本發(fā)明涉及通信數(shù)據(jù)傳輸技術(shù)領(lǐng)域，特別涉及一種檢測(cè)數(shù)據(jù)透?jìng)鞯姆椒霸O(shè)備。

背景技術(shù)：

目前，大部分IDC機(jī)房使用電信、聯(lián)通線路作為其主要接入帶寬，兩大運(yùn)營(yíng)商的帶寬資源長(zhǎng)期存在被小運(yùn)營(yíng)商或競(jìng)爭(zhēng)對(duì)手通過(guò)VPN+NAT方式非法盜用的問(wèn)題，這種行為被稱為“透?jìng)鳌薄?/p>

競(jìng)爭(zhēng)對(duì)手的“透?jìng)鳌毙袨閷?duì)運(yùn)營(yíng)商的盈利能力產(chǎn)生很大威脅，并嚴(yán)重?cái)_亂了互聯(lián)網(wǎng)接入行業(yè)秩序，互聯(lián)網(wǎng)監(jiān)管部門也嚴(yán)令禁止互聯(lián)網(wǎng)接入商做透?jìng)?。?duì)于IDC服務(wù)提供商來(lái)說(shuō)，更有著對(duì)其客戶的服務(wù)器所做業(yè)務(wù)進(jìn)行監(jiān)管、審查的義務(wù)。目前，已經(jīng)有多家IDC服務(wù)商因?yàn)樯婕巴競(jìng)鲉?wèn)題而被要求賠償巨額損失，最終不得不申請(qǐng)破產(chǎn)。

因此，電信運(yùn)營(yíng)商和IDC服務(wù)提供商都急需一種技術(shù)或方法，能有效地監(jiān)控、統(tǒng)計(jì)機(jī)房?jī)?nèi)各臺(tái)服務(wù)器的流量情況，并能自動(dòng)篩查存在“透?jìng)鳌毙袨榈腎P或服務(wù)器，準(zhǔn)確地發(fā)現(xiàn)透?jìng)鞑?shí)施封鎖。

但是數(shù)據(jù)“透?jìng)鳌彪[蔽性很強(qiáng)，常規(guī)的抓包等分析方法很難發(fā)現(xiàn)，而很多通用的流量統(tǒng)計(jì)工具又存在著監(jiān)控性能不足(10Gbps接入在IDC機(jī)房已很常見)、統(tǒng)計(jì)不準(zhǔn)確、無(wú)法定位遠(yuǎn)端IP等缺點(diǎn)，無(wú)法為“透?jìng)鳌毙袨榈暮Y查提供有效依據(jù)，并缺乏針對(duì)“透?jìng)鳌睂彶榈臉I(yè)務(wù)流程。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述問(wèn)題，本發(fā)明提供了一種檢測(cè)數(shù)據(jù)透?jìng)鞯姆椒霸O(shè)備，通過(guò)對(duì)IP流量數(shù)據(jù)進(jìn)行多層次的統(tǒng)計(jì)分析，達(dá)到根據(jù)疑似私接IP確定透?jìng)鱅P的目的。

所述技術(shù)方案如下：

第一方面，提供了一種檢測(cè)數(shù)據(jù)透?jìng)鞯姆椒?，其特征在于，所述方法包括?/p>

采集IDC服務(wù)器的至少一個(gè)IP的流量數(shù)據(jù)，其中，所述流量數(shù)據(jù)包括機(jī)房外訪流量、機(jī)房外訪http get數(shù)量、VPN疑似流量占比、單純外訪流量和異常應(yīng)用數(shù)量中的任意一個(gè)或多個(gè)；

根據(jù)所述流量數(shù)據(jù)對(duì)所述IP進(jìn)行多層統(tǒng)計(jì)分析，得到至少一個(gè)疑似私接IP；

對(duì)所述疑似私接IP抓取數(shù)據(jù)包，確定為透?jìng)鱅P。

結(jié)合第一方面，在第一種可能的實(shí)施方式中，所述根據(jù)所述流量數(shù)據(jù)對(duì)所述IP進(jìn)行多層統(tǒng)計(jì)分析，得到至少一個(gè)疑似私接IP包括：

根據(jù)所述流量數(shù)據(jù)對(duì)所述IP進(jìn)行初步排序并計(jì)算，得到所述IP的初步疑似度；

根據(jù)預(yù)設(shè)的初步疑似度的閾值對(duì)所述IP進(jìn)行綜合排序并計(jì)算，得到所述IP的綜合疑似度；

根據(jù)所述綜合疑似度確定至少一個(gè)疑似私接IP。

結(jié)合第一種可能的實(shí)施方式，在第二種可能的實(shí)施方式中，根據(jù)所述流量數(shù)據(jù)對(duì)所述IP進(jìn)行初步排序并計(jì)算，得到所述IP的初步疑似度包括：

根據(jù)所述流量數(shù)據(jù)對(duì)所述IP進(jìn)行前100排序，對(duì)前30個(gè)IP賦值疑似度60％，后70個(gè)IP賦值疑似度40％；

根據(jù)IP備案庫(kù)信息，對(duì)判定不屬于本運(yùn)營(yíng)商的IP賦值疑似度80％；其中，所述流量數(shù)據(jù)包括：機(jī)房外訪流量、機(jī)房外訪http get數(shù)量和單純外訪流量中的任意一個(gè)或多個(gè)。

結(jié)合第一種可能的實(shí)施方式，在第三種可能的實(shí)施方式中，根據(jù)所述流量數(shù)據(jù)對(duì)所述IP進(jìn)行初步排序并計(jì)算，得到所述IP的初步疑似度包括：

根據(jù)所述流量數(shù)據(jù)對(duì)所述IP進(jìn)行前100排序，并賦值疑似度75％；

根據(jù)IP備案庫(kù)信息，對(duì)判定不屬于本運(yùn)營(yíng)商的IP賦值疑似度85％，其中，所述流量數(shù)據(jù)包括：VPN疑似流量占比和異常應(yīng)用數(shù)量中的任意一個(gè)或多個(gè)。

結(jié)合第一種可能的實(shí)施方式，在第四種可能的實(shí)施方式中，所述根據(jù)預(yù)設(shè)的初步疑似度的閾值對(duì)所述IP進(jìn)行綜合排序并計(jì)算，得到所述IP的綜合疑似度包括：

將初步疑似度大于或等于60％的IP進(jìn)行排序并計(jì)算，得到所述IP的綜合疑似度；

若所述IP出現(xiàn)多個(gè)初步疑似度，則每出現(xiàn)一次，則取疑似度高的疑似度值，并賦值疑似度增加5％。

第二方面，提供了一種檢測(cè)數(shù)據(jù)透?jìng)鞯脑O(shè)備，其特征在于，所述設(shè)備包括：

數(shù)據(jù)采集單元，用于采集IDC服務(wù)器的至少一個(gè)IP的流量數(shù)據(jù)，其中，所述流量數(shù)據(jù)包括機(jī)房外訪流量、機(jī)房外訪http get數(shù)量、VPN疑似流量占比、單純外訪流量和異常應(yīng)用數(shù)量中的任意一個(gè)或多個(gè)；

數(shù)據(jù)分析單元，用于根據(jù)所述流量數(shù)據(jù)對(duì)所述IP進(jìn)行多層統(tǒng)計(jì)分析，得到至少一個(gè)疑似私接IP；

透?jìng)鱅P確定單元，用于對(duì)所述疑似私接IP抓取數(shù)據(jù)包，確定為透?jìng)鱅P。

結(jié)合第二方面，在第一種可能的實(shí)施方式中，所述數(shù)據(jù)單元還包括：

初步分析單元，用于根據(jù)所述流量數(shù)據(jù)對(duì)所述IP進(jìn)行初步排序并計(jì)算，得到所述IP的初步疑似度；

綜合分析單元，用于根據(jù)預(yù)設(shè)的初步疑似度的閾值對(duì)所述IP進(jìn)行綜合排序并計(jì)算，得到所述IP的綜合疑似度；

疑似私接IP確定單元，用于根據(jù)所述綜合疑似度確定至少一個(gè)疑似私接IP。

結(jié)合第一種可能的實(shí)施方式，在第二種可能的實(shí)施方式中，初步分析單元具體用于：

根據(jù)所述流量數(shù)據(jù)對(duì)所述IP進(jìn)行前100排序，對(duì)前30個(gè)IP賦值疑似度60％，后70個(gè)IP賦值疑似度40％；

