一种共享接入主机数目的检测方法和装置的制作方法

专利名称：一种共享接入主机数目的检测方法和装置的制作方法
技术领域：
本发明涉及通信领域，尤其涉及一种共享接入主机数目的4企测方法和装置。
背景技术：
为解决全球IP地址资源匮乏的问题，IETF (Internet Engineering Task Force,因特网工程部)组织提出了网络地址转换协议(Network Address Translation, NAT)技术。NAT设备完成的是网络地址转换的功能，NAT设备 拥有一个或多个^>网IP地址，位于NAT后的主才几拥有自己的私网IP地址。 当主机需要与位于公网上的设备进行通信时，NAT设备将对应的私网IP地址 和端口号映射为一个^^网IP地址和端口号，然后才能通信。这样位于NAT后 的主机相对其它公网上设备就是非透明的。在很多情况下，为实现对主机进行 监管，因此，需要了解NAT设备后的共享接入主机情况。
Cookie是为了辨别用户身份而存储在用户本地终端上的数据，它实际上 是一种能够让网络服务器把少量数据存储到客户端的硬盘或内存，或是从客户 端的硬盘读取数据的技术。通常情况下，当浏览某网站时，WEB服务器发送 给用户的不^(义仅是一个页面，还有一个包含日期时间和用户ID等信息的 Cookie。用户的浏览器在获得页面的同时会将这个Cookie保存在用户硬盘上 的某个文件夹下，当用户再次访问该网站时，网站通过读取Cookie,得到用 户的相关信息，就可以^L出相应的动作，如在页面显示欢迎你的标语，或者让 你不用输入ID、密码就直接登录等等。
在HTTP协议中，网络服务器一般会给初次访问该网站的用户通过HTTP 200 OK回应包中的Set-Cookie字段分配Cookie,用户获得Cookie之后在每次 发送给该网站的HTTP请求包中都会在Cookie字段中含有用户的Cookie信息。
目前，检测共享接入主机数目的方法主要是利用在Cookie有效期内访问同一网站的不同用户获取的CookieID值不同，通过区分同一个IP地址下的不 同CookieID值，从而检测出位于NAT设备后处于活动状态的主机数目。
发明人在实现本发明的过程中，发现在现有技术中由于每个网站都是独立 分配自己的CookieID,而网上用户访问的网站并不是特定的，这就导致了在 统计NAT设备后的共享接入主机数目时需要对使用每个帐号或者IP地址的用 户访问的所有网站进行记录并分类统计，最后才能4企测出这个IP地址下有多 少个处于活动状态的主机，检测过程比较复杂，并且由于CookieID绑定的IP 不一样，并且用户访问的网站各不相同，因此，冲企测的准确性也不高。

发明内容
本发明实施例提供了一种共享接入主机数目的检测方法，所述检测方法能 够提高检测共享接入主机数目的准确性，更加有利于对共享接入主机的监管。
本发明实施例提供一种共享接入主机数目的检测方法，包括接收被重定 向的超文本传输协议HTTP请求数据包；当所述数据包中包含有下载到终端 的小程序Cookie ID时，在与所述数据包的源地址对应的记录表中记录所述数 据包的Cookie ID,当所述数据包未包含有Cookie ID时，对所述数据包下发 Cookie,并在与所述数据包的源地址对应的记录表中记录所述数据包的Cookie ID;根据所述记录表统计所述Cookie ID的记录数，得到所述源地址的共享接 入主机数目。
本发明实施例还提供了一种共享接入主机数目的检测装置，所述检测装置 包括数据接收模块、下发记录模块、统计模块，所述数据接收模块用于接收被 重定向的HTTP请求数据包；所述下发记录模块用于对数据接收模块接收的所 述数据包进行处理，当所述数据包中包含有Cookie ID时，在与所述数据包的 源地址对应的记录表中记录所述数据包的Cookie ID，当所述数据包中未包含 有Cookie ID时，对所述数据包下发Cookie,并在与所述数据包的源地址对应 的记录表中记录所述数据包的Cookie ID;所述统计才莫块用于根据所述下发记 录模块中的记录统计待检测的源地址的Cookie ID记录数目，得到所述源地址 的共享接入主机数目。
本发明实施例还提供了 一种网络安全监管系统，所述网络安全监管系统包
6括检测装置和限制接入装置，所述检测装置用于通过所接收的HTTP请求数据 包检测共享接入主机数目，当所述数据包中包含有Cookie ID时，在与所述数 据包的源地址对应的记录表中记录所述数据包的Cookie ID，当所述数据包中 未包含有Cookie ID时，对所述数据包下发Cookie,并在与所述数据包的源地 址对应的记录表中记录所述数据包的Cookie ID,通过统计所述记录表中的 Cookie ID记录数目，得到所述源地址的共享接入主才几数目，并将检测结果发 送给限制接入装置，所述HTTP请求数据包通过重定向方式获得；所述限制接 入装置用于对检测装置所检测的共享接入主机数目进行判断，并对超出阈值范 围的主机进行限制接入处理。
本发明实施例所述共享接入主机数目的检测方法基于不同网络服务器分 配给用户的Cookie ID不同的性质，通过将用户的HTTP请求数据包重定向到 自建的Cookie策略服务器上，通过所述Cookie策略服务器收集包含Cookie 信息的数据包中的Cookie ID信息，并对没有包含Cookie信息的数据包下发 Cookie,并同时在预置的存储表中更新各HTTP请求凄t据包中的Cookie信息， 从而可以根据所述记录表统计出各IP地址下不同Cookie ID的记录数，从而得 到该IP地址的NAT设备或路由器或具有共享接入功能的主机后面的共享接入 主机数目，提高了检测的准确性，使对共享接入主机的监管更加有效。


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对本发 明实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的 附图仅仅是本发明的一些实施例，对于本领域普通4支术人员来讲，在不付出创 造性劳动的前提下，还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的共享接入主机数目的检测方法中预置的保存 Cookie信息的存储表格式示意图2为本发明实施例一提供的共享接入主机数目的检测方法示意图； 图3为本发明实施例二提供的共享接入主机数目的检测方法流程示意图； 图4为本发明实施例三提供的共享接入主机数目的检测方法流程示意图； 图5为本发明实施四提供的共享接入主机数目的检测装置的结构示意图；图6为本发明实施五提供的共享接入主机数目的检测装置的结构示意图； 图7为本发明实施六提供的 一种网络安全监管系统的结构示意图；
具体实施例方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是 全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造 性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
在HTTP协议中，网络服务器会给初次访问该网站的用户 一般通过HTTP 200 OK回应包中的Set-Cookie字段分配Cookie,用户获得Cookie之后在每次 发送给该网站的HTTP请求包中都会在Cookie字段中含有用户的Cookie信息。 Cookie的才各式如下
Set - Cookie: NAME=VALUE ;Expires=DATE ;Path=PATH ; Domain=DOMAIN—NAME; SECURE
上述Cookie字段中只有NAME-VALUE属性为必选项，该属性是网站分 配给用户的唯一的ID值；Expires(有效期)属性用以确定Cookie有效终止曰期， 如果Cookie没有设定有效期，则其生命周期从打开浏览器开始，到关闭浏览 器结束。
本发明实施例正是基于不同网络服务器分配给用户的Cookie ID不同的性 质提出的，通过将用户的HTTP请求数据包重定向到指定的服务器，并根据该 服务器下发的Cookie ID判断共享接入主机的数目，并且还可以更进一步的根 据判断结果对相应的主机进行指定干扰。
在实际应用中，由于可能不只需要检测一个IP地址的共享接入主机数目， 还可能需要对一个网络下甚至是对整个城域网内的共享接入主机进行监控，因 此，在本发明实施例中，采用如图1所示的存储表来记录Cookie信息。如图 l所示，存储表中至少应包括如下信息IP地址、Cookie有效期和Cookie ID。 其中，IP地址对应于待检测的IP地址，即待检测的共享接入主机使用的IP地 址，所述IP地址可以是一个NAT设备的IP地址或路由器的IP地址或用于实 现共享接入的主机的IP地址，等等，所述IP地址还可以是一个局域网络下的IP地址或整个城域网下的IP地址。Cookie有效期用于判断共享接入主机是否 处于活动状态。Cookie ID对应着该IP地址下NAT设备后的实际主机。除上 述信息外，存储表中还可以存储一些辅助信息，如所述数据包的收包数、更新 时间等等，这些辅助信息可以用于辅助Cookie ID进行检测结果的判断操作， 提高检测结果的准确性。
图2为本发明实施例一提供的共享接入主机数目的检测方法示意图。如图 所示，所述检测共享接入主机数目的方法包括如下步骤
步骤201:接收纟皮重定向的HTTP请求数据包；
所述HTTP请求数据包用于提出获取网页信息请求，所述数据包包括 GET (获取)类型的请求数据包。所述重定向可以通过在伪造的重定向数据包 中的frame src字^:中写入重定向的目的地址，并以参数的形式保存用户原来 要访问的网页地址；还可以通过构造代码为3xx ( 3xx协议为HTTP协议中的 协议类型)响应报文的方式实现。且不限于以上实现方式。
步骤202:当所述翁:据包中包含有Cookie ID时，在所述数据包的源IP地 址对应的记录表中记录数据包的Cookie ID;当所述数据包中未包含有Cookie ID时，对所述数据包下发Cookie,在所述数据包的源地址对应的记录表中记 录所述lt据包的Cookie ID;
所述Cookie ID是指Cookie信息中的NAME=VALUE字段，该字段是 网站分配给用户的唯一的ID值。所述源地址通常为翁:据包的源IP地址。
所述记录表如图1所示，所述记录表中记录的信息还包括所述数据包中的 源IP地址和Cookie有效期。所述为数据包下发Cookie,可以采用回应200 OK 数据包来设置SET-Cookie字^R来下发Cookie,也可以采用JS脚本等方式来下 发Cookie 。
步骤203:根据所述记录表统计所述源地址的Cookie ID记录数目，得到 该IP地址下的共享4妻入主枳4t目。
所述统计待;险测的IP地址对应的Cookie ID记录凄t的方法可以包括根据所 述预置的记录表判断所述IP地址的Cookie ID是否已过有效期，对于超过有效 期的Cookie ID需要进行删除，然后再统计所述IP地址对应的Cookie ID记录数，根据该Cookie ID记录数的最大值得到该IP地址的共享接入主机数如果 该Cookie ID记录数的最大值等于1,则使用该IP地址的是普通上网用户；如 果该Cookie ID记录数的最大值大于1，则该IP地址就是NAT设备或路由器 或具有共享接入功能的主机的ip地址，该Cookie ID记录数的最大值就是NAT 设备或路由器或具有共享接入功能的主机后面的共享接入主机数目。
本发明实施例一所述技术方案通过主动对未包含Cookie ID的HTTP请求 数据包下发Cookie,并在与所述tt据包的源IP地址对应的记录表中记录所述 数据包中的Cookie ID,通过所述预置的记录表中每个IP下的Cookie ID记录 数目，得到该IP地址下的共享接入主机数目，判断方法简单，提高了检测的 准确性。
图3为本发明实施例二提供的共享接入主机数目的检测方法具体流程示 意图，如图所示，所述检测方法包括如下步骤
步骤301:监控并获取网络中的HTTP数据包；
步骤302:判断步骤301中所述HTTP数据包的数据类型，如果该数据 包是HTTPGET数据包，则进入步骤303，否则进入步骤301,继续监控并接 收网络中的HTTP数据包；
所述HTTPGET (获取)数据包是HTTP请求类型数据包的一种。 步骤303:将步骤302所述HTTP GET数据包重定向至Cookie策略服
务器；
所述Cookie策略服务器是预置的服务器，所述将用户重定向至Cookie 策略服务器可以在伪造的重定向数据包中的frame src字段中写入Cookie策略 服务器地址，并以参数的形式保存用户原来要访问的网页地址；还可以通过构 造代码为3xx (3xx协议为HTTP协议中的协议类型)响应报文的方式实现。 且不限于以上实现方式。
步骤304: Cookie策略服务器判断步骤303所述HTTP GET数据包中是 否含有Cookie ID,如果有，则进入步骤306，否则进入步骤305;
所述Cookie ID是指Cookie信息中的NAME=VALUE字段，该字段是 网站分配给用户的唯一的ID值。步骤305:为步骤304所述HTTP GET数据包下发Cookie,进入步骤
306;
所述为数据包下发Cookie，可以通过采用回应200 OK数据包设置 SET-Cookie字段来下发Cookie,也可以采用JS脚本等方式来下发Cookie。
步骤306:提取所述HTTP GET数据包的源IP地址、Cookie ID值等信 息，进入步骤307;
所述信息包括所述数据包的源IP地址、Cookie有效期、Cookie ID以及 所述HTTP GET数据包的收包数。
步骤307:才艮据步骤306所提取的数据包中的源IP地址查找对应的记 录表，进入步骤308;
所述记录表是预置的记录表，所述记录表中至少包括数据包的源IP地 址信息、数据包中的Cookie有效期以及CookieID，此外，为了提高判断的准 确性，本发明实施例二中的预置记录表中还包含有所述数据包的收包数信息。
步骤308:判断步骤307中所述对应的记录表中是否存在相应的Cookie ID记录，如杲有，则进入步骤309，否则，进入步骤3010;
步骤309:在步骤308所述相应的Cookie ID记录中将相应的数据包的 收包数增1，进入步骤3011;
所述记录表中的数据包的收包数用于后续判断共享主机数目时的辅助操作。
步骤3010:在步骤307中所述的相应的记录表中新建一条Cookie ID记 录，并将该Cookie ID的收包数填充为1;
所述Cookie ID记录包括所述数据包中的Cookie ID、 Cookie有效期以 及所述数据包的收包数。
步骤3011:才艮据所述记录表统计所述源IP地址对应的Cookie ID记录 数，得到该源IP地址的共享接入主机数目。
所述步骤3011中统计所述IP地址对应的Cookie ID记录数时，首先需 要判断每一个Cookie ID是否过期，对于已过期的Cookie ID需要进行删除， 然后再统计所述IP地址下对应的Cookie ID记录数，根据该Cookie ID记录数的最大值得到该IP地址下的共享接入主机数如果该Cookie ID记录数的最大 值等于l，则该IP地址下是普通上网用户；如果该Cookie ID记录数的最大值 大于1，则该IP地址就是NAT设备或路由器或具有共享接入功能的主机的IP 地址，该Cookie ID记录数的最大值就是NAT设备或路由器或具有共享接入 功能的主机后面的共享接入主机数目。同时，本发明实施例二中设置有一定的 检测条件，所述;^测条件可以为收包数大于2，即对收包数大于2的数据包所 对应的Cookie ID记录数进行统计，提高了检测的准确性。
通过上述实施例可以看出，本发明实施例基于不同网络服务器分配给用 户的Cookie ID不同的性质，通过将用户的HTTP GET数据包重定向到自建的 Cookie策略服务器上，通过所述Cookie策略服务器收集包含Cookie ID的数 据包中的Cookie ID信息，并对没有包含Cookie ID的数据包下发Cookie,并 在预置的记录表中更新各HTTP GET数据包中的Cookie ID,从而可以根据所 述记录表统计各IP地址下不同Cookie ID的记录数得到该IP地址的NAT设备 或路由器或具有共享接入功能的主机后面的共享接入主机数目，提高了判断的 准确性。
图4为本发明实施例三提供的共享接入主机数目的检测方法具体流程 示意图，如图所示，所述检测方法包括如下步骤
步骤401:监控并获取网络中的HTTP数据包；
步骤402:判断步骤401中所述HTTP数据包的数据类型，如果该数据 包是HTTPGET数据包，则进入步骤403，否则进入步骤401，继续监控并接 收网络中的HTTP数据包；
所述HTTP GET (获取)数据包是HTTP请求类型数据包中的一种。 步骤403:将步骤402所述HTTP请求数据包重定向至Cookie策略服
务器；
所述Cookie策略服务器是预置的服务器，所述将用户重定向至Cookie 策略服务器可以在伪造的重定向数据包中的frame src字段中写入Cookie策略 服务器地址，并以参数的形式保存用户原来要访问的网页地址；还可以通过构 造代码为3xx (3xx协议为HTTP协议中的协议类型)响应报文的方式实现。且不限于以上实现方式。
步骤404: Cookie策略服务器判断所述HTTP GET数据包中是否含有 Cookie ID,如果有，则进入步骤406,否则进入步骤405;
所述Cookie ID是指Cookie信息中的NAME二VALUE字段，该字段是 网站分配给用户的唯一的ID值。
步骤405:为步骤404所述HTTP GET数据包下发Cookie,进入步骤
406;
所述为数据包下发Cookie,可以采用回应200 OK数据包设置 SET-Cookie字段来下发Cookie,也可以采用JS脚本等方式。
步骤406:提取所述HTTP GET数据包的源IP地址、Cookie ID值等关 键信息，进入步骤407;
所述关4建信息包括所述lt据包的源IP地址、Cookie有效期、Cookie ID 以及所述HTTP GET数据包的收包数信息。
步骤407:根据步骤406所提取的数据包中的源IP地址查找对应的记 录表，进入步骤408;
所述记录表是预置的记录表，所述记录表中至少包括数据包的源IP地 址信息、数据包中的Cookie有效期以及Cookie ID,此外，为了提高判断的准 确性，本发明实施例三中的预置记录表中还包含有所述数据包的收包数信息。
步骤408:判断步骤407中所述对应的记录表中是否存在相应的Cookie ID记录，如杲有，则进入步骤409，否则，进入步骤4010;
步骤409:在步骤408所述记录表中将与所述数据包中的Cookie ID相 应的数据包的收包数增l，进入步骤4011;
所述将记录表中的数据包的收包数用于后续判断共享主机数目时的辅 助操作。
步骤4010:在步骤407中所述的相应的记录表中新建一条Cookie ID记 录，将该Cookie ID的收包数填充为1;
步骤4011:根据所述记录表统计所述IP地址下对应的Cookie ID记录 数，得到该IP地址下的共享接入主机数目，进入步骤4012;所述统计所述IP地址下对应的Cookie ID记录数时，首先需要判断每一 个Cookie ID是否过期，对于已过期的Cookie ID需要进行删除，然后再统计 所述IP地址下对应的Cookie ID记录数，根据该Cookie ID记录数的最大值得 到该IP地址下的共享4妾入主积4t如果该Cookie ID记录^:的最大值等于1, 则该IP地址下是普通上网用户；如果该Cookie ID记录数的最大值大于1,则 该IP地址就是NAT设备或路由器或具有共享接入功能的主机的IP地址，该 Cookie ID记录数的最大值就是NAT设备或路由器或具有共享接入功能的主机 后面的共享接入主机数目。同时，本发明实施例设置有一定的检测条件，所述 检测条件可以为收包数大于2,即对收包数大于2的教:据包所对应的Cookie ID 记录数进行统计，提高了检测的准确性。
步骤4012:判断步骤4011中所统计的所述IP地址下对应的Cookie ID记 录数是否超出阈值范围，如果在阈值范围内则进入步骤4013，否则进入步骤 4014;
所述阈值是指所述IP地址下所允许的共享接入主机数目的最大值。 步骤4013:将所述HTTP GET数据包重定向至原目的网页； 所述将数据包重定向至原目的网页可以通过构造的重定向报文中的 Location字段访问原目的网页，且不限于以上实现方式。
步骤4014:依据预置的干扰策略对超出所述IP地址的共享接入主机数目 阈值范围的用户进行干扰；
所迷干扰策略可以采用对超出阈值范围的主4几推送告警页面的方式，也可 以采用对超出阈值范围的主机进行直接干扰，断掉其连接请求的方式，且不限 于上述两种方式。可以理解的是，本领域普通技术人员可以知道，所述对阈值 范围的用户进行干扰只是对共享接入主机进行限制接入的一种方式，还可以通 过对超出阈值范围的主机推送广告信息或对超出阈值范围的主机进行收费等 方式对共享接入主纟几进行相应限制接入处理。
从本发明实施例三所述技术方案可知，本发明实施例三通过将用户的 HTTP GET数据包重定向到自建的Cookie策略服务器上，并向用户主动下发 Cookie的方式来判断共享接入主机数目，并通过对得到的共享接入主机数目进行判断，将共享接入主机数目在阈值范围内则将该用户的HTTP请求数据包 重定向至原目的网页，对超出阈值范围的共享接入主机进行指定干扰。所述技 术方案不仅提高了共享接入主机数据检测的准确性，还能根据预置的干扰策略 对超出阈值范围的用户进行指定干扰，提高了干扰的准确性，从而使对共享接 入主机的监控管理更加有效。
图5为本发明实施四提供的共享接入主机数目的检测装置的结构示意图， 如图5所示，所述共享接入主机数目的检测装置包括.-
数据接收模块501:用于接收被重定向的HTTP请求数据包，触发下发记 录模块502;
所述HTTP请求数据包用于提出获取网页信息请求，所述数据包包括 GET (获取)类型的请求数据包。所述重定向可以通过在伪造的重定向数据包 中的frame src字段中写入重定向的目的地址，并以参数的形式保存用户原来 要访问的网页地址；还可以通过构造代码为3xx (3xx协议为HTTP协议中的 协议类型)响应^Jl的方式实现。且不限于以上实现方式。
下发记录模块502:用于对数据接收模块501接收的所述数据包进行处理， 当所述数据包中包含有Cookie ID时，在与所述数据包的源地址对应的记录表 中记录所述数据包的Cookie ID，当所述数据包中未包含有Cookie ID时，对 所述数据包下发Cookie,并在与所述数据包的源地址对应的记录表中记录所 述数据包的Cookie ID;
所述Cookie ID是指Cookie信息中的NAME-VALUE字段，该字段是 网站分配给用户的唯一的ID值。所述为数据包下发Cookie，可以采用回应200 OK数据包来设置SET-Cookie字段来下发Cookie,也可以采用JS脚本等方式 来下发Cookie。所述记录表中记录的信息还包括所述数据包中的源IP地址和 Cookie有效期。所述源地址通常为数据包的源IP地址。
所述下发记录模块502包括
Cookie下发子模块5021:用于对不包含有Cookie ID的HTTP GET数据 包下发Cookie,触发Cookie信息记录子模块5022;
所述Cookie ID是指Cookie信息中的NAME=VALUE字段，该字段是网站分配给用户的唯一的ID值。所述为数据包下发Cookie，可以采用回应200 OK数据包来设置SET-Cookie字段来下发Cookie,也可以采用JS脚本等方式 来下发Cookie。
Cookie信息记录子模块5022:用于根据包含有Cookie ID的HTTP GET 数据包的源地址信息在对应记录表中记录所述数据包的CookieID。
统计模块503:用于根据所述下发记录模块502中的记录统计待检测的源 地址下的Cookie ID记录数目，得到该源地址的共享接入主机数目。
所述统计模块503包括
第一判断子模块5031:用于判断所述源地址的Cookie是否超过有效期； 统计子模块5032:用于根据第一判断子模块5031的判断结果对有效期内 的Cookie ID记录数进行统计，得到所述源地址的共享接入主机数目。
所述统计包括对超过有效期的Cookie ID进行删除，然后再统计所述IP 地址下对应的Cookie ID记录数，根据该Cookie ID记录数的最大值得到该IP 地址下的共享接入主机数如果该Cookie ID记录数的最大值等于1,则使用 该IP地址的是普通上网用户；如果该Cookie ID记录数的最大值大于1，则该 IP地址就是NAT设备或路由器或具有共享接入功能的主机的IP地址，该 Cookie ID记录数的最大值就是NAT设备或路由器或具有共享接入功能的主机
后面的共享接入主才几数目。
本发明实施例四所述4支术方案通过主动对未包含Cookie ID的HTTP GET 数据包下发Cookie,并在所述HTTP GET数据包中源地址对应的记录表中记 录所述数据包中的Cookie ID，通过统计所述记录表中源地址的Cookie ID记 录数目，得到该源地址的共享接入主机数目，判断方法简单，提高了检测的准 确性，有利于对共享接入主机的监管。
图6为本发明实施五提供的共享接入主机数目的检测装置的结构示意图， 如图所示，所述共享接入主机数目的检测装置包括
数据包检测模块601:用于检测网络用户的HTTPGET数据包； 所述HTTPGET (获取)数据包是HTTP请求类型数据包的一种。 重定向模块602:用于将数据包检测模块501 4企测到的HTTP GET数据包重定向至数据接收模块603;
所述将数据包重定向至数据接收模块可以在伪造的重定向数据包中的 frame src字段中写入数据接收模块的地址，并以参数的形式保存用户原来要访 问的网页地址；还可以通过构造代码为3xx ( 3xx协议为HTTP协议中的协议 类型)响应报文的方式实现。且不限于以上实现方式。
数据接收模块603:接收重定向模块602重定向的数据包，并触发第一 判断模块604;
第 一判断模块604:用于判断所述数据接收模块603所接收的数据包中 是否包含有Cookie ID，并触发下发记录模块605;
所述Cookie ID是指Cookie信息中的NAME=VALUE字段，该字段是 网站分配给用户的唯一的ID值。
下发记录模块605:用于根据第一判断模块604的判断结果对所述数据 包进行处理，当所述数据包中包含有Cookie ID时，在与所述数据包的源IP 地址对应的记录表中记录所述数据包的Cookie ID,当所述数据包中未包含有 Cookie ID时，对所述tt据包下发Cookie,并在与所述lt据包的源IP地址对应 的记录表中记录所述数据包的Cookie ID;
所述为数据包下发Cookie,可以釆用回应200 OK数据包来设置 SET-Cookie字段来下发Cookie,也可以采用JS脚本等方式来下发Cookie。所 述记录表中记录的信息还包括所述数据包中的源IP地址、Cookie有效期以及 数据包的收包数，所述数据包的收包数用于对共享接入主机数目进行判断时的 辅助操作。
所述下发记录模块605包括
Cookie下发子才莫块6051:用于对不包含有Cookie ID的HTTP GET数据 包下发Cookie,触发Cookie信息记录子模块6052;
Cookie信息记录子模块6052:用于根据包含有Cookie ID的HTTP GET数 据包的源IP地址信息在对应记录表中进行相应的记录。
所述记录表中记录的信息包括所述数据包中的Cookie ID、 Cookie有效期 以及数据包的收包数。
17统计模块606:根据所述下发记录模块605中的记录统计待检测的源IP 地址的Cookie ID记录数目，得到该IP地址的共享接入主机数目。 所述统计模块606包括
第二判断子模块6061:用于判断所述IP地址下的Cookie是否超过有效期 以及所述Cookie ID所对应的数据包的收包数是否符合预置的检测条件；
所述检测条件是为了提高统计的准确性所预置的，所述检测条件可以为收 包数大于2，即只对收包数大于2的数据包所对应的Cookie ID记录数进行判 断统计，提高了检测的准确性。
统计子模块6062:用于根据第二判断子模块6061的判断结果对有效期内 的Cookie ID记录数进行统计，得到所述IP地址的共享接入主机数目。
所述统计IP地址下对应的Cookie ID记录lt时，需要将已过有效期的 Cookie ID需要进行删除，然后再统计所述IP地址下对应的Cookie ID记录数， 根据该Cookie ID记录数的最大值得到该IP地址下的共享接入主机数如果该 Cookie ID记录数的最大值等于1,则使用该IP地址的是普通上网用户；如果 该Cookie ID记录数的最大值大于1 ，则该IP地址就是NAT设备或路由器或 具有共享接入功能的主机的ip地址，该Cookie ID记录数的最大值就是NAT 设备或路由器或具有共享接入功能的主机后面的共享接入主机数目。
本发明实施例五所述的检测装置通过对检测到的网络中的HTTP GET数 据包进行重定向，主动对未包含有Cookie ID的数据包下发Cookie，并在预置 的记录表中记录所述数据包中的相关信息，根据所述记录表统计待检测IP地 址下满足预置的检测条件的Cookie ID记录数得到所述IP地址下共享接入的主 机数目，提高了检测的准确性，更有利于对共享接入主机的监管。
图7为本发明实施例六提供的 一种网络安全监管系统的结构示意图，如图 所示，所述网络安全监管系统包括
检测装置70:用于通过所接收的HTTP请求数据包检测共享接入主机数 目，当所述凝:据包中包含有Cookie ID时，在与所述^t据包的源地址对应的记 录表中记录所述数据包的Cookie ID;当所述数据包中未包含有Cookie ID时， 对所述数据包下发Cookie,并在与所述数据包的源地址对应的记录表中记录所述数据包的Cookie ID，通过统计所述记录表中的Cookie ID记录数目，得 到所述源地址的共享接入主机数目，并将检测结果发送给限制接入装置71, 所述HTTP请求凄t据包通过重定向方式获得；
所述源地址通常为数据包的源IP地址。
限制接入装置71:用于对检测装置70所检测的共享接入主机数目进行判 断，并对超出阈值范围的主机进行相应的限制接入处理。 所述检测装置70包括
数据包检测模块701:用于检测网络用户的HTTP GET数据包； 所述HTTP GET (获取)数据包是HTTP请求类型数据包的一种。 重定向模块702:用于将数据包检测模块701检测到的HTTP GET数据包 重定向至数据接收模块703,或者用于将经过第三判断模块707判断为未超出 阈值范围的共享接入主机的HTTP GET数据包重定向至原目的网页；
所述将数据包重定向至数据接收模块可以在伪造的重定向数据包中的 frame src字段中写入数据接收模块的地址，并以参数的形式保存用户原来要访 问的网页地址；还可以通过构造代码为3xx ( 3xx协议为HTTP协议中的协议 类型)响应报文的方式实现。且不限于以上实现方式。
数据接收模块703:接收重定向模块702重定向的数据包，并触发第一 判断模块704;
第一判断模块704:用于判断所述数据接收模块703所接收的数据包中 是否包含有Cookie ID,并触发下发记录模块705;
所述Cookie ID是指Cookie信息中的NAME-VALUE字段，该字段是 网站分配给用户的唯一的ID值。
下发记录模块705:用于根据第一判断模块704的判断结果将包含有 Cookie ID的数据包中的信息在与所述数据包的源IP地址对应的记录表中进行 相应的记录，或对未包含Cookie ID的数据包下发Cookie后在所述记录表中进 行相应的记录；
所述为数据包下发Cookie,可以采用回应200 OK数据包来设置 SET-Cookie字段来下发Cookie,也可以采用JS脚本等方式来下发Cookie。所述记录表中记录的信息包括所述数据包中的源IP地址、Cookie ID、 Cookie有 效期以及数据包的收包数，所述数据包的收包数用于对共享接入主机数目进行 判断时的辅助操作。
所述下发记录模块705包括
Cookie下发子模块7051:用于对不包含有Cookie ID的HTTP GET数 据包下发Cookie;
Cookie信息记录子模块7052:用于根据包含有Cookie ID的HTTP GET数 据包的源IP地址信息在对应的记录表中进4亍相应记录。
所述记录表中记录的信息包括所述数据包中的Cookie ID、 Cookie有效期 以及数据包的收包数。
统计模块706:根据所述下发记录模块705中的记录统计待检测的源IP 地址下的Cookie ID记录数目，得到该IP地址下的共享接入主机数目，并触发 第二判断模块707;
所述统计模块706包括
第二判断子模块7061:用于判断所述IP地址下的Cookie是否超过有效期 以及所述Cookie ID所对应的数据包的收包数是否符合预置的^r测条件；
所述检测条件是为了提高统计的准确性所预置的，所述检测条件可以为收 包数大于2，即只对收包数大于2的数据包所对应的Cookie ID记录数进行判 断统计，提高了检测的准确性。
统计子模块7062:用于根据第二判断子模块7061的判断结果对有效期内 的Cookie ID记录数进行统计，得到所述IP地址下的共享接入主机数目。
所述统计IP地址下对应的Cookie ID记录H时，需要将已过有效期的 Cookie ID需要进行删除，然后再统计所述IP地址下对应的Cookie ID记录数， 根据该Cookie ID记录数的最大值得到该IP地址的共享接入主机数如果该 Cookie ID记录数的最大值等于1,则使用该IP地址的是普通上网用户；如果 该Cookie ID记录数的最大值大于1,则该IP地址就是NAT设备或路由器或 具有共享接入功能的主机的IP地址，该Cookie ID记录数的最大值就是NAT 设备或路由器或具有共享接入功能的主机后面的共享接入主机数目。
20所述限制接入装置71包括
第二判断模块711:用于判断统计模块706所统计的所述IP地址下的共享 接入主机数目是否超出阈值范围，如果没有超出阈值范围则触发检测装置70 中的重定向模块702将所述HTTP GET数据包重定向至原目的网页，如果超 出阈值范围则触发限制接入模块712;
限制接入模块712:用于根据预置的限制接入策略对超出阈值范围的用户 进行限制接入。
所述阈值是指所述IP地址所允许的共享接入主机数目的最大值。所述预 置的限制接入策略可以为对超出阈值范围的主机推送告警页面，也可以为对超 出阈值范围的主机进行直接干扰，断掉其连接请求的方式，或对超出阈值范围 的主机推送广告信息或对超出阈值范围的主机进行收费等方式，且不限于上述 限制接入策略。
从本发明实施例六所述的技术方案可以看出，本发明实施例六提供的网络 安全监管系统通过对网络中的HTTP请求数据包主动下发Cookie,通过对数 据包中的Cookie ID进行记录和统计得到共享接入的主机数目，并根据检测结 果对超出阈值范围主机进行限制接入处理，提高了检测共享接入主机数目的准 确性，使对共享接入主机的限制接入处理更有针对性，使对共享接入的主机的 监控管理更加有效。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程， 是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机 可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。 其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。
以上所述仅为本发明的几个实施例，可以理解的是，对本领域普通技术人 员来说，可以根据本发明实施例的技术方案及其发明构思加以等同替换或改 变，而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种共享接入主机数目的检测方法，其特征在于，包括接收被重定向的超文本传输协议HTTP请求数据包；当所述数据包中包含有下载到终端的小程序Cookie ID时，在与所述数据包的源地址对应的记录表中记录所述数据包的Cookie ID；当所述数据包中未包含有Cookie ID时，对所述数据包下发Cookie，并在与所述数据包的源地址对应的记录表中记录所述数据包的Cookie ID；根据所述记录表统计所述Cookie ID的记录数，得到所述源地址的共享接入主机数目。
2、 根据权利要求1所述方法，其特征在于，还包括判断所述共享接入 主机数目是否超出阈值范围，将没有超出阈值范围的HTTP请求数据包重定向 至所述凝:据包的原目的网页。
3、 根据权利要求1所述方法，其特征在于，还包括判断所述共享接入 主机数目是否超出阈值范围，对超出阈值范围的用户进行限制接入处理。
4、 根据权利要求3所述方法，其特征在于所述限制接入处理包括对超 出阈值范围的主机推送告警页面、断掉所述主机的连接请求。
5、 根据权利要求1所述方法，其特征在于，所述记录表中还记录有所 述数据包的源地址和Cookie有效期。
6、 根据权利要求l所述方法，其特征在于所述为数据包下发Cookie的 方式包括采用回应200 OK数据包来设置SET-Cookie字段来下发Cookie。
7、 根据权利要求1所述方法，其特征在于所述重定向的方式包括在伪 造的重定向数据包中的frame src字段中写入重定向的目的地址。
8、 一种共享接入主机数目的检测装置，其特征在于，包括数据接收模块，用于接收被重定向的HTTP请求数据包；下发记录模块，用于对数据接收模块接收的所述数据包进行处理，当所述 数据包中包含有Cookie ID时，在与所述数据包的源地址对应的记录表中记录所述数据包的Cookie ID;当所述数据包未包含有Cookie ID时，对所述数据 包下发Cookie,并在与所述数据包的源地址对应的记录表中记录所述数据包 的Cookie ID;统计模块，用于根据所述下发记录模块中的记录统计待检测的源地址下的 Cookie ID记录数目，得到所述源地址的共享接入主机数目。
9、 根据权利要求8所述检测装置，其特征在于，还包括数据包检测模块，用于检测网络用户的HTTP请求数据包；重定向模块，用于将数据包检测模块检测到的HTTP请求数据包重定向 至数据接收模块；第一判断模块，用于判断所述数据接收模块所接收的数据包中是否包含有 Cookie ID,并触发下发记录才莫块。
10、 根据权利要求8所述检测装置，其特征在于，所述下发记录模块包括Cookie下发子^f莫块，用于对不包含有Cookie ID的HTTP请求数据包下发 Cookie;Cookie信息记录子模块，用于将包含有Cookie ID的HTTP请求数据包中 的信息在预置记录表中进行相应记录。
11、 根据权利要求8所述检测装置，其特征在于，所述统计模块包括第一判断子模块，用于判断所述源地址下的Cookie是否超过有效期；统计子模块，用于根据第一判断子模块的判断结果将有效期内的Cookie ID记录数进行统计，得到所述源地址的共享接入主机数目。
12、 一种网络安全监管系统，其特征在于，包括检测装置，用于通过所接收的HTTP请求数据包检测共享接入主机数目， 当所述数据包中包含有Cookie ID时，在与所述数据包的源地址对应的记录表 中记录所述数据包的Cookie ID;当所述数据包未包含有Cookie ID时，对所 述数据包下发Cookie,并在与所述数据包的源地址对应的记录表中记录所述数据包的Cookie ID,通过统计所述记录表中的Cookie ID记录^t目，得到所 述源地址下的共享接入主机数目，并将检测结果发送给限制接入装置，所述 HTTP请求数据包通过重定向方式获得；限制接入装置，用于对检测装置所检测的共享接入主机数目进行判断，并 对超出阈值范围的主机进行限制接入处理。
13、 根据权利要求12所述网络安全监管系统，其特征在于，所述检测装 置包括数据接收模块，用于接收被重定向的HTTP请求数据包；下发记录模块，用于对数据接收模块接收的所述数据包进行处理，当所述 数据包中包含有Cookie ID时，在与所述数据包的源地址对应的记录表中记录 所述数据包的Cookie ID;当所述数据包中未包含有Cookie ID时，对所述数 据包下发Cookie,并在与所述数据包的源地址对应的记录表中记录所述数据 包的Cookie ID;统计模块，用于根据所述下发记录模块中的记录统计待检测的源地址的 Cookie ID记录数目，得到所述源地址的共享接入主机数目。
14、 根据权利要求12所述网络安全监管系统，其特征在于，所述限制接 入装置包括第二判断模块，用于判断所述统计模块所统计的所述源地址的共享接入主 机数目是否超出阈值范围，如果没有超出阈值范围则触发所述^r测装置中的重 定向模块将所述HTTP请求数据包重定向至原目的网页，如果超出阈值范围 则触发限制接入模块；限制接入模块，用于根据预置的限制接入策略对超出阈值范围的用户进行 限制接入处理。
全文摘要
本发明实施例公开了一种共享接入主机数目的检测方法，包括接收被重定向的HTTP请求数据包；当所述数据包中包含有Cookie ID时，在与所述数据包的源地址对应的记录表中记录所述数据包的Cookie ID；当所述数据包中未包含有Cookie ID时，对所述数据包下发Cookie，并在与所述数据包的源地址对应的记录表中记录所述数据包的Cookie ID；根据所述记录表统计所述Cookie ID记录数，得到所述源地址的共享接入主机数目。所述检测方法能够提高对共享接入主机数目检测的准确性。
文档编号H04L29/08GK101505247SQ200910106030
公开日2009年8月12日 申请日期2009年3月9日 优先权日2009年3月9日
发明者强 刘, 朱洪亮, 飞 王, 超 程 申请人:成都市华为赛门铁克科技有限公司