專利名稱:非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)及監(jiān)測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域��,尤其涉及一種非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)及監(jiān)測(cè)方法�。
背景技術(shù):
互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)業(yè)務(wù)是電信運(yùn)營(yíng)商依托電信級(jí)機(jī)房設(shè)施、高質(zhì)量網(wǎng)絡(luò)環(huán)境和系統(tǒng)化監(jiān)控手段為客戶提供標(biāo)準(zhǔn)機(jī)房環(huán)境和優(yōu)質(zhì)運(yùn)行指標(biāo)的設(shè)備托管及互聯(lián)網(wǎng)相關(guān)增值服務(wù)的一項(xiàng)業(yè)務(wù)�。然而,實(shí)際運(yùn)營(yíng)中發(fā)現(xiàn)�,某些高寬帶IDC客戶利用電信運(yùn)營(yíng)商提供的高寬帶接入互聯(lián)網(wǎng)便利條件,以相對(duì)廉價(jià)的專線租用費(fèi)用��,非常規(guī)接入運(yùn)營(yíng)商IDC機(jī)房的高寬帶鏈路,從事分包二次提供互聯(lián)網(wǎng)接入服務(wù)或違反用戶協(xié)議擅自為第三方提供互聯(lián)網(wǎng)轉(zhuǎn)接(透?jìng)?服務(wù)的違規(guī)行為��,而且?guī)挶I用手段通常較為隱蔽��,給從事正當(dāng)IDC業(yè)務(wù)經(jīng)營(yíng)的電信運(yùn)營(yíng)商帶來(lái)巨大經(jīng)濟(jì)損失���。近年來(lái),違規(guī)高帶寬IDC接入在電信運(yùn)營(yíng)商的部分省級(jí)公司屢有發(fā)生���,給不法網(wǎng)絡(luò)運(yùn)營(yíng)商����、電信服務(wù)商�、網(wǎng)絡(luò)廣告代理商提供了可乘之機(jī),并嚴(yán)重影響國(guó)家對(duì)掃黃打非的高壓態(tài)勢(shì)�����。高寬帶IDC客戶的非常規(guī)接入行為�����,不利于建設(shè)文明健康的網(wǎng)絡(luò)環(huán)境���,不利于保護(hù)青少年的身心健康���,不利于電信運(yùn)營(yíng)商作為央企的企業(yè)社會(huì)責(zé)任����。為凈化互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境�,遏制淫穢色情信息蔓延的傳播,電信運(yùn)營(yíng)商加大了對(duì)違規(guī)高帶寬接入的清理整治力度?���,F(xiàn)有的違規(guī)檢測(cè)手段多以人工檢測(cè)分析等手工作坊式方式為主,效率低下�。有部分專利文獻(xiàn)涉及了網(wǎng)絡(luò)流量管理技術(shù),但并不適用于非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)���。例如���,CN1486019揭示了一種基于服務(wù)質(zhì)量的網(wǎng)絡(luò)管理方法。該發(fā)明提出一種基于服務(wù)質(zhì)量的網(wǎng)絡(luò)管理方法���, 該方法擴(kuò)充radius server作為業(yè)務(wù)管理平臺(tái)��,針對(duì)具體的網(wǎng)絡(luò)應(yīng)用定制相應(yīng)的QoS策略��;在用戶向IDC申請(qǐng)所要獲得的服務(wù)質(zhì)量和權(quán)限��,并提供業(yè)務(wù)選擇信息時(shí)���,IDC存儲(chǔ)上述信息,并將該信息發(fā)給radius server �����;radius server對(duì)用戶進(jìn)行認(rèn)證�����,同時(shí)根據(jù)用戶的屬性和申請(qǐng)的業(yè)務(wù)類型確定為該用戶提供的QoS策略,在與會(huì)聚層設(shè)備交互用戶認(rèn)證消息時(shí)�,將具體的QoS策略下發(fā)到會(huì)聚層設(shè)備上,對(duì)會(huì)聚層設(shè)備做相應(yīng)的QoS策略配置���,會(huì)聚層設(shè)備再向接入層設(shè)備配置針對(duì)接入層設(shè)備制定的QoS策略��;最后�����,利用預(yù)制的QoS策略為用戶服務(wù)�����;上述方案能夠?qū)oS管理和用戶管理���、業(yè)務(wù)管理結(jié)合起來(lái)����,提聞網(wǎng)絡(luò)的服務(wù)質(zhì)量和效率���。CN101980506A揭示了一種基于流量特征分析的分布式入侵檢測(cè)方法����。該發(fā)明提出了一種基于流量特征分析的分布式入侵檢測(cè)方法��,基于JADE平臺(tái)�����,采用智能決策分析代理和數(shù)據(jù)采集�、獨(dú)立入侵條件監(jiān)測(cè)代理實(shí)施入侵檢測(cè)數(shù)據(jù)采集、獨(dú)立入侵條件監(jiān)測(cè)代理針對(duì)入侵特征明確的網(wǎng)絡(luò)入侵行為進(jìn)行檢測(cè)�����;智能決策分析代理通過(guò)改進(jìn)的非參數(shù)CUSUM算法——閾值回歸算法,將網(wǎng)絡(luò)流量中不同統(tǒng)計(jì)特征量�����,包括流量帶寬�、新源IP地址等進(jìn)行綜合監(jiān)測(cè)并結(jié)合數(shù)據(jù)采集、獨(dú)立入侵條件代理傳送的相關(guān)信息實(shí)現(xiàn)網(wǎng)絡(luò)異常檢測(cè)���,有效提高入侵檢測(cè)效率和準(zhǔn)確性��。該方法通過(guò)監(jiān)測(cè)新源IP地址可以有效地區(qū)分不同的網(wǎng)絡(luò)流量模式��,進(jìn)一步降低入侵檢測(cè)系統(tǒng)的誤報(bào)率��。
CN101155175揭示了一種基于BGP協(xié)議的出路由過(guò)濾的方法和裝置。該發(fā)明提出了一種基于BGP協(xié)議的出路由過(guò)濾的方法和裝置���,本發(fā)明的核心是在BGP協(xié)議中承載下一跳出路由過(guò)濾(Nexthop 0RF)信息��,BGP Peer之間進(jìn)行出路由過(guò)濾(Outbound RouteFilter ���;0RF)能力協(xié)商;然后,BGPPeer之間根據(jù)所進(jìn)行的ORF能力協(xié)商結(jié)果進(jìn)行出路由過(guò)濾處理����。采用本發(fā)明,可以解決現(xiàn)有ORF不能根據(jù)路由的Nexthop來(lái)進(jìn)行過(guò)濾的問(wèn)題����,大大簡(jiǎn)化配置,同時(shí)也能簡(jiǎn)化BGP在進(jìn)行ORF處理的復(fù)雜度���?��?傮w而言,現(xiàn)有技術(shù)中并不存在對(duì)非常規(guī)網(wǎng)絡(luò)接入行為進(jìn)行有效監(jiān)測(cè)的技術(shù)���。
發(fā)明內(nèi)容
本發(fā)明旨在提出一種針對(duì)高寬帶(>45Mb/s)IDC客戶��,通過(guò)租賃運(yùn)營(yíng)商IDC數(shù)據(jù)專線等方式��,非常規(guī)接入電信運(yùn)營(yíng)商互聯(lián)網(wǎng)違規(guī)行為的監(jiān)測(cè)方法和監(jiān)測(cè)系統(tǒng)�。根據(jù)本發(fā)明的一實(shí)施例���,提出一種非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)�����,該監(jiān)測(cè)系統(tǒng)部署于電信運(yùn)營(yíng)商的互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)機(jī)房?jī)?nèi)�,與接入高寬帶用戶專網(wǎng)的接入層交換機(jī)和匯聚層路由器通信連接,該監(jiān)測(cè)系統(tǒng)對(duì)所述接入層交換機(jī)和匯聚層路由器進(jìn)行基于NetFlow的流量流向數(shù)據(jù)采集�����,該監(jiān)測(cè)系統(tǒng)包括 基礎(chǔ)信息數(shù)據(jù)庫(kù)���,保存IP地址信息��;IP流量流向數(shù)據(jù)采集與分析模塊����,周期性地檢測(cè)高寬帶客戶專網(wǎng)的實(shí)際使用者的AS號(hào)和IP地址����,并周期性地對(duì)基礎(chǔ)信息數(shù)據(jù)庫(kù)中的IP地址信息進(jìn)行更新;高寬帶用戶專網(wǎng)邊界網(wǎng)關(guān)協(xié)議(BGP)路由信息過(guò)濾模塊�����,對(duì)于自帶AS號(hào)和IP地址接入的高寬帶用戶專網(wǎng)用戶����,對(duì)高寬帶用戶專網(wǎng)的基本呼叫處理(BCP)鄰居公告的路由信息進(jìn)行監(jiān)控,對(duì)照IP地址信息庫(kù)�,對(duì)沒(méi)有記錄在IP地址信息庫(kù)中的AS號(hào)和IP地址進(jìn)行告警;高寬帶用戶專網(wǎng)下活躍用戶識(shí)別模塊,檢測(cè)指定用戶范圍內(nèi)下聯(lián)端口流量�,從下聯(lián)流量中匯總用戶活躍地址清單,并自動(dòng)識(shí)別入/出流量比值較大的設(shè)備或端口 �����;高寬帶用戶專網(wǎng)下活躍用戶行為合法性甄別模塊��,確認(rèn)違規(guī)行為的活躍用戶地址并列入黑名單庫(kù)����;其中合法性甄別包括歸屬甄別、路由甄別和應(yīng)用甄別��;信息展示及黑名單管理模塊����,保存黑名單庫(kù)。