CN102984003A - 网络接入检测系统和网络接入检测方法 - Google Patents
网络接入检测系统和网络接入检测方法 Download PDFInfo
- Publication number
- CN102984003A CN102984003A CN2012105041704A CN201210504170A CN102984003A CN 102984003 A CN102984003 A CN 102984003A CN 2012105041704 A CN2012105041704 A CN 2012105041704A CN 201210504170 A CN201210504170 A CN 201210504170A CN 102984003 A CN102984003 A CN 102984003A
- Authority
- CN
- China
- Prior art keywords
- cookie
- address
- information
- value
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种网络接入检测系统,包括:采集单元,采集网络中的数据包,从数据包中获取HTTP协议的上行流量和下行流量;数据包提取单元,从上行流量中提取出含有Cookie字段的数据包,从下行流量中提取出含有Set-Cookie字段的数据包;数据存储单元,从提取出的两个数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据源IP地址和目的IP地址两者与所述对应Cookie ID值的信息之间的对应关系将数据进行存储;主机数目确定单元,读取存储的数据,统计同一个源IP地址下,每个目的IP地址对应的Cookie ID值的信息的个数,根据个数确定网络中的主机数目。相应地,本发明还提供了一种网络接入检测方法。通过本发明的技术方案,能够有效提高共享接入检测的精确度。
Description
技术领域
本发明涉及互联网技术领域,具体而言,涉及一种网络接入检测系统和一种网络接入检测方法。
背景技术
目前,由于互联网宽带接入业务的计费主要还是采用时长计费而不是流量计费的方式。一部分人利用运营商的这个漏洞,往往以个人的名义申请宽带而让企业或黑网吧使用,或者几户共用宽带分摊费用,这给运营商造成了巨大的收入流失。由于IP协议设计本身的历史原因,没有任何一个标准或协议能够直接反映出同一个IP地址下的局域网内共享有多少台计算机,目前业界普遍使用的检测方法有以下几种:
1、IP报文中有IPID(IP包序列号)标识,每台机器的该标识从0至65535循环,呈递增数列,路由器、NAT(Network Address Translation,网络地址转换)和多数代理服务器均不会修改该标识,因此可以根据该标识的连续性判断是否是同一台机器。但是用该方法判断的难度在于,机器台数较多时连续性会显得很混乱,会导致准确计算的难度很大。另外,有些机器感染了病毒和蠕虫,也会造成IPID值异常增长,也会导致计算难度变大。因此需要复杂并高效的算法还原出真实情况。方法一就是根据该原理尽可能将每台机器所发送的报文连成一条直线,每条直线代表一台机器;
2、方法二原理同上,但算法不同,不是还原成直线,而是还原成离散的数组,每个数组代表一台机器;
3、方法三根据TCP(Transmission Control Protocol,传输控制协议)序号,部分TCP报文也会有随系统时间递增的序列号,该值可以路由器、NAT和代理服务器均不能修改该标识,否则报文失效,也可以尽可能将每台机器所发送的报文连成一条直线,每条直线代表一台机器;
4、SNMP(Simple Network Management Protocol,简单网络管理协议)扫描法,通过在接入设备Modem上植入SNMP扫描程序对用户主机进行SNMP扫描来检测是否有多台机器共享上网,由于极易用户通过修改Modem配置来规避,并且扫描用户主机也会招致用户察觉和不满,目前已经基本淘汰;
5、MAC(Media Access Control,介质访问控制)地址获取法,只能部署于接入层,通过在接入层大规模部署,在网络数据包中统计是否有多个MAC地址使用相同IP地址上网的情况,这种方法对于NAT/Proxy代理上网无效,并且对一台主机多个网卡的情况会产生误报,目前也已基本淘汰;
6、TTL(Time To Live,生存时间)分析法,也只能部署于接入层,通过分析IP报文中的TTL数值不同来判断是否多机共享接入,由于目标服务器网络应用的类型不同,TTL值会发生变化,因此这种方法仅在某些特定情况下有一定作用,即使TTL不一致,也不一定是共享上网用户,同时对于Proxy代理上网的情况也会失效,因此目前也已基本淘汰。
