CN102130791B - 一种在网关上检测代理的方法、装置及网关服务器 - Google Patents
一种在网关上检测代理的方法、装置及网关服务器 Download PDFInfo
- Publication number
- CN102130791B CN102130791B CN201010044415.0A CN201010044415A CN102130791B CN 102130791 B CN102130791 B CN 102130791B CN 201010044415 A CN201010044415 A CN 201010044415A CN 102130791 B CN102130791 B CN 102130791B
- Authority
- CN
- China
- Prior art keywords
- cookie information
- cookie
- gateway
- access request
- timestamp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/564—Enhancement of application control based on intercepted application data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种在网关上检测代理的方法,将来自需要进行代理监控的IP的访问请求,分解为对原地址的访问请求和对网关指定地址的访问请求,分别访问原地址和网关指定地址;然后判断所述对网关指定地址的访问请求中是否含有特定cookie信息,得出第二判断结果;在所述第二判断结果为否时,网关回复所述对网关指定地址的访问请求,在来访PC机端种植cookie信息,在所述第二判断结果为是时,读取所述cookie信息;最后根据所述cookie信息判断所述IP是否使用代理,同时,本发明还提供了相应的在网关上检测代理的装置及网关服务器,能准确且隐蔽的实现在内网内判断某IP是否存在proxy代理或nat代理。
Description
技术领域
本发明涉及计算机通信与安全领域,尤其涉及一种在网关上检测代理的方法、装置及网关服务器。
背景技术
随着信息技术,特别是网络技术的普及,互联网已经渗透到工作和生活的各方面。企业员工的不规范网络行为往往会造成一系列的问题:如工作效率降低,公司机密泄露等,因此各公司、企业、机关或组织,都致力于建立一个可以管控的网络。
而内网的一些代理上网技术,就成了上面所提到的建立可管控网络的一块绊脚石。通过代理技术,可以让原来没有上网权限的计算机终端PC可以上网,让监控设备无法辨别发生行为的真正PC是哪一个。所以,要实现网络的管控,在网关上,识别内网是否有使用代理,就成了不得不做的事情。
现有技术中,提供了不少识别proxy代理和nat代理的方法,如轨迹检测法、时钟偏移法、应用特征检测法、网页重定向加cookie计数法等,但这些方法的都存在着一些不足。
首先,轨迹检测法依赖与TCP连接中,IP头中的16位标识(identification)变化是发生在哪几段,如果在一段时间后,发现某个源IP地址有三段identification在连续变化,则说明该IP此时最少有三个用户在同时使用宽带。这个方法,在nat代理情况下,可能是有效的,但在proxy代理环境下,是无效的。
其次,时钟偏移法利用不同的主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系,不同的主机发送报文的频率,因此与时钟存在一定统计对应关系;通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同的主机,同样利用IP头信息做检测,proxy代理环境下无效。
再次,应用特征法是通过分析数据报文中的HTTP报头中的User-agent字段来判断,所述HTTP报头中的User-agent字段因操作系统版本、IE版本和补丁的不同而不同,而大多数公司,可能采用统一的软件安装,就很难检测出来,这个方法不可靠。
最后,网页重定向加cookie计数法的核心技术是网页重定向+种cookie+数cookie个数。该技术是可以实现内网代理的识别(包括对nat和proxy等类比代理的识别),但网页重定向方法的技术有些落后,PC终端用户能明显客户感觉到,浏览器地址框由所要访问网站(如www.baidu.com)跳转到网关地址url(如,http://200.200.20.125/test),然后,再重定向回www.baidu.com。经测试,这个中间的跳转时间有1至2秒之多,且简单的cookie计数,然后数pc个数,这种计算方法极不科学和实用,如PC客户端清空了自己的cookie,将导致该IP上的cookie计数不准确,且在某些环境中,IP地址可以随机分配或经常更换的情况下,IP上cookie的计数很难准确,将导致终端误判。
发明内容
鉴于上述现有技术所存在的问题,本发明实施例提供了一种在网关上检测代理的方法、装置及网关服务器,通过伪装回复,cookie种植和相应的代理判断等方法,提供一种实用、隐蔽性强、准确率高的判断内网存在proxy代理及nat代理的方案。
为了达到上述技术效果,本发明实施例提供了一种在网关上检测代理的方法,包括:
判断来自某IP的访问请求是否需要进行代理监控,得出第一判断结果;
在所述第一判断结果为是时,将所述访问请求分解为对原地址的访问请求和对网关指定地址的访问请求,分别访问原地址和网关指定地址;
判断所述对网关指定地址的访问请求中是否含有特定cookie信息,得出第二判断结果,所述特定cookie信息指网关在回复所述对网关指定地址的访问请求时,在来访PC机端种植的含有时间戳的cookie信息;
在所述第二判断结果为否时,网关回复所述对网关指定地址的访问请求,在来访PC机端种植上含有时间戳的cookie信息;
在所述第二判断结果为是时,读取所述cookie信息;
根据所述cookie信息判断所述IP是否使用代理。
相应的,本发明实施例还提供了一种在网关上检测代理的装置,包括:
第一判断模块,用于判断来自某IP的访问请求是否需要进行代理监控,得出第一判断结果;
访问请求分解模块,与所述第一判断模块相连,用于在所述第一判断结果为是时,将所述访问请求分解为对原地址的访问请求和对网关指定地址的访问请求,分别访问原地址和网关指定地址;
第二判断模块,与所述访问请求分解模块相连,用于判断所述对网关指定地址的访问请求中是否含有特定cookie信息,得出第二判断结果,所述特定cookie信息指网关在回复所述对网关指定地址的访问请求时,在来访PC机端种植的含有时间戳的cookie信息;
cookie种植模块,与所述第二判断模块相连,用于在在所述第二判断结果为否时,回复所述对网关指定地址的访问请求,在来访PC机端种植上含有时间戳的cookie信息;
cookie读取模块,与所述第二判断模块相连,在所述第二判断结果为是时,读取所述cookie信息;
第三判断模块,第三判断模块,分别与所述第二判断模块和所述cookie读取模块相连,用于根据所述cookie信息判断所述IP是否使用代理。
相应的,本发明实施例还提供了一种网关服务器,所述网关服务器包括前述的在网关上检测代理的装置。
实施本发明实施例,首先判断来自某IP的访问请求是否需要进行代理监控,得出第一判断结果;在所述第一判断结果为是时,将所述访问请求分解为对原地址的访问请求和对网关指定地址的访问请求,分别访问原地址和网关指定地址;然后判断所述对网关指定地址的访问请求中是否含有特定cookie信息,得出第二判断结果,所述特定cookie信息指网关在回复所述对网关指定地址的访问请求时,在来访PC机端种植的含有时间戳的cookie信息;在所述第二判断结果为否时,网关回复所述对网关指定地址的访问请求,在来访PC机端种植含有时间戳的cookie信息;在所述第二判断结果为是时,读取所述cookie信息;最后根据所述cookie信息判断所述IP是否使用代理,准确且隐蔽的实现在内网内判断某IP是否存在proxy代理或nat代理。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中在网关上检测代理的方法的流程图;
图2是本发明实施例在网关上检测代理的装置的结构示意图;
图3是图2中的在网关上检测代理的装置的第一详细结构示意图;
图4是图2中的在网关上检测代理的装置的第二详细结构示意图。
具体实施方式
本发明实施例提供了一种在网关上检测代理的方法、装置及网关服务器,通过伪装回复,cookie种植和相应的代理判断等方法,提供一种实用、隐蔽性强、准确率高的判断内网存在proxy代理及nat代理的方案。
下面结合附图详细说明本发明的实施例。
参见图1,为本发明实施例中在网关上检测代理的方法的流程图,包括如下步骤:
步骤101:判断来自某IP的访问请求是否需要进行代理监控,得出第一判断结果,当所述第一判断结果为是时,进入步骤102,当所述第一判断结果为否时,即来自某IP的访问请求不需要进行代理监控时,放行到原地址的访问。在所述步骤101之前,还包括对内网内所有需要进行代理监控的IP进行代理监控设定,该设定是根据企业上网策略进行的,例如公司规定总裁办的IP段不进行代理管控,而研发部的IP段需要进行代理管控,那么在进行代理监控设定时,将研发部使用的IP段进行监控设定,总裁办使用的IP段则不做监控设定,在代理监控过程中,总裁办使用的IP段访问外网直径放行到访问网址,而需受代理监控的研发部门的IP段访问外网时,则需要根据下面步骤进行检测。
步骤102:在所述步骤101中得出的第一判断结果为是时,将所述访问请求分解为对原地址的访问请求和对网关指定地址的访问请求,分别访问原地址和网关指定地址;该步骤是一个伪装回复步骤,即当被设定了需进行代理监控的IP段内的某IP经过网关上网时,网关将访问请求(get请求)分解成两个访问请求,一个是到原访问地址的请求,一个是到网关指定地址的请求,分别访问原地址和网关指定地址,实现对原访问地址和网关指定地址的同步或异步访问,在终端用户无任何察觉的过程中,获得cookie种植及分析的机会。
步骤103:判断所述对网关指定地址的访问请求中是否含有特定cookie信息,得出第二判断结果,所述特定cookie信息指网关在回复所述对网关指定地址的访问请求时,在来访PC机端种植的含有时间戳的cookie信息。当所述第二判断结果为是时,进入步骤105,当所述第二判断结果为否是,进入步骤104。所述cookie信息指网关进行伪装回复时,在未含有访问网关指定地址cookie信息的PC机终端植入的带时间戳的cookie信息,植入过程在步骤104中会详细介绍。
步骤104:在所述第二判断结果为否时,网关回复所述对网关指定地址的访问请求,在来访PC机端种植cookie信息,所述种植的cookie信息为带有时间戳的cookie信息,利用不同主机访问同一网站的cookie不同,即一个cookie可标识一台PC的原理,将本发明实施例中的带有时间戳的cookie信息种植到被伪装回复的PC主机中,为后面利用该步骤中种植的cookie信息判断某IP是否使用代理做准备,所述带有时间戳的cookie信息中的时间戳是根据种植时网关系统的当前时间来确定的,比如A主机在2009年12月28日14点58分26秒访问网关指定地址,且在A主机中没有含有访问网关指定地址的cookie信息,则在A主机中种植上本发明实施例中的带有时间戳的cookie信息,所种植的cookie信息可以为如下格式:sinfor cookie time=20091228145826,当然种植的cookie格式可以有多种,上面仅为举例,不做任何限制。
步骤105:在所述第二判断结果为是时,读取所述cookie信息,即当步骤103中得出的第二判断结果为是时,表示来访问网关指定地址PC在之前被网关种植过本发明实施例中的cookie信息,此时读取所述访问请求中携带的cookie信息。
步骤106:根据所述cookie信息判断所述IP是否使用代理,本步骤在本发明中是一个关键性步骤,根据所述cookie信息判断所述IP是否使用代理在本发明实施例中有两种方法,下面将分别进行介绍:
首选介绍第一种判断方法,在该方法中包含如下步骤:
A1:预先建立列表,以缓存每个IP的cookie信息及cookie数目值,在实施时,所述预先建立的列表可以为一个hash表或链表,在建立的hash表或链表里要为每一个需要进行代理监控的IP缓存其cookie信息(如前述的sinfor_cookie_time值)和cookie数目值。
B1:在所述第二判断结果为否时,即在到对网关指定地址的get请求包进行检测时,若没有发现cookie信息,则清除所述列表内缓存的对应IP的所有cookie信息,并将所述cookie数目值赋值为0。该步骤的设置是为了防止误判,比如一台PC先上一下网,被设置相应的cookie,但是如果这台PC清空一下cookie在次上网时,就会被再次植入cookie,在网关统计时,会被统计为两个cookie,从而被误判。而在本步骤中,只要某IP访问网关指定地址的主机没有被植入cookie信息,则将网关列表内缓存的对应IP的所有cookie信息清楚,且将所述cookie数目值赋值为0,能有效避免错误统计,避免误判。
C1:在第二判断结果为是时,即在到对网关指定地址的get请求包进行检测时,若发现该get请求中包含有cookie信息,则读取所述cookie信息,并判断所读取的cookie信息在所述列表中是否已经存在,当所述cookie信息在缓存中不存在时,将该cookie信息插入到对应IP对应的cookie信息列表中,并将所述cookie数目值加1,此步骤可以认为是一个统计步骤;
D1:判断某IP对应的cookie数目值是否大于等于2,若是,则得出该IP在使用代理的判断结果,本步骤根据步骤C1中统计的cookie数目值来判断某IP是否在使用代理,只有IP对应的cookie数目值大于等于2,则可判断出该IP在使用代理,经过一定的时间长度,还可以通过cookie数目值判断出该IP代理多少台电脑在上网,如在一定长度的一段时间内,列表中某IP的cookie数目值一直等于3,或者在一段时间内,列表中某IP的cookie数目值最大值等于3,则可判断出该IP有3台PC主机在使用,那么该IP代理了2台电脑在上网。
上面介绍了第一种判断方法,不仅能判断出某IP是否在使用代理,而且经过一定的时间积累,还能判断出某IP代理了多少台电脑在上网,下面介绍第二种判断方法,第二种方法无法判断出某IP代理了多少台电脑在上网,但是仍然能判断出某IP是否在使用代理,同时也可以避免误判。
所述第二种方法包括如下步骤:
A2:预先建立列表,以缓存每个IP的cookie信息,所述cookie信息为带时间戳的cookie信息,所述cookie信息中的时间戳是根据种植时网关系统的当前时间来确定的。在实施时,所述预先建立的列表可以为一个hash表或链表,在建立的hash表或链表里要为每一个需要进行代理监控的IP缓存其cookie信息;
B2:在第二判断结果为是时,读取所述cookie信息,将所述读取的cookie信息中的时间戳与所述列表内原存储的该IP对应的cookie信息中的时间戳进行比较;
C2:当所述读取的cookie信息中的时间戳在所述列表内原存储的该IP对应的cookie信息中的时间戳之后,则用所述读取的cookie信息替换所述列表内原存储的该IP对应的cookie信息,即在列表内一个IP仅缓存一个最新的cookie信息值,当某PC通过某IP访问网关指定地址时,get请求中所携带的cookie信息值早于列表存储的内该IP对应的cookie信息值,则表明该IP在使用代理;
D2:当所述读取的cookie信息中的时间戳在所述列表内原存储的该IP对应的cookie信息中的时间戳之前,则得出该IP在使用代理的判断结果。
上面详细介绍了本发明实施例中在网关上检测代理的方法,下面结合图2、图3和图4介绍本发明实施例中在网关上检测代理的装置。
参见图2为本发明实施例在网关上检测代理的装置的第一结构示意图,包括:第一判断模块1、访问请求分解模块2、第二判断模块3、cookie种植模块4、cookie读取模块5和第三判断模块6;
所述第一判断模块1,用于判断来自某IP的访问请求是否需要进行代理监控,得出第一判断结果,判断的依据是根据预设的上网策略,即需要预先对所有需要进行代理监控的IP进行代理监控设定,例如公司规定总裁办的IP段不进行代理管控,而研发部的IP段需要进行代理管控,那么在进行代理监控设定时,将研发部使用的IP段进行监控设定,总裁办使用的IP段则不做监控设定,在代理监控过程中,总裁办使用的IP段访问外网直径放行到访问网址,而需受代理监控的研发部门的IP段访问外网时,需要进行相应的代理监控处理;
所述访问请求分解模块2,与所述第一判断模块1相连,用于在所述第一判断结果为是时,将所述访问请求分解为对原地址的访问请求和对网关指定地址的访问请求,分别访问原地址和网关指定地址,实现对原访问地址和网关指定地址的同步或异步访问,在终端用户无任何察觉的过程中,获得cookie种植及分析的机会;
所述第二判断模块3,与所述访问请求分解模块2相连,用于判断所述对网关指定地址的访问请求中是否含有cookie信息,得出第二判断结果;
所述cookie种植模块4,与所述第二判断模块3相连,用于在在所述第二判断结果为否时,回复所述对网关指定地址的访问请求,在来访PC机端种植cookie信息,利用不同主机访问同一网站的cookie不同,即一个cookie可标识一台PC的原理,将本发明实施例中的带有时间戳的cookie信息种植到被伪装回复的PC主机中,为后面利用该步骤中种植的cookie信息判断某IP是否使用代理做准备。
所述cookie读取模块5,与所述第二判断模块3相连,在所述第二判断结果为是时,读取所述cookie信息,即访问网关指定地址PC在之前被网关种植过本发明实施例中的cookie信息,此时读取所述访问请求中携带的cookie信息。
所述第三判断模块6,分别与所述第二判断模块3和所述cookie读取模块5相连,用于根据所述cookie信息判断所述IP是否使用代理。在前面方法中已经说明,本发明最后根据所述cookie信息判断所述IP是否使用代理有两种方法,因此所述第三判断模块6也相应的有两种结构,具体参见图3、图4。
所述在网关上检测代理的装置还包括:监控设定模块7,与所述第一判断模块1相连,用于预先对所有需要进行代理监控的IP进行代理监控设定。
下面结合图3来介绍第三判断模块6的第一种结构,参见图3是图2中的在网关上检测代理的装置的第一详细结构示意图,图3中的结构与图2中的结构相同,只是第三判断模块6画出了具体的第一种内部结构,所述第三判断模块6的第一种结构包括:
存储单元61,用于缓存每个IP的cookie信息及cookie数目值,在存储单元61内可以存储一个预先建立的列表,该列表可以为一个hash表或链表,在建立的hash表或链表里要为每一个需要进行代理监控的IP缓存其cookie信息(如前述的sinfor_cookie_time值)和cookie数目值。
Cookie信息处理单元62,分别与所述存储单元61、第二判断单元3和cookie读取模块5相连,用于在所述第二判断结果为否时,清除所述存储单元61内缓存的对应IP的所有cookie信息,并将所述cookie数目值赋值为0;在第二判断结果为是时,且当所述cookie读取模块读取的cookie信息在缓存中不存在时,将该cookie信息插入到对应IP对应的cookie信息列表中,并将所述cookie数目值加1;在所述第二判断结果为否时,清除所述存储单元61内缓存的对应IP的所有cookie信息,并将所述cookie数目值赋值为0主要是为了避免误判,比如一台PC先上一下网,被设置相应的cookie,但是如果这台PC清空一下cookie在次上网时,就会被再次植入cookie,在网关统计时,会被统计为两个cookie,从而被误判。而在本步骤中,只要某IP访问网关指定地址的主机没有被植入cookie信息,则将网关列表内缓存的对应IP的所有cookie信息清楚,且将所述cookie数目值赋值为0,能有效避免错误统计,避免误判。
判断执行单元63,与所述存储单元61相连,判断某IP对应的cookie数目值是否大于等于2,若是,则得出该IP在使用代理的判断结果,且经过一定的时间长度,还可以通过cookie数目值判断出该IP代理多少台电脑在上网,如在一定长度的一段时间内,列表中某IP的cookie数目值一直等于3,或者在一段时间内,列表中某IP的cookie数目值最大值等于3,则可判断出该IP有3台PC主机在使用,那么该IP代理了2台电脑在上网。
下面结合图4来介绍第三判断模块6的第二种结构,参见图4是图2中的在网关上检测代理的装置的第二详细结构示意图,同样图4中的结构与图2中的结构相同,只是第三判断模块6画出了具体的第二种内部结构,所述第三判断模块6的第二种结构包括:
存储单元611,用于缓存每个IP的cookie信息,所述cookie信息为带时间戳的cookie信息,在所述存储单元611内可以存储一个预先建立的列表,该列表可以为一个hash表或链表,在建立的hash表或链表里要为每一个需要进行代理监控的IP缓存其cookie信息;
Cookie时间戳比较单元622,分别与所述存储单元611和所述cookie读取模块5相连,将所述cookie读取模块5读取的cookie信息中的时间戳与所述列表内原存储的该IP对应的cookie信息中的时间戳进行比较,得出比较结果;
判断执行单元633,当所述比较结果为读取的cookie信息中的时间戳在所述列表内原存储的该IP对应的cookie信息中的时间戳之后,则用所述读取的cookie信息替换所述列表内原存储的该IP对应的cookie信息,即在列表内一个IP仅缓存一个最新的cookie信息值;当所述读取的cookie信息中的时间戳在所述列表内原存储的该IP对应的cookie信息中的时间戳之前,则得出该IP在使用代理的判断结果,即当某PC通过某IP访问网关指定地址时,get请求中所携带的cookie信息值早于列表存储的内该IP对应的cookie信息值,则表明该IP在使用代理。
本发明实施例中所说的在网关上检测代理的方法和装置均运用于网关服务器上。
实施本发明实施例,通过首先判断来自某IP的访问请求是否需要进行代理监控,得出第一判断结果;在所述第一判断结果为是时,将所述访问请求分解为对原地址的访问请求和对网关指定地址的访问请求,分别访问原地址和网关指定地址;然后判断所述对网关指定地址的访问请求中是否含有特定cookie信息,得出第二判断结果,所述特定cookie信息指网关在回复所述对网关指定地址的访问请求时,在来访PC机端种植的含有时间戳的cookie信息;在所述第二判断结果为否时,网关回复所述对网关指定地址的访问请求,在来访PC机端种植上含有时间戳的cookie信息;在所述第二判断结果为是时,读取所述cookie信息;最后根据所述cookie信息判断所述IP是否使用代理,准确且隐蔽的实现在内网内判断某IP是否存在proxy代理或nat代理。
以上所揭露的仅为本发明一种较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现,当然也可以全部通过硬件来实施。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
Claims (9)
1.一种在网关上检测代理的方法,其特征在于,包括:
判断来自某IP的访问请求是否需要进行代理监控,得出第一判断结果;
在所述第一判断结果为是时,将所述访问请求分解为对原地址的访问请求和对网关指定地址的访问请求,分别访问原地址和网关指定地址;
判断所述对网关指定地址的访问请求中是否含有特定cookie信息,得出第二判断结果,所述特定cookie信息指网关在回复所述对网关指定地址的访问请求时,在来访PC机端种植的含有时间戳的cookie信息;
在所述第二判断结果为否时,网关回复所述对网关指定地址的访问请求,在来访PC机端种植上含有时间戳的cookie信息;
在所述第二判断结果为是时,读取所述cookie信息;
根据所述cookie信息判断所述IP是否使用代理。
2.如权利要求1所述的方法,其特征在于,根据所述cookie信息判断所述IP是否使用代理,进一步包括:
预先建立列表,以缓存每个IP的cookie信息及cookie数目值;
在所述第二判断结果为否时,清除所述列表内缓存的对应IP的所有cookie信息,并将所述cookie数目值赋值为0;
在第二判断结果为是时,读取所述cookie信息,当所述cookie信息在缓存中不存在时,将该cookie信息插入到对应IP对应的cookie信息列表中,并将所述cookie数目值加1;
判断某IP对应的cookie数目值是否大于等于2,若是,则得出该IP在使用代理的判断结果。
3.如权利要求1所述的方法,其特征在于,根据所述cookie信息判断所述IP是否使用代理,进一步包括:
预先建立列表,以缓存每个IP的cookie信息,所述cookie信息为带时间戳的cookie信息;
在第二判断结果为是时,读取所述cookie信息,将所述读取的cookie信息中的时间戳与所述列表内原存储的该IP对应的cookie信息中的时间戳进行比较;
当所述读取的cookie信息中的时间戳在所述列表内原存储的该IP对应的cookie信息中的时间戳之后,则用所述读取的cookie信息替换所述列表内原存储的该IP对应的cookie信息;
当所述读取的cookie信息中的时间戳在所述列表内原存储的该IP对应的cookie信息中的时间戳之前,则得出该IP在使用代理的判断结果。
4.如权利要求2或3所述的方法,其特征在于,在所述判断来自某IP的访问请求是否需要进行代理监控步骤前,还包括:
对所有需要进行代理监控的IP进行代理监控设定。
5.一种在网关上检测代理的装置,其特征在于,包括:
第一判断模块,用于判断来自某IP的访问请求是否需要进行代理监控,得出第一判断结果;
访问请求分解模块,与所述第一判断模块相连,用于在所述第一判断结果为是时,将所述访问请求分解为对原地址的访问请求和对网关指定地址的访问请求,分别访问原地址和网关指定地址;
第二判断模块,与所述访问请求分解模块相连,用于判断所述对网关指定地址的访问请求中是否含有特定cookie信息,得出第二判断结果,所述特定cookie信息指网关在回复所述对网关指定地址的访问请求时,在来访PC机端种植的含有时间戳的cookie信息;
cookie种植模块,与所述第二判断模块相连,用于在在所述第二判断结果为否时,回复所述对网关指定地址的访问请求,在来访PC机端种植上含有时间戳的cookie信息;
cookie读取模块,与所述第二判断模块相连,在所述第二判断结果为是时,读取所述cookie信息;
第三判断模块,分别与所述第二判断模块和所述cookie读取模块相连,用于根据所述cookie信息判断所述IP是否使用代理。
6.如权利要求5所述的装置,其特征在于,所述第三判断模块包括:
存储单元,用于缓存每个IP的cookie信息及cookie数目值;
Cookie信息处理单元,分别与所述存储单元、第二判断单元和cookie读取模块相连,用于在所述第二判断结果为否时,清除所述存储单元内缓存的对应IP的所有cookie信息,并将所述cookie数目值赋值为0;在第二判断结果为是时,且当所述cookie读取模块读取的cookie信息在缓存中不存在时,将该cookie信息插入到对应IP对应的cookie信息列表中,并将所述cookie数目值加1;
判断执行单元,与所述存储单元相连,判断某IP对应的cookie数目值是否大于等于2,若是,则得出该IP在使用代理的判断结果。
7.如权利要求5所述的装置,其特征在于,所述第三判断模块包括:
存储单元,用于缓存每个IP的cookie信息,所述cookie信息为带时间戳的cookie信息;
cookie时间戳比较单元,分别与所述存储单元和所述cookie读取模块相连,将所述cookie读取模块读取的cookie信息中的时间戳与所述列表内原存储的该IP对应的cookie信息中的时间戳进行比较,得出比较结果;
判断执行单元,当所述比较结果为读取的cookie信息中的时间戳在所述列表内原存储的该IP对应的cookie信息中的时间戳之后,则用所述读取的cookie信息替换所述列表内原存储的该IP对应的cookie信息;当所述读取的cookie信息中的时间戳在所述列表内原存储的该IP对应的cookie信息中的时间戳之前,则得出该IP在使用代理的判断结果。
8.如权利要求6或7所述的装置,其特征在于,还包括:
监控设定模块,与所述第一判断模块相连,用于预先对所有需要进行代理监控的IP进行代理监控设定。
9.一种网关服务器,其特征在于,所述网关服务器包括权利要求5至8中任一项所述的在网关上检测代理的装置。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010044415.0A CN102130791B (zh) | 2010-01-14 | 2010-01-14 | 一种在网关上检测代理的方法、装置及网关服务器 |
US13/005,348 US8806001B2 (en) | 2010-01-14 | 2011-01-12 | Method, device and gateway server for detecting proxy at the gateway |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010044415.0A CN102130791B (zh) | 2010-01-14 | 2010-01-14 | 一种在网关上检测代理的方法、装置及网关服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102130791A CN102130791A (zh) | 2011-07-20 |
CN102130791B true CN102130791B (zh) | 2013-02-13 |
Family
ID=44259369
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010044415.0A Active CN102130791B (zh) | 2010-01-14 | 2010-01-14 | 一种在网关上检测代理的方法、装置及网关服务器 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8806001B2 (zh) |
CN (1) | CN102130791B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11210674B2 (en) | 2010-11-29 | 2021-12-28 | Biocatch Ltd. | Method, device, and system of detecting mule accounts and accounts used for money laundering |
US10069837B2 (en) * | 2015-07-09 | 2018-09-04 | Biocatch Ltd. | Detection of proxy server |
WO2013078671A1 (zh) | 2011-12-02 | 2013-06-06 | 华为技术有限公司 | 一种故障检测方法、网关、用户设备及通信系统 |
US20150215277A1 (en) * | 2014-01-28 | 2015-07-30 | Electronics And Telecommunications Research Institute | Network address translation apparatus with cookie proxy function and method for nat supporting cookie proxy function |
CN104363265B (zh) * | 2014-10-23 | 2017-12-12 | 深信服网络科技(深圳)有限公司 | 代理上网检测方法和装置 |
CN105516165B (zh) * | 2015-12-22 | 2019-05-28 | 华为技术有限公司 | 一种识别计费欺诈的非法代理的方法、设备及系统 |
CN105635338B (zh) * | 2015-12-31 | 2019-03-05 | 迈普通信技术股份有限公司 | 一种数据传输方法及装置 |
CN108400146B (zh) * | 2018-01-31 | 2020-08-04 | 上海天马微电子有限公司 | 一种有机发光显示面板及显示装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101035031A (zh) * | 2007-04-03 | 2007-09-12 | 华为技术有限公司 | 检测共享接入的主机数目的方法和装置 |
CN101242336A (zh) * | 2008-03-13 | 2008-08-13 | 杭州华三通信技术有限公司 | 远程访问内网Web服务器的方法及Web代理服务器 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6510464B1 (en) * | 1999-12-14 | 2003-01-21 | Verizon Corporate Services Group Inc. | Secure gateway having routing feature |
US7962603B1 (en) * | 2000-06-06 | 2011-06-14 | Nobuyoshi Morimoto | System and method for identifying individual users accessing a web site |
US6718409B2 (en) * | 2001-04-06 | 2004-04-06 | The United States Of America As Represented By The Secretary Of The Navy | National marine electronics association protocol converter |
US20060190990A1 (en) * | 2005-02-23 | 2006-08-24 | Shimon Gruper | Method and system for controlling access to a service provided through a network |
US7761558B1 (en) * | 2006-06-30 | 2010-07-20 | Google Inc. | Determining a number of users behind a set of one or more internet protocol (IP) addresses |
US8204982B2 (en) * | 2006-09-14 | 2012-06-19 | Quova, Inc. | System and method of middlebox detection and characterization |
US8266687B2 (en) * | 2009-03-27 | 2012-09-11 | Sophos Plc | Discovery of the use of anonymizing proxies by analysis of HTTP cookies |
-
2010
- 2010-01-14 CN CN201010044415.0A patent/CN102130791B/zh active Active
-
2011
- 2011-01-12 US US13/005,348 patent/US8806001B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101035031A (zh) * | 2007-04-03 | 2007-09-12 | 华为技术有限公司 | 检测共享接入的主机数目的方法和装置 |
CN101242336A (zh) * | 2008-03-13 | 2008-08-13 | 杭州华三通信技术有限公司 | 远程访问内网Web服务器的方法及Web代理服务器 |
Also Published As
Publication number | Publication date |
---|---|
US20110173318A1 (en) | 2011-07-14 |
CN102130791A (zh) | 2011-07-20 |
US8806001B2 (en) | 2014-08-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102130791B (zh) | 一种在网关上检测代理的方法、装置及网关服务器 | |
US9218482B2 (en) | Method and device for detecting phishing web page | |
CN105933268B (zh) | 一种基于全量访问日志分析的网站后门检测方法及装置 | |
CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
Liberatore et al. | Inferring the source of encrypted HTTP connections | |
Ihm et al. | Towards understanding modern web traffic | |
RU2676021C1 (ru) | Система и способ определения DDoS-атак | |
EP2863611B1 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
CN104125209A (zh) | 恶意网址提示方法和路由器 | |
Burbeck et al. | Adaptive real-time anomaly detection with incremental clustering | |
CN107465651A (zh) | 网络攻击检测方法及装置 | |
US8365241B1 (en) | Method and apparatus for archiving web content based on a policy | |
Yen et al. | Browser fingerprinting from coarse traffic summaries: Techniques and implications | |
CN112929390B (zh) | 一种基于多策略融合的网络智能监控方法 | |
CN102945340A (zh) | 信息对象检测方法及系统 | |
CN111314301A (zh) | 一种基于dns解析的网站访问控制方法及装置 | |
EP3647982B1 (en) | Cyber attack evaluation method and cyber attack evaluation device | |
Juárez et al. | WTF-PAD: toward an efficient website fingerprinting defense for tor | |
Yen | Detecting stealthy malware using behavioral features in network traffic | |
Lampesberger et al. | An on-line learning statistical model to detect malicious web requests | |
KR101084681B1 (ko) | 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 시스템과 봇넷 탐지를 위한 네트워크 트래픽의 행위 패턴 모델링 방법 | |
CN111371917B (zh) | 一种域名检测方法及系统 | |
CN112367340B (zh) | 一种内网资产风险评估方法、装置、设备及介质 | |
Gu et al. | Fingerprinting network entities based on traffic analysis in high-speed network environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SINFOR Polytron Technologies Inc Address before: 518000 Guangdong city of Shenzhen province Nanshan District high in the four Longtaili No. 30 building 6 floor Patentee before: Shenxinfu Electronics Science and Technology Co., Ltd., Shenzhen |