在一個(gè)實(shí)施例中�����,高寬帶用戶專網(wǎng)BGP路由信息過(guò)濾模塊將沒(méi)有記錄在所述IP地址信息庫(kù)中的AS號(hào)和IP地址列入黑名單庫(kù)。在一個(gè)實(shí)施例中����,高寬帶用戶專網(wǎng)下活躍用戶識(shí)別模塊利用深度包檢測(cè)(DPI)技術(shù)識(shí)別使用地址映射技術(shù)的用戶網(wǎng)絡(luò)中的真實(shí)網(wǎng)元數(shù)量。在一個(gè)實(shí)施例中�,高寬帶用戶專網(wǎng)下活躍用戶行為合法性甄別模塊執(zhí)行的歸屬甄別包括核對(duì)用戶活躍地址清單中每個(gè)地址的真實(shí)AS號(hào)歸屬,將不屬于本AS域的地址整理為存疑地址清單�����;路由甄別包括發(fā)起自IDC機(jī)房固定檢測(cè)點(diǎn)至用戶活躍地址清單中每個(gè)地址的路由檢測(cè)��,識(shí)別流量所經(jīng)歷的網(wǎng)絡(luò)路徑及路由跳數(shù)��;應(yīng)用甄別包括在流量流向管理基礎(chǔ)上���,基于用戶IP地址及應(yīng)用類型進(jìn)行分類分析���,針對(duì)用戶側(cè)的HTTP、FTP���、郵件��、視頻�、語(yǔ)音等常用服務(wù)的流量����,以應(yīng)用類型、接入位置�、用戶IP地址、服務(wù)流量比例等為關(guān)鍵索引進(jìn)行分類排序���。根據(jù)本發(fā)明的一實(shí)施例�����,提出一種非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)方法�,在電信運(yùn)營(yíng)商的互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)機(jī)房?jī)?nèi)部署一監(jiān)測(cè)系統(tǒng)�,該監(jiān)測(cè)系統(tǒng)與接入高寬帶用戶專網(wǎng)的接入層交換機(jī)和匯聚層路由器通信連接,該監(jiān)測(cè)系統(tǒng)對(duì)接入層交換機(jī)和匯聚層路由器進(jìn)行基于NetFlow的流量流向數(shù)據(jù)采集,該監(jiān)測(cè)方法包括建立IP地址信息庫(kù)�,周期性地檢測(cè)高寬帶客戶專網(wǎng)的實(shí)際使用者的AS號(hào)和IP地址,并周期性地對(duì)IP地址信息庫(kù)進(jìn)行更新;對(duì)高寬帶用戶專網(wǎng)邊界網(wǎng)關(guān)協(xié)議(BGP)路由信息進(jìn)行過(guò)濾,對(duì)于自帶AS號(hào)和IP地址接入的高寬帶用戶專網(wǎng)用戶�,對(duì)高寬帶用戶專網(wǎng)的基本呼叫處理(BCP)鄰居公告的路由信息進(jìn)行監(jiān)控���,對(duì)照IP地址信息庫(kù)���,對(duì)沒(méi)有記錄在IP地址信息庫(kù)中的AS號(hào)和IP地址進(jìn)
行告警��;對(duì)高寬帶用戶專網(wǎng)下活躍用戶進(jìn)行識(shí)別�����,檢測(cè)指定用戶范圍內(nèi)下聯(lián)端口流量�����,從下聯(lián)流量中匯總用戶活躍地址清單�����,并自動(dòng)識(shí)別入/出流量比值較大的設(shè)備或端口 ����;高寬帶用戶專網(wǎng)下活躍用戶行為合法性甄別,確認(rèn)違規(guī)行為的活躍用戶地址并列入黑名單庫(kù)�����;其中合法性甄別包括歸屬甄別�、路由甄別和應(yīng)用甄別。在一個(gè)實(shí)施例中,將沒(méi)有記錄在所述IP地址信息庫(kù)中的AS號(hào)和IP地址列入黑名單庫(kù)��。在一個(gè)實(shí)施例中��,在對(duì)高寬帶用戶專網(wǎng)下活躍用戶進(jìn)行識(shí)別的步驟中�,利用深度包檢測(cè)(DPI)技術(shù)識(shí)別使用地址映射技術(shù)的用戶網(wǎng)絡(luò)中的真實(shí)網(wǎng)元數(shù)量�。在一個(gè)實(shí)施例中��,歸屬甄別包括核對(duì)用戶活躍地址清單中每個(gè)地址的真實(shí)AS號(hào)歸屬��,將不屬于本AS域的地址整理為存疑地址清單;路由甄別包括發(fā)起自IDC機(jī)房固定檢測(cè)點(diǎn)至用戶活躍地址清單中每個(gè)地址的路由檢測(cè)���,識(shí)別流量所經(jīng)歷的網(wǎng)絡(luò)路徑及路由跳數(shù)��;應(yīng)用甄別包括在流量流向管理基礎(chǔ)上,基于用戶IP地址及應(yīng)用類型進(jìn)行分類分析,針對(duì)用戶側(cè)的HTTP����、FTP�����、郵件、視頻、語(yǔ) 音等常用服務(wù)的流量���,以應(yīng)用類型、接入位置、用戶IP地址���、服務(wù)流量比例等為關(guān)鍵索引進(jìn)行分類排序����。本發(fā)明的非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)和監(jiān)測(cè)方法能有效針對(duì)高寬帶IDC客戶的非常規(guī)接入互聯(lián)網(wǎng)違規(guī)行為進(jìn)行分析,與傳統(tǒng)分析方法相比����,本發(fā)明明顯具有以下技術(shù)優(yōu)勢(shì)I)完整性本發(fā)明建立IP地址信息庫(kù)����,可以全面���、完整�����、及時(shí)的對(duì)接入運(yùn)營(yíng)商的用戶IP地址����、AS號(hào)進(jìn)行合法性檢驗(yàn)����,對(duì)無(wú)權(quán)提供互聯(lián)網(wǎng)接入服務(wù)的企事業(yè)單位通過(guò)電信運(yùn)營(yíng)商IDC數(shù)據(jù)專線進(jìn)行流量透?jìng)鞯倪`規(guī)行為提前進(jìn)行預(yù)警�����;2)自動(dòng)化本發(fā)明支持檢測(cè)指定用戶范圍內(nèi)下聯(lián)端口流量的自動(dòng)采集與分析�����,能從下聯(lián)流量中匯總用戶活躍地址清單,并自動(dòng)識(shí)處別入/出流量比值較大的設(shè)備或端口�,為違規(guī)行為的進(jìn)一步確認(rèn)提供了強(qiáng)大的分析工具��;3)準(zhǔn)確性本發(fā)明從歸屬甄別�����、路由甄別����、應(yīng)用甄別等多個(gè)維度,對(duì)高寬帶用戶的非常規(guī)接入可疑行為進(jìn)行全面分析���,為違規(guī)行為的人工確認(rèn)提供了確鑿殷實(shí)的評(píng)判依據(jù)�����,可大大提高用戶違規(guī)行為的評(píng)判準(zhǔn)確性��。
圖1揭示了根據(jù)本發(fā)明的一實(shí)施例的非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)的部署方案。
圖2揭示了根據(jù)本發(fā)明的一實(shí)施例的非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)的結(jié)構(gòu)圖��。圖3揭示了根據(jù)本發(fā)明的一實(shí)施例的非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)方法的流程圖。
具體實(shí)施例方式本發(fā)明提出一種非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)�����。參考圖1所示���,該監(jiān)測(cè)系統(tǒng)100部署于電信運(yùn)營(yíng)商的互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)機(jī)房102內(nèi)�,與接入高寬帶用戶專網(wǎng)104的接入層交換機(jī)106和匯聚層路由器108通信連接�����,該監(jiān)測(cè)系統(tǒng)100對(duì)接入層交換機(jī)106和匯聚層路由器108進(jìn)行基于NetFlow的流量流向數(shù)據(jù)采集����。本發(fā)明利用NetFlow技術(shù),NetFlow是一種數(shù)據(jù)交換方式,其工作原理是NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個(gè)IP包數(shù)據(jù),生成NetFlow緩存����,隨后同樣的數(shù)據(jù)基于緩存信息在同一個(gè)數(shù)據(jù)流中進(jìn)行傳輸���,不再匹配相關(guān)的訪問(wèn)控制等策略����,NetFlow緩存同時(shí)包含了隨后數(shù)據(jù)流的統(tǒng)計(jì)信息�。參考圖2所示���,該監(jiān)測(cè)系統(tǒng)100包括基礎(chǔ)信息數(shù)據(jù)庫(kù)202��,基礎(chǔ)信息數(shù)據(jù)庫(kù)202保存IP地址信息。IP流量流向數(shù)據(jù)采集與分析模塊204�����,IP流量流向數(shù)據(jù)采集與分析模塊204周期性地檢測(cè)高寬帶客戶專網(wǎng)的實(shí)際使用者的AS號(hào)和IP地址�����,并周期性地對(duì)基礎(chǔ)信息數(shù)據(jù)庫(kù)中的IP地址信息進(jìn)行更新�。此處所稱的AS是指自治系統(tǒng)(Autonomous System)。自治系統(tǒng)是指使用統(tǒng)一內(nèi)部路由協(xié)議的一組網(wǎng)絡(luò)��。如果成員單位的網(wǎng)絡(luò)路由器準(zhǔn)備采用 EGP(Exterior Gateway Protocol)> BGP(Border Gateway Protocol)或 IDRP(0SIInter-Domain Routing Protocol)協(xié)議,并且該單位的網(wǎng)絡(luò)規(guī)模比較大或者將來(lái)會(huì)發(fā)展成較大規(guī)模的網(wǎng)絡(luò)���,而且有多個(gè)出口�����,則可以建立成一個(gè)自治系統(tǒng)并使用AS號(hào)��。高寬帶用戶專網(wǎng)邊界網(wǎng)關(guān)協(xié)議(BGP)路由信息過(guò)濾模塊206,高寬帶用戶專網(wǎng)BGP路由信息過(guò)濾模塊206對(duì)于自帶AS號(hào)和IP地址接入的高寬帶用戶專網(wǎng)用戶����,對(duì)高寬帶用戶專網(wǎng)的基本呼叫處理(BCP)鄰居公告的路由信息進(jìn)行監(jiān)控�,對(duì)照所述IP地址信息庫(kù)���,對(duì)沒(méi)有記錄在所述IP地址信息庫(kù)中的AS號(hào)和IP地址進(jìn)行告警。在一個(gè)實(shí)施例中���,該高寬帶用戶專網(wǎng)BGP路由信息過(guò)濾模塊206將沒(méi)有記錄在IP地址信息庫(kù)中的AS號(hào)和IP地址列入信息展示及黑名單管理模塊212保存的黑名單庫(kù)中�����。高寬帶用戶專網(wǎng)下活躍用戶識(shí)別模塊208���,高寬帶用戶專網(wǎng)下活躍用戶識(shí)別模塊208檢測(cè)指定用戶范圍內(nèi)下聯(lián)端口流量�����,從下聯(lián)流量中匯總用戶活躍地址清單�����,并自動(dòng)識(shí)別入/出流量比值較大的設(shè)備或端口���。對(duì)于使用諸如網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)等地址映射技術(shù)的用戶網(wǎng)絡(luò),該高寬帶用戶專網(wǎng)下活躍用戶識(shí)別模塊208利用深度包檢測(cè)(DPI)技術(shù)識(shí)別使用地址映射技術(shù)的用戶網(wǎng)絡(luò)中的真實(shí)網(wǎng)元數(shù)量���。高寬帶用戶專網(wǎng)下活躍用戶行為合法性甄別模塊210,高寬帶用戶專網(wǎng)下活躍用戶行為合法性甄別模塊210確認(rèn)違規(guī)行為的活躍用戶地址并列入黑名單庫(kù)���;其中所述的合法性甄別包括歸屬甄別�、路由甄別和應(yīng)用甄別��。在一個(gè)實(shí)施例中����,歸屬甄別包括核對(duì)用戶活躍地址清單中每個(gè)地址的真實(shí)AS號(hào)歸屬�,將不屬于本AS域的地址整理為存疑地址清單。路由甄別包括發(fā)起自IDC機(jī)房固定檢測(cè)點(diǎn)至用戶活躍地址清單中每個(gè)地址的路由檢測(cè)��,識(shí)別流量所經(jīng)歷的網(wǎng)絡(luò)路徑及路由跳數(shù)�����。應(yīng)用甄別包括在流量流向管理基礎(chǔ)上�����,基于用戶IP地址及應(yīng)用類型進(jìn)行分類分析�����,針對(duì)用戶側(cè)的HTTP���、FTP�、郵件���、視頻���、語(yǔ)音等常用服務(wù)的流量,以應(yīng)用類型����、接入位置、用戶IP地址��、服務(wù)流量比例等為關(guān)鍵索引進(jìn)行分類排序�����。信息展示及黑名單管理模塊212�����,用于保存黑名單庫(kù)�����。 圖3揭示了根據(jù)本發(fā)明的一實(shí)施例的非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)方法的流程圖���。參考圖3所示,該非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)方法��,在電信運(yùn)營(yíng)商的互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)機(jī)房?jī)?nèi)部署一監(jiān)測(cè)系統(tǒng)���,該監(jiān)測(cè)系統(tǒng)與接入高寬帶用戶專網(wǎng)的接入層交換機(jī)和匯聚層路由器通信連接���,該監(jiān)測(cè)系統(tǒng)對(duì)接入層交換機(jī)和匯聚層路由器進(jìn)行基于NetFlow的流量流向數(shù)據(jù)采集,該監(jiān)測(cè)方法包括302.