[发明专利]基于虚拟专用网络的共享上网检测方法及装置

说明书

本发明公开了一种基于虚拟专用网络的共享上网检测方法及装置，包括：获取在网用户对应的IP报文，提取出该IP报文对应的五元组信息，并检测在网用户发起的VPN隧道以及识别出VPN隧道流，根据所述五元组信息建立VPN隧道流对应的流上下文；若根据流上下文检测到预设时间段内活跃VPN隧道流的数量大于或等于预设的阈值，或者在所述预设时间段内同时存在所述VPN隧道流与普通业务数据流时，则确定在网用户存在共享上网行为。本发明解决了现有技术中无法对使用虚拟专用网络来逃避共享上网检测的用户行为进行检测的技术问题，有助于维护电信运营商的运营成本。

技术领域

本发明涉及移动网络通讯技术领域，尤其涉及一种基于虚拟专用网络的共享上网检测方法及装置。

背景技术

在分组域移动通讯网络中，电信运营商通常在网关设备或独立的网络流量分析设备中，对在网用户共享上网行为进行检测。而移动数据上网是绝大多数移动终端的基本功能之一，随着3G/4G网速的提高，个人无线热点、USB(Universal Serial Bus，通用串行总线)网络共享、蓝牙网络共享等功能逐渐普及，用户使用这些功能将3G/4G移动网络连接共享给其它终端设备一起使用，从而节省多个终端的上网费用。

共享上网的普及对电信运营商的潜在收益和运营成本存在较大的负面影响，共享上网还会打消原本可能办理移动数据上网业务的用户的积极性，同时共享上网还会占用比正常上网更多的带宽资源和并发流资源，会增加电信运营商在无线控制器、核心网网关、交换机、路由器、防火墙等相关设备上的额外的运维管理成本，以及增加额外投资，因此，电信运营商普遍对用户共享上网持否定态度。

目前，有一些新兴的电信运营商，认为共享上网是一种大势所趋，应该顺势而为之，这些新兴运营商将共享上网包装成一种新型业务，以赚取额外的费用。典型地，运营商推出一种价格较低的基本上网套餐，以及一种价格较高的高级上网套餐，基本上网套餐仅允许用户使用一部终端设备通过移动数据网络上网；而高级上网套餐则允许用户使用一部终端设备通过移动数据网络上网的同时，还允许该终端设备通过个人无线热点、USB网络共享、蓝牙网络共享等功能分享移动网络给其它终端设备、台式电脑或笔记本共享上网。这些电信运营商必须通过技术手段，检测用户共享上网行为，以令购买基本上网套餐的用户，不能使用多终端设备共享上网。当运营商检测出基本上网套餐用户的共享上网行为后，可以通过短信通知用户选择高级上网套餐，也可以通过HTTP(Hypertext Transfer Protocol，超文本传输协议)重定向页面建议用户选择高级上网套餐，还可以通过限速、限量、阻断、干扰等手段限制用户共享上网行为。

当高级上网套餐的价格远高于基本上网套餐的价格时，用户自然地倾向于仅仅购买基本上网套餐来进行共享上网，用户可能采用各种技术手段逃避电信运营商对其共享上网行为的检测。例如，将通过移动数据网络上网的终端称为主终端或主设备，将通过主终端共享上网的终端称为从属终端或从终端，在用户共享上网场景中，主终端为一个，从终端为一个或多个；一般情况下，用户很难逃避电信运营商在网络设备上实施的共享上网检测，但用户通常会尝试通过修改TTL(Time To Live，存活时间)或Hop Limit(指定在丢弃IPv6报文前可传送的最大路由跳数)的方式以逃避检测，但仅仅修改TTL或Hop Limit并不能完全逃避检测，因为共享上网检测的手段多种多样，TTL或Hop Limit仅仅是一个有效但却并非必需的特征之一。

随着网络共享技术的发展，有些在网用户通过采用VPN(Virtual PrivateNetwork，虚拟专用网)技术逃避共享上网检测，由于大量并发的流量都被封装到VPN隧道之中，原来很有效的共享上网特征都被VPN隧道的加密性及封装性所掩蔽，现有共享上网检测技术基本失效。

发明内容

本发明的主要目的在于提出一种基于虚拟专用网络的共享上网检测方法及装置，旨在解决现有技术中无法对使用虚拟专用网络来逃避共享上网检测的用户行为进行检测的技术问题。

为实现上述目的，本发明提供一种基于虚拟专用网络的共享上网检测方法，包括：