务器的流量占 比,所述流量占比为所述疑似非法代理服务器上免费流量与总流量的比值;将预置时间段 内所述流量占比低于第二预置阈值的疑似非法代理服务器的IP地址转移到所述白名单中。
[0047] 可选地,所述处理器还用于获取域名报文的合法网址;当所述合法网址为免费网 址时,从域名服务器发送的域名响应报文中获取与所述合法网址对应的合法服务器的IP地 址;将所述合法网址和所述对应的合法服务器的IP地址对应的添加到所述白名单中。
[0048] 可选地,所述处理器还用于根据针对非法代理的防控策略,处理所述业务报文。
[0049] 本发明第四方面提供一种识别计费欺诈的非法代理的系统,包括:计费执行功能 实体PCEF和域名服务器,
[0050] 所述PCEF为上述第二方面或第二方面任一可选实现方式所述的核心网设备。
[0051]本发明第五方面提供一种识别计费欺诈的非法代理的系统,包括:计费执行功能 实体PCEF、可视化设备和域名服务器,
[0052]所述可视化设备上述第二方面或第二方面任一可选实现方式所述的核心网设备。
[0053] 与现有技术中对对计费欺诈的识别效果很差的问题相比,本发明实施例提供的识 别计费欺诈的非法代理的系统,可以准确的识别用于计费欺诈的非法代理,从而有效的阻 断计费欺诈。
【附图说明】
[0054] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于 本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附 图。
[0055] 图1是本发明实施例中通信系统的一实施例示意图;
[0056] 图2是本发明实施例中识别计费欺诈的非法代理的系统的一实施例示意图;
[0057]图3是本发明实施例中灰、白、黑名单内容转移示意图;
[0058]图4是本发明实施例中建立白名单的过程的一实施例示意图;
[0059] 图5是本发明实施例中建立白名单的过程的另一实施例示意图;
[0060] 图6是本发明实施例中识别计费欺诈的非法代理的方法的一实施例示意图;
[0061] 图7是本发明实施例中核心网设备的一实施例示意图;
[0062] 图8是本发明实施例中核心网设备的另一实施例示意图;
[0063] 图9是本发明实施例中核心网设备的另一实施例示意图;
[0064] 图10是本发明实施例中核心网设备的另一实施例示意图;
[0065] 图11是本发明实施例中核心网设备的另一实施例示意图;
[0066]图12是本发明实施例中核心网设备的另一实施例示意图;
[0067] 图13是本发明实施例中核心网设备的另一实施例示意图。
【具体实施方式】
[0068] 本发明实施例提供一种识别计费欺诈的非法代理的方法,可以准确的识别用于计 费欺诈的非法代理,从而有效的阻断计费欺诈。本发明实施例还提供了相应的设备及系统。 以下分别进行详细说明。
[0069]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施 例,都属于本发明保护的范围。
[0070] 图1为本发明实施例中通信系统的一实施例示意图。
[0071] 参阅图1,本发明实施例提供的通信系统的一实施例包括:用户设备(User Equipment,UE)、居民接入网(Residential Access Network,RAN)、计费执行功能实体 (Policy and Charging Enforcement Function,PCEF)、话单计费设备(Billing)、可视化 设备、域名服务器(Domain Name System Server,DNS Server)和业务提供商(Service Pr〇vider,SP)所提供的业务服务器。其中,UE上可以安装有帮助用户以欺诈的方式获取免 费流量或者优惠流量的客户端。RAN中可以包括基站或者演进基站等无线接入设备。PCEF可 以以内置形式嵌入网关GPRS支持节点(Gateway GPRS Support Node,GGSN)或者分组交换 网关(Packet Data Network Gateway,PGW),也可以独立设置PCEF。运营商通过Billing分 配流量业务标识,以及用户流量的业务注册信息及计费标识管理,实施在线/离线计费功 能。可视化设备可以展示网络的数据情况,供运营商及时了解网络数据。DNS Server可以将 域名转换成网络可以识别的IP地址。其中,独立的PCEF、内嵌有PCEF的GGSN/PGW、可视化设 备、DNS Server等都属于核心网设备。
[0072]本发明实施例所提供的识别计费欺诈的非法代理的核心网络设备主要包括独立 的PCEF、内嵌有PCEF的GGSN/PGW,或者具有识别计费欺诈的非法代理能力的可视化设备。 [0073]图2为本发明实施例中识别计费欺诈的非法代理的系统的一实施例示意图。
[0074]下面结合图2,说明本发明实施例中依靠独立的PCEF(当然,也可以是内嵌有PCEF 的GGSN/PGW)识别计费欺诈的非法代理的过程:
[0075] PCEF接收RAN传输过来的用户设备发出的业务报文,该业务报文中携带的目的网 址URL和目的服务器的IP地址;例如:目的网址为www. google, com,目的服务器的IP地址为 74.125.71.120。
[0076] PCEF从业务报文的网络层获取URL,从IP层获取目的服务器的IP地址。
[0077] PCEF从预先建立的白名单中查找与所述目的网址对应的服务器的IP地址,所述白 名单中包含免费网址与合法服务器的IP地址的对应关系。
[0078] 因为本发明实施例中主要的功能是防止具有流量欺诈功能的代理服务器以欺诈 的方式获取免费流量,当然也可以包括优惠流量,所以白名单中的网址都是免费网址或者 优惠网址,当PCEF从白名单中查找到www.google.com,则可以确定白名单中与 www. google. com网址对应的合法服务器的IP地址,具体过程可以参阅表1进行理解:如表1 所示:
[0079]表1:白名单
[0080] 免费(优惠)网址 合法服务器的IP地址 www.googlc.com 74.125.71.104 173.194.64.199 o_facebook.com 69.271.234.23 78.16.49,15
[0081 ] 从表1中可以确定WWW. goog 1 e. com所对应的合法服务器的IP地址。
[0082]当与所述目的网址URL对应的服务器的IP地址中不包含所述目的服务器的IP地址 时,PCEF识别所述目的服务器为疑似非法代理服务器。
[0083] 从表1中可以确定WWW. google. com所对应的合法服务器的IP地址中不包含目的服 务器的IP地址74 · 125 · 71 · 120。当然,此处是假设表1中醫w · googl e · com所对应的IP地址中 省略未写出的IP地址中不包括该目的IP地址,则可以确定IP地址为74.125.71.120的服务 器为疑似非法代理服务器。考虑到可能会有识别失误,所以不将识别出的代理服务器拉黑, 而是定义为疑似非法代理服务器,通过进一步监控观测再确定疑似非法代理服务器是否为 真正的非法代理服务器。
[0084]识别出疑似非法代理服务器后,可以通过防控策略,如阻塞、回归收费费率和带宽 限制等方式来降低运营商损失。
[0085] PCEF识别所述目的服务器为疑似非法代理服务器后,将所述目的服务器的IP地址 添加到灰名单中,所述灰名单中包含所述免费网址与所述疑似非法代理服务器的IP地址之 间的对应关系。
[0086] PCEF会对灰名单中的疑似非法代理服务器进行持续监控,从而进一步定性疑似非 法代理服务器。
[0087] PCEF监控所述灰名单中的疑似非法代理服务器的流量占比,所述流量占比为所述 疑似非法代理服务器上免费流量与总流量的比值,也就是基于疑似非法代理服务器IP的免 费流量与总流量的比值;
[0088] PCEF将预置时间段内所述流量占比高于第一预置阈值的疑似非法代理服务器的 IP地址转移到黑名单中,所述黑名单中包含所述免费网址与非法代理服务器的IP地址之间 的对应关系。
[0089] 将预置时间段内所述流量占比低于第二预置阈值的疑似非法代理服务器的IP地 址转移到所述白名单中。
[0090] 第一预置阈值和第二预置阈值都可以是预先设置的值,第一预置阈值和第二预置 阈值可以根据需求动态调整。
[0091] PCEF持续监测灰名单中的各IP地址下的流量,记录免费流量/总流量的流量占比, 若高于预先配置的黑名单阈值,如90%,也就是第一预置阈值,则将则将流量占比高于90% 的IP地址转移到黑名单列表中。若低于预先配置的白名单阈值,如50%,也就是第二预置阈 值,则将流量占比低于50% IP地址转移到白名单列表中。
[009...