑似度增加5％。

其中，IP的综合疑似度最高设置为95％。

其中，在对初步疑似度大于60％的IP进行前100排序并计算时，构建如下计算函数：

1)排名函数Tn(IP，V)：基于IP，根据V值的大小，进行前N排序，输出为前N的名次。其中，V值为各个维度的流量数据。

2)初步疑似度函数Zi(IP，Tn)：在每个流量数据维度内，基于IP和对应Tn值，计算输出该IP的初步疑似度。

3)综合疑似度函数Zq(IP，Zi)：对全部初步疑似度大于或等于60％的IP，计算综合疑似度(含IP交叉出现情况)。

所以，整体数学表达如下：

∑TN(IP，Zq)＝∑TN(IP，Zq(IP，Zi))＝∑TN(IP，Zq(IP，Zi(IP，Tn(IP，Vi))))

其中：N＝1，2...100表示疑似汇总排名前100；i＝1，2...5表示5个疑似维度下的不同情况；n＝1，2...100表示单维度疑似排名前100。

通过对各个维度的流量数据进行综合排序和计算，得到IP的综合疑似度，便于对直观的对疑似IP进行分析和比较，能够精确统计到应用层协议类型和远端IP，也能够更全面的体现IP的可疑性，进一步提高对透传IP的准确监控。

S103、对疑似私接IP抓取数据包，确定为透传IP。

具体地，对疑似私接IP进行在线自动抓取数据包和展现；

解析数据包并根据展现内容判定疑似私接IP是否为透传IP，若是，则确认抓取记录，若否，则结束。

其中，抓取记录可以作为证明透传IP的证据，留存在专用目录。

可选的，对疑似私接IP进行实时http访问跟踪，记录其访问记录，作为确定其为透传IP和实施封锁的最终证据。

本发明实施例提供了一种检测数据透传的方法，通过对流量数据进行协议识别、连接跟踪、流量统计和内容扫描，可以对机房或子网内的所有IP进行多层次的流量统计，并能够通过下方规则对部分IP流量的统计准确到应用层协议类型和远端IP，对疑似私接IP进行实时的访问跟踪也可以作为实施封堵的证据，进一步提高对透传IP实时的监控性和检测的精确度。

在另一优选的实施例中提供了一种检测数据透传的设备，参照图2所示，该设备包括：

数据采集单元210，用于采集IDC服务器的至少一个IP的流量数据，其中，流量数据包括机房外访流量、机房外访http get数量、VPN疑似流量占比、单纯外访流量和异常应用数量中的任意一个或多个。

值得注意的是，由于CDN业务与宽带私接业务有相似性，因此，数据采集单元210获取IP的流量数据时，不采集属于CDN业务的IP流量数据。

数据分析单元220，用于根据流量数据对IP进行多层统计分析，得到至少一个疑似私接IP。

透传IP确定单元230，用于对疑似私接IP抓取数据包，确定为透传IP。

其中，机房外访流量是IDC机房内的服务器主动向机房外部、公网上的站点发起的访问所使用的流量。

其中，机房外访http get数量是IDC机房内的服务器主动向机房外部、公网上的站点发起的访问数量。

其中，VPN疑似流量占比是IDC机房内的服务器IP含有VPN协议类型，基于IP，计算VPN流量在总流量(总流入流量+总流出流量)中的占比，若占比高于96％，则确定为VPN疑似流量占比。

其中，单纯外访流量是IDC机房内的服务器IP单纯向机房外部网络站点发起访问的上下行流量，而上网用户向此IP发起的访问总流量为0。

其中，异常应用数量是对IDC机房内的服务器IP进行识别分析，具体对其流量中的QQ账号、邮件账号、UA数量等，得到承载多个应用账号的IP的信息。

可选的，数据分析单元220还包括：

初步分析单元221，用于根据流量数据对IP进行初步排序并计算，得到IP的初步疑似度。

综合分析单元222，用于根据预设的初步疑似度的阈值对IP进行综合排序并计算，得到IP的综合疑似度。

疑似私接IP确定单元223，用于根据综合疑似度确定至少一个疑似私接IP。

可选的，初步分析单元221具体用于：

根据流量数据对IP进行前100排序，对前30个IP赋值疑似度60％，后70个IP赋值疑似度40％；

根据IP备案库信息，对判定不属于本运营商的IP赋值疑似度80％；其中，流量数据包括：机房外访流量、机房外访http get数量和单纯外访流量中的任意一个或多个。

可选的，初步分析单元221还用于：

根据流量数据对IP进行前100排序，并赋值疑似度75％；

根据IP备案库信息，对判定不属于本运营商的IP赋值疑似度85％，其中，流量数据包括：VPN疑似流量占比和异常应用数量中的任意一个或多个。

可选的，综合分析单元223具体用于：

将初步疑似度大于或等于60％的IP进行排序并计算，得到IP的综合疑似度；

若IP出现多个初步疑似度，则每出现一次，则取疑似度高的疑似度值，并赋值疑似度增加5％。

本发明实施例提供了一种检测数据透传的设备，数据采集单元210通过采集IDC服务器的至少一个IP的流量数据，可以从多个维度对IP的流量进行统计和分析，提高检测精确度；数据分析单元220通过对IP进行多层统计分析，得到至少一个疑似私接IP，多层统计分析可以分别对单个维度的流量数据和综合流量数据进行统计分析，进一步提高检测精确度；透传IP确定单元230通过抓取数据包，确定透传IP，能够对IP进行追踪并记录为透传证据，定位远端IP，同时进一步分析IP提高对透传IP的检测精度。

需要说明的是：所述实施例提供的一种检测数据透传的方法及设备，仅以所述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将所述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的单元模块，以完成以上描述的全部或者部分功能。另外，所述实施例提供的检测数据透传的方法及设备属于同一构思，其具体实现过程详见实施例，这里不再赘述。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。