国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法及裝置的制造方法

      文檔序號(hào):10473566閱讀:390來(lái)源:國(guó)知局
      一種識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法及裝置的制造方法
      【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法,所述方法包括:在核心路由器上針對(duì)指定的下行接口建立網(wǎng)絡(luò)會(huì)話(huà)記錄;確認(rèn)接收的報(bào)文為可疑報(bào)文時(shí),構(gòu)建探測(cè)報(bào)文,并將所述探測(cè)報(bào)文在所述指定的下行接口上發(fā)送至可疑報(bào)文的發(fā)送方;接收可疑報(bào)文的發(fā)送方根據(jù)所述探測(cè)報(bào)文發(fā)送的網(wǎng)絡(luò)請(qǐng)求報(bào)文,并根據(jù)所述網(wǎng)絡(luò)請(qǐng)求報(bào)文識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量。本發(fā)明還同時(shí)公開(kāi)了一種識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的裝置。
      【專(zhuān)利說(shuō)明】
      一種識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法及裝置
      技術(shù)領(lǐng)域
      [0001]本發(fā)明涉及數(shù)據(jù)處理技術(shù),尤其涉及一種識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法及裝置。
      【背景技術(shù)】
      [0002]目前,中國(guó)的各運(yùn)營(yíng)商接入網(wǎng)、城域網(wǎng)和骨干網(wǎng)基本都是獨(dú)立建設(shè),通過(guò)集團(tuán)層面建設(shè)統(tǒng)一的互聯(lián)互通鏈路實(shí)現(xiàn)不同運(yùn)營(yíng)商之間的互聯(lián)互通;集團(tuán)層面建設(shè)的互聯(lián)互通鏈路的流量需要進(jìn)行網(wǎng)間結(jié)算。
      [0003]由于網(wǎng)間結(jié)算是基于流量的計(jì)算,滋生個(gè)別非法企業(yè)從一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商批量購(gòu)買(mǎi)帶寬后,企業(yè)自己并不使用低價(jià)批量購(gòu)買(mǎi)的帶寬,而是將低價(jià)批量購(gòu)買(mǎi)的帶寬轉(zhuǎn)賣(mài)給二級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商,以此謀取利潤(rùn)?;ヂ?lián)互通鏈路的流量示意圖,如圖1所示,互聯(lián)網(wǎng)服務(wù)提供商(Internet Service Provider,ISP)A屬于一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商,ISP B屬于二級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商;實(shí)線(xiàn)部分表示異常流量,即非法流量,虛線(xiàn)部分表示正常流量,即合法流量。
      [0004]二級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商通過(guò)非法的互聯(lián)互通鏈路使自己的接入客戶(hù)繞開(kāi)正常的網(wǎng)間結(jié)算的互聯(lián)互通通道來(lái)訪(fǎng)問(wèn)一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商的業(yè)務(wù)資源,降低二級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商的網(wǎng)間結(jié)算費(fèi)用和運(yùn)營(yíng)成本,損害一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商的利益。

      【發(fā)明內(nèi)容】

      [0005]有鑒于此,本發(fā)明實(shí)施例期望提供一種識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法及裝置,不僅能夠識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量,即二級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商通過(guò)非法的互聯(lián)互通鏈路使自己的接入客戶(hù)繞開(kāi)正常的網(wǎng)間結(jié)算的互聯(lián)互通通道來(lái)訪(fǎng)問(wèn)一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商的業(yè)務(wù)資源所使用的流量,保護(hù)一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商的利益。
      [0006]本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的:
      [0007]本發(fā)明實(shí)施例提供一種識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法,所述方法包括:在核心路由器上針對(duì)指定的下行接口建立網(wǎng)絡(luò)會(huì)話(huà)記錄;確認(rèn)接收的報(bào)文為可疑報(bào)文時(shí),構(gòu)建探測(cè)報(bào)文,并將所述探測(cè)報(bào)文在所述指定的下行接口上發(fā)送至可疑報(bào)文的發(fā)送方;接收可疑報(bào)文的發(fā)送方根據(jù)所述探測(cè)報(bào)文發(fā)送的網(wǎng)絡(luò)請(qǐng)求報(bào)文,并根據(jù)所述網(wǎng)絡(luò)請(qǐng)求報(bào)文識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量。
      [0008]在一實(shí)施例中,在接收?qǐng)?bào)文后,所述方法還包括:在所述指定的下行接口上接收?qǐng)?bào)文時(shí)檢查已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄,確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配時(shí),新建所述報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄;其中,所述報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配,包括:所述報(bào)文的中的源地址、目的地址、源端口號(hào)、目的端口號(hào)、接收?qǐng)?bào)文的入接口和接收?qǐng)?bào)文的時(shí)間戳與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不一致。
      [0009]在一實(shí)施例中,所述確認(rèn)接收的報(bào)文為可疑報(bào)文,包括:所述報(bào)文的入接口為所述指定的下行接口時(shí),確認(rèn)所述報(bào)文為可疑報(bào)文。
      [0010]在一實(shí)施例中,所述根據(jù)所述網(wǎng)絡(luò)請(qǐng)求報(bào)文識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量,包括:在已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄中不存在與所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄信息匹配的信息、或所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的入接口不是所述指定的下行接口、或所述網(wǎng)絡(luò)請(qǐng)求報(bào)文不包括可疑報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄所關(guān)聯(lián)的標(biāo)識(shí)所述可疑報(bào)文的數(shù)據(jù)特征時(shí),識(shí)別為異常網(wǎng)絡(luò)互聯(lián)流量。
      [0011]在一實(shí)施例中,所述方法還包括:在識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量后,記錄異常訪(fǎng)問(wèn)用戶(hù)的互聯(lián)網(wǎng)協(xié)議IP地址和訪(fǎng)問(wèn)時(shí)間。
      [0012]本發(fā)明實(shí)施例還提供一種識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的裝置,所述裝置包括:建立模塊、第一處理模塊和識(shí)別模塊;其中,
      [0013]所述建立模塊,用于在核心路由器上針對(duì)指定的下行接口建立網(wǎng)絡(luò)會(huì)話(huà)記錄;
      [0014]所述第一處理模塊,用于確認(rèn)接收的報(bào)文為可疑報(bào)文時(shí),構(gòu)建探測(cè)報(bào)文,并將所述探測(cè)報(bào)文在所述指定的下行接口上發(fā)送至可疑報(bào)文的發(fā)送方;
      [0015]所述識(shí)別模塊,用于接收可疑報(bào)文的發(fā)送方根據(jù)所述探測(cè)報(bào)文發(fā)送的網(wǎng)絡(luò)請(qǐng)求報(bào)文,并根據(jù)所述網(wǎng)絡(luò)請(qǐng)求報(bào)文識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量。
      [0016]在一實(shí)施例中,所述裝置還包括:第二處理模塊,用于在所述指定的下行接口上接收?qǐng)?bào)文時(shí)檢查已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄,確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息是否匹配;
      [0017]相應(yīng)的,所述建立模塊,還用于在所述第二處理模塊確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配時(shí),新建所述報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄;
      [0018]所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配,包括:所述報(bào)文的中的源地址、目的地址、源端口號(hào)、目的端口號(hào)、接收?qǐng)?bào)文的入接口和接收?qǐng)?bào)文的時(shí)間戳與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不一致時(shí),確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配。
      [0019]在一實(shí)施例中,所述第一處理模塊,具體用于在所述報(bào)文的入接口為所述指定的下行接口時(shí),確認(rèn)所述報(bào)文為可疑報(bào)文。
      [0020]在一實(shí)施例中,所述識(shí)別模塊,具體用于在已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄中不存在與所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄信息匹配的信息、或所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的入接口不是所述指定的下行接口、或所述網(wǎng)絡(luò)請(qǐng)求報(bào)文不包括可疑報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄所關(guān)聯(lián)的標(biāo)識(shí)所述可疑報(bào)文的數(shù)據(jù)特征時(shí),識(shí)別為異常網(wǎng)絡(luò)互聯(lián)流量。
      [0021]在一實(shí)施例中,所述裝置還包括:記錄模塊,用于在識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量后,記錄異常訪(fǎng)問(wèn)用戶(hù)的IP地址和訪(fǎng)問(wèn)時(shí)間。
      [0022]本發(fā)明實(shí)施例所提供的識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法及裝置,在核心路由器上針對(duì)指定的下行接口建立網(wǎng)絡(luò)會(huì)話(huà)記錄;確認(rèn)接收的報(bào)文為可疑報(bào)文時(shí),構(gòu)建探測(cè)報(bào)文,并將所述探測(cè)報(bào)文在所述指定的下行接口上發(fā)送至可疑報(bào)文的發(fā)送方;接收可疑報(bào)文的發(fā)送方根據(jù)所述探測(cè)報(bào)文發(fā)送的網(wǎng)絡(luò)請(qǐng)求報(bào)文,并根據(jù)所述網(wǎng)絡(luò)請(qǐng)求報(bào)文識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量。如此,通過(guò)對(duì)可疑報(bào)文構(gòu)建探測(cè)報(bào)文,能夠主動(dòng)探測(cè)可疑報(bào)文的源端主機(jī)位置,將合法報(bào)文和非法報(bào)文的流量路徑進(jìn)行分離,識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量,即二級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商通過(guò)非法的互聯(lián)互通鏈路使自己的接入客戶(hù)繞開(kāi)正常的網(wǎng)間結(jié)算的互聯(lián)互通通道來(lái)訪(fǎng)問(wèn)一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商的業(yè)務(wù)資源所使用的流量,保護(hù)了一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商的利益。
      【附圖說(shuō)明】
      [0023]圖1為本發(fā)明互聯(lián)互通鏈路的流量示意圖;
      [0024]圖2為本發(fā)明一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商檢測(cè)異常網(wǎng)絡(luò)互聯(lián)互通流量的方案示意圖;
      [0025]圖3為本發(fā)明實(shí)施例識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法的處理流程示意圖;
      [0026]圖4為本發(fā)明實(shí)施例報(bào)文路徑示意圖;
      [0027]圖5為本發(fā)明實(shí)施例可疑報(bào)文為企業(yè)客戶(hù)內(nèi)部服務(wù)器或主機(jī)發(fā)出的網(wǎng)絡(luò)報(bào)文時(shí),識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的處理流程示意圖;
      [0028]圖6為本發(fā)明實(shí)施例可疑報(bào)文為ISP B的用戶(hù)B發(fā)出的網(wǎng)絡(luò)報(bào)文時(shí),識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的處理流程示意圖;
      [0029]圖7為本發(fā)明實(shí)施例識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的裝置的組成結(jié)構(gòu)示意圖。
      【具體實(shí)施方式】
      [0030]本發(fā)明實(shí)施例中,在一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商的核心路由器上針對(duì)指定的下行接口建立網(wǎng)絡(luò)會(huì)話(huà)記錄;確認(rèn)接收的報(bào)文為可疑報(bào)文時(shí),構(gòu)建探測(cè)報(bào)文,并將所述探測(cè)報(bào)文在所述指定的下行接口上發(fā)送至可疑報(bào)文的發(fā)送方;接收可疑報(bào)文的發(fā)送方根據(jù)所述探測(cè)報(bào)文發(fā)送的網(wǎng)絡(luò)請(qǐng)求報(bào)文,并根據(jù)所述網(wǎng)絡(luò)請(qǐng)求報(bào)文識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量。
      [0031]為更好地理解本發(fā)明實(shí)施例的技術(shù)方案,下面簡(jiǎn)要說(shuō)明現(xiàn)有技術(shù)中一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商檢測(cè)異常網(wǎng)絡(luò)互聯(lián)互通流量的技術(shù)方案。
      [0032]現(xiàn)有技術(shù)中一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商檢測(cè)異常網(wǎng)絡(luò)互聯(lián)互通流量的方案示意圖,如圖2所示,企業(yè)客戶(hù)數(shù)據(jù)中心采用公網(wǎng)互聯(lián)網(wǎng)協(xié)議(Internet Protocol,IP)地址,在流量出口沒(méi)有進(jìn)行(Network Address Translat1n,NAT)網(wǎng)絡(luò)地址轉(zhuǎn)換的情況下,企業(yè)客戶(hù)數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)從一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商學(xué)習(xí)一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商的全網(wǎng)路由用于優(yōu)化轉(zhuǎn)發(fā)路徑,全網(wǎng)路由如圖2中實(shí)線(xiàn)所示;企業(yè)客戶(hù)出口路由設(shè)備能同時(shí)學(xué)習(xí)到ISP A和ISP B的全網(wǎng)路由,并且使企業(yè)客戶(hù)出口路由設(shè)備成為互通節(jié)點(diǎn)。在ISP A的核心路由器下行接口(即連接企業(yè)客戶(hù)的接口)上啟動(dòng)路由策略和源地址檢查;其中,路由策略是不接收除了企業(yè)客戶(hù)既定地址范圍之外的其他路由信息。這樣,ISP B的路由信息就不能夠通過(guò)企業(yè)客戶(hù)的路由器發(fā)布到ISP A的網(wǎng)絡(luò)中;源地址檢查時(shí)要求ISP A核心路由器從下行接口接收企業(yè)客戶(hù)的報(bào)文時(shí),檢查報(bào)文的源地址信息,檢查源地址不屬于ISP A分配給企業(yè)客戶(hù)的地址段范圍時(shí),直接丟棄所述報(bào)文。
      [0033]通過(guò)路由策略和源地址檢查,ISP A可以阻止一部分異常的互聯(lián)互通鏈路;但是,如圖2中的企業(yè)客戶(hù)在出口路由器上啟動(dòng)了 NAT,通過(guò)路由策略和源地址檢查則無(wú)法發(fā)現(xiàn)ISP A和ISPB之間通過(guò)企業(yè)數(shù)據(jù)中心進(jìn)行互聯(lián)互通。ISP B的用戶(hù)訪(fǎng)問(wèn)ISP A的數(shù)據(jù)資源的路徑如圖2點(diǎn)劃線(xiàn)所示,用戶(hù)B發(fā)送訪(fǎng)問(wèn)報(bào)文,訪(fǎng)問(wèn)報(bào)文的目的地址是ISP A的服務(wù)器地址,訪(fǎng)問(wèn)報(bào)文的源地址是ISP B分配給自己的地址;在ISP B中查找路由發(fā)現(xiàn)可以通過(guò)企業(yè)客戶(hù)的路由器訪(fǎng)問(wèn)目的地址,用戶(hù)B發(fā)送的訪(fǎng)問(wèn)報(bào)文到達(dá)企業(yè)客戶(hù)出口路由器;在企業(yè)出口路由器上對(duì)用戶(hù)B發(fā)送的訪(fǎng)問(wèn)報(bào)文的源地址轉(zhuǎn)換為ISP A分配給企業(yè)客戶(hù)的地址。報(bào)文上行到ISP A核心路由器,順利地通過(guò)源地址檢查,并且能夠正常訪(fǎng)問(wèn)ISP A服務(wù)器;ISP A服務(wù)器的響應(yīng)報(bào)文目的地址是企業(yè)客戶(hù)出口路由器上的NAT地址,響應(yīng)報(bào)文到達(dá)企業(yè)客戶(hù)路由器后,企業(yè)客戶(hù)路由器進(jìn)行目的地址轉(zhuǎn)換,將報(bào)文的目的地址轉(zhuǎn)換為用戶(hù)B的地址,企業(yè)路由器擁有ISP B的路由信息,將響應(yīng)報(bào)文轉(zhuǎn)發(fā)給用戶(hù)B。
      [0034]因此,現(xiàn)有的通過(guò)路由策略和源地址檢查技術(shù)識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量時(shí),不能屏蔽在出口路由器上啟動(dòng)NAT后進(jìn)行的異常網(wǎng)絡(luò)互聯(lián)互通問(wèn)題。
      [0035]下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)一步詳細(xì)闡述。
      [0036]本發(fā)明實(shí)施例所提供的識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法的處理流程,如圖3所示,包括以下步驟:
      [0037]步驟101,在核心路由器上針對(duì)指定的下行接口建立網(wǎng)絡(luò)會(huì)話(huà)記錄;
      [0038]這里,由于互聯(lián)網(wǎng)的流量都是基于網(wǎng)絡(luò)(WEB),在數(shù)據(jù)中心出口處WEB流量的比重更大;并且互訪(fǎng)流量也是以WEB流量為主;因此,識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量以監(jiān)管WEB流量為核心;
      [0039]所述指定的下行接口是指ISP A與企業(yè)IDC之間的互聯(lián)接口。
      [0040]步驟102,確認(rèn)接收的報(bào)文為可疑報(bào)文時(shí),構(gòu)建探測(cè)報(bào)文,并將所述探測(cè)報(bào)文在所述指定的下行接口上發(fā)送至可疑報(bào)文的發(fā)送方;
      [0041]具體地,在接收的報(bào)文為指定的下行接口時(shí),表示所述報(bào)文是由企業(yè)客戶(hù)主動(dòng)向ISP A發(fā)起的連接請(qǐng)求,則ISP A核心路由器確認(rèn)所述報(bào)文為可疑報(bào)文,獲取所述報(bào)文的源地址,提取可以標(biāo)識(shí)所述報(bào)文的特征數(shù)據(jù),如所述報(bào)文的統(tǒng)一資源定位器(UniformResoure Locator,URL)等,將所述特征數(shù)據(jù)與所述報(bào)文對(duì)應(yīng)的網(wǎng)絡(luò)會(huì)話(huà)記錄相關(guān)聯(lián),并構(gòu)建探測(cè)報(bào)文,在指定的下行接口上將所述探測(cè)報(bào)文發(fā)送至企業(yè)出口路由器,如圖4中虛線(xiàn)所不,圖4為本發(fā)明實(shí)施例報(bào)文路徑不意圖;
      [0042]可疑報(bào)文為企業(yè)客戶(hù)內(nèi)部服務(wù)器或主機(jī)發(fā)出的網(wǎng)絡(luò)報(bào)文的路徑,如圖4中點(diǎn)劃線(xiàn)所示;在所述可疑報(bào)文為企業(yè)客戶(hù)內(nèi)部服務(wù)器或主機(jī)發(fā)出的網(wǎng)絡(luò)報(bào)文時(shí),識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的處理流程示意圖,如圖5所示,包括以下步驟:
      [0043]步驟la,將所述探測(cè)報(bào)文在企業(yè)出口路由器上匹配N(xiāo)AT會(huì)話(huà)記錄,并將所述探測(cè)報(bào)文的目的地址IP4變成IP2,還原所述探測(cè)報(bào)文的端口號(hào);
      [0044]具體地,將所述探測(cè)報(bào)文在企業(yè)出口路由器上匹配N(xiāo)AT會(huì)話(huà)記錄,并將所述探測(cè)報(bào)文的目的地址IP4變成IP2,所述探測(cè)報(bào)文的端口號(hào)也進(jìn)行相應(yīng)的還原為NAT之前的端口號(hào);
      [0045]其中,所述探測(cè)報(bào)文是強(qiáng)制重定向報(bào)文,即模擬WEB服務(wù)器返回的重定向報(bào)文,所述探測(cè)報(bào)文的目的地址與所述網(wǎng)絡(luò)會(huì)話(huà)的源地址相同,所述探測(cè)報(bào)文的端口號(hào)與所述網(wǎng)絡(luò)會(huì)話(huà)的端口號(hào)相同,所述探測(cè)報(bào)文的源地址與所述網(wǎng)絡(luò)會(huì)話(huà)的目的地址相同,所述探測(cè)報(bào)文的端口號(hào)與所述網(wǎng)絡(luò)會(huì)話(huà)的端口號(hào)相同;
      [0046]這里,所述重定向報(bào)文中的重定向目的地址是ISP A的探測(cè)地址IP1,IPl為預(yù)先規(guī)劃的特定的探測(cè)IP地址,所述探測(cè)IP地址在發(fā)布路由時(shí),根據(jù)邊界網(wǎng)關(guān)協(xié)議(BorderGateway Protocol,BGP)屬性調(diào)整路由發(fā)布的優(yōu)先級(jí),使發(fā)布到企業(yè)IDC內(nèi)接口的路由的優(yōu)先級(jí)低于該路由器上其它接口的優(yōu)先級(jí);探測(cè)地址IP I配置在ISP A核心路由器的Loopback 接口上。
      [0047]步驟lb,將所述探測(cè)報(bào)文轉(zhuǎn)發(fā)至企業(yè)客戶(hù)內(nèi)部服務(wù)器或主機(jī);
      [0048]具體地,將所述探測(cè)報(bào)文轉(zhuǎn)發(fā)至企業(yè)客戶(hù)內(nèi)部服務(wù)器或主機(jī)的路徑,如圖4雙點(diǎn)劃線(xiàn)所示。
      [0049]步驟lc,客戶(hù)內(nèi)部服務(wù)器或主機(jī)根據(jù)所述探測(cè)報(bào)文發(fā)送網(wǎng)絡(luò)請(qǐng)求報(bào)文;
      [0050]其中,所述探測(cè)報(bào)文強(qiáng)制要求客戶(hù)向指定的IPl地址重新發(fā)送網(wǎng)絡(luò)請(qǐng)求報(bào)文,所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的目的地址是IPI;所述網(wǎng)絡(luò)請(qǐng)求報(bào)文重新發(fā)出的網(wǎng)絡(luò)請(qǐng)求在出口路由器處進(jìn)行NAT,將源地址轉(zhuǎn)換為IP 4 ;根據(jù)目的地址IPl查找路由,由于企業(yè)客戶(hù)的網(wǎng)絡(luò)在ISPA數(shù)據(jù)中心機(jī)房的AS范圍內(nèi),所以下一跳的優(yōu)選路由是ISP A核心路由器,如圖4雙點(diǎn)劃線(xiàn)所示,將所述網(wǎng)絡(luò)請(qǐng)求報(bào)文轉(zhuǎn)發(fā)至ISP A核心路由器。
      [0051]可疑報(bào)文為ISP B的用戶(hù)B發(fā)出的網(wǎng)絡(luò)報(bào)文的路徑,如圖4中點(diǎn)劃線(xiàn)所示,與客戶(hù)服務(wù)器所發(fā)出的報(bào)文路徑相同,ISP B為屬于網(wǎng)絡(luò)運(yùn)營(yíng)商;在所述可疑報(bào)文為ISP B的用戶(hù)B發(fā)出的網(wǎng)絡(luò)報(bào)文時(shí),識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的處理流程示意圖,如圖6所示,包括以下步驟:
      [0052]步驟2a,將所述探測(cè)報(bào)文在企業(yè)出口路由器上匹配N(xiāo)AT會(huì)話(huà)記錄,并將所述探測(cè)報(bào)文的目的地址IP4變成IP3,還原所述探測(cè)報(bào)文的端口號(hào);
      [0053]具體地,將所述探測(cè)報(bào)文在企業(yè)出口路由器上匹配N(xiāo)AT會(huì)話(huà)記錄,并將所述探測(cè)報(bào)文的目的地址IP4變成IP3,所述探測(cè)報(bào)文的端口號(hào)也進(jìn)行相應(yīng)的還原為NAT之前的端口號(hào);
      [0054]其中,所述探測(cè)報(bào)文是強(qiáng)制重定向報(bào)文,即模擬WEB服務(wù)器返回的重定向報(bào)文,所述探測(cè)報(bào)文的目的地址與所述網(wǎng)絡(luò)會(huì)話(huà)的源地址相同,所述探測(cè)報(bào)文的端口號(hào)與所述網(wǎng)絡(luò)會(huì)話(huà)的端口號(hào)相同,所述探測(cè)報(bào)文的源地址與所述網(wǎng)絡(luò)會(huì)話(huà)的目的地址相同,所述探測(cè)報(bào)文的端口號(hào)與所述網(wǎng)絡(luò)會(huì)話(huà)的端口號(hào)相同;
      [0055]這里,所述重定向報(bào)文中的重定向目的地址是ISP A的探測(cè)地址IP1,IPl為預(yù)先規(guī)劃的特定的探測(cè)IP地址,所述探測(cè)IP地址在發(fā)布路由時(shí),根據(jù)BGP屬性調(diào)整路由發(fā)布的優(yōu)先級(jí),使發(fā)布到企業(yè)IDC內(nèi)接口的路由的優(yōu)先級(jí)低于該路由器上其它接口的優(yōu)先級(jí);探測(cè)地址IP I配置在ISP A核心路由器的Loopback接口上。
      [0056]步驟2b,將所述探測(cè)報(bào)文轉(zhuǎn)發(fā)至用戶(hù)B ;
      [0057]具體地,將所述探測(cè)報(bào)文轉(zhuǎn)發(fā)至用戶(hù)B的路徑,如圖4雙點(diǎn)劃線(xiàn)所示。
      [0058]步驟2c,用戶(hù)B根據(jù)所述探測(cè)報(bào)文發(fā)送網(wǎng)絡(luò)請(qǐng)求報(bào)文;
      [0059]其中,所述探測(cè)報(bào)文強(qiáng)制要求客戶(hù)向指定的IPl地址重新發(fā)送網(wǎng)絡(luò)請(qǐng)求報(bào)文,所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的目的地址是IPl ;根據(jù)目的地址IPl在ISP B查找路由,由于IPl通過(guò)企業(yè)客戶(hù)網(wǎng)絡(luò)發(fā)布的路由增加了 AS-Path或MED值,所以有限期比較低,優(yōu)選路由為ISP A與ISP B之間的計(jì)費(fèi)通道,如圖4雙點(diǎn)劃線(xiàn)所示,通過(guò)ISP A與ISP B之間的通道,將所述網(wǎng)絡(luò)請(qǐng)求報(bào)文轉(zhuǎn)發(fā)至ISP A核心路由器。
      [0060]步驟103,接收可疑報(bào)文的發(fā)送方根據(jù)所述探測(cè)報(bào)文發(fā)送的網(wǎng)絡(luò)請(qǐng)求報(bào)文,并根據(jù)所述網(wǎng)絡(luò)請(qǐng)求報(bào)文識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量;
      [0061]具體地,ISP A核心路由器接收所述網(wǎng)絡(luò)請(qǐng)求報(bào)文,根據(jù)所述網(wǎng)絡(luò)請(qǐng)求報(bào)文識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量包括:
      [0062]在已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄中不存在與所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄信息匹配的信息、或所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的入接口不是所述指定的下行接口、或所述網(wǎng)絡(luò)請(qǐng)求報(bào)文不包括可疑報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄所關(guān)聯(lián)的標(biāo)識(shí)所述可疑報(bào)文的數(shù)據(jù)特征時(shí),識(shí)別所述報(bào)文為異常網(wǎng)絡(luò)互聯(lián)流量。
      [0063]在步驟102中,接收?qǐng)?bào)文后,所述方法還包括:在所述指定的下行接口上接收?qǐng)?bào)文時(shí)檢查已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄,確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配時(shí),新建所述報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄;
      [0064]具體地,ISP A核心路由器確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配時(shí),新建所述報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄,并添加時(shí)間戳,所述時(shí)間戳用于標(biāo)記會(huì)話(huà)建立的時(shí)間;確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息匹配時(shí),即所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息中的任意一項(xiàng)匹配時(shí),按照常規(guī)流程進(jìn)行報(bào)文轉(zhuǎn)發(fā);所述ISPA屬于一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商;
      [0065]其中,所述網(wǎng)絡(luò)會(huì)話(huà)記錄信息包括:會(huì)話(huà)的源地址、會(huì)話(huà)的目的地址、會(huì)話(huà)的源端口號(hào)、會(huì)話(huà)的目的端口號(hào)、接收?qǐng)?bào)文的入接口和接收?qǐng)?bào)文的時(shí)間戳等;
      [0066]所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配包括:所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息中的任意一項(xiàng)均不匹配;
      [0067]這里,建立的網(wǎng)絡(luò)會(huì)話(huà)記錄會(huì)自動(dòng)老化,老化時(shí)間根據(jù)需要靈活設(shè)定。
      [0068]在執(zhí)行步驟103之后,本發(fā)明實(shí)施例還包括:
      [0069]步驟104,記錄異常訪(fǎng)問(wèn)用戶(hù)的IP地址和訪(fǎng)問(wèn)時(shí)間;
      [0070]這里,ISP A記錄異常訪(fǎng)問(wèn)用戶(hù)的IP地址和訪(fǎng)問(wèn)時(shí)間,用于事后溯源。
      [0071]為實(shí)現(xiàn)上述識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法,本發(fā)明實(shí)施例還提供一種識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的裝置,所述裝置的組成結(jié)構(gòu),如圖7所示,包括建立模塊11、第一處理模塊12和識(shí)別模塊13 ;其中,
      [0072]所述建立模塊11,用于在核心路由器上針對(duì)指定的下行接口建立網(wǎng)絡(luò)會(huì)話(huà)記錄;
      [0073]所述第一處理模塊12,確認(rèn)接收的報(bào)文為可疑報(bào)文時(shí),構(gòu)建探測(cè)報(bào)文,并將所述探測(cè)報(bào)文在所述指定的下行接口上發(fā)送至可疑報(bào)文的發(fā)送方;
      [0074]所述識(shí)別模塊13,用于接收可疑報(bào)文的發(fā)送方根據(jù)所述探測(cè)報(bào)文發(fā)送的網(wǎng)絡(luò)請(qǐng)求報(bào)文,并根據(jù)所述網(wǎng)絡(luò)請(qǐng)求報(bào)文識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量。
      [0075]上述實(shí)現(xiàn)方案中,所述裝置還包括:第二處理模塊14,用于在所述指定的下行接口上接收?qǐng)?bào)文時(shí)檢查已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄,確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息是否匹配;
      [0076]相應(yīng)的,所述建立模塊11,還用于在所述第二處理模塊14確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配時(shí),新建所述報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄;
      [0077]其中,所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配,包括:所述報(bào)文的中的源地址、目的地址、源端口號(hào)、目的端口號(hào)、接收?qǐng)?bào)文的入接口和接收?qǐng)?bào)文的時(shí)間戳與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不一致。
      [0078]上述實(shí)現(xiàn)方案中,所述第二處理模塊12,具體用于在所述報(bào)文的入接口為所述指定的下行接口時(shí),確認(rèn)所述報(bào)文為可疑報(bào)文。
