专利名称:网络接入检测系统和网络接入检测方法
技术领域:
本发明涉及互联网技术领域,具体而言,涉及一种网络接入检测系统和一种网络接入检测方法。
背景技术:
目前,由于互联网宽带接入业务的计费主要还是采用时长计费而不是流量计费的方式。一部分人利用运营商的这个漏洞,往往以个人的名义申请宽带而让企业或黑网吧使用,或者几户共用宽带分摊费用,这给运营商造成了巨大的收入流失。由于IP协议设计本身的历史原因,没有任何一个标准或协议能够直接反映出同一个IP地址下的局域网内共享有多少台计算机,目前业界普遍使用的检测方法有以下几种
I、IP报文中有IPID (IP包序列号)标识,每台机器的该标识从O至65535循环, 呈递增数列,路由器、NAT (Network Address Translation,网络地址转换)和多数代理服务器均不会修改该标识,因此可以根据该标识的连续性判断是否是同一台机器。但是用该方法判断的难度在于,机器台数较多时连续性会显得很混乱,会导致准确计算的难度很大。 另外,有些机器感染了病毒和蠕虫,也会造成IPID值异常增长,也会导致计算难度变大。因此需要复杂并高效的算法还原出真实情况。方法一就是根据该原理尽可能将每台机器所发送的报文连成一条直线,每条直线代表一台机器;
2、方法二原理同上,但算法不同,不是还原成直线,而是还原成离散的数组,每个数组代表一台机器;
3、方法三根据TCP (Transmission Control Protocol,传输控制协议)序号,部分 TCP报文也会有随系统时间递增的序列号,该值可以路由器、NAT和代理服务器均不能修改该标识,否则报文失效,也可以尽可能将每台机器所发送的报文连成一条直线,每条直线代表一台机器;
4> SNMP (Simple Network Management Protocol,简单网络管理协议)扫描法,通过在接入设备Modem上植入SNMP扫描程序对用户主机进行SNMP扫描来检测是否有多台机器共享上网,由于极易用户通过修改Modem配置来规避,并且扫描用户主机也会招致用户察觉和不满,目前已经基本淘汰;
5、MAC (Media Access Control,介质访问控制)地址获取法,只能部署于接入层, 通过在接入层大规模部署,在网络数据包中统计是否有多个MAC地址使用相同IP地址上网的情况,这种方法对于NAT/Proxy代理上网无效,并且对一台主机多个网卡的情况会产生误报,目前也已基本淘汰;
6、TTL (Time To Live,生存时间)分析法,也只能部署于接入层,通过分析IP报文中的TTL数值不同来判断是否多机共享接入,由于目标服务器网络应用的类型不同,TTL 值会发生变化,因此这种方法仅在某些特定情况下有一定作用,即使TTL不一致,也不一定是共享上网用户,同时对于Proxy代理上网的情况也会失效,因此目前也已基本淘汰。
因此,需要一种新的技术方案,能够有效提高共享接入检测的精确度,同时能避免某些通过打乱IPID的发包规律、顺序或者分散IPID的技术手段逃避检测,导致检测不到共享接入的情况。发明内容
本发明正是基于上述问题,提出了一种新的技术方案,能够有效提高共享接入检测的精确度,同时能避免某些通过打乱IPID的发包规律、顺序或者分散IPID的技术手段逃避检测,导致检测不到共享接入的情况。
有鉴于此,本发明提出了一种网络接入检测系统,包括采集单元,采集网络中的数据包,从所述数据包中获取HTTP协议的上行流量和下行流量;数据包提取单元,从所述上行流量中提取出含有Cookie字段的数据包,以及从所述下行流量中提取出含有 Set-Cookie关键字段的数据包;数据存储单元,从所述含有Cookie字段的数据包和所述含有Set-Cookie关键字段的数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据所述源IP地址和所述目的IP地址两者与所述对应Cookie ID值的信息之间的对应关系,对所述源IP地址、所述目的IP地址及所述对应的Cookie ID值的信息进行存储;主机数目确定单元,读取所述数据存储单元中存储的数据,统计同一个源IP地址下, 每个目的IP地址对应的Cookie ID值的信息的个数,根据所述个数确定所述网络中的主机数目。
在该技术方案中,Cookie ID值的信息包括Cookie的名称、Cookie ID值、Cookie ID的个数及Cookie的有效期等信息。当用户访问网站时,同一网站会为不同的用户分配不同的Cookie ID值,则通过统计同一个源IP地址下,每个网站对应的Cookie ID值的个数,就可以得到访问每个网站的主机数,再从访问所有网站的主机数中取一个最大值,即可确定同一个源IP地址下网络中的主机数。从而提高了网络接入检测的准确性,降低了因检测破解技术提高带来的漏检漏报风险。
在上述技术方案中,优选地,所述主机数目确定单元确定从指定的源IP地址接入所述网络的主机数目。
在该技术方案中,可以对某些指定用户的网络接入情况进行检测,从而判断其是否使用多台计算机共享上网,运营商可以根据检测结果采取相应的控制策略。
在上述技术方案中,优选地,所述主机数目确定单元包括信息添加子单元,在所述数据存储单元提取到Cookie ID值的信息时,根据所述源IP地址和所述目的IP地址查找所述对应的Cookie ID值的信息,如果找到所述Cookie ID值的信息,则不做任何处理, 如果未找到所述Cookie ID值的信息,则添加所述Cookie ID值的信息到所述存储数据中。
在该技术方案中,通过在已存储的数据中对即将存储的Cookie ID值的信息进行查找,从而避免了同一个Cookie ID值的信息重复统计的问题,保证了检测到的网络中接入主机数量的准确性。
在上述技术方案中,优选地,所述Cookie ID值的信息中包含Cookie的有效期,则所述主机数目确定单元还包括结果上报子单元,预设上报周期,当到达上报周期时,查找同一个源IP地址下每个目的IP地址对应的Cookie ID值的信息,将所述Cookie的有效期和当前时间进行比较,如果所述Cookie已经过期,将所述Cookie ID值的信息删除。
在该技术方案中,由于每个Cookie都存在有效期,通过将过期的Cookie ID值的信息删除,从而只统计在Cookie有效期内的接入网络的主机数目,这样提高了检测的准确性。
在上述技术方案中,优选地,还包括界面展现单元,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。
在该技术方案中,用户可以进入展现界面,对检测结果进行报表查看,从而根据检测日志报告的情况,设置相应的控制策略,实现对未授权的共享接入行为进行有效的打击或遏制。
根据本发明的又一方面,还提供了一种网络接入检测方法,包括步骤202,采集网络中的数据包,从所述数据包中获取HTTP协议的上行流量和下行流量;步骤204,从所述上行流量中提取出含有Cookie字段的数据包,以及从所述下行流量中提取出含有 Set-Cookie关键字段的数据包;步骤206,从所述含有Cookie字段的数据包和所述含有 Set-Cookie关键字段的数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据所述源IP地址和所述目的IP地址两者与所述对应Cookie ID值的信息之间的对应关系,对所述源IP地址、目的IP地址及对应的Cookie ID值的信息的数据进行存储; 步骤208,读取存储的数据,统计同一个源IP地址下,每个目的IP地址对应的Cookie ID值的信息的个数,根据所述个数确定所述网络中的主机数目。
在该技术方案中,Cookie ID值的信息包括Cookie的名称、Cookie ID值、Cookie ID的个数及Cookie的有效期等信息。当用户访问网站时,同一网站会为不同的用户分配不同的Cookie ID值,则通过统计同一个源IP地址下,每个网站对应的Cookie ID值的个数,就可以得到访问每个网站的主机数,再从访问所有网站的主机数中取一个最大值,即可确定同一个源IP地址下网络中的主机数。从而提高了网络接入检测的准确性,降低了因检测破解技术提高带来的漏检漏报风险。
在上述技术方案中,优选地,所述步骤208还包括确定从指定的源IP地址接入所述网络的主机数目。
在该技术方案中,可以对某些指定用户的网络接入情况进行检测,从而判断其是否使用多台计算机共享上网,运营商可以根据检测结果采取相应的控制策略。
在上述技术方案中,优选地,所述步骤208还包括在提取到所述Cookie ID值的信息时,根据所述源IP地址和所述目的IP地址查找对应的Cookie ID值的信息,如果找到所述Cookie ID值的信息,则不做任何处理,如果未找到所述Cookie ID值的信息,则添加所述Cookie ID值的信息到所述存储数据中。
在该技术方案中,通过在已存储的数据中对即将存储的Cookie ID值的信息进行查找,从而避免了同一个Cookie ID值的信息重复统计的问题,保证了检测到的网络中接入主机数量的准确性。
在上述技术方案中,优选地,所述Cookie ID值的信息中包含Cookie的有效期,则所述步骤208还包括预设上报周期,当到达上报周期时,查找同一个源IP地址下每个目的 IP地址对应的Cookie ID值的信息,将所述Cookie的有效期和当前时间进行比较,如果所述Cookie已经过期,将所述Cookie ID值的信息删除。
在该技术方案中,由于每个Cookie都存在有效期,通过将过期的Cookie ID值的信息删除,从而只统计在Cookie有效期内的接入网络的主机数目,这样提高了检测的准确性。
在上述技术方案中,优选地,还包括步骤210,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。
在该技术方案中,用户可以进入展现界面,对检测结果进行报表查看,从而根据检测日志报告的情况,设置相应的控制策略,实现对未授权的共享接入行为进行有效的打击或遏制。
通过以上技术方案,能够有效提高共享接入检测的精确度,同时能避免某些通过打乱IPID的发包规律、顺序或者分散IPID的技术手段逃避检测,导致的检测不到共享接入的问题。
图I示出了根据本发明的实施例的网络接入检测系统的框图2示出了根据本发明的实施例的网络接入检测方法的流程图3示出了根据本发明的实施例的网络接入检测方法的具体流程图4示出了根据本发明的实施例的Cookie的屏幕截图5示出了根据本发明的实施例的综合性共享网络接入检测技术的示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式
对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了根据本发明的实施例的网络接入检测系统的框图。
如图1所示,本发明的实施例的网络接入检测系统100包括采集单元102,采集网络中的数据包,从所述数据包中获取HTTP协议的上行流量和下行流量;数据包提取单元 104,从所述上行流量中提取出含有Cookie字段的数据包,以及从所述下行流量中提取出含有Set-Cookie关键字段的数据包;数据存储单元106,从所述含有Cookie字段的数据包和所述含有Set-Cookie关键字段的数据包中提取出源IP地址、目的IP地址及对应的 Cookie ID值的信息,并根据所述源IP地址和所述目的IP地址两者与所述对应Cookie ID 值的信息之间的对应关系,对所述源IP地址、所述目的IP地址及所述对应的Cookie ID值的信息进行存储;主机数目确定单元108,读取所述数据存储单元106中存储的数据,统计同一个源IP地址下,每个目的IP地址对应的Cookie ID值的信息的个数,根据所述个数确定所述网络中的主机数目。
在该技术方案中,Cookie ID值的信息包括Cookie的名称、Cookie ID值、Cookie ID的个数及Cookie的有效期等信息。当用户访问网站时,同一网站会为不同的用户分配不同的Cookie ID值,则通过统计同一个源IP地址下,每个网站对应的Cookie ID值的个数,就可以得到访问每个网站的主机数,再从访问所有网站的主机数中取一个最大值,即可确定同一个源IP地址下网络中的主机数。从而提高了网络接入检测的准确性,降低了因检测破解技术提高带来的漏检漏报风险。
在上述技术方案中,优选地,所述主机数目确定单元108确定从指定的源IP地址接入所述网络的主机数目。
在该技术方案中,可以对某些指定用户的网络接入情况进行检测,从而判断其是否使用多台计算机共享上网,用户可以根据检测结果采取相应的控制策略。
在上述技术方案中,优选地,所述主机数目确定单元108包括信息添加子单元 1082,在所述数据存储单元106提取到Cookie ID值的信息时,根据所述源IP地址和所述目的IP地址查找所述对应的Cookie ID值的信息,如果找到所述Cookie ID值的信息,则不做任何处理,如果未找到所述Cookie ID值的信息,则添加所述Cookie ID值的信息到所述存储数据中。
在该技术方案中,通过在已存储的数据中对即将存储的Cookie ID值的信息进行查找,从而避免了同一个Cookie ID值的信息重复统计的问题,保证了检测到的网络中接入主机数量的准确性。
在上述技术方案中,优选地,所述Cookie ID值的信息中包含Cookie的有效期,则所述主机数目确定单元108还包括结果上报子单元1084,预设上报周期,当到达上报周期时,查找同一个源IP地址下每个目的IP地址对应的Cookie ID值的信息,将所述Cookie 的有效期和当前时间进行比较,如果所述Cookie已经过期,将所述Cookie ID值的信息删除。
在该技术方案中,由于每个Cookie都存在有效期,通过将过期的Cookie ID值的信息删除,从而只统计在Cookie有效期内的接入网络的主机数目,这样提高了检测的准确性。
在上述技术方案中,优选地,还包括界面展现单元110,提供展现界面,展现所述结果上报子单元1084上报的数据和/或接入所述网络的主机数目。
在该技术方案中,用户可以进入展现界面,对检测结果进行报表查看,从而根据检测日志报告的情况,设置相应的控制策略,实现对未授权的共享接入行为进行有效的打击或遏制。
图2示出了根据本发明的实施例的网络接入检测方法的流程图。
如图2所示,本发明的实施例的网络接入检测方法,包括步骤202,采集网络中的数据包,从所述数据包中获取HTTP协议的上行流量和下行流量;步骤204,从所述上行流量中提取出含有Cookie字段的数据包,以及从所述下行流量中提取出含有Set-Cookie关键字段的数据包;步骤206,从所述含有Cookie字段的数据包和所述含有Set-Cookie关键字段的数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据所述源 IP地址和所述目的IP地址两者与所述对应Cookie ID值的信息之间的对应关系,对所述源 IP地址、目的IP地址及对应的Cookie ID值的信息的数据进行存储;步骤208,读取存储的数据,统计同一个源IP地址下,每个目的IP地址对应的Cookie ID值的信息的个数,根据所述个数确定所述网络中的主机数目。
在该技术方案中,Cookie ID值的信息包括Cookie的名称、Cookie ID值、Cookie ID的个数及Cookie的有效期等信息。当用户访问网站时,同一网站会为不同的用户分配不同的Cookie ID值,则通过统计同一个源IP地址下,每个网站对应的Cookie ID值的个数,就可以得到访问每个网站的主机数,再从访问所有网站的主机数中取一个最大值,即可确定同一个源IP地址下网络中的主机数。从而提高了网络接入检测的准确性,降低了因检测破解技术提高带来的漏检漏报风险。
在上述技术方案中,优选地,所述步骤208还包括确定从指定的源IP地址接入所述网络的主机数目。
在该技术方案中,可以对某些指定用户的网络接入情况进行检测,从而判断其是否使用多台计算机共享上网,运营商可以根据检测结果采取相应的控制策略。
在上述技术方案中,优选地,所述步骤208还包括在提取到所述Cookie ID值的信息时,根据所述源IP地址和所述目的IP地址查找对应的Cookie ID值的信息,如果找到所述Cookie ID值的信息,则不做任何处理,如果未找到所述Cookie ID值的信息,则添加所述Cookie ID值的信息到所述存储数据中。
在该技术方案中,通过在已存储的数据中对即将存储的Cookie ID值的信息进行查找,从而避免了同一个Cookie ID值的信息重复统计的问题,保证了检测到的网络中接入主机数量的准确性。
在上述技术方案中,优选地,所述Cookie ID值的信息中包含Cookie的有效期,则所述步骤208还包括预设上报周期,当到达上报周期时,查找同一个源IP地址下每个目的 IP地址对应的Cookie ID值的信息,将所述Cookie的有效期和当前时间进行比较,如果所述Cookie已经过期,将所述Cookie ID值的信息删除。
在该技术方案中,由于每个Cookie都存在有效期,通过将过期的Cookie ID值的信息删除,从而只统计在Cookie有效期内的接入网络的主机数目,这样提高了检测的准确性。
在上述技术方案中,优选地,还包括步骤210,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。
在该技术方案中,用户可以进入展现界面,对检测结果进行报表查看,从而根据检测日志报告的情况,设置相应的控制策略,实现对未授权的共享接入行为进行有效的打击或遏制。
图3示出了根据本发明的实施例的网络接入检测方法的具体流程图。
如图3所示,本发明的实施例的网络接入检测方法的具体流程如下
步骤302,在运营商网络接入层或骨干网出口进行数据包采集,采集HTTP协议的上行和下行流量。
步骤304,针对上行流量,提取出含有Cookie字段的数据包。
步骤306,针对下行流量,提取出含有Set-Cookie关键字段的数据包。
步骤308,从数据包中提取出源IP地址、目的IP地址、Cookie名称和Cookie ID 值的信息。
步骤310,将提取出的数据进行保存。其中,可按照以下数据结构保存
权利要求
1.一种网络接入检测系统,其特征在于,包括采集单元,采集网络中的数据包,从所述数据包中获取HTTP协议的上行流量和下行流量;数据包提取单元,从所述上行流量中提取出含有Cookie字段的数据包,以及从所述下行流量中提取出含有Set-Cookie关键字段的数据包;数据存储单元,从所述含有Cookie字段的数据包和所述含有Set-Cookie关键字段的数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据所述源IP 地址和所述目的IP地址两者与所述对应Cookie ID值的信息之间的对应关系,对所述源IP 地址、所述目的IP地址及所述对应的Cookie ID值的信息进行存储;主机数目确定单元,读取所述数据存储单元中存储的数据,统计同一个源IP地址下, 每个目的IP地址对应的Cookie ID值的信息的个数,根据所述个数确定所述网络中的主机数目。
2.根据权利要求I所述的网络接入检测系统,其特征在于,所述主机数目确定单元确定从指定的源IP地址接入所述网络的主机数目。
3.根据权利要求2所述的网络接入检测系统,其特征在于,所述主机数目确定单元包括信息添加子单元,在所述数据存储单元提取到所述Cookie ID值的信息时,根据所述源 IP地址和所述目的IP地址查找所述对应的Cookie ID值的信息,如果找到所述Cookie ID 值的信息,则不做任何处理,如果未找到所述Cookie ID值的信息,则添加所述Cookie ID 值的信息到所述存储数据中。
4.根据权利要求3所述的网络接入检测系统,其特征在于,所述CookieID值的信息中包含Cookie的有效期,则所述主机数目确定单元还包括结果上报子单元,预设上报周期,当到达上报周期时,查找同一个源IP地址下每个目的IP地址对应的Cookie ID值的信息,将所述Cookie的有效期和当前时间进行比较,如果所述Cookie已经过期,将所述CookieID值的信息删除。
5.根据权利要求I至4中任一项所述的网络接入检测系统,其特征在于,还包括界面展现单元,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。
6.—种网络接入检测方法,其特征在于,包括步骤202,采集网络中的数据包,从所述数据包中获取HTTP协议的上行流量和下行流量;步骤204,从所述上行流量中提取出含有Cookie字段的数据包,以及从所述下行流量中提取出含有Set-Cookie关键字段的数据包;步骤206,从所述含有Cookie字段的数据包和所述含有Set-Cookie关键字段的数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据所述源IP地址和所述目的IP地址两者与所述对应CookieID值的信息之间的对应关系,对所述源IP地址、 所述目的IP地址及所述对应的Cookie ID值的信息进行存储;步骤208,读取存储的数据,统计同一个源IP地址下,每个目的IP地址对应的Cookie ID值的信息的个数,根据所述个数确定所述网络中的主机数目。
7.根据权利要求6所述的网络接入检测方法,其特征在于,所述步骤208包括确定从指定的源IP地址接入所述网络的主机数目。
8.根据权利要求7所述的网络接入检测方法,其特征在于,所述步骤208还包括 在提取到所述Cookie ID值的信息时,根据所述源IP地址和所述目的IP地址查找所述对应的Cookie ID值的信息,如果找到所述Cookie ID值的信息,则不做任何处理,如果未找到所述Cookie ID值的信息,则添加所述Cookie ID值的信息到所述存储数据中。
9.根据权利要求8所述的网络接入检测方法,其特征在于,所述CookieID值的信息中包含Cookie的有效期,则所述步骤208还包括 预设上报周期,当到达上报周期时,查找同一个源IP地址下每个目的IP地址对应的Cookie ID值的信息,将所述Cookie的有效期和当前时间进行比较,如果所述Cookie已经过期,将所述Cookie ID值的信息删除。
10.根据权利要求6至9中任一项所述的网络接入检测方法,其特征在于,还包括 步骤210,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。
全文摘要
本发明提出了一种网络接入检测系统,包括采集单元,采集网络中的数据包,从数据包中获取HTTP协议的上行流量和下行流量;数据包提取单元,从上行流量中提取出含有Cookie字段的数据包,从下行流量中提取出含有Set-Cookie字段的数据包;数据存储单元,从提取出的两个数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据源IP地址和目的IP地址两者与所述对应Cookie ID值的信息之间的对应关系将数据进行存储;主机数目确定单元,读取存储的数据,统计同一个源IP地址下,每个目的IP地址对应的Cookie ID值的信息的个数,根据个数确定网络中的主机数目。相应地,本发明还提供了一种网络接入检测方法。通过本发明的技术方案,能够有效提高共享接入检测的精确度。
文档编号H04L12/24GK102984003SQ201210504170
公开日2013年3月20日 申请日期2012年11月30日 优先权日2012年11月30日
发明者刘晗 申请人:深圳中兴网信科技有限公司