CN102177680B - 允许和阻止能够在用户pc的私有网络中同时使用因特网的用户pc的方法、使用业务量数据来分析和检测与是否能够使用网络地址转换nat相关的判断以及共享nat的终端数目的方法 - Google Patents
允许和阻止能够在用户pc的私有网络中同时使用因特网的用户pc的方法、使用业务量数据来分析和检测与是否能够使用网络地址转换nat相关的判断以及共享nat的终端数目的方法 Download PDFInfo
- Publication number
- CN102177680B CN102177680B CN200880131487.XA CN200880131487A CN102177680B CN 102177680 B CN102177680 B CN 102177680B CN 200880131487 A CN200880131487 A CN 200880131487A CN 102177680 B CN102177680 B CN 102177680B
- Authority
- CN
- China
- Prior art keywords
- user
- internet
- user agent
- value
- nat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000013519 translation Methods 0.000 title abstract description 7
- 230000000903 blocking effect Effects 0.000 title abstract 2
- 238000004458 analytical method Methods 0.000 claims description 21
- 230000002265 prevention Effects 0.000 claims description 15
- 238000012544 monitoring process Methods 0.000 claims description 12
- 239000000284 extract Substances 0.000 claims description 6
- 230000004075 alteration Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 238000001514 detection method Methods 0.000 description 10
- 238000012360 testing method Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 3
- 238000004445 quantitative analysis Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000001915 proofreading effect Effects 0.000 description 1
- 239000011800 void material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种方法,包括以下步骤:分析接收监视的业务量;判断是否允许配置和使用私有网络以及所提供的授权IP(因特网IP)的客户端使用NAT(网络地址转换),分析和检测共享终端的数目;使用数据来创建数据库;以及使用数据库中的信息来形成策略,使得当私有网络的用户同时连接至因特网时,可以选择性地执行对因特网使用的许可或阻止。
Description
技术领域
本发明提供了一种由以下步骤组成的方法:判断是否允许配置和使用私有网络以及所提供的授权IP(因特网IP)的客户端使用NAT(网络地址转换),以分析和检测共享终端的数目;使用数据来创建数据库;以及使用数据库中的信息来形成策略,使得在私有网络的用户同时连接至因特网时,能够选择性地执行对因特网使用的允许或阻止。
背景技术
近来,经常产生以下情况:用户正在使用IP共享设备,使得许多客户端可以同时仅使用一个授权IP来使用网络。此外,存在以下趋势:配置NAT的许多公司和企业正在逐渐增多。因此,存在以下问题:网络业务量、新设施的必要性和投入的资金由于上述趋势而增加。
但是,可以通过针对每条线路对使用网络的实际客户端的数目进行精确计数来解决这一问题,但是当NAT或IP共享设备的用户的实际IP地址穿过NAP或IP共享设备时,这些地址被改变为授权IP。因此,存在以下问题:不能掌握用户的实际客户端的数目。
为了解决这一问题,必须安装用于通知用户的IP地址或内网中的终端数目的附加应用(Active X,代理)。但是,在用户认识到该应用的安装/操作之后,他可能不执行该应用。
发明内容
技术问题
为了解决上述传统问题,本发明的目的是提供以下技术:
在客户端使用因特网时,在监视相关业务量的环境中,分析相关业务量,以分析和检测与是否能够使用NAT相关的判断以及共享终端的数目;
收集和分析连接至因特网等的用户的业务量中包括的客户端的、唯一指示web浏览器信息、用户代理信息或PC细节信息的信息,所述收集和分析是基于以下特征来进行的:OS版本信息、Web浏览器版本信息、.NET环境信息等等一般而言根据用户的PC类型而不同;
在用户认识到安装/操作之后,或者在没有授权/许可过程的情况下,提取分组首部消息中的用户代理值;
基于键值(即标识值或IP)来分析用户代理值,以及通过将用户代理值与用户代理池进行比较来执行唯一管理;
以恒定的时间间隔,唯一地存储收集的用户代理;
根据键值(即标识值或IP),在恒定时间内或在恒定时间段内,以恒定的时间间隔来收集存储的用户代理,并对共享终端的数目进行计数;
通过对共享终端的数目应用修改规则来进行修改,根据键值(即标识值或IP),将通过修改获得的结果存储在数据库中,使得通过在监视业务量的环境中分析业务量来分析和检测与是否能够使用NAT相关的判断,并分析和检测共享终端的数目;
在恒定时间内,判断用户是否是首次使用因特网的用户,从而选择性地允许或阻止连接至因特网的PC;
在连接至因特网时,根据针对指定用户的策略,在用户web浏览器上执行特定页面;
当使用NAT的用户同时连接至因特网时,使用PMT的比较算法,根据允许PC的策略数目来管理策略池;
如果使用NAT的用户的PC超过允许PC的策略数目,则通过根据TCP劫持方式发送虚拟分组来允许因特网服务商预订的一个PC不失败地使用因特网,并根据PMT的允许PC的策略数目,针对其他PC选择性地允许或阻止因特网使用;
如果按下被阻止页面中用于改变允许PC的按钮,则随机阻止策略池中的相关用户的用户代码列表中的一个PC,并允许相关PC使用因特网;
从存储的策略池中删除在恒定时间内未使用的用户代码列表;
在因特网web浏览器的URL窗口上输入地址时输入域的情况下,或者输入具有在域之后描述的参数的地址的情况下,或者从搜索浏览器移至其他因特网站点的情况下,或者移至其他页面的情况下,选择性地允许或阻止因特网使用;以及
去除用户的任何阻碍,在客户端使用因特网时,在监视相关业务量的环境中分析和检测业务量期间,防止业务量分析服务器的IP信息向外泄露。
技术方案
为了完成上述目的,本发明的特征在于包括以下步骤:通过分析业务量来提取分组首部消息中的用户代理值;基于键值(即标识值或IP)来分析用户代理值,并通过将用户代理值与用户代理池(UAPool)进行比较来执行唯一管理;以恒定的时间间隔,唯一地存储收集的用户代理;根据键值(即标识值或IP),在恒定时间内或在恒定时间段内,以恒定的时间间隔来收集存储的用户代理,并对共享终端的数目进行计数;通过对共享终端的数目应用修改规则来进行修改;根据键值(即标识值或IP),将通过修改获得的结果存储在数据库中。
有利效果
根据本发明,因特网服务订户可以通过在使用NAT方法的网络环境下分析分组,来分析和检测实际客户端。
当客户端使用因特网时,执行以下步骤:通过在监视相关业务量的环境下分析接收监视的业务量,来判断是否允许配置和使用私有网络以及所提供的授权IP(因特网IP)的客户端使用NAT;分析和检测共享终端的数目;使用数据来创建数据库;以及使用数据库中的信息来形成策略。因此,当私有网络的用户同时连接至因特网时,可以选择性地执行对因特网使用的许可或阻止。
一般而言,如OS版本、Web浏览器版本、.NET等等环境根据用户的PC类型而不同。基于这种特征,对连接至因特网等的用户的业务量中包括的客户端的、唯一指示web浏览器信息、用户代理信息或PC细节信息的信息进行收集、比较、分析和存储。同时,在业务量的分析和检测期间,对于用户完全不存在障碍,业务量分析服务器的IP信息不向外泄露,通过判断是否允许NAT使用以及分析和检测共享终端的数目,可以容易地将数据创建为数据库。
此外,根据本发明的特性,策略中包括的用户可以执行以下步骤:在web浏览器的URL窗口上输入地址时输入域;输入具有在域之后描述的参数的地址,或者移至搜索浏览器中的其他站点;以及在移至其他站点来使用因特网时,允许能够在私有网络中同时使用因特网的客户端,或者选择性地阻止因特网使用。因此,针对未授权或未指定的许多人,允许或阻止因特网使用。
在现有因特网通信商的CEO所建立的基础设施中,设备和网络的维护成本以及网络速度是有限的,但是由于NAT的滥用以及仅经由一条提供线路的共享终端等等,导致业务量增加。
因此,在过去,通常仅使用一条线路的用户,或者预订任何线路然后使用这些线路的用户遭受了很多损失,但是根据本发明可以实现以下效果:通过投入较少量的设备资金并管理较少的维护人员,现有因特网通信商的CEO将来可以改进各种类型的服务。此外,普通用户可以享用良好质量的服务。
附图说明
图1是示出了用于控制检测的过程和服务器与客户端之间的共享客户端的图。
图2是示出了与图1的①相对应的分析和检测过程的图。
图3是示出了用于将策略池信息与PMT进行比较的源的图。
图4是示出了在可以允许仅经由3条线路来使用因特网时的策略池表的图。
图5是示出了PMT的图。
图6是示出了允许仅经由1条线路来使用因特网的情况的图。
图7是示出了可以允许仅经由3条线路来使用因特网的情况的图。
图8是示出了在因特网阻止页面中用于改变允许PC的按钮的图。
具体实施方式
根据本发明的用于通过在监视业务量的环境下分析业务量来分析和检测与是否能够使用NAT相关的判断以及共享终端的数目的方法包括以下步骤:通过分析业务量来提取分组首部消息中的用户代理值;基于键值(即标识值或IP)来分析用户代理值,并通过将用户代理值与用户代理池(UAPool)进行比较来执行唯一管理;以恒定的时间间隔,唯一地存储收集的用户代理;根据键值(即标识值或IP),在恒定时间内或在恒定时间段内,以恒定的时间间隔来收集存储的用户代理,并对共享终端的数目进行计数;通过对共享终端的数目应用修改规则来进行修改;根据键值(即标识值或IP),将通过修改获得的结果存储在数据库中。
根据本发明的用于通过分析和检测与是否能够使用NAT相关的判断以及共享终端的数目来选择性地允许或阻止能够同时使用因特网的用户PC的方法包括以下步骤:当通过监视业务量来应用对因特网的允许或阻止的目标用户使用因特网时,分析分组中的用户代理值;将用户代码存储在策略池中,所述用户代码是存储器或数据库表中的用户代理的唯一标识值;根据用户,以实时方式存储作为策略池中的唯一标识值的用户代码,并维持最新的信息;当使用NAT的用户同时连接至因特网时,利用PMT的比较算法,根据允许PC的策略数目来管理策略池;以及如果使用NAT的用户的PC超过允许PC的策略数目,则通过根据TCP劫持方式发送虚拟分组来允许因特网服务商预订的一个PC不失败地使用因特网,并根据PMT的允许PC的策略数目,针对其他PC允许或阻止因特网使用。
