CN111953810B - 识别代理互联网协议地址的方法、装置及存储介质 - Google Patents
识别代理互联网协议地址的方法、装置及存储介质 Download PDFInfo
- Publication number
- CN111953810B CN111953810B CN202010766740.1A CN202010766740A CN111953810B CN 111953810 B CN111953810 B CN 111953810B CN 202010766740 A CN202010766740 A CN 202010766740A CN 111953810 B CN111953810 B CN 111953810B
- Authority
- CN
- China
- Prior art keywords
- address
- client
- service server
- proxy
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
- H04L61/2528—Translation at a proxy
Abstract
本发明提供一种识别代理互联网协议地址的方法、装置及存储介质,在客户端与业务服务器通信过程中,分别获取客户端向业务服务器发送的SYN包、ACK包以及建立TCP连接后的首个数据包到达业务服务器的第一时间、第二时间和第三时间,基于第一时间和第二时间确定第一网络时延,基于第三时间和第二时间确定第二网络时延,根据第一网络时延、客户端使用的IP地址和所述业务服务器使用的IP地址确定代理判定参数,在第二网络时延大于代理判定参数时,确定客户端使用代理IP。本发明方案在客户端与业务服务器正常通信过程中进行代理IP检测,实现了实时在线无感知检测,扩大了检测覆盖面,并提高了识别代理IP的准确性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种识别代理互联网协议(IP, InternetProtocol)地址的方法、装置及存储介质。
背景技术
随着互联网技术的广泛应用,对网络环境的安全性要求越来越高,而网络黑客利用VPN(Virtual Private Network,虚拟专用网络)等技术能够隐藏自己的真实IP地址,给网络安全检测以及打击网络犯罪带来了极大的困难,因此,亟需一种能够识别代理IP的方法,进而辅助识别恶意攻击、恶意用户,提高网络安全或业务安全。
目前,业界通常以主动扫描探测的方式探测某个IP是否是代理IP。主动扫描探测时,由检测服务器主动向待检测的IP地址发送测试数据包,并通过分析该IP地址对应的回包,来确定该IP地址是否为通过代理的IP地址。
但是,现实互联网中活跃的IP地址高达4亿个,逐个扫描的检测成本较高,且代理服务器种类复杂、协议变化大、代理端口数量多,难以被覆盖全,此外,一些代理服务器设置有反检测手段,代理服务器会鉴权后才回包,导致主动扫描的检测方式识别不出代理IP。
发明内容
本发明提供了一种识别代理互联网协议地址的方法、装置及存储介质,能够提高检测代理IP地址的覆盖面和准确度。
第一方面,本发明提供了一种识别代理互联网协议IP地址的方法,包括:
获取客户端与业务服务器建立连接的过程中,所述客户端向所述业务服务器发送的SYN包到达所述业务服务器的第一时间,以及所述客户端向所述业务服务器发送的ACK包到达所述业务服务器的第二时间;
获取所述客户端与所述业务服务器建立连接后,所述客户端向所述业务服务器发送的首个数据包达到所述业务服务器的第三时间;
根据所述第一时间和第二时间确定所述客户端与所述业务服务器之间传输数据的第一网络时延,根据所述第三时间和所述第二时间确定所述客户端与所述业务服务器之间传输数据的第二网络时延;
根据所述第一网络时延、所述客户端使用的IP地址、所述业务服务器使用的IP地址和网络时延对照表确定代理判定参数,所述网络时延对照表是基于未使用代理IP地址的客户端与所述业务服务器之间传输数据的网络时延确定的;
当所述第二网络时延大于所述代理判定参数时,确定所述客户端使用的IP 地址为代理IP地址。
第二方面,本发明提供了一种识别代理互联网协议IP地址的装置,包括:
第一获取单元,用于获取客户端与业务服务器建立连接的过程中,所述客户端向所述业务服务器发送的SYN包到达所述业务服务器的第一时间,以及所述客户端向所述业务服务器发送的ACK包到达所述业务服务器的第二时间;
第二获取单元,用于获取所述客户端与所述业务服务器建立连接后,所述客户端向所述业务服务器发送的首个数据包达到所述业务服务器的第三时间;
时延确定单元,根据所述第一时间和第二时间确定所述客户端与所述业务服务器之间传输数据的第一网络时延,根据所述第三时间和所述第二时间确定所述客户端与所述业务服务器之间传输数据的第二网络时延;
参数确定单元,用于根据所述第一网络时延、所述客户端使用的IP地址、所述业务服务器使用的IP地址和网络时延对照表确定代理判定参数,所述网络时延对照表是基于未使用代理IP地址的客户端与所述业务服务器之间传输数据的网络时延确定的;
代理识别单元,用于当所述第二网络时延大于所述代理判定参数时,确定所述客户端使用的IP地址为代理IP地址。
第三方面,本发明提供一种计算机存储介质,所述存储介质中存储有至少一条指令或者至少一段程序,所述至少一条指令或者至少一段程序由处理器加载并执行以实现如上述第一方面提供的识别代理互联网协议IP地址的方法。
第四方面,本发明提供一种计算机设备,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行上述的识别代理互联网协议IP地址的方法。
根据本发明的一个方面,还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述第一方面提供的识别代理互联网协议IP地址的方法。
本发明提供的一种识别代理互联网协议地址的方法、装置及存储介质,在客户端与业务服务器通信过程中,通过获取客户端向业务服务器发送的SYN包到达业务服务器的第一时间、客户端向业务服务器发送的ACK包到达业务服务器的第二时间以及建立TCP连接后客户端向业务服务器发送的首个数据包到达业务服务器的第三时间,基于第一时间和第二时间确定第一网络时延,基于第三时间和第二时间确定第二网络时延,根据第一网络时延、客户端使用的IP地址和业务服务器使用的IP地址确定代理判定参数,在第二网络时延大于代理判定参数时,确定客户端使用代理IP。本发明方案在客户端与业务服务器正常通信过程中,从业务服务器端采集客户端的流量特征,来识别客户端是否使用代理IP地址,实现了实时在线无感知检测,扩大了检测覆盖面,通过第一网络时延和第二网络时延进行代理识别,提高了识别代理IP的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本发明实施例提供的识别代理互联网协议IP地址的方法的应用场景示意图;
图2是本发明实施例示出的数据共享系统;
图3是本发明实施例提供的识别代理互联网协议IP地址的方法的流程示意图;
图4是本发明实施例提供的确定代理判定参数的方法的流程示意图;
图5是本发明实施例提供的获取所述网络时延对照表的方法的流程示意图;
图6是本发明实施例提供的未使用代理IP情况下客户端与业务服务器之间交互的示意图;
图7是本发明实施例提供的使用代理IP情况下客户端与业务服务器之间交互的示意图;
图8是本发明实施例提供的识别代理互联网协议IP地址的装置的结构示意图;
图9是本发明提供的服务器的一种实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了方便理解,下面对本申请实施例中涉及的名词进行解释:
传输控制协议(TCP,TransmissionControlProtocol):是一种面向连接的、可靠的、基于字节流的传输层通信协议。
TCP三次握手(Three-wayHandshake):三次握手协议是指建立一个TCP连接时,需要客户端和服务器总共发送3个数据包。三次握手的目的是连接服务器指定端口,建立TCP连接。第一次握手:终端发送一个带SYN(同步序列编号 Synchronize Sequence Numbers)标志的TCP数据包到服务器,这是三次握手过程中的数据包1,在本申请中称为SYN包。第二次握手:服务器端回应终端,发送一个SYN-ACK包给终端,这是三次握手中的第2个数据包,这个数据包同时带 ACK(Acknowledgecharacter,确认字符)标志和SYN标志。因此它表示对刚才客户端SYN包的回应;同时又标志SYN给客户端,询问客户端是否准备好进行数据通信。第三次握手:终端必须再次回应服务器一个ACK包(即是三次握手的确认包),这是数据包段3,表示终端准备好进行数据通信。通过三次握手,TCP连接建立,客户端和服务器就可以开始进行数据传输。
SYN包:是TCP/IP建立连接时发送的包含握手信号的数据包。
ACK包:即在接收方成功的接收到数据后回复的标识确认收到数据的数据包。
RTT(round-triptime):数据在客户端到服务器端之间传输时往返所花时间,即本申请中的网络时延。
代理IP;即代理服务器,英文全称是Proxy Server。其功能就是代理网络用户去获取网络信息,形象的说,它是网络信息的中转站。使用代理IP对目的服务器暴露的是代理服务器的IP地址,从而会隐藏了真实源地址。代理服务器常用的代理端口例如:(1)HTTP协议代理服务器常用端口号: 80/8080/3128/8081/9080;(2)SOCKS代理协议服务器常用端口号:1080; (3)FTP(文件传输)协议代理服务器常用端口号:21;(4)Telnet(远程登录)协议代理服务器常用端口:23。
客户端:可以安装在电子设备上的各类应用,电子设备能够将已安装的应用中提供的对象进行显示,该电子设备可以是移动的,也可以是固定的。例如,手机、平板电脑、各类可穿戴设备、车载设备、个人数字助理 (personaldigitalassistant,PDA)、销售终端(pointofsales,POS)或其它能够实现上述功能的电子设备等。
百分位数:如果将一组数据从小到大排序,并计算相应的累计百分位,则某一百分位所对应数据的值就称为这一百分位的百分位数。例如,一组p个观测值按数值大小排列,如,处于N%位置的值称第N百分位数。
在具体实践过程中,常用的识别代理IP地址的方法主要是:1、代理服务器库的收集,有基于爬虫从互联网上抓取的,还有基于主动扫描的代理服务器收集。 2、基于反向探测,反向扫描目前互联网上的所有主机,判断知名的代理端口是否开放。第一种思路下的方案,代理服务器库的收集,针对基于爬虫从互联网上抓取的方式,有很多代理服务器是未在互联网上公布的,或者是黑客控制的一些肉机,此信息非常的不完全。第二种思路下的方案,基于反向探测,原理就是反向扫描所有的IP,判断一些常用的代理端口是否开放。但是互联网上活跃主机量非常巨大,而且代理服务器的服务端口不固定,故此方案扫描周期非常长、检测成本高,并且一些不常用的代理端口容易被忽略掉,难以覆盖全部的代理端口。此外,一些代理服务器设置有反检测手段,例如,代理服务器在完成鉴权(例如身份验证)后才会进行发送相应的回包,检测服务器主动发送的测试数据包无法通过鉴权,代理服务器也就不会发送对应的回包,因此检测服务器无法识别代理端口是否开放,导致主动扫描的检测方式不能有效地进行。
发明人通过对现实场景中使用代理和不使用代理的情况进行分析,发现可以利用客户端与业务服务器之间传输数据包的网络时延,来判断客户端使用的IP 地址是否为代理IP地址。
情景1,用户使用代理访问业务服务器,其流量的流向是:客户端→代理服务器→业务服务器→代理服务器→客户端。
情景2,用户不使用代理访问业务服务器,其流量流向是:客户端→业务服务器→客户端。
对于业务服务器来说,情景1使用了代理技术,其访问路径比较长,用户数据包到达时间比不使用代理的迟。可见用户数据包到达时间可以用于识别代理IP。在不考虑网络传输质量波动情况下,将待识别客户端对应的网络时延与未使用代理IP的网络时延阈值进行比对,就可以识别该客户端是否使用代理IP。但实际应用中,网络传输质量波动不可避免,完全不考虑网络传输质量波动的方案在识别代理IP的准确度上有欠缺,考虑网络传输质量波动时段内,客户端发给业务服务器的各数据包均存在延迟到达现象,前后两个数据包到达业务服务器的网络时延Δt1和Δt2都会偏大,考虑比较Δt1和Δt2来减小网络传输质量波动的影响,一种思路就是看Δt2和Δt1的比值rate=Δt2/Δt1,不使用代理时这个比值会偏小,使用代理时这个比值会偏大,通过大量数据统计分析发现,rate=1 可以作为一个分割点,即,使用代理时Δt2>Δt1,实际应用中,rate可以根据需要取更大或更小的值,当需要扩大识别覆盖率时rate需取更大值,当需要提高识别精确度时rate需取更小值,因此可以引入一个变量k以适应不同覆盖范围和精确度要求下的识别需要。故,可以设计如下判定条件以识别客户端是否使用代理:
(1)Δt2>Δt标准;(Δt标准是未使用代理IP情况下的网络时延阈值);
(2)Δt2>k*Δt1(k>1)。
在介绍完本申请实施例的设计思想之后,下面对本申请实施例的技术方案能够适用的应用场景做一些简单介绍,需要说明的是,以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施时,可以根据实际需要灵活地应用本申请实施例提供的技术方案。
参考图1,其为本申请实施例提供的识别代理互联网协议IP地址的方法的应用场景示意图。该应用场景包括多个客户端101(包括客户端101-1、客户端101-2、……客户端101-n-1、客户端101-n)、代理服务器102、业务服务器103 和识别代理互联网协议IP地址的装置104。本申请实施例中的客户端101可安装在桌面计算机、移动电话、移动电脑、平板电脑、媒体播放器、智能可穿戴设备、智能电视等电子设备中,客户端101可通过电子设备与其它设备进行通信,例如,客户端101可通过电子设备直接与业务服务器103连接(例如客户端101-n-1、客户端101-n分别通过其所属的电子设备直接与业务服务器103连接),或者通过电子设备、代理服务器102与业务服务器103连接(例如客户端101-1、客户端 101-2分别通过其所属的电子设备、代理服务器102与业务服务器103连接),以获取业务服务器103提供的业务服务,如网络直播服务、数据查询服务、云计算服务、网购服务、身份验证服务等。代理服务器102可以是任何一种能够为用户提供代理IP地址的服务器,例如VPN服务器。业务服务器103是指为任何一种能够为用户提供网络业务服务的服务器,业务服务器103可以是一台服务器,也可以是由若干台服务器组成的服务器集群或云计算中心。上述应用场景中安装客户端101的电子设备、代理服务器102和业务服务器103之间均可通过无线或有线网络连接。
识别代理互联网协议IP地址的装置104可获取经过业务服务器103的网络出口处的数据包,即获取各客户端101与业务服务器103之间、或者客户端101 通过代理服务器102和业务服务器103之间传输的数据包,根据获取的数据包获得客户端101与业务服务器103之间传输的数据包的第一网络时延和第二网络时延,若第二网络时延大于代理判定参数,则确定该客户端101使用的IP地址为代理IP地址,其中,所述代理判定参数是根据第一网络时延、客户端使用的IP 地址、业务服务器使用的IP地址和预设的网络时延对照表确定的。
具体实施时,识别代理互联网协议IP地址的装置104可包括设置在业务服务器103网络出口处的分光器和高速抓包网卡,通过分光器和高速抓包网卡来获取客户端101与业务服务器103之间传输的数据包,其中,分光器用于复制经过网络出口处的数据包,高速抓包网卡用于获取经分光器复制的数据包。实际应用中,可将高速抓包网卡设置为混杂模式,以获取所有经过高速抓包网卡的数据包,高速抓包网卡可采用基于DPDK(DataPlaneDevelopmentKit,数据平面开发套件) 技术开发的高速抓包网卡。本申请实施例中,获取客户端101与业务服务器103 之间传输的数据包的方式,不限于上述列举的方式。
实际应用中,识别代理互联网协议IP地址的装置104可以设置在业务服务器103内部,通过相应的硬件和软件配合实现代理IP地址识别。
本发明实施例的识别代理互联网协议IP地址的方法的场景中涉及的服务器可以是由多个节点(接入网络中的任意形式的计算设备,如服务器、客户端)通过网络通信的形式连接形成的数据共享系统。
参见图2所示的数据共享系统,数据共享系统400是指用于进行节点与节点之间数据共享的系统,该数据共享系统中可以包括多个节点101,多个节点101 可以是指数据共享系统中各个客户端。每个节点101在进行正常工作可以接收到输入信息,并基于接收到的输入信息维护该数据共享系统内的共享数据。为了保证数据共享系统内的信息互通,数据共享系统中的每个节点之间可以存在信息连接,节点之间可以通过上述信息连接进行信息传输。例如,当数据共享系统中的任意节点接收到输入信息时,数据共享系统中的其他节点便根据共识算法获取该输入信息,将该输入信息作为共享数据中的数据进行存储,使得数据共享系统中全部节点上存储的数据均一致。
对于数据共享系统中的每个节点,均具有与其对应的节点标识,而且数据共享系统中的每个节点均可以存储有数据共享系统中其他节点的节点标识,以便后续根据其他节点的节点标识,将生成的区块广播至数据共享系统中的其他节点。每个节点中可维护一个节点标识列表,将节点名称和节点标识对应存储至该节点标识列表中。其中,节点标识可为IP(Internet Protocol,网络之间互联的协议)地址以及其他任一种能够用于标识该节点的信息。
当然,本申请实施例提供的方法并不限用于图1所示的应用场景中,还可以用于其它可能的应用场景,本申请实施例并不进行限制。对于图1所示的应用场景的各个设备所能实现的功能将在后续的方法实施例中一并进行描述,在此先不过多赘述。
为进一步说明本申请实施例提供的技术方案,下面结合附图以及具体实施方式对此进行详细的说明。虽然本申请实施例提供了如下述实施例或附图所示的方法操作步骤,但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中,这些步骤的执行顺序不限于本申请实施例提供的执行顺序。
下面结合图1所示的应用场景,对本申请实施例提供的技术方案进行说明。
参考图3,本申请实施例提供一种识别代理互联网协议IP地址的方法,包括以下步骤:
S301:获取客户端与业务服务器建立连接的过程中,所述客户端向所述业务服务器发送的SYN包到达所述业务服务器的第一时间,以及所述客户端向所述业务服务器发送的ACK包到达所述业务服务器的第二时间。
S303:获取所述客户端与所述业务服务器建立连接后,所述客户端向所述业务服务器发送的首个数据包达到所述业务服务器的第三时间。
S305:根据所述第一时间和第二时间确定所述客户端与所述业务服务器之间传输数据的第一网络时延,根据所述第三时间和所述第二时间确定所述客户端与所述业务服务器之间传输数据的第二网络时延。
具体实施时,可通过解析数据包的协议包头,获取协议包头中的TCP_flag 字段,根据TCP_flag字段过滤出SYN包和ACK包。其中,TCP_flag字段中的字段SYN(同步)表示开始连接请求,TCP_flag字段中的字段ACK(应答)表示发来的数据已确认接收无误,当TCP_flag字段中的SYN=1,ACK=0时,表示该数据包为SYN包,当TCP_flag字段中的SYN=0,ACK=1时,表示该数据包为ACK包。然后,针对过滤出的SYN包和ACK包,可通过协议包头中的五元组、TCP_seq(发送序号)确定出匹配的SYN包和ACK包。具体地,当一个SYN包和一个ACK包的五元组相同,且ACK包的发送序号比SYN包的发送序号大1时,表示该SYN包和该ACK包为客户端在同一次TCP握手请求过程中发送给业务服务器的一对SYN包和ACK包。其中,五元组包括源IP地址、源端口、目的IP地址、目的端口和传输层协议。通过数据包中的五元组和发送序号,即可确定出同一次请求过程中的一对SYN包和ACK包。例如:客户端向业务服务器发送SYN包,配置该SYN包的发送序号(seq)为x;业务服务器收到客户端发送的SYN包后,向客户端发送 SYN+ACK包,配置SYN+ACK包的发送序号(seq)为y,确认序号(ack)为x+1;客户端在收到业务服务器返回的SYN+ACK包后,向业务服务器发送ACK包,配置该ACK 包的发送序号(seq)为x+1,确认序号(ack)为y+1。
当ACK包发送完毕后,客户端和业务服务器进入ESTABLISHED状态,客户端与服务器之间的TCP连接建立完成,可以进行数据传输。具体实施时,客户端向业务服务器发送ACK包完毕,就向业务服务器发送第一个数据包。
本发明实施例将业务服务器前端用于获取数据包的分光器和高速抓包网卡设置在业务服务器的网络出口处,如此,数据包(包括SYN包和ACK包)到达业务服务器的时间可近似为数据包到达业务服务器的网络出口处的时间。在业务服务器侧分别记录一对SYN和ACK包分别到达业务服务器的时间,以及在收到ACK包之后第一个数据包到达业务服务器的时间,基于不同数据包到达业务服务器的时间计算网络时延。
具体的,将第二时间与第一时间的差值作为第一网络时延,将第三时间与第二时间的差值作为第二网络时延。
S307:根据所述第一网络时延、所述客户端使用的IP地址、所述业务服务器使用的IP地址和网络时延对照表确定代理判定参数,所述网络时延对照表是基于未使用代理IP地址的客户端与所述业务服务器之间传输数据的网络时延确定的。
图4是本发明实施例提供的确定代理判定参数的方法的流程示意图。请参见图4,代理判定参数的确定方法可以包括:
S401、从网络时延对照表中获取与所述客户端使用的IP地址和所述业务服务器使用的IP地址对应的第一时延阈值,所述网络时延对照表包括源IP地址、目标IP地址与时延阈值之间的对应关系。
S403、获取调节参数,所述调节参数是根据代理IP的识别准确率和识别覆盖率要求确定的。
S405、根据所述调节参数和所述第一网络时延确定第二时延阈值。
S407、将所述第一时延阈值和所述第二时延阈值作为所述代理判定参数。
本发明实施例预先基于未使用代理IP地址的客户端与业务服务器之间传输数据包的网络时延构建网络时延对照表,该网络时延对照表存储有源IP地址(客户端IP地址)、目标IP地址(业务服务器IP地址)与时延阈值之间的对应关系。
对于待确定是否使用代理的客户端,先获取该客户端使用的IP地址和与该客户端通信的业务服务器使用的IP地址,根据获取的客户端IP地址和服务器IP 地址在网络时延对照表中进行查找,如果查找到网络时延对照表中存在与该客户端IP地址相同的源IP地址和与该业务服务器IP地址相同的目标IP地址,将与该源IP地址和目标IP地址对应的时延阈值作为第一时延阈值。然后根据用户根据识别准确率和识别覆盖率要求设定的调节参数k(k>1),将调节参数k与第一网络时延的乘积作为第二时延阈值,至此获得两个用于识别客户端是否使用代理的代理判定参数。
然后将第二网络时延与第一时延阈值进行比对,将第二网络时延与第二时延阈值进行比对;如果第二网络时延大于第一时延阈值且大于第二时延阈值,则判定第二网络时延大于代理判定参数,反之,如果第二网络时延不大于第一时延阈值或者第二网络时延不大于第二时延阈值,则判定第二网络时延不大于代理判定参数。
S309:当所述第二网络时延大于所述代理判定参数时,确定所述客户端使用的IP地址为代理IP地址。
图7是本发明实施例提供的使用代理IP情况下客户端与业务服务器之间交互的示意图。请参见图7,使用代理情况下,客户端与代理服务器建立连接,代理服务器向业务服务器发送SYN包,业务服务器收到SYN包后,立即向代理服务器发送SYN+ACK包,代理服务器在收到SYN+ACK包后,立即向业务服务器发送ACK 包,同时向客户端返回连接成功的信息,客户端收到连接成功的信息后,立即向代理服务器发送第一个数据包,代理服务器将收到的第一个数据包发送给业务服务器,业务服务器收到SYN包的时间点为T1、收到ACK包的时间点为T2、收到第一个数据包的时间点为T3,T1到T2正好是一次数据往返代理服务器与业务服务器的时间,计为Δt1,Δt1=T2-T1,T2到T3正好是一次数据往返客户端与业务服务器的时间,计为Δt2,Δt2=T3-T2。使用代理情况下,Δt2同时满足Δt2> Δt标准和Δt2>k*Δt1。
本发明实施例通过在业务服务器端采集TCP三次握手中客户端发送的SYN 包、ACK包以及建立TCP连接后客户端发送的首个data包到达业务服务器端的时刻,根据收到这三个包的时间差来评估数据包从客户端到服务器的传输时间,通过比较此次请求的传输时间差是否大于正常的传输时间差范围(正常传输时间差范围,可根据三次握手中的SYN包、ACK包到达的时间差获取)以及,三个数据包中相邻两个数据包的到达时间差是否趋近来识别代理,能够提高代理识别的准确性和检测覆盖面。
图5是本发明实施例提供的获取所述网络时延对照表的方法的流程示意图。在一个可行的实施例中,可以通过图5所示的方法获取网络时延对照表,包括:
S501、确定网络中各IP地址的地址类和预设IP地址的地址类,将网络中各 IP地址的地址类作为源IP地址类,将预设IP地址的地址类作为目标IP地址类。
S503、建立各源IP地址类与目标IP地址类之间的第一映射关系。
由于IP地址是按段分配的,所以同个地址类的IP通常会被分配给同个运营商的同个区域,具有公共的出口路由。具体实施时,可根据每个IP地址的前M 位数据,确定各IP地址对应的IP地址类。确定网络中各IP地址的地址类可以包括:根据网络中各IP地址的前M位数据,确定每个IP地址的地址类;确定预设IP地址的地址类可以包括:根据预设IP地址的前M位数据,确定预设IP地址的地址类。预设IP地址可以是某公司的业务服务器的IP地址。
具体实施时,M的取值可根据IP地址的数量、对检测精度的要求、IP地址的总位数等因素确定,本申请实施例不作限定。
以IPV4中使用的IP地址为例,IP地址的总位数为32。例如,当M=32时,表示每个IP地址对应一个IP地址类。当M=24时,即将前24位数据相同的IP 地址划分为一个IP地址类,此时,表示将相同地域内相同运营商的IP地址划分到同一IP地址类中。当M=16时,即将前16位数据相同的IP地址划分为一个 IP地址类。M的取值越大,划分的地址类越多,M的取值越小,划分的地址类越少。当然,本申请实施例的方法同样适用于IPV6。
在完成各IP地址的地址类确定后,将网络中各IP地址的地址类作为源IP 地址类,将预设IP地址的地址类作为目标IP地址类,建立各源IP地址类与目标IP地址类之间的第一映射关系,第一映射关系反映预设IP地址与其他IP地址之间的通信关联。
S505、获取白样本集,所述白样本集包括至少一个白样本,每个所述白样本包括未使用代理IP地址的客户端在同一次请求过程中发送给所述业务服务器的 SYN包和ACK包。
S507、确定每个所述白样本中的SYN包和ACK包到达所述业务服务器的时间差。
S509、确定每个白样本对应的客户端的IP地址的第一IP地址类和每个白样本对应的业务服务器的IP地址的第二IP地址类。
图6是本发明实施例提供的未使用代理IP情况下客户端与业务服务器之间交互的示意图。请参见图6,在TCP握手过程中,业务服务器收到客户端发送的 SYN包后,立即向客户端发送SYN+ACK包,客户端在收到SYN+ACK包后,立即向业务服务器发送ACK包,业务服务器收到SYN包的时间点为T1、收到ACK包的时间点为T2,T1到T2正好是一次数据往返客户端与业务服务器的时间,由此,可以将T1和T2的时间差作为对应客户端与业务服务器这一通信链路的时延阈值。
具体实施时,获取每个白样本对应的客户端的IP地址和业务服务器的IP地址,根据每个白样本对应的客户端的IP地址的前M位数据,确定每个白样本对应的第一IP地址类,根据每个白样本对应的业务服务器的IP地址的前M位数据,确定每个白样本对应的第二IP地址类,其中,M的取值与步骤S501中确定源IP 地址类和目标IP地址类所涉及的M的值相同。
S511、建立每个所述白样本对应的第一IP地址类、第二IP地址类与该白样本对应的时间差之间的第二映射关系。
S513、根据所述第一映射关系和所述第二映射关系构建所述网络时延对照表。
具体实施时,针对第二映射关系中的每个白样本,执行如下处理:
1)将白样本对应的第一IP地址类与第一映射关系中各源IP地址类进行匹配,将白样本对应的第二IP地址类与第一映射关系中各目标IP地址类进行匹配;
2)如果第一映射关系中存在与第一IP地址类匹配的源IP地址类和与第二 IP地址类匹配的目标IP地址类,并且,该源IP地址类与该目标IP地址类之间构成映射关系,则将白样本对应的时间差划分至源IP地址类中;
3)针对每个源IP地址类,对源IP地址类包含的时间差进行统计,确定该源IP地址类对应的时延阈值。
在一个可能的实施例中,可以按照源IP地址类包含的时间差从小到大的顺序,统计得到第N百分位所对应的时间差,将第N百分位所对应的时间差确定为该源IP地址类对应的时延阈值。其中,N为大于0且小于100的数,N的取值可由本领域技术人员结合测试情况以及经验确定,本申请实施例不作限定。例如, N的取值可以是25、50、75等整数,也可以是20.75、80.5等非整数。以N= 75为例,假设第75百分位所对应的时间差为Tn,表示白样本集中75%白样本的时间差小于Tn,白样本集中25%白样本的时间差大于Tn,时延阈值为Tn。
作为另一种可能的实施方式,计算源IP地址类包含的时间差的统计值,将统计值确定为该源IP地址类对应的时延阈值,统计值为平均值、众数或标准差。计算各类统计值的方法为现有技术,在此不赘述。
以上建立了源IP地址类与目标IP地址类和时延阈值之间的对应关系,相当于针对每个通信链路进行时延统计,建立了时间阈值与各通信链路的对应关系,在确定客户端对应的第一时间阈值时,也是基于客户端IP地址类和与客户端通信的业务服务器的IP地址类进行查询的,如此,可以优化代理识别判断的判别条件,提高识别的精准度。
发明人通过研究未使用代理IP和使用代理IP在数据传输中的网络时延的差异,结合网络传输质量波动问题,进行横向对比(对比使用代理IP的网络时延与未使用代理IP的网络时延)和纵向对比(对比ACK包-SYN包的网络时延与首个数据包-ACK包的网络时延)以识别代理IP,该方法由于在横向对比的基础上增加了纵向对比,可以修正由于网络传输质量波动造成的识别误差,提高识别准确率,扩大识别范围。
本发明实施例提供的识别代理互联网协议地址的方法,可以应用于网络安全、业务安全等领域,用来应对企图隐藏真实IP地址、想绕开IP策略的恶意请求。基于代理IP地址识别结果,标识出客户端发送的请求是否使用了代理IP地址,使用了代理IP地址客户端有可能是黑客,可结合其他的安全策略进行恶意识别,即本申请实施例的代理IP地址识别方法,可用于进行恶意攻击的辅助识别。
例如,本发明实施例的识别代理互联网协议地址的方法可应用于验证码验证等场景上,来辅助识别通过自动脚本获取服务的情况。具体地,识别代理互联网协议地址的装置获取客户端和业务服务器之间传输的数据包,确定客户端与业务服务器之间传输的数据包的第一网络时延和第二网络时延,根据第一网络时延、客户端使用的IP地址、业务服务器使用的IP地址和网络时延对照表确定代理判定参数,若第二网络时延大于代理判定参数时,确定客户端使用的IP地址为代理IP地址,并标识出该客户端使用了代理IP地址,一般通过自动脚本获取服务的客户端会通过代理服务器隐藏真实IP地址,因此,针对这类客户端可结合其他的安全策略进行恶意识别。此外,本申请实施例的识别代理互联网协议IP地址的方法还可以辅助识别盗号、薅羊毛等非法业务场景,帮助识别出隐藏真实IP 的手法行为,同时标识出非法IP地址,打击自动机请求流量,对网络安全、业务安全的技术升级具有很大的意义。
此外,TCP只是一种常见的场景,该方案不仅可以用TCP三次握手来估计数据传输时间,任何收到包就立即回包(包处理时间低于1ms的)的网络通讯场景,都可以用本发明方案来估计数据传输时间,识别是否进行了数据中转。
本发明实施例还提供了一种识别代理互联网协议IP地址的装置,所述装置可以设置在服务器端,图8是本发明实施例提供的识别代理互联网协议IP地址的装置的结构示意图,请参见图8,所述装置包括第一获取单元810、第二获取单元820、时延确定单元830、参数确定单元840和代理识别单元850。
其中,第一获取单元,用于获取客户端与业务服务器建立连接的过程中,所述客户端向所述业务服务器发送的SYN包到达所述业务服务器的第一时间,以及所述客户端向所述业务服务器发送的ACK包到达所述业务服务器的第二时间。
第二获取单元,用于获取所述客户端与所述业务服务器建立连接后,所述客户端向所述业务服务器发送的首个数据包达到所述业务服务器的第三时间。
时延确定单元,根据所述第一时间和第二时间确定所述客户端与所述业务服务器之间传输数据的第一网络时延,根据所述第三时间和所述第二时间确定所述客户端与所述业务服务器之间传输数据的第二网络时延。
参数确定单元,用于根据所述第一网络时延、所述客户端使用的IP地址、所述业务服务器使用的IP地址和网络时延对照表确定代理判定参数,所述网络时延对照表是基于未使用代理IP地址的客户端与所述业务服务器之间传输数据的网络时延确定的。
代理识别单元,用于当所述第二网络时延大于所述代理判定参数时,确定所述客户端使用的IP地址为代理IP地址。
本实施例中识别代理互联网协议IP地址的装置与图3-7对应的方法实施例基于同样地发明构思。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各种可选实现方式中提供的识别代理互联网协议IP地址的方法。
本发明实施例提供了一种电子设备,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令和至少一段程序,所述至少一条指令或者至少一段程序由处理器加载并执行以实现如图3-7对应的识别代理互联网协议IP地址的方法。
存储器可用于存储软件程序以及模块,处理器通过运行存储在存储器的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、功能所需的应用程序等;存储数据区可存储根据所述设备的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器还可以包括存储器控制器,以提供处理器对存储器的访问。
本发明实施例还提供了一种服务器的结构示意图,请参阅图9,该服务器900 用于实施上述实施例中提供的识别代理互联网协议IP地址的方法,具体来讲,所述服务器结构可以包括上述识别代理互联网协议IP地址的装置。该服务器900 可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器 (Central Processing Units,CPU)910(例如,一个或一个以上处理器)和存储器930,一个或一个以上存储应用程序923或数据922的存储介质920(例如一个或一个以上海量存储设备)。其中,存储器930和存储介质920可以是短暂存储或持久存储。存储在存储介质920的程序可以包括一个或一个以上模块,每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器910可以设置为与存储介质920通信,在服务器900上执行存储介质920中的一系列指令操作。服务器900还可以包括一个或一个以上电源960,一个或一个以上有线或无线网络接口950,一个或一个以上输入输出接口940,和/或,一个或一个以上操作系统921,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM 等等。
本发明的实施例还提供了一种存储介质,所述存储介质可设置于服务器之中以保存用于实现方法实施例中一种识别代理互联网协议IP地址的方法相关的至少一条指令和至少一段程序,该至少一条指令和该至少一段程序由该处理器加载并执行以实现上述图3-7对应的识别代理互联网协议IP地址的方法。
可选地,在本实施例中,上述存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM, Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是:上述本发明实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种识别代理互联网协议IP地址的方法,其特征在于,包括:
获取客户端与业务服务器建立连接的过程中,所述客户端向所述业务服务器发送的SYN包到达所述业务服务器的第一时间,以及所述客户端向所述业务服务器发送的ACK包到达所述业务服务器的第二时间;
获取所述客户端与所述业务服务器建立连接后,所述客户端向所述业务服务器发送的首个数据包达到所述业务服务器的第三时间;
根据所述第一时间和第二时间确定所述客户端与所述业务服务器之间传输数据的第一网络时延,根据所述第三时间和所述第二时间确定所述客户端与所述业务服务器之间传输数据的第二网络时延;
根据所述第一网络时延、所述客户端使用的I P地址、所述业务服务器使用的IP地址和网络时延对照表确定代理判定参数,所述网络时延对照表是基于未使用代理IP地址的客户端与所述业务服务器之间传输数据的网络时延确定的;
当所述第二网络时延大于所述代理判定参数时,确定所述客户端使用的IP地址为代理IP地址。
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一网络时延、所述客户端使用的IP地址、所述业务服务器使用的IP地址和网络时延对照表确定代理判定参数,包括:
从网络时延对照表中获取与所述客户端使用的IP地址和所述业务服务器使用的IP地址对应的第一时延阈值,所述网络时延对照表包括源IP地址、目标IP地址与时延阈值之间的对应关系;
获取调节参数,所述调节参数是根据代理IP的识别准确率和识别覆盖率要求确定的;
根据所述调节参数和所述第一网络时延确定第二时延阈值;
将所述第一时延阈值和所述第二时延阈值作为所述代理判定参数。
3.根据权利要求2所述的方法,其特征在于,所述当所述第二网络时延大于所述代理判定参数时,确定所述客户端使用的IP地址为代理IP地址之前,还包括:
将所述第二网络时延与所述第一时延阈值进行比对,将所述第二网络时延与所述第二时延阈值进行比对;
如果所述第二网络时延大于所述第一时延阈值且大于所述第二时延阈值,则判定所述第二网络时延大于所述代理判定参数。
4.根据权利要求2所述的方法,其特征在于,通过如下方法获取所述网络时延对照表:
确定网络中各IP地址的地址类和预设IP地址的地址类,将网络中各IP地址的地址类作为源IP地址类,将预设IP地址的地址类作为目标IP地址类;
建立各源IP地址类与目标IP地址类之间的第一映射关系;
获取白样本集,所述白样本集包括至少一个白样本,每个所述白样本包括未使用代理IP地址的客户端在同一次请求过程中发送给所述业务服务器的SYN包和ACK包;
确定每个所述白样本中的SYN包和ACK包到达所述业务服务器的时间差;
确定每个白样本对应的客户端的IP地址的第一IP地址类和每个白样本对应的业务服务器的IP地址的第二IP地址类;
建立每个所述白样本对应的第一IP地址类、第二IP地址类与该白样本对应的时间差之间的第二映射关系;
根据所述第一映射关系和所述第二映射关系构建所述网络时延对照表。
5.根据权利要求4所述的方法,其特征在于,
所述确定网络中各IP地址的地址类和预设IP地址的地址类包括:根据网络中每个IP地址的前M位数据,确定每个IP地址的地址类;根据预设IP地址的前M位数据,确定预设IP地址的地址类;
所述确定每个白样本对应的客户端的IP地址的IP地址类包括:根据每个白样本对应的客户端的IP地址的前M位数据,确定每个白样本对应的IP地址类。
6.根据权利要求4所述的方法,其特征在于,所述根据所述第一映射关系和所述第二映射关系构建所述网络时延对照表,包括:
对于所述第二映射关系中的每个白样本,将所述白样本对应的第一IP地址类与所述第一映射关系中各源IP地址类进行匹配,将所述白样本对应的第二IP地址类与所述第一映射关系中各目标IP地址类进行匹配;
如果所述第一映射关系中存在与所述第一IP地址类匹配的源IP地址类和与所述第二IP地址类匹配的目标IP地址类,并且,该源IP地址类与该目标IP地址类之间构成映射关系,则将所述白样本对应的时间差划分至所述源IP地址类中;
针对每个源IP地址类,对所述源IP地址类包含的时间差进行统计,确定该源IP地址类对应的时延阈值。
7.根据权利要求6所述的方法,其特征在于,所述对所述源IP地址类包含的时间差进行统计,确定该源IP地址类对应的时延阈值,包括:
按照所述源IP地址类包含的时间差从小到大的顺序,统计得到第N百分位所对应的时间差,将所述第N百分位所对应的时间差确定为该源IP地址类对应的时延阈值;或
计算所述源IP地址类包含的时间差的统计值,将所述统计值确定为该源IP地址类对应的时延阈值,所述统计值为平均值、众数或标准差。
8.一种识别代理互联网协议IP地址的装置,其特征在于,包括:
第一获取单元,用于获取客户端与业务服务器建立连接的过程中,所述客户端向所述业务服务器发送的SYN包到达所述业务服务器的第一时间,以及所述客户端向所述业务服务器发送的ACK包到达所述业务服务器的第二时间;
第二获取单元,用于获取所述客户端与所述业务服务器建立连接后,所述客户端向所述业务服务器发送的首个数据包达到所述业务服务器的第三时间;
时延确定单元,根据所述第一时间和第二时间确定所述客户端与所述业务服务器之间传输数据的第一网络时延,根据所述第三时间和所述第二时间确定所述客户端与所述业务服务器之间传输数据的第二网络时延;
参数确定单元,用于根据所述第一网络时延、所述客户端使用的I P地址、所述业务服务器使用的IP地址和网络时延对照表确定代理判定参数,所述网络时延对照表是基于未使用代理IP地址的客户端与所述业务服务器之间传输数据的网络时延确定的;
代理识别单元,用于当所述第二网络时延大于所述代理判定参数时,确定所述客户端使用的IP地址为代理IP地址。
9.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令或者至少一段程序,所述至少一条指令或者至少一段程序由处理器加载并执行以实现如权利要求1-7任一所述的识别代理互联网协议IP地址的方法。
10.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时,使得所述处理器执行如权利要求1至7任一所述的识别代理互联网协议IP地址的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010766740.1A CN111953810B (zh) | 2020-08-03 | 2020-08-03 | 识别代理互联网协议地址的方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010766740.1A CN111953810B (zh) | 2020-08-03 | 2020-08-03 | 识别代理互联网协议地址的方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111953810A CN111953810A (zh) | 2020-11-17 |
CN111953810B true CN111953810B (zh) | 2023-05-19 |
Family
ID=73339177
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010766740.1A Active CN111953810B (zh) | 2020-08-03 | 2020-08-03 | 识别代理互联网协议地址的方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111953810B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115134399B (zh) * | 2021-03-24 | 2023-09-19 | 中国移动通信集团河南有限公司 | 一种用户识别的方法及装置 |
CN117294534B (zh) * | 2023-11-24 | 2024-01-30 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种网络代理识别方法、装置及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013094964A1 (ko) * | 2011-12-23 | 2013-06-27 | 삼성전자 주식회사 | 프록시 서버에 의한 데이터 흐름 제어 방법 및 장치 |
CN104767837A (zh) * | 2014-01-08 | 2015-07-08 | 阿里巴巴集团控股有限公司 | 一种识别代理ip地址的方法及装置 |
CN106411819A (zh) * | 2015-07-30 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 一种识别代理互联网协议地址的方法及装置 |
CN110430214A (zh) * | 2019-08-15 | 2019-11-08 | 上海寰创通信科技股份有限公司 | 一种代理上网的识别方法及系统 |
CN110839017A (zh) * | 2019-10-21 | 2020-02-25 | 腾讯科技(深圳)有限公司 | 代理ip地址识别方法、装置、电子设备及存储介质 |
CN111181798A (zh) * | 2019-08-28 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 网络时延测量方法、装置、电子设备及存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001285400A (ja) * | 2000-03-29 | 2001-10-12 | Kddi Corp | トラヒック統計情報収集方法 |
US10069837B2 (en) * | 2015-07-09 | 2018-09-04 | Biocatch Ltd. | Detection of proxy server |
-
2020
- 2020-08-03 CN CN202010766740.1A patent/CN111953810B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013094964A1 (ko) * | 2011-12-23 | 2013-06-27 | 삼성전자 주식회사 | 프록시 서버에 의한 데이터 흐름 제어 방법 및 장치 |
CN104767837A (zh) * | 2014-01-08 | 2015-07-08 | 阿里巴巴集团控股有限公司 | 一种识别代理ip地址的方法及装置 |
CN106411819A (zh) * | 2015-07-30 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 一种识别代理互联网协议地址的方法及装置 |
CN110430214A (zh) * | 2019-08-15 | 2019-11-08 | 上海寰创通信科技股份有限公司 | 一种代理上网的识别方法及系统 |
CN111181798A (zh) * | 2019-08-28 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 网络时延测量方法、装置、电子设备及存储介质 |
CN110839017A (zh) * | 2019-10-21 | 2020-02-25 | 腾讯科技(深圳)有限公司 | 代理ip地址识别方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111953810A (zh) | 2020-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
CN110839017B (zh) | 代理ip地址识别方法、装置、电子设备及存储介质 | |
US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
US8661544B2 (en) | Detecting botnets | |
US8397284B2 (en) | Detection of distributed denial of service attacks in autonomous system domains | |
US10218733B1 (en) | System and method for detecting a malicious activity in a computing environment | |
US20070044142A1 (en) | Apparatus and method for managing session state | |
US9800593B2 (en) | Controller for software defined networking and method of detecting attacker | |
US10652211B2 (en) | Control device, border router, control method, and control program | |
CN110391988B (zh) | 网络流量控制方法、系统及安全防护装置 | |
CN111953810B (zh) | 识别代理互联网协议地址的方法、装置及存储介质 | |
CN112468364B (zh) | Cip资产的探测方法、装置、计算机设备及可读存储介质 | |
CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
CN111565203B (zh) | 业务请求的防护方法、装置、系统和计算机设备 | |
CN101577645B (zh) | 检测仿冒网络设备的方法和装置 | |
CN111130936B (zh) | 一种负载均衡算法的测试方法及装置 | |
Zhang et al. | Onis: Inferring tcp/ip-based trust relationships completely off-path | |
CN111756713A (zh) | 网络攻击识别方法、装置、计算机设备及介质 | |
CN106254433B (zh) | 一种建立tcp通信连接的方法及装置 | |
US10187414B2 (en) | Differential malware detection using network and endpoint sensors | |
JP2003258910A (ja) | 不正アクセス経路解析システム及び不正アクセス経路解析方法 | |
US8793360B1 (en) | Systems and methods for testing denial of service attacks | |
US9455911B1 (en) | In-band centralized control with connection-oriented control protocols | |
CN112491791B (zh) | 快速识别http代理ip地址的方法、装置及电子设备 | |
CN114462588B (zh) | 检测网络入侵用神经网络模型的训练方法、系统及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |