一种用于追踪移动用户的方法和装置制造方法

一种用于追踪移动用户的方法和装置制造方法
【专利摘要】本发明涉及一种用于追踪移动用户的方法和装置，其中，该装置包括：获取模块，用于当检测到互联网中出现恶意行为时，获取发出所述恶意行为的移动用户的动态互联网协议（IP）地址和所述恶意行为出现的时间；以及，检索模块，用于根据所获取的动态IP地址和所获得的时间，从移动网络中包括各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据中，检索出发出所述恶意行为的移动用户的永久身份标识，其中，所述动态IP地址是移动网络分配的，以及所述各个移动用户的动态IP地址有效期限是所述各个移动用户的动态IP地址被分配给所述各个移动用户使用的开始时间和截止时间。利用该方法和装置，能够确定出发出恶意行为的移动用户。
【专利说明】一种用于追踪移动用户的方法和装置
【技术领域】
[0001]本发明涉及一种用于追踪移动用户的方法和装置，尤其涉及用于追踪在互联网中发出恶意行为的移动用户的身份的方法和装置。
【背景技术】
[0002]无处不在的互联网已经极大地改变了我们的生活方式。我们的许多日常和商务活动已经越来越依赖于互联网，例如，网上银行、股票交易和电话会议等。
[0003]然而，随着互联网在人类社会和日常生活中的普及，现在有越来越多的非法用户利用互联网为渠道实施各种恶意行为来达到自己的非法目的。这些恶意行为包括但不局限于拒绝服务(Denial of Service, DoS)攻击、分布式DoS (DDoS)攻击等。
[0004]为此，人们已经提出了 IP反向追踪技术来追踪发出恶意行为的非法用户的IP地址，从而找出发出恶意行为的用户，以阻止他们在互联网上发出恶意行为。
[0005]然而，目前的IP反向追踪技术在移动网络中并不能真正确定发出恶意行为的攻击源或非法用户。
[0006]在移动网络中，移动用户所拥有的IP地址并不是移动网络永久为其分配的IP地址，而是移动用户接入移动网络时为其临时分配的动态IP地址，当移动用户从移动网络中退出时，分配给移动用户的动态IP地址将被回收，以重新临时分配给接入移动网络的其它移动用户使用。换言之，在移动网络中，每一个IP地址不是永久分配给一个移动用户，而是可能会在不同时段分配给不同移动用户。
[0007]由于移动网络中的IP地址的临时动态分配特性，因此,在移动网络中利用IP反向追踪技术追踪得到IP地址后，并不能确定攻击源或非法用户是当前被分配给该IP地址的移动用户还是以前被分配给该IP地址的移动用户。

【发明内容】

[0008]考虑到现有技术的上述问题，本发明实施例提供一种用于追踪移动用户的方法和装置，其能够确定发出恶意行为的移动用户。
[0009]按照本发明实施例的一种用于追踪移动用户的方法，包括步骤:当检测到互联网中出现恶意行为时，获取发出所述恶意行为的移动用户的动态互联网协议(IP)地址和所述恶意行为出现的时间；以及，根据所获取的动态IP地址和时间，从移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据中，检索出发出所述恶意行为的移动用户的永久身份标识，其中，所述动态IP地址是所述移动网络分配的，以及所述各个移动用户的动态IP地址有效期限是所述各个移动用户的动态IP地址被分配给所述各个移动用户使用的开始时间和截止时间。
[0010]按照本发明实施例的一种用于追踪移动用户的装置，包括:获取模块，用于当检测到互联网中出现恶意行为时，获取发出所述恶意行为的移动用户的动态互联网协议(IP)地址和所述恶意行为出现的时间；以及，检索模块，用于根据所获取的动态IP地址和时间，从移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据中，检索出发出所述恶意行为的移动用户的永久身份标识，其中，所述动态IP地址是所述移动网络分配的，以及所述各个移动用户的动态IP地址有效期限是所述各个移动用户的动态IP地址被分配给所述各个移动用户使用的开始时间和截止时间。
[0011]由于永久身份标识能够全局地唯一识别移动用户，因此，采用上面所述的技术方案，当互联网中出现恶意行为时，根据检测到的发出该恶意行为的移动用户的动态IP地址和恶意行为出现的时间，从移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据中，检索出发出该恶意行为的移动用户的永久身份标识，从而确定出发出该恶意行为的移动用户。
【专利附图】

【附图说明】
[0012]本发明的特点、特征、优点和益处通过以下结合附图的详细描述将变得更加显而易见。其中:
[0013]图1示出了按照本发明一个实施例的用于追踪移动用户的方法的流程图；
[0014]图2示出了按照本发明一个实施例的在GPRS移动网络中追踪移动用户的示意图；
[0015]图3示出了按照本发明一个实施例的用于追踪移动用户的装置的示意图；
[0016]图4A示出了按照本发明一个实施例的获取模块的示意图；
[0017]图4B示出了按照本发明另一实施例的获取模块的示意图；
[0018]图4C示出了按照本发明又一实施例的获取模块的示意图；
[0019]图4D示出了按照本发明再一实施例的获取模块的示意图；以及
[0020]图5示出了按照本发明一个实施例的用于追踪移动用户的设备的示意图。
【具体实施方式】
[0021]通常，移动用户通过移动网络(例如通用分组无线业务GPRS)连接到互联网。其中，如本领域技术人员所公知的，移动网络是内部网络，属于私网，而互联网是外部网络，属于公网。当移动用户接入移动网络时，移动网络向移动用户分配动态互联网协议(IP)地址，其中，该分配的动态IP地址可以是公网IP地址或者私网IP地址。
[0022]当移动用户的动态IP地址是私网IP地址时，移动网络的边界设备(例如，连接移动网络和互联网的位于移动网络的边界上的路由器或防火墙等)将移动用户的私网IP地址翻译为公网IP地址，并且将移动用户的私网IP地址和所翻译的公网IP地址的映射关系存储在网络地址翻译(MT)映射表中。当从移动网络中接收到移动用户要发往互联网的数据包时，移动网络的边界路由器根据NAT映射表，将所接收的数据包中的源IP地址(即移动用户的私网IP地址)更改为移动用户的公网IP地址，然后把数据包发往互联网。当从互联网中接收到要发送给移动用户的数据包时，移动网络的边界路由器根据NAT映射表，将所接收的数据包中的目的IP地址(即移动用户的公网IP地址)更改为移动用户的私网IP地址，然后把数据包发往移动网络。
[0023]本发明的实施例公开了一种用于追踪移动用户的技术方案。按照该技术方案，首先，当检测到互联网中出现恶意行为时，获取发出所述恶意行为的移动用户的动态互联网协议(IP)地址和所述恶意行为出现的时间，然后，根据所获取的动态IP地址和所获得的时间，从移动网络中包括各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据中，检索出发出所述恶意行为的移动用户的永久身份标识。由于永久身份标识能够全局地唯一识别移动用户，从而能够确定出发出恶意行为的移动用户。
[0024]下面，结合附图详细描述本发明的各个实施例。
[0025]参见图1，其示出了按照本发明一个实施例的用于追踪移动用户的方法的流程图。如图1所示，在步骤SlOO中，获取并存储各个移动用户Y的国际移动用户识别码(IMSI)、动态IP地址和动态IP地址有效期限之间的映射关系。其中，移动用户Y的动态IP地址是移动网络分配的，移动用户Y的动态IP地址有效期限是指移动用户Y的动态IP地址被分配给移动用户Y使用的开始时间和截止时间。
[0026]在这里，移动用户Y的MS1、动态IP地址和动态IP地址有效期限可以从移动网络中负责向移动用户分配动态IP地址的网络设备提取，因为移动网络中负责向移动用户分配动态IP地址的网络设备存储有移动用户Y的MS1、被分配给移动用户Y的动态IP地址和该动态IP地址被分配给移动用户Y使用的开始时间和截止时间。
[0027]或者，可以利用用于抓取数据包的工具实时地抓取负责向移动用户分配动态IP地址的网络设备与移动用户Y之间传送的的用于分配动态IP地址的数据包(其包括有移动用户Y的IMSI和被分配给移动用户Y的动态IP地址)以及移动用户Y和负责向移动用户分配动态IP地址的网络设备之间传送的用于表示移动用户Y退出移动网络的数据包，然后从所抓取的用于分配动态IP地址的数据包获取移动用户Y的頂SI和动态IP地址，把抓取到该用于分配动态IP地址的数据包的时间作为动态IP地址被分配给移动用户Y使用的开始时间，以及把抓取到该用于表示移动用户Y退出移动网络的数据包的时间作为动态IP地址被分配给移动用户Y使用的截止时间，从而得到移动用户Y的MS1、动态IP地址和动态IP地址有效期限。
[0028]或者，可以从关于移动用户Y的计费数据中获取移动用户Y的MS1、动态IP地址和动态IP地址有效期限，因为关于移动用户Y的计费数据包括有移动用户Y的IMS1、被分配给移动用户Y的动态IP地址以及向移动用户Y计费的开始时间和截止时间，其中，该向移动用户Y计费的开始时间和截止时间用作移动用户Y的动态IP地址有效期限。
[0029]在步骤S105中，利用数据包抓取工具抓取移动网络与互联网之间的各个数据包，并记录每一个数据包被抓取的时间。
[0030]在步骤SllO中，检测所抓取的数据包，以确定互联网中是否出现恶意行为。例如，如果所抓取的其中一个数据包是包含有指向恶意网站的URL链接的数据包，则确定互联网中出现恶意行为。
[0031]在步骤S120中，当检测发现互联网中出现恶意行为时，提取该抓取的与所出现的恶意行为有关的数据包SJB，并获得数据包SJB被抓取的时间作为恶意行为出现的时间。
[0032]在步骤S130中，判断所存储的映射关系中是否包含有与所提取的数据包SJB中的源IP地址相同的动态IP地址。
[0033]在步骤S140中，如果步骤S130的判断结果为肯定，即所存储的映射关系中包含有与所提取的数据包SJB中的源IP地址相同的动态IP地址，则将所提取的数据包SJB中的源IP地址确定为发出恶意行为的移动用户S的动态IP地址，然后进行到步骤S160。在这里，移动用户S的动态IP地址是公网IP地址。
[0034]在步骤S150中，如果步骤S130的判断结果为否定，即所存储的映射关系中未包含有与所提取的数据包SJB中的源IP地址相同的动态IP地址，则检索移动网络的边界设备所存储的网络地址翻译(NAT)映射表，以查找与所提取的数据包SJB中的源IP地址相对应的私网IP地址，作为发出恶意行为的移动用户S的动态IP地址，然后进行到步骤S160。在这里，移动用户S的动态IP地址是私网IP地址。
[0035]在步骤S160中，从所存储的映射关系中检索出与发出恶意行为的移动用户S的动态IP地址和指定的动态IP地址有效期限相映射的MSI，作为发出恶意行为的移动用户S的IMSI，从而确定发出恶意行为的移动用户S。其中，恶意行为出现的时间位于该指定的动态IP地址有效期限之内。
[0036]在步骤S170中，根据发出恶意行为的移动用户S的MSI，对发出恶意行为的移动用户S执行反制措施，以阻止移动用户S发出恶意行为。这里，反制措施包括但不局限于降低移动用户S的信用级别、在移动用户S的终端设备中部署杀毒软件和/或限制移动用户S的业务等。
[0037]参见图2，其示出了按照本发明一个实施例的在通用分组无线业务(GPRS)移动网络中追踪移动用户的不意图。
[0038]如图2所示，GPRS移动网络包括设备Z，其负责存储各个移动用户T的IMS1、动态IP地址和动态IP地址有效期限之间的映射关系。其中，设备Z可以从GPRS移动网络中的网关GPRS支持节点(GGSN)取得移动用户T的MS1、动态IP地址和动态IP地址有效期限。在GPRS移动网络中，GGSN负责向直接接入GPRS移动网络的移动用户分配动态IP地址，因此，GGSN知道直接接入GPRS移动网络的移动用户的动态IP地址和MSI以及该动态IP地址被分配给接入的移动用户使用的开始时间和截止时间。具体地，当移动用户T附着到GPRS移动网络中的GPRS服务支持节点(SGSN)时，SGSN向GGSN发送一个包括移动用户T的MSI的分组数据协议(PDP:Packet Data Protocol)创建请求消息，以请求GGSN为移动用户T分配动态IP地址。在接收到PDP创建请求消息之后，GGSN为移动用户T分配动态IP地址，存储移动用户T的MS1、所分配的动态IP地址和该动态IP地址被分配给移动用户T使用的开始时间，并向SGSN发送一个包含移动用户T的动态IP地址和MSI的PDP创建响应消息。当移动用户T要退出GPRS移动网络时，SGSN向GGSN发送一个表示移动用户T退出网络的删除PDP上下文请求消息。在接收到来自SGSN的表示移动用户T退出网络的删除PDP上下文请求消息之后，GGSN收回分配用于用户T分配的动态IP地址，并存储移动用户T的该动态IP地址被分配给移动用户T使用的截止时间。或者，设备Z可以实时提取GGSN发送给移动用户T的用于分配动态IP地址的包括有移动用户T的MSI和动态IP地址的PDP创建响应消息和SGSN发送给GGSN的表示移动用户T退出网络的删除PDP上下文请求消息，然后从所提取的PDP创建响应消息中取得移动用户T的动态IP地址与IMSIjE提取PDP创建响应消息的时间和提取删除PDP上下文请求消息的时间分别作为动态IP地址分配给移动用户T使用的开始时间和截止时间，从而得到移动用户T的IMS1、动态IP地址和动态IP地址有效期限。或者，设备Z可以从GGSN发送给计费网关(CG)的关于移动用户T的计费数据中取得移动用户T的MS1、动态IP地址和动态IP地址有效期限，其中，该动态IP地址有效期限由计费数据中所包括的移动用户T的开始计费时间和截止计费时间构成。
[0039]GPRS移动网络中的Gi接口实时抓取GPRS移动网络与互联网之间的各个数据包，记录每一个数据包被抓取的时间，并且检测所抓取的各个数据包以确定互联网中是否出现恶意行为。当检测发现互联网中出现恶意行为时，设备Z从所抓取的数据包中提取与恶意行为有关的数据包G，并检索其所存储的映射关系中是否包含有与所提取的数据包G中的源IP地址相同的地址。
[0040]如果检索发现其所存储的映射关系中包含有与所提取的数据包G中的源IP地址相同的地址，则设备Z将所提取的数据包G中的源IP地址作为发出恶意行为的移动用户的动态IP地址。然后，设备Z以发出恶意行为的移动用户的动态IP地址和所提得的数据包G被抓取的时间(作为恶意行为出现的时间)为索引，检索其所存储的映射关系，以查找发出恶意行为的移动用户的頂SI。
[0041]如果检索发现其所存储的映射关系中未包含有与所提取的数据包G中的源IP地址相同的地址，则设备Z检索GPRS移动网络的边界设备所存储的NAT映射表，以查找与所提取的数据包G中的源IP地址相对应的私网IP地址，并把所查找出的私网IP地址作为发出恶意行为的移动用户的动态IP地址。然后，设备Z以发出恶意行为的移动用户的动态IP地址和所提取的数据包G被抓取的时间(作为恶意行为出现的时间)为索引，检索其所存储的映射关系，以查找发出恶意行为的移动用户的頂SI。
[0042]最后，设备Z对发出恶意行为的移动用户执行反制措施，以防止该移动用户发出恶意行为。这里，反制措施包括但不局限于降低发出恶意行为的移动用户的信用级别、在发出恶意行为的移动用户的终端设备中部署杀毒软件和/或限制发出恶意行为的移动用户的业务等。
[0043]本领域技术人员应当理解，用于设备Z既可以利用专门设备来实现，也可以利用GPRS移动网络中的任一现有网络设备(例如，远程用户拨号认证系统(RADIUS =RemoteAuthentication Dial In User Service)服务器、计费网关(CG)等)来实现。
[0044]本领域技术人员应当理解，虽然在上面的实施例中，用于追踪移动用户的方案包括有对发出恶意行为的移动用户执行反制措施的步骤，然而，本发明并不局限于此。在本发明的其它一些实施例中，用于追踪移动用户的方案也可以不包括对发出恶意行为的移动用户执行反制措施的步骤。
[0045]本领域技术人员应当理解，虽然在上面的实施例中，使用移动用户的IMSI作为移动用户的永久身份标识，然而，本发明并不局限于此。在本发明的其它一些实施例中，例如也可以使用移动用户的手机号码等作为移动用户的永久身份标识。
[0046]本领域技术人员应当理解，虽然在上面的实施例中，在确定所存储的映射关系中没有包含与所提取的数据包G中的源IP地址相同的动态IP地址之后，借助NAT映射表来取得移动用户的动态IP地址(即私网IP地址)，然而，本发明并不局限于此。在本发明的其它一些实施例中，也可以不通过NAT映射表来取得移动用户的私网IP地址。
[0047]例如，当确定所存储的映射关系中没有包含与所提取的数据包G中的源IP地址相同的动态IP地址时，在移动网络中查找出发往互联网的与所提取的数据包G相对应的数据包，并将所查找出的数据包中所包括的源IP地址确定为发出恶意行为的移动用户的动态IP地址，其中，所查找出的数据包在移动网络中传输的时刻与移动网络向互联网发送所提取的数据包G的时刻之差小于指定值，并且所查找出的数据包和所提取的数据包G包含相同的指定内容。这里，指定内容可以包括但不局限于IP地址、URL信息、用户代理(user-agent)信息等。该指定值的大小与用于网络设备之间进行时间同步的网络时间协议(NTP)精度有关，NTP精度一般在毫秒级。在这里，该指定值可以设定在毫秒级或者10毫秒级。
[0048]本领域技术人员应当理解，虽然在上面的实施例中，各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限之间的映射关系被用作移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据，并当检测到互联网中出现恶意行为时，根据所获取的发出恶意行为的移动用户的动态IP地址和恶意行为出现的时间，从所存储的映射关系中，检索出发出所述恶意行为的移动用户的永久身份标识，从而确定发出所述恶意行为的移动用户，然而，本发明并不局限于此。
[0049]在本发明的其它一些实施例中，也可以把移动网络中负责分配动态IP地址的网络设备所存储的各个移动用户Y的IMS1、动态IP地址和该动态IP地址被分配给各个移动用户Y使用的开始时间和截止时间用作移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据。
[0050]和/或，也可以把所提取的移动网络中负责分配动态IP地址的网络设备与各个移动用户之间传送的用于分配动态IP地址的数据包和移动网络中用于表示各个移动用户退出所述移动网络的数据包用作移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据。在这种情况，用于分配动态IP地址的数据包和用于表示各个移动用户退出所述移动网络的数据包各自被提取的时间分别作为动态IP地址被分配给移动用户使用的开始时间和截止时间。
[0051]和/或，也可以把与各个移动用户有关的计费数据用作移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据。
[0052]本领域技术人员应当理解，虽然在上面的实施例中，利用所抓取的移动网络向互联网发送的数据包来找到发出恶意行为的移动用户的永久身份标识，然而，本发明并不局限于此。
[0053]在本发明的其他一些实施例中，也可以利用恶意网站的日志来找到发出恶意行为的移动用户的永久身份标识。具体地，检查恶意网站的日志中是否存在有移动用户访问该恶意网站的记录。可以通过用户的IP地址所属的地址段来判断用户是移动用户还是非移动用户，因为移动用户和非移动用户各自的IP地址属于不同的地址段，这是本领域技术人员公知的。如果检查结果表明存在有移动用户访问该恶意网站的记录，则意味着互联网出现了恶意行为。在这种情况下，从恶意网站的日志中读取发出恶意行为的移动用户的IP地址和发出恶意行为的移动用户访问该恶意网站的时间，并将发出恶意行为的移动用户访问该恶意网站的时间确定为恶意行为出现的时间。然后，根据发出恶意行为的移动用户的IP地址和所确定的恶意行为出现的时间，执行图1中的步骤S130-S160中的操作，从而找到发出恶意行为的移动用户的永久身份标识。
[0054]或者，在本发明的其他一些实施例中，也可以利用与恶意行为关联的内容来找到发出恶意行为的移动用户的永久身份标识。具体地，首先，抓取在移动网络内传输的各个数据包。然后，检查互联网中是否出现了恶意行为，这里，可以采用现有的或其它任何可以采用的方式来检查互联网中是否出现了恶意行为。当检查结果表明互联网中出现了恶意行为时，尝试从所抓取的在移动网络内传输的各个数据包中提取包含有与所出现的恶意行为关联的内容的数据包。这里，与所出现的恶意行为关联的内容例如可以是但不局限于:在所出现的恶意行为中被访问的网址、在所出现的恶意行为中被上传到网站的或从网站下载的文件、短消息、银行卡号、手机号码等。如果成功提取到数据包，则表明该恶意行为是移动用户发出的。在这种情况下，将所提取的数据包被抓取的时间确定为恶意行为出现的时间。接着，根据所提取的数据包中的源IP地址和所确定的恶意行为出现的时间，执行图1中的步骤S130-S160中的操作，从而找到发出恶意行为的移动用户的永久身份标识。
[0055]参见图3，其示出了按照本发明一个实施例的用于追踪移动用户的装置的示意图。图3所示的装置30可以利用软件、硬件或者软硬件结合的方式来实现，并且可以安装在移动网络中的新增设备或任一现有网络设备(例如，RADIUS服务器、计费网关(CG)等)中。如图3所示，装置30包括获取模块320和检索模块330。其中，获取模块320用于当检测到互联网中出现恶意行为时，获取发出所述恶意行为的移动用户的动态IP地址和恶意行为出现的时间。检索模块330，用于根据所获取的动态IP地址和时间，从移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据中，检索出发出所述恶意行为的移动用户的永久身份标识。其中，动态IP地址是移动网络分配的，以及各个移动用户的动态IP地址有效期限是各个移动用户的动态IP地址被分配给各个移动用户使用的开始时间和截止时间。
[0056]此外，移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据可以是各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限之间的映射关系。
[0057]此外，各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限可以是从移动网络中负责分配动态IP地址的网络设备、移动网络中负责分配动态IP地址的网络设备向各个移动用户发送的用于分配动态IP地址的数据包和各个移动用户向移动网络中负责分配动态IP地址的网络设备发送的用于表示各个移动用户退出所述移动网络的数据包、和/或从与各个移动用户有关的计费数据中获得的。
[0058]此外，如图4A所不,获取模块320可以包括第一提取模块、第一确定模块、第一判断模块和第二确定模块。其中，第一提取模块用于从所抓取的移动网络向互联网发送的数据包中提取与恶意行为相关的数据包。第一确定模块，用于将所提取的数据包被抓取的时间确定为恶意行为出现的时间。第一判断模块用于判断该映射关系中是否包含有与第一提取模块所提取的数据包中的源IP地址相同的动态IP地址。第二确定模块用于当第一判断模块的判断结果为肯定时，将第一提取模块所提取的数据包中的源IP地址确定为发出恶意行为的移动用户的动态IP地址。
[0059]此外，如图4A所示，获取模块320还可以包括第一查找模块，用于当第一判断模块的判断结果为否定时，从移动网络的边界设备所存储的网络地址翻译(NAT)映射表中，检索出与第一提取模块所提取的数据包中的源IP地址相对应的IP地址，作为发出恶意行为的移动用户的动态IP地址。或者，如图4B所示，获取模块320还可以包括检测模块和第三确定模块，其中，检测模块用于当第一判断模块的判断结果为否定时，在移动网络中检测出发往互联网的与所提取的数据包相对应的数据包。第三确定模块用于将所检测出的数据包中所包括的源IP地址，确定为发出恶意行为的移动用户的动态IP地址。其中，所检测出的数据包在移动网络中传输的时刻与移动网络向互联网发送所提取的数据包的时刻之差小于指定值，并且所检测出的数据包和所提取的数据包包含相同的指定内容。
[0060]或者，如图4C所示，获取模块320可以包括读取模块、第二提取模块、第二判断模块和第四确定模块。其中，读取模块用于从恶意网站的日志中读取发出恶意行为的移动用户访问该恶意网站的时间，作为恶意行为出现的时间。第二提取模块用于从恶意网站的日志中提取发出恶意行为的移动用户的IP地址。第二判断模块用于判断映射关系中是否包含有与第二提取模块所提取的IP地址相同的动态IP地址。第四确定模块用于当第二判断模块的判断结果为肯定时，将第二提取模块所提取的IP地址确定为发出恶意行为的移动用户的动态IP地址。此外，如图4C所示，获取模块320还可以包括第二查找模块，用于当第二判断模块的判断结果为否定时，从移动网络的边界设备所存储的网络地址翻译映射表中，查找出与第二提取模块所提取的IP地址相对应的IP地址，作为发出恶意行为的移动用户的动态IP地址。
[0061]或者，如图4D所示，获取模块320可以包括第三提取模块、第五确定模块、第三判断模块和第六确定模块。其中，第三提取模块用于从在移动网络内抓取的数据包中提取包含有与恶意行为关联的内容的数据包。第五确定模块用于将第三提取模块所提取的数据包被抓取的时间确定为恶意行为出现的时间。第三判断模块，用于判断映射关系中是否包含有与第三提取模块所提取的数据包中的源IP地址相同的动态IP地址。第六确定模块用于当第三判断模块的判断结果为肯定时，将第三提取模块所提取的数据包中的源IP地址确定为发出恶意行为的移动用户的动态IP地址。此外，如图4D所示，获取模块320还可以包括第三查找模块，用于当第三判断模块的判断结果为否定时，从移动网络的边界设备所存储的网络地址翻译映射表中，查找出与第三提取模块所提取的数据包中的源IP地址相对应的IP地址，作为发出恶意行为的移动用户的动态IP地址。
[0062]此外，装置30还可以包括执行模块340，用于对发出恶意行为的移动用户执行防止其发出恶意行为的反制措施。
[0063]参见图5，其示出了按照本发明一个实施例的用于追踪移动用户的设备的示意图。图3所示的设备50可以是移动网络中的新增设备或设置在任一现有网络设备(例如，RADIUS服务器、计费网关等)中。如图5所示，设备50包括存储器520和处理器530。
[0064]其中，存储器520可以用于存储可执行指令。
[0065]处理器530可以用于根据存储器520所存储的可执行指令，执行以下步骤:当检测到互联网中出现恶意行为时，获取发出所述恶意行为的移动用户的动态IP地址和恶意行为出现的时间；根据所获取的动态IP地址和时间，从移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据中，检索出发出所述恶意行为的移动用户的永久身份标识。其中，动态IP地址是移动网络分配的，以及各个移动用户的动态IP地址有效期限是各个移动用户的动态IP地址被分配给各个移动用户使用的开始时间和截止时间。
[0066]此外，移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据可以是各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限之间的映射关系。[0067]此外，各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限可以是从移动网络中负责分配动态IP地址的网络设备、移动网络中负责分配动态IP地址的网络设备向各个移动用户发送的用于分配动态IP地址的数据包和各个移动用户向移动网络中负责分配动态IP地址的网络设备发送的用于表示各个移动用户退出所述移动网络的数据包、和/或从与各个移动用户有关的计费数据中获得的。
[0068]此外，对于上面的获取步骤，处理器530进一步执行以下步骤:从所抓取的移动网络向互联网发送的数据包中提取与恶意行为相关的数据包；将所提取的数据包被抓取的时间确定为恶意行为出现的时间；判断该映射关系中是否包含有与所提取的数据包中的源IP地址相同的动态IP地址；以及，当判断结果为肯定时，将所提取的数据包中的源IP地址确定为发出恶意行为的移动用户的动态IP地址。
[0069]此外，对于上面的获取步骤，处理器530还可以执行以下步骤:当判断结果为否定时，从移动网络的边界设备所存储的网络地址翻译(NAT )映射表中，检索出与第一提取模块所提取的数据包中的源IP地址相对应的IP地址，作为发出恶意行为的移动用户的动态IP地址。或者，对于上面的获取步骤，处理器530还可以执行以下步骤:当判断结果为否定时，在移动网络中检测出发往互联网的与所提取的数据包相对应的数据包；将所检测出的数据包中所包括的源IP地址，确定为发出恶意行为的移动用户的动态IP地址。其中，所检测出的数据包在移动网络中传输的时刻与移动网络向互联网发送所提取的数据包的时刻之差小于指定值，并且所检测出的数据包和所提取的数据包包含相同的指定内容。
[0070]或者，对于上面的获取步骤，处理器530可以进一步执行以下步骤:从恶意网站的日志中读取发出恶意行为的移动用户访问该恶意网站的时间，作为恶意行为出现的时间；从恶意网站的日志中提取发出恶意行为的移动用户的IP地址；判断映射关系中是否包含有与第二提取模块所提取的IP地址相同的动态IP地址；当判断结果为肯定时，将所提取的IP地址确定为发出恶意行为的移动用户的动态IP地址。此外，对于上面的获取步骤，处理器530还可以执行以下步骤:当判断结果为否定时，从移动网络的边界设备所存储的网络地址翻译映射表中，查找出与所提取的IP地址相对应的IP地址，作为发出恶意行为的移动用户的动态IP地址。
[0071]或者，对于上面的获取步骤，处理器530可以进一步执行以下步骤:从在移动网络内抓取的数据包中提取包含有与恶意行为关联的内容的数据包；将所提取的数据包被抓取的时间确定为恶意行为出现的时间；判断映射关系中是否包含有与所提取的数据包中的源IP地址相同的动态IP地址；当判断结果为肯定时，将所提取的数据包中的源IP地址确定为发出恶意行为的移动用户的动态IP地址。此外，对于上面的获取步骤，处理器530还可以执行以下步骤:当判断结果为否定时，从移动网络的边界设备所存储的网络地址翻译映射表中，查找出与所提取的数据包中的源IP地址相对应的IP地址，作为发出恶意行为的移动用户的动态IP地址。
[0072]此外，处理器530还可以执行以下步骤:对发出恶意行为的移动用户执行防止其发出恶意行为的反制措施。
[0073]本发明的实施例还提供一种机器可读介质，在其上存储有机器可执行指令，当该机器可执行指令被执行时，使得机器实施前述处理器530所执行的步骤。
[0074]本领域技术人员应当理解，上面所公开的各个实施例可以在没有偏离发明实质的情况下做出各种改变或变型，因此，本发明的保护范围应当由所附的权利要求书来定义。
【权利要求】
1.一种用于追踪移动用户的方法，包括步骤: 当检测到互联网中出现恶意行为时，获取发出所述恶意行为的移动用户的动态互联网协议(IP)地址和所述恶意行为出现的时间；以及 根据所获取的动态IP地址和时间，从移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据中，检索出发出所述恶意行为的移动用户的永久身份标识， 其中，所述动态IP地址是所述移动网络分配的，以及所述各个移动用户的动态IP地址有效期限是所述各个移动用户的动态IP地址被分配给所述各个移动用户使用的开始时间和截止时间。
2.如权利要求1所述的方法，其中， 所述数据是所述各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限之间的映射关系。
3.如权利要求1或2所述的方法，其中， 所述各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限是从所述移动网络中负责分配动态IP地址的网络设备、所述移动网络中负责分配动态IP地址的网络设备与所述各个移动用户之间传送的的用于分配动态IP地址的数据包和所述移动网络中表示所述各个移动用户退出所述移动网络的数据包、和/或从与所述各个移动用户有关的计费数据中获得的。
4.如权利要求2所述的方法，其中，所述获取步骤进一步包括: 从所抓取的所述移动网络向所述互联网发送的数据包中提取与所述恶意行为相关的数据包； 将所提取的数据包被抓取的时间确定为所述恶意行为出现的时间； 判断所述映射关系中是否包含有与所述提取的数据包中的源IP地址相同的动态IP地址；以及 当判断结果为肯定时，将所述提取的数据包中的源IP地址确定为发出所述恶意行为的移动用户的动态IP地址。
5.如权利要求4所述的方法，其中，所述获取步骤还包括: 当所述判断结果为否定时，从所述移动网络的边界设备所存储的网络地址翻译(NAT)映射表中，查找出与所述提取的数据包中的源IP地址相对应的IP地址，作为发出所述恶意行为的移动用户的动态IP地址。
6.如权利要求4所述的方法，其中，所述获取步骤还包括: 当所述判断结果为否定时，在所述移动网络中查找发往所述互联网的与所述提取的数据包相对应的数据包；以及 将所查找的数据包所包括的源IP地址，确定为发出所述恶意行为的移动用户的动态IP地址， 其中，所述查找的数据包在所述移动网络中传输的时刻与所述移动网络向所述互联网发送所述提取的数据包的时刻之差小于指定值，并且所述查找的数据包和所述提取的数据包包含相同的指定内容。
7.如权利要求2所述的方法，其中，所述获取步骤进一步包括:从恶意网站的日志中提取发出所述恶意行为的移动用户的IP地址； 从所述恶意网站的日志中读取发出所述恶意行为的移动用户访问所述恶意网站的时间，作为所述恶意行为出现的时间； 判断所述映射关系中是否包含有与所提取的IP地址相同的动态IP地址；以及 当判断结果为肯定时，将所提取的IP地址确定为发出所述恶意行为的移动用户的动态IP地址。
8.如权利要求7所述的方法，其中，所述获取步骤还包括: 当所述判断结果为否定时，从所述移动网络的边界设备所存储的网络地址翻译(NAT)映射表中，查找出与所提取的IP地址相对应的IP地址，作为发出所述恶意行为的移动用户的动态IP地址。
9.如权利要求2所述的方法，其中，所述获取步骤进一步包括: 从在所述移动网络内抓取的数据包中提取包含有与所述恶意行为关联的内容的数据包； 将所提取的数据包被抓取的时间确定为所述恶意行为出现的时间； 判断所述映射关系中是否包含有与所提取的数据包中的源IP地址相同的动态IP地址；以及 当判断结果为肯定时，将所提取的数据包中的源IP地址确定为发出所述恶意行为的移动用户的动态IP地址。
10.如权利要求9所述的方法，其中，所述获取步骤还包括: 当所述判断结果为否定时，从所述移动网络的边界设备所存储的网络地址翻译(NAT)映射表中，查找出与所述提取的数据包中的源IP地址相对应的IP地址，作为发出所述恶意行为的移动用户的动态IP地址。
11.一种用于追踪移动用户的装置，包括: 获取模块，用于当检测到互联网中出现恶意行为时，获取发出所述恶意行为的移动用户的动态互联网协议(IP)地址和所述恶意行为出现的时间；以及 检索模块，用于根据所获取的动态IP地址和时间，从移动网络中包含各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限的数据中，检索出发出所述恶意行为的移动用户的永久身份标识， 其中，所述动态IP地址是所述移动网络分配的，以及所述各个移动用户的动态IP地址有效期限是所述各个移动用户的动态IP地址被分配给所述各个移动用户使用的开始时间和截止时间。
12.如权利要求11所述的装置，其中， 所述数据是所述各个移动用户的永久身份标 识、动态IP地址和动态IP地址有效期限之间的映射关系。
13.如权利要求11或12所述的装置，其中， 所述各个移动用户的永久身份标识、动态IP地址和动态IP地址有效期限是从所述移动网络中负责分配动态IP地址的网络设备、根据所述移动网络中负责分配动态IP地址的网络设备与所述各个移动用户之间传送的用于分配动态IP地址的数据包和所述移动网络中用于表示所述各个移动用户退出所述移动网络的数据包、和/或从与所述各个移动用户有关的计费数据中获得的
14.如权利要求12所述的装置，其中，所述获取模块进一步包括: 第一提取模块，用于从所抓取的所述移动网络向互联网发送的数据包中提取与所述恶意行为相关的数据包； 第一确定模块，用于将所提取的数据包被抓取的时间确定为所述恶意行为出现的时间； 第一判断模块，用于判断所述映射关系中是否包含有与所提取的数据包中的源IP地址相同的动态IP地址；以及 第二确定模块，用于当判断结果为肯定时，将所提取的数据包中的源IP地址确定为发出所述恶意行为的移动用户的动态IP地址。
15.如权利要求14所述的装置，其中，所述获取模块还包括: 第一查找模块，用于当所述判断结果为否定时，从所述移动网络的边界设备所存储的网络地址翻译(NAT)映射表中，查找出与所提取的数据包中的源IP地址相对应的IP地址，作为发出所述恶意行为的移动用户的动态IP地址。
16.如权利要求14所述的装置，其中，所述获取模块还包括: 检测模块，用于当所述判断结果为否定时，在所述移动网络中检测出发往所述互联网的与所述提取的数据包相对应的数据包；以及 第三确定模块，用于将所检测的数据包所包括的源IP地址，确定为发出所述恶意行为的移动用户的动态IP地址， 其中，所述检测的数据包在所述移动网络中传输的时刻与所述移动网络向所述互联网发送所述提取的数据包的时刻之差小于指定值，并且所述检测的数据包和所述提取的数据包包含相同的指定内容。
17.如权利要求12所述的装置，其中，所述获取模块进一步包括: 读取模块，用于从恶意网站的日志中读取发出所述恶意行为的移动用户访问所述恶意网站的时间，作为所述恶意行为出现的时间； 第二提取模块，用于从所述恶意网站的日志中提取发出所述恶意行为的移动用户的IP地址； 第二判断模块，用于判断所述映射关系中是否包含有与所提取的IP地址相同的动态IP地址；以及 第四确定模块，用于当判断结果为肯定时，将所提取的IP地址确定为发出所述恶意行为的移动用户的动态IP地址。
18.如权利要求17所述的装置，其中，所述获取模块还包括: 第二查找模块，用于当所述判断结果为否定时，从所述移动网络的边界设备所存储的网络地址翻译(NAT)映射表中，查找出与所述提取的IP地址相对应的IP地址，作为发出所述恶意行为的移动用户的动态IP地址。
19.如权利要求12所述的装置，其中，所述获取模块进一步包括: 第三提取模块，用于从在所述移动网络内抓取的数据包中提取包含有与所述恶意行为关联的内容的数据包； 第五确定模块，将所提取的数据包被抓取的时间确定为所述恶意行为出现的时间；第三判断模块，用于判断所述映射关系中是否包含有与所提取的数据包中的源IP地址相同的动态IP地址；以及 第六确定模块，用于当判断结果为肯定时，将所提取的数据包中的源IP地址确定为发出所述恶意行为的移动用户的动态IP地址。
20.如权利要求19所述的装置，其中，所述获取模块还包括: 第三查找模块，用于当所述判断结果为否定时，从所述移动网络的边界设备所存储的网络地址翻译(NAT)映射表中，查找出与所述提取的数据包中的源IP地址相对应的IP地址，作为发出所述恶意行为的移动用户的动态IP地址。
21.一种用于追踪移动用户的设备，包括: 存储器，用于存储可执行指令；以及 处理器，用于根据所存储的可执行指令，执行权利要求1-10中的任意一个权利要求所包括的步骤。
22.—种机器可读介质，在其上存储有机器可执行指令，其中，当所述机器可执行指令被执行时，使得机器实施权利要求ι-?ο中的任意一个所包括的步骤。
【文档编号】H04L29/06GK103581910SQ201210271484
【公开日】2014年2月12日 申请日期:2012年7月31日 优先权日:2012年7月31日
【发明者】隋爱芬, 郭代飞 申请人:西门子公司