一种家宽用户的PCDN违法账号的检测方法及装置与流程

本发明涉及网络检测领域，尤其是一种家宽用户的pcdn违法账号的检测方法及装置。

背景技术：

1、pcdn，也称为p2pcdn或者p2p内容分发网络(以下都称为pcdn)，是以p2p技术为基础，通过挖掘利用边缘网络闲置资源而构建的低成本高品质内容分发网络服务。通过集成pcdn sdk(以下简称sdk)接入该服务，就能获得等同(或略高于)cdn的分发质量，同时显著降低分发成本。适用于视频点播、直播、大文件下载等业务场景。

2、pcdn违规业务是企业及个人客户租用电信运营商大量宽带(含家庭宽带产品、商务宽带产品、商务专线产品)，擅自改变产品的用途，将自用的上行带宽聚合形成大带宽进行流量经营，以pcdn服务形式低价进行销售的情况。

3、目前pcdn违法账号的检测方式：按照radius的上行和下行的流量比例来确定pcdn违法账号，这种方案的缺点是不太准确。对于电视、盒子类，其流量的统计是不准确的；对于需要上传文件的场景，仅仅根据上下行流量容易造成误判。

技术实现思路

1、为解决现有技术存在的问题，本发明提供一种家宽用户的pcdn违法账号的检测方法及装置，结合接入设备的pcdn域名特征、mac地址的相似性以及pcdn的flow流量特征等多种数据源检测pcdn违法账号，提高了pcdn违法账号检测的精确度。

2、为实现上述目的，本发明采用下述技术方案：

3、在本发明一实施例中，提出了一种家宽用户的pcdn违法账号的检测方法，该方法包括：

4、s01、采集dns日志、radius日志、flow流量日志和pcdn域名特征库；

5、进一步地，所述s01包括：

6、s011、使用ftp客户端接收dns日志、radius日志和flow流量日志；

7、s012、获取已知的pcdn域名特征库。

8、进一步地，所述s012中pcdn域名特征库包括：pcdn名称、域名、域名对应的ipv4地址和域名对应的ipv6地址。

9、s02、分析dns和radius的日志，根据pcdn域名特征库、家宽用户nat地址以及端口范围，筛选出pcdn违法账号；

10、所述s02包括：

11、s021、使用pcdn域名特征库对dns的日志进行过滤，得到请求域名与pcdn特征域名相同的日志记录；

12、s022、根据请求ip、请求端口和请求域名对所述dns日志记录进行去重，将去重后的日志记录存入pcdn请求记录表；

13、进一步地，所述s022中pcdn请求记录表包含如下字段：请求ip、请求端口、日期和请求域名。

14、s023、分析radius日志，将获取的家宽用户信息存入宽带账号信息表；

15、进一步地，所述s023中宽带账号信息表包含如下字段：宽带账号、开始时间、结束时间、时长、mac地址、发送字节数，接收字节数、发送包数、接收包数、nat ip地址、nat开始端口、nat结束端口。

16、s024、使用pcdn请求记录表对宽带账号信息表进行筛选，得到pcdn违法账号信息；

17、进一步地，所述s024中筛选的规则包括：

18、pcdn请求记录表的请求ip地址＝宽带账号信息表的nat ip地址；

19、pcdn请求记录表的请求端口在宽带账号信息表的nat开始端口和nat结束端口之间。

20、s03、获取所述pcdn违法账号所使用接入设备的mac地址，并提取mac地址中的设备厂商标识；

21、进一步地，所述pcdn违法账号使用接入设备操作pcdn违规业务；

22、进一步地，所述mac地址为设备出厂设置，长度为48位，前24位代表设备厂商的标识；

23、s04、筛选与所述mac地址相同的家宽用户，根据上下行流量判断所述家宽用户是否为pcdn违法账号；

24、进一步地，所述s04包括：

25、s041、从radius日志中筛选使用所述接入设备的家宽用户，找出疑似pcdn违法账号；

26、进一步地，所述疑似pcdn违法账号的找出规则为：接入设备存在pcdn违规业务。

27、s042、根据s041找出的疑似pcdn违法账号，判断其家宽用户的上下行流量，将上行流量大于3倍下行流量的家宽用户确定为pcdn违法账号。

28、s05、筛选radius日志中所述设备厂商的mac地址，根据mac地址相似性确定pcdn违法账号；

29、进一步地，所述s05包括：

30、s051、筛选radius日志，将所述设备厂商的mac地址进行归类；

31、s052、若归类的mac地址与s03中的mac地址具有相似性，则确定使用所述归类mac地址的家宽用户均为pcdn违法账号；

32、进一步地，所述s052中相似性包括：mac地址前24位相同，mac地址具有连续性。

33、例如radius日志还存在两条日志，其中mac地址分别为11:22:33:1b:b5:12和11:22:33:1b:b5:13，所述两条日志的mac地址和11:22:33:1b:b5:11具有相似性，接入设备属于同一个厂商，且mac地址具有连续性，则确定使用所述归类mac地址的家宽用户均为pcdn违法账号。

34、s06、使用flow流量日志中的源地址筛选家宽用户的nat地址，分析筛选后家宽用户的流量模型，再根据流量模型特征，确定pcdn违法账号；

35、进一步地，所述流量模型特征包括：

36、上行流量大于3倍下行流量、目的端口分布集中、主要流量的通信地址属于同一个区域。

37、进一步地，所述pcdn违法账号包括流量模型特征的一条或多条。

38、在本发明一实施例中，还提出了一种家宽用户的pcdn违法账号的检测装置，该装置包括：

39、信息采集模块，采集dns日志、radius日志、flow流量日志和pcdn域名特征库；

40、日志分析模块，分析dns和radius的日志，根据pcdn域名特征库、家宽用户nat地址以及端口范围，筛选出pcdn违法账号；

41、mac地址获取分析模块，获取所述pcdn违法账号所使用接入设备的mac地址，并提取mac地址中的设备厂商标识；

42、pcdn违法账号筛选模块，筛选与所述mac地址相同的家宽用户，根据上下行流量判断所述家宽用户是否为pcdn违法账号；

43、mac地址确定pcdn违法账号模块，筛选radius日志中所述设备厂商的mac地址，根据mac地址相似性确定pcdn违法账号；

44、流量模型确定pcdn违法账号模块，使用flow流量日志中的源地址筛选家宽用户的nat地址，分析筛选后家宽用户的流量模型，再根据流量模型特征，确定pcdn违法账号。

45、在本发明一实施例中，还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现前述家宽用户的pcdn违法账号的检测方法。

46、在本发明一实施例中，还提出了一种计算机可读存储介质，计算机可读存储介质存储有执行家宽用户的pcdn违法账号的检测方法的计算机程序。

47、有益效果：

48、本发明一种家宽用户的pcdn违法账号的检测方法及装置，结合接入设备的pcdn域名特征、mac地址的相似性以及pcdn的flow流量特征等多种数据源检测pcdn违法账号，提高了pcdn违法账号检测的精确度。