根據(jù)IP備案庫(kù)信息，對(duì)判定不屬于本運(yùn)營(yíng)商的IP賦值疑似度80％；其中，所述流量數(shù)據(jù)包括：機(jī)房外訪流量、機(jī)房外訪http get數(shù)量和單純外訪流量中的任意一個(gè)或多個(gè)。

結(jié)合第一種可能的實(shí)施方式，在第三種可能的實(shí)施方式中，初步分析單元還用于：

根據(jù)所述流量數(shù)據(jù)對(duì)所述IP進(jìn)行前100排序，并賦值疑似度75％；

根據(jù)IP備案庫(kù)信息，對(duì)判定不屬于本運(yùn)營(yíng)商的IP賦值疑似度85％，其中，所述流量數(shù)據(jù)包括：VPN疑似流量占比和異常應(yīng)用數(shù)量中的任意一個(gè)或多個(gè)。

結(jié)合第一種可能的實(shí)施方式，在第四種可能的實(shí)施方式中，綜合分析單元用于：

將初步疑似度大于或等于60％的IP進(jìn)行排序并計(jì)算，得到所述IP的綜合疑似度；

若所述IP出現(xiàn)多個(gè)初步疑似度，則每出現(xiàn)一次，則取疑似度高的疑似度值，并賦值疑似度增加5％。

本發(fā)明實(shí)施例提供了一種檢測(cè)數(shù)據(jù)透?jìng)鞯姆椒霸O(shè)備，通過(guò)采集IDC服務(wù)器的至少一個(gè)IP的流量數(shù)據(jù)，可以從多個(gè)維度對(duì)IP的流量進(jìn)行統(tǒng)計(jì)和分析，提高檢測(cè)精確度；通過(guò)對(duì)IP進(jìn)行多層統(tǒng)計(jì)分析，得到至少一個(gè)疑似私接IP，多層統(tǒng)計(jì)分析可以分別對(duì)單個(gè)維度的流量數(shù)據(jù)和綜合流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，進(jìn)一步提高檢測(cè)精確度；通過(guò)抓取數(shù)據(jù)包，確定透?jìng)鱅P，能夠?qū)P進(jìn)行追蹤并記錄為透?jìng)髯C據(jù)，定位遠(yuǎn)端IP，同時(shí)進(jìn)一步分析IP提高對(duì)透?jìng)鱅P的檢測(cè)精度。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明一優(yōu)選實(shí)施例提供的檢測(cè)數(shù)據(jù)透?jìng)鞯姆椒鞒淌疽鈭D；

圖2是本發(fā)明另一優(yōu)選實(shí)施例提供的檢測(cè)數(shù)據(jù)透?jìng)鞯脑O(shè)備結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

在一優(yōu)選的實(shí)施例中提供了一種檢測(cè)數(shù)據(jù)透?jìng)鞯姆椒?，參見圖1，該方法包括：

S101、采集IDC服務(wù)器的至少一個(gè)IP的流量數(shù)據(jù)，其中，流量數(shù)據(jù)包括機(jī)房外訪流量、機(jī)房外訪http get數(shù)量、VPN疑似流量占比、單純外訪流量和異常應(yīng)用數(shù)量中的任意一個(gè)或多個(gè)。

其中，機(jī)房外訪流量是IDC機(jī)房?jī)?nèi)的服務(wù)器主動(dòng)向機(jī)房外部、公網(wǎng)上的站點(diǎn)發(fā)起的訪問(wèn)所使用的流量。

其中，機(jī)房外訪http get數(shù)量是IDC機(jī)房?jī)?nèi)的服務(wù)器主動(dòng)向機(jī)房外部、公網(wǎng)上的站點(diǎn)發(fā)起的訪問(wèn)數(shù)量。

其中，VPN疑似流量占比是IDC機(jī)房?jī)?nèi)的服務(wù)器IP含有VPN協(xié)議類型，基于IP，計(jì)算VPN流量在總流量(總流入流量+總流出流量)中的占比，若占比高于96％，則確定為VPN疑似流量占比。

其中，單純外訪流量是IDC機(jī)房?jī)?nèi)的服務(wù)器IP單純向機(jī)房外部網(wǎng)絡(luò)站點(diǎn)發(fā)起訪問(wèn)的上下行流量，而上網(wǎng)用戶向此IP發(fā)起的訪問(wèn)總流量為0。

其中，異常應(yīng)用數(shù)量是對(duì)IDC機(jī)房?jī)?nèi)的服務(wù)器IP進(jìn)行識(shí)別分析，具體對(duì)其流量中的QQ賬號(hào)、郵件賬號(hào)、UA數(shù)量等，得到承載多個(gè)應(yīng)用賬號(hào)的IP的信息。

可選的，對(duì)IDC服務(wù)器中的IP的流量數(shù)據(jù)進(jìn)行采集的方法不做具體限定，可以在服務(wù)器端設(shè)置專門的采集和統(tǒng)計(jì)設(shè)備對(duì)其中的IP流量數(shù)據(jù)進(jìn)行采集，也可以在外網(wǎng)出入口設(shè)置采集和統(tǒng)計(jì)設(shè)備。

值得注意的是，由于CDN業(yè)務(wù)與寬帶私接業(yè)務(wù)有相似性，因此，在獲取IP的流量數(shù)據(jù)時(shí)，不采集屬于CDN業(yè)務(wù)的IP流量數(shù)據(jù)。

通過(guò)采集IP的機(jī)房外訪流量、機(jī)房外訪http get數(shù)量、VPN疑似流量占比、單純外訪流量和異常應(yīng)用等多個(gè)維度的流量數(shù)據(jù)，可以從多個(gè)維度對(duì)IP進(jìn)行統(tǒng)計(jì)和分析，保證從多方面反應(yīng)IP的流量情況，對(duì)IP進(jìn)行多層次的跟蹤訪問(wèn)并保證確定為透?jìng)鱅P的準(zhǔn)確性。

S102、根據(jù)流量數(shù)據(jù)對(duì)IP進(jìn)行多層統(tǒng)計(jì)分析，得到至少一個(gè)疑似私接IP。

具體地，根據(jù)流量數(shù)據(jù)對(duì)IP進(jìn)行初步排序并計(jì)算，得到IP的初步疑似度；

根據(jù)預(yù)設(shè)的初步疑似度的閾值對(duì)IP進(jìn)行綜合排序并計(jì)算，得到IP的綜合疑似度；

根據(jù)綜合疑似度確定至少一個(gè)疑似私接IP。

其中，根據(jù)機(jī)房外訪流量對(duì)IP進(jìn)行初步排序并計(jì)算，得到IP的初步疑似度包括：

根據(jù)機(jī)房外訪流量對(duì)IDC服務(wù)器中的IP進(jìn)行前100排序和展示，對(duì)前30個(gè)IP賦值疑似度60％，后70個(gè)賦值疑似度40％；

基于IP過(guò)濾，根據(jù)IP備案庫(kù)信息，對(duì)IP是否歸屬于本運(yùn)營(yíng)商進(jìn)行標(biāo)記，非本運(yùn)營(yíng)商的IP賦值疑似度直接提升至80％，并列出IP具體歸屬信息。

其中，根據(jù)機(jī)房外訪http get數(shù)量對(duì)IP進(jìn)行初步排序并計(jì)算，得到IP的初步疑似度包括：

根據(jù)機(jī)房外訪http get數(shù)量對(duì)IDC服務(wù)器中的IP進(jìn)行前100排序，對(duì)前30個(gè)IP賦值疑似度60％，后70個(gè)賦值疑似度40％；

基于IP過(guò)濾，若有非本運(yùn)營(yíng)商的IP計(jì)入排序，則賦值疑似度提升至80％，并列出具體歸屬信息。

其中，根據(jù)VPN疑似流量占比對(duì)IP進(jìn)行初步排序并計(jì)算，得到IP的初步疑似度包括：

將得到的VPN流量占比進(jìn)行前100排序并展示，賦值疑似度75％；

基于IP過(guò)濾，若有非本運(yùn)營(yíng)商的IP計(jì)入排序，則賦值疑似度提升至85％，并列出具體歸屬信息。

值得注意的是，因VPN涉及到內(nèi)外層IP地址，在判斷運(yùn)營(yíng)商歸屬時(shí)，需按照內(nèi)層IP地址進(jìn)行其他運(yùn)營(yíng)商IP歸屬判斷，按照外層IP進(jìn)行本運(yùn)營(yíng)商合法IP的判斷，并將上述兩種歸屬信息均展示。

其中，根據(jù)單純外訪流量對(duì)IP進(jìn)行初步排序并計(jì)算，得到IP的初步疑似度包括：

根據(jù)單純外訪流量對(duì)IDC服務(wù)器中的IP進(jìn)行前100排序，對(duì)前30個(gè)IP賦值疑似度60％，后70個(gè)賦值疑似度40％；

基于IP過(guò)濾，若有非本運(yùn)營(yíng)商的IP計(jì)入排序，則賦值疑似度提升至80％，并列出具體歸屬信息。

值得注意的是，通過(guò)采集單純外訪流量的方式可以涵蓋到機(jī)房?jī)?nèi)服務(wù)器采用兩個(gè)或兩個(gè)以上IP地址的情況，尤其是VPN流量在一個(gè)IP地址上面終結(jié)，終結(jié)后流量從同服務(wù)器另外一個(gè)IP地址轉(zhuǎn)發(fā)出去的情況。

其中，根據(jù)異常應(yīng)用數(shù)量對(duì)IP進(jìn)行初步排序并計(jì)算，得到IP的初步疑似度包括：

根據(jù)異常應(yīng)用數(shù)量對(duì)IP進(jìn)行前100排序并展示，賦值疑似度75％；

基于IP過(guò)濾，若有非本運(yùn)營(yíng)商的IP計(jì)入排序，則賦值疑似度提升至85％。

對(duì)上述各個(gè)單維度的流量數(shù)據(jù)進(jìn)行排序統(tǒng)計(jì)和計(jì)算，能夠衡量IDC服務(wù)器中的IP在各個(gè)維度上的“透?jìng)飨右伞保_的統(tǒng)計(jì)帶來(lái)更全面的監(jiān)控IP的流量數(shù)據(jù)。

根據(jù)預(yù)設(shè)的初步疑似度的閾值對(duì)IP進(jìn)行綜合排序并計(jì)算，得到IP的綜合疑似度具體包括：

將初步疑似度大于或等于60％的IP進(jìn)行前100排序并計(jì)算，得到IP的綜合疑似度；

若IP出現(xiàn)多個(gè)初步疑似度，則每出現(xiàn)一次，則取疑似度高的疑似度值，并賦值疑似度增加5％。

其中，IP的綜合疑似度最高設(shè)置為95％。

其中，在對(duì)初步疑似度大于60％的IP進(jìn)行前100排序并計(jì)算時(shí)，構(gòu)建如下計(jì)算函數(shù)：

1)排名函數(shù)Tn(IP，V)：基于IP，根據(jù)V值的大小，進(jìn)行前N排序，輸出為前N的名次。其中，V值為各個(gè)維度的流量數(shù)據(jù)。

2)初步疑似度函數(shù)Zi(IP，Tn)：在每個(gè)流量數(shù)據(jù)維度內(nèi)，基于IP和對(duì)應(yīng)Tn值，計(jì)算輸出該IP的初步疑似度。

3)綜合疑似度函數(shù)Zq(IP，Zi)：對(duì)全部初步疑似度大于或等于60％的IP，計(jì)算綜合疑似度(含IP交叉出現(xiàn)情況)。

所以，整體數(shù)學(xué)表達(dá)如下：

∑TN(IP，Zq)＝∑TN(IP，Zq(IP，Zi))＝∑TN(IP，Zq(IP，Zi(IP，Tn(IP，Vi))))

其中：N＝1，2...100表示疑似匯總排名前100；i＝1，2...5表示5個(gè)疑似維度下的不同情況；n＝1，2...100表示單維度疑似排名前100。

通過(guò)對(duì)各個(gè)維度的流量數(shù)據(jù)進(jìn)行綜合排序和計(jì)算，得到IP的綜合疑似度，便于對(duì)直觀的對(duì)疑似IP進(jìn)行分析和比較，能夠精確統(tǒng)計(jì)到應(yīng)用層協(xié)議類型和遠(yuǎn)端IP，也能夠更全面的體現(xiàn)IP的可疑性，進(jìn)一步提高對(duì)透?jìng)鱅P的準(zhǔn)確監(jiān)控。

S103、對(duì)疑似私接IP抓取數(shù)據(jù)包，確定為透?jìng)鱅P。

具體地，對(duì)疑似私接IP進(jìn)行在線自動(dòng)抓取數(shù)據(jù)包和展現(xiàn)；

解析數(shù)據(jù)包并根據(jù)展現(xiàn)內(nèi)容判定疑似私接IP是否為透?jìng)鱅P，若是，則確認(rèn)抓取記錄，若否，則結(jié)束。

其中，抓取記錄可以作為證明透?jìng)鱅P的證據(jù)，留存在專用目錄。

可選的，對(duì)疑似私接IP進(jìn)行實(shí)時(shí)http訪問(wèn)跟蹤，記錄其訪問(wèn)記錄，作為確定其為透?jìng)鱅P和實(shí)施封鎖的最終證據(jù)。

本發(fā)明實(shí)施例提供了一種檢測(cè)數(shù)據(jù)透?jìng)鞯姆椒?，通過(guò)對(duì)流量數(shù)據(jù)進(jìn)行協(xié)議識(shí)別、連接跟蹤、流量統(tǒng)計(jì)和內(nèi)容掃描，可以對(duì)機(jī)房或子網(wǎng)內(nèi)的所有IP進(jìn)行多層次的流量統(tǒng)計(jì)，并能夠通過(guò)下方規(guī)則對(duì)部分IP流量的統(tǒng)計(jì)準(zhǔn)確到應(yīng)用層協(xié)議類型和遠(yuǎn)端IP，對(duì)疑似私接IP進(jìn)行實(shí)時(shí)的訪問(wèn)跟蹤也可以作為實(shí)施封堵的證據(jù)，進(jìn)一步提高對(duì)透?jìng)鱅P實(shí)時(shí)的監(jiān)控性和檢測(cè)的精確度。

在另一優(yōu)選的實(shí)施例中提供了一種檢測(cè)數(shù)據(jù)透?jìng)鞯脑O(shè)備，參照?qǐng)D2所示，該設(shè)備包括：

數(shù)據(jù)采集單元210，用于采集IDC服務(wù)器的至少一個(gè)IP的流量數(shù)據(jù)，其中，流量數(shù)據(jù)包括機(jī)房外訪流量、機(jī)房外訪http get數(shù)量、VPN疑似流量占比、單純外訪流量和異常應(yīng)用數(shù)量中的任意一個(gè)或多個(gè)。

值得注意的是，由于CDN業(yè)務(wù)與寬帶私接業(yè)務(wù)有相似性，因此，數(shù)據(jù)采集單元210獲取IP的流量數(shù)據(jù)時(shí)，不采集屬于CDN業(yè)務(wù)的IP流量數(shù)據(jù)。

數(shù)據(jù)分析單元220，用于根據(jù)流量數(shù)據(jù)對(duì)IP進(jìn)行多層統(tǒng)計(jì)分析，得到至少一個(gè)疑似私接IP。

透?jìng)鱅P確定單元230，用于對(duì)疑似私接IP抓取數(shù)據(jù)包，確定為透?jìng)鱅P。

其中，機(jī)房外訪流量是IDC機(jī)房?jī)?nèi)的服務(wù)器主動(dòng)向機(jī)房外部、公網(wǎng)上的站點(diǎn)發(fā)起的訪問(wèn)所使用的流量。

其中，機(jī)房外訪http get數(shù)量是IDC機(jī)房?jī)?nèi)的服務(wù)器主動(dòng)向機(jī)房外部、公網(wǎng)上的站點(diǎn)發(fā)起的訪問(wèn)數(shù)量。

其中，VPN疑似流量占比是IDC機(jī)房?jī)?nèi)的服務(wù)器IP含有VPN協(xié)議類型，基于IP，計(jì)算VPN流量在總流量(總流入流量+總流出流量)中的占比，若占比高于96％，則確定為VPN疑似流量占比。

其中，單純外訪流量是IDC機(jī)房?jī)?nèi)的服務(wù)器IP單純向機(jī)房外部網(wǎng)絡(luò)站點(diǎn)發(fā)起訪問(wèn)的上下行流量，而上網(wǎng)用戶向此IP發(fā)起的訪問(wèn)總流量為0。

其中，異常應(yīng)用數(shù)量是對(duì)IDC機(jī)房?jī)?nèi)的服務(wù)器IP進(jìn)行識(shí)別分析，具體對(duì)其流量中的QQ賬號(hào)、郵件賬號(hào)、UA數(shù)量等，得到承載多個(gè)應(yīng)用賬號(hào)的IP的信息。

可選的，數(shù)據(jù)分析單元220還包括：

初步分析單元221，用于根據(jù)流量數(shù)據(jù)對(duì)IP進(jìn)行初步排序并計(jì)算，得到IP的初步疑似度。

綜合分析單元222，用于根據(jù)預(yù)設(shè)的初步疑似度的閾值對(duì)IP進(jìn)行綜合排序并計(jì)算，得到IP的綜合疑似度。

疑似私接IP確定單元223，用于根據(jù)綜合疑似度確定至少一個(gè)疑似私接IP。

可選的，初步分析單元221具體用于：

根據(jù)流量數(shù)據(jù)對(duì)IP進(jìn)行前100排序，對(duì)前30個(gè)IP賦值疑似度60％，后70個(gè)IP賦值疑似度40％；

根據(jù)IP備案庫(kù)信息，對(duì)判定不屬于本運(yùn)營(yíng)商的IP賦值疑似度80％；其中，流量數(shù)據(jù)包括：機(jī)房外訪流量、機(jī)房外訪http get數(shù)量和單純外訪流量中的任意一個(gè)或多個(gè)。

可選的，初步分析單元221還用于：

根據(jù)流量數(shù)據(jù)對(duì)IP進(jìn)行前100排序，并賦值疑似度75％；

根據(jù)IP備案庫(kù)信息，對(duì)判定不屬于本運(yùn)營(yíng)商的IP賦值疑似度85％，其中，流量數(shù)據(jù)包括：VPN疑似流量占比和異常應(yīng)用數(shù)量中的任意一個(gè)或多個(gè)。

可選的，綜合分析單元223具體用于：

將初步疑似度大于或等于60％的IP進(jìn)行排序并計(jì)算，得到IP的綜合疑似度；

若IP出現(xiàn)多個(gè)初步疑似度，則每出現(xiàn)一次，則取疑似度高的疑似度值，并賦值疑似度增加5％。

本發(fā)明實(shí)施例提供了一種檢測(cè)數(shù)據(jù)透?jìng)鞯脑O(shè)備，數(shù)據(jù)采集單元210通過(guò)采集IDC服務(wù)器的至少一個(gè)IP的流量數(shù)據(jù)，可以從多個(gè)維度對(duì)IP的流量進(jìn)行統(tǒng)計(jì)和分析，提高檢測(cè)精確度；數(shù)據(jù)分析單元220通過(guò)對(duì)IP進(jìn)行多層統(tǒng)計(jì)分析，得到至少一個(gè)疑似私接IP，多層統(tǒng)計(jì)分析可以分別對(duì)單個(gè)維度的流量數(shù)據(jù)和綜合流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，進(jìn)一步提高檢測(cè)精確度；透?jìng)鱅P確定單元230通過(guò)抓取數(shù)據(jù)包，確定透?jìng)鱅P，能夠?qū)P進(jìn)行追蹤并記錄為透?jìng)髯C據(jù)，定位遠(yuǎn)端IP，同時(shí)進(jìn)一步分析IP提高對(duì)透?jìng)鱅P的檢測(cè)精度。

需要說(shuō)明的是：所述實(shí)施例提供的一種檢測(cè)數(shù)據(jù)透?jìng)鞯姆椒霸O(shè)備，僅以所述各功能模塊的劃分進(jìn)行舉例說(shuō)明，實(shí)際應(yīng)用中，可以根據(jù)需要而將所述功能分配由不同的功能模塊完成，即將設(shè)備的內(nèi)部結(jié)構(gòu)劃分成不同的單元模塊，以完成以上描述的全部或者部分功能。另外，所述實(shí)施例提供的檢測(cè)數(shù)據(jù)透?jìng)鞯姆椒霸O(shè)備屬于同一構(gòu)思，其具體實(shí)現(xiàn)過(guò)程詳見實(shí)施例，這里不再贅述。

以上所述僅為本發(fā)明的較佳實(shí)施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。