譚暉, 廖振松, 林文愷, 李路艷

(1 中國(guó)移動(dòng)通信集團(tuán)湖北有限公司，武漢 430023；2 深圳市博瑞得科技有限公司，深圳 518000）

1 引言

隨著4G用戶的快速增長(zhǎng)和熱點(diǎn)應(yīng)用的不斷演變，通過利用網(wǎng)絡(luò)漏洞和設(shè)備處理機(jī)制缺陷的流量欺詐現(xiàn)象時(shí)有發(fā)生。核心網(wǎng)側(cè)設(shè)備，盡管也有計(jì)費(fèi)策略，然而，并不能完全有效識(shí)別和攔截流量欺詐，特別是一些新型的欺詐行為，不僅難以發(fā)現(xiàn)和抑制，同時(shí)存在從發(fā)現(xiàn)到抑制措施的實(shí)施周期較長(zhǎng)的問題。網(wǎng)絡(luò)中運(yùn)行的這些異常流量對(duì)運(yùn)營(yíng)商帶來了損失，給企業(yè)的業(yè)務(wù)發(fā)展帶來影響，降低了客戶感知，也讓企業(yè)形象和聲譽(yù)受損。

基于統(tǒng)一DPI（深度分組數(shù)據(jù)檢測(cè)）的流量欺詐識(shí)別系統(tǒng)，是基于中國(guó)移動(dòng)通信集團(tuán)湖北有限公司省一干項(xiàng)目統(tǒng)一DPI框架進(jìn)行改造，即通過探測(cè)S1-U/S11接口，根據(jù)規(guī)則模型識(shí)別涉嫌利用計(jì)費(fèi)漏洞產(chǎn)生的欺詐流量，開展進(jìn)一步分析處理，相關(guān)的工作主要包含用戶面DPI處理設(shè)備（SE-X15G、SE-X10G）的改造、數(shù)據(jù)合成服務(wù)器的改造、新增話單處理及分析服務(wù)器、以及應(yīng)用服務(wù)器，以及計(jì)費(fèi)話單接口服務(wù)器。

系統(tǒng)建設(shè)中涉及到一干選型DPI設(shè)備，對(duì)現(xiàn)網(wǎng)中的用戶面DPI處理設(shè)備，進(jìn)行軟件改造升級(jí)，實(shí)現(xiàn)欺詐流量識(shí)別所需的深度報(bào)文解析功能。新增應(yīng)用分析服務(wù)器，主要實(shí)現(xiàn)應(yīng)用分析展示功能。同時(shí)，新增接口服務(wù)器，主要實(shí)現(xiàn)與計(jì)費(fèi)系統(tǒng)的對(duì)接，以SFTP方式傳輸。

基于DPI深度探測(cè)的流量欺詐識(shí)別分析系統(tǒng)，建設(shè)的依據(jù)和原則：

（1）易擴(kuò)展性原則：支持隨著欺詐流量的業(yè)務(wù)模型演進(jìn)時(shí)，系統(tǒng)具備有良好的可擴(kuò)展性。

（2）先進(jìn)性原則：符合當(dāng)代信息技術(shù)發(fā)展形勢(shì)，滿足未來各種應(yīng)用系統(tǒng)要求，提供統(tǒng)一平臺(tái)應(yīng)用；對(duì)平臺(tái)軟件選擇必須具備先進(jìn)性，以及提供針對(duì)各種已有數(shù)據(jù)源的接口支持。

（3）兼容性原則：系統(tǒng)要求是可兼容系統(tǒng)，能與其它信令監(jiān)測(cè)系統(tǒng)兼容，便于多接口數(shù)據(jù)源融合。

（4）開放性原則：按照三層構(gòu)架開放原則，在集團(tuán)統(tǒng)一DPI的框架構(gòu)上進(jìn)行擴(kuò)展分析，同時(shí)系統(tǒng)產(chǎn)生的話單和計(jì)費(fèi)系統(tǒng)對(duì)接。

（5）同步性原則：系統(tǒng)需要接入NTP服務(wù)器，實(shí)現(xiàn)離線計(jì)費(fèi)話單的時(shí)間一致性同步要求。

2 流量欺詐識(shí)別系統(tǒng)的技術(shù)方案

2.1 基于統(tǒng)一DPI系統(tǒng)的改造

基于統(tǒng)一DPI的流量欺詐識(shí)別系統(tǒng)，需要對(duì)現(xiàn)有DPI設(shè)備進(jìn)行改造，具體的改造內(nèi)容及目的如表1所示。

表1 對(duì)現(xiàn)網(wǎng)DPI系統(tǒng)的改造

2.2 流量欺詐識(shí)別流程

基于DPI的流量欺詐識(shí)別分析系統(tǒng)的數(shù)據(jù)流向圖和處理流程圖分別如圖1、2所示。

圖1 數(shù)據(jù)基于DPI的流量欺詐識(shí)別分析系統(tǒng)的數(shù)據(jù)流向圖

統(tǒng)一DPI系統(tǒng)采集S1-U/S11接口，對(duì)每臺(tái)用戶面處理DPI設(shè)備進(jìn)行軟件擴(kuò)容改造。經(jīng)改造升級(jí)后統(tǒng)一DPI，輸入數(shù)據(jù)不變，即通過匯聚分流設(shè)備接入用戶面原始碼流。輸出數(shù)據(jù)調(diào)整為通過組網(wǎng)交換機(jī)，保持向原DPI系統(tǒng)的數(shù)據(jù)合成層輸出擴(kuò)展字段后的xDR話單記錄，以及原始碼流。

圖2 基于DPI的流量欺詐識(shí)別分析系統(tǒng)的數(shù)據(jù)處理流程圖

數(shù)據(jù)合成服務(wù)器通過軟件改造，接收來自DPI設(shè)備的xDR話單記錄和原始碼流，提供數(shù)據(jù)緩存。同時(shí)向流量欺詐識(shí)別分析系統(tǒng)中的話單分析與處理服務(wù)器轉(zhuǎn)發(fā)多HOST、多X-ONLINE-HOST的用戶面XDR，以及轉(zhuǎn)發(fā)改造后的DNS XDR文件。

通過新增的話單分析與處理服務(wù)器，組建負(fù)載均衡集群，接收來自數(shù)據(jù)合成服務(wù)器上報(bào)的話單文件，并根據(jù)DNS話單記錄收集免費(fèi)域名對(duì)應(yīng)的IP地址池，對(duì)DNS與HOST建立關(guān)聯(lián)；根據(jù)用戶面話單激勵(lì)對(duì)Hostname不規(guī)范、語法不規(guī)則、非標(biāo)準(zhǔn)的識(shí)別判斷，對(duì)滿足條件的XDR進(jìn)行欺詐判斷；最終按照計(jì)費(fèi)側(cè)要求，生成離線計(jì)費(fèi)話單；同時(shí)提供規(guī)則庫(kù)的存儲(chǔ)與管理，包括規(guī)則的添加、更改、刪除；提供欺詐流量話單、計(jì)費(fèi)生成話單的長(zhǎng)期存儲(chǔ)，滿足應(yīng)用層的查詢與統(tǒng)計(jì)分析。

通過新增接口服務(wù)器，接收欺詐流量話單，向計(jì)費(fèi)中心輸出滿足格式的欺詐計(jì)費(fèi)話單。

通過新增應(yīng)用服務(wù)器，實(shí)現(xiàn)相關(guān)應(yīng)用分析展現(xiàn)。

2.3 欺詐識(shí)別的計(jì)費(fèi)漏洞規(guī)則

根據(jù)GW設(shè)備計(jì)費(fèi)策略，提供若干種場(chǎng)景各廠家設(shè)備是否存在計(jì)費(fèi)漏洞情況，相關(guān)情形描述如表2所示。

2.4 數(shù)據(jù)接口

2.4.1 計(jì)費(fèi)中心接口

基于統(tǒng)一DPI的流量欺詐識(shí)別系統(tǒng)涉及與計(jì)費(fèi)中心的對(duì)接，滿足離線計(jì)費(fèi)流程，給計(jì)費(fèi)中心提供計(jì)費(fèi)參考。系統(tǒng)與計(jì)費(fèi)中心的接口協(xié)議，采用基于TCP/IP的SFTP協(xié)議。免欺詐流量話單的生成周期，按準(zhǔn)實(shí)時(shí)粒度，建議按5 min、15 min粒度。系統(tǒng)的接口規(guī)范，即話單的流量清單表結(jié)構(gòu)，應(yīng)滿足離線計(jì)費(fèi)基本要求，與計(jì)費(fèi)中心協(xié)商對(duì)接。數(shù)據(jù)話單接口格式，以及具體推送方案，按照和計(jì)費(fèi)中心協(xié)商進(jìn)行詳細(xì)對(duì)接。

2.4.2 數(shù)據(jù)合成服務(wù)器接口

基于統(tǒng)一DPI的流量欺詐識(shí)別系統(tǒng)涉及與統(tǒng)一DPI系統(tǒng)的數(shù)據(jù)合成服務(wù)器接口。話單分析與處理服務(wù)器與數(shù)據(jù)合成服務(wù)器在同一個(gè)機(jī)房，通過局域網(wǎng)互聯(lián)互通。系統(tǒng)與數(shù)據(jù)合成服務(wù)器接口，可采用內(nèi)部Socket或SDTP方式，進(jìn)行實(shí)時(shí)接口轉(zhuǎn)發(fā)。

2.4.3 時(shí)間同步

基于統(tǒng)一DPI的流量欺詐識(shí)別系統(tǒng)，具有嚴(yán)格的時(shí)間同步要求，具體的時(shí)間同步性要求如下。

（1）系統(tǒng)通過IP連接，以NTP方式取得時(shí)間信號(hào)。NTP時(shí)鐘源統(tǒng)一從局方NTP服務(wù)器取，以保持時(shí)間的一致性。

（2）系統(tǒng)修改時(shí)間的過程不對(duì)系統(tǒng)產(chǎn)生啟動(dòng)或小啟動(dòng)的影響，不影響業(yè)務(wù)和話單的正常進(jìn)行。

（3）系統(tǒng)時(shí)間同步周期可按運(yùn)營(yíng)者要求設(shè)置為每60 s取一次時(shí)間，或可設(shè)置為按NTP協(xié)議的要求自動(dòng)同步。

3 結(jié)束語

基于統(tǒng)一DPI的流量欺詐識(shí)別系統(tǒng)，建立了集互聯(lián)網(wǎng)、核心網(wǎng)、業(yè)支中心多部門多系統(tǒng)的全局聯(lián)動(dòng)通道，互聯(lián)網(wǎng)欺詐系統(tǒng)的欺詐規(guī)則與核心網(wǎng)GGSN/PGW、WAPGW計(jì)費(fèi)策略關(guān)聯(lián)互補(bǔ)，與業(yè)支中心的計(jì)費(fèi)話單自動(dòng)對(duì)接、關(guān)聯(lián)對(duì)比，輸送補(bǔ)計(jì)費(fèi)話單；通過4G話單一致性核查反饋、免流話單一致性核查反饋，迭代更豐富的欺詐規(guī)則，更精準(zhǔn)的識(shí)別欺詐流量。在解碼庫(kù)方面，系統(tǒng)擁有專有的解碼方式，優(yōu)于普通的DPI解碼庫(kù)，創(chuàng)新性地采用全量HTTP參數(shù)組合解碼機(jī)制，可以實(shí)現(xiàn)多個(gè)HOST，多個(gè)X-ONLINE-HOST，多個(gè)Connect等參數(shù)組合解碼。系統(tǒng)的實(shí)施與應(yīng)用，有效地維護(hù)了公司名譽(yù)和社會(huì)形象，凈化了網(wǎng)絡(luò)環(huán)境，提升客戶服務(wù)水平，避免客戶的不公平待遇，更加牢固的抓緊用戶，促進(jìn)市場(chǎng)競(jìng)爭(zhēng)，有利于改善通信服務(wù)質(zhì)量和推動(dòng)國(guó)民經(jīng)濟(jì)的發(fā)展。

表2 欺詐識(shí)別的計(jì)費(fèi)漏洞規(guī)則

[1] 程園杰. 基于DPI技術(shù)的流量控制系統(tǒng)的設(shè)計(jì)與實(shí)施[D]. 北京：北京郵電大學(xué), 2012.

[2] 杜娟, 蘇擁軍, 侯曉燕. 基于DPI和DFI技術(shù)的網(wǎng)絡(luò)流量檢測(cè)方案研究[J]. 科技信息, 2013(03).

[3] 萬月亮, 朱賀軍, 劉宏志. 流特征的Skype流量識(shí)別[J]. 智能系統(tǒng)學(xué)報(bào), 2010(02).

[4] 張樹壯, 羅浩, 方濱興, 等. 一種面向網(wǎng)絡(luò)安全檢測(cè)的高性能正則表達(dá)式匹配算法[J]. 計(jì)算機(jī)學(xué)報(bào), 2010(10).

[5] 羅平. 網(wǎng)絡(luò)層流量識(shí)別與關(guān)鍵內(nèi)容提取系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].成都：電子科技大學(xué)，2014.

[6] 王程. 網(wǎng)絡(luò)流量識(shí)別分析系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 吉林：吉林大學(xué), 2014.

[7] 王石, 林生.“電商欺詐”行為形成的原因分析與治理[J]. 西部經(jīng)濟(jì)管理論壇, 2016(10).

[8] 唐丹, 曾劍秋, 董豪. 基于雙邊市場(chǎng)理論的電信運(yùn)營(yíng)企業(yè)流量經(jīng)營(yíng)策略比較[J]. 統(tǒng)計(jì)與決策, 2016(20).

[9] 陳景航, 余雪櫻, 楊庭勛.“非4G客戶”不轉(zhuǎn)4G網(wǎng)絡(luò)的原因分析[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化, 2016(07).