建立IP地址信息庫(kù)��,周期性地檢測(cè)高寬帶客戶專網(wǎng)的實(shí)際使用者的AS號(hào)和IP地址����,并周期性地對(duì)IP地址信息庫(kù)進(jìn)行更新���。304.對(duì)高寬帶用戶專網(wǎng)邊界網(wǎng)關(guān)協(xié)議(BGP)路由信息進(jìn)行過(guò)濾,對(duì)于自帶AS號(hào)和IP地址接入的高寬帶用戶專網(wǎng)用戶����,對(duì)高寬帶用戶專網(wǎng)的基本呼叫處理(BCP)鄰居公告的路由信息進(jìn)行監(jiān)控,對(duì)照所述IP地址信息庫(kù)����,對(duì)沒(méi)有記錄在所述IP地址信息庫(kù)中的AS號(hào)和IP地址進(jìn)行告警。在一個(gè)實(shí)施例中��,在該步驟中將沒(méi)有記錄在所述IP地址信息庫(kù)中的AS號(hào)和IP地址列入黑名單庫(kù)�。306.對(duì)高寬帶用戶專網(wǎng)下活躍用戶進(jìn)行識(shí)別,檢測(cè)指定用戶范圍內(nèi)下聯(lián)端口流量�����,從下聯(lián)流量中匯總用戶活躍地址清單�����,并自動(dòng)識(shí)別入/出流量比值較大的設(shè)備或端口�����。在一個(gè)實(shí)施例中��,該步驟中利用深度包檢測(cè)(DPI)技術(shù)識(shí)別使用地址映射技術(shù)的用戶網(wǎng)絡(luò)中的真實(shí)網(wǎng)元數(shù)量�����。308.高寬帶用戶專網(wǎng)下活躍用戶行為合法性甄別�����,確認(rèn)違規(guī)行為的活躍用戶地址并列入黑名單庫(kù)�����;其中合法性甄別包括歸屬甄別��、路由甄別和應(yīng)用甄別����。在一個(gè)實(shí)施例中,歸屬甄別包括核對(duì)用戶活躍地址清單中每個(gè)地址的真實(shí)AS號(hào)歸屬����,將不屬于本AS域的地址整理為存疑地址清單�����。路由甄別包括發(fā)起自IDC機(jī)房固定檢測(cè)點(diǎn)至用戶活躍地址清單中每個(gè)地址的路由檢測(cè)�,識(shí)別流量所經(jīng)歷的網(wǎng)絡(luò)路徑及路由跳數(shù)�����。應(yīng)用甄別包括在流量流向管理基礎(chǔ)上����,基于用戶IP地址及應(yīng)用類型進(jìn)行分類分析,針對(duì)用戶側(cè)的HTTP�����、FTP���、郵件����、視頻�����、語(yǔ)音等常用服務(wù)的流量,以應(yīng)用類型�����、接入位置��、用戶IP地址�����、服務(wù)流量比例等為關(guān)鍵索引進(jìn)行分類排序����。本發(fā)明的非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)和監(jiān)測(cè)方法能有效針對(duì)高寬帶IDC客戶的非常規(guī)接入互聯(lián)網(wǎng)違規(guī)行為進(jìn)行分析����,與傳統(tǒng)分析方法相比,本發(fā)明明顯具有以下技術(shù)優(yōu)勢(shì)I)完整性本發(fā)明建立IP地址信息庫(kù)����,可以全面、完整�、及時(shí)的對(duì)接入運(yùn)營(yíng)商的用戶IP地址、AS號(hào)進(jìn)行合法性檢驗(yàn),對(duì)無(wú)權(quán)提供互聯(lián)網(wǎng)接入服務(wù)的企事業(yè)單位通過(guò)電信運(yùn)營(yíng)商IDC數(shù)據(jù)專線進(jìn)行流量透?jìng)鞯倪`規(guī)行為提前進(jìn)行預(yù)警��;2)自動(dòng)化本發(fā)明支持檢測(cè)指定用戶范圍內(nèi)下聯(lián)端口流量的自動(dòng)采集與分析�,能從下聯(lián)流量中匯總用戶活躍地址清單,并自動(dòng)識(shí)處別入/出流量比值較大的設(shè)備或端口���,為違規(guī)行為的進(jìn)一步確認(rèn)提供了強(qiáng)大的分析工具����;3)準(zhǔn)確性本發(fā)明從歸屬甄別�、路由甄別、應(yīng)用甄別等多個(gè)維度�,對(duì)高寬帶用戶的非常規(guī)接入可疑行為進(jìn)行全面分析,為違規(guī)行為的人工確認(rèn)提供了確鑿殷實(shí)的評(píng)判依據(jù)���,可大大提高用戶違規(guī)行為的評(píng)判準(zhǔn)確性����。
權(quán)利要求
