异网流量穿透检测方法及系统的制作方法

异网流量穿透检测方法及系统的制作方法
【专利摘要】本发明提供的异网流量穿透检测方法及系统，针对异网流量穿透现象，通过对比正常访问和异常流量穿透的数据包，识别特征差别来作为判断是否属于异常流量穿透行为；本系统针对异网流量穿透识别准确率高，避免识别错误封堵带来的用户投诉和退网的风险。
【专利说明】
异网流量穿透检测方法及系统
技术领域
[0001]本发明属于计算机网络传输技术领域，尤其涉及异网流量穿透检测方法及系统。
【背景技术】
[0002]由于国内不同运营商具备的资源不相同，用户在访问过程中存在本网内没有而网外运营商有相关资源的情况。各个运营商之间为了方便数据交换和传输，通过相互开放端口互联互通的方式实现用户无感知跨网访问。目前，国内运营商之间的互联互通主要有三种方式:一是骨干网间直联，二是通过NAP点互联，三是通过第三方接入。但无论哪一种方式，都要产生网间结算。按照工信部规定，为补偿中国电信和联通的骨干网，网络结算方式为其他运营商向它们单向结算，以弥补建设网络和提供服务的成本。
[0003]近年来，出现了异网流量穿透现象，且越来越严重。所谓“穿透流量接入”是指由于互联网带宽存在规定价格与市场价格差价，一些公司从运营商B购买带宽后，转售给弱势运营商A的行为，这条路径被称为“流量穿透”。运营商A采用流量穿透接入，以某种方式进入到运营商B，绕开互联互通的网关直接访问到运营商B的资源，如图1所示。这种方式一方面给运营商B的运营维护带来不便，另一方面违反了正常运作流程造成了运营商B的经济损失。

【发明内容】

[0004]本发明所要解决的技术问题是针对前述【背景技术】中的缺陷和不足，提供异网流量穿透检测方法及系统，通过对比正常访问和异常流量穿透的数据包，识别特征差别来作为判断是否属于异常流量穿透行为，该方法及系统识别准确率高，避免识别错误封堵带来的用户投诉和退网的风险。
[0005]本发明提供的异网流量穿透检测方法包括以下步骤:
[0006]步骤一，在某待测运营商的网关处设置探测模块，称带有所述探测模块的设备为探针端，并对探针端进行配置；
[0007]步骤二，启动所述探针端，探针端开始按照配置的策略规则对用户访问的特征数据包进行提取，并将提取的数据包上传至数据库；
[0008]步骤三，数据统计分析模块根据所述数据包中的关键信息，对比用户HTTP请求数据包中URL路径与DNS解析信息是否匹配，判断是否属于异网流量穿透方式。
[0009]在步骤一中，由配置模块对所述探针端进行配置，所述配置模块包括探测策略版块、策略生效版块；
[0010]所述探测策略版块负责设置配置，配置的内容包括:
[0011]提取时间、提取频率、数据包大小、数据包过滤要求。
[0012]所述步骤二具体包括:
[0013]步骤2.1，所述策略生效版块负责给不同的探针端分配策略并启动生效；
[0014]步骤2.2，所述探针端按照设置好的探测策略提取符合要求的数据包;所述数据包包括HTTP的请求包和DNS解析的数据包信息；
[0015]步骤2.3，所述探针端提取好数据后将相关数据上传至数据库存储。
[0016]所述步骤三具体包括:
[0017]步骤3.1，首先对将数据库中原始数据进行预处理，将HTTP请求包的若干数据项拆分提取出URL路径；
[0018]步骤3.2，其次，分析HTTP请求包中URL信息与DNS信息是否匹配，若匹配成功则表明为正常访问行为;若匹配失败，则表明为异网流量穿透方式；
[0019]步骤3.3，通过条件筛选的方式查询异网流量穿透的具体信息，便于管理者了解详情和决策。
[0020]异网流量穿透检测系统，包括探测模块、数据统计分析模块、配置模块和设备管理丰旲块;
[0021]所述探测模块设置在某待测运营商的网关处设置探测模块，称带有所述探测模块的设备为探针端；
[0022]所述数据统计分析模块对将数据库中原始数据进行预处理，将HTTP请求包的若干数据项拆分提取出URL路径;分析HTTP请求包中URL信息与DNS信息是否匹配，若匹配成功则表明为正常访问行为;若匹配失败，则表明为异网流量穿透方式;并且通过条件筛选的方式查询异网流量穿透的具体信息，便于管理者了解详情和决策；
[0023]所述配置模块对所述探针端进行配置；
