CN107592299B - 代理上网识别方法、计算机装置及计算机可读存储介质 - Google Patents
代理上网识别方法、计算机装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN107592299B CN107592299B CN201710691023.5A CN201710691023A CN107592299B CN 107592299 B CN107592299 B CN 107592299B CN 201710691023 A CN201710691023 A CN 201710691023A CN 107592299 B CN107592299 B CN 107592299B
- Authority
- CN
- China
- Prior art keywords
- internet
- preset
- proxy
- information
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种代理上网识别方法,包括以下步骤:依次获取用户建立的上网连接产生的数据报文以及该条上网连接对应的目的IP信息;记录在预设时间段内用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数;在所述累计匹配次数达到预设阈值时,确定该条上网连接为代理上网;在所述累计匹配次数未达到预设阈值,且在该条上网连接不是由预设的应用发起时,确定该条上网连接为代理上网。本发明中的代理上网识别方法通过结合IP列表、行为识别的方式,提升了识别率和正确率,而且可以通用不同类型的代理上网工具的识别。本发明还提供一种计算机装置及计算机可读存储介质。
Description
技术领域
本发明涉及计算机网络技术领域,尤其涉及一种代理上网识别方法,具有该代理上网识别方法的计算机装置及计算机可读存储介质。
背景技术
一般来说,公司、学校或者机构等为了防止泄密或者提高工作效率等原因,通常会通过防火墙等手段来过滤特定的网站或者服务器的数据交互,来限制联网的计算机装置访问某些特定的网站或者与某些特定的服务器进行数据交互。然而,通过使用代理上网工具可以绕过上述的上网的限制,达到自由访问被限制的特定的网站或者与某些特定的服务器进行数据交互的目的。代理上网工具通常包括协议类代理和智能代理,其中协议代理包括有比如vpn、socks、http一类的代理方式,智能代理包括有自由门、无界、赛风3这一类代理方式。
通常的代理识别技术是深度包检测(Deep Packet Inspection,DPI)技术,DPI技术是基于网络数据包特征的方法,通过统计数据包中找到一系列字符串作为指纹,在通过这些指纹去识别其他的数据包,例如通过统计IP数据包的ID出现规律,或TCP的序列号规律来识别是否使用了代理上网工具,但是由于智能代理上网工具越来越注重连接上报文特征的消除,导致某些关键连接无法识别。
发明内容
本发明的主要目的在于提供一种识别率高且通用于各类代理上网工具的代理上网识别方法,具有该代理上网识别方法的计算机装置及计算机可读存储介质。
为实现上述目的,本发明提供的一种代理上网识别方法,包括以下步骤:
依次获取用户建立的上网连接产生的数据报文;
根据所述上网连接产生的数据报文获取该条上网连接对应的目的IP信息;
依次将所述目的IP信息与预设的IP列表进行匹配,记录在预设时间段内用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数,判断所述累计匹配次数是否达到预设阈值;
在所述累计匹配次数达到所述预设阈值时,确定该条上网连接为代理上网;
在所述累计匹配次数未达到所述预设阈值时,确定该条上网连接是否由预设的应用发起的,在该条上网连接不是由预设的应用发起时,确定该条上网连接为代理上网。
进一步地,所述依次获取用户建立的上网连接产生的数据报文的步骤之后,根据所述上网连接产生的数据报文获取该条上网连接对应的目的IP信息的步骤之前,还包括:
对所述数据报文进行深度报文检测,判断所述数据报文的报文特征是否符合预设特征;
在所述数据报文的报文特征符合预设特征时,确定该条上网连接为代理上网;
在所述数据报文的报文特征不符合预设特征时,进入根据所述上网连接产生的数据报文获取该条上网连接对应的目的IP信息的步骤。
进一步地,所述将所述目的IP信息与预设的IP列表进行匹配的步骤之后,还包括:
在所述目的IP信息与所述预设的IP列表内的IP信息不匹配时,对所述数据报文进行深度报文检测,判断所述数据报文的报文特征是否符合预设特征;
在所述数据报文的报文特征符合预设特征时,确定该条上网连接为代理上网。
进一步地,所述预设时间段是1秒钟、2秒钟或者3秒钟;所述预设阈值是3次、4次或者5次。
进一步地,所述将所述目的IP信息与预设的IP列表进行匹配,记录在预设时间段内用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数,判断所述累计匹配次数是否达到预设阈值的步骤包括:
依次将所述目的IP信息与预设的IP列表进行匹配;
在所述目的IP信息与所述预设的IP列表内的IP信息相匹配时,产生一个匹配计数值以及对应的所述上网连接的发起时刻;