      [0079]上述實(shí)現(xiàn)方案中,所述識(shí)別模塊13,具體用于在已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄中不存在所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄信息匹配的信息、或所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的入接口不是所述指定的下行接口、或所述網(wǎng)絡(luò)請(qǐng)求報(bào)文不包括可疑報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄所關(guān)聯(lián)的標(biāo)識(shí)所述可疑報(bào)文的數(shù)據(jù)特征時(shí),識(shí)別為異常網(wǎng)絡(luò)互聯(lián)流量。
      [0080]上述實(shí)現(xiàn)方案中,所述裝置還包括:記錄模塊15,用于在識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量后,記錄異常訪(fǎng)問(wèn)用戶(hù)的IP地址和訪(fǎng)問(wèn)時(shí)間。
      [0081]上述實(shí)現(xiàn)方案中,所述建立模塊11,新建報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄后,添加時(shí)間戳,所述時(shí)間戳用于標(biāo)記會(huì)話(huà)建立的時(shí)間;確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息匹配時(shí),即所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息中的任意一項(xiàng)匹配時(shí),按照常規(guī)流程進(jìn)行報(bào)文轉(zhuǎn)發(fā);所述ISP A屬于一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商;其中,所述網(wǎng)絡(luò)會(huì)話(huà)記錄信息包括:會(huì)話(huà)的源地址、會(huì)話(huà)的目的地址、會(huì)話(huà)的源端口號(hào)、會(huì)話(huà)的目的端口號(hào)、接收?qǐng)?bào)文的入接口和接收?qǐng)?bào)文的時(shí)間戳等;所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配包括:所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息中的任意一項(xiàng)均不匹配;建立的網(wǎng)絡(luò)會(huì)話(huà)記錄會(huì)自動(dòng)老化,老化時(shí)間根據(jù)需要靈活設(shè)定。
      [0082]上述實(shí)現(xiàn)方案中,在所述報(bào)文的入接口為指定的下行接口時(shí),表示所述網(wǎng)絡(luò)會(huì)話(huà)對(duì)應(yīng)的報(bào)文是由企業(yè)客戶(hù)主動(dòng)向ISP A發(fā)起的連接請(qǐng)求,則ISP A核心路由器中的第二處理模塊13確認(rèn)所述報(bào)文為可疑報(bào)文,獲取所述報(bào)文的源地址,提取可以標(biāo)識(shí)所述報(bào)文的特征數(shù)據(jù),如所述報(bào)文的URL等,將所述特征數(shù)據(jù)與所述報(bào)文對(duì)應(yīng)的網(wǎng)絡(luò)會(huì)話(huà)記錄相關(guān)聯(lián),并構(gòu)建探測(cè)報(bào)文,在指定的下行接口上將所述探測(cè)報(bào)文發(fā)送至企業(yè)出口路由器。
      [0083]本發(fā)明實(shí)施例中,所述識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的裝置可由一級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)商中的核心路由器實(shí)現(xiàn)。
      [0084]需要說(shuō)明的是,在實(shí)際應(yīng)用中,所述建立模塊11、第一處理模塊12、識(shí)別模塊13、第二處理模塊14和記錄模塊15的功能可由位于核心路由器上的中央處理器(CPU)、或微處理器(MPU)、或數(shù)字信號(hào)處理器(DSP)、或可編程門(mén)陣列(FPGA)實(shí)現(xiàn)。
      [0085]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。
      【主權(quán)項(xiàng)】
      1.一種識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法,其特征在于,所述方法包括: 在核心路由器上針對(duì)指定的下行接口建立網(wǎng)絡(luò)會(huì)話(huà)記錄; 確認(rèn)接收的報(bào)文為可疑報(bào)文時(shí),構(gòu)建探測(cè)報(bào)文,并將所述探測(cè)報(bào)文在所述指定的下行接口上發(fā)送至可疑報(bào)文的發(fā)送方; 接收可疑報(bào)文的發(fā)送方根據(jù)所述探測(cè)報(bào)文發(fā)送的網(wǎng)絡(luò)請(qǐng)求報(bào)文,并根據(jù)所述網(wǎng)絡(luò)請(qǐng)求報(bào)文識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量。2.根據(jù)權(quán)利要求1所述識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法,其特征在于,在接收?qǐng)?bào)文后,所述方法還包括: 在所述指定的下行接口上接收?qǐng)?bào)文時(shí)檢查已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄,確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配時(shí),新建所述報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄;其中,所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配,包括: 所述報(bào)文的中的源地址、目的地址、源端口號(hào)、目的端口號(hào)、接收?qǐng)?bào)文的入接口和接收?qǐng)?bào)文的時(shí)間戳與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不一致。3.根據(jù)權(quán)利要求1或2所述識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法,其特征在于,所述確認(rèn)接收的報(bào)文為可疑報(bào)文,包括: 所述報(bào)文的入接口為所述指定的下行接口時(shí),確認(rèn)所述報(bào)文為可疑報(bào)文。4.根據(jù)權(quán)利要求1或2所述識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法,其特征在于,所述根據(jù)所述網(wǎng)絡(luò)請(qǐng)求報(bào)文識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量,包括: 在已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄中不存在與所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄信息匹配的信息、或所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的入接口不是所述指定的下行接口、或所述網(wǎng)絡(luò)請(qǐng)求報(bào)文不包括可疑報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄所關(guān)聯(lián)的標(biāo)識(shí)所述可疑報(bào)文的數(shù)據(jù)特征時(shí),識(shí)別為異常網(wǎng)絡(luò)互聯(lián)流量。5.根據(jù)權(quán)利要求1或2所述識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的方法,其特征在于,所述方法還包括: 在識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量后,記錄異常訪(fǎng)問(wèn)用戶(hù)的互聯(lián)網(wǎng)協(xié)議IP地址和訪(fǎng)問(wèn)時(shí)間。6.一種識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的裝置,其特征在于,所述裝置包括:建立模塊、第一處理模塊和識(shí)別模塊;其中, 所述建立模塊,用于在核心路由器上針對(duì)指定的下行接口建立網(wǎng)絡(luò)會(huì)話(huà)記錄; 所述第一處理模塊,用于確認(rèn)接收的報(bào)文為可疑報(bào)文時(shí),構(gòu)建探測(cè)報(bào)文,并將所述探測(cè)報(bào)文在所述指定的下行接口上發(fā)送至可疑報(bào)文的發(fā)送方; 所述識(shí)別模塊,用于接收可疑報(bào)文的發(fā)送方根據(jù)所述探測(cè)報(bào)文發(fā)送的網(wǎng)絡(luò)請(qǐng)求報(bào)文,并根據(jù)所述網(wǎng)絡(luò)請(qǐng)求報(bào)文識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量。7.根據(jù)權(quán)利要求6所述識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的裝置,其特征在于,所述裝置還包括:第二處理模塊,用于在所述指定的下行接口上接收?qǐng)?bào)文時(shí)檢查已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄,確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息是否匹配; 相應(yīng)的,所述建立模塊,還用于在所述第二處理模塊確認(rèn)所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配時(shí),新建所述報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄; 其中,所述報(bào)文的信息與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不匹配,包括:所述報(bào)文的中的源地址、目的地址、源端口號(hào)、目的端口號(hào)、接收?qǐng)?bào)文的入接口和接收?qǐng)?bào)文的時(shí)間戳與已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄信息不一致。8.根據(jù)權(quán)利要求6或7所述識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的裝置,其特征在于,所述第一處理模塊,具體用于在所述報(bào)文的入接口為所述指定的下行接口時(shí),確認(rèn)所述報(bào)文為可疑報(bào)文。9.根據(jù)權(quán)利要求6或7所述識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的裝置,其特征在于,所述識(shí)別模塊,具體用于在已經(jīng)建立的網(wǎng)絡(luò)會(huì)話(huà)記錄中不存在與所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄信息匹配的信息、或所述網(wǎng)絡(luò)請(qǐng)求報(bào)文的入接口不是所述指定的下行接口、或所述網(wǎng)絡(luò)請(qǐng)求報(bào)文不包括可疑報(bào)文的網(wǎng)絡(luò)會(huì)話(huà)記錄所關(guān)聯(lián)的標(biāo)識(shí)所述可疑報(bào)文的數(shù)據(jù)特征時(shí),識(shí)別為異常網(wǎng)絡(luò)互聯(lián)流量。10.根據(jù)權(quán)利要求6或7所述識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量的裝置,其特征在于,所述裝置還包括:記錄模塊,用于在識(shí)別異常網(wǎng)絡(luò)互聯(lián)流量后,記錄異常訪(fǎng)問(wèn)用戶(hù)的IP地址和訪(fǎng)問(wèn)時(shí)間。
      【文檔編號(hào)】H04L29/06GK105827470SQ201510001119
      【公開(kāi)日】2016年8月3日
      【申請(qǐng)日】2015年1月4日
      【發(fā)明人】龔純
      【申請(qǐng)人】中國(guó)移動(dòng)通信集團(tuán)江西有限公司
      網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1