[0024]所述设备管理模块对所述探针端设备性能和业务运行状态实时监测反馈的记录。
[0025]所述配置模块包括探测策略版块、策略生效版块；
[0026]所述探测策略版块负责设置配置，配置的内容包括:
[0027]提取时间、提取频率、数据包大小、数据包过滤要求；
[0028]所述策略生效版块负责给不同的探针端分配策略并启动生效。
[0029]所述性能状态包括CPU、内存、存储参数进行周期性信息采集；
[0030]所述业务运行状态包括位置拓扑结构图、运行状态、执行的探针策略信息。
[0031]本发明采用以上技术方案与现有技术相比，具有以下技术效果:
[0032]通过提取数据包的方式，对比用户HTTP请求数据包中URL路径与DNS解析信息是否匹配来判断是否属于正常访问行为。若匹配成功则视为正常访问行为，若匹配失败则确定为异网流量穿透行为。系统通过这种判断规则，极大地提高异网流量穿透的识别准确率。
[0033]系统具有灵活的配置策略，可以支持全天不间断监测也可以针对流量数据包较多的时间段抽样检测。采用全天模式可以最大程度发现存在的异网流量穿透行为;采用重点时间段抽样的形式，可以节省存储空间并提升处理效率。
[0034]无论采取何种模式，都具体一个共同的优点就是识别异网流量穿透的准确率高，接近100 %。
【附图说明】
[0035]图1是跨网访问正常和非正常途径示意图；
[0036]图2是异网流量穿透检测系统的功能模块图；
[0037]图3是异网流量穿透检测方法的流程图。
【具体实施方式】
[0038]本发明提供异网流量穿透检测方法及系统，为使本发明的目的，技术方案及效果更加清楚，明确，以及参照附图并举实例对本发明进一步详细说明。应当理解，此处所描述的具体实施仅用以解释本发明，并不用于限定本发明。
[0039]如果用户通过正常方式访问网站，首先DNS解析成功后获取网站的目标地址，随后与web服务器建立连接。此时向目标地址网站发送HTTP请求包中的URL数据将与DNS解析信息成功匹配。即每个HTTP请求包的URL数据将与每条DNS解析信息一一对应，如果出现URL数据与DNS解析信息不匹配，则此请求包存在异常访问，即出现异网流量穿透行为。
[0040]由于正常的网站访问都有DNS解析信息与HTTP请求包的URL匹配对应的特点，基于此特征我司研发了异网流量穿透检测系统。本系统所具有的模块主要包括探测模块、数据统计分析模块、配置模块和设备管理模块，如图2所示。
[0041]系统有4个模块:探测模块、数据统计分析模块、配置模块和设备管理模块。探测模块设置在某待测运营商的网关处设置探测模块，称带有探测模块的设备为探针端;数据统计分析模块对将数据库中原始数据进行预处理，将HTTP请求包的若干数据项拆分提取出URL路径;分析HTTP请求包中URL信息与DNS信息是否匹配，若匹配成功则表明为正常访问行为;若匹配失败，则表明为异网流量穿透方式;并且通过条件筛选的方式查询异网流量穿透的具体信息，便于管理者了解详情和决策;配置模块对所述探针端进行配置;设备管理模块对所述探针端设备性能和业务运行状态实时监测反馈的记录。
[0042]其中，配置模块包括探测策略版块、策略生效版块;探测策略版块负责设置配置，配置的内容有:提取时间、提取频率、数据包大小、数据包过滤要求;策略生效版块负责给不同的探针端分配策略并启动生效。
[0043]性能状态包括CPU、内存、存储参数进行周期性信息采集;业务运行状态包括位置拓扑结构图、运行状态、执行的探针策略信息。
[0044]本系统的探测模块将安装在探针端，探针端可以是多个，且分布在不同区域位置。部署位置在运营商B的家庭网关处。其他模块集中安装在应用服务器中用于分析和配置管理等。
[0045]根据本部署方案，系统的运作流程如图3所述，主要为:
[0046]步骤一:在某待测运营商的网关处设置探测模块，称带有所述探测模块的设备为探针端，并对探针端进行配置。配置模块的策略配置版块进行设置包括探针时间周期、探针频率、数据包大小、筛选等条件。若不设置，则默认为全天提取所有数据模式。
