CN102891781A - 网络共享检测系统和网络共享检测方法 - Google Patents
网络共享检测系统和网络共享检测方法 Download PDFInfo
- Publication number
- CN102891781A CN102891781A CN2012104011561A CN201210401156A CN102891781A CN 102891781 A CN102891781 A CN 102891781A CN 2012104011561 A CN2012104011561 A CN 2012104011561A CN 201210401156 A CN201210401156 A CN 201210401156A CN 102891781 A CN102891781 A CN 102891781A
- Authority
- CN
- China
- Prior art keywords
- network
- communication tool
- immediate communication
- detected
- shared
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络共享检测系统,包括:数据包获取单元,用于获取待检测网络中来自即时通讯工具的网络数据包;解析单元,用于解析所述网络数据包,以确定对应的即时通讯工具的信息;分析单元,用于根据所述解析单元得到的所述即时通讯工具的信息,分析所述待检测网络中的网络共享情况。本发明还提出了一种网络共享检测方法。通过本发明的技术方案,可以根据即时通讯工具的使用情况,从而确定相应网络中是否存在网络共享事件。
Description
技术领域
本发明涉及网络共享检测技术领域,具体而言,涉及一种网络共享检测系统和一种网络共享检测方法。
背景技术
随着各个网络运营商的宽带提速,多人共享上网的情形变得越来越普遍,因而网络运营商在提供有偿上网环境的同时,需要对网络共享进行检测并提供相应的佐证。
传统的网络共享检测通常包含IPID检测算法,IPNAT检测算法,cookie检测算法,这些算法在理论上都可以通过建模的方式,计算并得到一个局域网内存在的共享上网主机数量。但是目前当主机数量比较多,或通过对IPID进行篡改,以及一些非法的网络设备对共享上网进行干扰屏蔽都会影响到IPID算法的检测精度。而对于IPNAT算法来说,需要很长时间的检测过程,也需要一个稳定的内网环境作为检测依据,不利于短时间内对网络共享情况的检测。在做cookie算法检测的时候同样要求客户的浏览器等相关cookie信息能够长期保存,否则会影响检测的准确度。
因此,需要一种网络共享检测技术,可以根据即时通讯工具的使用情况,从而确定相应网络中是否存在网络共享事件。
发明内容
本发明正是基于上述问题,提出了一种网络共享检测技术,可以根据即时通讯工具的使用情况,从而确定相应网络中是否存在网络共享事件。
有鉴于此,本发明提出了一种网络共享检测系统,包括:数据包获取单元,用于获取待检测网络中来自即时通讯工具的网络数据包;解析单元,用于解析所述网络数据包,以确定对应的即时通讯工具的信息;分析单元,用于根据所述解析单元得到的所述即时通讯工具的信息,分析所述待检测网络中的网络共享情况。
在该技术方案中,由于即时通讯工具的广泛使用,因而通过对即时通讯工具的使用情况的检测,从而能够判断出网络共享情况。
在上述技术方案中,优选地,所述数据包获取单元包括:标识匹配子单元,用于将所述即时通讯工具使用的应用协议标识与所述待检测网络中的网络数据包的标识进行匹配;数据包抓取子单元,用于从所述待检测网络中抓取与所述应用协议标识相匹配的网络数据包。
在该技术方案中,通过应用协议标识来抓取进行网络检测所必须的网络数据包,而对于其他数据包则不进行获取,从而有利于提高检测的针对性。
在上述技术方案中,优选地,还包括:协议转换单元,用于在将所述网络数据包从所述待检测网络传输至目标网络时,若所述待检测网络与所述目标网络使用的传输协议不同,则对所述网络数据包所适用的传输协议进行转换,以实现其在所述目标网络中进行传输。
在该技术方案中,若网络之间存在传输协议差异,则可以通过对传输协议进行转换,使其能够成功实现传输过程。
在上述技术方案中,优选地,所述即时通讯工具的信息包括所述即时通讯工具的版本种类,则所述分析单元包括:性质判断子单元,用于在所述即时通讯工具的版本种类大于1的情况下,判定所述待检测网络中存在网络共享事件。
在该技术方案中,由于在安装同一种即时通讯工具时,将自动对低版本数据进行更新,因而通常情况下,一台终端中的一种即时通讯工具只能够存在一个版本,所以当从某个网络中检测到同一种即时通讯工具的多个版本时,则说明存在多台终端,即存在网络共享事件。
在上述技术方案中,优选地,所述即时通讯工具的信息还包括即时通讯账号的数量,则所述分析单元包括:数量分析子单元,用于根据所述即时通讯账号的数量判断所述待检测网络中的共享终端的数量。
在该技术方案中,若某个网络中存在n个账号,m个版本,则可以判断该网络中的终端数量应该大于等于m,可能大于n或小于n,因而可以用于为该网络中存在的共享终端数量作为有效参考。
根据本发明的又一方面,还提出了一种网络共享检测方法,包括:步骤202,获取待检测网络中来自即时通讯工具的网络数据包;步骤204,解析所述网络数据包,以确定对应的即时通讯工具的信息;步骤206,根据所述即时通讯工具的信息,分析所述待检测网络中的网络共享情况。
在该技术方案中,由于即时通讯工具的广泛使用,因而通过对即时通讯工具的使用情况的检测,从而能够判断出网络共享情况。
在上述技术方案中,优选地,所述步骤202包括:根据所述即时通讯工具使用的应用协议标识,从所述待检测网络中抓取对应的网络数据包。
在该技术方案中,通过应用协议标识来抓取进行网络检测所必须的网络数据包,而对于其他数据包则不进行获取,从而有利于提高检测的针对性。
在上述技术方案中,优选地,所述步骤202还包括:在将所述网络数据包从所述待检测网络传输至目标网络时,若所述待检测网络与所述目标网络使用的传输协议不同,则对所述网络数据包所适用的传输协议进行转换,以实现其在所述目标网络中进行传输。
在该技术方案中,若网络之间存在传输协议差异,则可以通过对传输协议进行转换,使其能够成功实现传输过程。
在上述技术方案中,优选地,所述即时通讯工具的信息包括所述即时通讯工具的版本种类,则所述步骤206包括:若所述即时通讯工具的版本种类大于1,则判定所述待检测网络中存在网络共享事件。
在该技术方案中,由于在安装同一种即时通讯工具时,将自动对低版本数据进行更新,因而通常情况下,一台终端中的一种即时通讯工具只能够存在一个版本,所以当从某个网络中检测到同一种即时通讯工具的多个版本时,则说明存在多台终端,即存在网络共享事件。
在上述技术方案中,优选地,所述即时通讯工具的信息还包括即时通讯账号的数量,则所述步骤206还包括:根据所述即时通讯账号的数量判断所述待检测网络中的共享终端的数量。
在该技术方案中,若某个网络中存在n个账号,m个版本,则可以判断该网络中的终端数量应该大于等于m,可能大于n或小于n,因而可以用于为该网络中存在的共享终端数量作为有效参考。
通过以上技术方案,可以根据即时通讯工具的使用情况,从而确定相应网络中是否存在网络共享事件。
附图说明
图1示出了根据本发明的实施例的网络共享检测系统的框图;
图2示出了根据本发明的实施例的网络共享检测方法的流程图;
图3示出了根据本发明的实施例的网络共享检测系统的构架示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了根据本发明的实施例的网络共享检测系统的框图。
如图1所示,根据本发明的实施例的网络共享检测系统100,包括:数据包获取单元102,用于获取待检测网络中来自即时通讯工具的网络数据包;解析单元104,用于解析所述网络数据包,以确定对应的即时通讯工具的信息;分析单元106,用于根据所述解析单元104得到的所述即时通讯工具的信息,分析所述待检测网络中的网络共享情况。
在该技术方案中,由于即时通讯工具的广泛使用,因而通过对即时通讯工具的使用情况的检测,从而能够判断出网络共享情况。
在上述技术方案中,优选地,所述数据包获取单元102包括:标识匹配子单元1022,用于将所述即时通讯工具使用的应用协议标识与所述待检测网络中的网络数据包的标识进行匹配;数据包抓取子单元1024,用于从所述待检测网络中抓取与所述应用协议标识相匹配的网络数据包。
在该技术方案中,通过应用协议标识来抓取进行网络检测所必须的网络数据包,而对于其他数据包则不进行获取,从而有利于提高检测的针对性。
在上述技术方案中,优选地,还包括:协议转换单元108,用于在将所述网络数据包从所述待检测网络传输至目标网络时,若所述待检测网络与所述目标网络使用的传输协议不同,则对所述网络数据包所适用的传输协议进行转换,以实现其在所述目标网络中进行传输。
在该技术方案中,若网络之间存在传输协议差异,则可以通过对传输协议进行转换,使其能够成功实现传输过程。
在上述技术方案中,优选地,所述即时通讯工具的信息包括所述即时通讯工具的版本种类,则所述分析单元106包括:性质判断子单元1062,用于在所述即时通讯工具的版本种类大于1的情况下,判定所述待检测网络中存在网络共享事件。
在该技术方案中,由于在安装同一种即时通讯工具时,将自动对低版本数据进行更新,因而通常情况下,一台终端中的一种即时通讯工具只能够存在一个版本,所以当从某个网络中检测到同一种即时通讯工具的多个版本时,则说明存在多台终端,即存在网络共享事件。
在上述技术方案中,优选地,所述即时通讯工具的信息还包括即时通讯账号的数量,则所述分析单元106包括:数量分析子单元1064,用于根据所述即时通讯账号的数量判断所述待检测网络中的共享终端的数量。
在该技术方案中,若某个网络中存在n个账号,m个版本,则可以判断该网络中的终端数量应该大于等于m,可能大于n或小于n,因而可以用于为该网络中存在的共享终端数量作为有效参考。
图2示出了根据本发明的实施例的网络共享检测方法的流程图。
如图2所示,根据本发明的实施例的信息显示方法,包括:步骤202,获取待检测网络中来自即时通讯工具的网络数据包;步骤204,解析所述网络数据包,以确定对应的即时通讯工具的信息;步骤206,根据所述即时通讯工具的信息,分析所述待检测网络中的网络共享情况。
在该技术方案中,由于即时通讯工具的广泛使用,因而通过对即时通讯工具的使用情况的检测,从而能够判断出网络共享情况。
在上述技术方案中,优选地,所述步骤202包括:根据所述即时通讯工具使用的应用协议标识,从所述待检测网络中抓取对应的网络数据包。
在该技术方案中,通过应用协议标识来抓取进行网络检测所必须的网络数据包,而对于其他数据包则不进行获取,从而有利于提高检测的针对性。
在上述技术方案中,优选地,所述步骤202还包括:在将所述网络数据包从所述待检测网络传输至目标网络时,若所述待检测网络与所述目标网络使用的传输协议不同,则对所述网络数据包所适用的传输协议进行转换,以实现其在所述目标网络中进行传输。
在该技术方案中,若网络之间存在传输协议差异,则可以通过对传输协议进行转换,使其能够成功实现传输过程。
在上述技术方案中,优选地,所述即时通讯工具的信息包括所述即时通讯工具的版本种类,则所述步骤206包括:若所述即时通讯工具的版本种类大于1,则判定所述待检测网络中存在网络共享事件。
在该技术方案中,由于在安装同一种即时通讯工具时,将自动对低版本数据进行更新,因而通常情况下,一台终端中的一种即时通讯工具只能够存在一个版本,所以当从某个网络中检测到同一种即时通讯工具的多个版本时,则说明存在多台终端,即存在网络共享事件。
在上述技术方案中,优选地,所述即时通讯工具的信息还包括即时通讯账号的数量,则所述步骤206还包括:根据所述即时通讯账号的数量判断所述待检测网络中的共享终端的数量。
在该技术方案中,若某个网络中存在n个账号,m个版本,则可以判断该网络中的终端数量应该大于等于m,可能大于n或小于n,因而可以用于为该网络中存在的共享终端数量作为有效参考。
图3示出了根据本发明的实施例的网络共享检测系统的构架示意图。
如图3所示,根据本发明的实施例的网络共享检测系统在对指定网络进行共享检测时,主要包括以下几个步骤:
1、流量转发
在该指定网络中的主机对网络资源的利用过程中,将会产生相应的流量,即网络数据。为了通过这些网络数据来实现网络共享检测,则首先需要获取网络数据。
在本发明的技术方案中,主要是通过对即时通讯工具(主要有QQ,MSN等)进行共享检测,因而需要从所有网络数据中选取对应于即时通讯工具的部分。具体地,需要通过对网络数据中的数据包的应用标识进行识别,从而据此实现对数据包的提取。
数据包的提取是在该指定网络的后端完成的,还需要将其转发至相应的流量分析引擎,以供分析。在转发过程中,可以通过网络处理引擎采用如零拷贝(zero-copy)等技术进行数据包的转发,并尽可能保证不对该指定网络原本的网络应用造成影响。
在进行转发之前,还需要确认获取的数据包采用的传输协议与流量分析引擎所处网络的传输协议是否相同,比如可能采集到的数据包为POS(Packet Over SONET/SDH)协议,则可能需要转换为以太网协议之后,才能进行转发。
当然,需要说明的是,也可以先不进行数据包的获取,而直接获取待分析的全部网络数据;待转发至流量分析引擎后,再根据网络数据中的数据包的标识,对同一上网账号下的即时通讯工具产生的数据包进行归并,然后进行具体分析,以得出其使用的即时通讯工具的使用日志数据信息。
2、流量分析
通过流量分析引擎进行分析。具体地,通过数据包的标识,与预设的特征库进行比较,确定每个数据包的结构、解析方式等,并据此从数据包中提取即时通讯工具的账号、版本、类型等基础数据信息。还可以根据这些基础数据信息,从而建立数据模型,得出在该指定网络中的即时通讯工具的使用分布情况,然后由即时通讯工具分析引擎根据该数据模型进行特性分析,得出该指定网络内即时通讯工具的真实版本种类、即时通讯实际账号数量等信息。
以QQ为例,若同一账号下去重后产生了n个独立QQ号,这n个QQ号有来自于m种版本的QQ,可以肯定共享台数是大于m,可能大于n,也可能小于n,一般共享台数n。
此外,还可以同时由常规检测算法分析引擎通过常规检测算法,如IPNAT算法、IPID算法、Cookie算法等,得出相应的常规分析结果。然后,通过综合匹配分析引擎对即时通讯工具分析引擎得到的分析结果与常规检测算法分析引擎得到的常规分析结果进行综合匹配分析,以期得到更为全面准确的结果。
以上结合附图详细说明了本发明的技术方案,本发明提供了一种网络共享检测系统和一种网络共享检测方法,通过对于用户上网终端上的即时通讯工具进行分析,提取有效的上网轨迹,为判定局域网内共享上网提供有利的佐证,提高了共享检测算法的准确性。该技术为共享检测算法丰富了检测途径,随着即时通讯工具的普及,实现了从用户终端应用去分析用户网络使用情况的做法。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络共享检测系统,其特征在于,包括:
数据包获取单元,用于获取待检测网络中来自即时通讯工具的网络数据包;
解析单元,用于解析所述网络数据包,以确定对应的即时通讯工具的信息;
分析单元,用于根据所述解析单元得到的所述即时通讯工具的信息,分析所述待检测网络中的网络共享情况。
2.根据权利要求1所述的网络共享检测系统,其特征在于,所述数据包获取单元包括:
标识匹配子单元,用于将所述即时通讯工具使用的应用协议标识与所述待检测网络中的网络数据包的标识进行匹配;
数据包抓取子单元,用于从所述待检测网络中抓取与所述应用协议标识相匹配的网络数据包。
3.根据权利要求1所述的网络共享检测系统,其特征在于,还包括:
协议转换单元,用于在将所述网络数据包从所述待检测网络传输至目标网络时,若所述待检测网络与所述目标网络使用的传输协议不同,则对所述网络数据包所适用的传输协议进行转换,以实现其在所述目标网络中进行传输。
4.根据权利要求1至3中任一项所述的网络共享检测系统,其特征在于,所述即时通讯工具的信息包括所述即时通讯工具的版本种类,则所述分析单元包括:
性质判断子单元,用于在所述即时通讯工具的版本种类大于1的情况下,判定所述待检测网络中存在网络共享事件。
5.根据权利要求4所述的网络共享检测系统,其特征在于,所述即时通讯工具的信息还包括即时通讯账号的数量,则所述分析单元包括:
数量分析子单元,用于根据所述即时通讯账号的数量判断所述待检测网络中的共享终端的数量。
6.一种网络共享检测方法,其特征在于,包括:
步骤202,获取待检测网络中来自即时通讯工具的网络数据包;
步骤204,解析所述网络数据包,以确定对应的即时通讯工具的信息;
步骤206,根据所述即时通讯工具的信息,分析所述待检测网络中的网络共享情况。
7.根据权利要求6所述的网络共享检测方法,其特征在于,所述步骤202包括:
根据所述即时通讯工具使用的应用协议标识,从所述待检测网络中抓取对应的网络数据包。
8.根据权利要求6所述的网络共享检测方法,其特征在于,所述步骤202还包括:
在将所述网络数据包从所述待检测网络传输至目标网络时,若所述待检测网络与所述目标网络使用的传输协议不同,则对所述网络数据包所适用的传输协议进行转换,以实现其在所述目标网络中进行传输。
9.根据权利要求6至8中任一项所述的网络共享检测方法,其特征在于,所述即时通讯工具的信息包括所述即时通讯工具的版本种类,则所述步骤206包括:
若所述即时通讯工具的版本种类大于1,则判定所述待检测网络中存在网络共享事件。
10.根据权利要求9所述的网络共享检测方法,其特征在于,所述即时通讯工具的信息还包括即时通讯账号的数量,则所述步骤206还包括:
根据所述即时通讯账号的数量判断所述待检测网络中的共享终端的数量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210401156.1A CN102891781B (zh) | 2012-10-19 | 2012-10-19 | 网络共享检测系统和网络共享检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210401156.1A CN102891781B (zh) | 2012-10-19 | 2012-10-19 | 网络共享检测系统和网络共享检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102891781A true CN102891781A (zh) | 2013-01-23 |
CN102891781B CN102891781B (zh) | 2016-06-08 |
Family
ID=47535156
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210401156.1A Expired - Fee Related CN102891781B (zh) | 2012-10-19 | 2012-10-19 | 网络共享检测系统和网络共享检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102891781B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103457789A (zh) * | 2013-08-15 | 2013-12-18 | 北京星网锐捷网络技术有限公司 | 一种并机检测方法和装置 |
CN106603378A (zh) * | 2015-10-19 | 2017-04-26 | 北京慧点科技有限公司 | 一种即时通信软件的网络检测方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101035031A (zh) * | 2007-04-03 | 2007-09-12 | 华为技术有限公司 | 检测共享接入的主机数目的方法和装置 |
CN101599857A (zh) * | 2009-06-25 | 2009-12-09 | 成都市华为赛门铁克科技有限公司 | 检测共享接入主机数目的方法、装置及网络检测系统 |
-
2012
- 2012-10-19 CN CN201210401156.1A patent/CN102891781B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101035031A (zh) * | 2007-04-03 | 2007-09-12 | 华为技术有限公司 | 检测共享接入的主机数目的方法和装置 |
CN101599857A (zh) * | 2009-06-25 | 2009-12-09 | 成都市华为赛门铁克科技有限公司 | 检测共享接入主机数目的方法、装置及网络检测系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103457789A (zh) * | 2013-08-15 | 2013-12-18 | 北京星网锐捷网络技术有限公司 | 一种并机检测方法和装置 |
CN106603378A (zh) * | 2015-10-19 | 2017-04-26 | 北京慧点科技有限公司 | 一种即时通信软件的网络检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102891781B (zh) | 2016-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111865815B (zh) | 一种基于联邦学习的流量分类方法及系统 | |
CN101841442B (zh) | 一种在名址分离网络中对网络异常进行检测的方法 | |
CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
CN101296227B (zh) | 基于报文偏移量匹配的IPSec VPN协议深度检测方法 | |
CN101605074A (zh) | 基于网络通讯行为特征监测木马的方法与系统 | |
CN103067218B (zh) | 一种高速网络数据包内容分析装置 | |
CN102882748A (zh) | 网络接入检测系统和网络接入检测方法 | |
CN109219050A (zh) | 一种基于虚拟ap的wifi采集系统及其方法 | |
CN109299742A (zh) | 自动发现未知网络流的方法、装置、设备及存储介质 | |
CN105959321A (zh) | 网络远程主机操作系统被动识别方法及装置 | |
CN102571487A (zh) | 基于多数据源分布式的僵尸网络规模测量及追踪方法 | |
CN108512816B (zh) | 一种流量劫持的检测方法及装置 | |
CN111343153A (zh) | 数据包检测方法、装置、服务器及存储介质 | |
CN105357071A (zh) | 一种网络复杂流量识别方法及识别系统 | |
CN109889913A (zh) | 一种网络环境中的数据丢包的分析方法 | |
CN117040943B (zh) | 基于IPv6地址驱动的云网络内生安全防御方法和装置 | |
CN100366002C (zh) | 互联网共享接入检测系统 | |
CN102891781A (zh) | 网络共享检测系统和网络共享检测方法 | |
CN101459695B (zh) | P2p业务识别方法和装置 | |
CN102355668A (zh) | 一种查找ap攻击者的方法、系统和终端设备 | |
CN110457897A (zh) | 一种基于通信协议与sql语法的数据库安全检测方法 | |
CN111064729A (zh) | 报文的处理方法及装置、存储介质和电子装置 | |
CN112235309B (zh) | 一种云平台网络隐蔽信道多尺度检测系统 | |
CN109309679A (zh) | 一种基于tcp流状态的网络扫描检测方法及检测系统 | |
CN109474593A (zh) | 一种识别c&c周期性回连行为的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160608 Termination date: 20211019 |
|
CF01 | Termination of patent right due to non-payment of annual fee |