共享接入检测方法和共享接入检测装置的制造方法

共享接入检测方法和共享接入检测装置的制造方法
【专利摘要】本公开是关于一种共享接入检测方法和共享接入检测装置，所述方法包括：收集来自用户终端的应用层报文；从所述应用层报文中提取用户终端访问的公网IP以及数据流特征，所述数据流特征唯一标识用户终端；根据所述数据流特征统计访问所述公网IP的用户终端数量；判断访问所述公网IP的用户终端数量是否大于第一阈值，如是，判定所述公网IP存在共享接入。通过本公开的技术方案，提高了检测共享接入的准确率以及适用性，并且避免了过多地增加网络负担和共享接入检测装置的负担。
【专利说明】
共享接入检测方法和共享接入检测装置
技术领域
[0001]本公开涉及通信技术领域，尤其涉及一种共享接入检测方法以及一种共享接入检测装置。
【背景技术】
[0002]网络共享接入是指多台用户终端通过NAT(Network Address Translat1n，网络地址转换)、HTTP代理等方式，共享一个公网IP进行上网的行为。
[0003]目前互联网带宽接入业务主要是采用时长计费，而不是流量计费方式，不同的上网用途对带宽资源的消耗差异很大，对不同的用途应该收取不同的额度的费用，但目前互联网缺乏有效的管理手段，相关技术中的方法很难直接的检测出同一个IP地址被局域网内多少台用户终端共享。这给运营商造成了巨大的收入流失。
[0004]相关技术中主要使用的共享接入检测方法主要有HTTP报文头分析方法。该方法可以通过分析HTTP协议请求报文User-Agent字段中操作系统版本和浏览器版本的数量来判断共享上网的用户终端数。
[0005]此方法存在很大的局限性，因为目前用户终端操作系统版本很集中，例如大部分都是windows操作系统，这导致即使检测到User-Agent字段中操作系统版本只有一个，从而判定该IP不存在共享上网，但是这在多个用户终端使用相同操作系统在该IP进行共享接入上网时，会导致误判。
[0006]并且同一台用户终端上可能安装不同版本的浏览器，若直接根据检测到的浏览器版本为多个就判定存在共享接入，那么在一个用户终端使用多个版本的浏览器进行上网时，会导致误判。

【发明内容】

[0007]本公开提供一种共享接入检测方法及共享接入检测装置，以解决相关技术中的不足。
[0008]根据本公开实施例的第一方面，提供共享接入检测方法，包括:
[0009]收集来自用户终端的应用层报文；
[0010]从所述应用层报文中提取用户终端访问的公网IP以及数据流特征，所述数据流特征唯一标识用户终端；
[0011 ]根据所述数据流特征统计访问所述公网IP的用户终端数量；
[0012]判断访问所述公网IP的用户终端数量是否大于第一阈值，如是，判定所述公网IP存在共享接入。
[0013]可选地，所述步骤从所述应用层报文中提取用户终端访问的公网IP以及数据流特征包括:
[0014]解析所述应用层报文，以确定所述应用层报文所属的应用类型；
[0015]根据所述应用层报文所属的应用类型确定提取策略；
[0016]从所述应用层报文中提取用户终端访问的公网IP，以及根据确定出的提取策略从相应应用类型的应用层报文中提取数据流特征。
[0017]可选地，在所述步骤根据所述数据流特征统计访问所述公网IP的用户终端数量之后还包括:
[0018]统计每个应用类型的应用层报文中的不同的数据流特征的数量，
[0019]判断同一应用类型的应用层报文中是否存在多个不同的数据流特征，若存在，则判定所述公网IP存在共享接入。
[0020]可选地，上述方法还包括:
[0021]获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值，将所述最大值作为共享接入所述公网IP的用户终端的数量。
[0022]可选地，上述方法还包括:
[0023]判断所述最大值是否大于第二阈值；
[0024]若所述最大值大于所述第二阈值，则对所述公网IP的应用层报文执行访问控制，
[0025]其中，所述访问控制包括:
[0026]向共享接入所述公网IP的用户终端传输提示信息，
[0027]和/或控制所述公网IP的网络资源获取速度，
[0028]和/或阻断所述公网IP的应用层报文。
[0029]根据本发明的又一方面，还提出了一种共享接入检测装置，包括:
[0030]报文收集单元，收集来自用户终端的应用层报文；
[0031]提取单元，从所述应用层报文中提取用户终端访问的公网IP以及数据流特征，所述数据流特征唯一标识用户终端；
[0032]统计单元，根据所述数据流特征统计访问所述公网IP的用户终端数量；
[0033]判断单元，判断访问所述公网IP的用户终端数量是否大于第一阈值，若是，判定所述公网IP存在共享接入。
[0034]可选地，所述提取单元包括:
[0035]解析子单元，解析所述应用层报文，以确定所述应用层报文所属的应用类型；
[0036]策略确定子单元，根据所述应用层报文所属的应用类型确定提取策略；
[0037]IP提取子单元，从所述应用层报文中提取用户终端访问的公网IP;
[0038]特征提取子单元，根据确定出的提取策略从相应应用类型的应用层报文中提取数据流特征。
[0039]可选地，所述统计单元还用于统计每个应用类型的应用层报文中的不同的数据流特征的数量，
[0040]所述判断单元还用于判断同一应用类型的应用层报文中是否存在多个不同的数据流特征，若存在，则判定所述公网IP存在共享接入。
[0041 ] 可选地，上述装置还包括:
[0042]获取单元，获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值，将所述最大值作为共享接入所述公网IP的用户终端的数量。
[0043]可选地，所述判断单元还用于判断所述最大值是否大于第二阈值，
[0044]所述装置还包括:
[0045]控制单元，在所述最大值大于所述第二阈值时，对所述公网IP的应用层报文执行访问控制，
[0046]其中，所述访问控制包括:
[0047]向共享接入所述公网IP的用户终端传输提示信息，
[0048]和/或控制所述公网IP的网络资源获取速度，
[0049]和/或阻断所述公网IP的应用层报文。
[0050]本公开的实施例提供的技术方案可以包括以下有益效果:
[0051]由上述实施例可知，本公开通过收集用户终端的应用层报文，以及根据应用层报文中数据流特征的数量判断公网IP是否存在共享接入，可以提高检测共享接入的准确率。
[0052]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
【附图说明】
[0053]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
[0054]图1是根据本发明实施例的共享接入检测方法的应用场景示意图；
[0055]图2是根据本发明实施例的一种共享接入检测方法的示意流程图；
[0056]图3是根据本发明实施例的从应用层报文中提取用户终端访问的公网IP以及数据流特征的示意流程图；
[0057]图4是根据本发明实施例的又一种共享接入检测方法的示意流程图；
[0058]图5是根据本发明实施例的统计每个类型的应用层报文对应的不同数据流特征的数量的示意流程图；
[0059]图6是根据本发明实施例的又一种共享接入检测方法的示意流程图；
[0060]图7是根据本发明实施例的又一种共享接入检测方法的示意流程图；
[0061 ]图8是根据本发明实施例的又一种共享接入检测方法的示意流程图；
[0062]图9是本发明实施例的共享接入检测装置所在设备的一种硬件结构示意图；
[0063]图10是根据本发明实施例的一种共享接入检测装置的示意框图；
[0064]图11是根据本发明实施例的提取单元的示意框图；
[0065]图12是根据本发明实施例的统计单元的示意框图；
[0066]图13是根据本发明实施例的又一种共享接入检测装置的示意框图；
[0067]图14是根据本发明实施例的又一种共享接入检测装置的示意框图；
[0068]图15是根据本发明实施例的又一种共享接入检测装置的示意框图。
【具体实施方式】
[0069]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
[0070]参见图1，为应用本发明实施共享接入检测方法的应用场景示意图:
[0071]如图1所示，共享接入是指多台用户终端通过NAT(Network AddressTranslat1n，网络地址转换)、HTTP代理等方式，共享接入一个公网IP访问互联网的行为。本实施例公开的共享接入检测方法可以通过获取用户终端的应用层报文，根据应用层报文中的数据流特征判断是否存在多台用户终端共享接入公网IP访问互联网。
[0072]相关技术中使用的共享接入检测方法主要有以下几种:
[0073]1、检测IP报文中的IPID标识的连续性。
[0074]一台用户终端发送IP报文的IPID字段是从0-65535循环，单调递增变化，且中间网络设备(例如路由器、防火墙等)不会修改此字段，因此可以通过检测一个IP报文的IPID的连续性判断是否是同一台用户终端接入了该IP发送报文。
[0075]该方法有很大的局限性和误判性，在一个IP共享接入多台用户终端时，IPID的连续性会显得很混乱，并且目前高性能用户终端发送IP报文的频率很快，在很短的时间内IPID就会从O达到65535完成一次循环，而在完成一次循环的周期小于检测周期时，那么即使一个IP共享接入多台用户终端，那么检测结果可能仍然显示IPID是单调递增的，从而判定该IP只接入了一台用户终端，导致检测结果出现偏差。
[0076]2、MAC地址检测方法。
[0077 ] 统计同一 IP的数据包是否对应多个MAC地址，若对应多个MAC地址，则判断该IP存在共早上网。
[0078]此方法对NAT和HTTP代理上网的情况无法有效检测，目前基本已经被淘汰。
[0079]3、HTTP报文头分析方法。
[0080]通过分析HTTP协议请求报文User-Agent字段中操作系统版本和浏览器版本的数量来判断共享上网的用户终端数。
[0081]此方法存在很大的局限性，因为目前用户终端操作系统版本很集中，例如大部分都是windows操作系统，这导致即使检测到User-Agent字段中操作系统版本只有一个，从而判定该IP不存在共享上网，但是这在多个用户终端使用相同操作系统在该IP进行共享接入上网时，会导致误判。
[0082]并且同一台用户终端上可能安装不同版本的浏览器，若直接根据检测到的浏览器版本为多个就判定存在共享接入，那么在一个用户终端使用多个版本的浏览器进行上网时，会导致误判。
[0083]4、主动获取检测用户终端信息的方法。
[0084]主动检测方法主要有:
[0085](I):根据用户终端发送的访问请求命令，向用户终端发送用户终端信息查询命令，迫使用户终端返回MAC和用户终端标识等可以标识用户终端特征的信息，并进一步根据这些用户终端信息判断共享接入上网的用户终端数量。
[0086](2):根据用户终端发送的HTTP协议的GET请求，挟持服务器响应的消息报文，在响应报文中添加唯一的setcookie字段值，当用户终端再次对同一网页请求时，就会携带特殊的cookie字段值，通过统计cookie字段值的唯一"性来判断是否共享接入上网。
[0087]这种方法需要不断向用户终端发送报文消息，很大程度上增加了网络负担和共享接入检测设备的性能负担，且发送的消息往往会被浏览器拦截而无法获取用户终端信息。
[0088]在本发明实施例中，共享接入检测方法可以收集公网IP的应用层报文，以及根据应用层报文中数据流特征的数量判断公网IP是否存在共享接入，以此提高检测共享接入的准确率以及适用性，同时避免过多地增加网络负担和共享接入检测装置的负担。下面结合附图对本发明共享接入检测方法的实施例进行详细描述。
[0089]如图2所示，根据本发明一个实施例的共享接入检测方法包括以下步骤:
[0090]在步骤S102中，收集来自用户终端的应用层报文；
[0091]在步骤S104中，从所述应用层报文中提取用户终端访问的公网IP以及数据流特征，所述数据流特征唯一标识用户终端；
[0092]在步骤S106中，根据所述数据流特征统计访问所述公网IP的用户终端数量；
[0093]在步骤S108中，判断访问所述公网IP的用户终端数量是否大于第一阈值，如是，判定所述公网IP存在共享接入。
[0094]根据本实施例，由于用于用户终端中应用层报文的部分数据流特征具有唯一性，因此数据流特征可以唯一地标识用户终端。例如在360安全卫士启动更新时，会进行版本检测，此时发送的应用层报文的为请求URL的报文，其中的数据流特征为请求URL携带的一个mid字段值，例如请求URL的报文如下:
[0095]GET/v3/safeup_lib.cab?autoupdate = false&pid = h_home_inst&uid= l&mid =e d461ccbde48d81612301ad712de0060&ver = 9.7.0.2001&sysver = 5.1.2600.256.1.3&pa=x86&type = tray&rt = 0&11 = O&ue = l&language = chs HTTP/1.1
[0096]Accept:*/*
[0097]User-Agent:MoziIla/4.0(compatible；MSIE 6.0；ffindows NT 5.1；SVl)
[0098]Host:update.360safe.com
[0099]Connect1n: Close
[0100]Cache-Control: no-cache
[0101]其中mid字段值为ed461ccbde48d81612301ad712de0060，而对于不同的用户终端，mid字段值是不同的。
[0102]当然，数据流特征并不限于mid值，对于不同应用类型的应用层报文，数据流特征也是可以不同，例如上述应用类型为360安全卫士，其数据流特征为请求URL中的mid值，而若应用类型为搜狗输入法，其数据流特征可以为请求URL中的h值，若应用类型为迅雷下载软件，其数据流特征可以为peer id值。
[0103]虽然不同应用类型的应用层报文的数据流特征不同，但是同一应用类型的应用层报文中对应同一用户终端的数据流特征是相同的，同一应用类型的应用层报文中对应不同用户终端的数据流特征是不同的，因此通过从应用层报文中提取数据流特征，可以进一步确定同一应用类型的应用层报文中是否存在不同的数据流特征，而当同一应用类型的应用层报文中存在不同的数据流特征时，说明存在多个用户终端共享接入了公网IP，且均通过该应用类型的应用程序发出了应用层报文，从而可以确定该公网IP存在共享接入。
[0104]当然，还可以进一步确定某一应用类型的应用层报文中不同的数据流特征的数量，而该数量等于通过该应用类型的应用程序发出应用层报文的用户终端的数量，从而可以根据用户终端的数量判断公网IP是否存在共享接入，例如上述第一阈值等于1，那么当用户终端的数量大于I时，则可以判定公网IP存在共享接入。
[0105]本实施例的检测方法通过收集用户终端的应用层报文，以及根据应用层报文中数据流特征的数量判断公网IP是否存在共享接入的方式，相对于现有技术中通过检测IP报文中的IPID标识的连续性，或通过分析HTTP报文头的方式检测公网IP是否存在共享接入，可以有效地提高检测结果的准确率;并且适用性强，对于NAT和HTTP代理上网的方式均可有效地进行检测；而且无需向用户终端发送报文消息，避免了过多地增加网络负担和共享接入检测装置的负担。
[0106]如图3所示，可选地，步骤从应用层报文中提取用户终端访问的公网IP以及数据流特征包括:
[0107]S1042，解析所述应用层报文，以确定所述应用层报文所属的应用类型；
[0108]S1044，根据所述应用层报文所属的应用类型确定提取策略；
[0109]S1046，从所述应用层报文中提取用户终端访问的公网IP，以及
[0110]S1048，根据确定出的提取策略从相应应用类型的应用层报文中提取数据流特征。
[0111]需要说明的是，上述步骤S1046和S1048的执行顺序不分先后，既可以先执行S1046后执行步骤S1048，也可以先执行步骤S1048后执行步骤S1046，还可以同时执行步骤S1046和步骤S1048。
[0112]由于不同应用类型的应用层报文中数据流特征不同，正如上述实施例，应用类型为360安全卫士的应用层报文中数据流特征可以为请求URL中的mid值，应用类型为搜狗输入法的应用层报文中数据流特征可以为请求URL中的h值，应用类型为迅雷下载软件的应用层报文中数据流特征可以为peerid值，而不同应用类型的应用层报文的格式是不同的，因此需要采取不同的提取策略在不同应用类型的应用层报文中提取数据流特征，以便准确地提取到每种应用类型的应用层报文中的数据流特征。
[0113]其中，可以通过报文深度解析方法(DPI)来解析应用层报文，从而确定每个应用层报文的应用类型，当然，也可以通过其他方法对应用层报文进行解析得到每个应用层报文的应用类型。
[0114]如图4所示，可选地，如图2所示的方法在所述步骤根据所述数据流特征统计访问公网IP的用户终端数量之后还包括:
[0115]S110，统计每个应用类型的应用层报文中的不同的数据流特征的数量，
[0116]S112，判断同一应用类型的应用层报文中是否存在多个不同的数据流特征，若存在，则判定公网IP存在共享接入。
[0117]当存在不同的数据流特征时，即可确定共享接入公网IP的用户终端不同，而不同数据流特征的数量则可以用于表示共享接入公网IP的用户终端的数量，通过统计该数量，便于网络运营商查看共享接入公网IP的用户终端的数量，以便做出准确的评估和适当的处理。
[0118]如图5所示，可选地，步骤统计每个类型的应用层报文对应的不同数据流特征的数量包括:
[0119]S1102，判断是否已关联存储公网IP与第一应用类型应用层报文的第一数据流特征；
[0120]S1104，若未关联存储，则将第一应用类型应用层报文的数据流特征的统计数量加I，并关联存储公网IP与第一应用类型应用层报文的第一数据流特征。
[0121]例如在应用层报文中提取到一个应用类型为360安全卫士的数据流特征，那么可以检测应用层报文对应的公网IP与该360安全卫士的数据流特征是否存在关联关系，若存在关联关系，可以判定在之前的应用层报文中已记录了该数据流特征，发出此次应用层报文的用户终端，并非新接入公网IP的用户终端，因此可以不做处理;若不存在关联关系，则可以判定发出此次应用层报文的用户终端，是新接入公网IP的用户终端，也即共享接入公网IP的用户终端数目增加一个。
[0122]可选地，对于不同应用类型的应用层报文的数据流特征可以分别存储于不同的存储空间，例如应用类型为360安全卫士的应用层报文的数据流特征可以存储于第一存储空间，应用类型为迅雷软件的应用层报文的数据流特征可以存储于第二存储空间，以便在判断公网IP与数据流特征的关联关系时，可以先根据数据流特征对应应用层报文的应用类型确定相应的存储空间，从而在确定的存储空间中查询与公网IP关联存储的数据流特征，可以提高查询效率。
[0123]如图6所示，可选地，如图4所示的方法在统计每个应用类型的应用层报文中的不同的数据流特征的数量之后还包括:
[0124]S114，获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值，将最大值作为共享接入公网IP的用户终端的数量。
[0125]例如存在4个用户终端共享接入公网IP，4个用户终端中的2个用户终端开启了360安全卫士，3个用户终端开启了迅雷软件，4个用户终端均开启了搜狗输入法，那么通过上述实施例可以确定，应用类型为360安全卫士的应用层报文对应的不同数据流特征为2个，应用类型为迅雷软件的应用层报文对应的不同数据流特征为3个，应用类型为搜狗输入法的应用层报文对应的不同数据流特征为4个，也即4个用户终端中每个用户终端开启的应用程序不尽相同，若将应用类型为迅雷软件的应用层报文对应的不同数据流特征的数量3作为共享接入公网IP的用户终端的数量，会导致统计值小于实际值。
[0126]根据本实施例，通过将所有类型的应用层报文中不同数据流特征的数量的最大值作为共享接入公网IP的用户终端的数量，例如将上述应用类型为搜狗输入法的应用层报文对应的不同数据流特征的数量4作为共享接入公网IP的用户终端的数量，可以有效提高统计值与实际值的吻合度，提高检测精度。
[0127]如图7所示，可选地，如图6所示的方法在获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值之后还包括:
[0128]S116，判断最大值是否大于第二阈值；
[0129]SI 18，若最大值大于第二阈值，则对公网IP的应用层报文执行访问控制，
[0130]其中，所述访问控制包括:
[0131]向共享接入所述公网IP的用户终端传输提示信息，以便用户终端的操作者自行进行处理；
[0132]和/或控制所述公网IP的网络资源获取速度，以便降低公网IP所处网络的网络压力；
[0133]和/或阻断所述公网IP的应用层报文，以便降低网络运营商的损失。
[0134]网络运营商对于共享接入某个公网IP的用户终端的数量可以预先设置第二阈值，以便在共享接入该公网IP的用户终端的数量超过第二阈值时，能够及时对通过该公网IP上网的用户终端进行有效控制，以缓解网络压力，降低网络运营商的损失。
[0135]如图8所示(其中省略显示步骤S102至步骤S110，并简化显示了步骤S114)，可选地，如图7所示的方法在最大值大于第二阈值时还包括:
[0136]S120，根据共享接入公网IP的每个用户终端的应用层报文分别生成日志；
[0137]S122，展示每个用户终端的信息以及相应的日志。
[0138]根据本实施例，网络运营商可以方便地查看每个共享接入公网IP的用户终端的信息以及相应的日志，从而方便且快速地了解每个用户终端共享接入公网IP上网的情况，便于进行管理。
[0139]以下结合一个实施例对本发明的实现进行示例性说明:
[0140]例如网络运营商设置的某个公网IP15.26.33.58共享接入用户终端的数量为2，并设置了自动提示，也即当检测到2个以上的用户终端共享接入到该公网IP时，自动向每个共享接入的用户终端传输提示信息。
[0141]用户终端A、用户终端B和用户终端C通过HTTP代理的方式使用同一个公网IP15.26.33.58访问外网，其中用户终端A、用户终端B和用户终端C均开启了360安全卫士，用户终端B和用户终端C开启了迅雷软件。
[0142]当用户终端A、用户终端B和用户终端C中的360安全卫士处于启动状态，用户终端B和用户终端C中的迅雷软件处于启动状态时，可以在应用类型为360安全卫士的应用层报文中检测到三个不同的mid值，以及在应用类型为迅雷软件的应用层报文中检测到两个不同的peerid值，根据应用层报文中的mid值可以确定有三个用户终端共享接入了公网IP15.26.33.58,根据应用层报文中的peerid值可以确定有两个用户终端共享接入了公网IP15.26.33.58,获取2和3两个数值中的最大值3，作为共享接入公网IP15.26.33.58的用户终端的数量，也即最终判定存在3个用户终端共享接入公网IP15.26.33.58。
[0143]由于数值3大于网络运营商预先设置的第二阈值2，因此可以触发提示操作，也即向用户终端A、用户终端B和用户终端C分别发出提示信息，进一步地，还可以生成每个用户终端的应用层报文的日志，以进行展示。
[0144]本发明共享接入检测装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图9所示，为本发明共享接入检测装置所在设备的一种硬件结构图，除了图9所示的处理器、网络接口、内存以及非易失性存储器之外，实施例中装置所在的设备通常还可以包括其他硬件，如负责处理报文的转发芯片等等;从硬件结构上来讲该设备还可能是分布式的设备，可能包括多个接口卡，以便在硬件层面进行报文处理的扩展。
[0145]参照图10，根据本发明一个实施例的共享接入检测装置200，包括:
[0146]报文收集单元201，收集来自用户终端的应用层报文；
[0147]提取单元202，从应用层报文中提取用户终端访问的公网IP以及数据流特征，数据流特征唯一标识用户终端；
[0148]统计单元203，根据数据流特征统计访问公网IP的用户终端数量；
[0149]判断单元204，判断访问所述公网IP的用户终端数量是否大于第一阈值，若是，判定公网IP存在共享接入。
[0150]如图11所示，提取单元202可以包括:
[0151 ]解析子单元2021，解析应用层报文，以确定应用层报文所属的应用类型；
[0152]策略确定子单元2022，根据应用层报文所属的应用类型确定提取策略；
[0153]IP提取子单元2023，从应用层报文中提取用户终端访问的公网IP;
[0154]特征提取子单元2024，根据确定出的提取策略从相应应用类型的应用层报文中提取数据流特征。
[0155]可选地，统计单元还用于统计每个应用类型的应用层报文中的不同的数据流特征的数量，
[0156]判断单元还用于判断同一应用类型的应用层报文中是否存在多个不同的数据流特征，若存在，则判定公网IP存在共享接入。
[0157]如图12所示，可选地，统计单元203包括:
[0158]关联判断子单元2031，用于判断是否已关联存储公网IP与第一应用类型的应用层报文的第一数据流特征；
[0159]统计数量子单元2032，在公网IP与第一应用类型的应用层报文未关联存储时，将第一类型应用层报文的数据流特征的统计数量加I;
[0160]关联存储子单元2033，关联存储公网IP与第一应用类型的应用层报文的第一数据流特征。
[0161]如图13所示，可选地，在如图1O所示的装置基础上，还可以包括:
[0162]获取单元205，获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值，将最大值作为共享接入公网IP的用户终端的数量。
[0163]如图14所示，可选地，判断单元204还用于判断最大值是否大于第二阈值；
[0164]在如图13所示装置的基础上还可以包括:
[0165]控制单元206，在最大值大于第二阈值时，对公网IP的应用层报文执行访问控制。
[0166]其中，访问控制包括:
[0167]向共享接入公网IP的用户终端传输提示信息，
[0168]和/或控制公网IP的网络资源获取速度，
[0169]和/或阻断公网IP的应用层报文。
[0170]如图15所示，可选地，在如图14所示装置的基础上还可以包括:
[0171]日志生成单元207，根据共享接入公网IP的每个用户终端的应用层报文分别生成日志；
[0172]展示单元208，展示每个用户终端的信息以及相应的日志。
[0173]关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
[0174]对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0175]本领域技术人员在考虑说明书及实践这里公开的公开后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。
[0176]应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
【主权项】
1.一种共享接入检测方法，其特征在于，包括: 收集来自用户终端的应用层报文； 从所述应用层报文中提取用户终端访问的公网IP以及数据流特征，所述数据流特征唯一标识用户终端； 根据所述数据流特征统计访问所述公网IP的用户终端数量； 判断访问所述公网IP的用户终端数量是否大于第一阈值，如是，判定所述公网IP存在共享接入。2.根据权利要求1所述的方法，其特征在于，所述步骤从所述应用层报文中提取用户终端访问的公网IP以及数据流特征包括: 解析所述应用层报文，以确定所述应用层报文所属的应用类型； 根据所述应用层报文所属的应用类型确定提取策略； 从所述应用层报文中提取用户终端访问的公网IP，以及根据确定出的提取策略从相应应用类型的应用层报文中提取数据流特征。3.根据权利要求2所述的方法，其特征在于，在所述步骤根据所述数据流特征统计访问所述公网IP的用户终端数量之后还包括: 统计每个应用类型的应用层报文中的不同的数据流特征的数量， 判断同一应用类型的应用层报文中是否存在多个不同的数据流特征，若存在，则判定所述公网IP存在共享接入。4.根据权利要求3所述的方法，其特征在于，还包括: 获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值，将所述最大值作为共享接入所述公网IP的用户终端的数量。5.根据权利要求4所述的方法，其特征在于，还包括: 判断所述最大值是否大于第二阈值； 若所述最大值大于所述第二阈值，则对所述公网IP的应用层报文执行访问控制， 其中，所述访问控制包括: 向共享接入所述公网IP的用户终端传输提示信息， 和/或控制所述公网IP的网络资源获取速度， 和/或阻断所述公网IP的应用层报文。6.一种共享接入检测装置，其特征在于，包括: 报文收集单元，收集来自用户终端的应用层报文； 提取单元，从所述应用层报文中提取用户终端访问的公网IP以及数据流特征，所述数据流特征唯一标识用户终端； 统计单元，根据所述数据流特征统计访问所述公网IP的用户终端数量； 判断单元，判断访问所述公网IP的用户终端数量是否大于第一阈值，若是，判定所述公网IP存在共享接入。7.根据权利要求6所述的装置，其特征在于，所述提取单元包括: 解析子单元，解析所述应用层报文，以确定所述应用层报文所属的应用类型； 策略确定子单元，根据所述应用层报文所属的应用类型确定提取策略； IP提取子单元，从所述应用层报文中提取用户终端访问的公网IP; 特征提取子单元，根据确定出的提取策略从相应应用类型的应用层报文中提取数据流特征。8.根据权利要求7所述的装置，其特征在于，所述统计单元还用于统计每个应用类型的应用层报文中的不同的数据流特征的数量， 所述判断单元还用于判断同一应用类型的应用层报文中是否存在多个不同的数据流特征，若存在，则判定所述公网IP存在共享接入。9.根据权利要求8所述的装置，其特征在于，还包括: 获取单元，获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值，将所述最大值作为共享接入所述公网IP的用户终端的数量。10.根据权利要求9所述的装置，其特征在于，所述判断单元还用于判断所述最大值是否大于第二阈值， 所述装置还包括: 控制单元，在所述最大值大于所述第二阈值时，对所述公网IP的应用层报文执行访问控制， 其中，所述访问控制包括: 向共享接入所述公网IP的用户终端传输提示信息， 和/或控制所述公网IP的网络资源获取速度， 和/或阻断所述公网IP的应用层报文。
【文档编号】H04L12/26GK105939231SQ201610326292
【公开日】2016年9月14日
【申请日】2016年5月16日
【发明人】魏方征, 张晓东
【申请人】杭州迪普科技有限公司