CN103152325A - 防止通过共享方式访问互联网的方法及装置 - Google Patents
防止通过共享方式访问互联网的方法及装置 Download PDFInfo
- Publication number
- CN103152325A CN103152325A CN2013100352858A CN201310035285A CN103152325A CN 103152325 A CN103152325 A CN 103152325A CN 2013100352858 A CN2013100352858 A CN 2013100352858A CN 201310035285 A CN201310035285 A CN 201310035285A CN 103152325 A CN103152325 A CN 103152325A
- Authority
- CN
- China
- Prior art keywords
- packet
- user
- characteristic value
- internet
- place
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种防止通过共享方式访问互联网的方法及装置,该方法包括以下步骤:截取终端访问互联网的数据包,识别当前数据包所在用户是否处于代理状态;若否,则将数据包与预置数据包规则进行匹配;在数据包与预置数据包规则匹配成功时,提取数据包中包含的特征值,将数据包的特征值与数据包所在用户已保存的特征值进行比对;若数据包的特征值与已保存的特征值不一致,则将数据包标识为代理状态;具有准确识别并阻止终端通过共享访问互联网的有益效果,提高了网络行为识别的准确性和网络信息的安全性。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种防止通过共享方式访问互联网的方法及装置。
背景技术
随着网络技术的普及,互联网已经渗透到工作和生活的各个方面,随之而来的对网络管控的问题也一直备受关注,尤其是对通过内网代理进行上网的管控。比如,通过代理技术,让内网中原本没有上网权限的计算机能够上网,从而导致监控设备无法辨别发生上网行为的计算机到底是哪一个;因此,在网关上识别内网中是否存在通过共享访问互联网是非常必要的,可以直接通过网关阻止非法的通过共享来访问互联网的终端。
常用的识别通过代理及NAT(Network Address Translator,网络地址转换)上网的方法有:
①检查下级IP包的IP-ID(Identity,识别码)是否连续,若不连续,则判定下级使用NAT上网;由于网关设备采集到下级IP包的报文有可能乱序的,此时IP-ID就不是连续的,因此通过IP-ID是否连续来判定是否通过共享访问互联网存在很大的误判风险。②检查下级IP包的TTL(Time To Live,生存时间)值是否为32、64、128这几个值,如果不是,则判定下级使用了NAT;由于目前市场上的部分网络设备(如路由器等),不按规范操作,随意修改TTL值,因此这种方式也会导致漏判或误判;③检测数据报文中HTTP(Hyper Text Transport Protocol,超文本传输协议)报头的UA(User Agent,用户代理)字段因操作系统版本、浏览器版本和补丁的不同来判断下级是否使用了NAT,这种方式也是行不通的,因为很多浏览器支持用户自定义UA;④通过某种应用比如QQ的个数来判定是否通过代理上网,均会出现高频率的漏判或误判;上述方式均无法做到准确的识别计算机是否通过代理或NAT上网。
发明内容
本发明的主要目的是提供一种防止通过共享方式访问互联网的方法及装置,旨在准确识别并阻止终端通过共享访问互联网。
本发明公开了一种防止通过共享方式访问互联网的方法,包括以下步骤:
截取终端访问互联网的数据包,识别当前数据包所在的用户是否处于代理状态;
若否,则将所述数据包与预置数据包规则进行匹配;
在所述数据包与预置数据包规则匹配成功时,提取所述数据包中包含的特征值,将所述数据包的特征值与所述数据包所在的用户已保存的特征值进行比对;
若所述数据包的特征值与所述已保存的特征值不一致,则将所述数据包所在用户的状态标识为代理状态。
优选地,所述截取终端访问互联网的数据包,识别当前数据包所在的用户是否处于代理状态的步骤之后还包括步骤:
若是,则丢弃当前数据包,拒绝当前数据包所在的用户访问互联网。
优选地,所述数据包的特征值与所述已保存的特征值一致时,将所述数据包放通,允许所述数据包所在的用户访问互联网。
优选地,所述截取终端访问互联网的数据包,识别当前数据包所在的用户是否处于代理状态的步骤之前还包括步骤:
获取并保存允许访问互联网的用户能够使用的各应用软件对应的特征值。
优选地,所述各应用软件对应的特征值由所述应用软件根据预置算法获取且标识唯一用户。
本发明还公开了一种防止通过共享方式访问互联网的装置,包括:
状态识别模块,用于截取终端访问互联网的数据包,识别当前数据包所在的用户是否处于代理状态;