1.ー種非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)����,其特征在于,該監(jiān)測(cè)系統(tǒng)部署于電信運(yùn)營(yíng)商的互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)機(jī)房?jī)?nèi)���,與接入高寬帶用戶專網(wǎng)的接入層交換機(jī)和匯聚層路由器通信連接�����,該監(jiān)測(cè)系統(tǒng)對(duì)所述接入層交換機(jī)和匯聚層路由器進(jìn)行基于NetFlow的流量流向數(shù)據(jù)采集��,該監(jiān)測(cè)系統(tǒng)包括 基礎(chǔ)信息數(shù)據(jù)庫(kù)�����,保存IP地址信息���; IP流量流向數(shù)據(jù)采集與分析模塊,周期性地檢測(cè)高寬帶客戶專網(wǎng)的實(shí)際使用者的AS號(hào)和IP地址�����,并周期性地對(duì)基礎(chǔ)信息數(shù)據(jù)庫(kù)中的IP地址信息進(jìn)行更新��; 高寬帶用戶專網(wǎng)邊界網(wǎng)關(guān)協(xié)議(BGP)路由信息過(guò)濾模塊�����,對(duì)于自帶AS號(hào)和IP地址接入的高寬帶用戶專網(wǎng)用戶����,對(duì)高寬帶用戶專網(wǎng)的基本呼叫處理(BCP)鄰居公告的路由信息進(jìn)行監(jiān)控����,對(duì)照所述IP地址信息庫(kù)�����,對(duì)沒(méi)有記錄在所述IP地址信息庫(kù)中的AS號(hào)和IP地址進(jìn)行告警�����; 高寬帶用戶專網(wǎng)下活躍用戶識(shí)別模塊�,檢測(cè)指定用戶范圍內(nèi)下聯(lián)端ロ流量,從下聯(lián)流量中匯總用戶活躍地址清單��,并自動(dòng)識(shí)別入/出流量比值較大的設(shè)備或端ロ ���; 高寬帶用戶專網(wǎng)下活躍用戶行為合法性甄別模塊�����,確認(rèn)違規(guī)行為的活躍用戶地址并列入黑名單庫(kù)�;其中所述的合法性甄別包括歸屬甄別�����、路由甄別和應(yīng)用甄別; 信息展示及黑名單管理模塊�,保存黑名單庫(kù)。
2.如權(quán)利要求1所述的非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)�,其特征在于,所述高寬帶用戶專網(wǎng)BGP路由信息過(guò)濾模塊將沒(méi)有記錄在所述IP地址信息庫(kù)中的AS號(hào)和IP地址列入黑名單庫(kù)�����。
3.如權(quán)利要求1所述的非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)����,其特征在于,所述高寬帶用戶專網(wǎng)下活躍用戶識(shí)別模塊利用深度包檢測(cè)(DPI)技術(shù)識(shí)別使用地址映射技術(shù)的用戶網(wǎng)絡(luò)中的真實(shí)網(wǎng)元數(shù)量����。
4.如權(quán)利要求1所述的非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)����,其特征在于,所述高寬帶用戶專網(wǎng)下活躍用戶行為合法性甄別模塊執(zhí)行的所述歸屬甄別包括核對(duì)用戶活躍地址清單中每個(gè)地址的真實(shí)AS號(hào)歸屬�����,將不屬于本AS域的地址整理為存疑地址清單;所述路由甄別包括發(fā)起自IDC機(jī)房固定檢測(cè)點(diǎn)至用戶活躍地址清單中每個(gè)地址的路由檢測(cè)�,識(shí)別流量所經(jīng)歷的網(wǎng)絡(luò)路徑及路由跳數(shù);所述應(yīng)用甄別包括在流量流向管理基礎(chǔ)上�����,基于用戶IP地址及應(yīng)用類型進(jìn)行分類分析���,針對(duì)用戶側(cè)的HTTP�、FTP����、郵件、視頻�����、語(yǔ)音等常用服務(wù)的流量��,以應(yīng)用類型�、接入位置、用戶IP地址�����、服務(wù)流量比例等為關(guān)鍵索引進(jìn)行分類排序。
5.ー種非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)方法�����,其特征在于�����,在電信運(yùn)營(yíng)商的互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)機(jī)房?jī)?nèi)部署ー監(jiān)測(cè)系統(tǒng)���,該監(jiān)測(cè)系統(tǒng)與接入高寬帶用戶專網(wǎng)的接入層交換機(jī)和匯聚層路由器通信連接�����,該監(jiān)測(cè)系統(tǒng)對(duì)所述接入層交換機(jī)和匯聚層路由器進(jìn)行基于NetFlow的流量流向數(shù)據(jù)采集��,所述監(jiān)測(cè)方法包括 建立IP地址信息庫(kù)�,周期性地檢測(cè)高寬帶客戶專網(wǎng)的實(shí)際使用者的AS號(hào)和IP地址����,并周期性地對(duì)IP地址信息庫(kù)進(jìn)行更新��; 對(duì)高寬帶用戶專網(wǎng)邊界網(wǎng)關(guān)協(xié)議(BGP)路由信息進(jìn)行過(guò)濾�����,對(duì)于自帶AS號(hào)和IP地址接入的高寬帶用戶專網(wǎng)用戶,對(duì)高寬帶用戶專網(wǎng)的基本呼叫處理(BCP)鄰居公告的路由信息進(jìn)行監(jiān)控�����,對(duì)照所述IP地址信息庫(kù)���,對(duì)沒(méi)有記錄在所述IP地址信息庫(kù)中的AS號(hào)和IP地址進(jìn)行告警�;對(duì)高寬帶用戶專網(wǎng)下活躍用戶進(jìn)行識(shí)別�����,檢測(cè)指定用戶范圍內(nèi)下聯(lián)端口流量�,從下聯(lián)流量中匯總用戶活躍地址清單,并自動(dòng)識(shí)別入/出流量比值較大的設(shè)備或端口 ���;高寬帶用戶專網(wǎng)下活躍用戶行為合法性甄別�,確認(rèn)違規(guī)行為的活躍用戶地址并列入黑名單庫(kù)����;其中所述的合法性甄別包括歸屬甄別、路由甄別和應(yīng)用甄別����。
6.如權(quán)利要求5所述的非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)方法����,其特征在于����,將沒(méi)有記錄在所述IP地址信息庫(kù)中的AS號(hào)和IP地址列入黑名單庫(kù)。
7.如權(quán)利要求5所述的非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)方法��,其特征在于�����,在對(duì)高寬帶用戶專網(wǎng)下活躍用戶進(jìn)行識(shí)別的步驟中���,利用深度包檢測(cè)(DPI)技術(shù)識(shí)別使用地址映射技術(shù)的用戶網(wǎng)絡(luò)中的真實(shí)網(wǎng)元數(shù)量�。
8.如權(quán)利要求5所述的非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)方法���,其特征在于�����,所述歸屬甄別包括核對(duì)用戶活躍地址清單中每個(gè)地址的真實(shí)AS號(hào)歸屬����,將不屬于本 AS域的地址整理為存疑地址清單�;所述路由甄別包括發(fā)起自IDC機(jī)房固定檢測(cè)點(diǎn)至用戶活躍地址清單中每個(gè)地址的路由檢測(cè),識(shí)別流量所經(jīng)歷的網(wǎng)絡(luò)路徑及路由跳數(shù)�;所述應(yīng)用甄別包括在流量流向管理基礎(chǔ)上,基于用戶IP地址及應(yīng)用類型進(jìn)行分類分析����,針對(duì)用戶側(cè)的HTTP、FTP�����、郵件�����、視頻�、語(yǔ)音等常用服務(wù)的流量,以應(yīng)用類型�����、接入位置、用戶IP地址����、服務(wù)流量比例等為關(guān)鍵索引進(jìn)行分類排序。
全文摘要
本發(fā)明揭示了一種非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)系統(tǒng)����,該監(jiān)測(cè)系統(tǒng)部署于電信運(yùn)營(yíng)商的互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)機(jī)房?jī)?nèi),與接入高寬帶用戶專網(wǎng)的接入層交換機(jī)和匯聚層路由器通信連接并進(jìn)行基于NetFlow的流量流向數(shù)據(jù)采集����,該監(jiān)測(cè)系統(tǒng)包括基礎(chǔ)信息數(shù)據(jù)庫(kù)、IP流量流向數(shù)據(jù)采集與分析模塊��、高寬帶用戶專網(wǎng)邊界網(wǎng)關(guān)協(xié)議(BGP)路由信息過(guò)濾模塊�����、高寬帶用戶專網(wǎng)下活躍用戶識(shí)別模塊�、高寬帶用戶專網(wǎng)下活躍用戶行為合法性甄別模塊、信息展示及黑名單管理模塊���。本發(fā)明還提出一種非常規(guī)網(wǎng)絡(luò)接入行為的監(jiān)測(cè)方法�����。本發(fā)明的技術(shù)方案效針對(duì)高寬帶(>45Mb/s)IDC客戶���,對(duì)通過(guò)租賃運(yùn)營(yíng)商IDC數(shù)據(jù)專線等方式�����,非常規(guī)接入電信運(yùn)營(yíng)商互聯(lián)網(wǎng)違規(guī)行為進(jìn)行有效監(jiān)測(cè)。
文檔編號(hào)H04L12/26GK103036733SQ20111030291
公開(kāi)日2013年4月10日 申請(qǐng)日期2011年10月9日 優(yōu)先權(quán)日2011年10月9日
發(fā)明者熊立宏, 湯正冬 申請(qǐng)人:上海城際互通通信有限公司