获取在所述上网连接的发起时刻起的预设时间段内,用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配所产生的匹配计数值的个数,并记录所述累计匹配次数;
判断所述累计匹配次数是否达到预设阈值。
进一步地,所述获取在所述上网连接的发起时刻起的预设时间段内,用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配所产生的匹配计数值的个数,并记录所述累计匹配次数的步骤包括:
在所述上网连接的发起时刻起的预设时间段内,用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的同一IP信息相匹配所产生的匹配计数值的个数记录为1;
获取在所述上网连接的发起时刻起的预设时间段内,将用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的IP信息相匹配所产生的匹配计数值的个数的和值记录为所述累计匹配次数。
进一步地,所述的代理上网识别方法还包括步骤:
获取预设的代理上网工具发起的上网连接的数据报文的代理IP信息;
将所述代理IP信息作为所述IP信息存储在所述预设的IP列表中。
进一步地,所述目的IP信息包括其对应的上网连接的IP地址或者域名;所述IP信息包括预设的代理上网工具对应的代理服务器的IP地址或者域名。
本发明还提供一种计算机装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的代理上网识别程序,所述处理器执行所述程序时实现上述的代理上网识别方法的步骤。
本发明还提供一种计算机可读存储介质,其上存储有代理上网识别程序,其特征在于,该程序被处理器执行时实现上述的代理上网识别方法的步骤。
在本发明中,只需要通过将单条上网连接的IP信息与预设的IP列表进行匹配,针对与预设的IP列表内的IP信息相匹配的上网连接,记录在预设时间段内用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数,并进一步确定在预设时间段内用户建立的上网连接对应的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数是否达到预设阈值时,在所述累计匹配次数达到所述预设阈值时,确定该条上网连接为代理上网;在所述累计匹配次数未达到所述预设阈值时,确定该条上网连接是否由预设的应用发起的,在该条上网连接不是由预设的应用发起时,确定该条上网连接为代理上网。本发明中的代理上网识别技术通过对结合IP列表、行为识别的方式对上网连接的IP信息和行为进行识别,识别率和正确率都接近100%,而且可以通用于各类不同类型的代理上网工具的识别。
附图说明
图1为本发明第一实施方式中的代理上网识别方法的流程图;
图2为应用有图1中的代理上网识别方法的计算机装置的模块结构示意图;
图3为一实施方式中的图1中的代理上网识别方法的步骤S30的子流程步骤图;
图4为一实施方式中的图3中的步骤S33的子流程步骤图;
图5为本发明第二实施方式中的代理上网识别方法的流程图;
图6为本发明第三实施方式中的代理上网识别方法的流程图;
图7为本发明一实施方式中的代理上网识别方法的IP列表生成方法的流程图。
本发明目的的实现、功能特点及优点将结合实施方式,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不用于限定本发明。
请参照图1和图2,图1为本发明第一实施方式中的代理上网识别方法100的方法流程图,图2为应用所述代理上网识别方法100的计算机装置110的模块结构示意图。
所述代理上网识别方法100应用于与互联网连接的计算机装置110上,计算机装置110可以通过互联网对互联网站点进行访问或者进行数据交互。其中,所述代理上网识别方法100包括如下步骤:
步骤S10,依次获取用户建立的上网连接产生的数据报文。
需要说明的是,当用户需要通过互联网对互联网站点进行访问或者与互联网站点进行数据交互时,一般在没有使用代理上网工具进行代理上网的情况下,计算机装置110会通过欲访问的互联网站点的域名或者IP地址等IP信息,与所述欲访问的互联网站点之间建立一个上网连接,即计算机装置110通过以数据报文的方式送出Request信号到对应的互联网站点,互联网站点再把对应的数据以数据报文的方式反馈回来。
而在通过代理上网工具进行代理上网的情况下,代理服务器作为计算机装置110与欲访问的互联网站点之间的中间站。通过代理服务器与所述互联网站点建立上网连接,计算机装置110以数据报文的方式送出Request信号到代理服务器,由代理服务器来向对应的互联网站点取回所需要的数据并以数据报文的方式传送给计算机装置110。具体的,代理上网工具首先需要连接到代理服务器,更新与获取所述代理服务器的IP列表,通过轮询的方式获取IP列表中可用的代理IP,从而与该代理服务器建立代理上网连接。其中,代理上网工具更新与获取代理服务器的IP列表的方式包括:
从网站获取,通常是各种云平台,比如谷歌(Google)、CloudFront等;
从特殊的DNS请求中获取;
连接Google的谷歌网页工具包(Google Web Toolkit,gwt)代理来获取;
内置的IP来获取。
可以理解的是,以上仅仅是列举出本领域常用的一些代理上网工具更新与获取代理服务器的IP列表的方式,并非对本发明的限制。
具体的,在步骤S10中,在计算机装置110通过互联网对互联网站点进行访问或者进行数据交互时,获取所述计算机装置110与所述互联网站点建立的上网连接产生的数据报文。其中,所述数据报文可以是计算机装置110送出Request信号的数据报文,该数据报文中包含了接收该Request信号的目的站点的IP地址等IP信息,接收该Request信号的目的站点可以是欲访问的互联网站点或者代理服务器。
可以理解的,在其他实施方式中,步骤S10中,获取所述计算机装置110与所述互联网站点建立的上网连接产生的数据报文,其中,所述数据报文可以是计算机装置110接收到的数据报文,该数据报文是由欲访问的互联网站点或者代理服务器反馈的,数据报文中包含了反馈该数据报文的互联网站点或者代理服务器的IP地址等IP信息。
步骤S20,根据所述上网连接产生的数据报文获取该条上网连接对应的目的IP信息。
在步骤S20中,根据所述上网连接产生的数据报文获取该条上网连接对应的目的IP信息,所述目的IP信息即与所述计算机装置110建立上网连接的目的端的IP地址等IP信息。其中,所述目的端在非代理上网的情况下,是欲访问的互联网站点;所述目的端在代理上网的情况下,是代理服务器。
具体的,根据所述上网连接产生的数据报文获取该条上网连接对应的目的IP信息的具体方式可以是通过从该数据报文的网络层获取该条上网连接对应的目的URL(UniformResoure Locator,统一资源定位器),以及从该数据报文的IP层获取目的服务端的IP地址等IP信息。
步骤S30,依次将所述目的IP信息与预设的IP列表进行匹配,记录在预设时间段内用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数,判断所述累计匹配次数是否达到预设阈值。
具体的,将所述目的IP信息与预设的IP列表进行匹配,可以判断出与所述计算机装置110建立上网连接的目的端的IP信息是否与预设的IP列表中记录的IP信息相匹配;当目的端的IP信息与预设的IP列表中记录的IP信息相匹配时,则很可能计算机装置110建立上网连接是代理上网行为。
在所述目的IP信息与预设的IP列表内的IP信息相匹配时,由于所述IP信息包括预设的代理上网工具对应的代理服务器的IP信息,目的IP信息与IP列表内的IP信息相匹配则说明用户发起的这一上网连接有可能是通过代理上网的方式发起的,如果用户在预设时间段内,例如1秒、2秒或3秒内建立了多次上网连接,且该些上网连接的目的IP信息都与所述预设的IP列表内的不同IP信息匹配,则代表的是代理上网工具在通过轮询的方式获取代理服务器上的IP列表中可用的代理IP。
在步骤S30中,在所述目的IP信息与所述预设的IP列表内的IP信息相匹配时,进一步记录在预设时间段内依次获取的用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的IP信息相匹配的累计匹配次数,进一步判断所述累计匹配次数是否达到预设阈值。
步骤S41,在所述累计匹配次数达到所述预设阈值时,确定该条上网连接为代理上网。
步骤S42,在所述累计匹配次数未达到所述预设阈值时,确定该条上网连接是否由预设的应用发起的,在该条上网连接不是由预设的应用发起时,确定该条上网连接为代理上网。
具体的,在所述累计匹配次数未达到所述预设阈值时,可能是用户并没有使用代理服务器,但也有可能是用户在访问同时具有代理服务器和非代理服务器功能的服务器,使用这类服务器进行代理上网的特点是:在代理上网的过程中,始终使用的是同一个IP地址在进行通讯,并且计算机装置110和Google服务器之间通过加密的方式进行通讯,无法获知其通讯的详细内容,也就无从判断其是否在进行代理上网。
例如,预设的同时具有代理服务器和非代理服务器功能的服务器可以是已知的具有正常访问功能又具有代理上网功能的Google服务器,加密代理服务器等。
正常访问谷歌站点和通过代理上网工具连接Google服务器所建立的上网连接均使用的是Google的IP地址,Google服务器实际上是个转接口,代理上网的过程中,计算机装置110和Google服务器之间通过加密的方式进行通讯,无法获知其通讯的详细内容,也就无从判断其是否在进行代理上网。但是通过行为识别的方式,例如,判断该条上网连接发起的执行端是否为浏览器,在该条上网连接不是由浏览器时,确定该条上网连接为代理上网。
在步骤S42中,在所述累计匹配次数未达到所述预设阈值时,确定该条上网连接是否由预设的应用发起的,例如是不是由浏览器发起的,在该条上网连接不是由预设的应用发起时,确定该条上网连接为代理上网。
在本实施方式中的代理上网识别方法100,只需要通过将单条上网连接的IP信息与预设的IP列表进行匹配,针对与预设的IP列表内的IP信息相匹配的上网连接,记录在预设时间段内用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数,并进一步确定在预设时间段内用户建立的上网连接对应的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数是否达到预设阈值时,在所述累计匹配次数达到所述预设阈值时,确定该条上网连接为代理上网;在所述累计匹配次数未达到所述预设阈值时,确定该条上网连接是否由预设的应用发起的,在该条上网连接不是由预设的应用发起时,确定该条上网连接为代理上网。通过对结合IP列表、行为识别的方式对上网连接的IP信息和行为进行识别,识别率和正确率都接近100%,而且可以通用于各类不同类型的代理上网工具的识别。
进一步地,请一并结合图3,在第一实施方式中,所述预设时间段可以是1秒钟、2秒钟、3秒钟或者其他;多数预设阈值可以是是3次、4次、5次或者其他。
进一步地,在一实施方式中,步骤S30中可以包括子步骤:
S31,依次将所述目的IP信息与预设的IP列表进行匹配;
S32,在所述目的IP信息与所述预设的IP列表内的IP信息相匹配时,产生一个匹配计数值以及对应的所述上网连接的发起时刻;
S33,获取在所述上网连接的发起时刻起的预设时间段内,用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配所产生的匹配计数值的个数,并记录所述累计匹配次数;
S34,判断所述累计匹配次数是否达到预设阈值。
可以理解的,在上述步骤S31~步骤S33中,记录在预设时间段内用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数的步骤的方式,仅是给出一种实施方式。在其他实施方式中,还可以采用其他的计数方式,来统计或者记录在预设的时间段内,依次侦测的上网连接中,对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数。
请一并参考图4,在一实施方式中,步骤S33中可以包括子步骤:
S331,在所述上网连接的发起时刻起的预设时间段内,用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的同一IP信息相匹配所产生的匹配计数值的个数记录为1;
S332,获取在所述上网连接的发起时刻起的预设时间段内,将用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的IP信息相匹配所产生的匹配计数值的个数的和值记录为所述累计匹配次数。
在本实施例中,具体的,通过将用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的同一IP信息相匹配所产生的匹配计数值进行合并,即,将所述预设的IP列表内的同一IP信息所匹配所产生的匹配计数的个数记录为1,从而计算得到在所述上网连接的发起时刻起的预设时间段内,将用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的IP信息相匹配所产生的匹配计数值的个数的和值记录为所述累计匹配次数。
请一并参考图5,为本发明的第二实施方式中的代理上网识别方法102的流程步骤图。在本实施方式中,代理上网识别方法102与第一实施方式中的代理上网识别方法100的不同仅在于,代理上网识别方法102在第一实施方式中的代理上网识别方法100的基础上,所述步骤S10之后、步骤S20之前还包括步骤:
步骤S50,对所述数据报文进行深度报文检测,判断所述数据报文的报文特征是否符合预设特征;
步骤S60,在所述数据报文的报文特征符合预设特征时,确定该条上网连接为代理上网。
在所述数据报文的报文特征不符合预设特征时,进入所述步骤S20。
针对具有可识别性的报文特征的上网连接,通过DPI检测技术检测数据报文上的报文特征,来确定用户是否使用了代理上网工具。例如,一种自由门(Free Gate)代理上网工具在建立代理上网的上网连接时,其数据报文会产生一种4-6字节的GET分片包,这种分片包是不太常见的,如果通过DPI检测技术检测到数据报文上存在GET分片包的特征,则可以确定用户建立的上网连接是通过代理上网工具建立的代理上网连接。
在本实施方式中,进一步通过DPI检测技术检测数据报文上的报文特征,来确定用户是否使用了代理上网工具,提高了针对可以产生具有报文特征的数据报文的代理上网工具的识别率。
请一并参考图6,为本发明的第三实施方式中的代理上网识别方法103的流程步骤图。在本实施方式中,代理上网识别方法103与第一实施方式中的代理上网识别方法100的不同仅在于,代理上网识别方法103在第一实施方式中的代理上网识别方法100的基础上,所述步骤S20之后还包括步骤:
S431,依次将所述目的IP信息与预设的IP列表进行匹配,在所述目的IP信息与所述预设的IP列表内的IP信息不匹配时,对所述数据报文进行深度报文检测,判断所述数据报文的报文特征是否符合预设特征;
S432,在所述数据报文的报文特征符合预设特征时,确定该条上网连接为代理上网。
针对具有可识别性的报文特征的上网连接,通过DPI检测技术检测数据报文上的报文特征,来确定用户是否使用了代理上网工具。例如,一种自由门(Free Gate)代理上网工具在建立代理上网的上网连接时,其数据报文会产生一种4-6字节的GET分片包,这种分片包是不太常见的,如果通过DPI检测技术检测到数据报文上存在GET分片包的特征,则可以确定用户建立的上网连接是通过代理上网工具建立的代理上网连接。
在本实施方式中,在在所述目的IP信息与所述预设的IP列表内的IP信息不匹配时,进一步通过DPI检测技术检测数据报文上的报文特征,来确定用户是否使用了代理上网工具,提高了针对可以产生具有报文特征的数据报文的代理上网工具的识别率。
