CN101035031A - 检测共享接入的主机数目的方法和装置 - Google Patents
检测共享接入的主机数目的方法和装置 Download PDFInfo
- Publication number
- CN101035031A CN101035031A CN 200710089580 CN200710089580A CN101035031A CN 101035031 A CN101035031 A CN 101035031A CN 200710089580 CN200710089580 CN 200710089580 CN 200710089580 A CN200710089580 A CN 200710089580A CN 101035031 A CN101035031 A CN 101035031A
- Authority
- CN
- China
- Prior art keywords
- cookie
- address
- host
- information
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种检测共享接入的主机数目的方法和装置,该方法主要包括:首先,接收到与共享接入的主机之间传递的数据包,获取数据包的应用层信息中的主机用户识别信息(如Cookie ID或用户代理信息等);之后,根据获取的所述的主机用户识别信息确定共享接入的主机数目。因此,利用本发明实施例,可以基于应用层特征检测共享接入主机数目,可以在一定时间内比较准确地获取同一IP地址下的共享接入主机的数目。
Description
技术领域
本发明涉及网络通信领域,尤其涉及一种检测共享接入的主机数目的方法和装置。
背景技术
为解决全球IP地址资源匮乏的问题,IETF(Internet Engineering TaskForce,因特网工程部)组织提出了NAT(Network Address Translation,网络地址转换协议)技术。
一种应用了NAT设备的网络组网示意图如图1所示。NAT设备完成的是网络地址转换的功能,NAT设备拥有一个或多个公网IP地址,如202.104.1.123。位于NAT设备后的主机拥有自己的私网IP地址,如192.168.10.1。当主机需要与位于公网上的设备进行通信的时候,NAT设备将主机对应的私网IP地址和端口号映射为一个公网IP地址和端口号,于是,上述位于NAT设备后的主机相对其它公网上的设备是透明的。
在很多情况下,为实现对主机进行监管,需要对NAT设备后的共享接入的主机数量进行检测,为正确地统计出NAT设备后的共享接入的主机数量,则需要获悉每台主机独有的一些特性。
目前,通常采用基于底层协议字段检测的方案,例如,可以基于IPID(IP标识)技术来检测主机数量。在该技术中,具体可以通过将属于同一台主机的流归并到一个ID上去变化,之后,根据流的ID变化更新其对应的ID值和ID值的存活时间。在一定时间间隔里观察所有存在的ID值,有几个ID值存在,即认为有几台主机。
在实现本发明的过程中,发明人发现上述基于IPID技术的识别主机数目的方法存在以下两方面的问题:
(1)该方法与IP层密切相关,目前有一些NAT设备或路由器会将内网数据包的IPID字段重新编号,从而导致该方法无效;同样,对于其它基于底层协议字段检测的方案均存在这一问题;
(2)为识别主机数目,需要存储匹配处理几乎所有的IP数据包,大量耗费检测装置资源,降低了检测装置的整体性能。
发明内容
本发明实施例的目的是提供一种检测共享接入的主机数目的方法和装置,以准确有效地检测出网络中的共享接入的主机数目。
本发明实施例提供了一种检测共享接入的主机数目的方法,包括:
接收到与共享接入的主机之间传递的数据包,在应用层解析获取数据包中承载的主机用户识别信息;
根据获取的所述的主机用户识别信息确定共享接入的主机数目。
本发明实施例提供了一种检测主机数目的装置,包括:
主机识别信息获取模块,用于从接收到的共享接入的主机发来的数据包中,获取数据包的应用层信息中的主机用户识别信息;
主机数目检测操作模块,用于根据所述主机识别信息获取模块获取的主机用户识别信息确定共享接入的主机数目。
由上述本发明实施例提供的技术方案可以看出,本发明实施例中,由于采用根据同一IP地址的数据包的应用层中承载的主机用户识别信息,统计同一IP地址下的共享接入的用户数目,因此,本发明实施例可以比较准确地统计获取同一IP地址下的共享接入主机的数目。
附图说明
图1为一种应用了NAT设备的网络组网示意图;
图2为本发明实施例中保存Cookie ID的对应关系的示意图;
图3为本发明实施例所述检测和保存Cookie ID的处理流程图;
图4为本发明实施例基于Cookie ID确定共享接入的主机数目的流程图;
图5为本发明实施例中保存用户代理的对应关系的示意图;
图6为本发明实施例中匹配IP地址的处理流程图;
图7为本发明实施例基于用户代理确定共享接入的主机数目的流程图;
图8为本发明实施例提供的装置的结构示意图一;
图9为本发明实施例提供的装置的结构示意图二;
图10为本发明实施例提供的装置的结构示意图三。
具体实施方式
本发明实施例中,通过检测报文中的应用层信息进行共享接入主机数目的统计,以提高检测确定的共享接入主机数目的准确性。
具体一点讲,本发明实施例中,首先,接收与共享接入的主机(如同一共享接入IP地址等)之间传递的数据包,并确定数据包的应用层信息的主机用户识别信息;之后,根据检测结果中包含的不同的主机用户识别信息的数量确定共享接入的主机数目。
其中,所述的应用层中承载的主机用户识别信息可以为访问指定网络的cookie ID(痕迹信息标识),或者,也可以为User-Agent(用户代理)信息,或者,也可以同时采用cookie ID和User-Agent信息。
若以cookie ID作为所述的主机用户识别信息,则需要检测并记录共享接入的IP地址与网站之间交互的数据包的应用层信息中的Cookie ID,并记录与该Cookie ID对应的共享接入IP地址和网站标识信息;之后,便可以在预定的时间段内,统计待检测的共享接入的IP地址和同一网站标识信息对应的不同的Cookie ID的数量,以作为共享接入的主机数目。需要说明的是,若所述的待检测的共享接入的IP地址与多个网站标识信息对应,则分别统计该共享接入的IP地址和各个网站标识信息对应的不同Cookie ID的数量,并可以选择其中最大值作为共享接入的主机数目。
若以User-Agent作为主机用户识别信息,则需要检测并记录接收到的来自于共享接入的IP地址的数据包的应用层信息中的用户代理信息,并记录与该用户代理信息对应的共享接入的IP地址;之后,便可以在预定的时间段内统计同一共享接入的IP地址对应的不同的用户代理信息的数量,以作为共享接入的主机数目。
下面将分别以采用cookie ID和User-Agent信息作为主机用户识别信息为例,对本发明实施例的具体实现方案进行描述。
(一)以cookie ID作为主机用户识别信息,本发明实施例的具体实现方式如下:
在通信网络中,Cookie是一种HTTP(Hypertext Transfer Protocol,超文本传输协议)中用于在浏览器和Web服务器之间传输状态信息的机制,是某些网站为了辨别用户身份而存储在用户本地终端上的数据。Cookie实际上是一种能够让网络服务器把少量数据存储到客户端的硬盘或内存,或是从客户端的硬盘读取数据的技术。
在通常情况下,当浏览某网站时,Web服务器发送给用户的不仅仅是一个页面,还有一个包含日期、时间和用户ID(标识)等信息的Cookie。用户的浏览器在获得该网站的页面的同时,会将上述Cookie保存在用户硬盘上的某个特定文件夹下。当用户再次访问该网站时,该网站通过读取上述保存在用户硬盘上的Cookie,得到该用户的相关信息,并进行相应的动作。如在页面显示欢迎你的标语,或者让你不用输入ID、密码就直接登录等等。
在HTTP协议中,网络服务器会给初次访问该网站的用户通过HTTP 200OK回应包中的Set-Cookie字段分配Cookie,用户获得该Cookie之后,在每次发送给该网站的HTTP请求包中都会在Cookie字段中含有它的Cookie信息。Cookie字段的格式如下:
Set-Cookie:NAME=VALUE;Expires=DATE;Path=PATH;Domain=DOMAIN_NAME;SECURE
上述Cookie字段的格式中只有NAME=VALUE属性为必选项,该属性是很多情况下网站分配给用户的唯一的ID值;Expires(有效期)属性用以确定Cookie有效终止日期,如果Cookie没有设定有效期,则其生命周期从打开浏览器开始,到关闭浏览器结束。
在本发明实施例中,正是基于上述网站为不同用户分配不同的Cookie ID值这一原理提出的,并提供了相应的检测主机数目的方法和装置。具体因为:在Cookie有效期内访问同一网站的不同用户获取的Cookie ID值是不同的,如果同一个IP在同一网站下有多个Cookie ID,则该多个Cookie ID的数目就是通过该IP共享接入网络的主机个数。
本发明实施例需要在检测共享接入的主机数目的装置中保存和维护待检测的IP地址在各个门户网站下的Cookie ID信息,并可选地包括Cookie ID有效期、收包数、更新时间等信息中的至少一项,例如,可以保存和维护一个待检测的IP地址、门户网站、Cookie ID以及Cookie ID有效期、收包数、更新时间等信息的对应关系。
上述待检测的IP地址可以是一个NAT设备的IP地址或路由器的IP地址或用于实现共享接入的主机的IP地址,等等。上述待检测的IP地址可以是一个局域网络下的IP地址或者整个城域网下的IP地址。上述门户网站可以为其IP地址,也可以为其域名,通常是比较知名的访问量比较大的门户网站。
上述门户网站可以通过事先静态指定,如只统计预先设定的某一个或多个网站的访问情况;也可以在检测系统中设定人机界面,由用户输入门户网站信息,这样,就可以定期地调整门户网站;或者,也可以动态地直接从HTTP请求数据包中提取相应的访问网站的信息,并对这些被访问网站进行统计,确定对应的Cookie ID信息;等等。
在实际应用中,可以采用如图2所示的表格形式来记录上述对应关系信息。表中的Cookie ID值以及其他属性如IP地址等所占字节比较多,进行匹配和存储比较耗费系统资源,为提高算法性能则可以对每条记录进行Hash(哈希)运算,之后,在表中只保存每条记录对应的Hash值。表中的省略号代表其他一些辅助信息,例如,更新时间,等等,主要用于辅助Cookie ID进行统计结果的判断操作,以提高检测的准确性。
下面将以WINNT操作系统下安装的IE浏览器对Cookie的处理为例来说明本发明实施例所述方法和装置,对于Netscape等其他浏览器原理均相同。
本发明实施例所述检测主机数目的方法包括:检测和保存Cookie ID的方法和统计Cookie ID并确定共享接入的主机数目的方法两个部分。
下面结合附图来详细描述本发明实施例,本发明实施例中所述检测和保存Cookie ID的处理流程如图3所示,该方法可以选择在一定时间内,统计和保存同一IP地址在各个网站下对应的Cookie ID信息,具体处理过程如下:
步骤1:接收所监控网络的HTTP数据包:
步骤2:判断该HTTP数据包的数据类型是否为请求类型,若是,则执行步骤3,否则,执行步骤7;
步骤3:继续判断该HTTP数据是否为GET(获取)数据包,如果是,则执行步骤4;否则,执行步骤1,继续监控网络的其它HTTP数据包。
步骤4:判断该数据包中是否包含Cookie字段,如果是,则执行步骤5,否则,执行步骤1;
步骤5:提取Cookie字段中Cookie ID值(记为CookieIDcur)、有效期等关键信息,并提取GET数据包中的源IP地址、目的IP地址,该目的IP地址即为统计的门户网站地址(即网站标识);在实际应用中,还可以提取Host(主机)字段中的门户网站域名信息;执行步骤6;
步骤6:根据源IP地址、门户网站查找对应的Cookie ID记录表中的表项,并执行步骤11;
步骤7:当判断该HTTP数据包的数据类型不是请求类型后,继续判断该HTTP数据包的数据类型是否为200 OK(确认)应答包,如果是,则执行步骤8;否则,执行步骤1,继续监控网络的其它HTTP数据包。
步骤8、判断所述200 OK应答的数据包的头字段中是否含有Set-Cookie字段,如果没有,执行步骤1,否则,执行步骤9:
步骤9:提取Set-Cookie字段中Cookie ID值(记为CookieIDcur)、Expires(有效期)属性值等关键信息,并提取200 OK应答包中的源IP地址、目的IP地址;执行步骤10;
其中,该源IP地址即为统计的门户网站地址,相应的目的IP地址即为待检测的共享接入的IP地址;如果门户网站地址采用域名形式,则可在检测装置中维护一张IP地址与域名的映射表,映射关系可以通过请求包中获取,也可以由用户配置,然后通过在该表中查询域名信息获取IP地址。
步骤10:根据上述目的IP地址、门户网站地址,查找在检测系统中保存的上述源IP地址、门户网站、Cookie ID以及Cookie相关信息的对应关系信息,并执行步骤11。
步骤11:判断Cookie ID是否已经存在,若存在,则执行步骤12,否则,执行步骤13;
步骤12:确定在所述对应关系信息中的所有Cookie ID记录中查找到上述提取出的CookieIDcur,则将该CookieIDcur对应的记录中的收包数值加上1,并执行步骤1,继续监控网络的其它HTTP数据包;
步骤13:确定在所有Cookie ID记录中没有查找到上述提取出的CookieIDcur,则在上述对应关系信息中新建一条Cookie ID记录,将该记录中的Cookie ID填充为CookieIDcur,Cookie有效期填充为基于当前时间进行设置(例如,在当前时间加24小时)或者提取出的Expires属性值,还将收包数填充为1,源IP地址、门户网站分别填充为上述提取出的源IP地址、门户网站地址。继续接收所监控网络的其它HTTP数据包。
上述检测和保存Cookie ID的处理流程中的各操作步骤的执行顺序可以有所调整,例如,可以先判断HTTP数据包是否属于所统计的门户网站,之后,再判断HTTP数据包的数据类型;或者,先判断是否为基于待检测的共享接入的IP地址的数据包,之后,再对数据包做进一步处理;等等。
可以看出,按照上述检测和保存Cookie ID的处理流程,可以统计一个源IP地址在各个不同的门户网站下的Cookie ID记录信息,并将统计的信息记录在检测设备上保存的源IP地址、门户网站、Cookie ID以及Cookie相关信息的对应关系信息中。
本发明实施例中,统计Cookie ID确定共享接入的主机数目的处理流程如图4所示,该方法具体可以但不限于采用时间触发的方式实现,即可以在到达预定的上报时间后,根据这一段时间内对Cookie ID的统计结果获取确定相应的共享接入的主机数目信息,相应的具体处理过程如下:
步骤1:启动定时器;
步骤2:若根据定时器计时时间确定未到达上报时间,则按照上述检测和保存Cookie ID的处理流程,进行基于Cookie ID的检测操作;
步骤3:判断定时器的计时时间是否到达上报时间,如果该定时器的定时时间到达,则执行步骤4,否则,继续执行步骤2;
步骤4:统计步骤2中检测并保存的源IP地址、门户网站、Cookie ID以及Cookie相关信息的对应关系信息,获得每个IP地址值在每个门户网站中对应的Cookie ID记录信息,并将获取的Cookie ID记录信息中Cookie有效期时间,执行步骤5:
步骤5:判断Cookie ID是否过期,即将获取的Cookie ID记录信息中Cookie有效期时间与检测系统当前时间相比,判断Cookie ID是否过期,若过期,则执行步骤6,否则,执行步骤7;
步骤6:确定Cookie ID已过期,删除过期的Cookie ID记录;
步骤7:定位下一个Cookie ID,并执行步骤4,若当每个IP地址下的所有Cookie ID记录都检查完后,即该步骤中无法定位出下一个Cookie ID,则执行步骤8;
步骤8:分别统计每个IP地址在每一个门户网站中对应的Cookie ID记录数,并执行步骤9;
在实际应用中,可以只对满足一定条件的记录数进行统计(如收包数大于2,等等)以提高检测的准确性;
步骤9:在步骤8执行的统计操作完成后,同一个IP地址在各个门户网站中对应的Cookie ID记录数中的最大值就是该IP地址下的共享接入的主机数目;而且,如果该最大值等于1,则该IP地址就是普通上网用户;否则,该IP地址就是NAT设备或路由器的IP地址或具有共享接入功能的主机的IP地址,该最大值就是该NAT设备或路由器或具有共享接入功能的主机后通过共享方式接入网络的主机数目。
在上述统计Cookie ID确定共享接入的主机数目的处理流程中,统计处理和检查Cookie是否过期也可以采用不同的定时器,这样,可以根据实际需要控制检查Cookie是否过期的操作相对频繁一些,即对应的定时器的定时时长可以小一些,这样有利于统计过程中提高搜索处理的速度。
可以看出,在上述处理过程中,本发明实施例利用Cookie ID的特性,通过统计访问同一网站的同一IP地址下的各用户所使用的Cookie ID数,提供了相应的基于应用层特征检测共享接入主机数目的实现方案,从而解决了现有技术存在的问题,使得在一定时间内,能够比较准确地获取同一IP地址下的共享接入主机的数目。而且,由于网页浏览是互联网最广泛的应用之一,因此,在该实施例中,虽然是基于应用层进行检测,但是仍可以保证检测结果的准确性,尤其是可以避免应用层检测具有的误报的问题。
(二)以User-Agent作为主机用户识别信息,本发明实施例的具体实现方式如下:
在HTTP协议头域中定义了User-Agent头域字段,该User-Agent头域字段中包含用户原始请求的信息。User-Agent属于请求头域(Request HeaderFields),允许客户端将关于Request(请求)和客户端的附加信息传递到服务器。
由于不同的主机因为操作系统版本、浏览器版本和安装补丁的不同,发出的GET数据包中的User-Agent字段也不相同,因此,本发明实施例可以通过统计由同一个公网IP地址发出的GET数据包中的User-Agent字段的个数来判断该公网IP地址下(即共享接入的IP地址)的主机数量。
上述公网IP地址可以是一个NAT设备的IP地址或路由器的IP地址或主机的IP地址。上述公网IP地址可以是一个局域网络下的IP地址或者整个城域网下的IP地址。
本发明实施例中,在需要统计同一共享接入的IP地址下的共享接入的主机数目的检测装置中可以保存和维护所捕获的GET数据包的源IP地址信息,该源IP地址信息可以通过二维表等形式来存储,记录格式可以为:
{公网IP1,公网IP2,......,公网IPk,......};
本发明实施例还需要在所述的检测装置中保存和维护从各个公网IP地址发出的GET数据包中提取出来的User-Agent字段值。该User-Agent字段值信息也可以通过二维表等形式来存储,记录格式可以为:
{公网IP1[UA11,UA12,......,UA1i,......],
公网IP2[UA21,UA22,......,UA2m,......],
......,
公网IPk[UAk1,UAk2,......,UAkn,......],
......}。
上述源IP地址信息和User-Agent字段值信息可以采用二维表的形式一起进行关联保存,该二维表的存储结构可以如图5所示。
本发明实施例中,检测主机数目的方法包括:匹配IP地址的处理过程,以及比较和统计同一IP地址下的User-Agent字段的处理过程。下面结合附图来详细描述本发明实施例。
其中,在所述的匹配IP地址的处理过程中,首先存储一张二维表,用来记录公网IP地址和User-Agent字段。为了能够提取出User-Agent字段,首先要对User-Agent字段进行GET数据包中的定位;而确定是否为同一IP地址下不同的User-Agent字段,则需要在记录数据之前首先进行比较判断。
判断过程中,根据数据包的源IP地址将捕获到的数据包进行粗略分组,再将同一IP地址最新提取的User-Agent字段值与表中现有的该IP地址下的所有User-Agent字段记录逐个进行每个字节数据的比较,若新提取的User-Agent字段与表中该IP地址下的User-Agent记录有相同的则不对该新提取的User-Agent字段进行记录,若比较的结果是新提取的User-Agent字段与表中该IP地址下的所有User-Agent记录都不相同,则将最新提取的User-Agent字段添加进表中该IP地址下的User-Agent记录末尾。
具体一点讲,本发明实施例所述匹配IP地址的处理流程如图6所示,具体处理过程包括以下步骤:
步骤1:获取一个数据包,提取该数据包的源IP地址;
步骤2:提取二维表记录保存的信息中的一条IP地址;
具体为:从保存的IP地址信息的二维表中的第一条记录开始提取,假设K为IP地址记录表中的第一维结构的记录数,则首先令K=1,之后,依次增加;在该步骤中,提取第K条记录的IP地址;
步骤3:检查步骤1提取的源IP地址是否已经记录在上述在检测装置上保存的源IP地址信息中;
具体为:比较步骤2提取记录中的第K条IP地址是否和步骤1提取出来的源IP地址相同,若相同,则执行步骤4,否则,执行步骤5;
步骤4:确定该提取出来的源IP地址已经记录在检测装置上保存的源IP地址信息中,进一步进行该提取出来的源IP地址下的比较和统计User-Agent字段的操作,在后续的说明中将对该步骤进行详细说明。
步骤5:判断步骤2提取的是否为最后一条记录,若是,执行步骤7,否则,执行步骤6;
步骤6:更新K值,并执行步骤2;
步骤7:确定所有记录都比较完毕,且所有记录中的IP地址都和提取出来的源IP地址不相同,则在上述源IP地址信息中增加一条新记录,该新记录中的IP地址为上述提取出来的源IP地址,并进一步进行该提取出来的源IP地址下的比较和统计User-Agent字段的操作,具体操作在后续描述中说明。
本发明实施例中,所述比较和统计同一IP地址下的User-Agent字段的操作处理流程(即图6中的步骤4和步骤7中涉及的操作)如图7所示,相应的具体处理过程包括以下步骤:
步骤1:在根据上述匹配IP地址的方法的处理流程,获取了一个数据包的源IP地址为保存的源IP地址信息中记录的IP地址;
步骤2:根据该数据包的目的端口是否为80端口判断该数据包是否为HTTP报文,如果是,则执行步骤3,否则,执行步骤8:
步骤3:根据上述数据包的负载中是否含有“GET...... .gifHTTP/1. ......”(其中......表示具体的非固定的内容)的字段,来区分出该数据包是否为GET数据包,如果是,则执行步骤4,否则,执行步骤8;
步骤4、提取出上述GET数据包中字段“User-Agent:Mozilla/***”中“***”所代表的内容;
步骤5:确定当前需要提取的已经保存的上述数据包的源IP地址下的User-Agent记录;首先,确定需要提取的记录为第一条记录;
步骤6:提取确定需要提取的记录;
步骤7:将提取的记录与当前包中的User-Agent字段信息进行比较,判断是否相同,若相同,则执行步骤8,否则,执行步骤9;
步骤8:继续捕获下一个数据包,并执行步骤1。
步骤9:判断是否所有的记录的信息已经提取比较完毕,若是,则执行步骤11,否则,执行步骤10;
步骤10:将确定需要提取的记录序号更新,并执行步骤6;
步骤11:若所述提取出的User-Agent字段与表中记录的所有已有的User-Agent记录都不相同,则将这个最新提取的User-Agent字段添加到表中的IPk下的User-Agent记录的末尾,并执行步骤8。
经过一段时间步骤1至步骤11的抓包、比较和判断处理后,则查询表中某一IP地址下共记录了多少个User-Agent字段,并将统计确定的相应User-Agent字段数量作为共享接入的主机数目。
本发明实施例所述检测主机数目的装置的结构示意图如图8、图9和图10所示,具体可以包括如下模块:
(一)主机识别信息获取模块
用于从接收到的共享接入的主机发来的数据包中,获取数据包的应用层信息中的主机用户识别信息;
该模块具体可以但不限于采用以下两种实现方式:
(1)在方式一中,如图8和图9所示,所述的主机识别信息为CookieID,且所述的主机识别信息获取模块可以为检测Cookie ID模块,用于检测获取并记录基于共享接入的IP地址的与网站之间交互的数据包中携带的CookieID,还记录该Cookie ID对应的共享接入的IP地址和网站标识;
所述的检测Cookie ID模块具体可以包括Cookie ID信息保存模块和Cookie ID信息更新模块,其中:
Cookie ID信息保存模块,用于获取并保存共享接入的IP地址、网络标识、Cookie ID和Cookie ID有效期的对应关系信息;
Cookie ID信息更新模块,用于根据所述的Cookie ID信息保存模块中记录的Cookie ID有效期,删除超过Cookie ID有效期的Cookie ID。
(2)在方式二中,如图10所示,所述的主机识别信息为用户代理,且所述的主机识别信息获取模块可以为检测用户代理模块,检测并记录来自于共享接入的IP地址的数据包的应用层中的用户代理信息,并记录与该用户代理信息对应的共享接入的IP地址;
(二)主机数目检测操作模块,用于根据所述主机识别信息获取模块获取的主机用户识别信息确定共享接入的主机数目。
与所述的主机识别信息获取模块的具体实现方式对应,该主机数目检测操作模块也可以但不限于采用以下两种实现方式:
(1)对应所述的主机识别信息获取模块的实现方式一,所述的主机数目检测操作模块可以为:
如图8所示,统计Cookie ID模块,用于在预定的时间段内,统计所述检测Cookie ID模块记录的共享接入的IP地址和同一网站标识对应的Cookie ID的数量,作为共享接入的主机数目;
或者,
如图9所示,Cookie ID统计选择模块,用于在预定的时间段内,分别统计所述检测Cookie ID模块记录的共享接入的IP地址和各个网站标识信息对应的不同Cookie ID的数量,并选择其中最大值作为共享接入的主机数目。
(2)如图10所示,所述的主机数目检测操作模块为用户代理数量统计模块,用于在预定的时间段内统计同一共享接入的IP地址对应的不同的用户代理信息的数量,并作为共享接入的主机数目。
综上所述,本发明实施例提出了基于应用层特征检测共享接入主机数目的方案,该方案在真实网络环境中可用性强,能准确地检测出共享接入主机数目。而且,由于NAT设备不会修改应用层数据(否则会影响双方的正常会话),本发明实施例避免基于底层特征检测的方法不可用的问题。
而且,本发明实施例中,本方案只需要处理特定的数据包,如HTTP数据包等,从而克服了现有技术需要对每一个IP数据包的IPID值进行相应的存储匹配操作所存在的问题。
本发明实施例可以作为基于底层字段检测共享接入主机数目方案的有益补充,也可作为独立的检测方案部署实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (11)
1、一种检测共享接入的主机数目的方法,其特征在于,包括:
接收到与共享接入的主机之间传递的数据包,在应用层解析获取数据包中承载的主机用户识别信息;
根据获取的所述的主机用户识别信息确定共享接入的主机数目。
2、根据权利要求1所述的方法,其特征在于,所述的主机用户识别信息为痕迹信息标识Cookie ID,所述的获取数据包的应用层中承载的主机用户识别信息的步骤包括:
检测并记录共享接入的IP地址与网站之间交互的数据包的应用层信息中的Cookie ID,并记录与该Cookie ID对应的共享接入IP地址和网站标识信息。
3、根据权利要求2所述的方法,其特征在于,所述的确定共享接入的主机数目的步骤具体包括:
在预定的时间段内,统计待检测的共享接入的IP地址和同一网站标识信息对应的不同的Cookie ID的数量,并作为共享接入的主机数目;
或者,
若所述的待检测的共享接入的IP地址与多个网站标识信息对应,则分别统计该共享接入的IP地址和各个网站标识信息对应的不同Cookie ID的数量,并选择其中最大值作为共享接入的主机数目。
4、根据权利要求2所述的方法,其特征在于,获取的所述Cookie ID还对应着Cookie ID有效期,所述方法还包括:
在预定的时间,根据各Cookie ID对应的Cookie ID有效期对记录的各Cookie ID进行更新,删除超过Cookie ID有效期的Cookie ID。
5、根据权利要求1所述的方法,其特征在于,所述的主机用户识别信息为所述的用户代理信息,且,
所述的获取数据包的应用层中承载的主机用户识别信息的步骤包括:
检测并记录接收到的来自于共享接入的IP地址的数据包的应用层信息中的用户代理信息,并记录与该用户代理信息对应的共享接入的IP地址;
所述的确定共享接入的主机数目的步骤包括:
在预定的时间段内统计同一共享接入的IP地址对应的不同的用户代理信息的数量,并作为共享接入的主机数目。
6、根据权利要求1至5任一项所述的方法,其特征在于,所述共享接入的IP地址包括:网络地址转换协议NAT设备的IP地址或路由器的IP地址或用于实现共享接入的主机的IP地址。
7、一种检测主机数目的装置,其特征在于,包括:
主机识别信息获取模块,用于从接收到的共享接入的主机发来的数据包中,获取数据包的应用层信息中的主机用户识别信息;
主机数目检测操作模块,用于根据所述主机识别信息获取模块获取的主机用户识别信息确定共享接入的主机数目。
8、根据权利要求7所述的装置,其特征在于,若所述的主机识别信息为Cookie ID,则所述的主机识别信息获取模块为检测Cookie ID模块,用于检测获取并记录共享接入的IP地址与网站交互的数据包中携带的Cookie ID,还记录该Cookie ID对应的共享接入的IP地址和网站标识。
9、根据权利要求8所述的装置,基特征在于,所述的主机数目检测操作模块为:
统计Cookie ID模块,用于在预定的时间段内,统计所述检测Cookie ID模块记录的共享接入的IP地址和同一网站标识对应的Cookie ID的数量,作为共享接入的主机数目;
或者,
Cookie ID统计选择模块,用于在预定的时间段内,分别统计所述检测Cookie ID模块记录的共享接入的IP地址和各个网站标识信息对应的不同Cookie ID的数量,并选择其中最大值作为共享接入的主机数目。
10、根据权利要求8所述的装置,其特征在于,所述的检测Cookie ID模块具体包括:
Cookie ID信息保存模块,用于获取并保存共享接入的IP地址、网站标识、Cookie ID和Cookie ID有效期的对应关系信息;
Cookie ID信息更新模块,用于根据所述的Cookie ID信息保存模块中记录的Cookie ID有效期,删除超过Cookie ID有效期的Cookie ID。
11、根据权利要求7所述的装置,其特征在于,若所述的主机识别信息为用户代理,则:
所述的主机识别信息获取模块为:检测用户代理模块,检测并记录来自于共享接入的IP地址的数据包的应用层中的用户代理信息,并记录与该用户代理信息对应的共享接入的IP地址;
所述的主机数目检测操作模块为:用户代理数量统计模块,用于在预定的时间段内统计同一共享接入的IP地址对应的不同的用户代理信息的数量,并作为共享接入的主机数目。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710089580 CN101035031A (zh) | 2007-04-03 | 2007-04-03 | 检测共享接入的主机数目的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710089580 CN101035031A (zh) | 2007-04-03 | 2007-04-03 | 检测共享接入的主机数目的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101035031A true CN101035031A (zh) | 2007-09-12 |
Family
ID=38731350
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710089580 Pending CN101035031A (zh) | 2007-04-03 | 2007-04-03 | 检测共享接入的主机数目的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101035031A (zh) |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075386A (zh) * | 2010-12-29 | 2011-05-25 | 华为技术有限公司 | 识别方法及装置 |
| CN102130791A (zh) * | 2010-01-14 | 2011-07-20 | 深圳市深信服电子科技有限公司 | 一种在网关上检测代理的方法、装置及网关服务器 |
| CN101599857B (zh) * | 2009-06-25 | 2011-12-07 | 成都市华为赛门铁克科技有限公司 | 检测共享接入主机数目的方法、装置及网络检测系统 |
| CN102523263A (zh) * | 2011-12-06 | 2012-06-27 | 中国联合网络通信集团有限公司 | 共享接入主机数量监测方法、设备及系统 |
| CN102546364A (zh) * | 2010-12-22 | 2012-07-04 | 深圳市恒扬科技有限公司 | 网络数据分流方法及其装置 |
| CN102594796A (zh) * | 2011-12-27 | 2012-07-18 | 中兴通讯股份有限公司 | 一种终端设备及用户信息同步方法 |
| CN102891781A (zh) * | 2012-10-19 | 2013-01-23 | 深圳中兴网信科技有限公司 | 网络共享检测系统和网络共享检测方法 |
| CN102957581A (zh) * | 2012-11-29 | 2013-03-06 | 深圳中兴网信科技有限公司 | 网络接入检测系统和网络接入检测方法 |
| CN102984003A (zh) * | 2012-11-30 | 2013-03-20 | 深圳中兴网信科技有限公司 | 网络接入检测系统和网络接入检测方法 |
| CN103116585A (zh) * | 2011-11-16 | 2013-05-22 | 联想(北京)有限公司 | 一种网页同步的方法及同步装置 |
| CN103152325A (zh) * | 2013-01-30 | 2013-06-12 | 深信服网络科技(深圳)有限公司 | 防止通过共享方式访问互联网的方法及装置 |
| CN103200159A (zh) * | 2012-01-04 | 2013-07-10 | 中国移动通信集团公司 | 一种网络访问方法和设备 |
| CN103457789A (zh) * | 2013-08-15 | 2013-12-18 | 北京星网锐捷网络技术有限公司 | 一种并机检测方法和装置 |
| CN103532783A (zh) * | 2013-10-17 | 2014-01-22 | 北京锐安科技有限公司 | 一种检测接入终端的方法及装置 |
| CN103763125A (zh) * | 2013-12-27 | 2014-04-30 | 北京集奥聚合科技有限公司 | 运营商网络实际用户数的统计方法和装置 |
| CN104852972A (zh) * | 2008-09-22 | 2015-08-19 | 美国索尼电脑娱乐有限责任公司 | 基于所发现的nat类型选择主机的方法 |
| CN105100295A (zh) * | 2014-05-21 | 2015-11-25 | 北京秒针信息咨询有限公司 | 一种识别独立用户的方法和装置 |
| CN105939231A (zh) * | 2016-05-16 | 2016-09-14 | 杭州迪普科技有限公司 | 共享接入检测方法和共享接入检测装置 |
| CN103116585B (zh) * | 2011-11-16 | 2016-12-14 | 联想(北京)有限公司 | 一种网页同步的方法及同步装置 |
| WO2016201673A1 (zh) * | 2015-06-18 | 2016-12-22 | 华为技术有限公司 | 一种共享接入主机数目检测方法及检测装置 |
| CN106789413A (zh) * | 2016-12-10 | 2017-05-31 | 锐捷网络股份有限公司 | 一种检测代理上网的方法和装置 |
| CN106850599A (zh) * | 2017-01-18 | 2017-06-13 | 中国科学院信息工程研究所 | 一种基于融合用户行为和迅雷id的nat检测方法 |
| CN107094147A (zh) * | 2017-05-05 | 2017-08-25 | 中国科学院信息工程研究所 | 一种大规模流量中基于cookieID的NAT识别方法 |
| CN108153775A (zh) * | 2016-12-05 | 2018-06-12 | 北大方正集团有限公司 | 元搜索引擎高频访问单个网站的方法及元搜索引擎 |
| CN108833472A (zh) * | 2018-05-07 | 2018-11-16 | 杭州数梦工场科技有限公司 | 云主机的连接建立系统 |
| CN109639628A (zh) * | 2018-10-26 | 2019-04-16 | 锐捷网络股份有限公司 | 私接行为检测方法、网络设备、系统及存储介质 |
| CN109842621A (zh) * | 2019-01-25 | 2019-06-04 | 福建天泉教育科技有限公司 | 一种减少token存储数量的方法及终端 |
| CN111079044A (zh) * | 2019-12-17 | 2020-04-28 | 武汉绿色网络信息服务有限责任公司 | 一种共享检测方法和装置 |
-
2007
- 2007-04-03 CN CN 200710089580 patent/CN101035031A/zh active Pending
Cited By (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104852972A (zh) * | 2008-09-22 | 2015-08-19 | 美国索尼电脑娱乐有限责任公司 | 基于所发现的nat类型选择主机的方法 |
| CN101599857B (zh) * | 2009-06-25 | 2011-12-07 | 成都市华为赛门铁克科技有限公司 | 检测共享接入主机数目的方法、装置及网络检测系统 |
| CN102130791A (zh) * | 2010-01-14 | 2011-07-20 | 深圳市深信服电子科技有限公司 | 一种在网关上检测代理的方法、装置及网关服务器 |
| CN102130791B (zh) * | 2010-01-14 | 2013-02-13 | 深圳市深信服电子科技有限公司 | 一种在网关上检测代理的方法、装置及网关服务器 |
| CN102546364A (zh) * | 2010-12-22 | 2012-07-04 | 深圳市恒扬科技有限公司 | 网络数据分流方法及其装置 |
| CN102546364B (zh) * | 2010-12-22 | 2014-12-10 | 深圳市恒扬科技有限公司 | 网络数据分流方法及其装置 |
| CN102075386A (zh) * | 2010-12-29 | 2011-05-25 | 华为技术有限公司 | 识别方法及装置 |
| WO2012088997A1 (zh) * | 2010-12-29 | 2012-07-05 | 华为技术有限公司 | 识别方法及装置 |
| CN102075386B (zh) * | 2010-12-29 | 2013-11-06 | 华为技术有限公司 | 识别方法及装置 |
| CN103116585A (zh) * | 2011-11-16 | 2013-05-22 | 联想(北京)有限公司 | 一种网页同步的方法及同步装置 |
| CN103116585B (zh) * | 2011-11-16 | 2016-12-14 | 联想(北京)有限公司 | 一种网页同步的方法及同步装置 |
| CN102523263A (zh) * | 2011-12-06 | 2012-06-27 | 中国联合网络通信集团有限公司 | 共享接入主机数量监测方法、设备及系统 |
| CN102523263B (zh) * | 2011-12-06 | 2014-03-05 | 中国联合网络通信集团有限公司 | 共享接入主机数量监测方法、设备及系统 |
| CN102594796A (zh) * | 2011-12-27 | 2012-07-18 | 中兴通讯股份有限公司 | 一种终端设备及用户信息同步方法 |
| WO2013097419A1 (zh) * | 2011-12-27 | 2013-07-04 | 中兴通讯股份有限公司 | 一种终端设备及用户信息同步方法 |
| AU2012363126B2 (en) * | 2011-12-27 | 2016-02-25 | Zte Corporation | Terminal device and user information synchronization method |
| CN102594796B (zh) * | 2011-12-27 | 2015-05-20 | 中兴通讯股份有限公司 | 一种终端设备及用户信息同步方法 |
| CN103200159B (zh) * | 2012-01-04 | 2016-06-22 | 中国移动通信集团公司 | 一种网络访问方法和设备 |
| CN103200159A (zh) * | 2012-01-04 | 2013-07-10 | 中国移动通信集团公司 | 一种网络访问方法和设备 |
| CN102891781B (zh) * | 2012-10-19 | 2016-06-08 | 深圳中兴网信科技有限公司 | 网络共享检测系统和网络共享检测方法 |
| CN102891781A (zh) * | 2012-10-19 | 2013-01-23 | 深圳中兴网信科技有限公司 | 网络共享检测系统和网络共享检测方法 |
| CN102957581A (zh) * | 2012-11-29 | 2013-03-06 | 深圳中兴网信科技有限公司 | 网络接入检测系统和网络接入检测方法 |
| CN102984003A (zh) * | 2012-11-30 | 2013-03-20 | 深圳中兴网信科技有限公司 | 网络接入检测系统和网络接入检测方法 |
| CN103152325B (zh) * | 2013-01-30 | 2015-12-09 | 深信服网络科技(深圳)有限公司 | 防止通过共享方式访问互联网的方法及装置 |
| CN103152325A (zh) * | 2013-01-30 | 2013-06-12 | 深信服网络科技(深圳)有限公司 | 防止通过共享方式访问互联网的方法及装置 |
| CN103457789A (zh) * | 2013-08-15 | 2013-12-18 | 北京星网锐捷网络技术有限公司 | 一种并机检测方法和装置 |
| CN103532783A (zh) * | 2013-10-17 | 2014-01-22 | 北京锐安科技有限公司 | 一种检测接入终端的方法及装置 |
| CN103763125A (zh) * | 2013-12-27 | 2014-04-30 | 北京集奥聚合科技有限公司 | 运营商网络实际用户数的统计方法和装置 |
| CN105100295A (zh) * | 2014-05-21 | 2015-11-25 | 北京秒针信息咨询有限公司 | 一种识别独立用户的方法和装置 |
| WO2016201673A1 (zh) * | 2015-06-18 | 2016-12-22 | 华为技术有限公司 | 一种共享接入主机数目检测方法及检测装置 |
| CN106664223A (zh) * | 2015-06-18 | 2017-05-10 | 华为技术有限公司 | 一种共享接入主机数目检测方法及检测装置 |
| CN105939231A (zh) * | 2016-05-16 | 2016-09-14 | 杭州迪普科技有限公司 | 共享接入检测方法和共享接入检测装置 |
| US10447793B2 (en) | 2016-05-16 | 2019-10-15 | Hangzhou Dptech Technologies Co., Ltd. | Detecting shared access |
| CN108153775A (zh) * | 2016-12-05 | 2018-06-12 | 北大方正集团有限公司 | 元搜索引擎高频访问单个网站的方法及元搜索引擎 |
| CN106789413A (zh) * | 2016-12-10 | 2017-05-31 | 锐捷网络股份有限公司 | 一种检测代理上网的方法和装置 |
| CN106789413B (zh) * | 2016-12-10 | 2019-12-06 | 锐捷网络股份有限公司 | 一种检测代理上网的方法和装置 |
| CN106850599A (zh) * | 2017-01-18 | 2017-06-13 | 中国科学院信息工程研究所 | 一种基于融合用户行为和迅雷id的nat检测方法 |
| CN106850599B (zh) * | 2017-01-18 | 2019-12-03 | 中国科学院信息工程研究所 | 一种基于融合用户行为和迅雷id的nat检测方法 |
| CN107094147A (zh) * | 2017-05-05 | 2017-08-25 | 中国科学院信息工程研究所 | 一种大规模流量中基于cookieID的NAT识别方法 |
| CN108833472A (zh) * | 2018-05-07 | 2018-11-16 | 杭州数梦工场科技有限公司 | 云主机的连接建立系统 |
| CN108833472B (zh) * | 2018-05-07 | 2019-09-17 | 杭州数梦工场科技有限公司 | 云主机的连接建立系统 |
| CN109639628A (zh) * | 2018-10-26 | 2019-04-16 | 锐捷网络股份有限公司 | 私接行为检测方法、网络设备、系统及存储介质 |
| CN109842621A (zh) * | 2019-01-25 | 2019-06-04 | 福建天泉教育科技有限公司 | 一种减少token存储数量的方法及终端 |
| CN111079044A (zh) * | 2019-12-17 | 2020-04-28 | 武汉绿色网络信息服务有限责任公司 | 一种共享检测方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101035031A (zh) | 检测共享接入的主机数目的方法和装置 | |
| US7865953B1 (en) | Methods and arrangement for active malicious web pages discovery | |
| US9888089B2 (en) | Client side cache management | |
| US11032301B2 (en) | Forensic analysis | |
| US9578040B2 (en) | Packet receiving method, deep packet inspection device and system | |
| CN1906612A (zh) | 用于记录通信网络中跨一个或多个搜索引擎的搜索轨迹的方法和系统 | |
| US9680842B2 (en) | Detecting co-occurrence patterns in DNS | |
| CN1905491A (zh) | 一种流量统计方法及流量采集器 | |
| US8949462B1 (en) | Removing personal identifiable information from client event information | |
| WO2015196199A1 (en) | System, apparatus and method for prioritizing the storage of content based on a threat index | |
| US20160344751A1 (en) | Customized record handling in a content delivery network | |
| CN1578212A (zh) | 非法通信检测装置 | |
| CN101069145A (zh) | 在提供访问联网内容文件中分配访问控制级的方法和设备 | |
| CN103152352A (zh) | 一种基于云计算环境的全信息安全取证监听方法和系统 | |
| CN1668015A (zh) | 基于协同入侵检测的大规模网络安全防御系统 | |
| CN1735870A (zh) | 复制防止装置、复制防止方法以及使计算机执行该方法的程序 | |
| CN101075866A (zh) | 一种互联网信息的上报方法和系统 | |
| US10652255B2 (en) | Forensic analysis | |
| CN101079798A (zh) | 网络地址转换方法及实现访问控制列表的方法 | |
| CN1949715A (zh) | 一种限制浏览器访问网络地址的方法 | |
| CN1574790A (zh) | 用于控制数据包传输并产生记账数据的方法和装置 | |
| CN1440530A (zh) | 黑客跟踪系统和方法,以及验证系统和使用此系统的方法 | |
| CN1863196A (zh) | 多协议域名解析服务的服务代理方法 | |
| CN1756257A (zh) | 大型网络中主机性能采集代理 | |
| CN1251098C (zh) | 本地服务器、本地服务器访问系统和访问控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |