非常规网络接入行为的监测系统及监测方法

摘要

本发明揭示了一种非常规网络接入行为的监测系统，该监测系统部署于电信运营商的互联网数据中心(IDC)机房内，与接入高宽带用户专网的接入层交换机和汇聚层路由器通信连接并进行基于NetFlow的流量流向数据采集，该监测系统包括：基础信息数据库、IP流量流向数据采集与分析模块、高宽带用户专网边界网关协议(BGP)路由信息过滤模块、高宽带用户专网下活跃用户识别模块、高宽带用户专网下活跃用户行为合法性甄别模块、信息展示及黑名单管理模块。本发明还提出一种非常规网络接入行为的监测方法。本发明的技术方案效针对高宽带(＞45Mb/s)IDC客户，对通过租赁运营商IDC数据专线等方式，非常规接入电信运营商互联网违规行为进行有效监测。

说明书

技术领域

本发明涉及通信领域，尤其涉及一种非常规网络接入行为的监测系统 及监测方法。

背景技术

互联网数据中心(IDC)业务是电信运营商依托电信级机房设施、高质 量网络环境和系统化监控手段为客户提供标准机房环境和优质运行指标的 设备托管及互联网相关增值服务的一项业务。然而，实际运营中发现，某 些高宽带IDC客户利用电信运营商提供的高宽带接入互联网便利条件，以 相对廉价的专线租用费用，非常规接入运营商IDC机房的高宽带链路，从 事分包二次提供互联网接入服务或违反用户协议擅自为第三方提供互联网 转接(透传)服务的违规行为，而且带宽盗用手段通常较为隐蔽，给从事 正当IDC业务经营的电信运营商带来巨大经济损失。

近年来，违规高带宽IDC接入在电信运营商的部分省级公司屡有发生， 给不法网络运营商、电信服务商、网络广告代理商提供了可乘之机，并严 重影响国家对扫黄打非的高压态势。高宽带IDC客户的非常规接入行为， 不利于建设文明健康的网络环境，不利于保护青少年的身心健康，不利于 电信运营商作为央企的企业社会责任。为净化互联网网络环境，遏制淫秽 色情信息蔓延的传播，电信运营商加大了对违规高带宽接入的清理整治力 度。

现有的违规检测手段多以人工检测分析等手工作坊式方式为主，效率 低下。有部分专利文献涉及了网络流量管理技术，但并不适用于非常规网 络接入行为的监测。

例如，CN1486019揭示了一种基于服务质量的网络管理方法。该发明 提出一种基于服务质量的网络管理方法，该方法扩充radius server作为业 务管理平台，针对具体的网络应用定制相应的QoS策略；在用户向IDC申 请所要获得的服务质量和权限，并提供业务选择信息时，IDC存储上述信 息，并将该信息发给radius server；radius server对用户进行认证，同时 根据用户的属性和申请的业务类型确定为该用户提供的QoS策略，在与会 聚层设备交互用户认证消息时，将具体的QoS策略下发到会聚层设备上， 对会聚层设备做相应的QoS策略配置，会聚层设备再向接入层设备配置针 对接入层设备制定的QoS策略；最后，利用预制的QoS策略为用户服务； 上述方案能够将QoS管理和用户管理、业务管理结合起来，提高网络的服 务质量和效率。

CN101980506A揭示了一种基于流量特征分析的分布式入侵检测方 法。该发明提出了一种基于流量特征分析的分布式入侵检测方法，基于 JADE平台，采用智能决策分析代理和数据采集、独立入侵条件监测代理实 施入侵检测：数据采集、独立入侵条件监测代理针对入侵特征明确的网络 入侵行为进行检测；智能决策分析代理通过改进的非参数CUSUM算法—— 阈值回归算法，将网络流量中不同统计特征量，包括流量带宽、新源IP地 址等进行综合监测并结合数据采集、独立入侵条件代理传送的相关信息实 现网络异常检测，有效提高入侵检测效率和准确性。该方法通过监测新源 IP地址可以有效地区分不同的网络流量模式，进一步降低入侵检测系统的 误报率。

CN101155175揭示了一种基于BGP协议的出路由过滤的方法和装置。 该发明提出了一种基于BGP协议的出路由过滤的方法和装置，本发明的核 心是在BGP协议中承载下一跳出路由过滤(Nexthop ORF)信息，BGP Peer 之间进行出路由过滤(Outbound Route Filter；ORF)能力协商；然后，BGP Peer之间根据所进行的ORF能力协商结果进行出路由过滤处理。采用本发 明，可以解决现有ORF不能根据路由的Nexthop来进行过滤的问题，大大 简化配置，同时也能简化BGP在进行ORF处理的复杂度。

总体而言，现有技术中并不存在对非常规网络接入行为进行有效监测 的技术。

发明内容

本发明旨在提出一种针对高宽带(＞45Mb/s)IDC客户，通过租赁运 营商IDC数据专线等方式，非常规接入电信运营商互联网违规行为的监测 方法和监测系统。

根据本发明的一实施例，提出一种非常规网络接入行为的监测系统， 该监测系统部署于电信运营商的互联网数据中心(IDC)机房内，与接入高 宽带用户专网的接入层交换机和汇聚层路由器通信连接，该监测系统对所 述接入层交换机和汇聚层路由器进行基于NetFlow的流量流向数据采集， 该监测系统包括：

基础信息数据库，保存IP地址信息；

IP流量流向数据采集与分析模块，周期性地检测高宽带客户专网的实 际使用者的AS号和IP地址，并周期性地对基础信息数据库中的IP地址信 息进行更新；

高宽带用户专网边界网关协议(BGP)路由信息过滤模块，对于自带 AS号和IP地址接入的高宽带用户专网用户，对高宽带用户专网的基本呼 叫处理(BCP)邻居公告的路由信息进行监控，对照IP地址信息库，对没 有记录在IP地址信息库中的AS号和IP地址进行告警；

高宽带用户专网下活跃用户识别模块，检测指定用户范围内下联端口 流量，从下联流量中汇总用户活跃地址清单，并自动识别入/出流量比值较 大的设备或端口；

高宽带用户专网下活跃用户行为合法性甄别模块，确认违规行为的活 跃用户地址并列入黑名单库；其中合法性甄别包括归属甄别、路由甄别和 应用甄别；

信息展示及黑名单管理模块，保存黑名单库。

在一个实施例中，高宽带用户专网BGP路由信息过滤模块将没有记录 在所述IP地址信息库中的AS号和IP地址列入黑名单库。

在一个实施例中，高宽带用户专网下活跃用户识别模块利用深度包检 测(DPI)技术识别使用地址映射技术的用户网络中的真实网元数量。

在一个实施例中，高宽带用户专网下活跃用户行为合法性甄别模块执 行的归属甄别包括：核对用户活跃地址清单中每个地址的真实AS号归属， 将不属于本AS域的地址整理为存疑地址清单；路由甄别包括：发起自IDC 机房固定检测点至用户活跃地址清单中每个地址的路由检测，识别流量所 经历的网络路径及路由跳数；应用甄别包括：在流量流向管理基础上，基 于用户IP地址及应用类型进行分类分析，针对用户侧的HTTP、FTP、邮 件、视频、语音等常用服务的流量，以应用类型、接入位置、用户IP地址、 服务流量比例等为关键索引进行分类排序。

根据本发明的一实施例，提出一种非常规网络接入行为的监测方法， 在电信运营商的互联网数据中心(IDC)机房内部署一监测系统，该监测系 统与接入高宽带用户专网的接入层交换机和汇聚层路由器通信连接，该监 测系统对接入层交换机和汇聚层路由器进行基于NetFlow的流量流向数据 采集，该监测方法包括：

建立IP地址信息库，周期性地检测高宽带客户专网的实际使用者的 AS号和IP地址，并周期性地对IP地址信息库进行更新；

对高宽带用户专网边界网关协议(BGP)路由信息进行过滤，对于自 带AS号和IP地址接入的高宽带用户专网用户，对高宽带用户专网的基本 呼叫处理(BCP)邻居公告的路由信息进行监控，对照IP地址信息库，对 没有记录在IP地址信息库中的AS号和IP地址进行告警；

