CN104363265B - 代理上网检测方法和装置 - Google Patents

代理上网检测方法和装置 Download PDF

Info

Publication number
CN104363265B
CN104363265B CN201410572968.1A CN201410572968A CN104363265B CN 104363265 B CN104363265 B CN 104363265B CN 201410572968 A CN201410572968 A CN 201410572968A CN 104363265 B CN104363265 B CN 104363265B
Authority
CN
China
Prior art keywords
time
packet
cluster
proxied terminal
access request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410572968.1A
Other languages
English (en)
Other versions
CN104363265A (zh
Inventor
张志良
梁景波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Network Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Network Technology Shenzhen Co Ltd filed Critical Sangfor Network Technology Shenzhen Co Ltd
Priority to CN201410572968.1A priority Critical patent/CN104363265B/zh
Publication of CN104363265A publication Critical patent/CN104363265A/zh
Priority to US14/919,824 priority patent/US9948540B2/en
Application granted granted Critical
Publication of CN104363265B publication Critical patent/CN104363265B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0852Delays
    • H04L43/0858One way delays
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16BBIOINFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR GENETIC OR PROTEIN-RELATED DATA PROCESSING IN COMPUTATIONAL MOLECULAR BIOLOGY
    • G16B40/00ICT specially adapted for biostatistics; ICT specially adapted for bioinformatics-related machine learning or data mining, e.g. knowledge discovery or pattern finding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Environmental & Geological Engineering (AREA)
  • Mathematical Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种代理上网检测方法和装置。所述方法包括以下步骤:截取同一上网账号的访问请求;对所述访问请求发送重定向数据包,所述重定向数据包中携带有发送重定向数据包时刻的第一时间戳;接收上报的第一时间戳与第二时间戳之间的时间戳差值,其中,所述第二时间戳为被代理终端接收重定向数据包后获取的被代理终端的系统时间;对所述上报的时间戳差值进行聚类处理得到聚类结果;根据所述聚类结果检测所述同一上网账号是否为代理上网账号。上述代理上网检测方法和系统,利用发送重定向数据包的时间戳和被代理终端接收重定向数据包后的时间戳差值进行聚类判断,避免了对IP数据包的ID信息和TCP数据包的序列号信息的修改,提高了检测的准确性。

Description

代理上网检测方法和装置
技术领域
本发明涉及互联网领域,特别是涉及一种代理上网检测方法和装置。
背景技术
随着互联网技术的发展,宽带接入成为越来越多用户的现实需求。然而,与独立的宽带接入不同,很多用户将自己的宽带通过路由设备或代理软件共享给他人使用,即一个宽带账号代理很多人共享上网,从而节省自己的宽带费用,甚至从中牟利。这样的宽带共享给网络运行商带来了巨大的经济损失。
传统的代理上网检测方法包括两种:第一种是根据单个上网账号下连接数的变化或者是否超过特定的阈值来判断宽带用户是否使用代理;第二种是通过统计IP(InternetProtocol,网际协议)数据包ID(Identity)出现的规律、TCP(Transmission ControlProtocol,传输控制协议)序列号的规律来检测代理上网。第一种检测代理上网的方法依赖于阈值的合理性,然而合理的阈值很难确定;第二种由于路由器已支持修改IP数据包的ID信息和TCP数据包的序列号信息。故上述两种方法检测代理上网准确性较低。
发明内容
基于此,有必要针对传统的代理上网检测方法检测代理上网准确性较低的问题,提供一种能提高检测准确性的代理上网检测方法。
此外,还有必要提供一种代理上网检测装置。
一种代理上网检测方法,包括以下步骤:
截取同一上网账号的访问请求;
对所述访问请求发送重定向数据包,所述重定向数据包中携带有发送重定向数据包时刻的第一时间戳;
接收上报的第一时间戳与第二时间戳之间的时间戳差值,其中,所述第二时间戳为被代理终端接收重定向数据包后获取的被代理终端的系统时间;
对所述上报的时间戳差值进行聚类处理得到聚类结果;
根据所述聚类结果检测所述同一上网账号是否为代理上网账号。
在其中一个实施例中,所述对所述上报的时间戳差值进行聚类处理得到聚类结果的步骤包括:
判断所述上报的时间戳差值是否为第一次上报,若是,则生成一个新的聚类,且所述聚类中心为所述上报的时间戳差值,若否,则计算上报的时间戳差值和已有的聚类中心的最短距离;
判断所述最短距离是否大于或等于阈值,若是,则生成一个新的聚类,且所述聚类中心为所述上报的时间戳差值,若否,则更新所述最短距离的聚类中心,并更新所述聚类被上报时间戳差值命中的次数;
判断所述命中次数是否大于或等于阈值,若是,则所述聚类表示为一个有效的被代理终端,将所述同一上网账号下的被代理终端的数量增加1,若否,则所述同一上网账号下的被代理终端的数量不变。
在其中一个实施例中,所述方法还包括:
获取所述同一上网账号下预设的允许被代理终端的最大数量;
根据所述允许被代理终端的最大数量得到离散时间的所需数量,获取设置的所需数量的离散时间的序列;
检测到所述同一上网账号下各被代理终端的系统时间自动更新时,按照所述所需数量的离散时间的序列依次对各被代理终端的系统时间进行均匀离散化处理。
在其中一个实施例中,在所述截取同一上网账号的访问请求的步骤之后,所述方法还包括:
判断所述访问请求是否为对重定向数据包的响应,若是,则从所述响应中得到所述第一时间戳与第二时间戳之间的时间戳差值,若否,则判断当前的访问请求和上次发送重定向数据包的时间间隔是否超过预设时间间隔,若是,则对所述访问请求发送重定向数据包,所述重定向数据包中携带有发送重定向数据包时刻的第一时间戳,否则结束。
在其中一个实施例中,所述重定向数据包中包括预设的脚本代码,所述被代理终端接收重定向数据包后,执行所述脚本代码得到被代理终端的系统时间,并计算所述第一时间戳与系统时间的差值。
一种代理上网检测装置,包括:
截取模块,用于截取同一上网账号的访问请求;
重定向模块,用于对所述访问请求发送重定向数据包,所述重定向数据包中携带有发送重定向数据包时刻的第一时间戳;
接收模块,用于接收上报的第一时间戳与第二时间戳之间的时间戳差值,其中,所述第二时间戳为被代理终端接收重定向数据包后获取的被代理终端的系统时间;
处理模块,用于对所述上报的时间戳差值进行聚类处理得到聚类结果;
检测模块,用于根据所述聚类结果检测所述同一上网账号是否为代理上网账号。
在其中一个实施例中,所述处理模块还用于判断所述上报的时间戳差值是否为第一次上报,若是,则生成一个新的聚类,且所述聚类中心为所述上报的时间戳差值,若否,则计算上报的时间戳差值和已有的聚类中心的最短距离;以及判断所述最短距离是否大于或等于阈值,若是,则生成一个新的聚类,且所述聚类中心为所述上报的时间戳差值,若否,则更新所述最短距离的聚类中心,并更新所述聚类被上报时间戳差值命中的次数;以及判断所述命中次数是否大于或等于阈值,若是,则所述聚类表示为一个有效的被代理终端,将所述同一上网账号下的被代理终端的数量增加1,若否,则所述同一上网账号下的被代理终端的数量不变。
在其中一个实施例中,所述装置还包括:
获取模块,用于获取所述同一上网账号下预设的允许被代理终端的最大数量,以及根据所述允许被代理终端的最大数量得到离散时间的所需数量,获取设置的所需数量的离散时间的序列;
离散化模块,用于检测到所述同一上网账号下各被代理终端的系统时间自动更新时,按照所述所需数量的离散时间的序列依次对各被代理终端的系统时间进行均匀离散化处理。
在其中一个实施例中,所述装置还包括:
判断模块,用于在所述截取同一上网账号的访问请求之后,判断所述访问请求是否为对重定向数据包的响应,以及在判断出所述访问请求不为对重定向数据包的响应,则继续判断当前的访问请求和上次发送重定向数据包的数据间隔是否超过预设时间间隔;
提取模块,用于在判断出所述访问请求为对重定向数据包的响应时,从所述响应中得到所述第一时间戳与第二时间戳之间的时间戳差值;
所述重定向模块还用于在判断出当前的访问请求和上次发送重定向数据包的时间间隔超过预设时间间隔时,对所述访问请求发送重定向数据包,所述重定向数据包中携带有发送重定向数据包时刻的第一时间戳。
在其中一个实施例中,所述重定向数据包中包括预设的脚本代码,所述被代理终端接收重定向数据包后,执行所述脚本代码得到被代理终端的系统时间,并计算所述第一时间戳与系统时间的差值。
上述代理上网检测方法和装置,通过对同一上网账号的访问请求进行截取,并发送重定向数据,重定向数据中携带第一时间戳,并接收第一时间戳和被代理终端接收重定向数据包后获取的第二时间戳之间的时间戳差值,对时间戳差值进行聚类处理,根据聚类结果可检测出该同一上网账号是否为代理上网账号,利用发送重定向数据包的时间戳和被代理终端接收重定向数据包后的时间戳差值进行聚类判断,避免了对IP数据包的ID信息和TCP数据包的序列号信息的修改而导致出现检测的误差,提高了检测的准确性。
附图说明
图1为一个实施例中代理上网检测方法和装置运行的应用环境图;
图2为一个实施例中代理上网检测方法的流程图;
图3为另一个实施例中代理检测方法的流程图;
图4为一个实施例中对该上报的时间戳差值进行聚类处理得到聚类结果的流程图;
图5为聚类结果示意图;
图6为时间离散示意图;
图7为被代理终端的时间终端更新设置界面示意图;
图8为一个实施例中代理上网检测装置的结构框图;
图9为另一个实施例中代理上网检测装置的结构框图;
图10为一个实施例中代理上网检测装置的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1为一个实施例中代理上网检测方法和装置运行的应用环境图。如图1所示,该应用环境包括被代理终端110、路由器120、代理检测设备130和服务器140。
被代理终端110可为一个或多个。被代理终端110可为个人计算机、平板电脑、智能手机、个人数字助理等。被代理终端110包括被代理终端110a和被代理终端110b。
被代理终端110(包括被代理终端110a和/或110b)通过路由器120向服务器140发起访问请求。与该路由器120连接的被代理终端110通过同一上网账号访问服务器140。该访问请求可为HTTP(Hyper Text Transfer Protocol,超文本传输协议)GET请求。
代理检测设备130设置在服务器140和路由器120之间,用于截取访问请求,并对访问请求进行重定向,发送重定向数据包给发起访问请求的被代理终端110。该重定向数据包中包括预设的脚本代码,该脚本代码中携带有发送重定向数据包时刻的第一时间戳。重定向是指将各种网络请求重新定向转到其他位置,HTTP重定向则是将原始HTTP请求转为其他页面。脚本代码是指Javascript,是一种由Netscape的LiveScript发展而来的原型化继承的面向对象的动态类型的区分大小写的客户端脚本语言。
被代理终端110接收重定向数据包后,执行脚本代码获取被代理终端110本机的系统时间,即第二时间戳,并计算第一时间戳和第二时间戳的差值,然后通过访问请求(如HTTP GET请求)将该差值上报给代理检测设备130。
代理检测设备130对差值进行聚类处理,得到该差值的聚类结果,根据聚类结果判断该同一上网账号是否为代理上网账号。
具体的,代理上网是指使用路由器或代理工具实现多人共用一个IP地址上网,例如若用户使用ASDL方式上网,可以在ASDL的调制解调器下再接一个路由器建立子网,与该路由器的LAN口连接的多个终端即可通过该路由器代理上网。代理上网账号是指一上网账号存在代理上网行为,则该上网账号即为代理上网账号。因各个被代理终端110的系统时间不完全相同,经过一段时间的重定向之后,将会得到多个完全不相同的差值分类。例如,一上网账号只允许一个被代理终端使用,通过检测该同一上网账号存在:被代理终端A的第一时间戳和第二时间戳的时间戳差值为-4、-4、-3、-4、-5,被代理终端B的第一时间戳和第二时间戳的时间戳差值为20、21、20、19、20,时间戳差值的单位为秒。可知,被代理终端A的时间戳差值聚集在-4这个中心,而被代理终端B的时间戳差值聚集在20这个中心,根据两个不同的聚集中心,可判断该同一上网账号下存在两个被代理终端,即存在代理上网行为。
图2为一个实施例中代理上网检测方法的流程图。图2中的代理上网检测方法运行于图1的应用环境中,以代理检测设备角度描述。如图2所示,该代理上网检测方法,包括以下步骤:
步骤202,截取同一上网账号的访问请求。
具体的,代理检测设备截取同一上网账号的访问请求,该访问请求可为HTTP GET请求。同一上网账号下若存在多个被代理终端,该多个被代理终端访问网络是通过同一上网账号进行访问的。
步骤204,对该访问请求发送重定向数据包,该重定向数据包中携带有发送重定向数据包时刻的第一时间戳。
具体的,该重定向数据包可包括预设的脚本代码。
步骤206,接收上报的第一时间戳与第二时间戳之间的时间戳差值,其中,该第二时间戳为被代理终端接收重定向数据包后获取的被代理终端的系统时间。
具体的,发起访问请求的被代理终端接收到重定向数据包后,执行重定向数据包中的脚本代码获取被代理终端本机的系统时间,即第二时间戳,然后计算第一时间戳和第二时间戳之间的时间戳差值,并将计算得到的时间戳差值上报给代理检测设备。
步骤208,对该上报的时间戳差值进行聚类处理得到聚类结果。
具体的,对上报的时间戳差值聚类处理即对该时间戳差值进行分类,确定其所在的聚类。
步骤210,根据该聚类结果检测该同一上网账号是否为代理上网账号。
具体的,将所上报的时间戳差值均进行聚类后,可得到一个或多个聚类,根据最后的聚类数,以及该同一上网账号所允许的最大被代理终端数量,可确定该该上网账号是否为代理上网账号。若聚类数大于最大被代理终端数量,则该上网账号为代理上网账号,若聚类数小于或等于最大被代理终端数量,则该上网账号不为代理上网账号。例如聚类数为5,该上网账号所允许的最大被代理终端数量为4,则该上网账号存在代理上网行为,该上网账号为代理上网账号。
上述代理上网检测方法,通过对同一上网账号的访问请求进行截取,并发送重定向数据,重定向数据中携带第一时间戳,并接收第一时间戳和被代理终端接收重定向数据包后获取的第二时间戳之间的时间戳差值,对时间戳差值进行聚类处理,根据聚类结果可检测出该同一上网账号是否为代理上网账号,利用发送重定向数据包的时间戳和被代理终端接收重定向数据包后的时间戳差值进行聚类判断,避免了对IP数据包的ID信息和TCP数据包的序列号信息的修改而导致出现检测的误差,提高了检测的准确性。
在其他实施例中,执行步骤202和204后直接结束,然后再执行步骤206、208和210之间。
图3为另一个实施例中代理检测方法的流程图。如图3所示,该代理检测方法包括:
步骤302,截取同一上网账号的访问请求。
步骤304,判断该访问请求是否为对重定向数据包的响应,若是,则执行步骤310,若否,执行步骤306。
具体的,判断该访问请求是否为对重定向数据包的响应,首先检测该访问请求的目标IP地址是否为代理检测设备,即被代理终端是否在和代理检测设备的特定端口通信(如89端口等),再进一步检测访问请求中是否含有对代理检测设备的响应数据的特定的字符串,例如“GET/info?ip=###&interval=###”等,若含有,则该访问请求为对重定向数据包的响应。
步骤306,判断当前的访问请求和上次发送重定向数据包的时间间隔是否超过预设时间间隔,若是,则执行步骤308,否则结束。
具体的,预设时间间隔即为重定向时间间隔,根据需要设定,例如1分钟,即1分钟重定向一次。设定预设时间间隔的目的是为了防止循环重定向,以避免造成对用户访问网络的影响。例如被代理终端A访问www.abc.com,该访问请求被重定向后,重定向的脚本代码会重新刷新被代理终端A对www.abc.com的访问请求,若没有时间间隔,遇到HTTP GET请求,脚本代码在刷新被代理终端A对www.abc.com的访问请求时,又会被重定向,由此会造成循环重定向,导致网页一直打不开。
预设时间间隔T可根据需要进行调整,T的值越小,对用户访问网络的影响越大,但共享检测速度越快,T的值越大,则对用户访问网络的影响越小,共享检测出的速度越慢。
步骤308,对该访问请求发送重定向数据包,该重定向数据包中携带有发送重定向数据包时刻的第一时间戳。
步骤310,接收上报的第一时间戳与第二时间戳之间的时间戳差值,其中,该第二时间戳为被代理终端接收重定向数据包后获取的被代理终端的系统时间。
具体的,若访问请求是重定向数据包的响应,则从该响应中接收上报的第一时间戳与第二时间戳之间的时间戳差值,其中,该第二时间戳为被代理终端接收重定向数据包后获取的被代理终端的系统时间。
步骤312,对该上报的时间戳差值进行聚类处理得到聚类结果。
具体的,对上报的时间戳差值聚类处理即对该时间戳差值进行分类,确定其所在的聚类。
步骤314,根据该聚类结果检测该同一上网账号是否为代理上网账号。
上述代理上网检测方法,通过对同一上网账号的访问请求进行截取,对访问请求进行判断是否为对重定向数据包的响应,若是则从响应中提取时间戳差值,若否,则判断当前访问请求和上次重定向数据包数据间隔是否超过预设时间间隔,超过后发送重定向数据,重定向数据中携带第一时间戳,并接收第一时间戳和被代理终端接收重定向数据包后获取的第二时间戳之间的时间戳差值,对时间戳差值进行聚类处理,根据聚类结果可检测出该同一上网账号是否为代理上网账号,利用发送重定向数据包的时间戳和被代理终端接收重定向数据包后的时间戳差值进行聚类判断,避免了对IP数据包的ID信息和TCP数据包的序列号信息的修改而导致出现检测的误差,提高了检测的准确性,增加访问请求与上次发送重定向数据包间隔时间的判断,可减小对用户访问网络的影响。
图4为一个实施例中对该上报的时间戳差值进行聚类处理得到聚类结果的流程图。如图4所示,该对该上报的时间戳差值进行聚类处理得到聚类结果的步骤包括:
步骤402,判断该上报的时间戳差值是否为第一次上报,若是,执行步骤414,若否,执行步骤404。
步骤404,计算上报的时间戳差值和已有的聚类中心的最短距离。
具体的,若已有的聚类中心有多个,则分别计算该上报的时间戳差值与各个聚类中心的距离,然后选取出最短距离。
步骤406,判断该最短距离是否大于或等于阈值,若是,执行步骤414,若否,则执行步骤408。
具体的,该阈值可根据具体情况设定,例如3或4等。
步骤408,更新该最短距离的聚类中心,并更新该聚类被上报时间戳差值命中的次数。
具体的,更新该最短距离的距离中心的方式可为求取该聚类的所有的时间戳差值的平均值作为新的聚类中心或者去掉时间戳差值中的最大值和最小值后的其余的时间戳差值的平均值作为新的聚类中心等。统计聚类被上报时间戳差值命中的次数A,以及累加的上报的时间戳差值B,更新聚类中心的步骤包括:将累加的时间戳差值加上本次上报的时间戳差值得到新的累加的时间戳差值,将统计的命中次数增加1得到新的命中次数,将新的累加的时间戳差值除以新的命中次数得到新的聚类中心。
步骤410,判断该命中次数是否大于或等于阈值,若是,则执行步骤412,若否结束。
该聚类被命中的次数大于或等于阈值,则该聚类表示一个有效的被代理终端,将该同一上网账号下的被代理终端数量增加1,若该聚类被命中的次数小于阈值,则该同一上网账号下的被代理终端的数量不变。
步骤412,该聚类表示一个有效的被代理终端,将该同一上网账号下的被代理终端的数量增加1。
步骤414,生成一个新的聚类,且该聚类中心为该上报的时间戳差值。
上述聚类过程计算简单,聚类效率高。
图5为聚类结果示意图。图5中,以被代理终端A和被代理终端B为例进行聚类描述。代理检测设备接收到被代理终端A的HTTP GET请求,检测其满足重定向的时间间隔,发送HTTP重定向,该重定向数据中包含代理检测设备发出重定向数据包时刻的第一时间戳Td1,被代理终端A接收到重定向数据包后,获取自身的系统时间即第二时间戳Ta,然后计算Td1和Ta之间的时间戳差值,并使用HTTP GET请求中携带该时间戳差值上报给代理检测设备,代理检测设备按照上网账号对应的被代理终端A把上报的时间戳差值。被代理终端B亦如此。经过一段时间的重定向,得到如下结果,被代理终端A上报的时间戳差值为-4、-4、-3、-4、-5……,被代理终端B上报的时间戳差值为20、21、20、19、20……。每个上报的时间戳差值落在一个很小的误差范围内,根据聚类处理,将最相近的时间戳差值聚集在一起,而把距离较远的时间戳差值认为是不同的分类,即对应不同的被代理终端,如被代理终端A的时间戳差值被聚集在一定的半径范围内,被代理终端B的时间戳差值被聚集在另一个半径范围内。
在一个实施例中,为了保证检测效果,上述代理上网检测方法,包括:
(1)获取该同一上网账号下预设的允许被代理终端的最大数量。
(2)根据该允许被代理终端的最大数量得到离散时间的所需数量,获取设置的所需数量的离散时间的序列。
例如,允许被代理终端的最大数量为4个,则离散时间的所需数量为5,获取设置的所需数量的离散时间的序列可为+24秒、-24秒、+12秒、-12秒和0秒。如图6所示,时间离散值为+24秒、-24秒、+12秒、-12秒和0秒。
(3)检测到该同一上网账号下各被代理终端的系统时间自动更新时,按照该所需数量的离散时间的序列依次对各被代理终端的系统时间进行均匀离散化处理。
图7为被代理终端的时间终端更新设置界面示意图。如图7所示,被代理终端可自动与因特网时间服务器进行同步,自动更新时间。
当检测到被代理终端更新时间后,将同一上网账号第一次时间更新的加+24秒,即比标准时间快24秒,对第二次时间更新的加-24秒,即比标准时间慢24秒,对第三次时间更新的加+12秒,对第四次时间更新的加-12秒,第5次时间更新的加0秒等,这样一次离散化处理,每个被代理终端的时间尽可能的彼此存在差值,通过离散化处理之后,后续进行聚类处理更加容易,使得更多的代理被检测。
图8为一个实施例中代理上网检测装置的结构框图。如图8所示,该代理上网检测装置包括截取模块810、重定向模块820、接收模块830、处理模块840和检测模块850。其中:
截取模块810用于截取同一上网账号的访问请求。
重定向模块820用于对该访问请求发送重定向数据包,该重定向数据包中携带有发送重定向数据包时刻的第一时间戳。该重定向数据包中包括预设的脚本代码。
接收模块830用于接收上报的第一时间戳与第二时间戳之间的时间戳差值,其中,该第二时间戳为被代理终端接收重定向数据包后获取的被代理终端的系统时间。该被代理终端接收重定向数据包后,执行该脚本代码得到被代理终端的系统时间,并计算该第一时间戳与系统时间的差值。
处理模块840用于对该上报的时间戳差值进行聚类处理得到聚类结果。
本实施例中,该处理模块840还用于判断该上报的时间戳差值是否为第一次上报,若是,则生成一个新的聚类,且该聚类中心为该上报的时间戳差值,若否,则计算上报的时间戳差值和已有的聚类中心的最短距离;以及判断该最短距离是否大于或等于阈值,若是,则生成一个新的聚类,且该聚类中心为该上报的时间戳差值,若否,则更新该最短距离的聚类中心,并更新该聚类被上报时间戳差值命中的次数;以及判断该命中次数是否大于或等于阈值,若是,则该聚类表示为一个有效的被代理终端,将该同一上网账号下的被代理终端的数量增加1,若否,则该同一上网账号下的被代理终端的数量不变。具体的,若已有的聚类中心有多个,则分别计算该上报的时间戳差值与各个聚类中心的距离,然后选取出最短距离。
检测模块850用于根据该聚类结果检测该同一上网账号是否为代理上网账号。
上述代理上网检测方法,通过对同一上网账号的访问请求进行截取,并发送重定向数据,重定向数据中携带第一时间戳,并接收第一时间戳和被代理终端接收重定向数据包后获取的第二时间戳之间的时间戳差值,对时间戳差值进行聚类处理,根据聚类结果可检测出该同一上网账号是否为代理上网账号,利用发送重定向数据包的时间戳和被代理终端接收重定向数据包后的时间戳差值进行聚类判断,避免了对IP数据包的ID信息和TCP数据包的序列号信息的修改而导致出现检测的误差,提高了检测的准确性。
图9为另一个实施例中代理上网检测装置的结构框图。如图9所示,该代理上网检测装置包括截取模块810、重定向模块820、接收模块830、处理模块840和检测模块850,还包括判断模块860和提取模块870。其中:
判断模块860用于在该截取同一上网账号的访问请求之后,判断该访问请求是否为对重定向数据包的响应,以及在判断出该访问请求不为对重定向数据包的响应,则继续判断当前的访问请求和上次发送重定向数据包的数据间隔是否超过预设时间间隔。
提取模块870用于在判断出该访问请求为对重定向数据包的响应时,从该响应中得到该第一时间戳与第二时间戳之间的时间戳差值。
该重定向模块820还用于在判断出当前的访问请求和上次发送重定向数据包的数据间隔超过预设时间间隔时,对该访问请求发送重定向数据包,该重定向数据包中携带有发送重定向数据包时刻的第一时间戳。
图10为一个实施例中代理上网检测装置的结构框图。如图10所示,该代理上网检测装置包括截取模块810、重定向模块820、接收模块830、处理模块840和检测模块850,还包括获取模块880和离散化模块890。其中:
获取模块880用于获取该同一上网账号下预设的允许被代理终端的最大数量,以及根据该允许被代理终端的最大数量得到离散时间的所需数量,获取设置的所需数量的离散时间的序列。
例如,允许被代理终端的最大数量为4个,则离散时间的所需数量为5,获取设置的所需数量的离散时间的序列可为+24秒、-24秒、+12秒、-12秒和0秒。如图6所示,时间离散值为+24秒、-24秒、+12秒、-12秒和0秒。
离散化模块890用于检测到该同一上网账号下各被代理终端的系统时间自动更新时,按照该所需数量的离散时间的序列依次对各被代理终端的系统时间进行均匀离散化处理。
当检测到被代理终端更新时间后,将同一上网账号第一次时间更新的加+24秒,即比标准时间快24秒,对第二次时间更新的加-24秒,即比标准时间慢24秒,对第三次时间更新的加+12秒,对第四次时间更新的加-12秒,第5次时间更新的加0秒等,这样一次离散化处理,每个被代理终端的时间尽可能的彼此存在差值,通过离散化处理之后,后续进行聚类处理更加容易,使得更多的代理被检测。
在其他实施例中,该代理上网检测装置包括截取模块810、重定向模块820、接收模块830、处理模块840、检测模块850、判断模块860、提取模块870、获取模块880和离散化模块890。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种代理上网检测方法,包括以下步骤:
截取同一上网账号的访问请求;
对所述访问请求发送重定向数据包,所述重定向数据包中携带有发送重定向数据包时刻的第一时间戳;
接收上报的第一时间戳与第二时间戳之间的时间戳差值,其中,所述第二时间戳为被代理终端接收重定向数据包后获取的被代理终端的系统时间;
对所述上报的时间戳差值进行聚类处理得到聚类结果;
根据所述聚类结果检测所述同一上网账号是否为代理上网账号;
所述对所述上报的时间戳差值进行聚类处理得到聚类结果包括:
对所述时间戳差值进行分类,获取所述时间戳差值所在的聚类。
2.根据权利要求1所述的代理上网检测方法,其特征在于,所述对所述上报的时间戳差值进行聚类处理得到聚类结果的步骤包括:
判断所述上报的时间戳差值是否为第一次上报,若是,则生成一个新的聚类,且所述聚类中心为所述上报的时间戳差值,若否,则计算上报的时间戳差值和已有的聚类中心的最短距离;
判断所述最短距离是否大于或等于阈值,若是,则生成一个新的聚类,且所述聚类中心为所述上报的时间戳差值,若否,则更新所述最短距离的聚类中心,并更新所述聚类被上报时间戳差值命中的次数;
判断所述命中次数是否大于或等于阈值,若是,则所述聚类表示为一个有效的被代理终端,将所述同一上网账号下的被代理终端的数量增加1,若否,则所述同一上网账号下的被代理终端的数量不变。
3.根据权利要求1或2所述的代理上网检测方法,其特征在于,所述方法还包括:
获取所述同一上网账号下预设的允许被代理终端的最大数量;
根据所述允许被代理终端的最大数量得到离散时间的所需数量,获取设置的所需数量的离散时间的序列;
检测到所述同一上网账号下各被代理终端的系统时间自动更新时,按照所述所需数量的离散时间的序列依次对各被代理终端的系统时间进行均匀离散化处理。
4.根据权利要求1所述的代理上网检测方法,其特征在于,在所述截取同一上网账号的访问请求的步骤之后,所述方法还包括:
判断所述访问请求是否为对重定向数据包的响应,若是,则从所述响应中得到所述第一时间戳与第二时间戳之间的时间戳差值,若否,则判断当前的访问请求和上次发送重定向数据包的时间间隔是否超过预设时间间隔,若是,则对所述访问请求发送重定向数据包,所述重定向数据包中携带有发送重定向数据包时刻的第一时间戳,否则结束。
5.根据权利要求1所述的代理上网检测方法,其特征在于,所述重定向数据包中包括预设的脚本代码,所述被代理终端接收重定向数据包后,执行所述脚本代码得到被代理终端的系统时间,并计算所述第一时间戳与系统时间的差值。
6.一种代理上网检测装置,其特征在于,包括:
截取模块,用于截取同一上网账号的访问请求;
重定向模块,用于对所述访问请求发送重定向数据包,所述重定向数据包中携带有发送重定向数据包时刻的第一时间戳;
接收模块,用于接收上报的第一时间戳与第二时间戳之间的时间戳差值,其中,所述第二时间戳为被代理终端接收重定向数据包后获取的被代理终端的系统时间;
处理模块,用于对所述上报的时间戳差值进行聚类处理得到聚类结果;
检测模块,用于根据所述聚类结果检测所述同一上网账号是否为代理上网账号;
所述处理模块包括:
对所述时间戳差值进行分类,获取所述时间戳差值所在的聚类。
7.根据权利要求6所述的代理上网检测装置,其特征在于,所述处理模块还用于判断所述上报的时间戳差值是否为第一次上报,若是,则生成一个新的聚类,且所述聚类中心为所述上报的时间戳差值,若否,则计算上报的时间戳差值和已有的聚类中心的最短距离;以及判断所述最短距离是否大于或等于阈值,若是,则生成一个新的聚类,且所述聚类中心为所述上报的时间戳差值,若否,则更新所述最短距离的聚类中心,并更新所述聚类被上报时间戳差值命中的次数;以及判断所述命中次数是否大于或等于阈值,若是,则所述聚类表示为一个有效的被代理终端,将所述同一上网账号下的被代理终端的数量增加1,若否,则所述同一上网账号下的被代理终端的数量不变。
8.根据权利要求6或7所述的代理上网检测装置,其特征在于,所述装置还包括:
获取模块,用于获取所述同一上网账号下预设的允许被代理终端的最大数量,以及根据所述允许被代理终端的最大数量得到离散时间的所需数量,获取设置的所需数量的离散时间的序列;
离散化模块,用于检测到所述同一上网账号下各被代理终端的系统时间自动更新时,按照所述所需数量的离散时间的序列依次对各被代理终端的系统时间进行均匀离散化处理。
9.根据权利要求6所述的代理上网检测装置,其特征在于,所述装置还包括:
判断模块,用于在所述截取同一上网账号的访问请求之后,判断所述访问请求是否为对重定向数据包的响应,以及在判断出所述访问请求不为对重定向数据包的响应,则继续判断当前的访问请求和上次发送重定向数据包的数据间隔是否超过预设时间间隔;
提取模块,用于在判断出所述访问请求为对重定向数据包的响应时,从所述响应中得到所述第一时间戳与第二时间戳之间的时间戳差值;
所述重定向模块还用于在判断出当前的访问请求和上次发送重定向数据包的时间间隔超过预设时间间隔时,对所述访问请求发送重定向数据包,所述重定向数据包中携带有发送重定向数据包时刻的第一时间戳。
10.根据权利要求6所述的代理上网检测装置,其特征在于,所述重定向数据包中包括预设的脚本代码,所述被代理终端接收重定向数据包后,执行所述脚本代码得到被代理终端的系统时间,并计算所述第一时间戳与系统时间的差值。
CN201410572968.1A 2014-10-23 2014-10-23 代理上网检测方法和装置 Active CN104363265B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201410572968.1A CN104363265B (zh) 2014-10-23 2014-10-23 代理上网检测方法和装置
US14/919,824 US9948540B2 (en) 2014-10-23 2015-10-22 Method and system for detecting proxy internet access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410572968.1A CN104363265B (zh) 2014-10-23 2014-10-23 代理上网检测方法和装置

Publications (2)

Publication Number Publication Date
CN104363265A CN104363265A (zh) 2015-02-18
CN104363265B true CN104363265B (zh) 2017-12-12

Family

ID=52530491

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410572968.1A Active CN104363265B (zh) 2014-10-23 2014-10-23 代理上网检测方法和装置

Country Status (2)

Country Link
US (1) US9948540B2 (zh)
CN (1) CN104363265B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107786622A (zh) * 2016-08-31 2018-03-09 阿里巴巴集团控股有限公司 代理服务器的识别方法、装置及云平台
CN107769999B (zh) * 2017-12-07 2020-09-25 锐捷网络股份有限公司 一种识别用户代理上网的方法和装置
CN108965386B (zh) * 2018-06-08 2021-12-14 奇安信科技集团股份有限公司 一种共享接入终端的识别方法及装置
CN111224939B (zh) * 2019-11-15 2022-07-12 上海钧正网络科技有限公司 任务请求的拦截方法、装置、计算机设备和存储介质
US11811806B2 (en) * 2020-09-25 2023-11-07 Barracuda Networks, Inc. System and apparatus for internet traffic inspection via localized DNS caching
US20240048989A1 (en) * 2022-08-08 2024-02-08 Rovi Guides, Inc. Systems and methods for detecting unauthorized broadband internet access sharing

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102377620A (zh) * 2011-12-09 2012-03-14 浙江大学 基于osi传输层时间戳的宽带私接检测方法
EP2538637A2 (en) * 2011-06-22 2012-12-26 Telefonaktiebolaget L M Ericsson (publ) Multi-path transmission control protocol proxy service
CN103634359A (zh) * 2012-08-27 2014-03-12 阿里巴巴集团控股有限公司 一种代理服务器识别方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7519702B1 (en) * 2000-08-10 2009-04-14 International Business Machines Corporation Method and apparatus for measuring web site performance
CN102130791B (zh) * 2010-01-14 2013-02-13 深圳市深信服电子科技有限公司 一种在网关上检测代理的方法、装置及网关服务器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2538637A2 (en) * 2011-06-22 2012-12-26 Telefonaktiebolaget L M Ericsson (publ) Multi-path transmission control protocol proxy service
CN102377620A (zh) * 2011-12-09 2012-03-14 浙江大学 基于osi传输层时间戳的宽带私接检测方法
CN103634359A (zh) * 2012-08-27 2014-03-12 阿里巴巴集团控股有限公司 一种代理服务器识别方法及装置

Also Published As

Publication number Publication date
US20160119193A1 (en) 2016-04-28
CN104363265A (zh) 2015-02-18
US9948540B2 (en) 2018-04-17

Similar Documents

Publication Publication Date Title
CN104363265B (zh) 代理上网检测方法和装置
Zhang et al. Understanding the characteristics of cellular data traffic
CN110213212B (zh) 一种设备的分类方法和装置
US8838819B2 (en) Method for embedding meta-commands in normal network packets
US10326848B2 (en) Method for modeling user behavior in IP networks
US8656284B2 (en) Method for determining a quality of user experience while performing activities in IP networks
US20170255706A1 (en) Methods and apparatus to track web browsing sessions
CN105337966B (zh) 针对网络攻击的处理方法和装置
CN108259425A (zh) 攻击请求的确定方法、装置及服务器
CN104168316B (zh) 一种网页访问控制方法、网关
US10165507B2 (en) Network access method and apparatus applied to mobile application
CN104640114B (zh) 一种访问请求的验证方法及装置
US20200067946A1 (en) Network attack defense system and method
CN106211217A (zh) 一种wifi网络安全审计方法、平台
CN114145004A (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
CN106789413B (zh) 一种检测代理上网的方法和装置
EP3128713B1 (en) Page push method and system
US20130326047A1 (en) Router and personal device for monitoring and controlling data transfer rates on a local area network
CN105871853A (zh) 一种入口认证方法和系统
WO2018057691A1 (en) Unsupervised classification of web traffic users
CN107862091A (zh) 实现网页访问的控制方法及装置
CN111163114A (zh) 用于检测网络攻击的方法和设备
EP3382981B1 (en) A user equipment and method for protection of user privacy in communication networks
CN108737407A (zh) 一种劫持网络流量的方法及装置
CN106411819A (zh) 一种识别代理互联网协议地址的方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20200611

Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer

Patentee after: SANGFOR TECHNOLOGIES Inc.

Address before: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park A1 building five floor

Patentee before: Shenxin network technology (Shenzhen) Co.,Ltd.