CN105939231B - 共享接入检测方法和共享接入检测装置 - Google Patents

共享接入检测方法和共享接入检测装置 Download PDF

Info

Publication number
CN105939231B
CN105939231B CN201610326292.7A CN201610326292A CN105939231B CN 105939231 B CN105939231 B CN 105939231B CN 201610326292 A CN201610326292 A CN 201610326292A CN 105939231 B CN105939231 B CN 105939231B
Authority
CN
China
Prior art keywords
application layer
public network
layer message
data stream
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610326292.7A
Other languages
English (en)
Other versions
CN105939231A (zh
Inventor
魏方征
张晓东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPtech Information Technology Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201610326292.7A priority Critical patent/CN105939231B/zh
Publication of CN105939231A publication Critical patent/CN105939231A/zh
Priority to US15/396,956 priority patent/US10447793B2/en
Application granted granted Critical
Publication of CN105939231B publication Critical patent/CN105939231B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/803Application aware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/255Maintenance or indexing of mapping tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5046Resolving address allocation conflicts; Testing of addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/24Accounting or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Software Systems (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Environmental & Geological Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer Security & Cryptography (AREA)

Abstract

本公开是关于一种共享接入检测方法和共享接入检测装置,所述方法包括:收集来自用户终端的应用层报文;从所述应用层报文中提取用户终端访问的公网IP以及数据流特征,所述数据流特征唯一标识用户终端;根据所述数据流特征统计访问所述公网IP的用户终端数量;判断访问所述公网IP的用户终端数量是否大于第一阈值,如是,判定所述公网IP存在共享接入。通过本公开的技术方案,提高了检测共享接入的准确率以及适用性,并且避免了过多地增加网络负担和共享接入检测装置的负担。

