譚暉, 廖振松, 林文愷, 李路艷

(1 中國移動通信集團湖北有限公司，武漢 430023；2 深圳市博瑞得科技有限公司，深圳 518000）

1 引言

隨著4G用戶的快速增長和熱點應用的不斷演變，通過利用網(wǎng)絡漏洞和設備處理機制缺陷的流量欺詐現(xiàn)象時有發(fā)生。核心網(wǎng)側(cè)設備，盡管也有計費策略，然而，并不能完全有效識別和攔截流量欺詐，特別是一些新型的欺詐行為，不僅難以發(fā)現(xiàn)和抑制，同時存在從發(fā)現(xiàn)到抑制措施的實施周期較長的問題。網(wǎng)絡中運行的這些異常流量對運營商帶來了損失，給企業(yè)的業(yè)務發(fā)展帶來影響，降低了客戶感知，也讓企業(yè)形象和聲譽受損。

基于統(tǒng)一DPI（深度分組數(shù)據(jù)檢測）的流量欺詐識別系統(tǒng)，是基于中國移動通信集團湖北有限公司省一干項目統(tǒng)一DPI框架進行改造，即通過探測S1-U/S11接口，根據(jù)規(guī)則模型識別涉嫌利用計費漏洞產(chǎn)生的欺詐流量，開展進一步分析處理，相關的工作主要包含用戶面DPI處理設備（SE-X15G、SE-X10G）的改造、數(shù)據(jù)合成服務器的改造、新增話單處理及分析服務器、以及應用服務器，以及計費話單接口服務器。

系統(tǒng)建設中涉及到一干選型DPI設備，對現(xiàn)網(wǎng)中的用戶面DPI處理設備，進行軟件改造升級，實現(xiàn)欺詐流量識別所需的深度報文解析功能。新增應用分析服務器，主要實現(xiàn)應用分析展示功能。同時，新增接口服務器，主要實現(xiàn)與計費系統(tǒng)的對接，以SFTP方式傳輸。

基于DPI深度探測的流量欺詐識別分析系統(tǒng)，建設的依據(jù)和原則：

（1）易擴展性原則：支持隨著欺詐流量的業(yè)務模型演進時，系統(tǒng)具備有良好的可擴展性。

（2）先進性原則：符合當代信息技術發(fā)展形勢，滿足未來各種應用系統(tǒng)要求，提供統(tǒng)一平臺應用；對平臺軟件選擇必須具備先進性，以及提供針對各種已有數(shù)據(jù)源的接口支持。

（3）兼容性原則：系統(tǒng)要求是可兼容系統(tǒng)，能與其它信令監(jiān)測系統(tǒng)兼容，便于多接口數(shù)據(jù)源融合。

（4）開放性原則：按照三層構(gòu)架開放原則，在集團統(tǒng)一DPI的框架構(gòu)上進行擴展分析，同時系統(tǒng)產(chǎn)生的話單和計費系統(tǒng)對接。

（5）同步性原則：系統(tǒng)需要接入NTP服務器，實現(xiàn)離線計費話單的時間一致性同步要求。

2 流量欺詐識別系統(tǒng)的技術方案

2.1 基于統(tǒng)一DPI系統(tǒng)的改造

基于統(tǒng)一DPI的流量欺詐識別系統(tǒng)，需要對現(xiàn)有DPI設備進行改造，具體的改造內(nèi)容及目的如表1所示。

表1 對現(xiàn)網(wǎng)DPI系統(tǒng)的改造

2.2 流量欺詐識別流程

基于DPI的流量欺詐識別分析系統(tǒng)的數(shù)據(jù)流向圖和處理流程圖分別如圖1、2所示。

圖1 數(shù)據(jù)基于DPI的流量欺詐識別分析系統(tǒng)的數(shù)據(jù)流向圖

統(tǒng)一DPI系統(tǒng)采集S1-U/S11接口，對每臺用戶面處理DPI設備進行軟件擴容改造。經(jīng)改造升級后統(tǒng)一DPI，輸入數(shù)據(jù)不變，即通過匯聚分流設備接入用戶面原始碼流。輸出數(shù)據(jù)調(diào)整為通過組網(wǎng)交換機，保持向原DPI系統(tǒng)的數(shù)據(jù)合成層輸出擴展字段后的xDR話單記錄，以及原始碼流。

圖2 基于DPI的流量欺詐識別分析系統(tǒng)的數(shù)據(jù)處理流程圖

數(shù)據(jù)合成服務器通過軟件改造，接收來自DPI設備的xDR話單記錄和原始碼流，提供數(shù)據(jù)緩存。同時向流量欺詐識別分析系統(tǒng)中的話單分析與處理服務器轉(zhuǎn)發(fā)多HOST、多X-ONLINE-HOST的用戶面XDR，以及轉(zhuǎn)發(fā)改造后的DNS XDR文件。

通過新增的話單分析與處理服務器，組建負載均衡集群，接收來自數(shù)據(jù)合成服務器上報的話單文件，并根據(jù)DNS話單記錄收集免費域名對應的IP地址池，對DNS與HOST建立關聯(lián)；根據(jù)用戶面話單激勵對Hostname不規(guī)范、語法不規(guī)則、非標準的識別判斷，對滿足條件的XDR進行欺詐判斷；最終按照計費側(cè)要求，生成離線計費話單；同時提供規(guī)則庫的存儲與管理，包括規(guī)則的添加、更改、刪除；提供欺詐流量話單、計費生成話單的長期存儲，滿足應用層的查詢與統(tǒng)計分析。

通過新增接口服務器，接收欺詐流量話單，向計費中心輸出滿足格式的欺詐計費話單。

通過新增應用服務器，實現(xiàn)相關應用分析展現(xiàn)。

2.3 欺詐識別的計費漏洞規(guī)則

根據(jù)GW設備計費策略，提供若干種場景各廠家設備是否存在計費漏洞情況，相關情形描述如表2所示。

2.4 數(shù)據(jù)接口

2.4.1 計費中心接口

基于統(tǒng)一DPI的流量欺詐識別系統(tǒng)涉及與計費中心的對接，滿足離線計費流程，給計費中心提供計費參考。系統(tǒng)與計費中心的接口協(xié)議，采用基于TCP/IP的SFTP協(xié)議。免欺詐流量話單的生成周期，按準實時粒度，建議按5 min、15 min粒度。系統(tǒng)的接口規(guī)范，即話單的流量清單表結(jié)構(gòu)，應滿足離線計費基本要求，與計費中心協(xié)商對接。數(shù)據(jù)話單接口格式，以及具體推送方案，按照和計費中心協(xié)商進行詳細對接。

2.4.2 數(shù)據(jù)合成服務器接口

基于統(tǒng)一DPI的流量欺詐識別系統(tǒng)涉及與統(tǒng)一DPI系統(tǒng)的數(shù)據(jù)合成服務器接口。話單分析與處理服務器與數(shù)據(jù)合成服務器在同一個機房，通過局域網(wǎng)互聯(lián)互通。系統(tǒng)與數(shù)據(jù)合成服務器接口，可采用內(nèi)部Socket或SDTP方式，進行實時接口轉(zhuǎn)發(fā)。

2.4.3 時間同步

基于統(tǒng)一DPI的流量欺詐識別系統(tǒng)，具有嚴格的時間同步要求，具體的時間同步性要求如下。

（1）系統(tǒng)通過IP連接，以NTP方式取得時間信號。NTP時鐘源統(tǒng)一從局方NTP服務器取，以保持時間的一致性。

（2）系統(tǒng)修改時間的過程不對系統(tǒng)產(chǎn)生啟動或小啟動的影響，不影響業(yè)務和話單的正常進行。

（3）系統(tǒng)時間同步周期可按運營者要求設置為每60 s取一次時間，或可設置為按NTP協(xié)議的要求自動同步。

3 結(jié)束語

基于統(tǒng)一DPI的流量欺詐識別系統(tǒng)，建立了集互聯(lián)網(wǎng)、核心網(wǎng)、業(yè)支中心多部門多系統(tǒng)的全局聯(lián)動通道，互聯(lián)網(wǎng)欺詐系統(tǒng)的欺詐規(guī)則與核心網(wǎng)GGSN/PGW、WAPGW計費策略關聯(lián)互補，與業(yè)支中心的計費話單自動對接、關聯(lián)對比，輸送補計費話單；通過4G話單一致性核查反饋、免流話單一致性核查反饋，迭代更豐富的欺詐規(guī)則，更精準的識別欺詐流量。在解碼庫方面，系統(tǒng)擁有專有的解碼方式，優(yōu)于普通的DPI解碼庫，創(chuàng)新性地采用全量HTTP參數(shù)組合解碼機制，可以實現(xiàn)多個HOST，多個X-ONLINE-HOST，多個Connect等參數(shù)組合解碼。系統(tǒng)的實施與應用，有效地維護了公司名譽和社會形象，凈化了網(wǎng)絡環(huán)境，提升客戶服務水平，避免客戶的不公平待遇，更加牢固的抓緊用戶，促進市場競爭，有利于改善通信服務質(zhì)量和推動國民經(jīng)濟的發(fā)展。

表2 欺詐識別的計費漏洞規(guī)則

[1] 程園杰. 基于DPI技術的流量控制系統(tǒng)的設計與實施[D]. 北京：北京郵電大學, 2012.

[2] 杜娟, 蘇擁軍, 侯曉燕. 基于DPI和DFI技術的網(wǎng)絡流量檢測方案研究[J]. 科技信息, 2013(03).

[3] 萬月亮, 朱賀軍, 劉宏志. 流特征的Skype流量識別[J]. 智能系統(tǒng)學報, 2010(02).

[4] 張樹壯, 羅浩, 方濱興, 等. 一種面向網(wǎng)絡安全檢測的高性能正則表達式匹配算法[J]. 計算機學報, 2010(10).

[5] 羅平. 網(wǎng)絡層流量識別與關鍵內(nèi)容提取系統(tǒng)設計與實現(xiàn)[D].成都：電子科技大學，2014.

[6] 王程. 網(wǎng)絡流量識別分析系統(tǒng)的設計與實現(xiàn)[D]. 吉林：吉林大學, 2014.

[7] 王石, 林生.“電商欺詐”行為形成的原因分析與治理[J]. 西部經(jīng)濟管理論壇, 2016(10).

[8] 唐丹, 曾劍秋, 董豪. 基于雙邊市場理論的電信運營企業(yè)流量經(jīng)營策略比較[J]. 統(tǒng)計與決策, 2016(20).

[9] 陳景航, 余雪櫻, 楊庭勛.“非4G客戶”不轉(zhuǎn)4G網(wǎng)絡的原因分析[J]. 電信工程技術與標準化, 2016(07).