因此,需要一种新的技术方案,能够有效提高共享接入检测的精确度,同时能避免某些通过打乱IPID的发包规律、顺序或者分散IPID的技术手段逃避检测,导致检测不到共享接入的情况。
发明内容
本发明正是基于上述问题,提出了一种新的技术方案,能够有效提高共享接入检测的精确度,同时能避免某些通过打乱IPID的发包规律、顺序或者分散IPID的技术手段逃避检测,导致检测不到共享接入的情况。
有鉴于此,本发明提出了一种网络接入检测系统,包括:采集单元,采集网络中的数据包,从所述数据包中获取HTTP协议的上行流量和下行流量;数据包提取单元,从所述上行流量中提取出含有Cookie字段的数据包,以及从所述下行流量中提取出含有Set-Cookie关键字段的数据包;数据存储单元,从所述含有Cookie字段的数据包和所述含有Set-Cookie关键字段的数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据所述源IP地址和所述目的IP地址两者与所述对应Cookie ID值的信息之间的对应关系,对所述源IP地址、所述目的IP地址及所述对应的Cookie ID值的信息进行存储;主机数目确定单元,读取所述数据存储单元中存储的数据,统计同一个源IP地址下,每个目的IP地址对应的Cookie ID值的信息的个数,根据所述个数确定所述网络中的主机数目。
在该技术方案中,Cookie ID值的信息包括Cookie的名称、Cookie ID值、Cookie ID的个数及Cookie的有效期等信息。当用户访问网站时,同一网站会为不同的用户分配不同的Cookie ID值,则通过统计同一个源IP地址下,每个网站对应的Cookie ID值的个数,就可以得到访问每个网站的主机数,再从访问所有网站的主机数中取一个最大值,即可确定同一个源IP地址下网络中的主机数。从而提高了网络接入检测的准确性,降低了因检测破解技术提高带来的漏检漏报风险。
在上述技术方案中,优选地,所述主机数目确定单元确定从指定的源IP地址接入所述网络的主机数目。
在该技术方案中,可以对某些指定用户的网络接入情况进行检测,从而判断其是否使用多台计算机共享上网,运营商可以根据检测结果采取相应的控制策略。
在上述技术方案中,优选地,所述主机数目确定单元包括:信息添加子单元,在所述数据存储单元提取到Cookie ID值的信息时,根据所述源IP地址和所述目的IP地址查找所述对应的Cookie ID值的信息,如果找到所述Cookie ID值的信息,则不做任何处理,如果未找到所述Cookie ID值的信息,则添加所述Cookie ID值的信息到所述存储数据中。
在该技术方案中,通过在已存储的数据中对即将存储的Cookie ID值的信息进行查找,从而避免了同一个Cookie ID值的信息重复统计的问题,保证了检测到的网络中接入主机数量的准确性。
在上述技术方案中,优选地,所述Cookie ID值的信息中包含Cookie的有效期,则所述主机数目确定单元还包括:结果上报子单元,预设上报周期,当到达上报周期时,查找同一个源IP地址下每个目的IP地址对应的Cookie ID值的信息,将所述Cookie的有效期和当前时间进行比较,如果所述Cookie已经过期,将所述Cookie ID值的信息删除。
在该技术方案中,由于每个Cookie都存在有效期,通过将过期的Cookie ID值的信息删除,从而只统计在Cookie有效期内的接入网络的主机数目,这样提高了检测的准确性。
在上述技术方案中,优选地,还包括:界面展现单元,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。
在该技术方案中,用户可以进入展现界面,对检测结果进行报表查看,从而根据检测日志报告的情况,设置相应的控制策略,实现对未授权的共享接入行为进行有效的打击或遏制。
根据本发明的又一方面,还提供了一种网络接入检测方法,包括:步骤202,采集网络中的数据包,从所述数据包中获取HTTP协议的上行流量和下行流量;步骤204,从所述上行流量中提取出含有Cookie字段的数据包,以及从所述下行流量中提取出含有Set-Cookie关键字段的数据包;步骤206,从所述含有Cookie字段的数据包和所述含有Set-Cookie关键字段的数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据所述源IP地址和所述目的IP地址两者与所述对应Cookie ID值的信息之间的对应关系,对所述源IP地址、目的IP地址及对应的Cookie ID值的信息的数据进行存储;步骤208,读取存储的数据,统计同一个源IP地址下,每个目的IP地址对应的Cookie ID值的信息的个数,根据所述个数确定所述网络中的主机数目。
