專利名稱:檢測影子用戶的數目的方法和裝置及網絡設備的制作方法
技術領域:
本發明實施例涉及通信技術,尤其涉及檢測影子用戶的數目的方法和裝置及網絡 設備。
背景技術:
802. Ix認證采用基于端口的網絡存取控制,為局域網用戶提供點對點式的安全 接入。以電腦接入為例(也可以是其他接入終端),一個簡單的示意如圖1所示,安裝有 802. Ix認證客戶端軟件的個人電腦(Personal Computer,簡稱PC)將提交相關的認證信息 給交換機進行認證,交換機將相關認證信息轉交給認證服務器進行確認。如果認證通過,交 換機將相關的端口打開,則連接此端口的電腦就可以使用網絡了。在802. Ix中,只要認證通過了,交換機就會記錄認證成功電腦的介質訪問控制 (Media Access Control,簡稱MAC)地址。只要是該MAC地址的數據,交換機就會認為是經 過認證的電腦發送出來的,因此會放行這些數據。如圖2所示,如果有人采用在認證的交換機端口下增加一個集線器(HUB),把兩臺 電腦連接在HUB上。PC a安裝有802. Ix認證客戶端,認證通過。而PC b僅僅通過把MAC 地址修改成和PC a的MAC地址相同,就可以不用認證而非法使用網絡。針對圖2中所示的缺陷,現有技術中比較普遍采用的解決辦法就是在交換機的端 口上,對認證過的電腦的因特網協議(Internet Protocol,簡稱IP)地址,MAC地址以及端 口綁定在一起。而不是簡單通過MAC地址來決定數據是否放行。如圖3所示給出了使用端口、IP、MAC三元素綁定的方案,此時PC b由于使用的IP 地址與PC a不同,因此無法使用網絡。但是三元素綁定方案還是存在一個漏洞,如果PC b 將IP和MAC地址修改為與PC a的IP和MAC地址相同,則PC b還是可以通過不認證就可 以使用網絡,如圖4所示。從圖4可以看出,當接入終端PC a通過認證客戶端軟件發出認證請求時,交換機 轉發相應信息,并提交認證服務器確認,如果通過認證,交換機就打開相應端口(PORT),允 許滿足(IP+MAC+P0RT)三元組認證條件的報文通過。此時如果有另一接入終端PC b通過 HUB與PC a連接在一起,并且仿冒PC a的IP地址和MAC地址,那么PC b也可以滿足三元 組(IP+MAC+P0RT)的認證條件,因此PC b此時不需要經過認證便可以訪問網絡資源。這樣, 網絡中就出現了仿冒IP地址和MAC地址的終端可以不認證就訪問網絡的問題。影子用戶就是指非法用戶企圖不通過身份認證,而直接采用合法用戶的IP地址 和MAC地址的用戶。如圖4中的PC b即為影子用戶。如果存在影子用戶,那么只要被仿冒 的用戶上線,那么影子用戶無需認證即可使用網絡了。當合法用戶存在一個或多個影子用戶時,服務器卻只能全部當作一個用戶來處 理,這樣,往往造成了網絡流量的大量流失,并造成了認證和計費的漏洞。而目前,并沒有檢 測影子用戶數目的方法,也就是說無法得知存在多少個影子用戶,因此造成了無法量化出 業務損失,比如,無法得到由各影子用戶造成的網絡流量的具體流失數量、網費損失的具體數量等,從而大大降低了業務性能。
發明內容
本發明實施例提供檢測影子用戶的數目的方法和裝置及網絡設備,能夠檢測出影 子用戶的數目。本發明實施例提供的檢測影子用戶的數目的方法,包括A、接收與認證通過的用戶具有相同的用戶認證特征的報文;B、提取出所述報文的標識字段;C、對于接收到的每一個報文,計算該報文與指定報文的標識字段的差值;如果所 述差值在預設的異常范圍內,則為該報文對應一個新增用戶;D、確定所有報文對應的新增用戶的個數值;E、將最終確定的新增用戶的個數值確定為影子用戶的數目。步驟A中,所述用戶認證特征包括源因特網協議IP地址和/或源介質訪問控制 MAC地址。在預先劃分的多個采樣周期中分別執行所述步驟A至步驟D ;在步驟D與步驟E之間,進一步包括從所有采樣周期確定的所有新增用戶的個數 值中,確定出現次數最多的新增用戶的個數值。所述指定報文為已經接收到的第η個報文,η為自然數;或者,已經接收到的m個 報文中的每一個報文,m為大于1的自然數。所述差值為所述每一個報文的標識字段的值減去所述指定報文的標識字段的 值;步驟C中,所述如果所述差值在預設的異常范圍內包括如果所述差值大于預先 設置的允許丟包閾值;或者,如果所述差值小于0。所述步驟C包括為設定時間段內接收到的第一個報文設置一個對應的序列,將所述第一個報文中 的標識字段值放入該對應的序列中;對于所述設定時間段內接收到的第k個報文,k為大于 1的自然數,分別計算該第k個報文中的標識字段的值與所述設定時間段內已有的各序列 中各標識字段的值之間的差值;對于所述第k個報文,如果所有差值都在預設的異常范圍 內,則為所述第k個報文新增一個對應的序列,將所述第k個報文中的標識字段值放入該新 增的序列中,如果任一差值不在預設的異常范圍內,則將所述第k個報文中的標識字段值 放入距離最近的序列中,該距離最近的序列為計算出不在預設的異常范圍內的最小差值所 使用的序列;所述新增用戶的個數值為新增序列的個數值。步驟A中,所述接收與認證通過的用戶具有相同的用戶認證特征的報文包括持續接收所有與認證通過的用戶具有相同的用戶認證特征的報文;或者,每隔設定時間接收預設數量的連續的與認證通過的用戶具有相同的用戶認證特 征的報文。本發明實施例提供的檢測影子用戶的數目的裝置,包括
接收模塊,用于接收與認證通過的用戶具有相同的用戶認證特征的報文;提取模塊,用于提取出所述報文的標識字段;計算模塊,用于對接收到的每一個報文,計算該報文與指定報文的標識字段的差 值;處理模塊,用于對接收到的每一個報文,如果所述差值在預設的異常范圍內,則為 該報文對應一個新增用戶;確定模塊,用于確定所有報文對應的新增用戶的個數值;輸出模塊,用于將最終確定的新增用戶的個數值輸出為影子用戶的數目。所述接收模塊包括第一接收子模塊,用于在預先劃分的多個采樣周期中的每一個 采樣周期開始時,進行接收初始化,然后接收與認證通過的用戶具有相同的用戶認證特征 的報文;所述確定模塊包括第一確定子模塊,用于在所述每一個采樣周期結束時,確定本采樣周期內所有報 文對應的新增用戶的個數值;第二確定子模塊,用于從所有采樣周期確定的所有新增用戶的個數值中,確定出 現次數最多的新增用戶的個數值。所述計算模塊包括第一計算子模塊,用于對接收到的每一個報文,計算該報文與已經接收到的第η 個報文的標識字段的差值,η為自然數;或者,第二計算子模塊,用于對接收到的每一個報文,計算該報文與已經接收到的m個 報文中的每一個報文的標識字段的差值,m為大于1的自然數。所述計算模塊包括第三計算子模塊,用于將每一個報文的標識字段的值減去所述 指定報文的標識字段的值;所述處理模塊包括第一判斷子模塊,用于判斷所述差值是否大于預先設置的允許丟包閾值,如果是, 則所述差值在預設的異常范圍內;或者,第二判斷子模塊,用于判斷所述差值是否小于0如果是,則所述差值在預設的異 常范圍內。所述計算模塊包括第四計算子模塊,用于為設定時間段內接收到的第一個報文設 置一個對應的序列,將所述第一個報文中的標識字段值放入該對應的序列中;對于所述設 定時間段內接收到的第k個報文,k為大于1的自然數,分別計算該第k個報文中的標識字 段的值與所述設定時間段內已有的各序列中各標識字段的值之間的差值;所述處理模塊包括第一序列處理子模塊,用于對于所述第k個報文,如果所有差值都在預設的異常 范圍內,則為所述第k個報文新增一個對應的序列,將所述第k個報文中的標識字段值放入 該新增的序列中;第二序列處理子模塊,用于對于所述第k個報文,如果任一差值不在預設的異常范圍內,則將所述第k個報文中的標識字段值放入距離最近的序列中,該距離最近的序列 為計算出不在預設的異常范圍內的最小差值所使用的序列;所述確定模塊包括第三確定子模塊,用于將新增序列的個數值確定為所述新增用 戶的個數值。所述接收模塊包括第二接收子模塊,用于持續接收所有與認證通過的用戶具有相同的用戶認證特征 的報文;或者,第三接收子模塊,用于每隔設定時間接收預設數量的連續的與認證通過的用戶具 有相同的用戶認證特征的報文。本發明實施例提供的網絡設備包括本發明實施例提供的任意一種檢測影子用戶 的數目的裝置。本發明實施例提出的檢測影子用戶的數目的方法和裝置及網絡設備,利用了影子 用戶無法構造出符合合法用戶的標識字段變化規律的報文的特點,對于具有相同用戶認證 特征的所有報文,分析在一定時間段內接收到的每個報文中標識字段值與其他報文標識字 段值的差值是否都在預設的異常范圍內,也就是說分析每個報文是否不符合已有用戶主機 發出的報文中標識字段應有的變化規律,從而確定當前接收的報文與先接收的報文是否為 同一用戶主機發出的,并記錄不同用戶的個數,從而確定出影子用戶的數目,進而能夠根據 確定出的影子用戶的數目量化出業務損失,比如,得到由各影子用戶造成的網絡流量的具 體流失數量、網費損失的具體數量等,從而大大提高了業務性能。進一步地,本發明實施例提出的檢測影子用戶的數目的方法和裝置及網絡設備的 一種實現中,只需要利用減法運算即可檢測出影子用戶的數目,而無需采用諸如統計學算 法的復雜算法,因此,實現簡單。進一步地,本發明實施例提出的檢測影子用戶的數目的方法和裝置及網絡設備, 無需為了檢測影子用戶數目而產生并發送額外的檢測報文,只需在能夠接收到報文的設備 內部進行處理即可,從而不會給為了帶來冗余的數據流,不會影響正常的網絡使用。進一步地,由于IP協議是網絡傳輸的基礎協議,無論影子用戶與合法用戶使用何 種共享上網方式,都會用到IP協議,因此,本發明實施例提出的檢測影子用戶的數目的方 法和裝置及網絡設備利用IP報文中的標識字段進行檢測,則大大增加了本發明實施例的 應用范圍。
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現 有技術描述中所需要使用的附圖作一簡單地介紹,顯而易見地,下面描述中的附圖是本發 明的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根 據這些附圖獲得其他的附圖。圖1為802. Ix認證示意圖;圖2為非法用戶偽裝合法用戶示意圖一;圖3為非法用戶偽裝合法用戶示意圖二 ;
圖4為影子用戶偽裝合法用戶示意圖;圖5是本發明實施例提出的檢測影子用戶的數目的基本流程圖;圖6是本發明一個優選實施例中檢測影子用戶的數目的流程圖;圖7是本發明實施例提出的檢測影子用戶的數目的裝置的基本結構圖;圖8是本發明實施例中檢測影子用戶數目的裝置一種可選結構圖;圖9是本發明實施例中檢測影子用戶數目的裝置另一種可選結構圖;圖10是本發明實施例中檢測影子用戶數目的裝置又一種可選結構圖;圖11是本發明實施例中檢測影子用戶數目的裝置再一種可選結構圖。
具體實施例方式為使本發明實施例的目的、技術方案和優點更加清楚,下面將結合本發明實施例 中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例是 本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員 在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。本發明實施例提出了一種檢測影子用戶的數目的方法,參見圖5,該方法包括步驟501 接收與認證通過的用戶具有相同的用戶認證特征的報文。本步驟的具體實現方法可以為持續接收所有與認證通過的用戶具有相同的用戶 認證特征的報文;或者,也可以是每隔設定時間接收預設數量的連續的與認證通過的用戶 具有相同的用戶認證特征的報文。本步驟中,用戶認證特征可以包括源IP地址和/或源MAC地址。步驟502 提取出所述報文的標識字段。步驟503 對于接收到的每一個報文,計算該報文與指定報文的標識字段的差值, 如果所述差值在預設的異常范圍內,則為該報文對應一個新增用戶。本步驟中,在計算一個報文與指定報文的標識字段的差值時,該指定報文可以是 已經接收到的第η個報文,η為自然數,也就是說,計算一個報文與之前接收到的任意一個 報文的標識字段的差值,較佳地,可以是與上一個或者上上個報文的差值,然后利用該一個 差值判斷差值是否在預設的異常范圍內;或者,指定報文也可以是已經接收到的m個報文中的每一個報文,m為大于1的自然數, 也就是說,計算一個報文與之前接收到的任意個數的報文的標識字段的差值,較佳地,可以 是與之前已接收到的每一個報文的標識字段的差值,然后利用該任意個數的差值判斷該任 意個數的差值是否都在預設的異常范圍內。本步驟中的差值是每一個報文的標識字段的值減去所述指定報文的標識字段的值。本步驟中,如果差值在預設的異常范圍內具體可以為如果差值大于預先設置的 允許丟包閾值;或者,如果差值小于0。步驟504 確定所有報文對應的新增用戶的個數值。步驟505 將最終確定的新增用戶的個數值確定為影子用戶的數目。影子用戶雖然與合法用戶的IP地址和MAC地址完全相同,但是在不同的用戶主機 中,IP報頭的標識(id)字段是獨立的,標識字段由發送者設定值,在先后發送的IP報文中按照一定的步長遞增。在實際業務中,影子用戶與合法用戶由于各自獨立的上網操作與不 同的數據流量,其發出的報文速率是有差異的,并且,影子用戶與合法用戶的主機發出的報 文的標識字段的初始值與遞增幅度會隨著各自的丟包和分片等各種原因而隨機變化,影子 用戶無法構造出符合合法用戶的標識字段變化規律的報文,來使得該報文的標識字段與合 法用戶的報文的標識字段組合起來正好是合法的標識字段的正常變化規律。而本發明實施 例提出的檢測影子用戶的數目的方法正是利用了上述特點,對于具有相同用戶認證特征的 所有報文,分析在一定時間段內接收到的每個報文中標識字段值與其他報文標識字段值的 差值是否都在預設的異常范圍內,也就是說分析每個報文是否不符合已有用戶主機發出的 報文中標識字段應有的變化規律,從而確定當前接收的報文與先接收的報文是否為同一用 戶主機發出的,并記錄新增用戶的個數,從而確定出影子用戶的數目。在本發明實施例提出的檢測影子用戶的數目的方法中,為了進一步提高檢測的準 確性,可以預先劃分出多個采樣周期,每個采樣周期均執行一次確定該采樣周期內新增用 戶的個數值的處理,這樣,每個采樣周期都能夠確定出影子用戶的數目,將出現次數最多的 影子用戶的數目最終確定為檢測出的影子用戶的數目。另外,在本發明實施例提出的檢測影子用戶的數目的方法中,記錄的新增用戶的 個數可以通過記錄的新增序列的個數來體現。下面以采用上述多個采樣周期的方法并以序列的方式來記錄新增用戶的個數的 方法為例,以及以分別計算一個報文與之前已經接收到的每一個報文的標識字段的差值為 例,詳細說明本發明實施例實現檢測影子用戶的數目的過程。參見圖6,該過程包括以下步 驟步驟600 預先劃分出多個采樣周期。統計學中的“眾數”(Mode),表示在統計分布上具有明顯集中趨勢點的數值,代表 數據的一般水平,簡單的說是一組數據中出現次數最多的數值,叫眾數。基于眾數的原理,為了進一步提高檢測的準確性,本步驟中劃分出多個采樣周期, 以便在后續處理中能夠在每個采樣周期均得到一個影子用戶的數目,也就是說,得到一組 關于影子用戶數目的數據,根據眾數的原理,將出現次數最多的影子用戶的數目最終確定 為檢測出的影子用戶的數目,從而能夠使確定出的影子用戶的數目更加準確。比如,本步驟中,可以劃分出5個采樣周期,每個采樣周期的長度為20秒。步驟601 在用戶認證通過后,開始對每一個采樣周期的計時。步驟602 在每一個采樣周期開始后,接收與認證通過的用戶具有相同的用戶認 證特征的報文。本步驟中,用戶認證特征可以包括源IP地址和/或源MAC地址。在每一個采樣周期中,可以連續接收所有報文,也可以間隔性地接收幾個連續的 報文。因此,本步驟中,接收與認證通過的用戶具有相同的用戶認證特征的報文具體可以包 括持續接收所有與認證通過的用戶具有相同的用戶認證特征的報文;例如,在當前 的采樣周期中,可以將所有與認證通過的用戶具有相同的源IP地址的報文都獲取,以便進 行實時的分析和檢測,這種方式的檢測靈敏度高;或者,
每隔設定時間接收預設數量的連續的與認證通過的用戶具有相同的用戶認證特 征的報文,例如可以每隔4秒獲取10個連續的與認證通過的用戶具有相同的源IP地址的 報文,進行分析和檢測,這種方式可以保證在一定的檢測靈敏度下節省檢測占用的資源。為便于后續描述,假設在當前采樣周期內接收的報文依次為P1,P2,. . .,Pn。步驟603 從接收到的報文中提取出標識字段。為便于后續描述,假設在當前采樣周期內,從依次接收到的報文Pl,P2,. . .,Pn中 分別提取出的標識字段值依次為idl,id2,. . .,idn。步驟604 為當前采樣周期中接收到的第一個報文Pl設置一個對應的初始序列 (記為U1),將從報文Pl中提取的標識字段idl放入該初始序列Ul中。步驟605 對于當前采樣周期中接收到的第k個報文Pk,k為自然數,且2彡k彡n, 分別計算該報文Pk中的標識字段的值與當前采樣周期內已有的各序列中各標識字段值之 間的差值。步驟606:對于第k個報文Pk,判斷計算出的所有差值是否都在預設的異常范圍 內,如果是,則執行步驟607,否則,執行步驟608。在實際的業務實現中,在網絡中丟包是經常發生的情況,因此,可以預先設置一個 允許丟包閾值,小于或等于該允許丟包閾值的差值都認為是丟包引起的差值,也就是說,可 以認為該兩個報文是同一用戶發出的,相反,大于該允許丟包閾值的差值則認為不是丟包 引起的差值,也就是說,可以認為報文是一個新出現的用戶發出的。另外,如果差值小于0,也說明報文中的標識字段值的變化規律不符合正常的遞增 規律,因此,也可以認為報文是一個新出現的用戶發出的。因此,本步驟中,判斷所有差值是否都在預設的異常范圍內具體可以包括判斷所 有差值是否都大于預先設置的允許丟包閾值,如果是,則所有差值都在預設的異常范圍內; 或者,判斷所有差值是否都小于0,如果是,則所有差值都在預設的異常范圍內。步驟607 為報文Pk新增一個對應的序列Uk,將報文Pk中的標識字段idk放入該 對應的序列Uk中,執行步驟609。步驟608 將報文Pk中的標識字段值idk放入已有的距離最近的序列中,該距離 最近的序列為計算出不在預設的異常范圍內的最小差值所使用的序列。舉例說明上述步驟605至步驟608的過程,假如當前的k值為2,也就是說針對接 收到的第二個報文P2,首先,已有序列中已有的標識字段值只有序列Ul中的idl,因此,執 行id2-idl ;如果差值大于預先設置的允許丟包閾值或者小于0,則說明發出報文P2的用戶 主機與發出報文Pl的用戶主機不同,相對于已有的發出Pl的用戶主機來看,新增了一個用 戶主機,為了表示新增了一個用戶主機,為報文P2新增一個序列U2,將id2放入U2中;否 則,說明發出報文P2的用戶主機與發出報文Pl的用戶主機相同,無需新增對應用戶主機的 序列,將id2放入已有序列Ul中。假如當前的k值為3,且如果對應報文P2新增了序列U2,則已有序列中已有的標 識字段值包括序列Ul中的idl和序列U2中的id2,分別執行diff (id3,idl) = id3-idl, 以及 diff(id3,id2) = id3-id2,如果 diff(id3,idl)以及 diff(id3,id2)兩個差值都大 于預先設置的允許丟包閾值或者都小于0,則說明發出報文P3的用戶主機與發出報文Pl和 P2的用戶主機不同,新增一個用戶主機,因此,為報文P3新增一個序列U3,將id3放入U3中;否則,假如diff(id3,id2)小于預先設置的允許丟包閾值,且兩個差值diff(id3,idl) 及diff(id3,id2)中,diff(id3,id2)更小,說明發出報文P3的用戶主機與發出報文P2的 用戶主機應該為同一用戶主機,因此,不新增序列,而是將id3放入距離最近的序列U2中。 以此類推,直至當前采樣周期內的最后一個報文。步驟609:判斷當前的k值是否等于當前采樣周期內接收到的報文的個數n,如果 是,則執行步驟611,否則,執行步驟610。步驟610 :k = k+Ι,返回步驟 605。步驟611 得到當前采樣周期內新增序列的個數值,將新增序列的個數值確定為 當前采樣周期內新增用戶的個數值。執行到本步驟時,則可以得到在當前采樣周期內,對于具體相同用戶認證特征 (如相同源IP地址和源MAC地址)的所有報文,除了合法用戶發送該種報文之外,總共有多 少個新增用戶發來該種報文。步驟612:判斷所有采樣周期是否均已完成,如果是,執行步驟613,否則,返回步 驟 602。步驟613 從所有采樣周期確定的所有新增用戶的個數值中,確定出現次數最多 的新增用戶的個數值。步驟614 將最終確定的新增用戶的個數值確定為影子用戶的數目。比如,共有5個采樣周期,分別確定的新增序列的個數即新增用戶的各數值為3, 4,4,4,2,那么,則可以確定出線次數最多的新增用戶的個數值為4,因此,確定影子用戶的 數目為4,也就是說,除了合法用戶之外,還有4個非法用戶仿冒合法用戶的身份發送報文。在實際中,由于接入交換機和安裝有認證客戶端軟件的用戶主機都能夠接收到具 有相同用戶認證特征的IP報文,因此,上述圖6所示過程可以在接入交換機中執行,也可以 在安裝有認證客戶端軟件的用戶主機中執行。較佳地,為了進一步減少接入交換機的負荷, 還可以為接入交換機連接一個專用設備,由接入交換機與該專用設備配合執行上述圖6所 示過程,即由接入交換機在每個采樣周期接收所有具有相同用戶認證特征的報文,然后轉 發給該專用設備,其它處理則由該專用設備執行。需要說明的是,上述圖6所示過程中是以分別計算一個報文與之前已經接收到的 每一個報文的差值,然后利用所有差值判斷是否都在異常范圍內為例來確定報文對應的新 增序列(即新增用戶)的個數,在實際的業務實現中,也可以只計算一個報文與之前接收到 的任意一個報文的標識字段的差值,較佳地,可以是與上一個或者上上個報文的差值,然后 利用該一個差值判斷差值是否在預設的異常范圍內,從而確定報文對應的新增序列(即新 增用戶)的個數,進而最終確定影子用戶的數目;或者,在實際的業務實現中,也可以計算 一個報文與之前接收到的任意個數的報文的標識字段的差值,比如與之前已接收到的前2 個報文中每一個報文的標識字段的差值,然后利用該2個差值判斷差值是否都在預設的異 常范圍內,從而確定報文對應的新增序列(即新增用戶)的個數,進而最終確定影子用戶的 數目。本發明實施例還提出了一種檢測影子用戶的數目的裝置,參見圖7,該裝置包括接收模塊700,用于接收與認證通過的用戶具有相同的用戶認證特征的報文;提取模塊701,用于提取出所述報文的標識字段;
12
計算模塊702,用于對接收到的每一個報文,計算該報文與指定報文的標識字段的
差值;處理模塊703,用于對接收到的每一個報文,如果所述差值在預設的異常范圍內, 則為該報文對應一個新增用戶;確定模塊704,用于確定所有報文對應的新增用戶的個數值;輸出模塊705,用于將最終確定的新增用戶的個數值輸出為影子用戶的數目。參見圖8,在本發明實施例提出的檢測影子用戶數目的裝置的一種優化結構中,所述接收模塊700包括第一接收子模塊801,用于在預先劃分的多個采樣周期中 的每一個采樣周期開始時,進行接收初始化,然后接收與認證通過的用戶具有相同的用戶 認證特征的報文;相應地,所述確定模塊704包括第一確定子模塊802,用于在所述每一個采樣周期結束時,確定本采樣周期內所有 報文對應的新增用戶的個數值;第二確定子模塊803,用于從所有采樣周期確定的所有新增用戶的個數值中,確定 出現次數最多的新增用戶的個數值。參見圖9,在本發明實施例提出的檢測影子用戶數目的裝置的另一種優化結構中, 所述計算模塊702包括第一差值子模塊7021,用于對接收到的每一個報文,計算該報文與已經接收到的 第η個報文的標識字段的差值,η為自然數;或者,第二差值子模塊7022,用于對接收到的每一個報文,計算該報文與已經接收到的 m個報文中的每一個報文的標識字段的差值,m為大于1的自然數。參見圖9,所述計算模塊702還可以包括第一計算子模塊901,用于將每一個報文 的標識字段的值減去所述指定報文的標識字段的值;相應地,所述處理模塊703包括第一判斷子模塊902,用于判斷所述差值是否大于預先設置的允許丟包閾值,如果 是,則所所述差值在預設的異常范圍內;或者,第二判斷子模塊903,用于判斷所述差值是否小于0如果是,則所述差值在預設的 異常范圍內。參見圖10,在本發明實施例提出的檢測影子用戶數目的裝置的又一種優化結構 中,所述計算模塊702包括第二計算子模塊7023,用于為設定時間段內接收到的第一 個報文設置一個對應的序列,將所述第一個報文中的標識字段值放入該對應的序列中;對 于所述設定時間段內接收到的第k個報文,k為大于1的自然數,分別計算該第k個報文中 的標識字段的值與所述設定時間段內已有的各序列中各標識字段的值之間的差值;相應地,所述處理模塊703包括第一序列處理子模塊1001,用于對于所述第k個報文,如果所有差值都在預設的 異常范圍內,則為所述第k個報文新增一個對應的序列,將所述第k個報文中的標識字段值放入該新增的序列中;第二序列處理子模塊1002,用于對于所述第k個報文,如果任一差值不在預設的 異常范圍內,則將所述第k個報文中的標識字段值放入距離最近的序列中,該距離最近的 序列為計算出不在預設的異常范圍內的最小差值所使用的序列;相應地,所述確定模塊704包括第三確定子模塊1003,用于將新增序列的個數值 確定為所述新增用戶的個數值。參見圖11,在本發明實施例提出的檢測影子用戶數目的裝置的再一種優化結構 中,所述接收模塊700包括第二接收子模塊1101,用于持續接收所有與認證通過的用戶具有相同的用戶認證 特征的報文;或者,第三接收子模塊1102,用于每隔設定時間接收預設數量的連續的與認證通過的用 戶具有相同的用戶認證特征的報文。本發明實施例還提出了一種網絡設備,該網絡設備包括本發明實施例提供的任意 一種檢測影子用戶的數目的裝置。本發明實施例提出的網絡設備可以為接入交換機,或者為安裝有認證客戶端軟件 的用戶主機;或者為與接入交換機相連的設備,且所述接收模塊700接收到的與認證通過 的用戶具有相同的用戶認證特征的報文是從所述接入交換機上轉發來的。本領域普通技術人員可以理解實現上述方法實施例的全部或部分步驟可以通過 程序指令相關的硬件來完成,前述程序可以存儲于一計算機可讀取存儲介質中,該程序在 執行時,執行包括上述方法實施例的步驟;而前述的存儲介質包括R0M、RAM、磁碟或者光 盤等各種可以存儲程序代碼的介質。最后應說明的是以上實施例僅用以說明本發明的技術方案,而非對其限制;盡 管參照前述實施例對本發明進行了詳細的說明,本領域的普通技術人員應當理解其依然 可以對前述各實施例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替 換;而這些修改或者替換,并不使相應技術方案的本質脫離本發明各實施例技術方案的精 神和范圍。
權利要求
一種檢測影子用戶的數目的方法,其特征在于,包括A、接收與認證通過的用戶具有相同的用戶認證特征的報文;B、提取出所述報文的標識字段;C、對于接收到的每一個報文,計算該報文與指定報文的標識字段的差值;如果所述差值在預設的異常范圍內,則為該報文對應一個新增用戶;D、確定所有報文對應的新增用戶的個數值;E、將最終確定的新增用戶的個數值確定為影子用戶的數目。
2.根據權利要求1所述的方法,其特征在于,步驟A中,所述用戶認證特征包括源因特 網協議IP地址和/或源介質訪問控制MAC地址。
3.根據權利要求1所述的方法,其特征在于,在預先劃分的多個采樣周期中分別執行所述步驟A至步驟D ;在步驟D與步驟E之間,進一步包括從所有采樣周期確定的所有新增用戶的個數值 中,確定出現次數最多的新增用戶的個數值。
4.根據權利要求1所述的方法,其特征在于,所述指定報文為已經接收到的第n個報 文,n為自然數;或者,已經接收到的m個報文中的每一個報文,m為大于1的自然數。
5.根據權利要求1所述的方法,其特征在于,所述差值為所述每一個報文的標識字段 的值減去所述指定報文的標識字段的值;步驟C中,所述如果所述差值在預設的異常范圍內包括如果所述差值大于預先設置 的允許丟包閾值;或者,如果所述差值小于0。
6.根據權利要求1 5任一所述的方法,其特征在于,所述步驟C包括為設定時間段內接收到的第一個報文設置一個對應的序列,將所述第一個報文中的標 識字段值放入該對應的序列中;對于所述設定時間段內接收到的第k個報文,k為大于1的 自然數,分別計算該第k個報文中的標識字段的值與所述設定時間段內已有的各序列中各 標識字段的值之間的差值;對于所述第k個報文,如果所有差值都在預設的異常范圍內,則 為所述第k個報文新增一個對應的序列,將所述第k個報文中的標識字段值放入該新增的 序列中,如果任一差值不在預設的異常范圍內,則將所述第k個報文中的標識字段值放入 距離最近的序列中,該距離最近的序列為計算出不在預設的異常范圍內的最小差值所使用 的序列;所述新增用戶的個數值為新增序列的個數值。
7.根據權利要求1 5任一所述的方法,其特征在于,步驟A中,所述接收與認證通過 的用戶具有相同的用戶認證特征的報文包括持續接收所有與認證通過的用戶具有相同的用戶認證特征的報文;或者,每隔設定時間接收預設數量的連續的與認證通過的用戶具有相同的用戶認證特征的 報文。
8.—種檢測影子用戶的數目的裝置,其特征在于,包括接收模塊,用于接收與認證通過的用戶具有相同的用戶認證特征的報文;提取模塊,用于提取出所述報文的標識字段;計算模塊,用于對接收到的每一個報文,計算該報文與指定報文的標識字段的差值; 處理模塊,用于對接收到的每一個報文,如果所述差值在預設的異常范圍內,則為該報 文對應一個新增用戶;確定模塊,用于確定所有報文對應的新增用戶的個數值;輸出模塊,用于將最終確定的新增用戶的個數值輸出為影子用戶的數目。
9.根據權利要求8所述的裝置,其特征在于,所述接收模塊包括第一接收子模塊,用于在預先劃分的多個采樣周期中的每一個采樣 周期開始時,進行接收初始化,然后接收與認證通過的用戶具有相同的用戶認證特征的報 文;所述確定模塊包括第一確定子模塊,用于在所述每一個采樣周期結束時,確定本采樣周期內所有報文對 應的新增用戶的個數值;第二確定子模塊,用于從所有采樣周期確定的所有新增用戶的個數值中,確定出現次 數最多的新增用戶的個數值。
10.根據權利要求8所述的裝置,其特征在于,所述計算模塊包括第一差值子模塊,用于對接收到的每一個報文,計算該報文與已經接收到的第n個報 文的標識字段的差值,n為自然數; 或者,第二差值子模塊,用于對接收到的每一個報文,計算該報文與已經接收到的m個報文 中的每一個報文的標識字段的差值,m為大于1的自然數。
11.根據權利要求8所述的裝置,其特征在于,所述計算模塊包括第一計算子模塊,用于將每一個報文的標識字段的值減去所述指定 報文的標識字段的值; 所述處理模塊包括第一判斷子模塊,用于判斷所述差值是否大于預先設置的允許丟包閾值,如果是,則所 述差值在預設的異常范圍內; 或者,第二判斷子模塊,用于判斷所述差值是否小于0如果是,則所述差值在預設的異常范 圍內。
12.根據權利要求8 11任一所述的裝置,其特征在于,所述計算模塊包括第二計算子 模塊,用于為設定時間段內接收到的第一個報文設置一個對應的序列,將所述第一個報文 中的標識字段值放入該對應的序列中;對于所述設定時間段內接收到的第k個報文,k為大 于1的自然數,分別計算該第k個報文中的標識字段的值與所述設定時間段內已有的各序 列中各標識字段的值之間的差值;所述處理模塊包括第一序列處理子模塊,用于對于所述第k個報文,如果所有差值都在預設的異常范圍 內,則為所述第k個報文新增一個對應的序列,將所述第k個報文中的標識字段值放入該新 增的序列中;第二序列處理子模塊,用于對于所述第k個報文,如果任一差值不在預設的異常范圍內,則將所述第k個報文中的標識字段值放入距離最近的序列中,該距離最近的序列為計 算出不在預設的異常范圍內的最小差值所使用的序列;所述確定模塊包括第三確定子模塊,用于將新增序列的個數值確定為所述新增用戶的 個數值。
13.根據權利要求8 11任一所述的裝置,其特征在于,所述接收模塊包括第二接收子模塊,用于持續接收所有與認證通過的用戶具有相同的用戶認證特征的報文;或者,第三接收子模塊,用于每隔設定時間接收預設數量的連續的與認證通過的用戶具有相 同的用戶認證特征的報文。
14.一種網絡設備,其特征在于,包括如權利要求8至13中任一所述的檢測影子用戶的 數目的裝置。
全文摘要
本發明提供了檢測影子用戶的數目的方法和裝置及網絡設備。該方法包括接收與認證通過的用戶具有相同的用戶認證特征的報文;提取出所述報文的標識字段,對于接收到的每一個報文,計算該報文與指定報文的標識字段的差值;如果所述差值在預設的異常范圍內,則為該報文對應一個新增用戶;確定所有報文對應的新增用戶的個數值;將最終確定的新增用戶的個數值確定為影子用戶的數目。本發明能夠確定出影子用戶的數目,便于后續進行量化業務損失。
文檔編號H04L12/56GK101980477SQ20101050527
公開日2011年2月23日 申請日期2010年10月9日 優先權日2010年10月9日
發明者陳光磊 申請人:北京星網銳捷網絡技術有限公司