数据处理模块,用于识别当前数据包所在的用户没有处于代理状态时,则将所述数据包与预置数据包规则进行匹配;在所述数据包与预置数据包规则匹配成功时,提取所述数据包中包含的特征值,将所述数据包的特征值与所述数据包所在的用户已保存的特征值进行比对;若所述数据包的特征值与所述已保存的特征值不一致,则将所述数据包所在用户的状态标识为代理状态。
优选地,所述防止通过共享方式访问互联网的装置还包括:
访问拦截模块,用于识别当前数据包所在的用户处于代理状态时,丢弃所述当前数据包,拒绝所述当前数据包所在的用户访问互联网。
优选地,所述数据处理模块还用于:
所述数据包的特征值与所述已保存的特征值一致时,将所述数据包放通,允许所述数据包所在的用户访问互联网。
优选地,所述防止通过共享方式访问互联网的装置还包括:
数据存储模块,用于获取并保存允许访问互联网的用户能够使用的各应用软件对应的特征值。
优选地,所述各应用软件对应的特征值由所述应用软件根据预置算法获取且标识唯一用户。
本发明通过截取终端访问互联网的数据包,识别该数据包所在的用户不是处于代理状态时,将该数据包与预置数据包规则进行匹配,匹配成功时,提取数据包中包含的特征值,将该数据包的特征值与该数据包所在的用户已保存的特征值进行对比,比对不一致时,将该数据包所在的用户标识为代理状态的方法,具有准确识别并阻止终端通过共享访问互联网的有益效果,提高了网络行为识别的准确性和网络信息的安全性。
附图说明
图1是本发明防止通过共享方式访问互联网的方法所应用的代理环境中网络结构部署一实施例结构示意图;
图2是本发明防止通过共享方式访问互联网的方法中分析设备一实施例结构示意图;
图3是本发明防止通过共享方式访问互联网的方法一实施例流程示意图;
图4是本发明防止通过共享方式访问互联网的方法中某软件的指纹特征示意图;
图5是本发明防止通过共享方式访问互联网的方法又一实施例流程示意图;
图6是本发明防止通过共享方式访问互联网的装置一实施例功能模块示意图;
图7是本发明防止通过共享方式访问互联网的装置又一实施例功能模块示意图;
图8是本发明防止通过共享方式访问互联网的装置另一实施例功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明防止通过共享方式访问互联网的方法可以适用于NAT、主要靠软件的设置实现路由器功能的软路由及应用层代理等各种代理情况,不受任何特殊环境的限制。在代理环境的典型网络结构中,可以在网关和交换机之间部署一台分析设备,由分析设备采用本发明防止通过共享方式访问互联网的方法对通过共享非法访问的终端进行拦截或封堵,从而确保网络行为的规范性及网络信息的安全性。在需要多台分析设备的代理环境中,分析设备可以根据具体应用的代理环境采取相应的部署方式,比如可以采取串接的方式进行部署,也可以采取旁路的方式进行部署等。分析设备的一种典型部署方式请参照图1,图1是本发明防止通过共享方式访问互联网的方法所应用的代理环境中网络结构部署一实施例结构示意图;图1所示的分析设备部署网关和交换机之间,有效地防止了网络代理环境中通过共享方式利用同一终端或不同终端访问互联网的用户行为。
分析设备的结构可以为但不限于图2所述的示意图,请参照图2,图2是本发明防止通过共享方式访问互联网的方法中分析设备一实施例结构示意图;图2所示的分析设备中,上网策略配置模块进行页面防共享上网功能的页面配置和CGI(Common Gateway Interface,公共网关接口)下发;策略下发模块将CGI生成的上网策略下发到策略管理驱动模块;策略管理驱动模块管理所有与驱动相关的上网策略;代理检测配置模块对代理检测的所有规则进行页面配置并通过CGI下发;代理检测后台模块将代理检测规则下发给代理检测驱动模块,并与代理检测驱动模块通信,获取代理检测驱动模块的日志信息;代理检测驱动模块为代理检测的核心模块,根据检测规则进行代理特征提取、代理判断、封堵用户及上传日志至代理检测后台模块;日志处理模块处理代理日志,并将日志导入数据库;数据库提供查询功能。该分析设备的核心部分为驱动层的相关模块,分析设备通过对终端应用软件的报文的过滤,从应用的特定报文中提取出应用指纹特征,并记录到对应的模块中;当发现同一用户、同一应用的指纹特征不相同时,将该用户设置为代理状态,并进行一定时间的上网封堵。所述指纹特征即终端用户的应用所对应数据包的特征值,通过该应用对应的特征值可以确定唯一的一个用户。
基于以上描述,请参照图3,图3是本发明防止通过共享方式访问互联网的方法一实施例流程示意图;如图3所示,本发明防止通过共享方式访问互联网的方法包括以下步骤:
步骤S01、截取终端访问互联网的数据包,识别当前数据包所在的用户是否处于代理状态;若否,则执行步骤S02;
步骤S02、将当前数据包与预置数据包规则进行匹配;
分析设备监听并抓取终端用户访问互联网的数据包,该数据包可以是NAT之后或者软件代理后的数据报文,分析设备首先识别该数据包所在的用户是否处于代理状态;即此类数据包所在的用户是否在此之前已经尝试访问互联网;若此类数据包所在的用户在此之前已尝试访问互联网,则分析设备可能已经对此类数据包所在的用户进行过是否为代理上网的分析,这时分析设备只需通过识别该数据包所在的用户是否处于代理状态来采取对应的措施。