[0047]步骤二:策略生效版块负责给不同的探针端分配策略并启动生效。启动所述探针端，探针端开始按照配置的策略规则对用户访问的特征数据包进行提取，并将提取的数据包上传至数据库。配置模块中策略生效版块给不同的探针端分配策略并启动生效。一个探针端可以有多个探针策略，只要确保不冲突矛盾，探针端按照设置好的探测策略提取符合要求的数据包;所述数据包包括HTTP的请求包和DNS解析的数据包信息。启动探针设备支持单台开启或批量设备开启。开启后，探针端开始按照相关策略规则进行数据包的提供工作。
[0048]步骤三:数据统计分析模块根据所述数据包中的关键信息，对比用户HTTP请求数据包中URL路径与DNS解析信息是否匹配，判断是否属于异网流量穿透方式。
[0049]首先对将数据库中原始数据进行预处理，将HTTP请求包的若干数据项拆分提取出URL路径；其次，分析HTTP请求包中URL信息与DNS信息是否匹配，若匹配成功则表明为正常访问行为;若匹配失败，则表明为异网流量穿透方式;通过条件筛选的方式查询异网流量穿透的具体信息，便于管理者了解详情和决策。
[0050]除了上述业务处理流程，系统还具有状态监控的功能，包括对设备性能和业务运行的双方面监测。其中设备性能数据可在设备管理模块中性能信息模块进行查看。业务运行状态可在设备管理的业务运行模块查看。
【主权项】
1.异网流量穿透检测方法，其特征在于，该方法包括以下步骤: 步骤一，在某待测运营商的网关处设置探测模块，称带有所述探测模块的设备为探针端，并对探针端进行配置； 步骤二，启动所述探针端，探针端开始按照配置的策略规则对用户访问的特征数据包进行提取，并将提取的数据包上传至数据库； 步骤三，数据统计分析模块根据所述数据包中的关键信息，对比用户HTTP请求数据包中URL路径与DNS解析信息是否匹配，判断是否属于异网流量穿透方式。2.根据权利要求1所述的异网流量穿透检测方法，其特征在于，在步骤一中，由配置模块对所述探针端进行配置，所述配置模块包括探测策略版块、策略生效版块； 所述探测策略版块负责设置配置，配置的内容包括: 提取时间、提取频率、数据包大小、数据包过滤要求。3.根据权利要求1所述的异网流量穿透检测方法，其特征在于，所述步骤二具体包括: 步骤2.1，所述策略生效版块负责给不同的探针端分配策略并启动生效； 步骤2.2，所述探针端按照设置好的探测策略提取符合要求的数据包;所述数据包包括HTTP的请求包和DNS解析的数据包信息； 步骤2.3，所述探针端提取好数据后将相关数据上传至数据库存储。4.根据权利要求1所述的异网流量穿透检测方法，其特征在于，所述步骤三具体包括: 步骤3.1，首先对将数据库中原始数据进行预处理，将HTTP请求包的若干数据项拆分提取出URL路径； 步骤3.2，其次，分析HTTP请求包中URL信息与DNS信息是否匹配，若匹配成功则表明为正常访问行为;若匹配失败，则表明为异网流量穿透方式； 步骤3.3，通过条件筛选的方式查询异网流量穿透的具体信息，便于管理者了解详情和决策。5.异网流量穿透检测系统，其特征在于，该系统包括探测模块、数据统计分析模块、配置模块和设备管理模块； 所述探测模块设置在某待测运营商的网关处设置探测模块，称带有所述探测模块的设备为探针端； 所述数据统计分析模块对将数据库中原始数据进行预处理，将HTTP请求包的若干数据项拆分提取出URL路径;分析HTTP请求包中URL信息与DNS信息是否匹配，若匹配成功则表明为正常访问行为;若匹配失败，则表明为异网流量穿透方式;并且通过条件筛选的方式查询异网流量穿透的具体信息，便于管理者了解详情和决策； 所述配置模块对所述探针端进行配置； 所述设备管理模块对所述探针端设备性能和业务运行状态实时监测反馈的记录。6.根据权利要求5所述的异网流量穿透检测系统，其特征在于， 所述配置模块包括探测策略版块、策略生效版块； 所述探测策略版块负责设置配置，配置的内容包括: 提取时间、提取频率、数据包大小、数据包过滤要求； 所述策略生效版块负责给不同的探针端分配策略并启动生效。7.根据权利要求5所述的异网流量穿透检测系统，其特征在于，所述性能状态包括CPU、内存、存储参数进行周期性信息采集； 所述业务运行状态包括位置拓扑结构图、运行状态、执行的探针策略信息。
【文档编号】H04L12/26GK106059854SQ201610370862
【公开日】2016年10月26日
【申请日】2016年5月30日
【发明人】黄韬, 吴兴利, 戴云伟, 林金印, 孙庆冲, 唐天龙
【申请人】南京优速网络科技有限公司