一种识别计费欺诈的非法代理的方法、设备及系统的制作方法
【技术领域】
[0001] 本发明涉及网络安全技术领域,具体涉及一种识别计费欺诈的非法代理的方法、 设备及系统。
【背景技术】
[0002] 随着经济发展和移动通讯市场的大规模部署,传统语音和新型"流量"业务已经广 泛被应用和推广。不过在一些地区,移动网络流量资费比较昂贵,在这种背景下,网络上就 存在很多利用优惠计费策略漏洞进行计费欺诈的行为。例如:计费执行功能实体(Policy and Charging Enforcement Function,PCEF)上设置了免费套餐业务的过滤条件 (0 . facebook . com),用户利用该免费过来条件,在用户想要访问付费的业务 (www. test. com)时,将需要付费的真实访问业务报文(www. test. com)伪装成免费业务报文 (0. facebook. com/www. test. com)。在伪装报文通过计费检测后,将伪装报文送到代理服务 器上。代理服务器忽略计费欺诈,获取用户真实业务的网址(Uniform Resource Locator, URL) (www. test. com),转发到业务服务器。同样,用户下行报文也会经代理服务器处理后转 发到PCEF上,继而转发到用户设备上,实现诈取优惠费率访问真实业务。
[0003] 对于这类伪装报文,真实业务的网址总是不停的更换隐藏的字段,导致开发人员 总需要不停的升级,只要伪装报文中真实业务的网址字段稍有更改,就会检测不到。
[0004] 对于网络中存在的上述超文本传送协议(Hypertext transfer protocol,HTTP) 计费欺诈场景,PCEF可预先获取欺诈的代理服务器的互联网络协议(Internet Protocol, IP)地址,但欺诈产业链可以随时更换欺诈的代理服务器的IP地址,导致对欺诈的代理服务 器的识别不准确。
【发明内容】
[0005] 为了解决现有技术中对计费欺诈的识别效果很差的问题,本发明实施例提供一种 识别计费欺诈的非法代理的方法,可以准确的识别用于计费欺诈的非法代理,从而有效的 阻断计费欺诈。本发明实施例还提供了相应的设备及系统。
[0006] 本发明第一方面提供一种识别计费欺诈的非法代理的方法,该方法应用于通信系 统的核心网设备,通信系统中独立的PCEF、内嵌有PCEF的GGSN/PGW、可视化设备、DNS Server等都属于核心网设备,所述方法包括:核心网设备获取业务报文中携带的目的网址 URL和目的服务器的IP地址;所述核心网设备从预先建立的白名单中查找与所述目的网址 对应的服务器的IP地址,所述白名单中包含免费网址与合法服务器的IP地址的对应关系; 当与所述目的网址对应的服务器的IP地址中不包含所述目的服务器的IP地址时,所述核心 网设备识别所述目的服务器为疑似非法代理服务器。与现有技术中对对计费欺诈的识别效 果很差的问题相比,本发明实施例提供的识别计费欺诈的非法代理的方法,可以准确的识 别用于计费欺诈的非法代理,从而有效的阻断计费欺诈。
[0007] 可选地,所述核心网设备识别所述目的服务器为疑似非法代理服务器之后,所述 方法还包括:
[0008] 所述核心网设备将所述目的服务器的IP地址添加到灰名单中,所述灰名单中包含 所述免费网址与所述疑似非法代理服务器的IP地址之间的对应关系。
[0009] 可选地,所述方法还包括:
[0010] 所述核心网设备监控所述灰名单中的疑似非法代理服务器的流量占比,所述流量 占比为所述疑似非法代理服务器上免费流量与总流量的比值;
[0011] 所述核心网设备将预置时间段内所述流量占比高于第一预置阈值的疑似非法代 理服务器的IP地址转移到黑名单中,所述黑名单中包含所述免费网址与非法代理服务器的 IP地址之间的对应关系。
[0012] 可选地,所述方法还包括:
[0013] 所述核心网设备监控所述灰名单中的疑似非法代理服务器的流量占比,所述流量 占比为所述疑似非法代理服务器上免费流量与总流量的比值;
[0014] 所述核心网设备将预置时间段内所述流量占比低于第二预置阈值的疑似非法代 理服务器的IP地址转移到所述白名单中。
[0015] 可选地,所述方法还包括
[0016] 所述核心网设备获取域名报文的合法网址;
[0017] 当所述合法网址为免费网址时,所述核心网设备从域名服务器发送的域名响应报 文中获取与所述合法网址对应的合法服务器的IP地址;
[0018] 所述核心网设备将所述合法网址和所述对应的合法服务器的IP地址对应的添加 到所述白名单中。
[0019]可选地,所述核心网设备识别所述目的服务器为疑似非法代理服务器之后,所述 方法还包括:
[0020] 所述核心网设备根据针对非法代理的防控策略,处理所述业务报文。
[0021] 本发明第二方面提供一种核心网设备,应用于通信系统,通信系统中独立的PCEF、 内嵌有PCEF的GGSN/PGW、可视化设备、DNS Server等都属于核心网设备,核心网设备包括: [0022]获取单元,用于获取业务报文中携带的目的网址URL和目的服务器的IP地址;
[0023] 查找单元,用于从预先建立的白名单中查找与所述获取单元获取的所述目的网址 对应的服务器的IP地址,所述白名单中包含免费网址与合法服务器的IP地址的对应关系;
[0024] 识别单元,用于当与所述查找单元查找到的所述目的网址对应的服务器的IP地址 中不包含所述目的服务器的IP地址时,识别所述目的服务器为疑似非法代理服务器。
[0025] 与现有技术中对对计费欺诈的识别效果很差的问题相比,本发明实施例提供的核 心网设备,可以准确的识别用于计费欺诈的非法代理,从而有效的阻断计费欺诈。
[0026] 可选地,所述核心网设备还包括:
[0027]第一添加单元,用于在所述识别单元识别所述目的服务器为疑似非法代理服务器 之后,将所述目的服务器的IP地址添加到灰名单中,所述灰名单中包含所述免费网址与所 述疑似非法代理服务器的IP地址之间的对应关系。
[0028] 可选地,所述核心网设备还包括:
[0029]第一监控单元,用于监控所述灰名单中的疑似非法代理服务器的流量占比,所述 流量占比为所述疑似非法代理服务器上免费流量与总流量的比值;
[0030] 第一转移单元,用于将预置时间段内所述第一监控单元监控的流量占比高于第一 预置阈值的疑似非法代理服务器的IP地址转移到黑名单中,所述黑名单中包含所述免费网 址与非法代理服务器的IP地址之间的对应关系。
[0031] 可选地,所述核心网设备还包括:
[0032] 第二监控单元,用于监控所述灰名单中的疑似非法代理服务器的流量占比,所述 流量占比为所述疑似非法代理服务器上免费流量与总流量的比值;
[0033] 第二转移单元,用于将预置时间段内所述第二监控单元监控的流量占比低于第二 预置阈值的疑似非法代理服务器的IP地址转移到所述白名单中。
[0034] 可选地,所述核心网设备还包括:第二添加单元,
[0035] 所述获取单元,还用于获取域名报文的合法网址,当所述合法网址为免费网址时, 从域名服务器发送的域名响应报文中获取与所述合法网址对应的合法服务器的IP地址;
[0036] 所述第二添加单元,用于将所述获取单元获取所述合法网址和所述获取单元获取 的所述对应的合法服务器的IP地址对应的添加到所述白名单中。
[0037] 可选地,所述核心网设备还包括:
[0038]处理单元,用于在所述识别单元识别出所述目的服务器为疑似非法代理服务器之 后,根据针对非法代理的防控策略,处理所述业务报文。
[0039]本发明第三方面提供一种核心网设备,应用于通信系统,通信系统中独立的PCEF、 内嵌有PCEF的GGSN/PGW、可视化设备、DNS Server等都属于核心网设备,核心网设备包括: 收发器、处理器和存储器,所述存储器中存储有处理器执行识别计费欺诈的非法代理的程 序;
[0040] 处理器用于执行如下步骤:
[0041 ]获取业务报文中携带的目的网址URL和目的服务器的IP地址;
[0042] 从预先建立的白名单中查找与所述目的网址对应的服务器的IP地址,所述白名单 中包含免费网址与合法服务器的IP地址的对应关系;
[0043] 当与所述目的网址对应的服务器的IP地址中不包含所述目的服务器的IP地址时, 识别所述目的服务器为疑似非法代理服务器。
[0044] 可选地,所述处理器还用于将所述目的服务器的IP地址添加到灰名单中,所述灰 名单中包含所述免费网址与所述疑似非法代理服务器的IP地址之间的对应关系。
[0045] 可选地,所述处理器还用于监控所述灰名单中的疑似非法代理服务器的流量占 比,所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值;将预置时间段 内所述流量占比高于第一预置阈值的疑似非法代理服务器的IP地址转移到黑名单中,所述 黑名单中包含所述免费网址与非法代理服务器的IP地址之间的对应关系。
[0046] 可选地,所述处理器还用于监控所述灰名单中的疑似非法代理服