本专利属于互联网技术领域,具体而言涉及一种web站电商劫持检测方法。
背景技术:
用户上网的正常情况下,在用户的客户端与其要访问的服务器经过网络协议协商后,二者之间建立了一条专用的数据通道,用户端程序在系统中开放指定网络端口用于接收数据报文,服务器端将全部数据按指定网络协议规则进行分解打包,形成连续数据报文。用户端接收到全部报文后,按照协议标准来解包组合获得完整的网络数据。其中传输过程中的每一个数据包都有特定的标签,表示其来源、携带的数据属性以及要到何处,所有的数据包经过网络路径中互联网服务提供商(isp)的路由器传输接力后,最终到达目的地,也就是客户端。
http劫持是在使用者与其目的网络服务所建立的专用数据通道中,监视特定数据信息,提示当满足设定的条件时,就会在正常的数据流中插入精心设计的网络数据报文,目的是让用户端程序解释“错误”的数据,并以弹出新窗口的形式在使用者界面展示宣传性广告或者直接显示某网站的内容。
http劫持常见的现象为针对大流量网站的加小尾巴行为,如百度,hao123导航,360导航,百度知道,各大电商网站(淘宝,天猫,当当等),http的劫持出现的频率多变,针对不同的ip也会不同(断网之后再连接,也许劫持就暂时消失),一定程度会造成错误的假象,用户可能会忽视该问题,由于其劫持过程非常快,只是经过某个ip后就快速的跳转,用户如果不注意地址栏的变化,根本不会注意到该问题的出现。
http劫持的原理:http劫持发生在应用层,分为两大类,一类是涉及http协议修改的,即“302重定向劫持”,另一类则是非涉及协议的,即“200ok劫持”,其中“302重定向劫持”又可细分为两种。(1)串接情况:即当客户端发送get请求包到服务器,劫持方直接进行劫持,这时劫持方会修改正常的反馈报文,即在location字段中修改,内容为希望被客户端访问的链接,之后发送到客户端,这时完成302重定向,同时还会发送rst到服务器端,来断开客户端与服务器的正常连接,从而避免服务器的二次响应,即避免客户端收到重复的响应。(2)并接情况:需要强调的是,由于劫持方设备与客户端设备在物理距离上一般比较近,所以它与客户端之间的传输速度会比服务器与客户端的传输速度快,于是当客户端发送get请求包时,劫持方会先于服务器嗅探到请求包,接下来发生的302重定向劫持方法与串接情况相同。
所述http200ok劫持:反馈给客户端的是正常的200ok报文,但是实际上已经修改了正常网页的内容,方法即在javascript里添加内容,如广告等。
现有技术中,为了防止http劫持通常采用访问https加密的方案,例如强制http跳转https。https是以安全为目标的http通道,简单讲是http的安全版,用于安全的http数据传输。通过https的传输即在地址栏输入形如“https://....”可以有效避免用户上网的http劫持。但是该方案具有如下缺陷:(1)https目前尚未普及,只有百度主页等少数网站已部署。(2)https的部署涉及很多业务的修改,成本较高。
技术实现要素:
本发明真是基于现有技术的上述需求而提出的,本发明要解决的技术问题是提供一种web站电商劫持检测方法,所述方法针对在访问电商网站的用户,提供有效的http劫持检测技术,帮助用户鉴别真假网页内容,使用户能够察觉到自己在浏览电商网页时是否被http劫持。
为了解决该问题,本专利提供的技术方案包括:
一种web站电商劫持检测方法,所述方法包括:步骤一、比较客户端与服务器之间的通信的数据包获取其中的ttl值是否一致;步骤二、如果所述ttl值一致则进入到步骤三,如果所述ttl数值不一致则判断为所述客户端与服务器之间的通信被劫持;步骤三、将所述数据包中的内容与所述被劫持查找表中的内容相比对,确定所述数据包在所述被劫持查找表中的分级;所述查找表是通过如下方法建立的:s001针对不同的网站,对反馈信息进行统计分析,并根据反馈信息的类型将其分入到不同的组中;s002对于这些分好的组,按照反馈信息的异常性进行优先级的划分排序,反馈信息越异常,反馈内容与访问的关联度越小,则优先级越大,即越被视为遭遇http劫持;s003按照优先级的从高到低,从每组内进行取样,对于样本进行验证操作,确定被劫持的分级;步骤四、根据所述分级来判断所述客户端与所述服务器之间的通信是否被劫持。
优选地,在s001中,对于不同的网站所返回的反馈信息分别进行统计分析,并根据预定的规则对所述数据包进行分组;所述预定的规则包括统计所述反馈信息中指向自身网站的链接数量、即对内链接数量,以及指向其他网站的链接数量、即对外链接数量;根据反馈信息的中对内、对外链接数量将反馈信息进行分组;在s002中,根据反馈信息的异常性进行排序包括基于统计的方式可以通过统计不同分组下的数量得出,将数量较大的分组列为小的优先级,将数量较小的分组列为较大的优先级;在s003中,对于每个分组的取样采用随机的方式来获得;对于样本进行验证操作包括首先保证验证环境没有被http劫持的前提下,进行与客户端相同的访问操作,若存在差异则表明该用户或者该优先级下的分组被http劫持。
本专利通过设置上述方法首先检测ttl数值,对于利用所述ttl数值进行高效的筛查,当ttl数值检测正常时,进行基于统计的分析,保证了全面的劫持检测。因此兼顾了检测的速度和准确性。
具体实施方式
下面对本专利的具体实施方式进行详细说明,需要指出的是,该具体实施方式仅仅是对本专利保护范围的举例,并不能理解为对本专利保护范围的限制。
本具体实施方式中提供了一种web站电商劫持检测方法,所述方法包括如下步骤:
步骤一、比较客户端与服务器之间的通信的数据包获取其中的ttl值是否一致
ttl是ip包中的一个字段,为timetolive的缩写,是指其所属的ip包被路由器丢弃之前允许通过的最大网段数量。ttl代表的是ip数据包在计算机网络中可以转发的最大跳数。ttl字段由ip数据包的发送者设置,在ip数据包从源到目的的整个转发路径上,每经过一个路由器,路由器都会修改这个ttl字段值。例如,把该ttl的值减1,然后再将ip包转发出去。如果在ip包到达目的ip之前,ttl减少为0,路由器将会丢弃收到的ttl=0的ip包并向ip包的发送者发送icmptimeexceeded消息。
在正常的访问连接中,客户端发给服务器的ip包与服务器返回的ip包的信息应该是一致的,即其中的ttl的值是一样的,而在http劫持发生的情况下,ttl的值就会改变,即ip包就会不同,基于此道理,我们通过技术手段,对于客户端与服务器之间的连接进行单独的分析比较,通过判断ttl值是否异常来检测用户上网是否遭遇http劫持。
步骤二、如果所述ttl值一致则进入到步骤三,如果所述ttl数值不一致则判断为所述客户端与服务器之间的通信被劫持。
如步骤一中所分析的,当所述ttl数值不一致时,则代表所述客户端与服务器之间的通信被劫持了,因此在此情况下可直接判定所述通信被劫持。但是并非所有的劫持都会导致ttl数值不一致,在一些特意留意了ttl数值的劫持中,劫持方会刻意对ttl数值进行处理,因而ttl数值的一致与否只能是判断客户端与服务器之间通信被劫持的充分非必要条件。因此,在这种情况下,还需要进行其它的判断方法,来进一步判断客户端与服务器之间的通信是否被劫持。
步骤三、将所述数据包中的内容与所述被劫持查找表中的内容相比对,确定所述数据包在所述被劫持查找表中的分级。
在本步骤中,基于统计的方式来进行劫持判断。因为,在互联网的海量访问中,被劫持的内容往往只能是少数,而大多数访问的内容是未被劫持的。所述查找表是通过如下方法建立的查找表:
s001针对不同的网站,对反馈信息进行统计分析,并根据反馈信息的类型将其分入到不同的组中。
在s001中,例如对于淘宝和京东两个网站所返回的反馈信息分别进行统计分析。例如在淘宝网站中,分析所有能够采集到的淘宝网所返回给用户的反馈信息的数据包,并根据预定的规则对所述数据包进行分组。所述预定的规则可以包括统计所述反馈信息中指向自身网站的链接数量,即对内链接数量;以及指向其他网站的链接数量,即对外链接数量。根据反馈信息的中对内、对外链接数量将反馈信息进行分组。由于最大量反馈信息都是没有被劫持的而只有少量的连接数量是被劫持的,因此,可以基于统计的方式来设置不同组中的链接数量。当然还可以根据其他信息来确定分组的规则,只要分组的规则和被劫持所反映的特征相关即可。
s002对于这些分好的组,按照反馈信息的异常性进行优先级的划分排序,反馈信息越异常,反馈内容与访问的关联度越小,则优先级越大,即越被视为遭遇http劫持。
在本步骤中,对于已经分好的组,可以根据反馈信息的异常性进行排序。这种排序可以基于分析后的经验得出,也可以是基于统计的方式得出。基于统计的方式可以通过统计不同分组下的数量得出,因为在网络中,被劫持的反馈信息数量始终只占很小一部分,因此将数量较大的分组列为小的优先级,将数量较小的分组列为较大的优先级。
s003按照优先级的从高到低,从每组内进行取样,对于样本进行验证操作,确定被劫持的分级。
在本步骤中,对于每个分组的取样可以采用随机的方式来获得,对于样本进行实际的验证操作,在该验证操作中首先保证验证环境没有被http劫持的前提下,进行与客户端相同的访问操作,看得出的反馈信息与样本的信息是否存在差异,若存在差异则表明该用户或者该组被http劫持了。
步骤四、根据所述分级来判断所述客户端与所述服务器之间的通信是否被劫持。
确定所述分级之后,根据所述查找表中对于不同分级下http被劫持的界定,判断所述客户端与所述服务器之间的通信是否被劫持。
以上仅仅是本专利优选的具体实施方式而已,本专利的保护范围应当不限于此。凡是在本专利发明构思下对于本专利应用环境的转换,以及对于其中具体技术手段的替代、增加和省略都应当纳入到本专利的保护范围之内。