一種用于追蹤移動(dòng)用戶的方法和裝置制造方法
【專利摘要】本發(fā)明涉及一種用于追蹤移動(dòng)用戶的方法和裝置���,其中���,該裝置包括:獲取模塊,用于當(dāng)檢測(cè)到互聯(lián)網(wǎng)中出現(xiàn)惡意行為時(shí)�,獲取發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)互聯(lián)網(wǎng)協(xié)議(IP)地址和所述惡意行為出現(xiàn)的時(shí)間;以及���,檢索模塊��,用于根據(jù)所獲取的動(dòng)態(tài)IP地址和所獲得的時(shí)間���,從移動(dòng)網(wǎng)絡(luò)中包括各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)中�����,檢索出發(fā)出所述惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí)����,其中����,所述動(dòng)態(tài)IP地址是移動(dòng)網(wǎng)絡(luò)分配的�����,以及所述各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址有效期限是所述各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址被分配給所述各個(gè)移動(dòng)用戶使用的開(kāi)始時(shí)間和截止時(shí)間����。利用該方法和裝置,能夠確定出發(fā)出惡意行為的移動(dòng)用戶��。
【專利說(shuō)明】一種用于追蹤移動(dòng)用戶的方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用于追蹤移動(dòng)用戶的方法和裝置���,尤其涉及用于追蹤在互聯(lián)網(wǎng)中發(fā)出惡意行為的移動(dòng)用戶的身份的方法和裝置。
【背景技術(shù)】
[0002]無(wú)處不在的互聯(lián)網(wǎng)已經(jīng)極大地改變了我們的生活方式�。我們的許多日常和商務(wù)活動(dòng)已經(jīng)越來(lái)越依賴于互聯(lián)網(wǎng),例如�,網(wǎng)上銀行、股票交易和電話會(huì)議等�����。
[0003]然而,隨著互聯(lián)網(wǎng)在人類社會(huì)和日常生活中的普及����,現(xiàn)在有越來(lái)越多的非法用戶利用互聯(lián)網(wǎng)為渠道實(shí)施各種惡意行為來(lái)達(dá)到自己的非法目的。這些惡意行為包括但不局限于拒絕服務(wù)(Denial of Service, DoS)攻擊�、分布式DoS (DDoS)攻擊等。
[0004]為此�,人們已經(jīng)提出了 IP反向追蹤技術(shù)來(lái)追蹤發(fā)出惡意行為的非法用戶的IP地址,從而找出發(fā)出惡意行為的用戶�,以阻止他們?cè)诨ヂ?lián)網(wǎng)上發(fā)出惡意行為。
[0005]然而���,目前的IP反向追蹤技術(shù)在移動(dòng)網(wǎng)絡(luò)中并不能真正確定發(fā)出惡意行為的攻擊源或非法用戶��。
[0006]在移動(dòng)網(wǎng)絡(luò)中����,移動(dòng)用戶所擁有的IP地址并不是移動(dòng)網(wǎng)絡(luò)永久為其分配的IP地址�,而是移動(dòng)用戶接入移動(dòng)網(wǎng)絡(luò)時(shí)為其臨時(shí)分配的動(dòng)態(tài)IP地址�,當(dāng)移動(dòng)用戶從移動(dòng)網(wǎng)絡(luò)中退出時(shí),分配給移動(dòng)用戶的動(dòng)態(tài)IP地址將被回收��,以重新臨時(shí)分配給接入移動(dòng)網(wǎng)絡(luò)的其它移動(dòng)用戶使用�����。換言之,在移動(dòng)網(wǎng)絡(luò)中��,每一個(gè)IP地址不是永久分配給一個(gè)移動(dòng)用戶�����,而是可能會(huì)在不同時(shí)段分配給不同移動(dòng)用戶�。
[0007]由于移動(dòng)網(wǎng)絡(luò)中的IP地址的臨時(shí)動(dòng)態(tài)分配特性,因此,在移動(dòng)網(wǎng)絡(luò)中利用IP反向追蹤技術(shù)追蹤得到IP地址后����,并不能確定攻擊源或非法用戶是當(dāng)前被分配給該IP地址的移動(dòng)用戶還是以前被分配給該IP地址的移動(dòng)用戶。
【發(fā)明內(nèi)容】
[0008]考慮到現(xiàn)有技術(shù)的上述問(wèn)題�����,本發(fā)明實(shí)施例提供一種用于追蹤移動(dòng)用戶的方法和裝置����,其能夠確定發(fā)出惡意行為的移動(dòng)用戶�����。
[0009]按照本發(fā)明實(shí)施例的一種用于追蹤移動(dòng)用戶的方法�����,包括步驟:當(dāng)檢測(cè)到互聯(lián)網(wǎng)中出現(xiàn)惡意行為時(shí)����,獲取發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)互聯(lián)網(wǎng)協(xié)議(IP)地址和所述惡意行為出現(xiàn)的時(shí)間����;以及��,根據(jù)所獲取的動(dòng)態(tài)IP地址和時(shí)間,從移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)����、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)中�,檢索出發(fā)出所述惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí),其中����,所述動(dòng)態(tài)IP地址是所述移動(dòng)網(wǎng)絡(luò)分配的��,以及所述各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址有效期限是所述各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址被分配給所述各個(gè)移動(dòng)用戶使用的開(kāi)始時(shí)間和截止時(shí)間���。
[0010]按照本發(fā)明實(shí)施例的一種用于追蹤移動(dòng)用戶的裝置,包括:獲取模塊����,用于當(dāng)檢測(cè)到互聯(lián)網(wǎng)中出現(xiàn)惡意行為時(shí),獲取發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)互聯(lián)網(wǎng)協(xié)議(IP)地址和所述惡意行為出現(xiàn)的時(shí)間����;以及�,檢索模塊,用于根據(jù)所獲取的動(dòng)態(tài)IP地址和時(shí)間���,從移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)����、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)中���,檢索出發(fā)出所述惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí)����,其中�,所述動(dòng)態(tài)IP地址是所述移動(dòng)網(wǎng)絡(luò)分配的,以及所述各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址有效期限是所述各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址被分配給所述各個(gè)移動(dòng)用戶使用的開(kāi)始時(shí)間和截止時(shí)間�。
[0011]由于永久身份標(biāo)識(shí)能夠全局地唯一識(shí)別移動(dòng)用戶,因此�,采用上面所述的技術(shù)方案,當(dāng)互聯(lián)網(wǎng)中出現(xiàn)惡意行為時(shí)���,根據(jù)檢測(cè)到的發(fā)出該惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址和惡意行為出現(xiàn)的時(shí)間���,從移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)中�����,檢索出發(fā)出該惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí)�����,從而確定出發(fā)出該惡意行為的移動(dòng)用戶�。
【專利附圖】
【附圖說(shuō)明】
[0012]本發(fā)明的特點(diǎn)、特征�����、優(yōu)點(diǎn)和益處通過(guò)以下結(jié)合附圖的詳細(xì)描述將變得更加顯而易見(jiàn)。其中:
[0013]圖1示出了按照本發(fā)明一個(gè)實(shí)施例的用于追蹤移動(dòng)用戶的方法的流程圖�;
[0014]圖2示出了按照本發(fā)明一個(gè)實(shí)施例的在GPRS移動(dòng)網(wǎng)絡(luò)中追蹤移動(dòng)用戶的示意圖;
[0015]圖3示出了按照本發(fā)明一個(gè)實(shí)施例的用于追蹤移動(dòng)用戶的裝置的示意圖��;
[0016]圖4A示出了按照本發(fā)明一個(gè)實(shí)施例的獲取模塊的示意圖�����;
[0017]圖4B示出了按照本發(fā)明另一實(shí)施例的獲取模塊的示意圖�����;
[0018]圖4C示出了按照本發(fā)明又一實(shí)施例的獲取模塊的示意圖�;
[0019]圖4D示出了按照本發(fā)明再一實(shí)施例的獲取模塊的示意圖;以及
[0020]圖5示出了按照本發(fā)明一個(gè)實(shí)施例的用于追蹤移動(dòng)用戶的設(shè)備的示意圖���。
【具體實(shí)施方式】
[0021]通常�����,移動(dòng)用戶通過(guò)移動(dòng)網(wǎng)絡(luò)(例如通用分組無(wú)線業(yè)務(wù)GPRS)連接到互聯(lián)網(wǎng)����。其中,如本領(lǐng)域技術(shù)人員所公知的�,移動(dòng)網(wǎng)絡(luò)是內(nèi)部網(wǎng)絡(luò),屬于私網(wǎng)���,而互聯(lián)網(wǎng)是外部網(wǎng)絡(luò),屬于公網(wǎng)���。當(dāng)移動(dòng)用戶接入移動(dòng)網(wǎng)絡(luò)時(shí)�,移動(dòng)網(wǎng)絡(luò)向移動(dòng)用戶分配動(dòng)態(tài)互聯(lián)網(wǎng)協(xié)議(IP)地址����,其中,該分配的動(dòng)態(tài)IP地址可以是公網(wǎng)IP地址或者私網(wǎng)IP地址�。
[0022]當(dāng)移動(dòng)用戶的動(dòng)態(tài)IP地址是私網(wǎng)IP地址時(shí),移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備(例如�����,連接移動(dòng)網(wǎng)絡(luò)和互聯(lián)網(wǎng)的位于移動(dòng)網(wǎng)絡(luò)的邊界上的路由器或防火墻等)將移動(dòng)用戶的私網(wǎng)IP地址翻譯為公網(wǎng)IP地址�����,并且將移動(dòng)用戶的私網(wǎng)IP地址和所翻譯的公網(wǎng)IP地址的映射關(guān)系存儲(chǔ)在網(wǎng)絡(luò)地址翻譯(MT)映射表中����。當(dāng)從移動(dòng)網(wǎng)絡(luò)中接收到移動(dòng)用戶要發(fā)往互聯(lián)網(wǎng)的數(shù)據(jù)包時(shí)��,移動(dòng)網(wǎng)絡(luò)的邊界路由器根據(jù)NAT映射表��,將所接收的數(shù)據(jù)包中的源IP地址(即移動(dòng)用戶的私網(wǎng)IP地址)更改為移動(dòng)用戶的公網(wǎng)IP地址����,然后把數(shù)據(jù)包發(fā)往互聯(lián)網(wǎng)���。當(dāng)從互聯(lián)網(wǎng)中接收到要發(fā)送給移動(dòng)用戶的數(shù)據(jù)包時(shí)��,移動(dòng)網(wǎng)絡(luò)的邊界路由器根據(jù)NAT映射表����,將所接收的數(shù)據(jù)包中的目的IP地址(即移動(dòng)用戶的公網(wǎng)IP地址)更改為移動(dòng)用戶的私網(wǎng)IP地址��,然后把數(shù)據(jù)包發(fā)往移動(dòng)網(wǎng)絡(luò)����。
[0023]本發(fā)明的實(shí)施例公開(kāi)了一種用于追蹤移動(dòng)用戶的技術(shù)方案。按照該技術(shù)方案�����,首先,當(dāng)檢測(cè)到互聯(lián)網(wǎng)中出現(xiàn)惡意行為時(shí)�����,獲取發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)互聯(lián)網(wǎng)協(xié)議(IP)地址和所述惡意行為出現(xiàn)的時(shí)間�,然后,根據(jù)所獲取的動(dòng)態(tài)IP地址和所獲得的時(shí)間��,從移動(dòng)網(wǎng)絡(luò)中包括各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)����、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)中��,檢索出發(fā)出所述惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí)����。由于永久身份標(biāo)識(shí)能夠全局地唯一識(shí)別移動(dòng)用戶,從而能夠確定出發(fā)出惡意行為的移動(dòng)用戶�����。
[0024]下面����,結(jié)合附圖詳細(xì)描述本發(fā)明的各個(gè)實(shí)施例���。
[0025]參見(jiàn)圖1,其示出了按照本發(fā)明一個(gè)實(shí)施例的用于追蹤移動(dòng)用戶的方法的流程圖����。如圖1所示,在步驟SlOO中�,獲取并存儲(chǔ)各個(gè)移動(dòng)用戶Y的國(guó)際移動(dòng)用戶識(shí)別碼(IMSI)、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限之間的映射關(guān)系�����。其中�,移動(dòng)用戶Y的動(dòng)態(tài)IP地址是移動(dòng)網(wǎng)絡(luò)分配的,移動(dòng)用戶Y的動(dòng)態(tài)IP地址有效期限是指移動(dòng)用戶Y的動(dòng)態(tài)IP地址被分配給移動(dòng)用戶Y使用的開(kāi)始時(shí)間和截止時(shí)間�����。
[0026]在這里�,移動(dòng)用戶Y的MS1、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限可以從移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)向移動(dòng)用戶分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備提取�,因?yàn)橐苿?dòng)網(wǎng)絡(luò)中負(fù)責(zé)向移動(dòng)用戶分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備存儲(chǔ)有移動(dòng)用戶Y的MS1、被分配給移動(dòng)用戶Y的動(dòng)態(tài)IP地址和該動(dòng)態(tài)IP地址被分配給移動(dòng)用戶Y使用的開(kāi)始時(shí)間和截止時(shí)間�����。
[0027]或者,可以利用用于抓取數(shù)據(jù)包的工具實(shí)時(shí)地抓取負(fù)責(zé)向移動(dòng)用戶分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備與移動(dòng)用戶Y之間傳送的的用于分配動(dòng)態(tài)IP地址的數(shù)據(jù)包(其包括有移動(dòng)用戶Y的IMSI和被分配給移動(dòng)用戶Y的動(dòng)態(tài)IP地址)以及移動(dòng)用戶Y和負(fù)責(zé)向移動(dòng)用戶分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備之間傳送的用于表示移動(dòng)用戶Y退出移動(dòng)網(wǎng)絡(luò)的數(shù)據(jù)包�,然后從所抓取的用于分配動(dòng)態(tài)IP地址的數(shù)據(jù)包獲取移動(dòng)用戶Y的頂SI和動(dòng)態(tài)IP地址,把抓取到該用于分配動(dòng)態(tài)IP地址的數(shù)據(jù)包的時(shí)間作為動(dòng)態(tài)IP地址被分配給移動(dòng)用戶Y使用的開(kāi)始時(shí)間�����,以及把抓取到該用于表示移動(dòng)用戶Y退出移動(dòng)網(wǎng)絡(luò)的數(shù)據(jù)包的時(shí)間作為動(dòng)態(tài)IP地址被分配給移動(dòng)用戶Y使用的截止時(shí)間�,從而得到移動(dòng)用戶Y的MS1、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限��。
[0028]或者��,可以從關(guān)于移動(dòng)用戶Y的計(jì)費(fèi)數(shù)據(jù)中獲取移動(dòng)用戶Y的MS1���、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限,因?yàn)殛P(guān)于移動(dòng)用戶Y的計(jì)費(fèi)數(shù)據(jù)包括有移動(dòng)用戶Y的IMS1����、被分配給移動(dòng)用戶Y的動(dòng)態(tài)IP地址以及向移動(dòng)用戶Y計(jì)費(fèi)的開(kāi)始時(shí)間和截止時(shí)間,其中��,該向移動(dòng)用戶Y計(jì)費(fèi)的開(kāi)始時(shí)間和截止時(shí)間用作移動(dòng)用戶Y的動(dòng)態(tài)IP地址有效期限��。
[0029]在步驟S105中���,利用數(shù)據(jù)包抓取工具抓取移動(dòng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的各個(gè)數(shù)據(jù)包����,并記錄每一個(gè)數(shù)據(jù)包被抓取的時(shí)間。
[0030]在步驟SllO中��,檢測(cè)所抓取的數(shù)據(jù)包��,以確定互聯(lián)網(wǎng)中是否出現(xiàn)惡意行為����。例如,如果所抓取的其中一個(gè)數(shù)據(jù)包是包含有指向惡意網(wǎng)站的URL鏈接的數(shù)據(jù)包�,則確定互聯(lián)網(wǎng)中出現(xiàn)惡意行為。
[0031]在步驟S120中�,當(dāng)檢測(cè)發(fā)現(xiàn)互聯(lián)網(wǎng)中出現(xiàn)惡意行為時(shí),提取該抓取的與所出現(xiàn)的惡意行為有關(guān)的數(shù)據(jù)包SJB��,并獲得數(shù)據(jù)包SJB被抓取的時(shí)間作為惡意行為出現(xiàn)的時(shí)間����。
[0032]在步驟S130中,判斷所存儲(chǔ)的映射關(guān)系中是否包含有與所提取的數(shù)據(jù)包SJB中的源IP地址相同的動(dòng)態(tài)IP地址����。
[0033]在步驟S140中���,如果步驟S130的判斷結(jié)果為肯定,即所存儲(chǔ)的映射關(guān)系中包含有與所提取的數(shù)據(jù)包SJB中的源IP地址相同的動(dòng)態(tài)IP地址�,則將所提取的數(shù)據(jù)包SJB中的源IP地址確定為發(fā)出惡意行為的移動(dòng)用戶S的動(dòng)態(tài)IP地址,然后進(jìn)行到步驟S160����。在這里,移動(dòng)用戶S的動(dòng)態(tài)IP地址是公網(wǎng)IP地址���。
[0034]在步驟S150中��,如果步驟S130的判斷結(jié)果為否定��,即所存儲(chǔ)的映射關(guān)系中未包含有與所提取的數(shù)據(jù)包SJB中的源IP地址相同的動(dòng)態(tài)IP地址�,則檢索移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯(NAT)映射表����,以查找與所提取的數(shù)據(jù)包SJB中的源IP地址相對(duì)應(yīng)的私網(wǎng)IP地址��,作為發(fā)出惡意行為的移動(dòng)用戶S的動(dòng)態(tài)IP地址�,然后進(jìn)行到步驟S160。在這里����,移動(dòng)用戶S的動(dòng)態(tài)IP地址是私網(wǎng)IP地址��。
[0035]在步驟S160中�,從所存儲(chǔ)的映射關(guān)系中檢索出與發(fā)出惡意行為的移動(dòng)用戶S的動(dòng)態(tài)IP地址和指定的動(dòng)態(tài)IP地址有效期限相映射的MSI�����,作為發(fā)出惡意行為的移動(dòng)用戶S的IMSI�����,從而確定發(fā)出惡意行為的移動(dòng)用戶S�。其中,惡意行為出現(xiàn)的時(shí)間位于該指定的動(dòng)態(tài)IP地址有效期限之內(nèi)�����。
[0036]在步驟S170中�,根據(jù)發(fā)出惡意行為的移動(dòng)用戶S的MSI,對(duì)發(fā)出惡意行為的移動(dòng)用戶S執(zhí)行反制措施�����,以阻止移動(dòng)用戶S發(fā)出惡意行為。這里�����,反制措施包括但不局限于降低移動(dòng)用戶S的信用級(jí)別����、在移動(dòng)用戶S的終端設(shè)備中部署殺毒軟件和/或限制移動(dòng)用戶S的業(yè)務(wù)等。
[0037]參見(jiàn)圖2�����,其示出了按照本發(fā)明一個(gè)實(shí)施例的在通用分組無(wú)線業(yè)務(wù)(GPRS)移動(dòng)網(wǎng)絡(luò)中追蹤移動(dòng)用戶的不意圖��。
[0038]如圖2所示��,GPRS移動(dòng)網(wǎng)絡(luò)包括設(shè)備Z���,其負(fù)責(zé)存儲(chǔ)各個(gè)移動(dòng)用戶T的IMS1��、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限之間的映射關(guān)系��。其中,設(shè)備Z可以從GPRS移動(dòng)網(wǎng)絡(luò)中的網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)取得移動(dòng)用戶T的MS1���、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限����。在GPRS移動(dòng)網(wǎng)絡(luò)中,GGSN負(fù)責(zé)向直接接入GPRS移動(dòng)網(wǎng)絡(luò)的移動(dòng)用戶分配動(dòng)態(tài)IP地址�����,因此�,GGSN知道直接接入GPRS移動(dòng)網(wǎng)絡(luò)的移動(dòng)用戶的動(dòng)態(tài)IP地址和MSI以及該動(dòng)態(tài)IP地址被分配給接入的移動(dòng)用戶使用的開(kāi)始時(shí)間和截止時(shí)間。具體地�����,當(dāng)移動(dòng)用戶T附著到GPRS移動(dòng)網(wǎng)絡(luò)中的GPRS服務(wù)支持節(jié)點(diǎn)(SGSN)時(shí)�,SGSN向GGSN發(fā)送一個(gè)包括移動(dòng)用戶T的MSI的分組數(shù)據(jù)協(xié)議(PDP:Packet Data Protocol)創(chuàng)建請(qǐng)求消息,以請(qǐng)求GGSN為移動(dòng)用戶T分配動(dòng)態(tài)IP地址�����。在接收到PDP創(chuàng)建請(qǐng)求消息之后���,GGSN為移動(dòng)用戶T分配動(dòng)態(tài)IP地址��,存儲(chǔ)移動(dòng)用戶T的MS1�、所分配的動(dòng)態(tài)IP地址和該動(dòng)態(tài)IP地址被分配給移動(dòng)用戶T使用的開(kāi)始時(shí)間,并向SGSN發(fā)送一個(gè)包含移動(dòng)用戶T的動(dòng)態(tài)IP地址和MSI的PDP創(chuàng)建響應(yīng)消息�����。當(dāng)移動(dòng)用戶T要退出GPRS移動(dòng)網(wǎng)絡(luò)時(shí)���,SGSN向GGSN發(fā)送一個(gè)表示移動(dòng)用戶T退出網(wǎng)絡(luò)的刪除PDP上下文請(qǐng)求消息��。在接收到來(lái)自SGSN的表示移動(dòng)用戶T退出網(wǎng)絡(luò)的刪除PDP上下文請(qǐng)求消息之后�����,GGSN收回分配用于用戶T分配的動(dòng)態(tài)IP地址���,并存儲(chǔ)移動(dòng)用戶T的該動(dòng)態(tài)IP地址被分配給移動(dòng)用戶T使用的截止時(shí)間?���;蛘撸O(shè)備Z可以實(shí)時(shí)提取GGSN發(fā)送給移動(dòng)用戶T的用于分配動(dòng)態(tài)IP地址的包括有移動(dòng)用戶T的MSI和動(dòng)態(tài)IP地址的PDP創(chuàng)建響應(yīng)消息和SGSN發(fā)送給GGSN的表示移動(dòng)用戶T退出網(wǎng)絡(luò)的刪除PDP上下文請(qǐng)求消息����,然后從所提取的PDP創(chuàng)建響應(yīng)消息中取得移動(dòng)用戶T的動(dòng)態(tài)IP地址與IMSIjE提取PDP創(chuàng)建響應(yīng)消息的時(shí)間和提取刪除PDP上下文請(qǐng)求消息的時(shí)間分別作為動(dòng)態(tài)IP地址分配給移動(dòng)用戶T使用的開(kāi)始時(shí)間和截止時(shí)間,從而得到移動(dòng)用戶T的IMS1����、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限?���;蛘撸O(shè)備Z可以從GGSN發(fā)送給計(jì)費(fèi)網(wǎng)關(guān)(CG)的關(guān)于移動(dòng)用戶T的計(jì)費(fèi)數(shù)據(jù)中取得移動(dòng)用戶T的MS1���、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限����,其中����,該動(dòng)態(tài)IP地址有效期限由計(jì)費(fèi)數(shù)據(jù)中所包括的移動(dòng)用戶T的開(kāi)始計(jì)費(fèi)時(shí)間和截止計(jì)費(fèi)時(shí)間構(gòu)成。
[0039]GPRS移動(dòng)網(wǎng)絡(luò)中的Gi接口實(shí)時(shí)抓取GPRS移動(dòng)網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的各個(gè)數(shù)據(jù)包��,記錄每一個(gè)數(shù)據(jù)包被抓取的時(shí)間���,并且檢測(cè)所抓取的各個(gè)數(shù)據(jù)包以確定互聯(lián)網(wǎng)中是否出現(xiàn)惡意行為�����。當(dāng)檢測(cè)發(fā)現(xiàn)互聯(lián)網(wǎng)中出現(xiàn)惡意行為時(shí)���,設(shè)備Z從所抓取的數(shù)據(jù)包中提取與惡意行為有關(guān)的數(shù)據(jù)包G����,并檢索其所存儲(chǔ)的映射關(guān)系中是否包含有與所提取的數(shù)據(jù)包G中的源IP地址相同的地址���。
[0040]如果檢索發(fā)現(xiàn)其所存儲(chǔ)的映射關(guān)系中包含有與所提取的數(shù)據(jù)包G中的源IP地址相同的地址�,則設(shè)備Z將所提取的數(shù)據(jù)包G中的源IP地址作為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址�。然后,設(shè)備Z以發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址和所提得的數(shù)據(jù)包G被抓取的時(shí)間(作為惡意行為出現(xiàn)的時(shí)間)為索引����,檢索其所存儲(chǔ)的映射關(guān)系,以查找發(fā)出惡意行為的移動(dòng)用戶的頂SI�。
[0041]如果檢索發(fā)現(xiàn)其所存儲(chǔ)的映射關(guān)系中未包含有與所提取的數(shù)據(jù)包G中的源IP地址相同的地址,則設(shè)備Z檢索GPRS移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的NAT映射表�,以查找與所提取的數(shù)據(jù)包G中的源IP地址相對(duì)應(yīng)的私網(wǎng)IP地址,并把所查找出的私網(wǎng)IP地址作為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址��。然后����,設(shè)備Z以發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址和所提取的數(shù)據(jù)包G被抓取的時(shí)間(作為惡意行為出現(xiàn)的時(shí)間)為索引,檢索其所存儲(chǔ)的映射關(guān)系��,以查找發(fā)出惡意行為的移動(dòng)用戶的頂SI。
[0042]最后����,設(shè)備Z對(duì)發(fā)出惡意行為的移動(dòng)用戶執(zhí)行反制措施,以防止該移動(dòng)用戶發(fā)出惡意行為����。這里��,反制措施包括但不局限于降低發(fā)出惡意行為的移動(dòng)用戶的信用級(jí)別���、在發(fā)出惡意行為的移動(dòng)用戶的終端設(shè)備中部署殺毒軟件和/或限制發(fā)出惡意行為的移動(dòng)用戶的業(yè)務(wù)等�����。
[0043]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解���,用于設(shè)備Z既可以利用專門設(shè)備來(lái)實(shí)現(xiàn),也可以利用GPRS移動(dòng)網(wǎng)絡(luò)中的任一現(xiàn)有網(wǎng)絡(luò)設(shè)備(例如�����,遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)(RADIUS =RemoteAuthentication Dial In User Service)服務(wù)器���、計(jì)費(fèi)網(wǎng)關(guān)(CG)等)來(lái)實(shí)現(xiàn)��。
[0044]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�,雖然在上面的實(shí)施例中,用于追蹤移動(dòng)用戶的方案包括有對(duì)發(fā)出惡意行為的移動(dòng)用戶執(zhí)行反制措施的步驟����,然而,本發(fā)明并不局限于此�����。在本發(fā)明的其它一些實(shí)施例中�����,用于追蹤移動(dòng)用戶的方案也可以不包括對(duì)發(fā)出惡意行為的移動(dòng)用戶執(zhí)行反制措施的步驟�。
[0045]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,雖然在上面的實(shí)施例中��,使用移動(dòng)用戶的IMSI作為移動(dòng)用戶的永久身份標(biāo)識(shí)�����,然而�,本發(fā)明并不局限于此����。在本發(fā)明的其它一些實(shí)施例中����,例如也可以使用移動(dòng)用戶的手機(jī)號(hào)碼等作為移動(dòng)用戶的永久身份標(biāo)識(shí)。
[0046]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�,雖然在上面的實(shí)施例中,在確定所存儲(chǔ)的映射關(guān)系中沒(méi)有包含與所提取的數(shù)據(jù)包G中的源IP地址相同的動(dòng)態(tài)IP地址之后����,借助NAT映射表來(lái)取得移動(dòng)用戶的動(dòng)態(tài)IP地址(即私網(wǎng)IP地址)��,然而�����,本發(fā)明并不局限于此�����。在本發(fā)明的其它一些實(shí)施例中�,也可以不通過(guò)NAT映射表來(lái)取得移動(dòng)用戶的私網(wǎng)IP地址。
[0047]例如�����,當(dāng)確定所存儲(chǔ)的映射關(guān)系中沒(méi)有包含與所提取的數(shù)據(jù)包G中的源IP地址相同的動(dòng)態(tài)IP地址時(shí),在移動(dòng)網(wǎng)絡(luò)中查找出發(fā)往互聯(lián)網(wǎng)的與所提取的數(shù)據(jù)包G相對(duì)應(yīng)的數(shù)據(jù)包���,并將所查找出的數(shù)據(jù)包中所包括的源IP地址確定為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址���,其中,所查找出的數(shù)據(jù)包在移動(dòng)網(wǎng)絡(luò)中傳輸?shù)臅r(shí)刻與移動(dòng)網(wǎng)絡(luò)向互聯(lián)網(wǎng)發(fā)送所提取的數(shù)據(jù)包G的時(shí)刻之差小于指定值�,并且所查找出的數(shù)據(jù)包和所提取的數(shù)據(jù)包G包含相同的指定內(nèi)容。這里��,指定內(nèi)容可以包括但不局限于IP地址���、URL信息�����、用戶代理(user-agent)信息等���。該指定值的大小與用于網(wǎng)絡(luò)設(shè)備之間進(jìn)行時(shí)間同步的網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)精度有關(guān),NTP精度一般在毫秒級(jí)����。在這里���,該指定值可以設(shè)定在毫秒級(jí)或者10毫秒級(jí)。
[0048]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解���,雖然在上面的實(shí)施例中�,各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)��、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限之間的映射關(guān)系被用作移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)�、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù),并當(dāng)檢測(cè)到互聯(lián)網(wǎng)中出現(xiàn)惡意行為時(shí)�,根據(jù)所獲取的發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址和惡意行為出現(xiàn)的時(shí)間,從所存儲(chǔ)的映射關(guān)系中��,檢索出發(fā)出所述惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí)���,從而確定發(fā)出所述惡意行為的移動(dòng)用戶,然而�����,本發(fā)明并不局限于此��。
[0049]在本發(fā)明的其它一些實(shí)施例中,也可以把移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備所存儲(chǔ)的各個(gè)移動(dòng)用戶Y的IMS1�����、動(dòng)態(tài)IP地址和該動(dòng)態(tài)IP地址被分配給各個(gè)移動(dòng)用戶Y使用的開(kāi)始時(shí)間和截止時(shí)間用作移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)���、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)���。
[0050]和/或,也可以把所提取的移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備與各個(gè)移動(dòng)用戶之間傳送的用于分配動(dòng)態(tài)IP地址的數(shù)據(jù)包和移動(dòng)網(wǎng)絡(luò)中用于表示各個(gè)移動(dòng)用戶退出所述移動(dòng)網(wǎng)絡(luò)的數(shù)據(jù)包用作移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)����、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)。在這種情況�����,用于分配動(dòng)態(tài)IP地址的數(shù)據(jù)包和用于表示各個(gè)移動(dòng)用戶退出所述移動(dòng)網(wǎng)絡(luò)的數(shù)據(jù)包各自被提取的時(shí)間分別作為動(dòng)態(tài)IP地址被分配給移動(dòng)用戶使用的開(kāi)始時(shí)間和截止時(shí)間����。
[0051]和/或,也可以把與各個(gè)移動(dòng)用戶有關(guān)的計(jì)費(fèi)數(shù)據(jù)用作移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)���、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)����。
[0052]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,雖然在上面的實(shí)施例中����,利用所抓取的移動(dòng)網(wǎng)絡(luò)向互聯(lián)網(wǎng)發(fā)送的數(shù)據(jù)包來(lái)找到發(fā)出惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí),然而����,本發(fā)明并不局限于此。
[0053]在本發(fā)明的其他一些實(shí)施例中�����,也可以利用惡意網(wǎng)站的日志來(lái)找到發(fā)出惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí)����。具體地,檢查惡意網(wǎng)站的日志中是否存在有移動(dòng)用戶訪問(wèn)該惡意網(wǎng)站的記錄��?��?梢酝ㄟ^(guò)用戶的IP地址所屬的地址段來(lái)判斷用戶是移動(dòng)用戶還是非移動(dòng)用戶,因?yàn)橐苿?dòng)用戶和非移動(dòng)用戶各自的IP地址屬于不同的地址段�,這是本領(lǐng)域技術(shù)人員公知的。如果檢查結(jié)果表明存在有移動(dòng)用戶訪問(wèn)該惡意網(wǎng)站的記錄,則意味著互聯(lián)網(wǎng)出現(xiàn)了惡意行為����。在這種情況下,從惡意網(wǎng)站的日志中讀取發(fā)出惡意行為的移動(dòng)用戶的IP地址和發(fā)出惡意行為的移動(dòng)用戶訪問(wèn)該惡意網(wǎng)站的時(shí)間��,并將發(fā)出惡意行為的移動(dòng)用戶訪問(wèn)該惡意網(wǎng)站的時(shí)間確定為惡意行為出現(xiàn)的時(shí)間��。然后�,根據(jù)發(fā)出惡意行為的移動(dòng)用戶的IP地址和所確定的惡意行為出現(xiàn)的時(shí)間,執(zhí)行圖1中的步驟S130-S160中的操作�����,從而找到發(fā)出惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí)��。
[0054]或者�,在本發(fā)明的其他一些實(shí)施例中,也可以利用與惡意行為關(guān)聯(lián)的內(nèi)容來(lái)找到發(fā)出惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí)����。具體地,首先�����,抓取在移動(dòng)網(wǎng)絡(luò)內(nèi)傳輸?shù)母鱾€(gè)數(shù)據(jù)包。然后��,檢查互聯(lián)網(wǎng)中是否出現(xiàn)了惡意行為�,這里,可以采用現(xiàn)有的或其它任何可以采用的方式來(lái)檢查互聯(lián)網(wǎng)中是否出現(xiàn)了惡意行為���。當(dāng)檢查結(jié)果表明互聯(lián)網(wǎng)中出現(xiàn)了惡意行為時(shí)����,嘗試從所抓取的在移動(dòng)網(wǎng)絡(luò)內(nèi)傳輸?shù)母鱾€(gè)數(shù)據(jù)包中提取包含有與所出現(xiàn)的惡意行為關(guān)聯(lián)的內(nèi)容的數(shù)據(jù)包���。這里���,與所出現(xiàn)的惡意行為關(guān)聯(lián)的內(nèi)容例如可以是但不局限于:在所出現(xiàn)的惡意行為中被訪問(wèn)的網(wǎng)址、在所出現(xiàn)的惡意行為中被上傳到網(wǎng)站的或從網(wǎng)站下載的文件����、短消息、銀行卡號(hào)����、手機(jī)號(hào)碼等��。如果成功提取到數(shù)據(jù)包,則表明該惡意行為是移動(dòng)用戶發(fā)出的����。在這種情況下,將所提取的數(shù)據(jù)包被抓取的時(shí)間確定為惡意行為出現(xiàn)的時(shí)間�。接著,根據(jù)所提取的數(shù)據(jù)包中的源IP地址和所確定的惡意行為出現(xiàn)的時(shí)間��,執(zhí)行圖1中的步驟S130-S160中的操作����,從而找到發(fā)出惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí)。
[0055]參見(jiàn)圖3����,其示出了按照本發(fā)明一個(gè)實(shí)施例的用于追蹤移動(dòng)用戶的裝置的示意圖。圖3所示的裝置30可以利用軟件����、硬件或者軟硬件結(jié)合的方式來(lái)實(shí)現(xiàn),并且可以安裝在移動(dòng)網(wǎng)絡(luò)中的新增設(shè)備或任一現(xiàn)有網(wǎng)絡(luò)設(shè)備(例如����,RADIUS服務(wù)器、計(jì)費(fèi)網(wǎng)關(guān)(CG)等)中�����。如圖3所示,裝置30包括獲取模塊320和檢索模塊330��。其中�,獲取模塊320用于當(dāng)檢測(cè)到互聯(lián)網(wǎng)中出現(xiàn)惡意行為時(shí),獲取發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址和惡意行為出現(xiàn)的時(shí)間���。檢索模塊330��,用于根據(jù)所獲取的動(dòng)態(tài)IP地址和時(shí)間����,從移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)�����、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)中��,檢索出發(fā)出所述惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí)���。其中����,動(dòng)態(tài)IP地址是移動(dòng)網(wǎng)絡(luò)分配的,以及各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址有效期限是各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址被分配給各個(gè)移動(dòng)用戶使用的開(kāi)始時(shí)間和截止時(shí)間��。
[0056]此外��,移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)���、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)可以是各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限之間的映射關(guān)系����。
[0057]此外,各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)���、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限可以是從移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備��、移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備向各個(gè)移動(dòng)用戶發(fā)送的用于分配動(dòng)態(tài)IP地址的數(shù)據(jù)包和各個(gè)移動(dòng)用戶向移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備發(fā)送的用于表示各個(gè)移動(dòng)用戶退出所述移動(dòng)網(wǎng)絡(luò)的數(shù)據(jù)包�����、和/或從與各個(gè)移動(dòng)用戶有關(guān)的計(jì)費(fèi)數(shù)據(jù)中獲得的�����。
[0058]此外�����,如圖4A所不,獲取模塊320可以包括第一提取模塊����、第一確定模塊、第一判斷模塊和第二確定模塊���。其中����,第一提取模塊用于從所抓取的移動(dòng)網(wǎng)絡(luò)向互聯(lián)網(wǎng)發(fā)送的數(shù)據(jù)包中提取與惡意行為相關(guān)的數(shù)據(jù)包��。第一確定模塊���,用于將所提取的數(shù)據(jù)包被抓取的時(shí)間確定為惡意行為出現(xiàn)的時(shí)間��。第一判斷模塊用于判斷該映射關(guān)系中是否包含有與第一提取模塊所提取的數(shù)據(jù)包中的源IP地址相同的動(dòng)態(tài)IP地址����。第二確定模塊用于當(dāng)?shù)谝慌袛嗄K的判斷結(jié)果為肯定時(shí)����,將第一提取模塊所提取的數(shù)據(jù)包中的源IP地址確定為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址�����。
[0059]此外���,如圖4A所示���,獲取模塊320還可以包括第一查找模塊��,用于當(dāng)?shù)谝慌袛嗄K的判斷結(jié)果為否定時(shí)����,從移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯(NAT)映射表中���,檢索出與第一提取模塊所提取的數(shù)據(jù)包中的源IP地址相對(duì)應(yīng)的IP地址�,作為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址�。或者��,如圖4B所示�,獲取模塊320還可以包括檢測(cè)模塊和第三確定模塊,其中,檢測(cè)模塊用于當(dāng)?shù)谝慌袛嗄K的判斷結(jié)果為否定時(shí)�����,在移動(dòng)網(wǎng)絡(luò)中檢測(cè)出發(fā)往互聯(lián)網(wǎng)的與所提取的數(shù)據(jù)包相對(duì)應(yīng)的數(shù)據(jù)包�。第三確定模塊用于將所檢測(cè)出的數(shù)據(jù)包中所包括的源IP地址,確定為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址���。其中�����,所檢測(cè)出的數(shù)據(jù)包在移動(dòng)網(wǎng)絡(luò)中傳輸?shù)臅r(shí)刻與移動(dòng)網(wǎng)絡(luò)向互聯(lián)網(wǎng)發(fā)送所提取的數(shù)據(jù)包的時(shí)刻之差小于指定值��,并且所檢測(cè)出的數(shù)據(jù)包和所提取的數(shù)據(jù)包包含相同的指定內(nèi)容�。
[0060]或者���,如圖4C所示���,獲取模塊320可以包括讀取模塊、第二提取模塊�����、第二判斷模塊和第四確定模塊。其中�,讀取模塊用于從惡意網(wǎng)站的日志中讀取發(fā)出惡意行為的移動(dòng)用戶訪問(wèn)該惡意網(wǎng)站的時(shí)間,作為惡意行為出現(xiàn)的時(shí)間�����。第二提取模塊用于從惡意網(wǎng)站的日志中提取發(fā)出惡意行為的移動(dòng)用戶的IP地址����。第二判斷模塊用于判斷映射關(guān)系中是否包含有與第二提取模塊所提取的IP地址相同的動(dòng)態(tài)IP地址。第四確定模塊用于當(dāng)?shù)诙袛嗄K的判斷結(jié)果為肯定時(shí)��,將第二提取模塊所提取的IP地址確定為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址���。此外,如圖4C所示�����,獲取模塊320還可以包括第二查找模塊����,用于當(dāng)?shù)诙袛嗄K的判斷結(jié)果為否定時(shí),從移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯映射表中���,查找出與第二提取模塊所提取的IP地址相對(duì)應(yīng)的IP地址�,作為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址。
[0061]或者����,如圖4D所示,獲取模塊320可以包括第三提取模塊�、第五確定模塊、第三判斷模塊和第六確定模塊�����。其中�����,第三提取模塊用于從在移動(dòng)網(wǎng)絡(luò)內(nèi)抓取的數(shù)據(jù)包中提取包含有與惡意行為關(guān)聯(lián)的內(nèi)容的數(shù)據(jù)包����。第五確定模塊用于將第三提取模塊所提取的數(shù)據(jù)包被抓取的時(shí)間確定為惡意行為出現(xiàn)的時(shí)間。第三判斷模塊�����,用于判斷映射關(guān)系中是否包含有與第三提取模塊所提取的數(shù)據(jù)包中的源IP地址相同的動(dòng)態(tài)IP地址���。第六確定模塊用于當(dāng)?shù)谌袛嗄K的判斷結(jié)果為肯定時(shí)�,將第三提取模塊所提取的數(shù)據(jù)包中的源IP地址確定為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址。此外����,如圖4D所示,獲取模塊320還可以包括第三查找模塊����,用于當(dāng)?shù)谌袛嗄K的判斷結(jié)果為否定時(shí),從移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯映射表中�,查找出與第三提取模塊所提取的數(shù)據(jù)包中的源IP地址相對(duì)應(yīng)的IP地址,作為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址�����。
[0062]此外�,裝置30還可以包括執(zhí)行模塊340���,用于對(duì)發(fā)出惡意行為的移動(dòng)用戶執(zhí)行防止其發(fā)出惡意行為的反制措施�。
[0063]參見(jiàn)圖5����,其示出了按照本發(fā)明一個(gè)實(shí)施例的用于追蹤移動(dòng)用戶的設(shè)備的示意圖��。圖3所示的設(shè)備50可以是移動(dòng)網(wǎng)絡(luò)中的新增設(shè)備或設(shè)置在任一現(xiàn)有網(wǎng)絡(luò)設(shè)備(例如���,RADIUS服務(wù)器、計(jì)費(fèi)網(wǎng)關(guān)等)中��。如圖5所示����,設(shè)備50包括存儲(chǔ)器520和處理器530。
[0064]其中���,存儲(chǔ)器520可以用于存儲(chǔ)可執(zhí)行指令�����。
[0065]處理器530可以用于根據(jù)存儲(chǔ)器520所存儲(chǔ)的可執(zhí)行指令����,執(zhí)行以下步驟:當(dāng)檢測(cè)到互聯(lián)網(wǎng)中出現(xiàn)惡意行為時(shí)�,獲取發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址和惡意行為出現(xiàn)的時(shí)間;根據(jù)所獲取的動(dòng)態(tài)IP地址和時(shí)間��,從移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)���、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)中�,檢索出發(fā)出所述惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí)。其中�����,動(dòng)態(tài)IP地址是移動(dòng)網(wǎng)絡(luò)分配的�����,以及各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址有效期限是各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址被分配給各個(gè)移動(dòng)用戶使用的開(kāi)始時(shí)間和截止時(shí)間�����。
[0066]此外�����,移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)���、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)可以是各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限之間的映射關(guān)系�����。[0067]此外,各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)����、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限可以是從移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備、移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備向各個(gè)移動(dòng)用戶發(fā)送的用于分配動(dòng)態(tài)IP地址的數(shù)據(jù)包和各個(gè)移動(dòng)用戶向移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備發(fā)送的用于表示各個(gè)移動(dòng)用戶退出所述移動(dòng)網(wǎng)絡(luò)的數(shù)據(jù)包�����、和/或從與各個(gè)移動(dòng)用戶有關(guān)的計(jì)費(fèi)數(shù)據(jù)中獲得的�����。
[0068]此外����,對(duì)于上面的獲取步驟,處理器530進(jìn)一步執(zhí)行以下步驟:從所抓取的移動(dòng)網(wǎng)絡(luò)向互聯(lián)網(wǎng)發(fā)送的數(shù)據(jù)包中提取與惡意行為相關(guān)的數(shù)據(jù)包�;將所提取的數(shù)據(jù)包被抓取的時(shí)間確定為惡意行為出現(xiàn)的時(shí)間;判斷該映射關(guān)系中是否包含有與所提取的數(shù)據(jù)包中的源IP地址相同的動(dòng)態(tài)IP地址��;以及����,當(dāng)判斷結(jié)果為肯定時(shí),將所提取的數(shù)據(jù)包中的源IP地址確定為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址。
[0069]此外��,對(duì)于上面的獲取步驟�,處理器530還可以執(zhí)行以下步驟:當(dāng)判斷結(jié)果為否定時(shí),從移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯(NAT )映射表中��,檢索出與第一提取模塊所提取的數(shù)據(jù)包中的源IP地址相對(duì)應(yīng)的IP地址���,作為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址��?�;蛘?���,對(duì)于上面的獲取步驟��,處理器530還可以執(zhí)行以下步驟:當(dāng)判斷結(jié)果為否定時(shí)���,在移動(dòng)網(wǎng)絡(luò)中檢測(cè)出發(fā)往互聯(lián)網(wǎng)的與所提取的數(shù)據(jù)包相對(duì)應(yīng)的數(shù)據(jù)包�;將所檢測(cè)出的數(shù)據(jù)包中所包括的源IP地址�����,確定為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址���。其中�����,所檢測(cè)出的數(shù)據(jù)包在移動(dòng)網(wǎng)絡(luò)中傳輸?shù)臅r(shí)刻與移動(dòng)網(wǎng)絡(luò)向互聯(lián)網(wǎng)發(fā)送所提取的數(shù)據(jù)包的時(shí)刻之差小于指定值����,并且所檢測(cè)出的數(shù)據(jù)包和所提取的數(shù)據(jù)包包含相同的指定內(nèi)容���。
[0070]或者����,對(duì)于上面的獲取步驟���,處理器530可以進(jìn)一步執(zhí)行以下步驟:從惡意網(wǎng)站的日志中讀取發(fā)出惡意行為的移動(dòng)用戶訪問(wèn)該惡意網(wǎng)站的時(shí)間���,作為惡意行為出現(xiàn)的時(shí)間;從惡意網(wǎng)站的日志中提取發(fā)出惡意行為的移動(dòng)用戶的IP地址��;判斷映射關(guān)系中是否包含有與第二提取模塊所提取的IP地址相同的動(dòng)態(tài)IP地址�����;當(dāng)判斷結(jié)果為肯定時(shí),將所提取的IP地址確定為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址���。此外�����,對(duì)于上面的獲取步驟����,處理器530還可以執(zhí)行以下步驟:當(dāng)判斷結(jié)果為否定時(shí)�,從移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯映射表中,查找出與所提取的IP地址相對(duì)應(yīng)的IP地址�����,作為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址�����。
[0071]或者�,對(duì)于上面的獲取步驟,處理器530可以進(jìn)一步執(zhí)行以下步驟:從在移動(dòng)網(wǎng)絡(luò)內(nèi)抓取的數(shù)據(jù)包中提取包含有與惡意行為關(guān)聯(lián)的內(nèi)容的數(shù)據(jù)包�����;將所提取的數(shù)據(jù)包被抓取的時(shí)間確定為惡意行為出現(xiàn)的時(shí)間;判斷映射關(guān)系中是否包含有與所提取的數(shù)據(jù)包中的源IP地址相同的動(dòng)態(tài)IP地址��;當(dāng)判斷結(jié)果為肯定時(shí)�����,將所提取的數(shù)據(jù)包中的源IP地址確定為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址��。此外����,對(duì)于上面的獲取步驟�,處理器530還可以執(zhí)行以下步驟:當(dāng)判斷結(jié)果為否定時(shí),從移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯映射表中��,查找出與所提取的數(shù)據(jù)包中的源IP地址相對(duì)應(yīng)的IP地址��,作為發(fā)出惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址��。
[0072]此外�,處理器530還可以執(zhí)行以下步驟:對(duì)發(fā)出惡意行為的移動(dòng)用戶執(zhí)行防止其發(fā)出惡意行為的反制措施。
[0073]本發(fā)明的實(shí)施例還提供一種機(jī)器可讀介質(zhì)�,在其上存儲(chǔ)有機(jī)器可執(zhí)行指令��,當(dāng)該機(jī)器可執(zhí)行指令被執(zhí)行時(shí)��,使得機(jī)器實(shí)施前述處理器530所執(zhí)行的步驟��。
[0074]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解���,上面所公開(kāi)的各個(gè)實(shí)施例可以在沒(méi)有偏離發(fā)明實(shí)質(zhì)的情況下做出各種改變或變型,因此��,本發(fā)明的保護(hù)范圍應(yīng)當(dāng)由所附的權(quán)利要求書(shū)來(lái)定義�����。
【權(quán)利要求】
1.一種用于追蹤移動(dòng)用戶的方法�����,包括步驟: 當(dāng)檢測(cè)到互聯(lián)網(wǎng)中出現(xiàn)惡意行為時(shí)���,獲取發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)互聯(lián)網(wǎng)協(xié)議(IP)地址和所述惡意行為出現(xiàn)的時(shí)間�;以及 根據(jù)所獲取的動(dòng)態(tài)IP地址和時(shí)間����,從移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)��、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)中����,檢索出發(fā)出所述惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí)�����, 其中��,所述動(dòng)態(tài)IP地址是所述移動(dòng)網(wǎng)絡(luò)分配的�����,以及所述各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址有效期限是所述各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址被分配給所述各個(gè)移動(dòng)用戶使用的開(kāi)始時(shí)間和截止時(shí)間�����。
2.如權(quán)利要求1所述的方法�,其中����, 所述數(shù)據(jù)是所述各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限之間的映射關(guān)系����。
3.如權(quán)利要求1或2所述的方法�,其中���, 所述各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)�、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限是從所述移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備��、所述移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備與所述各個(gè)移動(dòng)用戶之間傳送的的用于分配動(dòng)態(tài)IP地址的數(shù)據(jù)包和所述移動(dòng)網(wǎng)絡(luò)中表示所述各個(gè)移動(dòng)用戶退出所述移動(dòng)網(wǎng)絡(luò)的數(shù)據(jù)包��、和/或從與所述各個(gè)移動(dòng)用戶有關(guān)的計(jì)費(fèi)數(shù)據(jù)中獲得的����。
4.如權(quán)利要求2所述的方法�����,其中��,所述獲取步驟進(jìn)一步包括: 從所抓取的所述移動(dòng)網(wǎng)絡(luò)向所述互聯(lián)網(wǎng)發(fā)送的數(shù)據(jù)包中提取與所述惡意行為相關(guān)的數(shù)據(jù)包�; 將所提取的數(shù)據(jù)包被抓取的時(shí)間確定為所述惡意行為出現(xiàn)的時(shí)間; 判斷所述映射關(guān)系中是否包含有與所述提取的數(shù)據(jù)包中的源IP地址相同的動(dòng)態(tài)IP地址��;以及 當(dāng)判斷結(jié)果為肯定時(shí)�,將所述提取的數(shù)據(jù)包中的源IP地址確定為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址�。
5.如權(quán)利要求4所述的方法����,其中,所述獲取步驟還包括: 當(dāng)所述判斷結(jié)果為否定時(shí)��,從所述移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯(NAT)映射表中�,查找出與所述提取的數(shù)據(jù)包中的源IP地址相對(duì)應(yīng)的IP地址,作為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址�����。
6.如權(quán)利要求4所述的方法�,其中��,所述獲取步驟還包括: 當(dāng)所述判斷結(jié)果為否定時(shí)����,在所述移動(dòng)網(wǎng)絡(luò)中查找發(fā)往所述互聯(lián)網(wǎng)的與所述提取的數(shù)據(jù)包相對(duì)應(yīng)的數(shù)據(jù)包;以及 將所查找的數(shù)據(jù)包所包括的源IP地址��,確定為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址�����, 其中,所述查找的數(shù)據(jù)包在所述移動(dòng)網(wǎng)絡(luò)中傳輸?shù)臅r(shí)刻與所述移動(dòng)網(wǎng)絡(luò)向所述互聯(lián)網(wǎng)發(fā)送所述提取的數(shù)據(jù)包的時(shí)刻之差小于指定值���,并且所述查找的數(shù)據(jù)包和所述提取的數(shù)據(jù)包包含相同的指定內(nèi)容�。
7.如權(quán)利要求2所述的方法��,其中��,所述獲取步驟進(jìn)一步包括:從惡意網(wǎng)站的日志中提取發(fā)出所述惡意行為的移動(dòng)用戶的IP地址����; 從所述惡意網(wǎng)站的日志中讀取發(fā)出所述惡意行為的移動(dòng)用戶訪問(wèn)所述惡意網(wǎng)站的時(shí)間,作為所述惡意行為出現(xiàn)的時(shí)間����; 判斷所述映射關(guān)系中是否包含有與所提取的IP地址相同的動(dòng)態(tài)IP地址;以及 當(dāng)判斷結(jié)果為肯定時(shí)����,將所提取的IP地址確定為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址。
8.如權(quán)利要求7所述的方法��,其中�����,所述獲取步驟還包括: 當(dāng)所述判斷結(jié)果為否定時(shí),從所述移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯(NAT)映射表中���,查找出與所提取的IP地址相對(duì)應(yīng)的IP地址�����,作為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址��。
9.如權(quán)利要求2所述的方法��,其中����,所述獲取步驟進(jìn)一步包括: 從在所述移動(dòng)網(wǎng)絡(luò)內(nèi)抓取的數(shù)據(jù)包中提取包含有與所述惡意行為關(guān)聯(lián)的內(nèi)容的數(shù)據(jù)包�; 將所提取的數(shù)據(jù)包被抓取的時(shí)間確定為所述惡意行為出現(xiàn)的時(shí)間; 判斷所述映射關(guān)系中是否包含有與所提取的數(shù)據(jù)包中的源IP地址相同的動(dòng)態(tài)IP地址����;以及 當(dāng)判斷結(jié)果為肯定時(shí)���,將所提取的數(shù)據(jù)包中的源IP地址確定為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址�����。
10.如權(quán)利要求9所述的方法����,其中,所述獲取步驟還包括: 當(dāng)所述判斷結(jié)果為否定時(shí)����,從所述移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯(NAT)映射表中,查找出與所述提取的數(shù)據(jù)包中的源IP地址相對(duì)應(yīng)的IP地址�����,作為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址�。
11.一種用于追蹤移動(dòng)用戶的裝置,包括: 獲取模塊����,用于當(dāng)檢測(cè)到互聯(lián)網(wǎng)中出現(xiàn)惡意行為時(shí),獲取發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)互聯(lián)網(wǎng)協(xié)議(IP)地址和所述惡意行為出現(xiàn)的時(shí)間���;以及 檢索模塊����,用于根據(jù)所獲取的動(dòng)態(tài)IP地址和時(shí)間,從移動(dòng)網(wǎng)絡(luò)中包含各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)���、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限的數(shù)據(jù)中���,檢索出發(fā)出所述惡意行為的移動(dòng)用戶的永久身份標(biāo)識(shí), 其中��,所述動(dòng)態(tài)IP地址是所述移動(dòng)網(wǎng)絡(luò)分配的��,以及所述各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址有效期限是所述各個(gè)移動(dòng)用戶的動(dòng)態(tài)IP地址被分配給所述各個(gè)移動(dòng)用戶使用的開(kāi)始時(shí)間和截止時(shí)間���。
12.如權(quán)利要求11所述的裝置��,其中�����, 所述數(shù)據(jù)是所述各個(gè)移動(dòng)用戶的永久身份標(biāo) 識(shí)���、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限之間的映射關(guān)系。
13.如權(quán)利要求11或12所述的裝置�����,其中���, 所述各個(gè)移動(dòng)用戶的永久身份標(biāo)識(shí)����、動(dòng)態(tài)IP地址和動(dòng)態(tài)IP地址有效期限是從所述移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備�、根據(jù)所述移動(dòng)網(wǎng)絡(luò)中負(fù)責(zé)分配動(dòng)態(tài)IP地址的網(wǎng)絡(luò)設(shè)備與所述各個(gè)移動(dòng)用戶之間傳送的用于分配動(dòng)態(tài)IP地址的數(shù)據(jù)包和所述移動(dòng)網(wǎng)絡(luò)中用于表示所述各個(gè)移動(dòng)用戶退出所述移動(dòng)網(wǎng)絡(luò)的數(shù)據(jù)包、和/或從與所述各個(gè)移動(dòng)用戶有關(guān)的計(jì)費(fèi)數(shù)據(jù)中獲得的
14.如權(quán)利要求12所述的裝置����,其中,所述獲取模塊進(jìn)一步包括: 第一提取模塊�,用于從所抓取的所述移動(dòng)網(wǎng)絡(luò)向互聯(lián)網(wǎng)發(fā)送的數(shù)據(jù)包中提取與所述惡意行為相關(guān)的數(shù)據(jù)包; 第一確定模塊����,用于將所提取的數(shù)據(jù)包被抓取的時(shí)間確定為所述惡意行為出現(xiàn)的時(shí)間; 第一判斷模塊��,用于判斷所述映射關(guān)系中是否包含有與所提取的數(shù)據(jù)包中的源IP地址相同的動(dòng)態(tài)IP地址��;以及 第二確定模塊���,用于當(dāng)判斷結(jié)果為肯定時(shí)��,將所提取的數(shù)據(jù)包中的源IP地址確定為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址�。
15.如權(quán)利要求14所述的裝置,其中����,所述獲取模塊還包括: 第一查找模塊,用于當(dāng)所述判斷結(jié)果為否定時(shí)����,從所述移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯(NAT)映射表中,查找出與所提取的數(shù)據(jù)包中的源IP地址相對(duì)應(yīng)的IP地址����,作為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址。
16.如權(quán)利要求14所述的裝置����,其中,所述獲取模塊還包括: 檢測(cè)模塊��,用于當(dāng)所述判斷結(jié)果為否定時(shí)�����,在所述移動(dòng)網(wǎng)絡(luò)中檢測(cè)出發(fā)往所述互聯(lián)網(wǎng)的與所述提取的數(shù)據(jù)包相對(duì)應(yīng)的數(shù)據(jù)包����;以及 第三確定模塊,用于將所檢測(cè)的數(shù)據(jù)包所包括的源IP地址�����,確定為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址����, 其中,所述檢測(cè)的數(shù)據(jù)包在所述移動(dòng)網(wǎng)絡(luò)中傳輸?shù)臅r(shí)刻與所述移動(dòng)網(wǎng)絡(luò)向所述互聯(lián)網(wǎng)發(fā)送所述提取的數(shù)據(jù)包的時(shí)刻之差小于指定值����,并且所述檢測(cè)的數(shù)據(jù)包和所述提取的數(shù)據(jù)包包含相同的指定內(nèi)容。
17.如權(quán)利要求12所述的裝置��,其中��,所述獲取模塊進(jìn)一步包括: 讀取模塊�����,用于從惡意網(wǎng)站的日志中讀取發(fā)出所述惡意行為的移動(dòng)用戶訪問(wèn)所述惡意網(wǎng)站的時(shí)間��,作為所述惡意行為出現(xiàn)的時(shí)間���; 第二提取模塊�,用于從所述惡意網(wǎng)站的日志中提取發(fā)出所述惡意行為的移動(dòng)用戶的IP地址; 第二判斷模塊�����,用于判斷所述映射關(guān)系中是否包含有與所提取的IP地址相同的動(dòng)態(tài)IP地址��;以及 第四確定模塊��,用于當(dāng)判斷結(jié)果為肯定時(shí)����,將所提取的IP地址確定為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址。
18.如權(quán)利要求17所述的裝置���,其中��,所述獲取模塊還包括: 第二查找模塊���,用于當(dāng)所述判斷結(jié)果為否定時(shí),從所述移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯(NAT)映射表中����,查找出與所述提取的IP地址相對(duì)應(yīng)的IP地址����,作為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址�����。
19.如權(quán)利要求12所述的裝置��,其中��,所述獲取模塊進(jìn)一步包括: 第三提取模塊���,用于從在所述移動(dòng)網(wǎng)絡(luò)內(nèi)抓取的數(shù)據(jù)包中提取包含有與所述惡意行為關(guān)聯(lián)的內(nèi)容的數(shù)據(jù)包; 第五確定模塊���,將所提取的數(shù)據(jù)包被抓取的時(shí)間確定為所述惡意行為出現(xiàn)的時(shí)間�;第三判斷模塊���,用于判斷所述映射關(guān)系中是否包含有與所提取的數(shù)據(jù)包中的源IP地址相同的動(dòng)態(tài)IP地址��;以及 第六確定模塊�,用于當(dāng)判斷結(jié)果為肯定時(shí)����,將所提取的數(shù)據(jù)包中的源IP地址確定為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址����。
20.如權(quán)利要求19所述的裝置�����,其中�����,所述獲取模塊還包括: 第三查找模塊����,用于當(dāng)所述判斷結(jié)果為否定時(shí),從所述移動(dòng)網(wǎng)絡(luò)的邊界設(shè)備所存儲(chǔ)的網(wǎng)絡(luò)地址翻譯(NAT)映射表中�����,查找出與所述提取的數(shù)據(jù)包中的源IP地址相對(duì)應(yīng)的IP地址�����,作為發(fā)出所述惡意行為的移動(dòng)用戶的動(dòng)態(tài)IP地址。
21.一種用于追蹤移動(dòng)用戶的設(shè)備���,包括: 存儲(chǔ)器���,用于存儲(chǔ)可執(zhí)行指令;以及 處理器��,用于根據(jù)所存儲(chǔ)的可執(zhí)行指令�,執(zhí)行權(quán)利要求1-10中的任意一個(gè)權(quán)利要求所包括的步驟。
22.—種機(jī)器可讀介質(zhì)���,在其上存儲(chǔ)有機(jī)器可執(zhí)行指令,其中����,當(dāng)所述機(jī)器可執(zhí)行指令被執(zhí)行時(shí),使得機(jī)器實(shí)施權(quán)利要求ι-?ο中的任意一個(gè)所包括的步驟�����。
【文檔編號(hào)】H04L29/06GK103581910SQ201210271484
【公開(kāi)日】2014年2月12日 申請(qǐng)日期:2012年7月31日 優(yōu)先權(quán)日:2012年7月31日
【發(fā)明者】隋愛(ài)芬, 郭代飛 申請(qǐng)人:西門子公司