对高宽带用户专网下活跃用户进行识别，检测指定用户范围内下联端 口流量，从下联流量中汇总用户活跃地址清单，并自动识别入/出流量比值 较大的设备或端口；

高宽带用户专网下活跃用户行为合法性甄别，确认违规行为的活跃用 户地址并列入黑名单库；其中合法性甄别包括归属甄别、路由甄别和应用 甄别。

在一个实施例中，将没有记录在所述IP地址信息库中的AS号和IP地 址列入黑名单库。

在一个实施例中，在对高宽带用户专网下活跃用户进行识别的步骤中， 利用深度包检测(DPI)技术识别使用地址映射技术的用户网络中的真实网 元数量。

在一个实施例中，归属甄别包括：核对用户活跃地址清单中每个地址 的真实AS号归属，将不属于本AS域的地址整理为存疑地址清单；路由甄 别包括：发起自IDC机房固定检测点至用户活跃地址清单中每个地址的路 由检测，识别流量所经历的网络路径及路由跳数；应用甄别包括：在流量 流向管理基础上，基于用户IP地址及应用类型进行分类分析，针对用户侧 的HTTP、FTP、邮件、视频、语音等常用服务的流量，以应用类型、接入 位置、用户IP地址、服务流量比例等为关键索引进行分类排序。

本发明的非常规网络接入行为的监测系统和监测方法能有效针对高宽 带IDC客户的非常规接入互联网违规行为进行分析，与传统分析方法相比， 本发明明显具有以下技术优势：

1)完整性：本发明建立IP地址信息库，可以全面、完整、及时的对 接入运营商的用户IP地址、AS号进行合法性检验，对无权提供互联网接 入服务的企事业单位通过电信运营商IDC数据专线进行流量透传的违规行 为提前进行预警；

2)自动化：本发明支持检测指定用户范围内下联端口流量的自动采集 与分析，能从下联流量中汇总用户活跃地址清单，并自动识处别入/出流量 比值较大的设备或端口，为违规行为的进一步确认提供了强大的分析工具；

3)准确性：本发明从归属甄别、路由甄别、应用甄别等多个维度，对 高宽带用户的非常规接入可疑行为进行全面分析，为违规行为的人工确认 提供了确凿殷实的评判依据，可大大提高用户违规行为的评判准确性。

附图说明

图1揭示了根据本发明的一实施例的非常规网络接入行为的监测系统 的部署方案。

图2揭示了根据本发明的一实施例的非常规网络接入行为的监测系统 的结构图。

图3揭示了根据本发明的一实施例的非常规网络接入行为的监测方法 的流程图。

具体实施方式

本发明提出一种非常规网络接入行为的监测系统。参考图1所示，该 监测系统100部署于电信运营商的互联网数据中心(IDC)机房102内， 与接入高宽带用户专网104的接入层交换机106和汇聚层路由器108通信 连接，该监测系统100对接入层交换机106和汇聚层路由器108进行基于 NetFlow的流量流向数据采集。

本发明利用NetFlow技术，NetFlow是一种数据交换方式，其工作原 理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成 NetFlow缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输， 不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的 统计信息。

参考图2所示，该监测系统100包括：

基础信息数据库202，基础信息数据库202保存IP地址信息。

IP流量流向数据采集与分析模块204，IP流量流向数据采集与分析模 块204周期性地检测高宽带客户专网的实际使用者的AS号和IP地址，并 周期性地对基础信息数据库中的IP地址信息进行更新。此处所称的AS是 指自治系统(Autonomous System)。自治系统是指使用统一内部路由协 议的一组网络。如果成员单位的网络路由器准备采用EGP(Exterior  Gateway Protocol)、BGP(Border Gateway Protocol)或IDRP(OSI  Inter-Domain Routing Protocol)协议，并且该单位的网络规模比较大或者 将来会发展成较大规模的网络，而且有多个出口，则可以建立成一个自治 系统并使用AS号。

高宽带用户专网边界网关协议(BGP)路由信息过滤模块206，高宽 带用户专网BGP路由信息过滤模块206对于自带AS号和IP地址接入的高 宽带用户专网用户，对高宽带用户专网的基本呼叫处理(BCP)邻居公告 的路由信息进行监控，对照所述IP地址信息库，对没有记录在所述IP地 址信息库中的AS号和IP地址进行告警。在一个实施例中，该高宽带用户 专网BGP路由信息过滤模块206将没有记录在IP地址信息库中的AS号和 IP地址列入信息展示及黑名单管理模块212保存的黑名单库中。

高宽带用户专网下活跃用户识别模块208，高宽带用户专网下活跃用 户识别模块208检测指定用户范围内下联端口流量，从下联流量中汇总用 户活跃地址清单，并自动识别入/出流量比值较大的设备或端口。对于使用 诸如网络地址转换(NAT)等地址映射技术的用户网络，该高宽带用户专 网下活跃用户识别模块208利用深度包检测(DPI)技术识别使用地址映 射技术的用户网络中的真实网元数量。

高宽带用户专网下活跃用户行为合法性甄别模块210，高宽带用户专 网下活跃用户行为合法性甄别模块210确认违规行为的活跃用户地址并列 入黑名单库；其中所述的合法性甄别包括归属甄别、路由甄别和应用甄别。 在一个实施例中，归属甄别包括：核对用户活跃地址清单中每个地址的真 实AS号归属，将不属于本AS域的地址整理为存疑地址清单。路由甄别包 括：发起自IDC机房固定检测点至用户活跃地址清单中每个地址的路由检 测，识别流量所经历的网络路径及路由跳数。应用甄别包括：在流量流向 管理基础上，基于用户IP地址及应用类型进行分类分析，针对用户侧的 HTTP、FTP、邮件、视频、语音等常用服务的流量，以应用类型、接入位 置、用户IP地址、服务流量比例等为关键索引进行分类排序。

信息展示及黑名单管理模块212，用于保存黑名单库。

图3揭示了根据本发明的一实施例的非常规网络接入行为的监测方法 的流程图。参考图3所示，该非常规网络接入行为的监测方法，在电信运 营商的互联网数据中心(IDC)机房内部署一监测系统，该监测系统与接入 高宽带用户专网的接入层交换机和汇聚层路由器通信连接，该监测系统对 接入层交换机和汇聚层路由器进行基于NetFlow的流量流向数据采集，该 监测方法包括：

302.建立IP地址信息库，周期性地检测高宽带客户专网的实际使用 者的AS号和IP地址，并周期性地对IP地址信息库进行更新。

304.对高宽带用户专网边界网关协议(BGP)路由信息进行过滤，对 于自带AS号和IP地址接入的高宽带用户专网用户，对高宽带用户专网的 基本呼叫处理(BCP)邻居公告的路由信息进行监控，对照所述IP地址信 息库，对没有记录在所述IP地址信息库中的AS号和IP地址进行告警。在 一个实施例中，在该步骤中将没有记录在所述IP地址信息库中的AS号和 IP地址列入黑名单库。

306.对高宽带用户专网下活跃用户进行识别，检测指定用户范围内下 联端口流量，从下联流量中汇总用户活跃地址清单，并自动识别入/出流量 比值较大的设备或端口。在一个实施例中，该步骤中利用深度包检测(DPI) 技术识别使用地址映射技术的用户网络中的真实网元数量。

308.高宽带用户专网下活跃用户行为合法性甄别，确认违规行为的活 跃用户地址并列入黑名单库；其中合法性甄别包括归属甄别、路由甄别和 应用甄别。在一个实施例中，归属甄别包括：核对用户活跃地址清单中每 个地址的真实AS号归属，将不属于本AS域的地址整理为存疑地址清单。 路由甄别包括：发起自IDC机房固定检测点至用户活跃地址清单中每个地 址的路由检测，识别流量所经历的网络路径及路由跳数。应用甄别包括： 在流量流向管理基础上，基于用户IP地址及应用类型进行分类分析，针对 用户侧的HTTP、FTP、邮件、视频、语音等常用服务的流量，以应用类型、 接入位置、用户IP地址、服务流量比例等为关键索引进行分类排序。

本发明的非常规网络接入行为的监测系统和监测方法能有效针对高宽 带IDC客户的非常规接入互联网违规行为进行分析，与传统分析方法相比， 本发明明显具有以下技术优势：

1)完整性：本发明建立IP地址信息库，可以全面、完整、及时的对 接入运营商的用户IP地址、AS号进行合法性检验，对无权提供互联网接 入服务的企事业单位通过电信运营商IDC数据专线进行流量透传的违规行 为提前进行预警；

2)自动化：本发明支持检测指定用户范围内下联端口流量的自动采集 与分析，能从下联流量中汇总用户活跃地址清单，并自动识处别入/出流量 比值较大的设备或端口，为违规行为的进一步确认提供了强大的分析工具；

3)准确性：本发明从归属甄别、路由甄别、应用甄别等多个维度，对 高宽带用户的非常规接入可疑行为进行全面分析，为违规行为的人工确认 提供了确凿殷实的评判依据，可大大提高用户违规行为的评判准确性。