CN105813114A - 一种确定接入共享主机方法及装置 - Google Patents
一种确定接入共享主机方法及装置 Download PDFInfo
- Publication number
- CN105813114A CN105813114A CN201610127869.1A CN201610127869A CN105813114A CN 105813114 A CN105813114 A CN 105813114A CN 201610127869 A CN201610127869 A CN 201610127869A CN 105813114 A CN105813114 A CN 105813114A
- Authority
- CN
- China
- Prior art keywords
- feature
- user agent
- application message
- main frame
- record set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/02—Arrangements for optimising operational condition
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种确定接入共享主机方法,包括以下步骤,获取主机发出的应用报文,从所述应用报文提取特征,当所述特征被判定为有效特征时,确定所述主机经由代理接入设备接入,存在接入共享行为。同时,本发明还公开了确定接入共享主机的装置。从而能够解决现有技术中存在共享网络主机接入检测的精确度不高以及误判率较高的问题。
Description
技术领域
本发明涉及网络通信技术,具体地,涉及一种确定接入共享主机的方法及装置。
背景技术
随着移动互联网的不断发展,越来越多的用户通过移动终端来满足上网需求。目前,随身无线保真WIFI、家居办公SOHO路由器大量普及,许多用户通过随身WIFI、SOHO路由器接入互联网,并以此来逃避运营商的计费,给运营商造成了巨额的经济损失。如果仅仅通过IP协议本身很难判定同一个IP地址下是否共享多台终端,并且目前业界普遍使用的检测办法也存在大量误判的情况。
终端主机接入共享上网主要为路由器代理上网。如图1所示,单用户是合法的实施上网按时(含包月)计费的用户,通过终端主机认证成功后,然后一部分正常上网用户通过接入交换机正常上网,而另一部分代理上网用户通过路由器网络地址转换NAT模式代理多台未认证主机上网。为了躲避IP地址和MAC地址检查,路由器设置为该单用户相同的IP地址和MAC地址,这样就可以绕过或者破解认证机制。
目前,业界普遍使用的检测方法有以下几种:
1、IP报文头的ID字段连续性检测法
该检测是基于每台终端发出的IP报文头的ID字段从0到65535循环,***在分配这个字段时都是递增的,且一些网络设备如路由器、网络地址转换器NAT等都不会修改这一字段的信息,若报文到达检测装置的顺序和终端发出报文的顺序一致的话,那么在检测装置上能够看到ID字段是递增的,所以可以根据ID字段的连续性判断是否只有一台终端。然而,我们很难保证到达检测装置的顺序和终端发出报文的顺序一致,另外,有些终端感染了病毒和蠕虫,也会产生ID字段异常变化,这会导致不可避免的误判,使检测的结果大打折扣。
2、CookieID数检测法
记录Cookie有效期内访问同一网站的不同用户的CookieID值,通过同一IP地址下的不同CookieID值的个数来判定共享此IP地址的主机数目,现有的这类检测方案都存在以下不足:
一是判定依据过于武断,会引入大量的误判。源IP访问同一个网站的CookieID数是不能准确地判断出多个私网IP(主机数)共用此源IP的,如一个用户开启多个浏览器,此时访问的服务器会为各浏览器分配不同的CookieID,如用户设置浏览器在关闭时清理Cookie的信息,再打开使用会重新分配CookieID,更有一些用户经常使用的操作,如购物车,根据用户喜好添加商品和推荐商品时,就会分配多个CookieID。这些情况都无法避免地产生大量的误判。
二是CookieID没有选取。如一个IP去检测网站的CookieID,是对所有的网站都监视还是对部分网站进行监视?如果只是对部分网站进行监视那应该如何选定监视网站?对于这些实施中需要考虑的问题都没有给出具体方案。所以存在严重的误判。
还有一些其他的检测法,这些方法由于适用的范围有限或者让用户可感知等原因,目前已经基本被淘汰。
因此,现有技术中存在共享网络主机接入检测的精确度不高以及误判率较高的问题。
发明内容
有鉴于此,本发明实施例提供了一种确定接入共享主机方法及装置,用以解决现有技术中存在共享网络主机接入检测的精确度不高以及误判率较高的问题。
本发明实施例技术方案如下:一种确定接入共享主机的方法,包括:
获取主机发出的应用报文,从所述应用报文提取特征,当所述特征被判定为有效特征时,确定所述主机经由代理接入设备接入,存在接入共享行为。
所述获取主机发出的应用报文,从所述应用报文提取特征的步骤具体包括,获取所述主机在一段时间内发出的应用报文,从所述应用报文提取特征,记录在所述一段时间内所述特征命中的次数;
所述当所述特征被判定为有效特征时,确定所述主机经由代理接入设备接入,存在接入共享行为的步骤具体包括:
根据特征与所述主机的对应关系以及所述在一段时间内接收到的应用报文中的特征建立特征历史记录集,将当前提取的应用报文中的特征与所述特征历史记录集匹配,筛选出表示所述主机具有接入共享行为的特征,
当所述特征命中的次数达到阈值时,根据所述筛选出的表示所述主机具有接入共享行为的特征确定所述主机经由代理接入设备接入,存在接入共享行为。
本发明实施例的另一技术方案如下:一种确定接入共享主机的装置,包括:
接收模块,用于获取主机发出的应用报文,
提取模块,用于从所述应用报文提取特征,
处理模块,用于当所述特征被判定为有效特征时,确定所述主机经由代理接入设备接入,存在接入共享行为。
所述接收模块,具体用于获取所述主机在一段时间内发出的应用报文,
所述提取模块,具体用于从所述应用报文提取特征,记录在所述一段时间内所述特征命中的次数,
所述处理模块,具体包括:
特征历史记录集建立单元,用于根据特征与所述主机的对应关系以及所述在一段时间内接收到的应用报文中的特征建立特征历史记录集,
筛选单元,用于将当前提取的应用报文中的特征与所述特征历史记录集匹配,筛选出表示所述主机具有接入共享行为的特征,
确定单元,用于当所述特征命中的次数达到阈值时,根据所述筛选出的表示所述主机具有接入共享行为的特征确定所述主机经由代理接入设备接入,存在接入共享行为。
本发明实施例通过获取主机发出的应用报文,从所述应用报文提取特征,当所述特征被判定为有效特征时,确定所述主机经由代理接入设备接入,存在接入共享行为。解决现有技术中存在共享网络主机接入检测的精确度不高以及误判率较高的问题。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
图1为现有技术中主机接入共享***拓扑图;
图2为本发明一实施例的方法流程图;
图3为本发明一实施例的方法流程图;
图4为本发明一实施例的装置结构框图;
图5为本发明一实施例的装置结构框图;
图6为本发明一实施例的装置结构框图;
图7为本发明一实施例的装置结构框图。
具体实施方式
以下结合附图对本发明的实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
针对现有的的问题,本发明实施例提供了一种确定接入共享主机方法以解决该问题。
如图2所示,在本发明一实施例中,提出一种确定接入共享主机方法,包括以下步骤:
S101,获取主机发出的应用报文,
S103,从所述应用报文提取特征,
S105,当所述特征被判定为有效特征时,确定所述主机经由代理接入设备接入,存在接入共享行为。
可选的,在本发明另一实施例中,
步骤S101具体包括,获取所述主机在一段时间内发出的应用报文,
步骤S103具体包括,从所述应用报文提取特征,记录在所述一段时间内所述特征命中的次数;
如图3所示,步骤S105具体包括步骤:
S1051,根据特征与所述主机的对应关系以及所述在一段时间内接收到的应用报文中的特征建立特征历史记录集,
S1053,将当前提取的应用报文中的特征与所述特征历史记录集匹配,筛选出表示所述主机具有接入共享行为的特征,
S1055,当所述特征命中的次数达到阈值时,根据所述筛选出的表示所述主机具有接入共享行为的特征确定所述主机经由代理接入设备接入,存在接入共享行为。
可选的,在本发明另一实施例中,
应用报文为HTTP报文,从HTTP报文提取特征为IMEI特征和用户代理特征,用户代理特征中包括与所述IMEI对应的终端型号;
在该实施例中,终端主机上的应用软件(如QQ、微信、浏览器、360手机助手、优酷、土豆等)都会发出HTTP流量,这些HTTP流量中包含了IMEI特征和用户代理特征。
当然,在其他实施例中,提取的特征不限于此,如果提取的特征满足以下条件都应包含在本发明的保护范围中:用户访问量高、在单台终端主机上较少出现多值、能够唯一的识别为一个终端。保证了这些特征能够反映用户的终端类型和终端数量,选取这类特征可以降低误报率。
步骤S1051具体包括:
根据所述在一段时间内接收到的应用报文中的IMEI特征查找所述IMEI特征与所述主机的对应关系确认IMEI特征值,根据所述IMEI特征值中的类型分配码TAC以及所述与所述IMEI对应的终端型号查询预先配置的所述TAC与终端型号对应关系表,当存在所述对应关系时,更新对应关系记录的时间戳,将所述特征历史记录集中的所述IMEI特征对应的命中次数加1,当不存在所述对应关系时,将所述TAC与所述与所述IMEI对应的终端型号的对应关系记录添加到所述TAC与终端型号对应关系表中,将所述IMEI特征对应的终端型号以及所述IMEI特征作为新特征存入所述特征历史信息记录集中并且将所述特征历史记录集中的所述作为新特征存入的IMEI特征对应的命中次数加1,
步骤S1053具体包括,
将当前提取的应用报文中的IMEI特征与所述特征历史记录集匹配,当所述特征历史记录集存在与所述IMEI特征对应的终端型号相同的终端型号时,将所述IMEI特征作为表示所述主机具有接入共享行为的特征。
可选的,在本发明另一实施例中,
应用报文为HTTP报文,从HTTP报文提取特征为用户代理特征,用户代理特征中包括终端型号,
在该实施例中,终端主机上的应用软件(如QQ、微信、浏览器、360手机助手、优酷、土豆等)都会发出HTTP流量,这些HTTP流量中包含了用户代理特征。
当然,在其他实施例中,提取的特征不限于此,如果提取的特征满足以下条件都应包含在本发明的保护范围中:用户访问量高、在单台终端主机上较少出现多值、能够唯一的识别为一个终端。保证了这些特征能够反映用户的终端类型和终端数量,选取这类特征可以降低误报率。
该实施例中还包括步骤S107,根据所述用户代理特征与所述主机的对应关系获取所述用户代理特征的灵敏度配置,
步骤S1051具体包括:
当所述灵敏度为第一灵敏度,且当前提取的应用报文中的用户代理特征中的终端型号不与所述特征历史记录集中的终端型号匹配,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,并将该用户代理特征的命中次数加1,
当所述灵敏度为第一灵敏度,且当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,且该用户代理特征的命中次数没达到阈值时,将该用户代理特征的命中次数加1,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征与所述特征历史记录集中的特征匹配,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,将该用户代理特征的命中次数加1,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征不与所述特征历史记录集中的特征匹配,当前提取的应用报文中的用户代理特征中的终端型号不与所述特征历史记录集中的终端型号匹配,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,将该用户代理特征的命中次数加1,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征不与所述特征历史记录集中的特征匹配,当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,当前提取的应用报文中的用户代理特征为至少两个,当前提取的应用报文中的用户代理特征的命中次数没达到阈值时,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,将该用户代理特征的命中次数加1,
步骤S1053具体包括:
当所述灵敏度为第一灵敏度,且当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,确定该用户代理特征为表示所述主机具有接入共享行为的特征,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征不与所述特征历史记录集中的特征匹配,当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,当前提取的应用报文中的用户代理特征为至少两个,确定该用户代理特征为表示所述主机具有接入共享行为的特征。
可选的,在本发明另一实施例中,
步骤S1053具体包括,将当前提取的应用报文中的特征与所述特征历史记录集匹配,给所述具有接入共享行为的特征加上相应的权重值,如果权重值超过设定的权重阈值,则判断该特征为表示主机具有接入共享行为的特征。
在该实施例中,引进权重评估机制大大降低了误报率。
可选的,用户在使用虚拟专用网VPN的过程中,会在终端主机上生成一块虚拟网卡,用于转发VPN流量,这就使得一台终端主机携带多个IP,从而导致终端主机数量的误判。为解决该技术问题,在本发明另一实施例中,
步骤S101之前包括步骤:
S001,获取主机发出的IP报文以及ICMP端口不可达报文,当所述IP报文协议头部中的IP地址与所述ICMP端口不可达报文内容中的IP地址匹配时,进入步骤S101。
该实施例中,通过ICMP端口不可达报文来过滤虚拟网卡IP。首先从上网流量中提取出IP信息。其次捕获ICMP端口不可达报文,并从ICMP端口不可达报文中提取IP信息。虽然VPN流量中也会存在ICMP端口不可达报文,但是由于绝大多数VPN流量都是加密的,而终端主机本身的ICMP端口不可达报文是不加密的,因此只需要识别出终端主机本身的ICMP端口不可达报文中携带的IP信息,并与上网流量中的IP信息进行比对,即可过滤出VPN流量,避免了存在VPN流量时对终端主机数量的误判。
如图4所示,在本发明一实施例中,提出一种确定接入共享装置,包括:
接收模块201,用于获取主机发出的应用报文,
提取模块203,用于从所述应用报文提取特征,
处理模块205,用于当所述特征被判定为有效特征时,确定所述主机经由代理接入设备接入,存在接入共享行为。
可选的,在本发明另一实施例中,
接收模块201,具体用于获取所述主机在一段时间内发出的应用报文,
提取模块203,具体用于从所述应用报文提取特征,记录在所述一段时间内所述特征命中的次数,
如图5所示,处理模块205,具体包括:
特征历史记录集建立单元2051,用于根据特征与所述主机的对应关系以及所述在一段时间内接收到的应用报文中的特征建立特征历史记录集,
筛选单元2053,用于将当前提取的应用报文中的特征与所述特征历史记录集匹配,筛选出表示所述主机具有接入共享行为的特征,
确定单元2055,用于当所述特征命中的次数达到阈值时,根据所述筛选出的表示所述主机具有接入共享行为的特征确定所述主机经由代理接入设备接入,存在接入共享行为。
可选的,在本发明另一实施例中,
应用报文为HTTP报文,从HTTP报文提取特征为IMEI特征和用户代理特征,用户代理特征中包括与所述IMEI对应的终端型号;
在该实施例中,终端主机上的应用软件(如QQ、微信、UC浏览器、360手机助手、优酷、土豆等)都会发出HTTP流量,这些HTTP流量中包含了IMEI特征和用户代理特征。
当然,在其他实施例中,提取的特征不限于此,如果提取的特征满足以下条件都应包含在本发明的保护范围中:用户访问量高、在单台终端主机上较少出现多值、能够唯一的识别为一个终端。保证了这些特征能够反映用户的终端类型和终端数量,选取这类特征可以降低误报率。
特征历史记录集建立单元2051,具体用于根据所述在一段时间内接收到的应用报文中的IMEI特征查找所述IMEI特征与所述主机的对应关系确认IMEI特征值,根据所述IMEI特征值中的类型分配码TAC以及所述与所述IMEI对应的终端型号查询预先配置的所述TAC与终端型号对应关系表,当存在所述对应关系时,更新对应关系记录的时间戳,将所述特征历史记录集中的所述IMEI特征对应的命中次数加1,当不存在所述对应关系时,将所述TAC与所述IMEI对应的终端型号的对应关系记录添加到所述TAC与终端型号对应关系表中,将所述IMEI特征对应的终端型号以及所述IMEI特征作为新特征存入所述特征历史信息记录集中并且将所述特征历史记录集中的所述作为新特征存入的IMEI特征对应的命中次数加1,
筛选单元2053,具体用于将当前提取的应用报文中的IMEI特征与所述特征历史记录集匹配,当所述特征历史记录集存在与所述IMEI特征对应的终端型号相同的终端型号时,将所述IMEI特征作为表示所述主机具有接入共享行为的特征。
可选的,在本发明另一实施例中,
应用报文为HTTP报文,从HTTP报文提取特征为用户代理特征,用户代理特征中包括终端型号,
在该实施例中,终端主机上的应用软件(如QQ、微信、UC浏览器、360手机助手、优酷、土豆等)都会发出HTTP流量,这些HTTP流量中包含了用户代理特征。
当然,在其他实施例中,提取的特征不限于此,如果提取的特征满足以下条件都应包含在本发明的保护范围中:用户访问量高、在单台终端主机上较少出现多值、能够唯一的识别为一个终端。保证了这些特征能够反映用户的终端类型和终端数量,选取这类特征可以降低误报率。
如图6所示,该实施例中还包括灵敏度获取模块207,用于根据所述用户代理特征与所述主机的对应关系获取所述用户代理特征的灵敏度配置,
特征历史记录集建立单元2051,具体用于当所述灵敏度为第一灵敏度,且当前提取的应用报文中的用户代理特征中的终端型号不与所述特征历史记录集中的终端型号匹配,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,并将该用户代理特征的命中次数加1,
当所述灵敏度为第一灵敏度,且当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,且该用户代理特征的命中次数没达到阈值时,将该用户代理特征的命中次数加1,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征与所述特征历史记录集中的特征匹配,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,将该用户代理特征的命中次数加1,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征不与所述特征历史记录集中的特征匹配,当前提取的应用报文中的用户代理特征中的终端型号不与所述特征历史记录集中的终端型号匹配,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,将该用户代理特征的命中次数加1,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征不与所述特征历史记录集中的特征匹配,当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,当前提取的应用报文中的用户代理特征为至少两个,当前提取的应用报文中的用户代理特征的命中次数没达到阈值时,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,将该用户代理特征的命中次数加1,
筛选单元2053,具体用于当所述灵敏度为第一灵敏度,且当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,确定该用户代理特征为表示所述主机具有接入共享行为的特征,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征不与所述特征历史记录集中的特征匹配,当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,当前提取的应用报文中的用户代理特征为至少两个,确定该用户代理特征为表示所述主机具有接入共享行为的特征。
可选的,在本发明另一实施例中,
筛选单元2053,具体用于将当前提取的应用报文中的特征与所述特征历史记录集匹配,给所述具有接入共享行为的特征加上相应的权重值,如果权重值超过设定的权重阈值,则判断该特征为表示主机具有接入共享行为的特征。
在该实施例中,引进权重评估机制大大降低了误报率。
可选的,用户在使用虚拟专用网VPN的过程中,会在终端主机上生成一块虚拟网卡,用于转发VPN流量,这就使得一台终端主机携带多个IP,从而导致终端主机数量的误判。为解决该技术问题,在本发明另一实施例中,如图7所示,还包括:
过滤模块209,用于获取主机发出的IP报文以及ICMP端口不可达报文,当所述IP报文协议头部中的IP地址与所述ICMP端口不可达报文内容中的IP地址匹配时,触发所述接收模块201。
该实施例中,通过ICMP端口不可达报文来过滤虚拟网卡IP。首先从上网流量中提取出IP信息。其次捕获ICMP端口不可达报文,并从ICMP端口不可达报文中提取IP信息。虽然VPN流量中也会存在ICMP端口不可达报文,但是由于绝大多数VPN流量都是加密的,而终端主机本身的ICMP端口不可达报文是不加密的,因此只需要识别出终端主机本身的ICMP端口不可达报文中携带的IP信息,并与上网流量中的IP信息进行比对,即可过滤出VPN流量,避免了存在VPN流量时对终端主机数量的误判。
本领域普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种确定接入共享主机的方法,其特征在于,包括:
获取主机发出的应用报文,从所述应用报文提取特征,当所述特征被判定为有效特征时,确定所述主机经由代理接入设备接入,存在接入共享行为。
2.如权利要求1所述的一种确定接入共享主机的方法,其特征在于,
所述获取主机发出的应用报文,从所述应用报文提取特征的步骤具体包括,获取所述主机在一段时间内发出的应用报文,从所述应用报文提取特征,记录在所述一段时间内所述特征命中的次数;
所述当所述特征被判定为有效特征时,确定所述主机经由代理接入设备接入,存在接入共享行为的步骤具体包括:
根据特征与所述主机的对应关系以及所述在一段时间内接收到的应用报文中的特征建立特征历史记录集,将当前提取的应用报文中的特征与所述特征历史记录集匹配,筛选出表示所述主机具有接入共享行为的特征,
当所述特征命中的次数达到阈值时,根据所述筛选出的表示所述主机具有接入共享行为的特征确定所述主机经由代理接入设备接入,存在接入共享行为。
3.如权利要求2所述的一种确定接入共享主机的方法,其特征在于,
所述应用报文为HTTP报文,从所述HTTP报文提取特征为移动设备国际识别码IMEI特征和用户代理特征,所述用户代理特征中包括与所述IMEI对应的终端型号;
所述根据特征与所述主机的对应关系以及所述在一段时间内接收到的应用报文中的特征建立特征历史记录集具体包括:
根据所述在一段时间内接收到的应用报文中的IMEI特征查找所述IMEI特征与所述主机的对应关系确认IMEI特征值,根据所述IMEI特征值中的类型分配码TAC以及所述与所述IMEI对应的终端型号查询预先配置的所述TAC与终端型号对应关系表,当存在所述对应关系时,更新对应关系记录的时间戳,将所述特征历史记录集中的所述IMEI特征对应的命中次数加1,当不存在所述对应关系时,将所述TAC与所述IMEI对应的终端型号的对应关系记录添加到所述TAC与终端型号对应关系表中,将所述IMEI特征对应的终端型号以及所述IMEI特征作为新特征存入所述特征历史信息记录集中并且将所述特征历史记录集中的所述作为新特征存入的IMEI特征对应的命中次数加1,
所述将当前提取的应用报文中的特征与所述特征历史记录集匹配,筛选出表示所述主机具有接入共享行为的特征的步骤具体为,
将当前提取的应用报文中的IMEI特征与所述特征历史记录集匹配,当所述特征历史记录集存在与所述IMEI特征对应的终端型号相同的终端型号时,将所述IMEI特征作为表示所述主机具有接入共享行为的特征。
4.如权利要求2所述的一种确定接入共享主机的方法,其特征在于,
所述应用报文为HTTP报文,从所述HTTP报文提取特征为用户代理特征,所述用户代理特征中包括终端型号,
所述方法还包括,根据所述用户代理特征与所述主机的对应关系获取所述用户代理特征的灵敏度配置,
所述根据所述特征与所述主机的对应关系以及所述在一段时间内接收到的应用报文中的特征建立特征历史记录集具体为:
当所述灵敏度为第一灵敏度,且当前提取的应用报文中的用户代理特征中的终端型号不与所述特征历史记录集中的终端型号匹配,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,并将该用户代理特征的命中次数加1,
当所述灵敏度为第一灵敏度,且当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,且该用户代理特征的命中次数没达到阈值时,将该用户代理特征的命中次数加1,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征与所述特征历史记录集中的特征匹配,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,将该用户代理特征的命中次数加1,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征不与所述特征历史记录集中的特征匹配,当前提取的应用报文中的用户代理特征中的终端型号不与所述特征历史记录集中的终端型号匹配,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,将该用户代理特征的命中次数加1,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征不与所述特征历史记录集中的特征匹配,当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,当前提取的应用报文中的用户代理特征为至少两个,当前提取的应用报文中的用户代理特征的命中次数没达到阈值时,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,将该用户代理特征的命中次数加1,
所述将当前提取的应用报文中的特征与所述特征历史记录集匹配,筛选出表示所述主机具有接入共享行为的特征具体为:
当所述灵敏度为第一灵敏度,且当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,确定该用户代理特征为表示所述主机具有接入共享行为的特征,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征不与所述特征历史记录集中的特征匹配,当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,当前提取的应用报文中的用户代理特征为至少两个,确定该用户代理特征为表示所述主机具有接入共享行为的特征。
5.如权利要求2所述的一种确定接入共享主机的方法,其特征在于,
所述筛选出表示所述主机具有接入共享行为的特征包括,给所述具有接入共享行为的特征加上相应的权重值,如果权重值超过设定的权重阈值,则判断该特征为表示主机具有接入共享行为的特征。
6.如权利要求1-5任意一项所述的一种确定接入共享主机的方法,其特征在于,所述获取主机发出的应用报文之前包括:
获取主机发出的IP报文以及Internet控制报文协议ICMP端口不可达报文,当所述IP报文协议头部中的IP地址与所述ICMP端口不可达报文内容中的IP地址匹配时,进入下一步。
7.一种确定接入共享主机的装置,其特征在于,包括:
接收模块,用于获取主机发出的应用报文,
提取模块,用于从所述应用报文提取特征,
处理模块,用于当所述特征被判定为有效特征时,确定所述主机经由代理接入设备接入,存在接入共享行为。
8.如权利要求7所述的装置,其特征在于,
所述接收模块,具体用于获取所述主机在一段时间内发出的应用报文,
所述提取模块,具体用于从所述应用报文提取特征,记录在所述一段时间内所述特征命中的次数,
所述处理模块,具体包括:
特征历史记录集建立单元,用于根据特征与所述主机的对应关系以及所述在一段时间内接收到的应用报文中的特征建立特征历史记录集,
筛选单元,用于将当前提取的应用报文中的特征与所述特征历史记录集匹配,筛选出表示所述主机具有接入共享行为的特征,
确定单元,用于当所述特征命中的次数达到阈值时,根据所述筛选出的表示所述主机具有接入共享行为的特征确定所述主机经由代理接入设备接入,存在接入共享行为。
9.如权利要求8所述的装置,其特征在于,
所述应用报文为HTTP报文,从所述HTTP报文提取特征为移动设备国际识别码IMEI特征和用户代理特征,所述用户代理特征中包括与所述IMEI对应的终端型号;
所述特征历史记录集建立单元,具体用于根据所述在一段时间内接收到的应用报文中的IMEI特征查找所述IMEI特征与所述主机的对应关系确认IMEI特征值,根据所述IMEI特征值中的类型分配码TAC以及所述与所述IMEI对应的终端型号查询预先配置的所述TAC与终端型号对应关系表,当存在所述对应关系时,更新对应关系记录的时间戳,将所述特征历史记录集中的所述IMEI特征对应的命中次数加1,当不存在所述对应关系时,将所述TAC与所述IMEI对应的终端型号的对应关系记录添加到所述TAC与终端型号对应关系表中,将所述IMEI特征对应的终端型号以及所述IMEI特征作为新特征存入所述特征历史信息记录集中并且将所述特征历史记录集中的所述作为新特征存入的IMEI特征对应的命中次数加1,
所述筛选单元,具体用于将当前提取的应用报文中的IMEI特征与所述特征历史记录集匹配,当所述特征历史记录集存在与所述IMEI特征对应的终端型号相同的终端型号时,将所述IMEI特征作为表示所述主机具有接入共享行为的特征。
10.如权利要求8所述的装置,其特征在于,
所述应用报文为HTTP报文,从所述HTTP报文提取特征为用户代理特征,所述用户代理特征中包括终端型号,
还包括灵敏度获取模块,用于根据所述用户代理特征与所述主机的对应关系获取所述用户代理特征的灵敏度配置,
所述特征历史记录集建立单元,具体用于当所述灵敏度为第一灵敏度,且当前提取的应用报文中的用户代理特征中的终端型号不与所述特征历史记录集中的终端型号匹配,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,并将该用户代理特征的命中次数加1,
当所述灵敏度为第一灵敏度,且当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,且该用户代理特征的命中次数没达到阈值时,将该用户代理特征的命中次数加1,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征与所述特征历史记录集中的特征匹配,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,将该用户代理特征的命中次数加1,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征不与所述特征历史记录集中的特征匹配,当前提取的应用报文中的用户代理特征中的终端型号不与所述特征历史记录集中的终端型号匹配,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,将该用户代理特征的命中次数加1,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征不与所述特征历史记录集中的特征匹配,当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,当前提取的应用报文中的用户代理特征为至少两个,当前提取的应用报文中的用户代理特征的命中次数没达到阈值时,将当前提取的应用报文中的用户代理特征添加到所述特征历史记录集的新记录中,将该用户代理特征的命中次数加1,
所述筛选单元,具体用于当所述灵敏度为第一灵敏度,且当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,确定该用户代理特征为表示所述主机具有接入共享行为的特征,
当所述灵敏度为第二灵敏度,且当前提取的应用报文中的用户代理特征不与所述特征历史记录集中的特征匹配,当前提取的应用报文中的用户代理特征中的终端型号与所述特征历史记录集中的终端型号匹配,当前提取的应用报文中的用户代理特征为至少两个,确定该用户代理特征为表示所述主机具有接入共享行为的特征。
11.如权利要求8所述的装置,其特征在于,
所述筛选单元,具体用于将当前提取的应用报文中的特征与所述特征历史记录集匹配,给所述具有接入共享行为的特征加上相应的权重值,如果权重值超过设定的权重阈值,则判断该特征为表示主机具有接入共享行为的特征。
12.如权利要求7-11任意一项所述的装置,其特征在于,还包括
过滤模块,用于获取主机发出的IP报文以及ICMP端口不可达报文,当所述IP报文协议头部中的IP地址与所述ICMP端口不可达报文内容中的IP地址匹配时,触发所述接收模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610127869.1A CN105813114B (zh) | 2016-03-07 | 2016-03-07 | 一种确定接入共享主机方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610127869.1A CN105813114B (zh) | 2016-03-07 | 2016-03-07 | 一种确定接入共享主机方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105813114A true CN105813114A (zh) | 2016-07-27 |
CN105813114B CN105813114B (zh) | 2019-09-20 |
Family
ID=56467707
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610127869.1A Active CN105813114B (zh) | 2016-03-07 | 2016-03-07 | 一种确定接入共享主机方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105813114B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107086928A (zh) * | 2017-04-11 | 2017-08-22 | 深信服科技股份有限公司 | 共享网络终端的检测方法及装置 |
CN108271151A (zh) * | 2016-12-31 | 2018-07-10 | ***通信集团辽宁有限公司 | 用于移动互联网终端识别的方法及装置 |
CN108574607A (zh) * | 2017-03-08 | 2018-09-25 | 中兴通讯股份有限公司 | 基于虚拟专用网络的共享上网检测方法及装置 |
CN110149246A (zh) * | 2019-05-28 | 2019-08-20 | 深信服科技股份有限公司 | 一种共享上网检测方法、***及电子设备和存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1713598A (zh) * | 2004-06-25 | 2005-12-28 | 深圳市傲天通信有限公司 | 互联网共享接入检测*** |
CN102025567A (zh) * | 2010-12-13 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种共享接入检测方法以及相关装置 |
CN102469117A (zh) * | 2010-11-08 | 2012-05-23 | ***通信集团广东有限公司 | 一种异常访问行为的识别方法及装置 |
CN102984003A (zh) * | 2012-11-30 | 2013-03-20 | 深圳中兴网信科技有限公司 | 网络接入检测***和网络接入检测方法 |
CN103152325A (zh) * | 2013-01-30 | 2013-06-12 | 深信服网络科技(深圳)有限公司 | 防止通过共享方式访问互联网的方法及装置 |
-
2016
- 2016-03-07 CN CN201610127869.1A patent/CN105813114B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1713598A (zh) * | 2004-06-25 | 2005-12-28 | 深圳市傲天通信有限公司 | 互联网共享接入检测*** |
CN102469117A (zh) * | 2010-11-08 | 2012-05-23 | ***通信集团广东有限公司 | 一种异常访问行为的识别方法及装置 |
CN102025567A (zh) * | 2010-12-13 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种共享接入检测方法以及相关装置 |
CN102984003A (zh) * | 2012-11-30 | 2013-03-20 | 深圳中兴网信科技有限公司 | 网络接入检测***和网络接入检测方法 |
CN103152325A (zh) * | 2013-01-30 | 2013-06-12 | 深信服网络科技(深圳)有限公司 | 防止通过共享方式访问互联网的方法及装置 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108271151A (zh) * | 2016-12-31 | 2018-07-10 | ***通信集团辽宁有限公司 | 用于移动互联网终端识别的方法及装置 |
CN108271151B (zh) * | 2016-12-31 | 2021-07-09 | ***通信集团辽宁有限公司 | 用于移动互联网终端识别的方法及装置 |
CN108574607A (zh) * | 2017-03-08 | 2018-09-25 | 中兴通讯股份有限公司 | 基于虚拟专用网络的共享上网检测方法及装置 |
CN107086928A (zh) * | 2017-04-11 | 2017-08-22 | 深信服科技股份有限公司 | 共享网络终端的检测方法及装置 |
CN107086928B (zh) * | 2017-04-11 | 2021-02-19 | 深信服科技股份有限公司 | 共享网络终端的检测方法及装置 |
CN110149246A (zh) * | 2019-05-28 | 2019-08-20 | 深信服科技股份有限公司 | 一种共享上网检测方法、***及电子设备和存储介质 |
CN110149246B (zh) * | 2019-05-28 | 2021-06-04 | 深信服科技股份有限公司 | 一种共享上网检测方法、***及电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN105813114B (zh) | 2019-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107465651B (zh) | 网络攻击检测方法及装置 | |
US20180376325A1 (en) | Internet Of Things Services Architecture | |
CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
CN110611723B (zh) | 一种服务资源的调度方法及装置 | |
CN110839017B (zh) | 代理ip地址识别方法、装置、电子设备及存储介质 | |
CN105813114A (zh) | 一种确定接入共享主机方法及装置 | |
KR20150080588A (ko) | 모바일 네트워크 환경에서 네트워크 정보를 가입자 정보와 상관시키는 시스템 및 방법 | |
CN104660565A (zh) | 恶意攻击的检测方法和装置 | |
CN105007282A (zh) | 面向网络服务提供商的恶意软件网络行为检测方法及*** | |
CN105187392A (zh) | 基于网络接入点的移动终端恶意软件检测方法及其*** | |
CN107347047A (zh) | 攻击防护方法和装置 | |
CN105978844A (zh) | 一种基于路由器的网络访问控制方法、路由器和*** | |
CN107800668B (zh) | 一种分布式拒绝服务攻击防御方法、装置及*** | |
CN107733867B (zh) | 一种发现僵尸网络及防护的方法、***和存储介质 | |
CN109743294A (zh) | 接口访问控制方法、装置、计算机设备及存储介质 | |
KR102116307B1 (ko) | 이동 통신망에서의 diameter 프로토콜 idr 메시지 스푸핑 공격 탐지 방법 및 그 장치 | |
CN108418780A (zh) | Ip地址的过滤方法及装置、***、dns服务器 | |
CN107454040A (zh) | 应用的登录方法和装置 | |
CN106067879A (zh) | 信息的检测方法及装置 | |
CN106534129A (zh) | 接入控制方法及装置 | |
CN104363265A (zh) | 代理上网检测方法和装置 | |
CN108156024A (zh) | 一种基于分布式网站可用性探测方法、***及存储介质 | |
TWI580288B (zh) | Action online quality analysis system and method | |
CN107040401A (zh) | 具安全与功能扩充性的有线局域网络用户管理***及方法 | |
CN105512020B (zh) | 测试方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |