内容分发网络风险用户的确定方法及装置与流程

本发明属于网络技术与安全，尤其涉及一种内容分发网络风险用户的确定方法及装置。

背景技术：

1、随着p2p和cdn架构的发展成熟，一些互联网企业借用家庭宽带的闲时流量为自己的内容源进行代理，即pcdn，不仅影响运营商的idc业务收入，同时还伴随着违规套利行为，存在严重信安风险。

2、为了维护运营商的idc业务收入、打击无证经营cdn业务等违规行为，可以采用pcdn行为分析的方法对其进行排查。因此如何更好地采用pcdn行为分析的方法对其进行排查成为亟待解决的问题。

技术实现思路

1、鉴于以上现有技术的不足，发明的目的在于提供一种内容分发网络风险用户的确定方法方法及装置，该方法能够大规模对全网的内容分发网络风险用户进行筛查，提高了检测结果的准确性，提高了用户体验。

2、本发明的第一方面，提出了一种内容分发网络风险用户的确定方法，包括：s1，获取radius日志中用户的上下行流量；s2，在确定所述上下行流量满足排查条件的情况下，将dns日志中的解析地址信息与所述radius日志中家宽用户的nat转换ip相匹配；s3，在确定所述上下行流量不满足排查条件的情况下，将netflow日志与所述radius日志进行关联，并构建内容分发网络算法；s4，基于所述内容分发网络算法确定所述家宽用户的综合风险得分，并确定所述综合风险得分超过预设风险阈值的情况下，将所述dns日志中的解析地址信息与所述radius日志中所述家宽用户的nat转换ip相匹配；s5，在确定所述dns日志中的解析地址信息是所述radius日志中所述家宽用户的nat转换地址ip，且所述家宽用户为提供互联网服务的情况下，确定所述家宽用户为内容分发网络风险用户。

3、进一步地，所述排查条件，包括出向流量大于第一阈值或流出流入流量比例大于第二阈值。

4、进一步地，在确定所述上下行流量满足排查条件的情况下，将dns日志中的解析地址信息与所述radius日志中家宽用户的nat转换ip相匹配，包括：在确定所述上下行流量满足排查条件的情况下，筛选出所述radius日志中的所述家宽用户；将所述radius日志中的所述家宽用户和所述dns日志进行维度结合；将所述dns日志中的解析地址信息与所述家宽用户的nat转换ip相匹配。

5、进一步地，将所述dns日志中的解析地址信息与所述家宽用户的nat转换ip相匹配，包括：分别提取所述dns日志采集的返回日志字段、访问网址字段，以及所述radius日志的nat字段；根据所述dns日志采集的所述返回日志字段和所述访问网址字段，确定所述dns日志中的解析地址信息；将所述dns日志中的解析地址信息与所述家宽用户的nat转换ip相匹配。

6、进一步地，所述内容分发网络算法，包括：用户访问内容分发网络代理次数、预设数量的用户流出服务端口流量占比、预设数量的用户流入被访问端口流量占比。

7、进一步地，基于所述内容分发网络算法确定所述家宽用户的综合风险得分，包括：根据预设数量的用户流出服务端口流量项权重和所述预设数量的用户流出服务端口流量占比的乘积，得到第一数值；根据预设数量的用户流入被访问端口流量项权重和所述预设数量的用户流入被访问端口流量占比的乘积，得到第二数值；根据用户访问内容分发网络代理次数项权重和用户访问内容分发网络代理次数的乘积，得到第三数值；根据所述第一数值、所述第二数值和所述第三数值，确定所述家宽用户的综合风险得分。

8、进一步地，根据所述第一数值、所述第二数值和所述第三数值，确定所述radius中家宽用户的综合风险得分，包括：将所述第一数值、所述第二数值、所述第三数值之和，作为所述家宽用户的综合风险得分。

9、本发明的第二方面，提出了一种内容分发网络风险用户的确定装置，包括：获取模块，用于获取radius日志中用户的上下行流量；匹配模块，用于在确定所述上下行流量满足排查条件的情况下，将dns日志中的解析地址信息与所述radius日志中家宽用户的nat转换ip相匹配；构建模块，用于在确定所述上下行流量不满足排查条件的情况下，将netflow日志与所述radius日志进行关联，并构建内容分发网络算法；第一确定模块，用于基于所述内容分发网络算法确定所述家宽用户的综合风险得分，并确定所述综合风险得分超过预设风险阈值的情况下，将所述dns日志中的解析地址信息与所述radius日志中所述家宽用户的nat转换ip相匹配；第二确定模块，用于在确定所述dns日志中的解析地址信息是所述radius日志中所述家宽用户的nat转换地址ip，且所述家宽用户为提供互联网服务的情况下，确定所述家宽用户为内容分发网络风险用户。

10、本发明的第三方面，提出了一种电子设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明第一方面中任一项所述的方法。

11、本发明的第四方面，提出了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行本发明第一方面中任一项所述的方法。

12、本发明有益效果如下：

13、本发明所述的内容分发网络风险用户的确定方法和装置，通过获取radius日志中用户的上下行流量；在确定上下行流量满足排查条件的情况下，将dns日志中的解析地址信息与radius日志中家宽用户的nat转换ip相匹配；在确定上下行流量不满足排查条件的情况下，将netflow日志与radius日志进行关联，并构建内容分发网络算法；基于内容分发网络算法确定家宽用户的综合风险得分，并确定综合风险得分超过预设风险阈值的情况下，将dns日志中的解析地址信息与radius日志中家宽用户的nat转换ip相匹配；在确定dns日志中的解析地址信息是radius日志中家宽用户的nat转换地址ip，且家宽用户为提供互联网服务的情况下，确定家宽用户为内容分发网络风险用户。该方法通过radius日志、dns日志、netflow日志的信息数据，能够大规模对全网的内容分发网络风险用户进行筛查，提高了检测结果的准确性，提高了用户体验。

技术特征：

1.一种内容分发网络风险用户的确定方法，其特征在于，包括：

2.根据权利要求1所述的内容分发网络风险用户的确定方法，其特征在于，所述排查条件，包括出向流量大于第一阈值或流出流入流量比例大于第二阈值。

3.根据权利要求1所述的内容分发网络风险用户的确定方法，其特征在于，在确定所述上下行流量满足排查条件的情况下，将dns日志中的解析地址信息与所述radius日志中家宽用户的nat转换ip相匹配，包括：

4.根据权利要求3所述的内容分发网络风险用户的确定方法，其特征在于，将所述dns日志中的解析地址信息与所述家宽用户的nat转换ip相匹配，包括：

5.根据权利要求1所述的内容分发网络风险用户的确定方法，其特征在于，所述内容分发网络算法，包括：用户访问内容分发网络代理次数、预设数量的用户流出服务端口流量占比、预设数量的用户流入被访问端口流量占比。

6.根据权利要求5所述的内容分发网络风险用户的确定方法，其特征在于，基于所述内容分发网络算法确定所述家宽用户的综合风险得分，包括：

7.根据权利要求6所述的内容分发网络风险用户的确定方法，其特征在于，根据所述第一数值、所述第二数值和所述第三数值，确定所述radius中家宽用户的综合风险得分，包括：

8.一种内容分发网络风险用户的确定装置，其特征在于，包括：

9.一种电子设备，包括：

10.一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行根据权利要求1至7中任一项所述的方法。

技术总结
本发明涉及一种内容分发网络风险用户的确定方法及装置，属于网络技术与安全技术领域，该方法包括：在确定上下行流量满足排查条件的情况下，将DNS日志中的解析地址信息与Radius日志中家宽用户的NAT转换IP相匹配；在确定上下行流量不满足排查条件的情况下，将NetFlow日志与Radius日志进行关联，并构建内容分发网络算法；基于内容分发网络算法确定家宽用户的综合风险得分，并确定综合风险得分超过预设风险阈值的情况下，将DNS日志中的解析地址信息与Radius日志中家宽用户的NAT转换IP相匹配；在确定DNS日志中的解析地址信息是Radius日志中家宽用户的NAT转换地址IP，且家宽用户为提供互联网服务的情况下，确定家宽用户为内容分发网络风险用户。该方法提高了检测结果的准确性。

技术研发人员：闫磊,马蕴颖,尹立云,朱国威,郝金彪
受保护的技术使用者：中电信数智科技有限公司
技术研发日：
技术公布日：2024/4/7