Description

共享接入检测方法和共享接入检测装置
技术领域
本公开涉及通信技术领域,尤其涉及一种共享接入检测方法以及一种共享接入检测装置。
背景技术
网络共享接入是指多台用户终端通过NAT(Network Address Translation,网络地址转换)、HTTP代理等方式,共享一个公网IP进行上网的行为。
目前互联网带宽接入业务主要是采用时长计费,而不是流量计费方式,不同的上网用途对带宽资源的消耗差异很大,对不同的用途应该收取不同的额度的费用,但目前互联网缺乏有效的管理手段,相关技术中的方法很难直接的检测出同一个IP地址被局域网内多少台用户终端共享。这给运营商造成了巨大的收入流失。
相关技术中主要使用的共享接入检测方法主要有HTTP报文头分析方法。该方法可以通过分析HTTP协议请求报文User-Agent字段中操作***版本和浏览器版本的数量来判断共享上网的用户终端数。
此方法存在很大的局限性,因为目前用户终端操作***版本很集中,例如大部分都是windows操作***,这导致即使检测到User-Agent字段中操作***版本只有一个,从而判定该IP不存在共享上网,但是这在多个用户终端使用相同操作***在该IP进行共享接入上网时,会导致误判。
并且同一台用户终端上可能安装不同版本的浏览器,若直接根据检测到的浏览器版本为多个就判定存在共享接入,那么在一个用户终端使用多个版本的浏览器进行上网时,会导致误判。
发明内容
本公开提供一种共享接入检测方法及共享接入检测装置,以解决相关技术中的不足。
根据本公开实施例的第一方面,提供共享接入检测方法,包括:
收集来自用户终端的应用层报文;
从所述应用层报文中提取用户终端访问的公网IP以及数据流特征,所述数据流特征唯一标识用户终端;
根据所述数据流特征统计访问所述公网IP的用户终端数量;
判断访问所述公网IP的用户终端数量是否大于第一阈值,如是,判定所述公网IP存在共享接入。
可选地,所述步骤从所述应用层报文中提取用户终端访问的公网IP以及数据流特征包括:
解析所述应用层报文,以确定所述应用层报文所属的应用类型;
根据所述应用层报文所属的应用类型确定提取策略;
从所述应用层报文中提取用户终端访问的公网IP,以及根据确定出的提取策略从相应应用类型的应用层报文中提取数据流特征。
可选地,在所述步骤根据所述数据流特征统计访问所述公网IP的用户终端数量之后还包括:
统计每个应用类型的应用层报文中的不同的数据流特征的数量,
判断同一应用类型的应用层报文中是否存在多个不同的数据流特征,若存在,则判定所述公网IP存在共享接入。
可选地,上述方法还包括:
获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值,将所述最大值作为共享接入所述公网IP的用户终端的数量。
可选地,上述方法还包括:
判断所述最大值是否大于第二阈值;
若所述最大值大于所述第二阈值,则对所述公网IP的应用层报文执行访问控制,
其中,所述访问控制包括:
向共享接入所述公网IP的用户终端传输提示信息,
和/或控制所述公网IP的网络资源获取速度,
和/或阻断所述公网IP的应用层报文。
根据本发明的又一方面,还提出了一种共享接入检测装置,包括:
报文收集单元,收集来自用户终端的应用层报文;
提取单元,从所述应用层报文中提取用户终端访问的公网IP以及数据流特征,所述数据流特征唯一标识用户终端;
统计单元,根据所述数据流特征统计访问所述公网IP的用户终端数量;
判断单元,判断访问所述公网IP的用户终端数量是否大于第一阈值,若是,判定所述公网IP存在共享接入。
可选地,所述提取单元包括:
解析子单元,解析所述应用层报文,以确定所述应用层报文所属的应用类型;
策略确定子单元,根据所述应用层报文所属的应用类型确定提取策略;
IP提取子单元,从所述应用层报文中提取用户终端访问的公网IP;
特征提取子单元,根据确定出的提取策略从相应应用类型的应用层报文中提取数据流特征。
可选地,所述统计单元还用于统计每个应用类型的应用层报文中的不同的数据流特征的数量,
所述判断单元还用于判断同一应用类型的应用层报文中是否存在多个不同的数据流特征,若存在,则判定所述公网IP存在共享接入。
可选地,上述装置还包括:
获取单元,获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值,将所述最大值作为共享接入所述公网IP的用户终端的数量。
可选地,所述判断单元还用于判断所述最大值是否大于第二阈值,
所述装置还包括:
控制单元,在所述最大值大于所述第二阈值时,对所述公网IP的应用层报文执行访问控制,
其中,所述访问控制包括:
向共享接入所述公网IP的用户终端传输提示信息,
和/或控制所述公网IP的网络资源获取速度,
和/或阻断所述公网IP的应用层报文。
本公开的实施例提供的技术方案可以包括以下有益效果:
由上述实施例可知,本公开通过收集用户终端的应用层报文,以及根据应用层报文中数据流特征的数量判断公网IP是否存在共享接入,可以提高检测共享接入的准确率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
图1是根据本发明实施例的共享接入检测方法的应用场景示意图;
图2是根据本发明实施例的一种共享接入检测方法的示意流程图;
图3是根据本发明实施例的从应用层报文中提取用户终端访问的公网IP以及数据流特征的示意流程图;
图4是根据本发明实施例的又一种共享接入检测方法的示意流程图;
图5是根据本发明实施例的统计每个类型的应用层报文对应的不同数据流特征的数量的示意流程图;
图6是根据本发明实施例的又一种共享接入检测方法的示意流程图;
图7是根据本发明实施例的又一种共享接入检测方法的示意流程图;
图8是根据本发明实施例的又一种共享接入检测方法的示意流程图;
图9是本发明实施例的共享接入检测装置所在设备的一种硬件结构示意图;
图10是根据本发明实施例的一种共享接入检测装置的示意框图;
图11是根据本发明实施例的提取单元的示意框图;
图12是根据本发明实施例的统计单元的示意框图;
图13是根据本发明实施例的又一种共享接入检测装置的示意框图;
图14是根据本发明实施例的又一种共享接入检测装置的示意框图;
图15是根据本发明实施例的又一种共享接入检测装置的示意框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
参见图1,为应用本发明实施共享接入检测方法的应用场景示意图:
如图1所示,共享接入是指多台用户终端通过NAT(Network AddressTranslation,网络地址转换)、HTTP代理等方式,共享接入一个公网IP访问互联网的行为。本实施例公开的共享接入检测方法可以通过获取用户终端的应用层报文,根据应用层报文中的数据流特征判断是否存在多台用户终端共享接入公网IP访问互联网。
相关技术中使用的共享接入检测方法主要有以下几种:
1、检测IP报文中的IPID标识的连续性。
一台用户终端发送IP报文的IPID字段是从0-65535循环,单调递增变化,且中间网络设备(例如路由器、防火墙等)不会修改此字段,因此可以通过检测一个IP报文的IPID的连续性判断是否是同一台用户终端接入了该IP发送报文。
该方法有很大的局限性和误判性,在一个IP共享接入多台用户终端时,IPID的连续性会显得很混乱,并且目前高性能用户终端发送IP报文的频率很快,在很短的时间内IPID就会从0达到65535完成一次循环,而在完成一次循环的周期小于检测周期时,那么即使一个IP共享接入多台用户终端,那么检测结果可能仍然显示IPID是单调递增的,从而判定该IP只接入了一台用户终端,导致检测结果出现偏差。
2、MAC地址检测方法。
统计同一IP的数据包是否对应多个MAC地址,若对应多个MAC地址,则判断该IP存在共享上网。
此方法对NAT和HTTP代理上网的情况无法有效检测,目前基本已经被淘汰。
3、HTTP报文头分析方法。
通过分析HTTP协议请求报文User-Agent字段中操作***版本和浏览器版本的数量来判断共享上网的用户终端数。
此方法存在很大的局限性,因为目前用户终端操作***版本很集中,例如大部分都是windows操作***,这导致即使检测到User-Agent字段中操作***版本只有一个,从而判定该IP不存在共享上网,但是这在多个用户终端使用相同操作***在该IP进行共享接入上网时,会导致误判。
并且同一台用户终端上可能安装不同版本的浏览器,若直接根据检测到的浏览器版本为多个就判定存在共享接入,那么在一个用户终端使用多个版本的浏览器进行上网时,会导致误判。
4、主动获取检测用户终端信息的方法。
主动检测方法主要有:
(1):根据用户终端发送的访问请求命令,向用户终端发送用户终端信息查询命令,迫使用户终端返回MAC和用户终端标识等可以标识用户终端特征的信息,并进一步根据这些用户终端信息判断共享接入上网的用户终端数量。
(2):根据用户终端发送的HTTP协议的GET请求,挟持服务器响应的消息报文,在响应报文中添加唯一的setcookie字段值,当用户终端再次对同一网页请求时,就会携带特殊的cookie字段值,通过统计cookie字段值的唯一性来判断是否共享接入上网。
这种方法需要不断向用户终端发送报文消息,很大程度上增加了网络负担和共享接入检测设备的性能负担,且发送的消息往往会被浏览器拦截而无法获取用户终端信息。
在本发明实施例中,共享接入检测方法可以收集公网IP的应用层报文,以及根据应用层报文中数据流特征的数量判断公网IP是否存在共享接入,以此提高检测共享接入的准确率以及适用性,同时避免过多地增加网络负担和共享接入检测装置的负担。下面结合附图对本发明共享接入检测方法的实施例进行详细描述。
如图2所示,根据本发明一个实施例的共享接入检测方法包括以下步骤:
在步骤S102中,收集来自用户终端的应用层报文;
在步骤S104中,从所述应用层报文中提取用户终端访问的公网IP以及数据流特征,所述数据流特征唯一标识用户终端;
在步骤S106中,根据所述数据流特征统计访问所述公网IP的用户终端数量;
在步骤S108中,判断访问所述公网IP的用户终端数量是否大于第一阈值,如是,判定所述公网IP存在共享接入。
根据本实施例,由于用于用户终端中应用层报文的部分数据流特征具有唯一性,因此数据流特征可以唯一地标识用户终端。例如在360安全卫士启动更新时,会进行版本检测,此时发送的应用层报文的为请求URL的报文,其中的数据流特征为请求URL携带的一个mid字段值,例如请求URL的报文如下:
GET/v3/safeup_lib.cab?autoupdate=false&pid=h_home_inst&uid=1&mid=e d461ccbde48d81612301ad712de0060&ver=9.7.0.2001&sysver=5.1.2600.256.1.3&pa=x86&type=tray&rt=0&lt=0&ue=1&language=chs HTTP/1.1
Accept:*/*
User-Agent:Mozilla/4.0(compatible;MSIE 6.0;Windows NT 5.1;SV1)
Host:update.360safe.com
Connection:Close
Cache-Control:no-cache
其中mid字段值为ed461ccbde48d81612301ad712de0060,而对于不同的用户终端,mid字段值是不同的。
当然,数据流特征并不限于mid值,对于不同应用类型的应用层报文,数据流特征也是可以不同,例如上述应用类型为360安全卫士,其数据流特征为请求URL中的mid值,而若应用类型为搜狗输入法,其数据流特征可以为请求URL中的h值,若应用类型为迅雷下载软件,其数据流特征可以为peerid值。
虽然不同应用类型的应用层报文的数据流特征不同,但是同一应用类型的应用层报文中对应同一用户终端的数据流特征是相同的,同一应用类型的应用层报文中对应不同用户终端的数据流特征是不同的,因此通过从应用层报文中提取数据流特征,可以进一步确定同一应用类型的应用层报文中是否存在不同的数据流特征,而当同一应用类型的应用层报文中存在不同的数据流特征时,说明存在多个用户终端共享接入了公网IP,且均通过该应用类型的应用程序发出了应用层报文,从而可以确定该公网IP存在共享接入。
当然,还可以进一步确定某一应用类型的应用层报文中不同的数据流特征的数量,而该数量等于通过该应用类型的应用程序发出应用层报文的用户终端的数量,从而可以根据用户终端的数量判断公网IP是否存在共享接入,例如上述第一阈值等于1,那么当用户终端的数量大于1时,则可以判定公网IP存在共享接入。
本实施例的检测方法通过收集用户终端的应用层报文,以及根据应用层报文中数据流特征的数量判断公网IP是否存在共享接入的方式,相对于现有技术中通过检测IP报文中的IPID标识的连续性,或通过分析HTTP报文头的方式检测公网IP是否存在共享接入,可以有效地提高检测结果的准确率;并且适用性强,对于NAT和HTTP代理上网的方式均可有效地进行检测;而且无需向用户终端发送报文消息,避免了过多地增加网络负担和共享接入检测装置的负担。
如图3所示,可选地,步骤从应用层报文中提取用户终端访问的公网IP以及数据流特征包括:
S1042,解析所述应用层报文,以确定所述应用层报文所属的应用类型;
S1044,根据所述应用层报文所属的应用类型确定提取策略;
S1046,从所述应用层报文中提取用户终端访问的公网IP,以及
S1048,根据确定出的提取策略从相应应用类型的应用层报文中提取数据流特征。
需要说明的是,上述步骤S1046和S1048的执行顺序不分先后,既可以先执行S1046后执行步骤S1048,也可以先执行步骤S1048后执行步骤S1046,还可以同时执行步骤S1046和步骤S1048。
由于不同应用类型的应用层报文中数据流特征不同,正如上述实施例,应用类型为360安全卫士的应用层报文中数据流特征可以为请求URL中的mid值,应用类型为搜狗输入法的应用层报文中数据流特征可以为请求URL中的h值,应用类型为迅雷下载软件的应用层报文中数据流特征可以为peerid值,而不同应用类型的应用层报文的格式是不同的,因此需要采取不同的提取策略在不同应用类型的应用层报文中提取数据流特征,以便准确地提取到每种应用类型的应用层报文中的数据流特征。
其中,可以通过报文深度解析方法(DPI)来解析应用层报文,从而确定每个应用层报文的应用类型,当然,也可以通过其他方法对应用层报文进行解析得到每个应用层报文的应用类型。
如图4所示,可选地,如图2所示的方法在所述步骤根据所述数据流特征统计访问公网IP的用户终端数量之后还包括:
S110,统计每个应用类型的应用层报文中的不同的数据流特征的数量,
S112,判断同一应用类型的应用层报文中是否存在多个不同的数据流特征,若存在,则判定公网IP存在共享接入。
当存在不同的数据流特征时,即可确定共享接入公网IP的用户终端不同,而不同数据流特征的数量则可以用于表示共享接入公网IP的用户终端的数量,通过统计该数量,便于网络运营商查看共享接入公网IP的用户终端的数量,以便做出准确的评估和适当的处理。
如图5所示,可选地,步骤统计每个类型的应用层报文对应的不同数据流特征的数量包括:
S1102,判断是否已关联存储公网IP与第一应用类型应用层报文的第一数据流特征;
S1104,若未关联存储,则将第一应用类型应用层报文的数据流特征的统计数量加1,并关联存储公网IP与第一应用类型应用层报文的第一数据流特征。
例如在应用层报文中提取到一个应用类型为360安全卫士的数据流特征,那么可以检测应用层报文对应的公网IP与该360安全卫士的数据流特征是否存在关联关系,若存在关联关系,可以判定在之前的应用层报文中已记录了该数据流特征,发出此次应用层报文的用户终端,并非新接入公网IP的用户终端,因此可以不做处理;若不存在关联关系,则可以判定发出此次应用层报文的用户终端,是新接入公网IP的用户终端,也即共享接入公网IP的用户终端数目增加一个。
可选地,对于不同应用类型的应用层报文的数据流特征可以分别存储于不同的存储空间,例如应用类型为360安全卫士的应用层报文的数据流特征可以存储于第一存储空间,应用类型为迅雷软件的应用层报文的数据流特征可以存储于第二存储空间,以便在判断公网IP与数据流特征的关联关系时,可以先根据数据流特征对应应用层报文的应用类型确定相应的存储空间,从而在确定的存储空间中查询与公网IP关联存储的数据流特征,可以提高查询效率。
如图6所示,可选地,如图4所示的方法在统计每个应用类型的应用层报文中的不同的数据流特征的数量之后还包括:
S114,获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值,将最大值作为共享接入公网IP的用户终端的数量。
例如存在4个用户终端共享接入公网IP,4个用户终端中的2个用户终端开启了360安全卫士,3个用户终端开启了迅雷软件,4个用户终端均开启了搜狗输入法,那么通过上述实施例可以确定,应用类型为360安全卫士的应用层报文对应的不同数据流特征为2个,应用类型为迅雷软件的应用层报文对应的不同数据流特征为3个,应用类型为搜狗输入法的应用层报文对应的不同数据流特征为4个,也即4个用户终端中每个用户终端开启的应用程序不尽相同,若将应用类型为迅雷软件的应用层报文对应的不同数据流特征的数量3作为共享接入公网IP的用户终端的数量,会导致统计值小于实际值。
根据本实施例,通过将所有类型的应用层报文中不同数据流特征的数量的最大值作为共享接入公网IP的用户终端的数量,例如将上述应用类型为搜狗输入法的应用层报文对应的不同数据流特征的数量4作为共享接入公网IP的用户终端的数量,可以有效提高统计值与实际值的吻合度,提高检测精度。
如图7所示,可选地,如图6所示的方法在获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值之后还包括:
S116,判断最大值是否大于第二阈值;
S118,若最大值大于第二阈值,则对公网IP的应用层报文执行访问控制,
其中,所述访问控制包括:
向共享接入所述公网IP的用户终端传输提示信息,以便用户终端的操作者自行进行处理;
和/或控制所述公网IP的网络资源获取速度,以便降低公网IP所处网络的网络压力;
和/或阻断所述公网IP的应用层报文,以便降低网络运营商的损失。
网络运营商对于共享接入某个公网IP的用户终端的数量可以预先设置第二阈值,以便在共享接入该公网IP的用户终端的数量超过第二阈值时,能够及时对通过该公网IP上网的用户终端进行有效控制,以缓解网络压力,降低网络运营商的损失。
如图8所示(其中省略显示步骤S102至步骤S110,并简化显示了步骤S114),可选地,如图7所示的方法在最大值大于第二阈值时还包括:
S120,根据共享接入公网IP的每个用户终端的应用层报文分别生成日志;
S122,展示每个用户终端的信息以及相应的日志。
根据本实施例,网络运营商可以方便地查看每个共享接入公网IP的用户终端的信息以及相应的日志,从而方便且快速地了解每个用户终端共享接入公网IP上网的情况,便于进行管理。
以下结合一个实施例对本发明的实现进行示例性说明:
例如网络运营商设置的某个公网IP15.26.33.58共享接入用户终端的数量为2,并设置了自动提示,也即当检测到2个以上的用户终端共享接入到该公网IP时,自动向每个共享接入的用户终端传输提示信息。
用户终端A、用户终端B和用户终端C通过HTTP代理的方式使用同一个公网IP15.26.33.58访问外网,其中用户终端A、用户终端B和用户终端C均开启了360安全卫士,用户终端B和用户终端C开启了迅雷软件。
当用户终端A、用户终端B和用户终端C中的360安全卫士处于启动状态,用户终端B和用户终端C中的迅雷软件处于启动状态时,可以在应用类型为360安全卫士的应用层报文中检测到三个不同的mid值,以及在应用类型为迅雷软件的应用层报文中检测到两个不同的peerid值,根据应用层报文中的mid值可以确定有三个用户终端共享接入了公网IP15.26.33.58,根据应用层报文中的peerid值可以确定有两个用户终端共享接入了公网IP15.26.33.58,获取2和3两个数值中的最大值3,作为共享接入公网IP15.26.33.58的用户终端的数量,也即最终判定存在3个用户终端共享接入公网IP15.26.33.58。
由于数值3大于网络运营商预先设置的第二阈值2,因此可以触发提示操作,也即向用户终端A、用户终端B和用户终端C分别发出提示信息,进一步地,还可以生成每个用户终端的应用层报文的日志,以进行展示。
本发明共享接入检测装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图9所示,为本发明共享接入检测装置所在设备的一种硬件结构图,除了图9所示的处理器、网络接口、内存以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等;从硬件结构上来讲该设备还可能是分布式的设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
参照图10,根据本发明一个实施例的共享接入检测装置200,包括:
报文收集单元201,收集来自用户终端的应用层报文;
提取单元202,从应用层报文中提取用户终端访问的公网IP以及数据流特征,数据流特征唯一标识用户终端;
统计单元203,根据数据流特征统计访问公网IP的用户终端数量;
判断单元204,判断访问所述公网IP的用户终端数量是否大于第一阈值,若是,判定公网IP存在共享接入。
如图11所示,提取单元202可以包括:
解析子单元2021,解析应用层报文,以确定应用层报文所属的应用类型;
策略确定子单元2022,根据应用层报文所属的应用类型确定提取策略;
IP提取子单元2023,从应用层报文中提取用户终端访问的公网IP;
特征提取子单元2024,根据确定出的提取策略从相应应用类型的应用层报文中提取数据流特征。
可选地,统计单元还用于统计每个应用类型的应用层报文中的不同的数据流特征的数量,
判断单元还用于判断同一应用类型的应用层报文中是否存在多个不同的数据流特征,若存在,则判定公网IP存在共享接入。
如图12所示,可选地,统计单元203包括:
关联判断子单元2031,用于判断是否已关联存储公网IP与第一应用类型的应用层报文的第一数据流特征;
统计数量子单元2032,在公网IP与第一应用类型的应用层报文未关联存储时,将第一类型应用层报文的数据流特征的统计数量加1;
关联存储子单元2033,关联存储公网IP与第一应用类型的应用层报文的第一数据流特征。
如图13所示,可选地,在如图10所示的装置基础上,还可以包括:
获取单元205,获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值,将最大值作为共享接入公网IP的用户终端的数量。
如图14所示,可选地,判断单元204还用于判断最大值是否大于第二阈值;
在如图13所示装置的基础上还可以包括:
控制单元206,在最大值大于第二阈值时,对公网IP的应用层报文执行访问控制。
其中,访问控制包括:
向共享接入公网IP的用户终端传输提示信息,
和/或控制公网IP的网络资源获取速度,
和/或阻断公网IP的应用层报文。
如图15所示,可选地,在如图14所示装置的基础上还可以包括:
日志生成单元207,根据共享接入公网IP的每个用户终端的应用层报文分别生成日志;
展示单元208,展示每个用户终端的信息以及相应的日志。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本公开方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本领域技术人员在考虑说明书及实践这里公开的公开后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims (8)

1.一种共享接入检测方法,其特征在于,包括:
收集来自用户终端的应用层报文;
从所述应用层报文中提取用户终端访问的公网IP以及数据流特征,所述数据流特征唯一标识用户终端,其中,不同应用类型的应用层报文中数据流特征不同;
判断是否已关联存储公网IP与所述应用类型应用层报文的第一数据流特征;若未关联存储,则将所述应用类型应用层报文的第一数据流特征的统计数量加1,并关联存储公网IP与所述应用类型应用层报文的所述第一数据流特征;
根据所述数据流特征统计访问所述公网IP的用户终端数量,获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值,将所述最大值作为共享接入所述公网IP的用户终端的数量;
判断访问所述公网IP的用户终端数量是否大于第一阈值,如是,判定所述公网IP存在共享接入。
2.根据权利要求1所述的方法,其特征在于,所述步骤从所述应用层报文中提取用户终端访问的公网IP以及数据流特征包括:
解析所述应用层报文,以确定所述应用层报文所属的应用类型;
根据所述应用层报文所属的应用类型确定提取策略;
从所述应用层报文中提取用户终端访问的公网IP,以及根据确定出的提取策略从相应应用类型的应用层报文中提取数据流特征。
3.根据权利要求2所述的方法,其特征在于,在所述步骤根据所述数据流特征统计访问所述公网IP的用户终端数量之后还包括:
统计每个应用类型的应用层报文中的不同的数据流特征的数量,
判断同一应用类型的应用层报文中是否存在多个不同的数据流特征,若存在,则判定所述公网IP存在共享接入。
4.根据权利要求1所述的方法,其特征在于,还包括:
判断所述最大值是否大于第二阈值;
若所述最大值大于所述第二阈值,则对所述公网IP的应用层报文执行访问控制,
其中,所述访问控制包括:
向共享接入所述公网IP的用户终端传输提示信息,
和/或控制所述公网IP的网络资源获取速度,
和/或阻断所述公网IP的应用层报文。
5.一种共享接入检测装置,其特征在于,包括:
报文收集单元,收集来自用户终端的应用层报文;
提取单元,从所述应用层报文中提取用户终端访问的公网IP以及数据流特征,所述数据流特征唯一标识用户终端,其中,不同应用类型的应用层报文中数据流特征不同;判断是否已关联存储公网IP与所述应用类型应用层报文的第一数据流特征;若未关联存储,则将所述应用类型应用层报文的第一数据流特征的统计数量加1,并关联存储公网IP与所述应用类型应用层报文的所述第一数据流特征;
统计单元,根据所述数据流特征统计访问所述公网IP的用户终端数量,获取每个应用类型的应用层报文中不同的数据流特征的数量的最大值,将所述最大值作为共享接入所述公网IP的用户终端的数量;
判断单元,判断访问所述公网IP的用户终端数量是否大于第一阈值,若是,判定所述公网IP存在共享接入。
6.根据权利要求5所述的装置,其特征在于,所述提取单元包括:
解析子单元,解析所述应用层报文,以确定所述应用层报文所属的应用类型;
策略确定子单元,根据所述应用层报文所属的应用类型确定提取策略;
IP提取子单元,从所述应用层报文中提取用户终端访问的公网IP;
特征提取子单元,根据确定出的提取策略从相应应用类型的应用层报文中提取数据流特征。
7.根据权利要求6所述的装置,其特征在于,所述统计单元还用于统计每个应用类型的应用层报文中的不同的数据流特征的数量,
所述判断单元还用于判断同一应用类型的应用层报文中是否存在多个不同的数据流特征,若存在,则判定所述公网IP存在共享接入。
8.根据权利要求5所述的装置,其特征在于,所述判断单元还用于判断所述最大值是否大于第二阈值,
所述装置还包括:
控制单元,在所述最大值大于所述第二阈值时,对所述公网IP的应用层报文执行访问控制,
其中,所述访问控制包括:
向共享接入所述公网IP的用户终端传输提示信息,
和/或控制所述公网IP的网络资源获取速度,
和/或阻断所述公网IP的应用层报文。
CN201610326292.7A 2016-05-16 2016-05-16 共享接入检测方法和共享接入检测装置 Active CN105939231B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201610326292.7A CN105939231B (zh) 2016-05-16 2016-05-16 共享接入检测方法和共享接入检测装置
US15/396,956 US10447793B2 (en) 2016-05-16 2017-01-03 Detecting shared access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610326292.7A CN105939231B (zh) 2016-05-16 2016-05-16 共享接入检测方法和共享接入检测装置

Publications (2)

Publication Number Publication Date
CN105939231A CN105939231A (zh) 2016-09-14
CN105939231B true CN105939231B (zh) 2020-04-03

Family

ID=57152527

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610326292.7A Active CN105939231B (zh) 2016-05-16 2016-05-16 共享接入检测方法和共享接入检测装置

Country Status (2)

Country Link
US (1) US10447793B2 (zh)
CN (1) CN105939231B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108112031B (zh) * 2016-11-24 2020-01-10 腾讯科技(深圳)有限公司 网络类型确定方法及装置
CN108574607B (zh) * 2017-03-08 2022-09-20 中兴通讯股份有限公司 基于虚拟专用网络的共享上网检测方法及装置
CN106789486B (zh) * 2017-03-17 2020-08-04 杭州迪普科技股份有限公司 共享接入的检测方法、装置、电子设备及计算机可读存储介质
CN107231271A (zh) * 2017-04-24 2017-10-03 北京安博通科技股份有限公司 一种共享上网的检测方法及装置
CN107707549B (zh) * 2017-09-30 2020-07-28 迈普通信技术股份有限公司 一种自动提取应用特征的装置及方法
CN107948199B (zh) * 2017-12-27 2021-05-25 北京奇安信科技有限公司 一种对终端共享接入进行快速检测的方法及装置
CN108667913B (zh) * 2018-04-23 2021-08-17 广州热点软件科技股份有限公司 共享终端接入管理的方法、装置、计算机设备和存储介质
CN109905494B (zh) * 2019-01-31 2023-09-08 上海晶赞融宣科技有限公司 公共无线网络的识别方法及装置、存储介质、终端
CN111510343B (zh) * 2020-03-27 2022-03-04 杭州迪普科技股份有限公司 通信装置和方法
CN113905029B (zh) * 2021-09-29 2024-03-15 湖南航天环宇通信科技股份有限公司 一种通过网络通讯共享计量器具的***和方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015174742A1 (ko) * 2014-05-14 2015-11-19 주식회사 플랜티넷 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7127524B1 (en) * 2000-12-29 2006-10-24 Vernier Networks, Inc. System and method for providing access to a network with selective network address translation
JP4541848B2 (ja) * 2004-11-22 2010-09-08 株式会社日立製作所 ユーザ端末接続制御方法および装置
CN101035031A (zh) * 2007-04-03 2007-09-12 华为技术有限公司 检测共享接入的主机数目的方法和装置
KR101013996B1 (ko) * 2008-10-10 2011-02-14 플러스기술주식회사 클라이언트의 nat 사용 여부 판단 및 공유대수 검출방법
KR101927777B1 (ko) * 2011-04-30 2018-12-12 삼성전자주식회사 인터넷 연결 공유 관리 방법 및 장치
CN103152325B (zh) * 2013-01-30 2015-12-09 深信服网络科技(深圳)有限公司 防止通过共享方式访问互联网的方法及装置
CN103457789A (zh) * 2013-08-15 2013-12-18 北京星网锐捷网络技术有限公司 一种并机检测方法和装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015174742A1 (ko) * 2014-05-14 2015-11-19 주식회사 플랜티넷 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템

Also Published As

Publication number Publication date
US10447793B2 (en) 2019-10-15
US20170331911A1 (en) 2017-11-16
CN105939231A (zh) 2016-09-14

Similar Documents

Publication Publication Date Title
CN105939231B (zh) 共享接入检测方法和共享接入检测装置
CN106921637B (zh) 网络流量中的应用信息的识别方法和装置
US8135979B2 (en) Collecting network-level packets into a data structure in response to an abnormal condition
US8180892B2 (en) Apparatus and method for multi-user NAT session identification and tracking
US10218733B1 (en) System and method for detecting a malicious activity in a computing environment
CN107888605B (zh) 一种物联网云平台流量安全分析方法和***
CN106936791B (zh) 拦截恶意网址访问的方法和装置
CN110839017B (zh) 代理ip地址识别方法、装置、电子设备及存储介质
TW201824047A (zh) 攻擊請求的確定方法、裝置及伺服器
CN104580216B (zh) 一种对访问请求进行限制的***和方法
CN103023906A (zh) 针对远程过程调用协议进行状态跟踪的方法及***
US20120030351A1 (en) Management server, communication cutoff device and information processing system
KR101518472B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 추가 비지정 도메인 네임을 구비한 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
CN111371639B (zh) 网络延时分析方法、装置、存储介质和计算机设备
CN113810381B (zh) 一种爬虫检测方法、web应用云防火墙、装置和存储介质
CN110661673B (zh) 一种心跳检测的方法及装置
US10764307B2 (en) Extracted data classification to determine if a DNS packet is malicious
KR101518470B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템
CN113992368A (zh) 一种基于定向引流的蜜罐集群检测方法及***
CN111064827B (zh) 基于域名泛解析的代理检测方法、装置、设备及介质
CN111064729A (zh) 报文的处理方法及装置、存储介质和电子装置
WO2020158896A1 (ja) 通信装置
CN113453076B (zh) 用户视频业务质量评估方法、装置、计算设备和存储介质
CN112165466B (zh) 一种误报识别的方法、装置、电子装置和存储介质
KR101518469B1 (ko) 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building

Applicant after: Hangzhou Dipu Polytron Technologies Inc

Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building

Applicant before: Hangzhou Dipu Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210616

Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang.

Patentee after: Hangzhou Dip Information Technology Co.,Ltd.

Address before: 310051, 6 floor, Chung Cai mansion, 68 Tong he road, Binjiang District, Hangzhou, Zhejiang.

Patentee before: Hangzhou DPtech Technologies Co.,Ltd.