请一并结合图7,在所述的第一实施方式的代理上网识别方法100,在所述的第二实施方式的代理上网识别方法102,或者在所述的第三实施方式的代理上网识别方法103中,还可以包括步骤:
S01,获取预设的代理上网工具发起的上网连接的数据报文的代理IP信息;
S02,将所述代理IP信息作为所述IP信息存储在所述预设的IP列表中。
具体的,可以针对预设的代理上网工具,例如,自由门(Free Gate)代理上网工具,无界代理上网软件、赛风3代理上网工具等,获取预设的代理上网工具发起的上网连接的数据报文的代理IP信息,然后将所述代理IP信息作为所述IP信息存储在所述预设的IP列表中。
所述预先收集有预设的代理上网工具所使用的代理IP信息的IP列表,可以快速的通过地址列表识别与匹配技术,识别出在所述上网连接的数据报文中的目的IP信息与IP列表内的IP信息是否相匹配。
进一步地,所述目的IP信息可以包括其对应的上网连接的IP地址或者域名;所述IP信息包括预设的代理上网工具对应的代理服务器的IP地址或者域名。
请再次结合图1~图7,所述计算机装置110包括存储器11、处理器12及存储在存储器11上并可在处理器12上运行的代理上网识别程序,所述处理器12执行所述代理上网识别程序时实现所述第一实施方式中的代理上网识别方法100、第二实施方式中的代理上网识别方法102、以及第三实施方式中的代理上网识别方法103中的步骤。
具体的,在一实施方式中,所述处理器12执行所述代理上网识别程序时实现如下步骤:
步骤S10,依次获取用户建立的上网连接产生的数据报文;
步骤S20,根据所述上网连接产生的数据报文获取该条上网连接对应的目的IP信息;
步骤S30,依次将所述目的IP信息与预设的IP列表进行匹配,记录在预设时间段内用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数,判断所述累计匹配次数是否达到预设阈值;
步骤S41,在所述累计匹配次数达到所述预设阈值时,确定该条上网连接为代理上网;
步骤S42,在所述累计匹配次数未达到所述预设阈值时,确定该条上网连接是否由预设的应用发起的,在该条上网连接不是由预设的应用发起时,确定该条上网连接为代理上网。
在本实施方式中的计算机装置110,只需要通过将单条上网连接的IP信息与预设的IP列表进行匹配,针对与预设的IP列表内的IP信息相匹配的上网连接,记录在预设时间段内用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数,并进一步确定在预设时间段内用户建立的上网连接对应的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数是否达到预设阈值时,在所述累计匹配次数达到所述预设阈值时,确定该条上网连接为代理上网;在所述累计匹配次数未达到所述预设阈值时,确定该条上网连接是否由预设的应用发起的,在该条上网连接不是由预设的应用发起时,确定该条上网连接为代理上网。通过对结合IP列表、行为识别的方式对上网连接的IP信息和行为进行识别,识别率和正确率都接近100%,而且可以通用于各类不同类型的代理上网工具的识别。
进一步地,所述预设时间段可以是1秒钟、2秒钟、3秒钟或者其他;多数预设阈值可以是是3次、4次、5次或者其他。
进一步地,在一实施方式中,步骤S30中可以包括子步骤:
S31,依次将所述目的IP信息与预设的IP列表进行匹配;
S32,在所述目的IP信息与所述预设的IP列表内的IP信息相匹配时,产生一个匹配计数值以及对应的所述上网连接的发起时刻;
S33,获取在所述上网连接的发起时刻起的预设时间段内,用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配所产生的匹配计数值的个数,并记录所述累计匹配次数;
S34,判断所述累计匹配次数是否达到预设阈值。
进一步地,在一实施方式中,步骤S33可以包括子步骤:
S331,在所述上网连接的发起时刻起的预设时间段内,用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的同一IP信息相匹配所产生的匹配计数值的个数记录为1;
S332,获取在所述上网连接的发起时刻起的预设时间段内,将用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的IP信息相匹配所产生的匹配计数值的个数的和值记录为所述累计匹配次数。
进一步地,在一实施方式中,所述处理器12执行所述代理上网识别程序时还可以在实现步骤S10之后、步骤S20之前实现如下步骤:
步骤S50,对所述数据报文进行深度报文检测,判断所述数据报文的报文特征是否符合预设特征;
步骤S60,在所述数据报文的报文特征符合预设特征时,确定该条上网连接为代理上网。
进一步地,在另一实施方式中,所述处理器12执行所述代理上网识别程序时还可以在实现步骤S20之后实现如下步骤:
S431,在所述目的IP信息与所述预设的IP列表内的IP信息不匹配时,对所述数据报文进行深度报文检测,判断所述数据报文的报文特征是否符合预设特征;
S432,在所述数据报文的报文特征符合预设特征时,确定该条上网连接为代理上网。
进一步地,在一实施方式中,所述处理器12执行所述代理上网识别程序时还可以实现如下步骤:
S01,获取预设的代理上网工具发起的上网连接的数据报文的代理IP信息;
S02,将所述代理IP信息作为所述IP信息存储在所述预设的IP列表中。
进一步地,所述目的IP信息可以包括其对应的上网连接的IP地址或者域名;所述IP信息包括预设的代理上网工具对应的代理服务器的IP地址或者域名。
所述计算机装置110可以是PC,也可以是智能手机、平板电脑、电子书阅读器、便携计算机等具有显示功能的可移动式终端设备。存储器11可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器等。
本发明中的计算机装置110,需要通过将单条上网连接的IP信息与预设的IP列表进行匹配,针对与预设的IP列表内的IP信息相匹配的上网连接,记录在预设时间段内用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数,并进一步确定在预设时间段内用户建立的上网连接对应的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数是否达到预设阈值时,在所述累计匹配次数达到所述预设阈值时,确定该条上网连接为代理上网;在所述累计匹配次数未达到所述预设阈值时,确定该条上网连接是否由预设的应用发起的,在该条上网连接不是由预设的应用发起时,确定该条上网连接为代理上网。通过对结合IP列表、行为识别的方式对上网连接的IP信息和行为进行识别,识别率和正确率都接近100%,而且可以通用于各类不同类型的代理上网工具的识别。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有可在处理器上运行的代理上网识别程序,所述代理上网识别程序被处理器执行时可实现所述第一实施方式中的代理上网识别方法100、第二实施方式中的代理上网识别方法102、以及第三实施方式中的代理上网识别方法103中的步骤。所述代理上网识别方法的步骤已在上述实施例中详细说明,在此不再赘述。
可以理解的是,在本说明书的描述中,参考术语“一实施方式”、“另一实施方式”、“其他实施方式”、或“第一实施方式~第N实施方式”等的描述意指结合该实施方式或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施方式或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施方式或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施方式方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施方式所述的方法。
上述本发明实施方式序号仅仅为了描述,不代表实施方式的优劣。
可以理解的是,以上仅为本发明的优选实施方式,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种代理上网识别方法,其特征在于,包括以下步骤:
依次获取用户建立的上网连接产生的数据报文;
根据所述上网连接产生的数据报文获取该条上网连接对应的目的IP信息;
依次将所述目的IP信息与预设的IP列表进行匹配,记录在预设时间段内用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数,判断所述累计匹配次数是否达到预设阈值;
在所述累计匹配次数达到所述预设阈值时,确定该条上网连接为代理上网;
在所述累计匹配次数未达到所述预设阈值时,确定该条上网连接是否由预设的应用发起的,在该条上网连接不是由预设的应用发起时,确定该条上网连接为代理上网。
2.如权利要求1所述的代理上网识别方法,其特征在于,所述依次获取用户建立的上网连接产生的数据报文的步骤之后,根据所述上网连接产生的数据报文获取该条上网连接对应的目的IP信息的步骤之前,还包括:
对所述数据报文进行深度报文检测,判断所述数据报文的报文特征是否符合预设特征;
在所述数据报文的报文特征符合预设特征时,确定该条上网连接为代理上网;
在所述数据报文的报文特征不符合预设特征时,进入根据所述上网连接产生的数据报文获取该条上网连接对应的目的IP信息的步骤。
3.如权利要求1所述的代理上网识别方法,其特征在于,所述根据所述上网连接产生的数据报文获取该条上网连接对应的目的IP信息的步骤之后,还包括:
依次将所述目的IP信息与预设的IP列表进行匹配,在所述目的IP信息与所述预设的IP列表内的IP信息不匹配时,对所述数据报文进行深度报文检测,判断所述数据报文的报文特征是否符合预设特征;
在所述数据报文的报文特征符合预设特征时,确定该条上网连接为代理上网。
4.如权利要求1所述的代理上网识别方法,其特征在于,所述预设时间段是1秒钟、2秒钟或者3秒钟;所述预设阈值是3次、4次或者5次。
5.如权利要求1所述的代理上网识别方法,其特征在于,所述将所述目的IP信息与预设的IP列表进行匹配,记录在预设时间段内用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配的累计匹配次数,判断所述累计匹配次数是否达到预设阈值的步骤包括:
依次将所述目的IP信息与预设的IP列表进行匹配;
在所述目的IP信息与所述预设的IP列表内的IP信息相匹配时,产生一个匹配计数值以及对应的所述上网连接的发起时刻;
获取在所述上网连接的发起时刻起的预设时间段内,用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配所产生的匹配计数值的个数,并记录所述累计匹配次数;
判断所述累计匹配次数是否达到预设阈值。
6.如权利要求5所述的代理上网识别方法,其特征在于,所述获取在所述上网连接的发起时刻起的预设时间段内,用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的不同IP信息相匹配所产生的匹配计数值的个数,并记录所述累计匹配次数的步骤包括:
在所述上网连接的发起时刻起的预设时间段内,用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的同一IP信息相匹配所产生的匹配计数值的个数记录为1;
获取在所述上网连接的发起时刻起的预设时间段内,将用户建立的上网连接对应的目的IP信息与所述预设的IP列表内的IP信息相匹配所产生的匹配计数值的个数的和值记录为所述累计匹配次数。
7.如权利要求1~6任一项所述的代理上网识别方法,其特征在于,所述的代理上网识别方法还包括步骤:
获取预设的代理上网工具发起的上网连接的数据报文的代理IP信息;
将所述代理IP信息作为所述IP信息存储在所述预设的IP列表中。
8.如权利要求7所述的代理上网识别方法,其特征在于,所述目的IP信息包括其对应的上网连接的IP地址或者域名;所述IP信息包括预设的代理上网工具对应的代理服务器的IP地址或者域名。
9.一种计算机装置,所述计算机装置与互联网连接,用于对互联网站点进行访问或者数据交互,所述计算机装置包括存储器、处理器及存储在存储器上并可在处理器上运行的代理上网识别程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8中任一项所述的代理上网识别方法的步骤。
10.一种计算机可读存储介质,其上存储有代理上网识别程序,其特征在于,该程序被处理器执行时实现如权利要求1至8中任一项所述的代理上网识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710691023.5A CN107592299B (zh) | 2017-08-11 | 2017-08-11 | 代理上网识别方法、计算机装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710691023.5A CN107592299B (zh) | 2017-08-11 | 2017-08-11 | 代理上网识别方法、计算机装置及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107592299A CN107592299A (zh) | 2018-01-16 |
| CN107592299B true CN107592299B (zh) | 2020-06-09 |
Family
ID=61042467
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710691023.5A Active CN107592299B (zh) | 2017-08-11 | 2017-08-11 | 代理上网识别方法、计算机装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107592299B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213375A (zh) * | 2019-06-04 | 2019-09-06 | 杭州安恒信息技术股份有限公司 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
| CN110430214A (zh) * | 2019-08-15 | 2019-11-08 | 上海寰创通信科技股份有限公司 | 一种代理上网的识别方法及系统 |
| CN110912902B (zh) * | 2019-11-27 | 2022-04-19 | 杭州安恒信息技术股份有限公司 | 一种访问请求处理的方法、系统、设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882748A (zh) * | 2012-10-23 | 2013-01-16 | 深圳中兴网信科技有限公司 | 网络接入检测系统和网络接入检测方法 |
| CN103152325A (zh) * | 2013-01-30 | 2013-06-12 | 深信服网络科技(深圳)有限公司 | 防止通过共享方式访问互联网的方法及装置 |
| CN103401861A (zh) * | 2013-07-29 | 2013-11-20 | 深信服网络科技(深圳)有限公司 | 代理上网识别方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8160062B2 (en) * | 2006-01-31 | 2012-04-17 | Microsoft Corporation | Network connectivity determination based on passive analysis of connection-oriented path information |
| US10084707B2 (en) * | 2015-02-10 | 2018-09-25 | Mediatek Inc. | Methods and devices for sharing a service among multiple devices |
-
2017
- 2017-08-11 CN CN201710691023.5A patent/CN107592299B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882748A (zh) * | 2012-10-23 | 2013-01-16 | 深圳中兴网信科技有限公司 | 网络接入检测系统和网络接入检测方法 |
| CN103152325A (zh) * | 2013-01-30 | 2013-06-12 | 深信服网络科技(深圳)有限公司 | 防止通过共享方式访问互联网的方法及装置 |
| CN103401861A (zh) * | 2013-07-29 | 2013-11-20 | 深信服网络科技(深圳)有限公司 | 代理上网识别方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| "基于请求回传的代理上网行为研究";昝家玮;《通信与信息技术》;20170525;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107592299A (zh) | 2018-01-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9614863B2 (en) | System and method for analyzing mobile cyber incident | |
| US9843521B2 (en) | Processing packet header with hardware assistance | |
| CN107800678B (zh) | 检测终端异常注册的方法及装置 | |
| CN110519265B (zh) | 一种防御攻击的方法及装置 | |
| US9137245B2 (en) | Login method, apparatus, and system | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| US9973513B2 (en) | Method and apparatus for communication number update | |
| CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
| CN110888838B (zh) | 基于对象存储的请求处理方法、装置、设备及存储介质 | |
| US10341266B2 (en) | E-mail relay device, e-mail relay method, and non-transitory storage medium | |
| CN107592299B (zh) | 代理上网识别方法、计算机装置及计算机可读存储介质 | |
| CN105635073B (zh) | 访问控制方法、装置和网络接入设备 | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
| CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
| CN110557358A (zh) | 蜜罐服务器通信方法、SSLStrip中间人攻击感知方法及相关装置 | |
| CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
| CN113645253A (zh) | 一种攻击信息获取方法、装置、设备及存储介质 | |
| CN114095274A (zh) | 一种攻击研判方法及装置 | |
| CN106713242B (zh) | 数据请求的处理方法及处理装置 | |
| CN111885007A (zh) | 信息溯源方法、装置、系统及存储介质 | |
| CN109688096B (zh) | Ip地址的识别方法、装置、设备及计算机可读存储介质 | |
| WO2016008212A1 (zh) | 一种终端及检测终端数据交互的安全性的方法、存储介质 | |
| CN106850349B (zh) | 一种特征信息的提取方法及装置 | |
| US9584537B2 (en) | System and method for detecting mobile cyber incident |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |