上网用户的检测方法及装置的制造方法

上网用户的检测方法及装置的制造方法
【技术领域】
[0001] 本发明涉及通信领域，具体而言，涉及一种上网用户的检测方法及装置。
【背景技术】
[0002] 网络地址转换（Network AcMress Translation简称为NAT)是通过将专用网络地 址，如企业内部网Intranet,转换为公用地址如互联网Internet,从而对外隐藏了内部管 理的IP地址。送样，通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注 册的IP地址，从而减少了 IP地址注册的费用W及节省了目前越来越缺乏的地址空间也即 IPV4。同时，送也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。
[0003] 图1是根据相关技术中NAT的工作原理示意图，结合图1对相关技术中NAT的工 作原理进行说明，该工作原理包括如下步骤：
[0004] 步骤Sll ;终端client的网关gateway设定为安全应用网关主机，所W当要连上 网络Internet的时候，该封包就会被送到NAT主机，送候的封包化ader的源IP(SC)Urce I巧为 192. 168. 1. 100 ;
[0005] 步骤S12 ;而透过送个NAT主机，它会将client的对外联机封包的source IP也 就是192. 168. 1. 100伪装成PPPO (假设为拨接情况）送个接口所具有的公共IP，因为是公 共IP 了，所W送个封包就可W连上Internet 了，同时MT主机并且会记忆送个联机的封包 是由IP地址为：192. 168. 1. 100的client端传送来的；
[0006] 步骤S13 ;由Internet传送回来的封包，当然由NAT主机来接收了，送时NAT 主机会去查询原本记录的路由信息，并将目标IP由PPPO上面的公共IP改回原来的 192. 168. 1. 100 ；
[0007] 步骤S14 ;最后则由NAT主机将该封包传送给原先发送封包的Client。
[0008] MT设备或软件的使用对用户是有利的，但对运营商的网络内容审计等工作是极 为不利的。运营商的终端用户，通过MT软件/MT设备，将运营商提供的Internet连接共 享给其内网的多台主机/终端，使得多台主机/终端可W同时使用该Internet连接上网。 MT下检测共享上网的用户数目，该需求通常来自固网家庭宽带接入服务运营商。实现送种 检测，有利于运营商分析用户行为，了解潜在用户数量。
[0009] 现在主要是在网关上执行用户行为检测，如图1中的所示位置。目前相关技术中 有几种检测方法：如TTL检测法，一旦经过一个处理它的路由器，TTL值就减1.根据送个特 性，检测用户上行报文TTL值是否是32、64、128,如果不是，说明用户使用了 NAT。但是，有 的厂家可能会生产特殊的路由器，不减少TTL值，因此，该方法就会失效。
[0010] 此外，还有一种方法为TCP滑动窗口检测法，该方法通过获取网络传输协议TCP协 议的Window Size字段，判断不同的滑动窗口数目决定用户数目。此方法的局限性在于对 于不同系统，比如An化iod和iOS,可W适用，但是对于同一系统的不同终端Window Size可 能会一样，检测不出同一系统的终端数目。应用特征检测法，检测各种账户比如QQ账户个 数、操作系统W及浏览器版本，会涉及侵犯用户隐私。
[0011] 针对相关技术中检测上网用户数的方案存在局限性的问题，目前尚未提出有效的 解决方案。

【发明内容】

[0012] 本发明的主要目的在于提供一种上网用户的检测方法及装置，W至少解决相关技 术中检测上网用户数的方案存在局限性的问题。
[0013] 根据本发明的一个方面，提供了一种上网用户的检测方法，包括：获取第一报文的 第一时钟偏移平均值，W及第二报文的第二时钟偏移平均值，其中，所述第一报文和所述第 二报文为相邻报文；确定所述第一时钟偏移平均值与所述第二时钟偏移平均值的差值；比 较所述差值的绝对值与预定阔值的大小，并依据比较结果确定是否增加上网用户。
[0014] 进一步地，所述第一报文和所述第二报文均为上行传输控制协议TCP报文。
[0015] 进一步地，通过W下方式获取第一报文的第一时钟偏移平均值或第二报文的第二 时钟偏移平均值；Pn二扣-ti)/(rN-ri) ;!% = (P2+P3+. . . +Pn)/(N-1);其中，Pn为报文N的时 钟偏移值，1?为报文N的时钟偏移平均值；tw为报文N的时间戳，r,为报文N的系统时间； Pw为报文N的时钟偏移值；1%为时钟偏移的平均值，N为自然数。
[0016] 进一步地，所述N不小于100。
[0017] 进一步地，根据比较结果确定是否为多用户共享上网包括；当所述绝对值大于所 述预定阔值时，则上网用户数加 1 ;当所述绝对值不大于所述预定阔值时，则确定上网用户 数没增加。
[0018] 根据本发明的另一个方面，提供了一种上网用户的检测装置，包括：获取模块，用 于获取第一报文的第一时钟偏移平均值，W及第二报文的第二时钟偏移平均值，其中，所述 第一报文和所述第二报文为相邻报文；确定模块，用于确定所述第一时钟偏移平均值与所 述第二时钟偏移平均值的差值；比较模块，用于比较所述差值的绝对值与预定阔值的大小， 并依据比较结果确定是否增加上网用户。
[0019] 进一步地，所述第一报文和所述第二报文均为上行传输控制协议TCP报文。
[0020] 进一步地，通过W下方式获取第一报文的第一时钟偏移平均值或第二报文的第二 时钟偏移平均值；Pn二扣-ti)/(rN-ri) ;!% = (P2+P3+. . . +Pn)/(N-1);其中，Pn为报文N的时 钟偏移值，1?为报文N的时钟偏移平均值；tw为报文N的时间戳，r,为报文N的系统时间； Pw为报文N的时钟偏移值；1%为时钟偏移的平均值，N为自然数。
[0021] 进一步地，N不小于100。
[0022] 进一步地，所述比较模块还用于，当所述绝对值大于所述预定阔值时，则上网用户 数加 1 ;当所述绝对值不大于所述预定阔值时，则上网用户数没增加。
[0023] 通过本发明，采用获取相邻两报文第一报文和第二报文的时钟偏移平均值的差 值，进而比较该差值与预定阔值的大小来确定上网用户数是否增加的方式，解决了相关技 术中检测上网用户数的方案存在局限性的问题，进而可W准确地检测出非法接入宽带用户 的主机数，满足了运营商的需求。
【附图说明】
[0024] 此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发 明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中： [002引图1是根据相关技术中MT的工作原理示意图；
[0026] 图2是根据本发明实施例的上网用户的检测方法流程图；
[0027] 图3是根据本发明实施例的上网用户的检测装置结构框图；
[002引图4是根据本发明可选实施的DPI设备在网络中的部署图；
[0029] 图5是根据本发明可选实施例的时钟偏移检测方法的流程图。
【具体实施方式】
[0030] 下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的 情况下，本申请中的实施例及实施例中的特征可W相互组合。
[0031] 在本实施例中提供了一种上网用户的检测方法，图2是根据本发明实施例的上网 用户的检测方法流程图，如图2所示，该流程包括如下步骤：
[0032] 步骤S202 ;获取第一报文的第一时钟偏移平均值，W及第二报文的第二时钟偏移 平均值；
[0033] 其中，第一报文和第二报文为相邻报文；
[0034] 步骤S204 ;确定第一时钟偏移平均值与第二时钟偏移平均值的差值；
[0035] 步骤S206 ;比较差值的绝对值与预定阔值的大小，并依据比较结果确定是否增加 上网用户。
[0036] 通过本实施例，采用获取相邻两报文第一报文和第二报文的时钟偏移平均值的差 值，进而比较该差值与预定阔值的大小来确定上网用户数是否增加的方式，解决了相关技 术中检测上网用户数的方案存在局限性的问题，进而可W准确地检测出非法接入宽带用户 的主机数，满足了运营商的需求。
[0037] 对于本实施例中涉及到的第一报文和第二报文，在本实施例的一个可选实施例中 均为上行传输控制协议TCP报文。
[0038] 此外，在本实施例中获取第一报文的第一时钟偏移平均值或第二报文的第二时钟 偏移平均值的方式有多种，而在本实施例的一个可选实施方式中可W采用如下方式获取始 终偏移平均值：
[0039] Pn = (t^-ti) / (r^-ri)；
[0040] 1? = (P2+P3+. . . +PnV(N-I);
[00川其中，Pn为报文N的时钟偏移值，1?为报文N的时钟偏移平均值；tw为报文N的时 间戳，rw为报文N的系统时间；Pw为报文N的时钟偏移值；Hiw为时钟偏移的平均值，N为自 然数。需要说明的是，上述报文N可W是本实施例中涉及到的第一报文也可W是第二报文。
[0042] 在本实施例中由于一开始采样数目较小，均值有较大误差，因此对于本实施例涉 及到的N优选为不小于100。需要说明的是该N的取值仅仅是本实施例的举例，可W根据运 营商的需求进行相应的调整。
[0043] 在本实施例的另一个可选实施方式中，根据比较结果确定是否为多用户共享上网 可W通过如下方式实现；当所述绝对值大于所述预定阔值时，则上网用户数加1 ;当所述绝 对值不大于所述预定阔值时，则上网用户数没增加。
[0044] 在本实施例中还提供了一种上网用户的检测装置，该装置用于实现上述实施例及 优选实施方式，已经进行过说明的不再赏述。如W下所使用的，术语"模块""单元"可W实 现预定功能的软件和/或硬件的组合。尽管W下实施例所描述的装置较佳地W软件来实 现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
[0045] 图3是根据本发明实施例的上网用户的检测装置结构框图，如图3所示，该装置包 括：获取模块32,用于获取第一报文的第一时钟偏移平均值，W及第二报文的第二时钟偏 移平均值，其中，第一报文和第二报文为相邻报文；确定模块34与获取模块32禪合连接，用 于确定第一