若识别到该数据包所在的用户处于代理状态,则分析设备可以根据预先设定的规则对该数据包进行对应操作,比如,记录该数据包及该数据包所在的用户的状态为代理状态;或者,对该数据包采取封堵措施,比如直接丢弃该数据包,拒绝该数据包所在用户及该用户对应的终端上的应用程序对互联网的访问。
若分析设备识别到该数据包所在的用户不是处于代理状态,则将该数据包进行后续的过滤等一系列处理,比如采用多模式或有穷自动机的方式将该数据包与预置数据包规则进行匹配。所述预置数据包规则可以根据应用程序在代理环境中通过共享方式访问互联网的某些特征或规则进行设置,本实施例对预置数据包规则设置的具体依据及具体设置方式不做限定。
步骤S03、在所述数据包与预置数据包规则匹配成功时,提取所述数据包中包含的特征值;
在所述数据包与预置数据包规则匹配成功时,说明该数据包所在的用户使用了对应的应用程序或应用软件,分析设备从该数据包的数据报文中提取出该数据包的特征值,所述提取的数据包的特征值即所述的指纹特征,根据数据包的特征值可以确定唯一一个发送该数据包的终端用户。
在所述数据包与预置数据包规则匹配不成功时,分析设备识别该数据包为无效数据包,即该数据包不是分析设备关注的对应应用的数据包,因此分析设备直接放通该数据包,允许该数据包所在的用户及该用户对应的终端的应用程序或应用软件访问互联网。
步骤S04、将所述数据包的特征值与所述数据包所在的用户已保存的特征值进行比对,识别所述数据包的特征值与所述已保存的特征值是否一致;若否,则执行步骤S05;若是,则执行步骤S06;
步骤S05、将所述数据包所在用户的状态标识为代理状态;
步骤S06、将该数据包放通。
分析设备将提取的所述数据包的特征值与该数据包所在的用户已保存的特征值进行比对,识别所述数据包的特征值与该数据包所在的用户已保存的特征值是否一致。所述数据包所在的用户已保存的特征值与该终端用户使用的应用软件或应用程序唯一对应,即该用户使用的应用软件或应用程序根据自己特有的算法计算并获取对应的指纹特征,该指纹特征可以唯一确定该应用软件或应用程序及所在的终端用户,将上述的指纹特征作为对应的应用软件或应用程序的特征值及应用软件或应用程序对应的数据包的特征值。上述特征值的获取方式及唯一性决定了该特征值不能被终端或者路由器等中间网络设备修改,且该特征值稳定、可靠、有规律可循而又不会随着软件版本的不同以及软件的安装与卸载而发生改变,因此,通过该特征值能够毫无疑问地唯一定位一终端用户。
分析设备将数据包的特征值与该数据包所在的用户已保存的特征值比对时若出现二者不一致的情况,比如:如果一个用户IP上出现同一款软件的指纹特征大于等于2个,那么即可判定为这个用户有共享行为,则分析设备认为该数据包的特征值所对应的用户使用了共享上网,分析设备将该数据包作在的用户标识为代理状态,本次放通该数据包;在分析设备下次检测到当前数据包所在的用户处于代理状态时,分析设备可以根据预先设定的规则对该数据包进行对应操作,比如,将记录将该数据包及该数据包所在的用户的状态为代理状态;或者,对该数据包采取封堵措施,比如直接丢弃所述数据包,拒绝所述数据包特征值所对应的用户访问互联网;本领域的技术人员可以理解,由于终端某一应用程序或应用软件访问互联网时发送的数据包数量不计其数,因此即使放通当前处理的数据包,也丝毫不会影响后续阻止此类数据包所在的用户访问互联网。
若分析设备比对该数据包的特征值与该数据包所在的用户已保存的特征值的比对结果为二者一致,则认为该数据包所在的用户是正常上网状态,放通该数据包并允许对应的用户及该用户所使用的应用程序或应用软件访问互联网。
在一优选的实施例中,所述分析设备将提取的所述数据包的特征值与该数据包所在的用户已保存的特征值进行比对的方式包括:分析设备将提取的所述数据包的特征值与该数据包所在的用户在预置时长内保存的对应于同一应用软件的特征值进行比对,该比对方式节省了分析设备对数据包特征值进行分析对比的时间,提高了分析设备的效率;本领域的技术人员可以理解,上述仅仅是分析设备将提取的数据包的特征值与该数据包所在用户已保存的特征值进行比对的一种具体实施方式;由于应用程序或应用软件的多样性,及用户提取并保存各应用程序或应用软件对应的特征值的不同方式,本实施例对分析设备将提取的当前数据包的特征值与该数据包所在用户已保存的特征值进行比对的具体比对方式不做限定。
下面将以具体的应用场景再次具体描述本发明防止通过共享方式访问互联网的方法的具体实现过程。假设该具体应用场景为某一终端上的360安全卫士发送访问互联网的数据包。
分析设备接收到360安全卫士发送的访问互联网的数据包后,与配置文件中的预置数据包规则进行匹配,参照图4,图4是本发明防止通过共享方式访问互联网的方法中某软件的指纹特征示意图;图4所示的示意图即360安全卫士的指纹特征示意图,如图4所示,匹配预置数据包规则后,提取该数据包中包含的特征值,并将该数据包的特征值记录保存在分析设备中;在图2所示的分析设备的其中一种结构方式中,可以将该数据包的特征值保存在分析设备的代理检测驱动模块中。当下次有同样的指纹特征出现即有同样的数据包的特征值出现时,分析设备与已保存的特征值进行比对,若二者一致,则表明该数据包所在的用户通过正常途径访问互联网;若二者不一致,则分析设备可以根据预先设置的上网策略对该数据包的特征值所唯一对应的用户进行封堵,阻止该用户访问互联网。
本实施例通过截取终端访问互联网的数据包,识别该数据包所在的用户不是处于代理状态时,将该数据包与预置数据包规则进行匹配,匹配成功时,提取数据包的特征值,将该数据包的特征值与该数据包所在的用户已保存的特征值进行对比,比对不一致时,将该数据包所在的用户标识为代理状态的方法,具有准确识别并阻止终端通过共享访问互联网的有益效果,提高了网络行为识别的准确性和网络信息的安全性。
参照图5,图5是本发明防止通过共享方式访问互联网的方法又一实施例流程示意图;本实施例与图3所述实施例的区别是,仅增加了步骤S00;本实施例仅对步骤S00作具体描述,本发明防止通过共享方式访问互联网的方法所涉及的其他步骤请参照相关实施例的具体描述,在此不再赘述。
如图5所示,本发明防止通过共享方式访问互联网的方法在步骤S01、接收终端访问互联网的数据包,识别所述数据包是否处于代理状态之前还包括步骤:
步骤S00、获取并保存允许访问互联网的用户能够使用的各应用软件对应的特征值。
分析设备获取并保存某一用户能够使用的各应用软件对应的特征值,获取方式包括:应用软件为了统计用户量,在其每个客户端或者终端都会定期或不定期的发出诸如SSID(Service Set Identifier,服务集标识符)、硬件号等能够唯一确定一个用户的特征值;部分基于云技术实现的应用软件,会上报用户的使用行为习惯,发送到云端服务器,在这些报文中会带有唯一确定一台PC的特征;大部分应用软件,都需要定期或不定期的往其服务器发送检查软件更新的报文,而在这些报文当中,会带有唯一确定一台PC的特征。
本领域的技术人员可以理解,由于应用软件种类繁多且触发方式也各有不同,分析设备对各应用软件对应的特征值的获取方式也各不相同,本实施例对上述获取方式将不进行一一穷举,本实施例对分析设备获取特征值的具体方式不作限定。
所述特征值可以为:IP类,比如腾讯QQ 运行时直接带有其网卡的IP地址;MAC类,比如迅雷软件运行时直接带有其MAC(Media AccessControl,介质访问控制)地址;硬件ID类,比如360安全卫士、搜狗输入法等应用软件通过计算硬件号计算出来的形成一组稳定的密文也可以作为其对应的特征值。
本领域的技术人员可以理解,由于应用软件种类繁多且各自按照自身的不同算法获取的特征值也各不相同,因此特征值的类别及表现形式也可以多种多样,本实施例对特征值的类别及表现形式将不进行一一穷举,本实施例对特征值的类别及具体表现形式不作限定。
本实施例通过获取并保存允许访问互联网的用户能够使用的各应用软件对应的特征值的方法,更进一步地提高了网络行为识别的准确性。
结合图2实施例的具体描述,请参照图6,图6是本发明防止通过共享方式访问互联网的装置一实施例功能模块示意图,图6所示的防止通过共享方式访问互联网的装置可以理解为图2所示的分析设备中的一个组成部分;如图6所示,本发明防止通过共享方式访问互联网的装置包括:状态识别模块01、和数据处理模块02。
状态识别模块01,用于截取终端访问互联网的数据包,识别当前数据包所在的用户是否处于代理状态。
状态识别模块01监听并抓取终端访问互联网的数据包,该数据包可以是NAT之后或者软件代理后的数据报文,状态识别模块01识别该数据包所在的用户是否处于代理状态;即此类数据包所在的用户是否在此之前已经尝试访问互联网。若此类数据包所在的用户在此之前已尝试访问互联网,则状态识别模块01可能已经对此类数据包所在的用户进行过是否为代理上网的分析,这时状态识别模块01只需通过识别该数据包所在的用户是否处于代理状态来采取对应的措施。
状态识别模块01识别到该数据包所在的用户处于代理状态时,由所述防止通过共享方式访问互联网的装置中的对应模块对该数据包及该数据包所在的用户按照预先设定的规则进行处理,比如记录该数据包所在用户的状态为代理状态或者直接封堵该数据包所在的用户访问互联网等。
请参照图7,图7是本发明防止通过共享方式访问互联网的装置又一实施例功能模块示意图;本实施例与图6所述实施例的区别是,仅增加了访问拦截模块03;如图7所示,访问拦截模块03用于,识别当前数据包所在的用户处于代理状态时,丢弃所述当前数据包,拒绝所述当前数据包所在的用户访问互联网。
在状态识别模块01识别到当前数据包所在的用户处于代理状态时,由访问拦截模块03直接丢弃所述数据包,拒绝所述数据包特征值所对应的用户访问互联网。本领域的技术人员可以理解,由于终端某一应用程序或应用软件访问互联网时发送的数据包数量不计其数,因此即使放通当前数据包,也丝毫不会影响后续阻止此类数据包所在的用户访问互联网。
数据处理模块02,用于识别当前数据包所在的用户没有处于代理状态时,则将所述数据包与预置数据包规则进行匹配;在所述数据包与预置数据包规则匹配成功时,提取所述数据包中包含的特征值,将所述数据包的特征值与所述数据包所在的用户已保存的特征值进行比对;若所述数据包的特征值与所述已保存的特征值不一致,则将所述数据包所在用户的状态标识为代理状态。
若状态识别模块01识别到该数据包所在的用户不是处于代理状态,则数据处理模块02将该数据包进行后续的过滤等一系列处理,比如采用多模式或有穷自动机的方式将该数据包与预置数据包规则进行匹配。所述预置数据包规则可以根据应用程序在代理环境中共享上网的某些特征或规则进行设置,本实施例对预置数据包规则设置的具体依据及具体设置方式不做限定。
在所述数据包与预置数据包规则匹配成功时,说明该数据包所在的用户使用了对应的应用程序或应用软件,数据处理模块02从该数据包的数据报文中提取出该数据包的特征值,所述提取的数据包的特征值即所述的指纹特征,根据数据包的特征值可以确定唯一一个发送该数据包的终端用户。
在所述数据包与预置数据包规则匹配不成功时,数据处理模块02识别该数据包为无效数据包,即该数据包不是数据处理模块02所关注的对应应用的数据包,因此数据处理模块02直接放通该数据包,允许该数据包所在的用户及该用户使用应用程序或应用软件访问互联网。
数据处理模块02将提取的所述数据包的特征值与该数据包所在的用户已保存的特征值进行比对,识别所述数据包的特征值与该数据包所在的用户已保存的特征值是否一致。所述数据包所在的用户已保存的特征值与该终端用户使用的应用软件或应用程序唯一对应,即该用户使用应用软件或应用程序根据自己特有的算法计算并获取对应的指纹特征,该指纹特征可以唯一确定该应用软件或应用程序及所在的终端用户,将上述指纹特征作为对应的应用软件或应用程序的特征值及应用软件或应用程序对应的数据包的特征值。上述特征值获取方式及唯一性决定了该特征值不能被终端或者路由器等中间网络设备修改,且该特征值稳定、可靠、有规律可循而又不会随着软件版本的不同以及软件的安装与卸载而发生改变,因此,通过该特征值能够毫无疑问地唯一定位一终端用户。
数据处理模块02将数据包的特征值与该数据包所在的用户已保存的特征值比对时若出现二者不一致的情况,比如:如果一个用户IP上出现同一款软件的指纹特征大于等于2个,那么即可判定为这个用户有共享行为,则数据处理模块02认为该数据包的特征值所对应的用户使用了共享上网,数据处理模块02将此类数据包所在的用户标识为代理状态,本次放通该数据包;在状态识别模块01下次检测到此类数据包所在的用户处于代理状态时,由所述防止通过共享方式访问互联网的装置中的对应模块对该数据包及该数据包所在的用户按照预先设定的规则进行处理,比如记录该数据包所在用户的状态;或者,由图7所示的访问拦截模块03直接丢弃所述数据包,拒绝所述数据包特征值所对应的用户访问互联网。本领域的技术人员可以理解,由于终端某一应用程序或应用软件访问互联网时发送的数据包数量不计其数,因此即使放通当前数据包,也丝毫不会影响后续阻止此类数据包所在的用户访问互联网。
若数据处理模块02比对该数据包的特征值与该数据包所在的用户已保存的特征值的比对结果为二者一致,则认为该数据包所在的用户是正常上网状态,放通该数据包并允许对应的用户及该用户所使用的应用程序或应用软件访问互联网。
在一优选的实施例中,数据处理模块02将提取的所述数据包的特征值与该数据包所在的用户已保存的特征值进行比对的方式包括:数据处理模块02将提取的所述数据包的特征值与该数据包所在的用户在预置时长内保存的对应于同一应用软件的特征值进行比对,该比对方式节省了数据处理模块02对数据包特征值进行分析对比的时间,提高了数据处理模块02的效率;本领域的技术人员可以理解,上述仅仅是数据处理模块02将提取的数据包的特征值与该数据包所在用户已保存的特征值进行比对的一种具体实施方式;由于应用程序或应用软件的多样性,及用户提取并保存各应用程序或应用软件对应的特征值的不同方式,本实施例对数据处理模块02将提取的当前数据包的特征值与该数据包所在用户已保存的特征值进行比对的具体比对方式不做限定。
本发明防止通过共享方式访问互联网的装置在具体应用场景中的具体实现过程请参照图4相关实施例的具体描述,在此不再赘述。
本实施例通过截取终端访问互联网的数据包,识别该数据包所在的用户不是处于代理状态时,将该数据包与预置数据包规则进行匹配,匹配成功时,提取数据包的特征值,将该数据包的特征值与该数据包所在的用户已保存的特征值进行对比,比对不一致时,将该数据包所在的用户标识为代理状态,具有准确识别并阻止终端通过共享访问互联网的有益效果,提高了网络行为识别的准确性和网络信息的安全性。
请参照图8,图8是本发明防止通过共享方式访问互联网的装置又一实施例功能模块示意图。本实施例与图7所述实施例的区别是,仅增加了数据存储模块04;本实施例仅对数据存储模块04做具体描述,本发明防止通过共享方式访问互联网的装置所涉及的其他模块请参照相关实施例的具体描述,在此不再赘述。
如图8所示,本发明防止通过共享方式访问互联网的装置还包括:
数据存储模块04,用于获取并保存允许访问互联网的用户能够使用的各应用软件对应的特征值。
数据存储模块04获取并保存某一用户能够使用的各应用软件对应的特征值,获取方式包括:应用软件为了统计用户量,在其每个客户端或者终端都会定期或不定期的发出诸如SSID、硬件号等能够唯一确定一个用户的特征值;部分基于云技术实现的应用软件,会上报用户的使用行为习惯,发送到云端服务器,在这些报文中会带有唯一确定一台PC的特征;大部分应用软件,都需要定期或不定期的往其服务器发送检查软件更新的报文,而在这些报文当中,会带有唯一确定一台PC的特征。
本领域的技术人员可以理解,由于应用软件种类繁多且触发方式也各有不同,数据存储模块04对各应用软件对应的特征值的获取方式也各不相同,本实施例对上述获取方式将不进行一一穷举,本实施例对数据存储模块04获取特征值的具体方式不作限定。
所述特征值可以为:IP类,比如腾讯QQ 运行时直接带有其网卡的IP地址;MAC类,比如迅雷软件运行时直接带有其MAC地址;硬件ID类,比如360安全卫士、搜狗输入法等应用软件通过计算硬件号计算出来的形成一组稳定的密文也可以作为其对应的特征值。
本领域的技术人员可以理解,由于应用软件种类繁多且各自按照自身的不同算法获取的特征值也各不相同,因此特征值的类别及表现形式也可以多种多样,本实施例对特征值的类别及表现形式将不进行一一穷举,本实施例对特征值的类别及具体表现形式不作限定。
本实施例通过获取并保存允许访问互联网的用户能够使用的各应用软件对应的特征值,由于该特征值为应用程序或应用软件根据自身的算法计算获取,因此,对应的该特征值不能被终端或任一中间网络设备修改,更进一步地提高了网络行为识别的准确性。
以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种防止通过共享方式访问互联网的方法,其特征在于,包括以下步骤:
截取终端访问互联网的数据包,识别当前数据包所在的用户是否处于代理状态;
若否,则将所述数据包与预置数据包规则进行匹配;
在所述数据包与预置数据包规则匹配成功时,提取所述数据包中包含的特征值,将所述数据包的特征值与所述数据包所在的用户已保存的特征值进行比对;
若所述数据包的特征值与所述已保存的特征值不一致,则将所述数据包所在用户的状态标识为代理状态。
2.如权利要求1所述的方法,其特征在于,所述截取终端访问互联网的数据包,识别当前数据包所在的用户是否处于代理状态的步骤之后还包括步骤:
若是,则丢弃当前数据包,拒绝当前数据包所在的用户访问互联网。
3.如权利要求1所述的方法,其特征在于,所述数据包的特征值与所述已保存的特征值一致时,将所述数据包放通,允许所述数据包所在的用户访问互联网。
4.如权利要求1或2所述的方法,其特征在于,所述截取终端访问互联网的数据包,识别当前数据包所在的用户是否处于代理状态的步骤之前还包括步骤:
获取并保存允许访问互联网的用户能够使用的各应用软件对应的特征值。
5.如权利要求4所述的方法,其特征在于,所述各应用软件对应的特征值由所述应用软件根据预置算法获取且标识唯一用户。
6.一种防止通过共享方式访问互联网的装置,其特征在于,包括:
状态识别模块,用于截取终端访问互联网的数据包,识别当前数据包所在的用户是否处于代理状态;
数据处理模块,用于识别当前数据包所在的用户没有处于代理状态时,则将所述数据包与预置数据包规则进行匹配;在所述数据包与预置数据包规则匹配成功时,提取所述数据包中包含的特征值,将所述数据包的特征值与所述数据包所在的用户已保存的特征值进行比对;若所述数据包的特征值与所述已保存的特征值不一致,则将所述数据包所在用户的状态标识为代理状态。
7.如权利要求6所述的装置,其特征在于,还包括:
访问拦截模块,用于识别当前数据包所在的用户处于代理状态时,丢弃所述当前数据包,拒绝所述当前数据包所在的用户访问互联网。
8.如权利要求6所述的装置,其特征在于,所述数据处理模块还用于:
所述数据包的特征值与所述已保存的特征值一致时,将所述数据包放通,允许所述数据包所在的用户访问互联网。
9.如权利要求6或7所述的装置,其特征在于,还包括:
数据存储模块,用于获取并保存允许访问互联网的用户能够使用的各应用软件对应的特征值。
10.如权利要求9所述的装置,其特征在于,所述各应用软件对应的特征值由所述应用软件根据预置算法获取且标识唯一用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310035285.8A CN103152325B (zh) | 2013-01-30 | 2013-01-30 | 防止通过共享方式访问互联网的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310035285.8A CN103152325B (zh) | 2013-01-30 | 2013-01-30 | 防止通过共享方式访问互联网的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103152325A true CN103152325A (zh) | 2013-06-12 |
| CN103152325B CN103152325B (zh) | 2015-12-09 |
Family
ID=48550188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310035285.8A Active CN103152325B (zh) | 2013-01-30 | 2013-01-30 | 防止通过共享方式访问互联网的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103152325B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105813114A (zh) * | 2016-03-07 | 2016-07-27 | 北京星网锐捷网络技术有限公司 | 一种确定接入共享主机方法及装置 |
| CN105868878A (zh) * | 2015-01-21 | 2016-08-17 | 阿里巴巴集团控股有限公司 | Mac地址的风险识别方法及装置 |
| CN105939231A (zh) * | 2016-05-16 | 2016-09-14 | 杭州迪普科技有限公司 | 共享接入检测方法和共享接入检测装置 |
| CN106411644A (zh) * | 2016-09-30 | 2017-02-15 | 苏州迈科网络安全技术股份有限公司 | 基于dpi技术的网络共享设备检测方法及系统 |
| CN106789858A (zh) * | 2015-11-25 | 2017-05-31 | 广州市动景计算机科技有限公司 | 一种访问控制方法和装置以及服务器 |
| CN107592299A (zh) * | 2017-08-11 | 2018-01-16 | 深信服科技股份有限公司 | 代理上网识别方法、计算机装置及计算机可读存储介质 |
| CN110519106A (zh) * | 2019-09-18 | 2019-11-29 | 南京中孚信息技术有限公司 | 目标网络中设备类型的确定方法、装置及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1881938A (zh) * | 2006-04-27 | 2006-12-20 | 中兴通讯股份有限公司 | 一种预防和检测代理的方法和系统 |
| CN101035031A (zh) * | 2007-04-03 | 2007-09-12 | 华为技术有限公司 | 检测共享接入的主机数目的方法和装置 |
| CN101047502A (zh) * | 2006-03-29 | 2007-10-03 | 中兴通讯股份有限公司 | 一种网络认证方法 |
| US20120124202A1 (en) * | 2010-11-12 | 2012-05-17 | Cameron Blair Cooper | Method, system, and computer program product for identifying and tracking social identities |
-
2013
- 2013-01-30 CN CN201310035285.8A patent/CN103152325B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047502A (zh) * | 2006-03-29 | 2007-10-03 | 中兴通讯股份有限公司 | 一种网络认证方法 |
| CN1881938A (zh) * | 2006-04-27 | 2006-12-20 | 中兴通讯股份有限公司 | 一种预防和检测代理的方法和系统 |
| CN101035031A (zh) * | 2007-04-03 | 2007-09-12 | 华为技术有限公司 | 检测共享接入的主机数目的方法和装置 |
| US20120124202A1 (en) * | 2010-11-12 | 2012-05-17 | Cameron Blair Cooper | Method, system, and computer program product for identifying and tracking social identities |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105868878A (zh) * | 2015-01-21 | 2016-08-17 | 阿里巴巴集团控股有限公司 | Mac地址的风险识别方法及装置 |
| CN105868878B (zh) * | 2015-01-21 | 2019-11-15 | 阿里巴巴集团控股有限公司 | Mac地址的风险识别方法及装置 |
| CN106789858A (zh) * | 2015-11-25 | 2017-05-31 | 广州市动景计算机科技有限公司 | 一种访问控制方法和装置以及服务器 |
| CN106789858B (zh) * | 2015-11-25 | 2019-12-20 | 广州市动景计算机科技有限公司 | 一种访问控制方法和装置以及服务器 |
| CN105813114A (zh) * | 2016-03-07 | 2016-07-27 | 北京星网锐捷网络技术有限公司 | 一种确定接入共享主机方法及装置 |
| CN105939231A (zh) * | 2016-05-16 | 2016-09-14 | 杭州迪普科技有限公司 | 共享接入检测方法和共享接入检测装置 |
| US10447793B2 (en) | 2016-05-16 | 2019-10-15 | Hangzhou Dptech Technologies Co., Ltd. | Detecting shared access |
| CN106411644A (zh) * | 2016-09-30 | 2017-02-15 | 苏州迈科网络安全技术股份有限公司 | 基于dpi技术的网络共享设备检测方法及系统 |
| CN107592299A (zh) * | 2017-08-11 | 2018-01-16 | 深信服科技股份有限公司 | 代理上网识别方法、计算机装置及计算机可读存储介质 |
| CN107592299B (zh) * | 2017-08-11 | 2020-06-09 | 深信服科技股份有限公司 | 代理上网识别方法、计算机装置及计算机可读存储介质 |
| CN110519106A (zh) * | 2019-09-18 | 2019-11-29 | 南京中孚信息技术有限公司 | 目标网络中设备类型的确定方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103152325B (zh) | 2015-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103152325B (zh) | 防止通过共享方式访问互联网的方法及装置 | |
| US9817969B2 (en) | Device for detecting cyber attack based on event analysis and method thereof | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| CN109274637B (zh) | 确定分布式拒绝服务攻击的系统和方法 | |
| KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| US20210258791A1 (en) | Method for http-based access point fingerprint and classification using machine learning | |
| CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
| CN109688105B (zh) | 一种威胁报警信息生成方法及系统 | |
| US20150271202A1 (en) | Method, device, and system for detecting link layer hijacking, user equipment, and analyzing server | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| CN101505247A (zh) | 一种共享接入主机数目的检测方法和装置 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| CN103297433A (zh) | 基于网络数据流的http僵尸网络检测方法及系统 | |
| CN103139138A (zh) | 一种基于客户端检测的应用层拒绝服务防护方法及系统 | |
| CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
| CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
| CN113810381B (zh) | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 | |
| CN111131126A (zh) | 攻击检测方法和装置 | |
| CN111079138A (zh) | 异常访问检测方法、装置、电子设备及可读存储介质 | |
| CN112311722B (zh) | 一种访问控制方法、装置、设备及计算机可读存储介质 | |
| EP4033717A1 (en) | Distinguishing network connection requests | |
| KR101087291B1 (ko) | 인터넷을 사용하는 모든 단말을 구분하는 방법 및 시스템 | |
| CN113765912A (zh) | 一种分布式防火墙装置及其检测方法 | |
| JP5743822B2 (ja) | 情報漏洩防止装置及び制限情報生成装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200619 Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SANGFOR TECHNOLOGIES Inc. Address before: 518000 Nanshan Science and Technology Pioneering service center, No. 1 Qilin Road, Guangdong, Shenzhen 418, 419, Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd. |
|
| TR01 | Transfer of patent right |