专利名称:网络接入检测系统和网络接入检测方法
技术领域:
本发明涉及互联网技术领域,具体而言,涉及一种网络接入检测系统和一种网络接入检测方法。
背景技术:
目前,由于互联网宽带接入业务的计费主要还是采用时长计费而不是流量计费的方式。一部分人利用运营商的这个漏洞,往往以个人的名义申请宽带而让企业或黑网吧使用,或者几户共用宽带分摊费用,这给运营商造成了巨大的收入流失。由于IP协议设计本身的历史原因,没有任何一个标准或协议能够直接反映出同一个IP地址下的局域网内共享有多少台计算机,目前业界普遍使用的检测方法有以下几种 I、IP报文中有IPID标识(IP包序列号),每台机器的该标识从O至65535循环,呈递增数列,路由器、防火墙和多数代理服务器均不会修改该标识,因此可以根据该标识的连续性判断是否是同一台机器。但是用该方法判断的难度在于,机器台数较多时连续性会显得很混乱,会导致准确计算的难度很大。另外,有些机器感染了病毒和蠕虫,也会造成IPID值异常增长以及导致计算难度变大。因此需要复杂并高效的算法还原出真实情况。方法一就是根据该原理尽可能将每台机器所发送的报文连成一条直线,每条直线代表一台机器。2、方法二原理同上,但算法不同,不是还原成直线,而是还原成离散的数组,每个数组代表一台机器。3、方法三根据TCP (Transmission Control Protocol,传输控制协议)序号,部分TCP报文也会有随系统时间递增的序列号,该值可以路由器、防火墙和代理服务器均不能修改该标识,否则报文失效,也可以尽可能将每台机器所发送的报文连成一条直线,每条直线代表一台机器;4> SNMP (Simple Network Management Protocol,简单网络管理协议)扫描法,通过在接入设备Modem上植入SNMP扫描程序对用户主机进行SNMP扫描来检测是否有多台机器共享上网,由于极易用户通过修改Modem配置来规避,并且扫描用户主机也会招致用户察觉和不满,目前已经基本淘汰;5、MAC (Media Access Control,介质访问控制)地址获取法,只能部署于接入层,通过在接入层大规模部署,在网络数据包中统计是否有多个MAC地址使用相同IP地址上网的情况,这种方法对于NAT/Proxy代理上网无效,并且对一台主机多个网卡的情况会产生误报,目前也已基本淘汰;6、TTL (Time To Live,生存时间)分析法,也只能部署于接入层,通过分析IP报文中的TTL数值不同来判断是否多机共享接入,由于目标服务器网络应用的类型不同,TTL值会发生变化,因此这种方法仅在某些特定情况下有一定作用,即使TTL不一致,也不一定是共享上网用户,同时对于代理上网的情况也会失效,因此目前也已基本淘汰。因此,需要一种新的技术方案,能够有效提高共享接入检测的精确度,同时能避免某些通过打乱IPID的发包规律、顺序或者分散IPID的技术手段逃避检测,导致检测不到共享接入的情况。
发明内容
本发明正是基于上述问题,提出了一种新的技术方案,能够有效提高共享接入检测的精确度,同时能避免某些通过打乱IPID的发包规律、顺序或者分散IPID的技术手段逃避检测,导致检测不到共享接入的情况。有鉴于此,本发明提出了一种网络接入检测系统,包括采集单元,采集网络中的数据包,从所述数据包中获取使用指定应用协议的上行流量;提取单元,根据存储的所述指定应用协议的应用层特征,从所述上行流量中提取出含有私网IP地址的数据包;存储单元,从所述含有私网IP地址的数据包中提取出源IP地址和私网IP地址,并将所述源IP地址和所述私网IP地址进行关联存储;主机数目确定单元,读取所述存储单元中存储的数据,统计与同一个源IP地址相关联的私网IP地址的个数,根据所述个数确定所述网络 中的主机数目。在该技术方案中,网络运营商可以从用户的一些常用的应用协议中,获得用户的私网IP地址,从而统计出同一个源IP地址对应的私网IP地址的个数,确定网络中的主机数目。例如,当用户访问一个应用程序时,根据应用层特征,系统会从应用协议中获取到该用户的私网IP地址并进行存储,利用同样的方法,可以统计出一个源IP地址下,存在几个私网IP地址,从而根据私网IP地址的个数确定网络中接入的主机的个数。这样提高了网络接入检测的准确性,降低了因检测破解技术提高带来的漏检漏报风险。在上述技术方案中,优选地,所述主机数目确定单元确定从指定的源IP地址接入所述网络的主机数目。在该技术方案中,可以对某些指定用户的网络接入情况进行检测,从而判断其是否使用多台计算机共享上网,运营商可以根据检测结果采取相应的控制策略。在上述技术方案中,优选地,所述主机数目确定单元包括信息添加子单元,在所述存储单元提取到所述源IP地址和所述私网IP地址时,根据所述源IP地址查找对应的私网IP地址,如果找到所述私网IP地址,则不做任何处理,如果未找到所述私网IP地址,则将所述私网IP地址添加到所述存储单元中。在该技术方案中,系统可能会从某个用户使用的几个不同应用程序中,获得此用户的私网IP地址,这样,如果每次都进行存储,会造成重复存储的问题。通过在已存储的数据中对即将存储的私网IP地址进行查找,如果此私网IP地址已经存在,就不进行存储,从而避免了同一个私网IP地址重复存储并重复统计的问题,保证了检测的准确性。在上述技术方案中,优选地,还包括结果上报子单元,根据预设上报周期,对与同一个源IP地址相关联的私网IP地址进行查找,并上报查找到的数据。在该技术方案中,网络运营商可以预设检测结果上报的周期,这样当到达上报周期时,系统会自动将检测的结果进行统计,并上报,从而方便了网络运营商的查看。在上述技术方案中,优选地,还包括界面展现单元,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。在该技术方案中,网络运营商可以进入展现界面,对检测结果进行报表查看,从而根据检测日志报告的情况,设置相应的控制策略,实现对未授权的共享接入行为进行有效的打击或遏制。根据本发明的又一方面,还提供了一种网络接入检测方法,包括步骤202,采集网络中的数据包,从所述数据包中获取使用指定应用协议的上行流量;步骤204,根据存储的所述指定应用协议的应用层特征,从所述上行流量中提取出含有私网IP地址的数据包;步骤206,从所述含有私网IP地址的数据包中提取出源IP地址和私网IP地址,并将所述源IP地址和所述私网IP地址进行关联存储;步骤208,读取所述存储单元中存储的数据,统计与同一个源IP地址相关联的私网IP地址的个数,根据所述个数确定所述网络中的主机数目。在该技术方案中,网络运营商可以从用户的一些常用的应用协议中,获得用户的私网IP地址,从而统计出同一个源IP地址对应的私网IP地址的个数,确定网络中的主机数目。例如,当用户访问一个应用程序时,根据应用层特征,系统 会从应用协议中获取到该用户的私网IP地址并进行存储,利用同样的方法,可以统计出一个源IP地址下,存在几个私网IP地址,从而根据私网IP地址的个数确定网络中接入的主机的个数。这样提高了网络接入检测的准确性,降低了因检测破解技术提高带来的漏检漏报风险。在上述技术方案中,优选地,所述步骤208包括确定从指定的源IP地址接入所述网络的主机数目。在该技术方案中,可以对某些指定用户的网络接入情况进行检测,从而判断其是否使用多台计算机共享上网,运营商可以根据检测结果采取相应的控制策略。在上述技术方案中,优选地,所述步骤208还包括在所述存储单元提取到所述源IP地址和所述私网IP地址时,根据所述源IP地址查找对应的私网IP地址,如果找到所述私网IP地址,则不做任何处理,如果未找到所述私网IP地址,则将所述私网IP地址添加到所述存储单元中。在该技术方案中,系统可能会从某个用户使用的几个不同应用程序中,获得此用户的私网IP地址,这样,如果每次都进行存储,会造成重复存储的问题。通过在已存储的数据中对即将存储的私网IP地址进行查找,如果此私网IP地址已经存在,就不进行存储,从而避免了同一个私网IP地址重复存储并重复统计的问题,保证了检测的准确性。在上述技术方案中,优选地,所述步骤208还包括根据预设上报周期,对与同一个源IP地址相关联的私网IP地址进行查找,并上报查找到的数据。在该技术方案中,网络运营商可以预设检测结果上报的周期,这样当到达上报周期时,系统会自动将检测的结果进行统计,并上报,从而方便了网络运营商的查看。在上述技术方案中,优选地,还包括步骤210,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。在该技术方案中,网络运营商可以进入展现界面,对检测结果进行报表查看,从而根据检测日志报告的情况,设置相应的控制策略,实现对未授权的共享接入行为进行有效的打击或遏制。通过以上技术方案,能够有效提高共享接入检测的精确度,同时能避免某些通过打乱IPID的发包规律、顺序或者分散IPID的技术手段逃避检测,导致的检测不到共享接入的问题。
图I示出了根据本发明的实施例的网络接入检测系统的框图;图2示出了根据本发明的实施例的网络接入检测方法的流程图;图3示出了根据本发明的实施例的网络接入检测方法的具体流程图;图4示出了根据本发明的实施例的综合性共享网络接入检测技术的示意图。
具体实施例方式为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实 施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。 在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。图I示出了根据本发明的实施例的网络接入检测系统的框图。如图I所示,本发明的实施例的网络接入检测系统100包括采集单元,采集网络中的数据包,从所述数据包中获取使用指定应用协议的上行流量;提取单元,根据存储的所述指定应用协议的应用层特征,从所述上行流量中提取出含有私网IP地址的数据包;存储单元,从所述含有私网IP地址的数据包中提取出源IP地址和私网IP地址,并将所述源IP地址和所述私网IP地址进行关联存储;主机数目确定单元,读取所述存储单元中存储的数据,统计与同一个源IP地址相关联的私网IP地址的个数,根据所述个数确定所述网络中的主机数目。在该技术方案中,网络运营商可以从用户的一些常用的应用协议中,获得用户的私网IP地址,从而统计出同一个源IP地址对应的私网IP地址的个数,确定网络中的主机数目。例如,当用户访问一个应用程序时,根据应用层特征,系统会从应用协议中获取到该用户的私网IP地址并进行存储,利用同样的方法,可以统计出一个源IP地址下,存在几个私网IP地址,从而根据私网IP地址的个数确定网络中接入的主机的个数。这样提高了网络接入检测的准确性,降低了因检测破解技术提高带来的漏检漏报风险。在上述技术方案中,优选地,所述主机数目确定单元确定从指定的源IP地址接入所述网络的主机数目。在该技术方案中,可以对某些指定用户的网络接入情况进行检测,从而判断其是否使用多台计算机共享上网,运营商可以根据检测结果采取相应的控制策略。在上述技术方案中,优选地,所述主机数目确定单元包括信息添加子单元,在所述存储单元提取到所述源IP地址和所述私网IP地址时,根据所述源IP地址查找对应的私网IP地址,如果找到所述私网IP地址,则不做任何处理,如果未找到所述私网IP地址,则将所述私网IP地址添加到所述存储单元中。在该技术方案中,系统可能会从某个用户使用的几个不同应用程序中,获得此用户的私网IP地址,这样,如果每次都进行存储,会造成重复存储的问题。通过在已存储的数据中对即将存储的私网IP地址进行查找,如果此私网IP地址已经存在,就不进行存储,从而避免了同一个私网IP地址重复存储并重复统计的问题,保证了检测的准确性。
在上述技术方案中,优选地,还包括结果上报子单元,根据预设上报周期,对与同一个源IP地址相关联的私网IP地址进行查找,并上报查找到的数据。在该技术方案中,网络运营商可以预设检测结果上报的周期,这样当到达上报周期时,系统会自动将检测的结果进行统计,并上报,从而方便了网络运营商的查看。在上述技术方案中,优选地,还包括界面展现单元,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。在该技术方案中,网络运营商可以进入展现界面,对检测结果进行报表查看,从而根据检测日志报告的情况,设置相应的控制策略,实现对未授权的共享接入行为进行有效的打击或遏制。
图2示出了根据本发明的实施例的网络接入检测方法的流程图。如图2所示,本发明的实施例的网络接入检测方法,包括步骤202,采集网络中的数据包,从所述数据包中获取使用指定应用协议的上行流量;步骤204,根据存储的所述指定应用协议的应用层特征,从所述上行流量中提取出含有私网IP地址的数据包;步骤206,从所述含有私网IP地址的数据包中提取出源IP地址和私网IP地址,并将所述源IP地址和所述私网IP地址进行关联存储;步骤208,读取所述存储单元中存储的数据,统计与同一个源IP地址相关联的私网IP地址的个数,根据所述个数确定所述网络中的主机数目。在该技术方案中,网络运营商可以从用户的一些常用的应用协议中,获得用户的私网IP地址,从而统计出同一个源IP地址对应的私网IP地址的个数,确定网络中的主机数目。例如,当用户访问一个应用程序时,根据应用层特征,系统会从应用协议中获取到该用户的私网IP地址并进行存储,利用同样的方法,可以统计出一个源IP地址下,存在几个私网IP地址,从而根据私网IP地址的个数确定网络中接入的主机的个数。这样提高了网络接入检测的准确性,降低了因检测破解技术提高带来的漏检漏报风险。在上述技术方案中,优选地,所述步骤208包括确定从指定的源IP地址接入所述网络的主机数目。在该技术方案中,可以对某些指定用户的网络接入情况进行检测,从而判断其是否使用多台计算机共享上网,运营商可以根据检测结果采取相应的控制策略。在上述技术方案中,优选地,所述步骤208还包括在所述存储单元提取到所述源IP地址和所述私网IP地址时,根据所述源IP地址查找对应的私网IP地址,如果找到所述私网IP地址,则不做任何处理,如果未找到所述私网IP地址,则将所述私网IP地址添加到所述存储单元中。在该技术方案中,系统可能会从某个用户使用的几个不同应用程序中,获得此用户的私网IP地址,这样,如果每次都进行存储,会造成重复存储的问题。通过在已存储的数据中对即将存储的私网IP地址进行查找,如果此私网IP地址已经存在,就不进行存储,从而避免了同一个私网IP地址重复存储并重复统计的问题,保证了检测的准确性。在上述技术方案中,优选地,所述步骤208还包括根据预设上报周期,对与同一个源IP地址相关联的私网IP地址进行查找,并上报查找到的数据。在该技术方案中,网络运营商可以预设检测结果上报的周期,这样当到达上报周期时,系统会自动将检测的结果进行统计,并上报,从而方便了网络运营商的查看。在上述技术方案中,优选地,还包括步骤210,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。在该技术方案中,网络运营商可以 进入展现界面,对检测结果进行报表查看,从而根据检测日志报告的情况,设置相应的控制策略,实现对未授权的共享接入行为进行有效的打击或遏制。图3示出了根据本发明的实施例的网络接入检测方法的具体流程图。如图3所示,本发明的实施例的网络接入检测方法的具体流程如下步骤302,在运营商网络接入层或骨干网出口进行数据包采集,采集指定应用协议的上行流量。步骤304,针对采集的上行流量,按照应用层的特征提取出含有私网IP地址的数据包。下面列举几种常见的应用协议的应用层特征表I
PPTY __
-协议I负载长度 I应用层(包负载)特征
offset=0,value=0xe9 ;offset= I ,value=0x03;offset=4,value=0x98;offset=5, VaIue=Oxab
UDP <=100dlen = 57 时,ipnat 值偏移 44,二进制表示
dlen = 80时,ipnat倍偏移52.,二进制表示 dlen=81时,ipnat值偏移44, 二进制表示表 2
迅雷
0 -K-
协议 ^ 应用层(包负载)特征
I、Offset=0,value(4byies)=0x32000000 or 0x38000000Offset= I ,value(2bytes)=0x0c 10 用户数据 Ipnat偏移值25,二进制表示
rA Vl' 议 a— 2、offset=0. val ue(4bytes)=0x29000000 ■ and (UDP ) Offset= 16,value(4bytes)=0x 42524f4b ___ipnat 1 移.值 29, ASCII 码表示_表 3
BT __
协议I目的端O 应用层(包负载)特征数据包中含有特征’’ GET /announce5';
TCP any 查找含有特”ip=”,后面的即为内网IP,用ASCII码 __表示___表权利要求
1.一种网络接入检测系统,其特征在于,包括 采集单元,采集网络中的数据包,从所述数据包中获取使用指定应用协议的上行流量; 提取单元,根据存储的所述指定应用协议的应用层特征,从所述上行流量中提取出含有私网IP地址的数据包; 存储单元,从所述含有私网IP地址的数据包中提取出源IP地址和私网IP地址,并将所述源IP地址和所述私网IP地址进行关联存储; 主机数目确定单元,读取所述存储单元中存储的数据,统计与同一个源IP地址相关联的私网IP地址的个数,根据所述个数确定所述网络中的主机数目。
2.根据权利要求I所述的网络接入检测系统,其特征在于,所述主机数目确定单元确定从指定的源IP地址接入所述网络的主机数目。
3.根据权利要求2所述的网络接入检测系统,其特征在于,所述主机数目确定单元包括 信息添加子单元,在所述存储单元提取到所述源IP地址和所述私网IP地址时,根据所述源IP地址查找对应的私网IP地址,如果找到所述私网IP地址,则不做任何处理,如果未找到所述私网IP地址,则将所述私网IP地址添加到所述存储单元中。
4.根据权利要求3所述的网络接入检测系统,其特征在于,还包括 结果上报子单元,根据预设上报周期,对与同一个源IP地址相关联的私网IP地址进行查找,并上报查找到的数据。
5.根据权利要求I至4中任一项所述的网络接入检测系统,其特征在于,还包括 界面展现单元,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。
6.—种网络接入检测方法,其特征在于,包括 步骤202,采集网络中的数据包,从所述数据包中获取使用指定应用协议的上行流量;步骤204,根据存储的所述指定应用协议的应用层特征,从所述上行流量中提取出含有私网IP地址的数据包; 步骤206,从所述含有私网IP地址的数据包中提取出源IP地址和私网IP地址,并将所述源IP地址和所述私网IP地址进行关联存储; 步骤208,读取存储的数据,统计与同一个源IP地址相关联的私网IP地址的个数,根据所述个数确定所述网络中的主机数目。
7.根据权利要求6所述的网络接入检测系统,其特征在于,所述步骤208还包括确定从指定的源IP地址接入所述网络的主机数目。
8.根据权利要求7所述的网络接入检测系统,其特征在于,所述步骤208还包括 在提取到所述源IP地址和所述私网IP地址时,根据所述源IP地址查找对应的私网IP地址,如果找到所述私网IP地址,则不做任何处理,如果未找到所述私网IP地址,则将所述私网IP地址添加到所述存储的数据中。
9.根据权利要求8所述的网络接入检测系统,其特征在于,所述步骤208还包括 根据预设上报周期,对与同一个源IP地址相关联的私网IP地址进行查找,并上报查找到的数据。
10.根据权利要求6至9中任一项所述的网络接入检测系统,其特征在于,还包括步骤210,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。·
全文摘要
本发明提出了一种网络接入检测系统,包括采集单元,采集网络中的数据包,从所述数据包中获取使用指定应用协议的上行流量;提取单元,根据存储的所述指定应用协议的应用层特征,从所述上行流量中提取出含有私网IP地址的数据包;存储单元,从所述含有私网IP地址的数据包中提取出源IP地址和私网IP地址,并将所述源IP地址和所述私网IP地址进行关联存储;主机数目确定单元,读取所述存储单元中存储的数据,统计与同一个源IP地址相关联的私网IP地址的个数,根据所述个数确定所述网络中的主机数目。相应地,本发明还提供了一种网络接入检测方法。通过本发明的技术方案,提高了检测的准确度,降低了因检测破解技术提高带来的漏检漏报风险。
文档编号H04L29/12GK102957581SQ20121049998
公开日2013年3月6日 申请日期2012年11月29日 优先权日2012年11月29日
发明者刘晗 申请人:深圳中兴网信科技有限公司