以下参照附图来详细解释本发明的实施例。
在本发明中,首先,遍布说明书使用的术语定义如下。
NAT(网络地址转换)是指使用共享设备、VPN和私有IP的网络的术语,在字典中有所定义。PMT(策略管理表)是被分配给唯一标识值的PC的数目。用户代理可以是用户的业务量中包括的OS版本信息、web浏览器信息、用户信息或PC的细节信息。用户代理池(UApool)是通过收集用户代理而创建的信息。
此外,用户代码是被分配给每个用户代理的唯一代码;策略池是被分配给唯一标识值的PC的用户代码信息。此外,用户代理收集表是针对每个唯一标识值而收集的用户代理记录信息。时间/用户代理表是唯一标识值顺序使用的用户代理信息,参考检测表是用于判断是否允许NAT使用所需的信息。
图1是示出了用于控制检测的过程和服务器与客户端之间的共享的图。图2是示出了与图1的①相对应的分析和检测过程的图。
为了实现上述目的,本发明提供了一种方法,包括以下步骤:S101,分析接收监视的业务量;S111,判断是否允许配置和使用私有网络以及所提供的授权IP(因特网IP)的客户端使用NAT(网络地址转换),分析和检测共享终端的数目;S112,使用数据来创建数据库;以及使用数据库中的信息来形成策略,使得当私有网络的用户同时连接至因特网时,可以选择性地执行对因特网使用的许可或阻止。
参照图2,当客户端使用因特网时,检测引擎可以在监视相关业务量的环境下接收对业务量的监视,以判断是否允许配置和使用私有网络的客户端使用NAT(网络地址转换),以及分析和检测共享终端的数目(S201)。
通过分析业务量,提取分组首部消息中唯一指示web浏览器信息、用户代理信息或PC细节信息的信息(S202)。
基于键值(即标识值或IP)来分析用户代理值,将用户代理值与预先收集和管理的用户代理池进行比较(S203)。
在用户代理池中描述了检测所需的有效代理值和用户代码。确认基于键值(即标识值或IP)来分析的用户代理值是否存在于用户代理池中(S204)。如果用户代理值存在于用户代理池中,则从用户代理池中提取用户代码,并将其存储在用户代理收集表中,该用户代码是用户代理的唯一标识值。然后,执行下一过程。如果用户代理值不存在于用户代理池中,则不再对用户代理值进行任何处理(S205)。
将基于键值(即标识值或IP)而返回的用户代码存储在记录存储表(即用户代理收集表)中。执行唯一管理,使得不能存储相同的用户代码。
在被确定为策略的指定时间,以恒定的时间间隔,唯一地存储用户代理值的用户代码(S206)。例如,假定键值(即标识值或IP)的参考值为A,并且在0-1小时提取的有效用户代码值为UA1和UA2,则如图2所示,将它们存储在时间/用户代理表中。此外,如果在1-2小时从A提取的有效用户代码值为UA1或UA3,则如图2所示,将它们存储在时间/用户代理表中。
通过在将键值(即标识值或IP)指定为参考的恒定时间内或者恒定时间段内收集时间/用户代理表中存储的用户代码来获得共享终端的数目。例如,如果从标识值“A”(为一天的键值)提取的用户代码值在0-1小时为UA1和UA2,在1-2小时为UA1和UA3,则将UA1、UA2和UA3确定为唯一共享终端。
将如上所述确定的并具有“3”的“A”与检测参考表进行比较(S207)。
如果“A”大于检测参考表的参考值(S208),则将指示3的“A”存储在结果表中(S209),如果“A”小于检测参考表的参考值,则不将指示3的“A”存储在结果表中(S210)。
根据结果表,存储、管理和校正日志历史。将最终结果存储在数据库中,因此,可以执行用于判断是否可以使用共享终端以及分析和检测共享终端数目的过程。
为了执行如判断、分析和检测的过程,对用户代理池进行管理。预先确定和分析接收监视的用户业务量是有效用户代理值还是无效代理值,并对结果进行收集。通过提取有效用户代理来创建数据库,并管理数据库。当在管理所收集的用户代理池的数据的同时基于键值(即标识值或IP)来分析用户代理值时,分配用户代码,其中用户代码是用户代理的唯一标识值,使得可以使用用户代码作为参考,并且可以连续执行存储/管理过程。
参照图1中的②,假定配置了NAT方法的网络,存在使用多个PC的客户端X001,在PMT(策略管理表)中针对X001允许的PC数目被设置为3(S120),首先,当具有如X001的ID的客户端使用因特网时,键值(即标识值或IP)判断现在正在连接至因特网的用户是否是首次使用因特网的用户(S121)。
为了解释,将“键值(即标识值或IP)”描述为“ID”。
如果在策略池中不存在如X001的ID,则由于该ID是新创建的ID(X001ID),应当将授权IP、用户代码和连接时间登记在策略池中,然后可以正常使用因特网。
此外,如果在策略池中存在相同的授权IP和相同的ID,则通过校正与相同ID的用户代码相对应的连接时间,可以正常使用因特网(S122)。
相反,如果在策略池中存在相同的授权IP和相同的ID,而用户代码不存在(S123),则可以考虑两种情况。
首先,在对策略池中具有相同ID的用户代码的数目进行计数之后,如果计数的结果值低于PMT的策略数目,则应当将ID、授权IP、用户代码和连接时间登记在策略池中,然后可以正常使用因特网(S122)。
其次,如果策略池中具有相同ID的用户代码的数目高于PMT的策略数目(S124),则将阻止因特网使用(S125)。
此时,如果判断结果值是因特网许可值,则提供客户端请求的HTTP页面,如果判断结果值是因特网阻止值,则显示阻止页面。
图3是示出了通过将策略池信息和PMT进行比较来选择性地允许或阻止因特网使用的方法的算法图(S121-S125)。图5是示出了PMT的图,其中定义了选择性地允许或阻止的、分配给每个ID(即标识值)的终端数目。
图4是示出了根据图5的PMT策略在策略池表中累积的数据的图。可以理解,测试具有3个用户代码,测试1具有两个用户代码。输入具有测试标识值的底部行的用户代码作为新代码,但是由于在测试中存在3个用户代码,不能输入底部行的用户代码作为第4代码。
随后,在本发明的图1中,执行以恒定时间间隔来操作的任务(JOB)调度器,使得策略池可以维持最新信息(S126)。此时,任务调度器可以基于以下原理来将策略池的内容维持为最新信息:删除在登记时间之后恒定时间段内未改变的记录,连续地维持最新信息(S127)。
如上所述来执行过程,从而选择性地允许或阻止可以使用因特网的客户端的用户代码。
因此,执行以下步骤以使得可以选择性地允许或阻止因特网:在web浏览器的URL窗口上输入地址时输入域,输入具有在域之后描述的参数的地址,或者移至搜索浏览器中的其他站点;在移至其他站之后分析相关业务量;以及如果使用策略算法的相关ID超过允许PC数目,则根据TCP劫持方法来发送虚拟分组来调用指定页面(web页面和阻止页面)。
参照图6的具体示例来解释允许仅经由一条线路来使用因特网的情况。例如,如果任务调度器为10分钟,则可以向具有使用相同ID和相同授权IP的用户代码的用户中连接至因特网的第一个人给予优先级。由于具有用户代码192.168.0.1(A)的用户连续20分钟使用因特网,因此即使用户代码192.168.0.2(B)或用户代码192.168.0.3(C)尝试连接至因特网,则阻止因特网使用,因此他们不能使用因特网。
在30分钟时,如果执行任务调度器,则由于在20-30分钟之间没有使用记录,因此从策略池中删除具有用户代码192.168.0.1(A)的用户的记录。
在31分钟时,如果具有用户代码192.168.0.3(C)的用户尝试连接至因特网,则由于在策略池中未记录具有使用相同ID和相同授权IP的用户代码的用户,因此在具有用户代码192.168.0.3(C)的用户将ID、授权IP、用户代码和连接时间登记在策略池中之后,该用户可以连接至因特网。
直至70分钟时,具有用户代码192.168.0.1(A)的用户和具有用户代码192.168.0.2(B)的用户尝试连接因特网,但是它们未能连接至因特网。此时,如图8所示,当具有用户代码192.168.0.2(B)的用户想要使用因特网时(情形1)时,在通过点击因特网阻止页面中用于改变允许PC的按钮,将策略池中具有相同ID的、具有当前用户代码192.168.0.3(C)的用户改变为具有用户代码192.168.0.2(B)的用户之后,针对具有用户代码192.168.0.3(C)的用户阻止因特网使用。因此,具有用户代码192.168.0.2(B)的用户将具有因特网使用权。
参照图7的具体示例来解释在PMT中允许仅经由3条线路来使用因特网的情况。最大允许使用相同ID和相同授权IP的3个用户代码并针对其他用户代码阻止因特网使用的原理如下。
当具有用户代码192.168.0.1(A)的用户首次尝试连接至因特网时,在确认策略池中是否存在具有使用相同ID和相同授权IP的用户代码的用户之后,如果不存在使用相同ID和相同授权IP的用户,则该用户将ID、授权IP、用户代码和连接时间登记在策略池中,然后他可以连接至因特网。
在10分钟时,当具有用户代码192.168.0.2(B)的用户尝试连接至因特网时,在确认策略池中是否存在具有使用相同ID和相同授权IP的用户代码的用户之后,如果存在使用相同ID和相同授权IP的用户,则允许因特网使用,如果不存在使用相同ID和相同授权IP的用户,则对策略池中使用相同ID和相同授权IP的用户代码的数目进行计数,结果值(返回值:1)低于PMT策略的数目(允许3条线路),用户登记用户代码192.168.0.2(B),然后他可以使用因特网。相反,如果结果值高于PMT策略的数目(允许3条线路),则阻止因特网使用。
在15分钟时,当具有用户代码192.168.0.3(C)的用户尝试连接至因特网时,在确认策略池中是否存在具有使用相同ID和相同授权IP的用户代码的用户之后,如果存在使用相同ID和相同授权IP的用户,则允许因特网使用,如果不存在使用相同ID和相同授权IP的用户,则对策略池中使用相同ID和相同授权IP的用户代码的数目进行计数,结果值(返回值:2)低于PMT策略的数目(允许3条线路),用户登记用户代码192.168.0.3(C),然后他可以使用因特网。相反,如果结果值高于PMT策略的数目(允许3条线路),则阻止因特网使用。
在17分钟时,当具有用户代码192.168.0.4(D)的用户尝试连接至因特网时,在确认策略池中是否存在相同ID和相同授权IP之后,如果存在具有相同ID和相同授权IP的私有IP,则允许因特网使用,如果不存在私有IP,则对策略池中具有相同ID和相同授权IP的私有IP用户的数目进行计数,结果值(返回值:3)低于PMT策略的数目(允许3条线路),用户登记私有IP,然后他可以使用因特网。相反,如果结果值高于PMT策略的数目(允许3条线路),则阻止因特网使用。
如上所述来处理过程,从而可以在私有网络中选择性地允许或阻止因特网使用。
一般而言,如OS版本、Web浏览器版本、.NET等等环境根据用户的PC类型而不同。基于这种特征,对连接至因特网等的用户的业务量中包括的客户端的、唯一指示web浏览器信息、用户代理信息或PC细节信息的信息进行收集、比较、分析和存储。同时,在业务量的分析和检测期间,对于用户完全不存在障碍,业务量分析服务器的IP信息不向外泄露,并且通过判断是否允许NAT使用以及分析和检测共享终端的数目,可以将数据创建为数据库。此外,根据本发明的特性,策略中包括的用户可以执行以下步骤:在web浏览器的URL窗口上输入地址时输入域;输入具有在域之后描述的参数的地址,或者移至搜索浏览器中的其他站点;以及在移至其他站点来使用因特网时,允许能够在私有网络中同时使用因特网的客户端,或者选择性地阻止因特网使用。因此,针对未授权或未指定的许多人,允许或阻止因特网使用。
工业实用性
根据本发明,当客户端使用因特网时,通过在能够监视相关业务量的环境下分析接收监视的业务量,来执行以下步骤:判断是否允许配置和使用私有网络以及所提供的授权IP(因特网IP)的客户端使用NAT;分析和检测共享终端的数目;使用数据来创建数据库;以及使用数据库中的信息来形成策略。因此,当私有网络的用户同时连接至因特网时,可以选择性地执行对因特网使用的许可或阻止。
一般而言,如OS版本、Web浏览器版本、.NET等等环境根据用户的PC类型而不同。基于这种特征,对连接至因特网等的用户的业务量中包括的客户端的、唯一指示web浏览器信息、用户代理信息或PC细节信息的信息进行收集、比较、分析和存储。同时,在业务量的分析和检测期间,对于用户完全不存在障碍,业务量分析服务器的IP信息不向外泄露,并且通过判断是否允许NAT使用以及分析和检测共享终端的数目,可以容易地将数据创建为数据库。
此外,根据本发明的特性,策略中包括的用户可以执行以下步骤:在web浏览器的URL窗口上输入地址时输入域;输入具有在域之后描述的参数的地址,或者移至搜索浏览器中的其他站点;以及在移至其他站点来使用因特网时,允许能够在私有网络中同时使用因特网的客户端,或者选择性地阻止因特网使用。因此,针对未授权或未指定的许多人,允许或阻止因特网使用。
在现有因特网通信商的CEO所建立的基础设施中,设备和网络的维护成本以及网络速度是有限的,但是由于NAT的滥用以及仅经由一条提供线路的共享终端等等,导致业务量增加。
因此,在过去,通常仅使用一条线路的用户,或者预订任何线路然后使用这些线路的用户遭受了很多损失,但是根据本发明可以实现以下效果:通过投入较少量的设备资金并管理较少的维护人员,现有因特网通信商的CEO将来可以改进各种类型的服务。此外,普通用户可以享用良好质量的服务。
Claims (5)
1.一种用于通过在监视业务量的环境下分析业务量来分析和检测共享终端的数目的方法,包括以下步骤:
通过分析业务量来提取分组首部消息中的用户代理值;
基于键值来分析用户代理值,并通过将用户代理值与用户代理池(UAPool)进行比较来执行唯一管理,使得不能存储相同的用户代理值,其中所述键值即标识值或IP;
以恒定的时间间隔,唯一地存储用户代理,所述用户代理是所述业务量中包括的OS版本信息、web浏览器信息、用户信息或PC的细节信息;
根据键值,在恒定时间内或在恒定时间段内,以恒定的时间间隔来收集存储的用户代理,并对共享终端的数目进行计数,其中所述键值即标识值或IP;
通过对共享终端的数目应用修改规则来进行修改;以及
根据键值,将通过修改获得的结果存储在数据库中,其中所述键值即标识值或IP。
2.根据权利要求1所述的用于通过在监视业务量的环境下分析业务量来分析和检测共享终端的数目的方法,其中,所述方法还包括以下步骤:
基于分组首部消息的分组,判断和分析用户业务量是有效用户代理值还是无效用户代理值,并收集用户代理;
分析所收集的用户代理,向每个用户代理分配作为唯一标识值的用户代码,并存储和管理用户代码;以及
管理所收集的用户代理的池的数据,并基于键值来分析所收集的用户代理,其中所述键值即标识值或IP。
3.一种用于通过分析和检测与是否能够使用NAT相关的判断以及共享终端的数目来选择性地允许或阻止能够同时使用因特网的用户PC的方法,包括以下步骤:
当通过监视业务量来应用对因特网的允许或阻止的目标用户使用因特网时,分析分组中的用户代理值;
将用户代码存储在策略池中,所述用户代码是存储器或数据库表中的用户代理的唯一标识值,所述用户代理是所述业务量中包括的OS版本信息、web浏览器信息、用户信息或PC的细节信息;
根据用户,以实时方式存储作为策略池中的唯一标识值的用户代码,并维持最新的信息;
当使用NAT的用户同时连接至因特网时,利用PMT的比较算法,根据允许PC的策略数目来管理策略池;以及
如果使用NAT的用户的PC超过允许PC的策略数目,则通过根据TCP劫持方式发送虚拟分组来允许因特网服务商预订的一个PC不失败地使用因特网,并根据策略管理表‘PMT’的允许PC的策略数目,针对其他PC允许或阻止因特网使用。
4.根据权利要求3所述的用于通过分析和检测与是否能够使用NAT相关的判断以及共享终端的数目来选择性地允许或阻止能够同时使用因特网的用户PC的方法,其中,在因特网阻止的情况下,如果按下阻止页面中用于改变允许PC的按钮,则随机地阻止策略池中相关用户的用户代码列表中的一个PC,并允许所述相关用户的另一PC使用因特网;以及删除所存储的策略池中在恒定时间内未使用的用户代码列表。
5.根据权利要求3所述的用于通过分析和检测与是否能够使用NAT相关的判断以及共享终端的数目来选择性地允许或阻止能够同时使用因特网的用户PC的方法,其中,在因特网web浏览器的URL窗口上输入地址时输入域的情况下,或者输入具有在域之后描述的参数的地址的情况下,或者移至搜索浏览器中的其他因特网站点的情况下,选择性地执行对向其他站点的移动的允许或阻止。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2008-0099860 | 2008-10-10 | ||
| KR1020080099860A KR101013996B1 (ko) | 2008-10-10 | 2008-10-10 | 클라이언트의 nat 사용 여부 판단 및 공유대수 검출방법 |
| PCT/KR2008/006350 WO2010041784A1 (en) | 2008-10-10 | 2008-10-28 | A method for allowing and blocking a user pc which can use internet at the same time in a private network thereof a method for analyzing and detecting a judgement about whether nat(network address translation) can be used or not using a traffic data, and the number of terminals sharing nat |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102177680A CN102177680A (zh) | 2011-09-07 |
| CN102177680B true CN102177680B (zh) | 2014-09-10 |
Family
ID=42100724
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880131487.XA Expired - Fee Related CN102177680B (zh) | 2008-10-10 | 2008-10-28 | 允许和阻止能够在用户pc的私有网络中同时使用因特网的用户pc的方法、使用业务量数据来分析和检测与是否能够使用网络地址转换nat相关的判断以及共享nat的终端数目的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8661133B2 (zh) |
| KR (1) | KR101013996B1 (zh) |
| CN (1) | CN102177680B (zh) |
| CA (1) | CA2738295C (zh) |
| WO (1) | WO2010041784A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102075386B (zh) * | 2010-12-29 | 2013-11-06 | 华为技术有限公司 | 识别方法及装置 |
| KR101927777B1 (ko) * | 2011-04-30 | 2018-12-12 | 삼성전자주식회사 | 인터넷 연결 공유 관리 방법 및 장치 |
| KR101480438B1 (ko) * | 2013-08-23 | 2015-01-13 | (주)넷맨 | 아이피 공유기 검출 시스템 |
| KR101453728B1 (ko) * | 2013-09-17 | 2014-10-22 | 주식회사 윈스 | Nat ip 처리 기반 네트워크 보안 정책 제공 방법 및 장치 |
| CN104519479B (zh) * | 2013-09-27 | 2019-06-11 | 中兴通讯股份有限公司 | 一种终端及其锁网和解除锁网的方法 |
| KR101502589B1 (ko) * | 2013-11-25 | 2015-03-16 | 플러스기술주식회사 | 웹개체를 이용한 공유단말 검출 방법 및 그 장치 |
| US9608904B2 (en) | 2013-12-20 | 2017-03-28 | Sandvine Incorporated Ulc | System and method for analyzing devices accessing |
| CN103763125A (zh) * | 2013-12-27 | 2014-04-30 | 北京集奥聚合科技有限公司 | 运营商网络实际用户数的统计方法和装置 |
| KR101518474B1 (ko) * | 2013-12-30 | 2015-05-07 | 주식회사 플랜티넷 | 현재 시간 기준으로 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유의 현재 상태 검출 및 차단 시스템 |
| CN103874092A (zh) * | 2014-04-04 | 2014-06-18 | 周隽 | 基于互联网通过移动终端远程管理私有网络进行主动分享的方案及系统 |
| KR101518468B1 (ko) * | 2014-05-14 | 2015-05-15 | 주식회사 플랜티넷 | 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말의 디바이스 대수를 검출하는 방법 및 공인 ip 공유 상태 검출 시스템 |
| KR101538493B1 (ko) * | 2014-05-30 | 2015-07-30 | 주식회사 베이스인 네트웍스 | 공유기 검출 방법 |
| KR101518469B1 (ko) * | 2014-06-13 | 2015-05-07 | 주식회사 플랜티넷 | 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템 |
| KR101518472B1 (ko) * | 2014-06-16 | 2015-05-07 | 주식회사 플랜티넷 | 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 추가 비지정 도메인 네임을 구비한 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템 |
| KR101616402B1 (ko) * | 2015-03-23 | 2016-04-28 | 주식회사 제이넷 | 회선공유단말 구별 장치 |
| US10819639B2 (en) * | 2015-11-05 | 2020-10-27 | Soosan Int Co., Ltd. | Method for managing shared terminal and device therefor |
| CN105939231B (zh) * | 2016-05-16 | 2020-04-03 | 杭州迪普科技股份有限公司 | 共享接入检测方法和共享接入检测装置 |
| CN108632223B (zh) * | 2017-03-23 | 2022-01-11 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及电子设备 |
| CN109672576B (zh) * | 2017-10-13 | 2023-06-09 | 中兴通讯股份有限公司 | 一种抽样检测客户终端设备的方法及设备 |
| CN115543747B (zh) * | 2022-10-20 | 2024-04-02 | 舟谱数据技术南京有限公司 | 一种前端网页性能自动巡检的方法 |
| KR102552878B1 (ko) * | 2022-12-23 | 2023-07-10 | 주식회사 앰진 | 무효 트래픽 특징 추출 및 데이터 구조화 방법 및 장치 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7127524B1 (en) * | 2000-12-29 | 2006-10-24 | Vernier Networks, Inc. | System and method for providing access to a network with selective network address translation |
| CN1878096A (zh) * | 2006-07-04 | 2006-12-13 | 陈玲玲 | 一种检测内部计算机网络中计算机用户数的方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3770831B2 (ja) * | 1999-08-18 | 2006-04-26 | 富士通株式会社 | ネットワークの負荷分散を行うコンピュータ、監視装置、その方法およびそのためのプログラムを記録した記録媒体 |
| US6826613B1 (en) * | 2000-03-15 | 2004-11-30 | 3Com Corporation | Virtually addressing storage devices through a switch |
| KR100458698B1 (ko) * | 2002-05-25 | 2004-12-03 | (주)테라정보시스템 | Ip공유 클라이언트 수의 모니터링 시스템, 그 방법 및이를 프로그램화하여 수록한 컴퓨터로 읽을 수 있는기록매체 |
| US7280557B1 (en) * | 2002-06-28 | 2007-10-09 | Cisco Technology, Inc. | Mechanisms for providing stateful NAT support in redundant and asymetric routing environments |
| KR100511479B1 (ko) * | 2002-12-27 | 2005-08-31 | 엘지전자 주식회사 | Nat를 갖는 망에서의 sip 서비스 방법 |
| WO2004107131A2 (en) * | 2003-05-28 | 2004-12-09 | Caymas Systems, Inc. | Policy based network address translation |
| US7408926B1 (en) * | 2004-09-02 | 2008-08-05 | Microsoft Corporation | Method and apparatus for accessing voice over internet protocol connection |
| JP4541848B2 (ja) * | 2004-11-22 | 2010-09-08 | 株式会社日立製作所 | ユーザ端末接続制御方法および装置 |
| KR100723657B1 (ko) * | 2005-07-08 | 2007-05-30 | 플러스기술주식회사 | 사설 아이피 사용자가 동시에 인터넷에 접속할 경우티씨피/아이피 기반에서 선별적으로 허용 및 차단하는 방법 |
| US8375120B2 (en) * | 2005-11-23 | 2013-02-12 | Trend Micro Incorporated | Domain name system security network |
| KR100960152B1 (ko) * | 2007-10-24 | 2010-05-28 | 플러스기술주식회사 | 네트워크상의 복수 단말을 검출하여 인터넷을 허용 및차단하는 방법 |
-
2008
- 2008-10-10 KR KR1020080099860A patent/KR101013996B1/ko active IP Right Grant
- 2008-10-28 CN CN200880131487.XA patent/CN102177680B/zh not_active Expired - Fee Related
- 2008-10-28 US US13/121,733 patent/US8661133B2/en not_active Expired - Fee Related
- 2008-10-28 WO PCT/KR2008/006350 patent/WO2010041784A1/en active Application Filing
- 2008-10-28 CA CA2738295A patent/CA2738295C/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7127524B1 (en) * | 2000-12-29 | 2006-10-24 | Vernier Networks, Inc. | System and method for providing access to a network with selective network address translation |
| CN1878096A (zh) * | 2006-07-04 | 2006-12-13 | 陈玲玲 | 一种检测内部计算机网络中计算机用户数的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20100040631A (ko) | 2010-04-20 |
| CA2738295C (en) | 2014-12-09 |
| WO2010041784A1 (en) | 2010-04-15 |
| CN102177680A (zh) | 2011-09-07 |
| US8661133B2 (en) | 2014-02-25 |
| US20110185060A1 (en) | 2011-07-28 |
| CA2738295A1 (en) | 2010-04-15 |
| KR101013996B1 (ko) | 2011-02-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102177680B (zh) | 允许和阻止能够在用户pc的私有网络中同时使用因特网的用户pc的方法、使用业务量数据来分析和检测与是否能够使用网络地址转换nat相关的判断以及共享nat的终端数目的方法 | |
| CN102741839B (zh) | 基于用户浏览器历史的url过滤 | |
| CA2701882C (en) | Method for permitting and blocking use of internet by detecting plural terminals on network | |
| CN101894239B (zh) | 基于演化策略的敏感数据审计分发方法及系统 | |
| CN103875015A (zh) | 利用用户行为的多因子身份指纹采集 | |
| Caceres et al. | Inferring origin–destination trip matrices from aggregate volumes on groups of links: a case study using volumes inferred from mobile phone data | |
| Lauinger et al. | WHOIS Lost in Translation: (Mis) Understanding Domain Name Expiration and Re-Registration | |
| CN108023768A (zh) | 网络事件链确立方法和网络事件链确立系统 | |
| CN112733045B (zh) | 用户行为的分析方法、装置及电子设备 | |
| CN109859426A (zh) | 一种社区安防管理系统 | |
| Althobaiti et al. | Energy theft in smart grids: a survey on data-driven attack strategies and detection methods | |
| CN106789265A (zh) | 一种服务集群的聚类方法及装置 | |
| CN104572765A (zh) | 一种基于用户账号行为分析的查找马甲账号的方法及系统 | |
| CN108600054B (zh) | 一种基于域名区文件的网站数量判定方法和系统 | |
| Campbell et al. | Detection of fast flux service networks | |
| CN102595410A (zh) | 检测wap恶意订购的系统和方法 | |
| Bhattacharya | The Impact of Carpenter v. United States on Digital Age Technologies | |
| CN109600751B (zh) | 一种基于网络侧用户数据的伪基站检测方法 | |
| CN104796280B (zh) | 一种业务权限检测方法及装置 | |
| CN116485321B (zh) | 一种基于大数据的物业管理平台系统 | |
| CN109951461B (zh) | 基于无线网络的信息溯源方法及装置 | |
| Li et al. | MFRdnsi: A DNS recursive server identification and classification method based on deep learning | |
| Hara et al. | Classification of malicious domains by their lifetime | |
| CN109743227A (zh) | 一种网站在线统计系统 | |
| CN117764393A (zh) | 酒店资源的控制方法、系统、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1157960 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1157960 Country of ref document: HK |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140910 Termination date: 20201028 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |