本發明公開了一種基于虛擬專用網絡的共享上網檢測方法及裝置，包括：獲取在網用戶對應的IP報文，提取出該IP報文對應的五元組信息，并檢測在網用戶發起的VPN隧道以及識別出VPN隧道流，根據所述五元組信息建立VPN隧道流對應的流上下文；若根據流上下文檢測到預設時間段內活躍VPN隧道流的數量大于或等于預設的閾值，或者在所述預設時間段內同時存在所述VPN隧道流與普通業務數據流時，則確定在網用戶存在共享上網行為。本發明解決了現有技術中無法對使用虛擬專用網絡來逃避共享上網檢測的用戶行為進行檢測的技術問題，有助于維護電信運營商的運營成本。

技術領域

本發明涉及移動網絡通訊技術領域，尤其涉及一種基于虛擬專用網絡的共享上網檢測方法及裝置。

背景技術

在分組域移動通訊網絡中，電信運營商通常在網關設備或獨立的網絡流量分析設備中，對在網用戶共享上網行為進行檢測。而移動數據上網是絕大多數移動終端的基本功能之一，隨著3G/4G網速的提高，個人無線熱點、USB(Universal Serial Bus，通用串行總線)網絡共享、藍牙網絡共享等功能逐漸普及，用戶使用這些功能將3G/4G移動網絡連接共享給其它終端設備一起使用，從而節省多個終端的上網費用。

共享上網的普及對電信運營商的潛在收益和運營成本存在較大的負面影響，共享上網還會打消原本可能辦理移動數據上網業務的用戶的積極性，同時共享上網還會占用比正常上網更多的帶寬資源和并發流資源，會增加電信運營商在無線控制器、核心網網關、交換機、路由器、防火墻等相關設備上的額外的運維管理成本，以及增加額外投資，因此，電信運營商普遍對用戶共享上網持否定態度。

目前，有一些新興的電信運營商，認為共享上網是一種大勢所趨，應該順勢而為之，這些新興運營商將共享上網包裝成一種新型業務，以賺取額外的費用。典型地，運營商推出一種價格較低的基本上網套餐，以及一種價格較高的高級上網套餐，基本上網套餐僅允許用戶使用一部終端設備通過移動數據網絡上網；而高級上網套餐則允許用戶使用一部終端設備通過移動數據網絡上網的同時，還允許該終端設備通過個人無線熱點、USB網絡共享、藍牙網絡共享等功能分享移動網絡給其它終端設備、臺式電腦或筆記本共享上網。這些電信運營商必須通過技術手段，檢測用戶共享上網行為，以令購買基本上網套餐的用戶，不能使用多終端設備共享上網。當運營商檢測出基本上網套餐用戶的共享上網行為后，可以通過短信通知用戶選擇高級上網套餐，也可以通過HTTP(Hypertext Transfer Protocol，超文本傳輸協議)重定向頁面建議用戶選擇高級上網套餐，還可以通過限速、限量、阻斷、干擾等手段限制用戶共享上網行為。

當高級上網套餐的價格遠高于基本上網套餐的價格時，用戶自然地傾向于僅僅購買基本上網套餐來進行共享上網，用戶可能采用各種技術手段逃避電信運營商對其共享上網行為的檢測。例如，將通過移動數據網絡上網的終端稱為主終端或主設備，將通過主終端共享上網的終端稱為從屬終端或從終端，在用戶共享上網場景中，主終端為一個，從終端為一個或多個；一般情況下，用戶很難逃避電信運營商在網絡設備上實施的共享上網檢測，但用戶通常會嘗試通過修改TTL(Time To Live，存活時間)或Hop Limit(指定在丟棄IPv6報文前可傳送的最大路由跳數)的方式以逃避檢測，但僅僅修改TTL或Hop Limit并不能完全逃避檢測，因為共享上網檢測的手段多種多樣，TTL或Hop Limit僅僅是一個有效但卻并非必需的特征之一。

隨著網絡共享技術的發展，有些在網用戶通過采用VPN(Virtual PrivateNetwork，虛擬專用網)技術逃避共享上網檢測，由于大量并發的流量都被封裝到VPN隧道之中，原來很有效的共享上網特征都被VPN隧道的加密性及封裝性所掩蔽，現有共享上網檢測技術基本失效。

發明內容

本發明的主要目的在于提出一種基于虛擬專用網絡的共享上網檢測方法及裝置，旨在解決現有技術中無法對使用虛擬專用網絡來逃避共享上網檢測的用戶行為進行檢測的技術問題。

為實現上述目的，本發明提供一種基于虛擬專用網絡的共享上網檢測方法，包括：