在该技术方案中,Cookie ID值的信息包括Cookie的名称、Cookie ID值、Cookie ID的个数及Cookie的有效期等信息。当用户访问网站时,同一网站会为不同的用户分配不同的Cookie ID值,则通过统计同一个源IP地址下,每个网站对应的Cookie ID值的个数,就可以得到访问每个网站的主机数,再从访问所有网站的主机数中取一个最大值,即可确定同一个源IP地址下网络中的主机数。从而提高了网络接入检测的准确性,降低了因检测破解技术提高带来的漏检漏报风险。
在上述技术方案中,优选地,所述步骤208还包括确定从指定的源IP地址接入所述网络的主机数目。
在该技术方案中,可以对某些指定用户的网络接入情况进行检测,从而判断其是否使用多台计算机共享上网,运营商可以根据检测结果采取相应的控制策略。
在上述技术方案中,优选地,所述步骤208还包括:在提取到所述Cookie ID值的信息时,根据所述源IP地址和所述目的IP地址查找对应的Cookie ID值的信息,如果找到所述Cookie ID值的信息,则不做任何处理,如果未找到所述Cookie ID值的信息,则添加所述Cookie ID值的信息到所述存储数据中。
在该技术方案中,通过在已存储的数据中对即将存储的Cookie ID值的信息进行查找,从而避免了同一个Cookie ID值的信息重复统计的问题,保证了检测到的网络中接入主机数量的准确性。
在上述技术方案中,优选地,所述Cookie ID值的信息中包含Cookie的有效期,则所述步骤208还包括:预设上报周期,当到达上报周期时,查找同一个源IP地址下每个目的IP地址对应的Cookie ID值的信息,将所述Cookie的有效期和当前时间进行比较,如果所述Cookie已经过期,将所述Cookie ID值的信息删除。
在该技术方案中,由于每个Cookie都存在有效期,通过将过期的Cookie ID值的信息删除,从而只统计在Cookie有效期内的接入网络的主机数目,这样提高了检测的准确性。
在上述技术方案中,优选地,还包括:步骤210,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。
在该技术方案中,用户可以进入展现界面,对检测结果进行报表查看,从而根据检测日志报告的情况,设置相应的控制策略,实现对未授权的共享接入行为进行有效的打击或遏制。
通过以上技术方案,能够有效提高共享接入检测的精确度,同时能避免某些通过打乱IPID的发包规律、顺序或者分散IPID的技术手段逃避检测,导致的检测不到共享接入的问题。
附图说明
图1示出了根据本发明的实施例的网络接入检测系统的框图;
图2示出了根据本发明的实施例的网络接入检测方法的流程图;
图3示出了根据本发明的实施例的网络接入检测方法的具体流程图;
图4示出了根据本发明的实施例的Cookie的屏幕截图;
图5示出了根据本发明的实施例的综合性共享网络接入检测技术的示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了根据本发明的实施例的网络接入检测系统的框图。
如图1所示,本发明的实施例的网络接入检测系统100包括:采集单元102,采集网络中的数据包,从所述数据包中获取HTTP协议的上行流量和下行流量;数据包提取单元104,从所述上行流量中提取出含有Cookie字段的数据包,以及从所述下行流量中提取出含有Set-Cookie关键字段的数据包;数据存储单元106,从所述含有Cookie字段的数据包和所述含有Set-Cookie关键字段的数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据所述源IP地址和所述目的IP地址两者与所述对应Cookie ID值的信息之间的对应关系,对所述源IP地址、所述目的IP地址及所述对应的Cookie ID值的信息进行存储;主机数目确定单元108,读取所述数据存储单元106中存储的数据,统计同一个源IP地址下,每个目的IP地址对应的Cookie ID值的信息的个数,根据所述个数确定所述网络中的主机数目。
在该技术方案中,Cookie ID值的信息包括Cookie的名称、Cookie ID值、Cookie ID的个数及Cookie的有效期等信息。当用户访问网站时,同一网站会为不同的用户分配不同的Cookie ID值,则通过统计同一个源IP地址下,每个网站对应的Cookie ID值的个数,就可以得到访问每个网站的主机数,再从访问所有网站的主机数中取一个最大值,即可确定同一个源IP地址下网络中的主机数。从而提高了网络接入检测的准确性,降低了因检测破解技术提高带来的漏检漏报风险。
在上述技术方案中,优选地,所述主机数目确定单元108确定从指定的源IP地址接入所述网络的主机数目。
在该技术方案中,可以对某些指定用户的网络接入情况进行检测,从而判断其是否使用多台计算机共享上网,用户可以根据检测结果采取相应的控制策略。
在上述技术方案中,优选地,所述主机数目确定单元108包括:信息添加子单元1082,在所述数据存储单元106提取到Cookie ID值的信息时,根据所述源IP地址和所述目的IP地址查找所述对应的Cookie ID值的信息,如果找到所述Cookie ID值的信息,则不做任何处理,如果未找到所述Cookie ID值的信息,则添加所述Cookie ID值的信息到所述存储数据中。
在该技术方案中,通过在已存储的数据中对即将存储的Cookie ID值的信息进行查找,从而避免了同一个Cookie ID值的信息重复统计的问题,保证了检测到的网络中接入主机数量的准确性。
在上述技术方案中,优选地,所述Cookie ID值的信息中包含Cookie的有效期,则所述主机数目确定单元108还包括:结果上报子单元1084,预设上报周期,当到达上报周期时,查找同一个源IP地址下每个目的IP地址对应的Cookie ID值的信息,将所述Cookie的有效期和当前时间进行比较,如果所述Cookie已经过期,将所述Cookie ID值的信息删除。
在该技术方案中,由于每个Cookie都存在有效期,通过将过期的Cookie ID值的信息删除,从而只统计在Cookie有效期内的接入网络的主机数目,这样提高了检测的准确性。
在上述技术方案中,优选地,还包括:界面展现单元110,提供展现界面,展现所述结果上报子单元1084上报的数据和/或接入所述网络的主机数目。
在该技术方案中,用户可以进入展现界面,对检测结果进行报表查看,从而根据检测日志报告的情况,设置相应的控制策略,实现对未授权的共享接入行为进行有效的打击或遏制。
图2示出了根据本发明的实施例的网络接入检测方法的流程图。
如图2所示,本发明的实施例的网络接入检测方法,包括:步骤202,采集网络中的数据包,从所述数据包中获取HTTP协议的上行流量和下行流量;步骤204,从所述上行流量中提取出含有Cookie字段的数据包,以及从所述下行流量中提取出含有Set-Cookie关键字段的数据包;步骤206,从所述含有Cookie字段的数据包和所述含有Set-Cookie关键字段的数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据所述源IP地址和所述目的IP地址两者与所述对应Cookie ID值的信息之间的对应关系,对所述源IP地址、目的IP地址及对应的Cookie ID值的信息的数据进行存储;步骤208,读取存储的数据,统计同一个源IP地址下,每个目的IP地址对应的Cookie ID值的信息的个数,根据所述个数确定所述网络中的主机数目。
在该技术方案中,Cookie ID值的信息包括Cookie的名称、Cookie ID值、Cookie ID的个数及Cookie的有效期等信息。当用户访问网站时,同一网站会为不同的用户分配不同的Cookie ID值,则通过统计同一个源IP地址下,每个网站对应的Cookie ID值的个数,就可以得到访问每个网站的主机数,再从访问所有网站的主机数中取一个最大值,即可确定同一个源IP地址下网络中的主机数。从而提高了网络接入检测的准确性,降低了因检测破解技术提高带来的漏检漏报风险。
在上述技术方案中,优选地,所述步骤208还包括:确定从指定的源IP地址接入所述网络的主机数目。
在该技术方案中,可以对某些指定用户的网络接入情况进行检测,从而判断其是否使用多台计算机共享上网,运营商可以根据检测结果采取相应的控制策略。
在上述技术方案中,优选地,所述步骤208还包括:在提取到所述Cookie ID值的信息时,根据所述源IP地址和所述目的IP地址查找对应的Cookie ID值的信息,如果找到所述Cookie ID值的信息,则不做任何处理,如果未找到所述Cookie ID值的信息,则添加所述Cookie ID值的信息到所述存储数据中。
在该技术方案中,通过在已存储的数据中对即将存储的Cookie ID值的信息进行查找,从而避免了同一个Cookie ID值的信息重复统计的问题,保证了检测到的网络中接入主机数量的准确性。
在上述技术方案中,优选地,所述Cookie ID值的信息中包含Cookie的有效期,则所述步骤208还包括:预设上报周期,当到达上报周期时,查找同一个源IP地址下每个目的IP地址对应的Cookie ID值的信息,将所述Cookie的有效期和当前时间进行比较,如果所述Cookie已经过期,将所述Cookie ID值的信息删除。
在该技术方案中,由于每个Cookie都存在有效期,通过将过期的Cookie ID值的信息删除,从而只统计在Cookie有效期内的接入网络的主机数目,这样提高了检测的准确性。
在上述技术方案中,优选地,还包括:步骤210,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。
