一种检测共享接入主机数的方法及装置的制作方法

专利名称：一种检测共享接入主机数的方法及装置的制作方法
技术领域：
本发明涉及通信领域，尤其涉及一种检测共享接入主机数的方法及装置。
背景技术：
为解决全球IP地址资源匮乏的问题，Internet工程任务组(IETF， Internet Engineering Task Force)组织提出了网络地址翻i奪协议(NAT, Network Address Translator),来实现网络地址转换的功能，使用NAT协议后，位于NAT设备后 的主机拥有自己的私网IP地址，而NAT设备则拥有一个或多个公网IP地址。 当主机需要与位于公网上的设备进行通信的时候，NAT设备将所述主机对应的 私网IP地址和端口号映射为一个公网IP地址和端口号，这样位于NAT设备后 的主机通过所述公网IP地址和端口号和公网上设备进行通信，相对其它公网上 设备所述主机就是透明的。在很多情况下，需要对NAT设备后的主机数量进行 检测，以达到某种监管的目的，然而NAT的特性使得经由NAT的数据包本身很 难观察出NAT后主机的信息，从而使得对NAT后的主机数量进行统计变得十分 困难。

发明内容
本发明实施例提供一种用于检测共享接入主机数的方法及装置。可通过主 机独有的特性检测共享接入主机数，准确性高。
为了解决上述技术问题，本发明实施例提供了 一种检测共享接入主机数的 方法，包i舌；
分析来自同一公网IP地址的ISN的变化规律，当分析得到任意两个ISN的 ISN变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述两个ISN 存入同一ISN信息块；
根据ISN信息块，检测公网IP地址的共享接入主机数。
相应的，本发明实施例还提供了一种检测共享接入主机数的装置，包括分析模块，用于分析来自同一公网IP地址的ISN的变化规律；
处理模块，用于，当所述分析模块分析得到任意两个ISN的ISN变化规律
与预置的任一主机系统的ISN变化规律相匹配时，将所述两个ISN存入同一 ISN
信息块；
检测模块，用于根据ISN信息块，检测公网IP地址的共享接入主机数。 本发明实施例，根据每个主机系统的ISN具有特定的变化规律，且每个主 机产生的ISN的数值具有每个主机独有的特性，同一主机产生的ISN间的变化 规律与所述主机系统的ISN变化规律相匹配，而不同的主机产生的ISN,由于 数特性的差别，不会与预置的任一主机系统的ISN变化规律相匹配的原则，将 同 一公网IP下的ISN按照主机系统的ISN变化规律进行分析，并当任意两个ISN 的ISN变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述两个 ISN存入同一ISN信息块，这样每个信息块中存储的ISN—定是来自同一主机， 最后通过统计所述信息块的数目即可达到统计主机数的目的，由于本发明实施 例利用的是主机本身的特性来区分主机(产生不同的ISN信息块)，进而统计区 分出的主机数，相对于现有技术基于数据的方式，准确性高。


图1是本发明的检测共享接入主机数的装置的第一实施例结构组成示意图; 图2是本发明的检测共享接入主机数的装置的第二实施例结构组成示意图; 图3是本发明的^^测共享接入主机数的方法的第一实施例的流程示意图； 图4是本发明的检测共享接入主机数的方法的第二实施例的流程示意图； 图5是一个接入监控系统的架构示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明 作进一步地详细描述。
图1是本发明的检测共享接入主机数的装置的第一实施例结构组成示意图； 如图1所示，本实施例的装置包括分析模块10、处理模块ll、检测模块12;
其中，所述分析模块10，用于分析来自同 一公网IP地址的ISN的变化规律；
所述处理模块11，用于当所述分析模块10分析得到任意两个ISN的ISN变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述两个ISN存 入同一ISN信息块；
所述检测模块12,用于根据ISN信息块，检测公网IP地址的共享接入主机
数；
具体实现中，每个主机系统的ISN具有特定的变化规律，且每个主机产生 的ISN的数值具有每个主机独有的特性，同一主机产生的ISN间的变化规律与 所述主机系统的ISN变化规律相匹配，而不同的主机产生的ISN,由于数值特 性的差别，不会与任一主机系统的ISN变化规律相匹配，这样即使两个主机具 有相同的主机系统，来自同一主机的ISN间的变化规律才能与所述主机系统的 ISN变化规律相匹配，而来自不同的主机的ISN间的变化规律不会与所述主机 系统的ISN变化规律相匹配，这样可将符合任一主机系统的ISN变化规律的ISN 存入同一ISN信息块，根据所述ISN信息块，就可以检测共享接入主机数。
其中，本实施例装置还可以进一步包括存储模块13,用于存储预置的IP数 据信息块和ISN信息块。
具体实现中， 一个公网IP地址可与一个IP数据信息块——对应，因此，所 述分析模块10可在一 IP数据信息块的范围内分析ISN的变化规律。所述IP数 据信息块可以为IP数据信息表，或IP数据信息数据库，所述IP数据信息块可 包括所述公网IP地址下的多个ISN信息。所述ISN信息块，可以为ISN信息队 列。
仍参考图1,本实施例的分析模块10包括提取模块100、第一分析模块101;
其中，所述提取模块100，用于从所述存储模块13存储的IP数据信息块中 提取ISN信息，所述ISN信息可包括ISN的数值及ISN数值的获取时间中的一 种或两种，所述ISN信息也可根据计算规律所需信息的不同而包括不同信息参数。
具体实现中，所述ISN获取时间可以为系统接收到ISN数值的时间。
具体实现中，提取模块100可按照预先设定的秩序从预置的IP数据信息块 中提取ISN信息，也可随机从预置的IP数据信息块中提取。
所述第一分析模块101,用于分析所述提取模块100提取的ISN信息与已有 ISN信息块中ISN信息间的变化规律。
具体实现中，第一分析模块101可根据预置的主机系统的ISN变化规律，计算所述提取模块100提取的ISN信息与已有ISN信息块中的ISN信息间的变 化规律。所述根据预置的主机系统的ISN变化规律计算提取的ISN信息与已有 ISN信息块中的ISN信息间的变化规律举例如下比如，主机系统1的ISN变 化规律为A (ISN数值始终保持直线的规律变化)，则第一分析模块101可根据 所述变化规律A的直线，将所述提和漠块100提取的ISN信息与已知ISN信息 块中的ISN信息的数值分别作为直线的两点进行运算，看二者是否在直线上。
具体实现中，当存在多个预置的主机系统的ISN变化规律时，所述第一分 析模块101可按照一定的顺序，首先按照所述多个主机系统的其中一个主机系 统的ISN变化规律来计算提取的ISN信息与已有ISN信息块中ISN信息间的变 化规律，如果运算出的变化规律与所述主机系统的ISN变化规律相匹配时，所 述第一分析模块101可不需再按照其他的主机系统的ISN变化规律计算提取的 ISN信息与已有ISN信息块中ISN信息间的变化规律；如果运算出的变化规律 与所述主机系统的ISN变化规律不相匹配时，接照下一个主机系统的ISN变化 规律计算提取的ISN信息与已有ISN信息块中ISN信息间的变化规律，可直到 已经按照所有的主机系统的ISN变化规律计算所述提取的ISN信息与已有ISN 信息块中ISN信息间的变化规律为止。
具体实现中，当存在多个已有ISN信息块时，可按照规定的顺序或随机的， 首先分析提取的ISN信息与某一个ISN信息块中的ISN信息，如果分析出提取 的ISN信息与某一个ISN信息块中的ISN信息与某一预置的主机系统的ISN变 化规律相匹配时，可不用分析所述提取的ISN信息与其他已有ISN信息块中的 ISN信息；如果分析出提取的ISN信息与某一个ISN信息块中的ISN信息之间 的变化规律与某一预置的主机系统的ISN变化规律不相匹配时，可进一步分析 所述提取的ISN信息与其他ISN信息块中的ISN信息的ISN变化规j聿，直到分 析完所述提取的ISN信息与所有已有ISN信息块中的ISN信息的变化规律。
具体实现中，当某个已知ISN信息块中包括两个以上的ISN信息时，可分 析提取的ISN信息与所述ISN信息块中的任一个ISN信息的变化规律，如果分 析出提取的ISN信息与该ISN信息的变化规律与某一预置的主机系统的ISN变 化规律不相匹配时，可不用分析所述提取ISN信息与该ISN信息块中其他ISN 信息间的变化规律，当然可以进一步分析所述提取的ISN信息与该ISN信息块 中的其他ISN信息的ISN变化失见律。相应的，所迷处理模块11包括预处理模块110第一处理模块111和第二处 理模块112,其中，
所述预处理模块no,用于将所述提^^莫块ioo从所述ip数据信息块中第
一个提取的ISN信息存入ISN信息块；具体实现中，提取模块100从所述IP数 据信息块中第一个提取的ISN信息可以是按照预先设定的提取顺序所提取的第 一个ISN信息，也可以是通过随机提取方式提取的所述IP数据信息块中的任一 个ISN信息。
所述第一处理模块111,用于当所述第一分析模块101分析-验证所述提取的 ISN信息与任一已有ISN信息块中至少一个ISN信息的变化少见律，与预置的任 一主机系统的ISN变化规律相匹配时，将所述提取的ISN信息加入所述至少一 个ISN信息所在的ISN信息块；
所述第二处理模块112，用于当所述第一分析模块101分析验证所述提取的 ISN信息与已有ISN信息块中ISN信息间的变化规律，与所有主机系统的ISN 变化规律均不匹配时，建立ISN信息块存储所述提取的ISN信息。
所述检测模块12可包括第一统计模块120,用于统计至少包括有两个ISN 信息的ISN信息块的数目，作为所述公网IP地址的共享接入主机数。具体实现 中，所述第一统计模块120可实时统计至少包括有两个ISN信息的ISN信息块 的数目，然后根据后续的统计，不断更新之前的统计数目；也可在所有ISN信 息均被进行变化规律分析后， 一次性统计至少包括有两个ISN信息的ISN信息 块的数目。
具体实现中所述处理才莫块11还可进一步包括判断模块，所述判断模块用于， 判断所述IP数据信息块中的所有ISN信息是否均被提取，并在判断为是时，通 知所述笫一统计模块120统计至少包括有两个ISN信息的ISN信息块的数目。
具体实现中，本实施例的装置还可包括
第二判断模块，用于判断存储模块中存储的IP数据信息块中存储的ISN信 息的数量是否达到预设的值，如果判断为是，通知所述分析模块分析来自同一 公网IP地址的ISN的变化规律。比如，可以预设阈值为100。
具体实现中，本实施例的装置还可包括
接收模块，用于接收数据信息。具体实现中，所述接收的数据信息可以为
包括ISN数值的IP数据包，比如，为TCPsyn数据包。提取子模块，用于从所述接收模块接收的数据信息中提取公网IP地址、ISN 数值及所述ISN数值的获取时间；
建立模块，用于根据所述提取子模块提取的信息，对应每一公网IP地址预 置IP数据信息块，所述IP数据信息块中存储来自所述IP地址的所有ISN的ISN
4吕息。
进一步，具体实现中，所述建立模块可包括第一判断模块和第一建立模块， 其中，所述第一判断模块，用于判断所述存储模块中是否已经存储有所述提取 子模块提取的IP地址对应的IP数据信息块，如果判断为是，通知所述存储模块 将所述提取子模块提取的ISN信息加入所述IP地址对应的IP数据信息块；如果 判断为否，通知所述第一建立模块建立IP数据信息块，所述第一建立模块221, 用于在接收到所述第一判断模块输出的否定的判定结果时，预置IP数据信息块。
本发明实施例，根据每个主机系统的ISN具有特定的变化规律，且每个主 机产生的ISN的数值具有每个主机独有的特性，同一主机产生的ISN间的变化 规律与所述主机系统的ISN变化规律相匹配，而不同的主机产生的ISN,由于 数特性的差别，不会与预置的任一主机系统的ISN变化规律相匹配的原则，将 同一公网IP下的ISN按照主机系统的ISN变化规律进行分析，并当任意两个ISN 的ISN变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述两个 ISN存入同一 ISN信息块，这样每个信息块中存储的ISN —定是来自同一主机， 最后通过统计所述信息块的数目即可达到统计主机数的目的，由于本发明实施
分出的主机数，相对于现有技术基于数据的方式，准确性高。
图2是本发明的检测共享接入主机数的装置的第二实施例结构组成示意如图2所示，本实施例的装置包括分析模块20、处理模块21、检测模块22; 其中，所述分析模块20用于分析来自同 一公网IP地址的ISN的变化规律； 所述处理模块21,用于当所述分析模块20分析得到任意两个ISN的ISN
变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述两个ISN存
入同一ISN信息块；
所述检测模块22，用于根据ISN信息块，检测公网IP地址的共享接入主机
数；具体实现中，每个主机系统的ISN具有特定的变化规律，且每个主机产生
的ISN的数值具有每个主机独有的特性，同一主机产生的ISN间的变化规律与所述主机系统的ISN变化规律相匹配，而不同的主机产生的ISN,由于数值特 性的差别，不会与任一主机系统的ISN变化规律相匹配，这样即使两个主机具 有相同的主机系统，来自同一主机的ISN间的变化关见律才能与所述主机系统的 ISN变化规律相匹配，而来自不同的主机的ISN间的变化身见律不会与所述主机 系统的ISN变化规律相匹配，这样可将符合任一主机系统的ISN变化规律的ISN 存入同一ISN信息块，根据所述ISN信息块，就可以4企测共享接入主机数。
其中，本实施例装置还可包括存储模块23,用于存储IP数据信息块和ISN 信息块。
具体实现中， 一个公网IP地址可与一个IP数据信息块一~^~对应，因此，所 述分析模块10可在一 IP数据信息块的范围内分析ISN的变化规律。所述IP数 据信息块可以为IP数据信息表，或IP数据信息数据库，所述IP数据信息块可 包括所述公网IP地址下的多个ISN信息。所述ISN信息块，可以为ISN信息队列。
仍参考图2,本实施例的分析模块20包括提取才莫块200、第二分析模块201;
其中，所述提取才莫块200,用于从预置的IP数据信息块中提取ISN信息， 所述ISN信息可包括ISN的数值及ISN数值的获取时间中的一种或两种，所述 ISN信息也可根据计算规律所需信息的不同而包括不同信息参数。
具体实现中，所述ISN获取时间可以为系统接收到ISN数值的时间。
具体实现中，提取模块200可预先设定的秩序从存储模块23中提取ISN信 息，也可随机从存储模块23中提取。
所述第二分析模块201，用于根据主机系统的变化规律，分析所述提取模块 200提取的ISN信息与已有ISN信息块中最新ISN信息间的变化规律。如前所 述，每个主机操作系统的ISN具有特定的变化规律，且每个主机产生的ISN的 数值具有每个主机独有的特性，同一主机产生的ISN间的变化规律与所述主机 操作系统的ISN变化规律相匹配，而不同的主机产生的ISN，由于数特性的差 别，不会与任一主机操作系统的ISN变化规律相匹配，这样即使两个主机具有 相同的主机系统，只有来自同一主机的ISN间的变化规律才能与所述主机系统 的ISN变化规律相匹配，而来自不同的主机的ISN间的变化规律不会与所述主 机系统的ISN变化M^聿相匹配。
相应的，本实施例的处理模块21可包括第一预处理模块210、第三处理模块211以及第四处理才莫块212;
其中，所述第一预处理模块210,用于将所述提取模块200从所述IP数据 信息块中第一个4是取的ISN信息存入ISN信息块，并将所述ISN信息标记为所 述信息块的最新ISN信息；
与实施例一所不同的是，本实施例中提取模块所提取的ISN只需要同已有 ISN信息块中最新ISN信息间计算变化规律，与实施例一相比，提高的规律运 算的效率；
具体实现中，提取才莫块200从所述IP数据信息块中第一个提取的ISN信息 可以是按照预先设定的提取顺序所提取的第一个ISN信息，也可以是通过随机 提取方式提取的，所述IP数据信息块中的任一个ISN信息。
所述第三处理模块211,用于当所述第二分析模块201分析验证所述提取的 ISN信息与任一已有ISN信息块中最新ISN信息的变化规律与预置的任一主机 系统的ISN变化失见律相匹配时，将所述提取的ISN信息存入所述最新ISN信息 所在的ISN信息块，并标记为所述ISN信息块的最新ISN信息，并将所述ISN 信息块的标志位置1。
所述第四处理模块212,用于当所述第二分析模块201分析验证所述提取的 ISN信息与已有ISN信息块中的最新ISN信息的变化规律与所有主机系统的ISN 变化规律均不匹配时，则生成新的ISN信息块存储所述提取的ISN信息，并标 记所述提取的ISN信息为所述生成的信息块的最新ISN信息。具体实现中，所 述第四处理模块212在生成新的ISN信息块后，可以为所述ISN信息块设置标 志位，并且将所述标志位置O。 ^
比如，主机系统1的ISN变化规律为A (ISN数值始终保持直线的规律变 化)、主机系统2的ISN变化规律为B (ISN数值在特定的时间范围内保持直线 的规律变化，在另一特定的时间范围内保持二次曲线的少见律变化)、主机系统3 的ISN变化规律为C (ISN的数值以相同的比例递增)的例子；
当第二分析模块201分析验证所述第二个ISN的ISN信息与所述第一 ISN 的ISN信息的变化规律与主机系统1的所述A规律相匹配时，所述第三处理模 块211将所述第二个ISN的数值(假定为S2 )和获取时间(假定为T2 )存入第 一 ISN所在的ISN信息块中，并且将所述第二个ISN的S2标记为所述信息块的 最新ISN,将所述ISN信息块的标志位置1。表示有来自同一主机的ISN存在，进而表示所述IP地址后台至少存在一台主机。当第一分析模块分析验证所述第
三个ISN的ISN信息与所述第二个ISN的ISN信息的变化规律与主机系统1的 所述A规律也相匹配时，表明所述第三个ISN和所述第二个ISN及所述第 一个 ISN来自相同的主机，所述第三处理模块211将所述第三个ISN的数据S3和获 取时间T3存入第一 ISN所在的ISN信息块中，并且将所述第三个ISN的S3标 记为所述信息块的最新ISN,此时，可再次将所述ISN信息块的标志位置1，或 者此时经判断发现所述ISN信息块的标志位已经置1,则可不进行置1的处理。
当所述第二分析模块201分析确定所述第二个ISN的ISN信息与已知的 ISN信息块中最新ISN (第一ISN)的变化规律与所述A、 B、 C规律均不匹配 时，第四处理模块212生成新的信息块来存储所述第二个ISN的ISN信息，并 将所述第二个ISN的值S2标记为所述生成的信息块的最新ISN。此时，在IP 数据信息块中还有后续ISN信息时，提取后续的ISN信息分别与已知的两个ISN 信息块中的最新ISN(第一 ISN和第二 ISN )根据主机系统A、 B和C进行分析， 如果IP数据信息块中没有后续可提取的ISN信息时，则可理解为系统发生错误。 这样本实施例，将最新存入的ISN标记为ISN信息块的最新ISN ,后续提取的ISN 只需与最新ISN进行ISN规律运算即可，这样一方面有效避免了多余的无效的 预算，另一方面节省了运算时间，大大提高了系统的效率。
所述检测模块22可包括第二统计模块221,用于统计标志位置1的ISN信 息块的数目，作为所述公网IP地址的共享接入主机数。
具体实现中，所述第二统计模块221可实时统计标志位置1的ISN信息块 的数目，然后根据后续的统计，不断更新之前的统计数目；也可在所有ISN信 息均被进行变化规律分析后， 一次性统计标识位置1的ISN信息块的数目。
具体实现中所述处理模块21还可进一步包括判断模块，所述判断模块用于， 判断所述IP数据信息块中的所有ISN信息是否均被提取，并在判断为是时，通 知所述第二统计模块221统计标识位置1的ISN信息块的数目。。
具体实现中，本实施例的装置还可包括
第二判断模块，用于判断存储模块中存储的IP数据信息块中存储的ISN信 息的数量是否达到预设的值，如果判断为是，通知所述分析^^块分析来自同一 公网IP地址的ISN的变化规律。比如，可以预设阈值为100。
具体实现中，本实施例的装置还可包括接收模块，用于接收数据信息。具体实现中，所述接收的数据信息可以为
一包括ISN数值的IP数据包，比如，为TCP syn数据包。
提取子模块，用于从所述接收模块接收的数据信息中提取公网IP地址、ISN 数值及所述ISN数值的获取时间；
建立模块，用于根据所述提取子模块提取的信息，对应每一公网IP地址预 置IP数据信息块，所述IP lt据信息块中存储来自所述IP地址的所有ISN的ISN 信息。
进一步，具体实现中，所述建立模块可包括第一判断模块和第一建立模块， 其中，所述第一判断模块，用于判断所述存储模块中是否已经存储有所述提取 子模块提取的IP地址对应的IP数据信息块，如果判断为是，通知所述存储模块 将所述提取子模块提取的ISN信息加入所述IP地址对应的IP数据信息块；如果 判断为否，通知所述第一建立模块建立IP数据信息块，所述第一建立模块221, 用于在接收到所述第一判断模块输出的否定的判定结果时，预置IP数据信息块。
本发明实施例，根据每个主机系统的ISN具有特定的变化规律，且每个主 机产生的ISN的数值具有每个主机独有的特性，同一主机产生的ISN间的变化 规律与所述主机系统的ISN变化规律相匹配，而不同的主机产生的ISN,由于 数特性的差别，不会与预置的任一主机系统的ISN变化规律相匹配的原则，将 同 一公网IP下的ISN按照主机系统的ISN变化规律进行分析，并当任意两个ISN 的ISN变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述两个 ISN存入同一ISN信息块，这样每个信息块中存储的ISN—定是来自同一主机， 最后通过统计所述信息块的数目即可达到统计主机数的目的，由于本发明实施
分出的主机数，相对于现有技术基于数据的方式，准确性高。
相应的，本发明实施例包括检测共享接入主机数的方法，所述方法包括
分析来自同一公网IP地址的ISN的变化规律，当分析得到任意两个ISN的ISN
变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述两个ISN存
入同一ISN信息块；
根据ISN信息块，检测公网IP地址的共享接入主机数。
图3是本发明的检测共享接入主机数的方法的第一实施例的流程示意如图3所示，本实施例的方法包括步骤S300,从IP数据信息块中提取一 ISN信息存入ISN信息块； 具体实现中，IP数据信息块可以是预置的，在接收到数据信息(所述接收 的数据信息可以为一包括ISN数值的IP数据包，比如，为TCPsyn数据包)后， 从所述数据信息中提取公网IP地址、ISN数值及所述ISN数值的获取时间，并 根据所述提取子模块提取的信息，对应每一公网IP地址建立IP数据信息块，所 述IP数据信息块中存储来自所述IP地址的所有ISN的ISN信息，而且所述对 应每一公网IP地址建立IP数据信息块，所述IP数据信息块中存储来自所述IP 地址的所有ISN的ISN信息还可进一步具体包括判断是否已经存储有所述提 取子模块提取的IP地址对应的IP数据信息块，如果判断为是，将所述提取的ISN 信息加入所述IP地址对应的IP数据信息块；如果判断为否，通知建立模块建立 IP数据信息块。
具体实现中， 一个^^网IP地址可与一个IP数据信息块——对应，因此，所 述分析模块10可在一 IP数据信息块的范围内分析ISN的变化规律。所述IP数 据信息块可以为IP数据信息表，或IP数据信息数据库，所述IP数据信息块可 包括所述7>网IP地址下的多个ISN信息。所述ISN信息块，可以为ISN信息队 列。所述ISN信息可包括ISN的数值及ISN数值的获取时间中的一种或两种， 所述ISN信息也可根据计算规律所需信息的不同而包括不同信息参数。 具体实现中，所述ISN获取时间可以为系统接收到ISN数值的时间。 具体实现中，步骤S300可按照预先设定的秩序从一 IP数据信息块中提取 一ISN信息，也可随机提取任意一个ISN信息。且在步骤S300在提取ISN信息 之前，还可以判断存储的ISN信息的数量是否达到预设的值，并在判断为是的 时候，执行步骤S300。
步骤S301 ，从所述IP数据信息块中提取未参与分析的ISN信息；， 步骤S302,分析所述提取的ISN信息与已有ISN信息块中ISN信息间的变 化规律；
具体实现中，可根据预置的主机系统的ISN变化规律，计算所述提取模块 IOO提取的ISN信息与已有ISN信息块中的ISN信息间的变化规律。所述根据 预置的主机系统的ISN变化规律计算提取的ISN信息与已有ISN信息块中的ISN 信息间的变化规律举例如下比如，主机系统1的ISN变化规律为A (ISN数 值始终保持直线的规律变化)，则第一分析模块101可根据所述变化规律A的直线，将所述提私漠块100提取的ISN信息与已知ISN信息块中的ISN信息的数 值分别作为直线的两点进行运算，看二者是否在直线上。
具体实现中，当存在多个预置的主机系统的ISN变化规律时，可按照预定 的顺序，首先按照所述多个主机系统的其中一个主机系统的ISN变化规律来计 算提取的ISN信息与已有ISN信息块中ISN信息间的变化规律，如果运算出的 变化规律与所述主机系统的ISN变化规律相匹配时，可不需再按照其他的主机 系统的ISN变化规律计算提取的ISN信息与已有ISN信息块中ISN信息间的变 化规律；如果运算出的变化规律与所述主机系统的ISN变化规律不相匹配时， 按照下一个主机系统的ISN变化规律计算提取的ISN信息与已有ISN信息块中 ISN信息间的变化规律，可直到已经按照所有的主机系统的ISN变化规律计算 所述提取的ISN信息与已有ISN信息块中ISN信息间的变化规律为止。
具体实现中，当存在多个已有ISN信息块时，可按照规定的顺序或随机的， 首先分析提取的ISN信息与某一个ISN信息块中的ISN信息，如果分析出提取 的ISN信息与某一个ISN信息块中的ISN信息与某一预置的主机系统的ISN变 化规律相匹配时，可不用分析所述提取的ISN信息与其他已有ISN信息块中的 ISN信息；如果分析出提取的ISN信息与某一个ISN信息块中的ISN信息与某 一预置的主机系统的ISN变化规律不相匹配时，可进一步分析所述提取的ISN 信息与其他ISN信息块中的ISN信息的ISN变化规律，直到分析完所述提取的 ISN信息与所有已有ISN信息块中的ISN信息的变化规律。
具体实现中，当某个已知ISN信息块中包括两个以上的ISN信息时，可分 析提取的ISN信息与所述ISN信息块中的任一个ISN信息的变化规律，如果分 析出提取的ISN信息与该ISN信息的变化规律某一预置的主机系统的ISN变化 规律不相匹配时，可不用分析所述提取ISN信息与该ISN信息块中其他ISN信 息间的变化规律，当然可以进一步分析所述提取的ISN信息该ISN信息块中的 其他ISN信息的ISN变化规律。
步骤S303,当分析验证所述提取的ISN信息与任一已有ISN信息块中至少 一个ISN信息的变化规律，与预置的任一主机系统的ISN变化规律相匹配时， 将所述提取的ISN信息加入所述至少一个ISN信息所在的ISN信息块。
步骤S304,当分析验证所述提取的ISN信息与已有ISN信息块中ISN信息 间的变化规律，与所有主机系统的ISN变化规律均不匹配时，建立ISN信息块存储所述提取的ISN信息。
其中，所述建立的ISN信息块中的ISN信息，等待下次与所提取的新的ISN 进行规律运算并匹配预置的主机系统的ISN变化规律。
步骤S305,判断所述IP数据信息块中的所有ISN信息是否均被提取，如果 判断为是，执行步骤S306;否则，执行步骤S301;
步骤S306，统计至少包括有两个ISN信息的ISN信息块的数目，作为所述 公网IP地址的共享接入主机数。
本发明实施例，根据每个主机系统的ISN具有特定的变化规律，且每个主 机产生的ISN的数值具有每个主机独有的特性，同一主机产生的ISN间的变化 规律与所述主机系统的ISN变化规律相匹配，而不同的主机产生的ISN，由于 数特性的差别，不会与预置的任一主机系统的ISN变化规律相匹配的原则，将 同 一公网IP下的ISN按照主机系统的ISN变化规律进行分析，并当任意两个ISN 的ISN变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述两个 ISN存入同一ISN信息块，这样每个信息块中存储的ISN—定是来自同一主机， 最后通过统计所述信息块的数目即可达到统计主机数的目的，由于本发明实施 例利用的是主机本身的特性来区分主机(产生不同的ISN信息块)，进而统计区 分出的主机数，相对于现有技术基于数据的方式，准确性高。
图4是本发明的^r测共享接入主机数的方法的第二实施例的流程示意图； 如图4所示，本实施例的方法包括
步骤S400，从一IP数据信息块中提取一ISN信息存入ISN信息块，将所述 ISN信息标记为所述信息块的最新ISN信息；
具体实现中，所述IP数据信息块可是预置的，在接收到数据信息(所述接 收的数据信息可以为一包括ISN数值的IP数据包，比如，为TCP syn数据包) 后，从所述数据信息中提取公网IP地址、ISN数值及所述ISN数值的获取时间， 并根据所述提取子模块提取的信息，对应每一公网IP地址建立IP数据信息块， 所述IP数据信息块中存储来自所述IP地址的所有ISN的ISN信息，而且所述 对应每一公网IP地址建立IP数据信息块，所述IP数据信息块中存储来自所述 IP地址的所有ISN的ISN信息还可进一步具体包括判断是否已经存储有所述 提取子模块提取的IP地址对应的IP数据信息块，如果判断为是，将所述提取的 ISN信息加入所述IP地址对应的IP数据信息块；如果判断为否，通知建立模块建立IP数据信息块。
具体实现中， 一个乂>网IP地址可与一个IP数据信息块——对应，因此，所
述分析模块IO可在一IP数据信息块的范围内分析ISN的变化规律。所述IP数 据信息块可以为IP数据信息表，或IP数据信息数据库，所述IP数据信息块可 包括所述公网IP地址下的多个ISN信息。所述ISN信息块，可以为ISN信息队 列。所述ISN信息可包括ISN的数值及ISN数值的获取时间中的一种或两种， 所述ISN信息也可根据计算规律所需信息的不同而包括不同信息参数。 具体实现中，所述ISN获取时间可以为系统接收到ISN数值的时间。 具体实现中，步骤S400可按照预先设定的秩序从一 IP数据信息块中提取 一ISN信息，也可随才几提取任意一个ISN信息。且在步骤S400在提取ISN信息 之前，还可以判断存储的ISN信息的数量是否达到预设的值，并在判断为是的 时候，执行步骤S400。
步骤S401 ，从所述IP数据信息块中提取未参与分析的ISN信息； 步骤S402,分析所述提取的ISN信息与已有ISN信息块中最新ISN信息的 变化规律；
如前所述，每个主机操作系统的ISN具有特定的变化规律，且每个主机产 生的ISN的数值具有每个主机独有的特性，同一主机产生的ISN间的变化规律 与所述主机操作系统的ISN变化规律相匹配，而不同的主机产生的ISN,由于 数特性的差别，不会与任一主机操作系统的ISN变化规律相匹配，这样即使两 个主机具有相同的主机系统，只有来自同一主机的ISN间的变化规律才能与所 述主机系统的ISN变化规律相匹配，而来自不同的主机的ISN间的变化规律不 会与所述主机系统的ISN变化少见律相匹配。
步骤S403,当分析验证所述提取的ISN信息与任一已有ISN信息块中最新 ISN信息的变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述 提取的ISN信息存入所述最新ISN信息所在的ISN信息块，并标记为所述ISN 信息块的最新ISN信息，并将所述ISN信息块的标志位置1。
与实施例三所不同的是，本实施例中提取模块所提取的ISN只需要同已有 ISN信息块中最新ISN信息间计算变化规律，与实施例一相比，提高的规律运 算的效率。
步骤S404，当分析-验证所述提取的ISN信息与已有ISN信息块中的最新ISN信息的变化规律与所有主机系统的ISN变化规律均不匹配时，则生成新的ISN 信息块存储所述提取的ISN信息，并标记所述提取的ISN信息为所述生成的信 息块的最新ISN信息。
具体实现中，在生成新的ISN信息块后，可以为所述ISN信息块设置标志 位，并且将所述标志位置0。
比如，主机系统1的ISN变化规律为A (ISN数值始终保持直线的规律变 化)、主机系统2的ISN变化规律为B (ISN数值在特定的时间范围内保持直线 的规律变化，在另一特定的时间范围内保持二次曲线的规律变化)、主机系统3 的ISN变化规律为C (ISN的数值以相同的比例递增)的例子；
当第二分析模块201分析验证所述第二个ISN的ISN信息与所述第一 ISN 的ISN信息的变化规律与主机系统1的所述A规律相匹配时，将所述第二个ISN 的数值(假定为S2 )和获取时间(假定为T2 )存入第一 ISN所在的ISN信息块 中，并且将所述第二个ISN的S2标记为所述信息块的最新ISN，将所述ISN信 息块的标志位置1。表示有来自同一主机的ISN存在，进而表示所述IP地址后 台至少存在一台主机。当第一分析模块分析验证所述第三个ISN的ISN信息与 所述第二个ISN的ISN信息的变化规律与主机系统1的所述A规律也相匹配时， 表明所述第三个ISN和所述第二个ISN及所述第一个ISN来自相同的主机，将 所述第三个ISN的数据S3和获取时间T3存入第一 ISN所在的ISN信息块中， 并且将所述第三个ISN的S3标记为所述信息块的最新ISN,此时，可再次将所 述ISN信息块的标志位置1,或者此时经判断发现所述ISN信息块的标志位已 经置l，则可不进行置l的处理。
当分析确定所述第二个ISN的ISN信息与已知的ISN信息块中最新ISN(第 一ISN)的变化规律与所述A、 B、 C规律均不匹配时，生成新的信息块来存储 所述第二个ISN的ISN信息，并将所述第二个ISN的值S2标记为所述生成的信 息块的最新ISN。此时，在IPlt据信息块中还有后续ISN信息时，提取后续的 ISN信息分别与已知的两个ISN信息块中的最新ISN (第一 ISN和第二 ISN)根 据主机系统A、 B和C进行分析，如果IP数据信息块中没有后续可提取的ISN 信息时，则可理解为系统发生错误。
这样本实施例，将最新存入的ISN标记为ISN信息块的最新ISN ，后续提取 的ISN只需与最新ISN进行ISN规律运算即可，这样一方面有效避免了多余的无效的预算，另一方面节省了运算时间，大大提高了系统的效率。
步骤S405,判断所述IP数据信息块中的所有ISN信息是否均被提取，如果 判断为是，执行步骤S406;否则执行步骤S401;
步骤S406,统计标志位置1的信息块的数目，作为所述^^网IP地址的共享 接入主机数。
本发明实施例，根据每个主机系统的ISN具有特定的变化规律，且每个主 机产生的ISN的数值具有每个主机独有的特性，同一主机产生的ISN间的变化 规律与所述主机系统的ISN变化规律相匹配，而不同的主机产生的ISN,由于 数特性的差别，不会与预置的任一主机系统的ISN变化规律相匹配的原则，将 同 一公网IP下的ISN按照主机系统的ISN变化规律进行分析，并当任意两个ISN 的ISN变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述两个 ISN存入同一 ISN信息块，这样每个信息块中存储的ISN —定是来自同一主机， 最后通过统计所述信息块的数目即可达到统计主机数的目的，由于本发明实施 例利用的是主机本身的特性来区分主机(产生不同的ISN信息块)，进而统计区 分出的主机数，相对于现有技术基于数据的方式，准确性高。
具体实现中，本发明的技术方案可应用于共享接入检测系统，也可作为网 络监控系统中的一个^f莫块，图5是一个接入监控系统的架构示意图。如图5所 示，本实施例的接入监控系统包括数据转发装置、数据过滤存储服务器以及数 据分析检测平台，其中所述数据分析检测平台即为本发明技术方案中的检测共 享接入主机数目的装置
具体的，所述数据转发装置用于从被监控主机群的出口处或网络的出口处引 入接入网络的所有网络数据，通过接入独立的宽带来采集所述网络数据，并传 送到数据过滤存储服务器。具体实现中，数据转发装置可以为分光器(如图5所 示)，设置在城域网接口与骨干网接口处，分光器是一种可以把一个网络上的数 据引出到另一个分支网络中的现有网络设备。当然，所述数据转发装置也可以 是支持端口数据镜像的交换机中用于数据镜像的镜像模块，利用该镜像冲莫块得 到通过出口接入网络的网络数据的备份。
所述数据过滤存储服务器用于从数据转发装置传送来的网络数据中分离出 指定类型的数据包，对分流出的数据包解析出有用的数据，并将这些数据上报 到数据分析;险测平台，对于非指定类型的数据则丟弃。实际中，指定的数据包类型可以是TCPsyn数据包，从中提取数据包源端IP地址，ISN。与此同时，数 据过滤存储服务器还需要把接收到该数据包的接收时间记录下来，作为ISN的获 取时间。
所述数据分析检测平台上配置有ISN变化规律分析规则(根据主机系统ISN 变化规律分析接收的ISN间变化规律的分析规则)，根据主机系统的初始序列号 (ISN, initial sequence number)变化规律，分析来自同 一公网IP地址的ISN的ISN 变化规律；根据所述分析，当任意两个ISN的ISN变化规律与预置的任一主机系 统的ISN变化身见律相匹配时，将所述两个ISN存入同一ISN信息块；统计所述ISN 信息块的个数，作为所述公网IP地址的共享接入主机数
具体实现中，数据过滤存储服务器与数据分析检测平台服务器可以为同一个 服务器，也可以为相互独立的服务器。
可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读 存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权 利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。
权利要求
1、一种检测共享接入主机数的方法，其特征在于，包括；分析来自同一公网IP地址的ISN的变化规律，当分析得到任意两个ISN的ISN变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述两个ISN存入同一ISN信息块；根据ISN信息块，检测公网IP地址的共享接入主机数。
2、 如权利要求1所述的方法，其特征在于，所述分析来自同一公网IP地址 的ISN的变化规律，当分析得到任意两个ISN的ISN变化规律与预置的任一主 机系统的ISN变化规律相匹配时，将所述两个ISN存入同一 ISN信息块包括从预置的一 IP数据信息块中提取一 ISN信息存入ISN信息块；从所述IP数据信息块中提取未参与分析的ISN信息；对每个提取的ISN信息，分析所述提取的ISN信息与已有ISN信息块中ISN 信息间的变化规律，当分析验证所述提取的ISN信息与任一已有ISN信息块中 至少一个ISN信息的变化规律，与预置的任一主机系统的ISN变化规律相匹配 时，将所述提取的ISN信息加入所述至少一个ISN信息所在的ISN信息块。
3、 如权利要求1或2所述的方法，其特征在于，当分析从预置的IP数据信息块中提取的ISN信息与已有ISN信息块中ISN 信息间的变化规律，与所有主机系统的ISN变化规律均不匹配时，建立ISN信 息块存储所述提取的ISN信息。
4、 如权利要求3所述的方法，其特征在于，所述一艮据ISN信息块，检测公 网IP地址的共享接入主^/L数包括统计至少包括有两个ISN信息的ISN信息块的数目，作为所述公网IP地址 的共享接入主机数。
5、 如权利要求1所述的方法，其特征在于，所述分析来自同一公网IP地址 的ISN的变化规律，当分析得到任意两个ISN的ISN变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述两个ISN存入同一 ISN信息块包括从预置的IP数据信息块中提取一 ISN信息存入ISN信息块，将所述ISN信 息标记为所述信息块的最新ISN信息；从所述IP数据信息块中提取未参与分析的ISN信息； 对提取的每个ISN信息，分析所述提取的ISN信息与已有ISN信息块中最 新ISN信息的变化规律；当分析验证所述提取的ISN信息与任一已有ISN信息 块最新ISN信息的变化规律与预置的任一主机系统的ISN变化规律相匹配时， 将所述提取的ISN信息存入所述最新ISN信息所在的ISN信息块，并标记为所 述ISN信息块的最新ISN信息，并将所述ISN信息块的标志位置1。
6、 如权利要求1或5所迷的方法，其特征在于，当分析从预置的IP数据信息块中提取的ISN信息与已有ISN信息块中的最 新ISN信息的变化规律与所有主机系统的ISN变化规律均不匹配时，则生成新 的ISN信息块存储所述提取的ISN信息，并标记所述提取的ISN信息为所述生 成的信息块的最新ISN信息
7、 如权利要求6所述的方法，其特征在于，所述根据ISN信息块，检测公 网IP地址的共享接入主机数包括统计标志位置1的信息块的数目，作为所述公网IP地址的共享接入主机数。
8、 如权利要求l所述的方法，其特征在于，还包括对应每一公网IP地址预置IP数据信息块，存储来自所述IP地址的所有ISN 的ISN信息。
9、 如权利要求8所述的方法，其特征在于，包括判断所述IP数据信息块中存储的ISN信息的数量是否达到预设的值，如果 判断为是，分析来自同一公网IP地址的ISN变化规律。
10、 一种检测共享接入主机数的装置，其特征在于，包括 分析模块，用于分析来自同一公网IP地址的ISN的变化规律；处理模块，用于当所述分析^^块分析得到任意两个ISN的ISN变化规律与 预置的任一主机系统的ISN变化少见律相匹配时，将所述两个ISN存入同一 ISN 信息块；检测模块，用于根据ISN信息块，检测公网IP地址的共享接入主机数。
11、 如权利要求IO所述的装置，其特征在于，还包括 存储模块，用于存储预置的IP数据信息块和ISN信息块。
12、 如权利要求ll所述的装置，其特征在于，所述分析模块包括 提取模块，用于从预置的IP数据信息块中提取ISN信息； 第一分析模块，用于分析所述提取模块提取的ISN信息与已有ISN信息块中ISN信息间的变化规律。 所述处理模块包括预处理模块，用于将所述提取模块从所述IP数据信息块中第 一个提取的ISN 信息存入ISN信息块；第一处理模块，用于当所述第一分析模块分析验证所述提取的ISN信息与 任一已有ISN信息块中至少一个ISN信息的变化规律，与预置的任一主机系统 的ISN变化规律相匹配时，将所述提取的ISN信息加入所述至少一个ISN信息 所在的ISN信息块。
13、 如权利要求10或12所述的装置，其特征在于，所述处理模块还包括 第二处理^^莫块，用于当分析从预置的IP数据信息块中冲是f^的ISN信息与已有ISN信息块中ISN信息间的变化规律，与所有主机系统的ISN变化规律均不 匹配时，建立ISN信息块存储所述提取的ISN信息。
14、 如权利要求13所述的装置，其特征在于，所述检测模块包括 第一统计模块，用于统计至少包括有两个ISN信息的ISN信息块的数目，作为所述公网IP地址的共享接入主机数。
15、 如权利要求11所述的装置，其特征在于，所述分析模块包括提取模块，用于从所述预置的IP数据信息块中提取ISN信息； 第二分析模块，用于根据主机系统的变化规律，分析所述提取模块提取的 ISN信息与已有ISN信息块中最新ISN信息间的变化规律； 所述处理模块包括第一预处理模块，用于将所述提取模块从所述IP数据信息块中第一个提取 的ISN信息存入ISN信息块，并将所述ISN信息标记为所述信息块的最新ISN 信息；第三处理模块，用于当所述第二分析模块分析验证所述提取的ISN信息与 任一已有ISN信息块最新ISN信息的变化规律与预置的任一主机系统的ISN变 化规律相匹配时，将所述提取的ISN信息存入所述最新ISN信息所在的ISN信 息块，并标记为所述ISN信息块的最新ISN信息，并将所述ISN信息块的标志 位置1。
16、 如权利要求10或15所述的装置，其特征在于，所述处理模块还包括 第四处理模块，用于当分析从预置的IP数据信息块中提取的ISN信息与已有ISN信息块中的最新ISN信息的变化规律与所有主机系统的ISN变化规律均 不匹配时，则生成新的ISN信息块存储所述提取的ISN信息，并标记所述提取 的ISN信息为所述生成的信息块的最新ISN信息。
17、 如权利要求16所述的装置，其特征在于，所述检测模块包括 第二统计模块，用于统计标志位置1的ISN信息块的数目，作为所述公网IP地址的共享接入主机数。
18、 如权利要求IO所述的装置，其特征在于，还包括 接收模块，用于接收数据信息；提取子模块，用于从所述接收模块接收的数据信息中提取公网IP地址、ISN 数值及所述ISN数值的获取时间；建立模块，用于根据所述提取子模块提取的信息，对应每一公网IP地址建 立IP数据信息块，所述IP数据信息块中存储来自所述IP地址的所有ISN的ISN信息。
19、如权利要求10或11所述的装置，其特征在于，还包括 第二判断模块，用于判断所述存储模块中存储的IP数据信息块中存储的ISN信息的数量是否达到预设的值，如果判断为是，通知所述分析模块分析来自同一公网IP地址的ISN的变化规律。
全文摘要
本发明实施例公开了一种检测共享接入主机数的方法及装置，所述方法包括分析来自同一公网IP地址的ISN的变化规律，当分析得到任意两个ISN的ISN变化规律与预置的任一主机系统的ISN变化规律相匹配时，将所述两个ISN存入同一ISN信息块；根据ISN信息块，检测公网IP地址的共享接入主机数。采用本发明，可通过主机独有的特性检测共享接入主机数，准确性高。
文档编号H04L12/56GK101291327SQ20081002873
公开日2008年10月22日 申请日期2008年6月6日 优先权日2008年6月6日
发明者强 刘, 欧阳熹 申请人:华为技术有限公司