可信网络交易系统客户端监控器及其实现方法

可信网络交易系统客户端监控器及其实现方法
【专利摘要】可信网络交易系统客户端监控器及其实现方法。监控器包括分析提取出用户上网过程中的浏览行为功能模块和把提取出的浏览行为按照特定的格式存储为行为日志的功能模块。方法：步骤1、监控器启动之后，请求访问当前主机上的网络适配器接口，成功获得网络适配器的访问接口之后，开始捕获该网络适配器接口的IP层数据包；步骤2、根据IP协议的报文格式，提取出IP数据包中的数据部分，进行下一步解析；对提取出的IP数据包需要进行判断，如果其为TCP数据包，则保留该数据包进行下一步解析；如果不是TCP数据包，则不保留该数据包；等等。本发明作为可信交易安全客户端的基础组件，为后续的工作如基于行为模式的证书等提供了直接和充足的数据。
【专利说明】可信网络交易系统客户端监控器及其实现方法

【技术领域】
[0001] 本发明属于网络交易安全【技术领域】。

【背景技术】
[0002] 随着互联网的飞速发展以及计算机科学技术的不断进步，网络交易也如火如荼地 迅猛发展起来，这不仅给我国经济的发展提供了持续的动力，同时也给广大人民的生活带 来了极大的便利。越来越多的人通过网络交易和支付方式开展业务活动，网络交易的发展 前景十分广阔。
[0003] 然而，由于网络交易和支付平台兴起不久，网络支付的安全体系还不健全，网络交 易流程和行为的可信问题也变得越来越突出，已逐渐成为网络交易发展面临的瓶颈问题。 在网络交易中面临的一个问题是，用户身份的可信问题，即参与网络交易的用户身份是否 合法。针对这个问题，目前电子商务企业普遍采取的解决方案是数字证书和对软件进行补 丁更新或是版本升级。经过调研，以国内某大型网络支付平台公司为例，目前的解决策略在 业界的应用存在明显的不足，当用户的账户密码被盗后，无法识别黑客盗用用户的账户进 行交易，侵害用户利益的用户身份可信问题。存在这些不足主要原因在于，目前还缺乏 一套针对网络交易的可信认证系统，去监控和管理交易中各方的身份和交易行为的可信问 题。


【发明内容】

[0004] 针对这个问题的一种解决方案是，搭建网络交易的第四方认证中心和安全客户 端，形成网络交易可信认证系统平台，并制定网络交易可信认证的认证协议。
[0005] 本发明面向的情况是，在可信认证系统中，使用监控器记录客户端用户的上网浏 览行为，并以特殊的格式保存成日志文件，以便安全客户端完成其余部分的工作，进而保证 可信认证系统的实行。
[0006] 本发明给出的技术方案为：
[0007] 一种可信网络交易系统客户端监控器，其特征在于，监控器的功能主要包括两个 方面。首先，监控器能够分析提取出用户上网过程中的浏览行为；其次，监控器能把提取出 的浏览行为按照特定的格式存储为行为日志。所述浏览行为，即描述一个用户上网过程中 特定方式的上网习惯，包括浏览的网页，偏好的上网时间等。监控器捕获用户网络适配器的 IP数据包，根据IP报文的格式、TCP数据包的格式以及HTTP数据包格式，层层解析，提取出 IP数据包中的浏览网页，上网时间等信息。
[0008] 所述行为日志，即刻画用户浏览行为的文本文件。用户浏览行为中的关键信息，如 浏览的网页，偏好的上网时间等都需要按照特定的格式存储在行为日志当中。监控器捕捉 的用户的网络数据，并经过解析提取出浏览行为信息之后，将浏览行为存储在行为日志当 中。每当捕获到新的浏览行为时，及时更新行为日志，以保证行为日志能够充分完备地记录 用户的浏览行为，为之后的可信安全客户端的工作提供充足的资料。
[0009]除此之外，为了保证用户的浏览行为能够全面地记录，监控器应该在开机后自动 运行,捕获用户的上网浏览行为。
[0010]监控器捕获浏览行为模式的方法，其特征在于，包括如下步骤：
[0011] 1、监控器启动之后，请求访问当前主机上的网络适配器接口。成功获得网络适配 器的访问接口之后，开始捕获该网络适配器接口的IP层数据包。
[0012] 2、根据IP协议的报文格式，提取出IP数据包中的数据部分，进行下一步解析。由 于IP协议作为网络层协议，为多种类型的传输层协议提供服务，所以对提取出的IP数据包 需要进行判断，如果其为TCP数据包，则保留该数据包进行下一步解析；如果不是TCp数据 包，则不保留该数据包。
[0013] 3、当获得TCP数据包后，根据TCP协议格式，对TCP数据包进行解析,如果该TCP 数据包封装了 HTTP数据包，则提取出该HTTP数据包，否则丢弃TCP数据包。
[0014] 4、对于HTTP数据包，即用户浏览网页所产生的数据包，根据其协议格式，可以从 数据包中提取出访问网页的地址、访问网页的时间、该网页的引用页以及网页的标题等信 息。 _5] 5、提取出浏览行为后，按照如下格式存储到xml文件中。
[0016] <r〇〇t> fmpturiS·
[0017] iurlX/urtt <referc.r></refercr> <timestamp></tiiriostamp> </capture> C/rofti
[0018]其中root作为根元素有且只有一个，所有的信息均是root结点的子结点。
[0019] Capture表示监控器所捕获到的一条浏览行为，在capture中包含6个元素，分别 表示6种对应信息。
[0020] id表示某个浏览行为的编号，编号从i开始，每捕获一条浏览行为，编号自动增 加。
[0021 ] url是浏览行为中最重要的信息，表示用户所访问的网页的网址。通过分析解析该 网址，可以发现用户访问的网站内容，以此刻画用户的浏览行为。
[0022] referer表示某个网页的引用页面，如当用户通过百度搜索查找关键词sina并进 入新浪主页之后，在新浪主页的浏览记录中即存在着引用页百度。引用页面刻画了浏览行 为中的先后序列关系。
[0023] timestamp，即访问某个网页的时刻。
[0024] title表示浏览网页的题目。Title是url的补充和完善，在分析浏览行为时可以 起到辅助的作用。
[0025] keywords表示网页的关键字，通过keywords可以确定网页所属的类别。
[0026] 6、将上述各xml文件存储生成访问日志，为第三方认证中心完成基于行为模式的 认证提供了直接和充足的数据。
[0027] 本发明的创新点及有益效果
[0028] 1)利用监控器捕捉浏览行为，通过解析捕捉到的数据包提取用户的行为信息。
[0029] 2)采用xml文件存储行为日志，便于文件的传输和解析。
[0030] 3)作为可信交易安全客户端的基础组件，为后续的工作如基于行为模式的证书等 提供了直接和充足的数据。在可信认证系统中，使用本发明监控器记录客户端用户的上网 浏览行为，并以特殊的格式保存成日志文件，以便安全客户端完成其余部分的工作，进而保 证可信认证系统的实行。

【专利附图】

【附图说明】
[0031] 图1监控器工作流程。

【具体实施方式】
[0032]监控器捕获浏览行为模式，即监控器的工作流程如图1所示。
[0033] 1、监控器启动之后，请求访问当前主机上的网络适配器接口。成功获得网络适配 器的访问接口之后，开始捕获该网络适配器接口的ip层数据包。
[0034] 2、根据IP协议的报文格式，提取出IP数据包中的数据部分，进行下一步解析。由 于IP协议作为网络层协议，为多种类型的传输层协议提供服务，所以对提取出的IP数据包 需要进行判断，如果其为TCP数据包，则保留该数据包进行下一步解析；如果不是TCP数据 包，则不保留该数据包。
[0035] 3、当获得TCP数据包后，根据TCP协议格式，对TCP数据包进行解析，如果该TCP 数据包封装了 HTTP数据包，则提取出该HTTP数据包，否则丢弃TCP数据包。
[0036] 4、对于HTTP数据包，即用户浏览网页所产生的数据包，根据其协议格式，可以从 数据包中提取出访问网页的地址、访问网页的时间、该网页的引用页以及网页的标题等信 肩、。
[0037] 5、提取出浏览行为后，按照如下格式存储到XML文件中。
[0038] <τοο%> <capture> <：id>'C/id> <ur,l></url> ζτβ--ΤΒΤ^ </referer> 〈/? i t
[0039] <title></title> <k,eywords></keywords> </capturei> </r〇〇t>
[0040] 其中root作为根元素有且只有一个，所有的信息均是root结点的子结点。
[0041] Capture表示监控器所捕获到的一条浏览行为，在capture中包含6个元素，分别 表不6种对应息。
[0042] id表不某个浏览行为的编号，编号从1开始，每捕获一条浏览行为，编号自动增 加。
[0043] url是浏览行为中最重要的信息，表示用户所访问的网页的网址。通过分析解析该 网址，可以发现用户访问的网站内容，以此刻画用户的浏览行为。
[0044] referer表示某个网页的引用页面，如当用户通过百度搜索查找关键词sina并进 入新浪主页之后，在新浪主页的浏览记录中即存在着引用页百度。引用页面刻画了浏览行 为中的先后序列关系。
[0045] timestamp，即访问某个网页的时刻。
[0046] ti11 e表示浏览网页的题目，如访问百度的主页时，对应ti11 e为"百度一下，你就 知道"。Title是url的补充和完善，在分析浏览行为时可以起到辅助的作用。
[0047] keywords表示网页的关键字，通过keywords可以确定网页所属的类别。
[0048] 6、将上述各xml文件存储生成访问日志，为第三方认证中心完成基于行为模式的 认证提供了直接和充足的数据。
【权利要求】
1. 一种可信网络交易系统客户端监控器，其特征在于， 监控器包括分析提取出用户上网过程中的浏览行为功能模块， 所述浏览行为，即描述一个用户上网过程中特定方式的上网习惯，包括浏览的网页， 偏好的上网时间；监控器捕获用户网络适配器的IP数据包，根据IP报文的格式、TCP数据 包的格式以及HTTP数据包格式，层层解析，提取出IP数据包中的浏览网页，上网时间等信 息； 监控器又包括把提取出的浏览行为按照特定的格式存储为行为日志的功能模块， 所述行为日志，即刻画用户浏览行为的文本文件；用户浏览行为中的关键信息，都需要 按照特定的格式存储在行为日志当中；监控器捕捉的用户的网络数据，并经过解析提取出 浏览行为信息之后，将浏览行为存储在行为日志当中；每当捕获到新的浏览行为时，及时更 新行为日志，以保证行为日志能够充分完备地记录用户的浏览行为，为之后的可信安全客 户端的工作提供充足的资料。
2. -种监控器捕获浏览行为模式的方法，其特征在于，包括如下步骤： 步骤1、监控器启动之后，请求访问当前主机上的网络适配器接口，成功获得网络适配 器的访问接口之后，开始捕获该网络适配器接口的IP层数据包； 步骤2、根据IP协议的报文格式，提取出IP数据包中的数据部分，进行下一步解析；对 提取出的IP数据包需要进行判断，如果其为TCP数据包，则保留该数据包进行下一步解析； 如果不是TCP数据包，则不保留该数据包； 步骤3、当获得TCP数据包后，根据TCP协议格式，对TCP数据包进行解析，如果该TCP数据包封装了HTTP数据包，则提取出该HTTP数据包，否则丢弃TCP数据包； 步骤4、对于HTTP数据包，即用户浏览网页所产生的数据包，根据其协议格式，可以从 数据包中提取出访问网页的地址、访问网页的时间、该网页的引用页以及网页的标题等信 息； 步骤5、提取出浏览行为后，按照如下格式存储到XML文件中：
其中root作为根元素有且只有一个,所有的信息均是root结点的子结点； Capture表示监控器所捕获到的一条浏览行为； id表示某个浏览行为的编号，编号从1开始，每捕获一条浏览行为，编号自动增加；url表示用户所访问的网页的网址，通过分析解析该网址，发现用户访问的网站内容， 以此刻画用户的浏览行为； referer表示某个网页的引用页面，引用页面刻画了浏览行为中的先后序列关系；timestamp,表示访问某个网页的时刻； title表示浏览网页的题目； keywords表示网页的关键字，通过keywords确定网页所属的类别； 步骤6、将上述各xml文件存储生成访问日志，基于行为模式的认证提供直接和充足的 数据。
【文档编号】H04L29/06GK104270358SQ201410499290
【公开日】2015年1月7日 申请日期:2014年9月25日 优先权日:2014年9月25日
【发明者】蒋昌俊, 陈闳中, 闫春钢, 丁志军, 王昱杰 申请人:同济大学