在该技术方案中,用户可以进入展现界面,对检测结果进行报表查看,从而根据检测日志报告的情况,设置相应的控制策略,实现对未授权的共享接入行为进行有效的打击或遏制。
图3示出了根据本发明的实施例的网络接入检测方法的具体流程图。
如图3所示,本发明的实施例的网络接入检测方法的具体流程如下:
步骤302,在运营商网络接入层或骨干网出口进行数据包采集,采集HTTP协议的上行和下行流量。
步骤304,针对上行流量,提取出含有Cookie字段的数据包。
步骤306,针对下行流量,提取出含有Set-Cookie关键字段的数据包。
步骤308,从数据包中提取出源IP地址、目的IP地址、Cookie名称和Cookie ID值的信息。
步骤310,将提取出的数据进行保存。其中,可按照以下数据结构保存:
其中,SRCIP为被监控的上网用户公网IP地址,DSTIP为被访问的网站的地址,最后一栏分别存储Cookie的名称、Cookie ID值、个数及生存期等信息。
步骤312,根据源IP地址和目的IP地址找到对应的Cookie ID记录表,然后在该记录中查找该Cookie ID值,如果找到,不做任何处理;如果没有找到,就添加该Cookie ID值的信息。
步骤314,结果上报。上报模块每到一个上报周期,就查找同一个源IP下每一个网站的Cookie ID记录表,将Cookie的有效期与系统当前的时间做比较,如果Cookie ID已经过期,就将其删除。
步骤316,统计和判断。统计每一个源IP对应的所有门户网站的Cookie ID中Cookie ID个数的最大值。如果该最大值为1,则说明该IP下面没有多机共享上网;否则,该最大值即为该网络环境下的主机数目。
步骤318,用户进入展现界面,对分析结果,即检测结果进行报表查看,可根据上网用户IP、帐号、区域等信息进行检索。
步骤320,用户可以根据检测日志报告的情况设置相应的控制策略实现对未授权的共享接入行为进行有效打击、警告或遏制。
图4示出了根据本发明的实施例的Cookie的屏幕截图。
如图4,是网站访问HTTP包内容关于Cookie部分的截图。Cookie是大部分网站为了辨别用户身份而存储在用户本地终端的数据。当用户浏览某网站时,Web服务器会发送给用户一个包含日期时间和用户信息的Cookie,用户的浏览器在获得页面的同时会将这个Cookie保存在用户硬盘上的某个文件夹下。当用户在此访问该网站时,会带出该Cookie,网站根据Cookie得到用户的相关信息,就可以做出相应的动作,如用户不必每次输入帐号,密码就可直接登录等。
在HTTP协议中,网络服务器会给初次访问该网站的用户通过HTTP200 OK回应包中的Set-Cookie字段分配Cookie,用户获得Cookie之后在每次发送给该网站的HTTP请求包中都会有该Cookie的信息。
Cookie的格式如下:
Set-Cookie:Name=Value;Expires=Date;Path=Path;Domain=Domain_NAME;Secure
其中,只有Name=Value为必选项,是网站分配给用户的唯一ID值,Expires属性用以确定Cookie的有效期。在Cookie有效期内,同一网站为不同用户分配的ID值不同。当指定IP地址的数据包通过监控设备时,服务器可以对其进行分析,监听HTTP请求报文,读取其中的网站地址和相应的Cookie ID并记录下来,如果访问相同网站的Cookie ID值不只一个,就可以确定这个IP地址有多台主机共享,并且,有几个CookieID就说明有几台主机。
图5示出了根据本发明的实施例的综合性共享网络接入检测技术的示意图。
如图5所示,基于IPID连续性检测法、IPID离散检测法、TCP序号连续性检测法以及HTTP包头检测法,本方案提出了Cookie ID分析检测法,本方案以Cookie ID值为依据,对多机共享上网环境进行识别并精确统计网关或代理后面的主机数量,不会发生误判或多判的情况,完全符合业界的检测标准,同时克服了IPID检测方案准确度受内网的流量及用户使用协议的影响的弊端,消除了当网关路由设备修改底层协议字段后IPID检测方案无效的重大缺陷,同时相对于行为特征检测方案,还拥有较高的检测准确率,因此,是一种非常实用的检测方案。
通过本发明的技术方案,电信等运营商可进一步将检测效果精确化,对于避免宽带接入运营收费流失,具有明显的经济效益。
运营商可以使用多种检测技术组合来提高检测效果,使共享上网的用户无法回避各种手段的检测结果,从而提高检测的准确度,降低了因检测破解技术提高带来的漏检漏报风险。
以上结合附图详细说明了本发明的技术方案,通过本发明的技术方案,能够有效提高共享接入检测的精确度,同时能避免某些通过打乱IPID的发包规律、顺序或者分散IPID的技术手段逃避检测,导致检测不到共享接入的情况。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络接入检测系统,其特征在于,包括:
采集单元,采集网络中的数据包,从所述数据包中获取HTTP协议的上行流量和下行流量;
数据包提取单元,从所述上行流量中提取出含有Cookie字段的数据包,以及从所述下行流量中提取出含有Set-Cookie关键字段的数据包;
数据存储单元,从所述含有Cookie字段的数据包和所述含有Set-Cookie关键字段的数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据所述源IP地址和所述目的IP地址两者与所述对应Cookie ID值的信息之间的对应关系,对所述源IP地址、所述目的IP地址及所述对应的Cookie ID值的信息进行存储;
主机数目确定单元,读取所述数据存储单元中存储的数据,统计同一个源IP地址下,每个目的IP地址对应的Cookie ID值的信息的个数,根据所述个数确定所述网络中的主机数目。
2.根据权利要求1所述的网络接入检测系统,其特征在于,所述主机数目确定单元确定从指定的源IP地址接入所述网络的主机数目。
3.根据权利要求2所述的网络接入检测系统,其特征在于,所述主机数目确定单元包括:
信息添加子单元,在所述数据存储单元提取到所述Cookie ID值的信息时,根据所述源IP地址和所述目的IP地址查找所述对应的Cookie ID值的信息,如果找到所述Cookie ID值的信息,则不做任何处理,如果未找到所述Cookie ID值的信息,则添加所述Cookie ID值的信息到所述存储数据中。
4.根据权利要求3所述的网络接入检测系统,其特征在于,所述Cookie ID值的信息中包含Cookie的有效期,则所述主机数目确定单元还包括:
结果上报子单元,预设上报周期,当到达上报周期时,查找同一个源IP地址下每个目的IP地址对应的Cookie ID值的信息,将所述Cookie的有效期和当前时间进行比较,如果所述Cookie已经过期,将所述CookieID值的信息删除。
5.根据权利要求1至4中任一项所述的网络接入检测系统,其特征在于,还包括:
界面展现单元,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。
6.一种网络接入检测方法,其特征在于,包括:
步骤202,采集网络中的数据包,从所述数据包中获取HTTP协议的上行流量和下行流量;
步骤204,从所述上行流量中提取出含有Cookie字段的数据包,以及从所述下行流量中提取出含有Set-Cookie关键字段的数据包;
步骤206,从所述含有Cookie字段的数据包和所述含有Set-Cookie关键字段的数据包中提取出源IP地址、目的IP地址及对应的Cookie ID值的信息,并根据所述源IP地址和所述目的IP地址两者与所述对应CookieID值的信息之间的对应关系,对所述源IP地址、所述目的IP地址及所述对应的Cookie ID值的信息进行存储;
步骤208,读取存储的数据,统计同一个源IP地址下,每个目的IP地址对应的Cookie ID值的信息的个数,根据所述个数确定所述网络中的主机数目。
7.根据权利要求6所述的网络接入检测方法,其特征在于,所述步骤208包括:确定从指定的源IP地址接入所述网络的主机数目。
8.根据权利要求7所述的网络接入检测方法,其特征在于,所述步骤208还包括:
在提取到所述Cookie ID值的信息时,根据所述源IP地址和所述目的IP地址查找所述对应的Cookie ID值的信息,如果找到所述Cookie ID值的信息,则不做任何处理,如果未找到所述Cookie ID值的信息,则添加所述Cookie ID值的信息到所述存储数据中。
9.根据权利要求8所述的网络接入检测方法,其特征在于,所述Cookie ID值的信息中包含Cookie的有效期,则所述步骤208还包括:
预设上报周期,当到达上报周期时,查找同一个源IP地址下每个目的IP地址对应的Cookie ID值的信息,将所述Cookie的有效期和当前时间进行比较,如果所述Cookie已经过期,将所述Cookie ID值的信息删除。
10.根据权利要求6至9中任一项所述的网络接入检测方法,其特征在于,还包括:
步骤210,提供展现界面,展现所述结果上报子单元上报的数据和/或接入所述网络的主机数目。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012105041704A CN102984003A (zh) | 2012-11-30 | 2012-11-30 | 网络接入检测系统和网络接入检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012105041704A CN102984003A (zh) | 2012-11-30 | 2012-11-30 | 网络接入检测系统和网络接入检测方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102984003A true CN102984003A (zh) | 2013-03-20 |
Family
ID=47857764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012105041704A Pending CN102984003A (zh) | 2012-11-30 | 2012-11-30 | 网络接入检测系统和网络接入检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102984003A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457789A (zh) * | 2013-08-15 | 2013-12-18 | 北京星网锐捷网络技术有限公司 | 一种并机检测方法和装置 |
| CN105763357A (zh) * | 2015-01-05 | 2016-07-13 | 中国移动(深圳)有限公司 | 一种系统拓扑的绘制方法及装置 |
| CN105813114A (zh) * | 2016-03-07 | 2016-07-27 | 北京星网锐捷网络技术有限公司 | 一种确定接入共享主机方法及装置 |
| CN106850599A (zh) * | 2017-01-18 | 2017-06-13 | 中国科学院信息工程研究所 | 一种基于融合用户行为和迅雷id的nat检测方法 |
| CN108024291A (zh) * | 2016-11-01 | 2018-05-11 | 中兴通讯股份有限公司 | 一种移动网络中共享上网检测的方法及装置 |
| CN108111476A (zh) * | 2017-08-08 | 2018-06-01 | 西安交大捷普网络科技有限公司 | C&c通道检测方法 |
| CN111079044A (zh) * | 2019-12-17 | 2020-04-28 | 武汉绿色网络信息服务有限责任公司 | 一种共享检测方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060198311A1 (en) * | 2005-03-04 | 2006-09-07 | Stsn General Holdings Inc. | Detection of multiple users of a network access node |
| CN101035031A (zh) * | 2007-04-03 | 2007-09-12 | 华为技术有限公司 | 检测共享接入的主机数目的方法和装置 |
| CN101291327A (zh) * | 2008-06-06 | 2008-10-22 | 华为技术有限公司 | 一种检测共享接入主机数的方法及装置 |
| CN101442450A (zh) * | 2008-12-24 | 2009-05-27 | 成都市华为赛门铁克科技有限公司 | 一种检测共享接入终端数量的方法、系统及装置 |
-
2012
- 2012-11-30 CN CN2012105041704A patent/CN102984003A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060198311A1 (en) * | 2005-03-04 | 2006-09-07 | Stsn General Holdings Inc. | Detection of multiple users of a network access node |
| CN101035031A (zh) * | 2007-04-03 | 2007-09-12 | 华为技术有限公司 | 检测共享接入的主机数目的方法和装置 |
| CN101291327A (zh) * | 2008-06-06 | 2008-10-22 | 华为技术有限公司 | 一种检测共享接入主机数的方法及装置 |
| CN101442450A (zh) * | 2008-12-24 | 2009-05-27 | 成都市华为赛门铁克科技有限公司 | 一种检测共享接入终端数量的方法、系统及装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457789A (zh) * | 2013-08-15 | 2013-12-18 | 北京星网锐捷网络技术有限公司 | 一种并机检测方法和装置 |
| CN105763357A (zh) * | 2015-01-05 | 2016-07-13 | 中国移动(深圳)有限公司 | 一种系统拓扑的绘制方法及装置 |
| CN105763357B (zh) * | 2015-01-05 | 2019-03-15 | 中移信息技术有限公司 | 一种系统拓扑的绘制方法及装置 |
| CN105813114A (zh) * | 2016-03-07 | 2016-07-27 | 北京星网锐捷网络技术有限公司 | 一种确定接入共享主机方法及装置 |
| CN108024291A (zh) * | 2016-11-01 | 2018-05-11 | 中兴通讯股份有限公司 | 一种移动网络中共享上网检测的方法及装置 |
| CN108024291B (zh) * | 2016-11-01 | 2023-02-24 | 中兴通讯股份有限公司 | 一种移动网络中共享上网检测的方法及装置 |
| CN106850599A (zh) * | 2017-01-18 | 2017-06-13 | 中国科学院信息工程研究所 | 一种基于融合用户行为和迅雷id的nat检测方法 |
| CN106850599B (zh) * | 2017-01-18 | 2019-12-03 | 中国科学院信息工程研究所 | 一种基于融合用户行为和迅雷id的nat检测方法 |
| CN108111476A (zh) * | 2017-08-08 | 2018-06-01 | 西安交大捷普网络科技有限公司 | C&c通道检测方法 |
| CN108111476B (zh) * | 2017-08-08 | 2021-01-19 | 西安交大捷普网络科技有限公司 | C&c通道检测方法 |
| CN111079044A (zh) * | 2019-12-17 | 2020-04-28 | 武汉绿色网络信息服务有限责任公司 | 一种共享检测方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
| CN102984003A (zh) | 网络接入检测系统和网络接入检测方法 | |
| CN104391979B (zh) | 网络恶意爬虫识别方法及装置 | |
| CN104113519B (zh) | 网络攻击检测方法及其装置 | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| US10885466B2 (en) | Method for performing user profiling from encrypted network traffic flows | |
| CN105357195A (zh) | web访问的越权漏洞检测方法及装置 | |
| CN107465651A (zh) | 网络攻击检测方法及装置 | |
| CN103929440B (zh) | 基于web服务器缓存匹配的网页防篡改装置及其方法 | |
| TW201824047A (zh) | 攻擊請求的確定方法、裝置及伺服器 | |
| CN102945340B (zh) | 信息对象检测方法及系统 | |
| Pulls et al. | Website fingerprinting with website oracles | |
| CN102882748A (zh) | 网络接入检测系统和网络接入检测方法 | |
| CN108768921B (zh) | 一种基于特征检测的恶意网页发现方法及系统 | |
| CN104935609A (zh) | 网络攻击检测方法及检测设备 | |
| CN110636068B (zh) | 在cc攻击防护中识别未知cdn节点的方法以及装置 | |
| US20140130167A1 (en) | System and method for periodically inspecting malicious code distribution and landing sites | |
| CN103701816B (zh) | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 | |
| WO2013026362A1 (zh) | 用于网络流量监控的方法和系统 | |
| CN104933069A (zh) | 一种桌面终端上网浏览统计的分析方法和系统 | |
| CN102130791B (zh) | 一种在网关上检测代理的方法、装置及网关服务器 | |
| CN107528812A (zh) | 一种攻击检测方法及装置 | |
| CN107800686A (zh) | 一种钓鱼网站识别方法和装置 | |
| CN105159992A (zh) | 一种应用程序的页面内容及网络行为的检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130320 |