CN111970173A - 一种基于时钟偏移的加密流量共享检测方法与装置 - Google Patents

一种基于时钟偏移的加密流量共享检测方法与装置 Download PDF

Info

Publication number
CN111970173A
CN111970173A CN202010861531.5A CN202010861531A CN111970173A CN 111970173 A CN111970173 A CN 111970173A CN 202010861531 A CN202010861531 A CN 202010861531A CN 111970173 A CN111970173 A CN 111970173A
Authority
CN
China
Prior art keywords
session
protocol
time
sessions
current
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010861531.5A
Other languages
English (en)
Other versions
CN111970173B (zh
Inventor
白司特
雷葆华
叶志钢
王赟
谭国权
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Greenet Information Service Co Ltd
Original Assignee
Wuhan Greenet Information Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Greenet Information Service Co Ltd filed Critical Wuhan Greenet Information Service Co Ltd
Priority to CN202010861531.5A priority Critical patent/CN111970173B/zh
Publication of CN111970173A publication Critical patent/CN111970173A/zh
Application granted granted Critical
Publication of CN111970173B publication Critical patent/CN111970173B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及互联网技术领域,具体涉及一种基于时钟偏移的加密流量共享检测方法与装置,其中方法包括:实时获取当前各用户上网所触发的一个或多个会话,并基于各会话的会话持续时间判断是否满足短会话应用场景;如果满足短会话应用场景,则通过解析用户在当前第一预设时间段内上网所产生的各协议报文,获取协议报文中携带的一个或多个时钟偏移值;统计在当前第一预设时间段内相同时钟偏移值的通量,并基于该通量得到当前第一预设时间段内的共享设备数。本发明充分利用加密协议中携带的时钟偏移而非传统固定特征来标示设备,通过统计时钟偏移在一定时间内出现相同值的个数确定共享设备数,可解决固定标识符无法进行流量共享检测的问题。

Description

一种基于时钟偏移的加密流量共享检测方法与装置
【技术领域】
本发明涉及互联网技术领域,具体涉及一种基于时钟偏移的加密流量共享检测方法与装置。
【背景技术】
传统的流量共享检测中,当用户通过设备进行流量共享时,通常是使用协议中某种唯一标识特征来做设备或用户区分,也就是通过固定标识符来标识用户或设备,从而可区分不同流量来源于不同设备。这种固定标识符可以是协议中携带的IP地址、手机号、IMEI号、账号、设备标识符、应用版本号等;例如,如果某个IP地址的流量中检测出5个不同的手机号,那么这个IP内部就有5台设备共享上网。
但是现在随着加密技术的使用以及用户隐私的保障,越来越多的协议所能携带出来的用户及设备信息越来越少,这就使得流量共享检测的效果越来越差,甚至在某些情况下不可用。例如,大量用户在进行网购、网页浏览、信息聊天等情况下使用了TLS协议的加密进行HTTP协议网络数据传输;再例如当前用户使用率最高的微信,也是使用自己开发的微信TLS协议来加密传输内容。也正因为如此,在这样的网络数据中不存在唯一标示特征来带代表不同的用户身份及设备信息,因此传统的基于协议特征中固定标识符的流量共享检测方法完全无效。
鉴于此,克服上述现有技术所存在的缺陷是本技术领域亟待解决的问题。
【发明内容】
本发明需要解决的技术问题是:
随着加密技术的使用以及用户隐私的保障需求,协议所能携带出来的用户及设备信息越来越少,使得网络数据中不存在固定标识符来标识用户或设备,因此在加密流量情况下,传统基于协议特征的流量共享检测方法完全无效。
本发明通过如下技术方案达到上述目的:
第一方面,本发明提供了一种基于时钟偏移的加密流量共享检测方法,当用户上网过程中各应用通过加密协议进行网络数据传输时,加密流量共享检测方法包括:
实时获取当前各用户上网所触发的一个或多个会话,并基于各会话的会话持续时间判断是否满足短会话应用场景;
如果满足短会话应用场景,则通过解析用户在当前第一预设时间段内上网所产生的各协议报文,获取协议报文中携带的一个或多个时钟偏移值;
统计在当前第一预设时间段内相同时钟偏移值的通量,并基于该通量得到当前第一预设时间段内的共享设备数。
优选地,在第二预设时间段内,每隔预设周期T统计一次当前第一预设时间段内相同时钟偏移值的通量,并取所述第二预设时间段内得到的各时钟偏移通量的平均值,作为本次加密流量共享检测的共享设备数。
优选地,所述实时获取当前各用户上网所触发的一个或多个会话,并基于各会话的会话持续时间判断是否满足短会话应用场景,具体为:
实时获取当前各用户上网动作所触发的一个或多个会话,并通过会话中协议报文的获取时间得到每个会话的会话持续时间;
将所述一个或多个会话按照会话持续时间由大到小或由小到大的顺序进行排序,并判断最大会话持续时间是否小于预设时间阈值;
如果最大会话持续时间小于预设时间阈值,则说明满足短会话应用场景;否则不满足短会话应用场景。
优选地,每个会话中包含一个或多个协议报文,则所述通过会话中协议报文的获取时间得到每个会话的会话持续时间具体为:
对于实时获取的每个会话,记录该会话中第一个协议报文的获取时间以及最后一个协议报文的获取时间,并将两个获取时间的时间差作为该会话的会话持续时间。
优选地,每个会话中包含一个或多个协议报文,其中时钟偏移携带在特定报文的特定字段中,则所述通过解析用户在当前第一预设时间段内上网所产生的各协议报文,获取协议报文中携带的一个或多个时钟偏移,具体为:
获取各用户在当前第一预设时间段内上网所触发的一个或多个会话,对于每个会话,通过对该会话中的一个或多个协议报文进行报文解析,定位到该会话中的特定报文的特定字段,进而在所述特定字段中提取对应的时钟偏移值,最终得到一个或多个时钟偏移值。
优选地,所述第一预设时间段的取值范围为0~2秒。
优选地,如果不满足短会话应用场景,则所述方法还包括:
通过报文解析获取每个会话的会话时间范围;
统计各会话时间范围中存在交集区间的会话数量,进而根据该会话数量得到本次加密流量共享检测的共享设备数。
优选地,每个会话中包含一个或多个协议报文,则所述通过报文解析获取每个会话的会话时间范围具体为:
对于每个会话,将该会话的第一个协议报文中携带的时间偏移值作为该会话的会话起始时间,将传输层协议本身结束时的时间作为该会话的会话结束时间,进而基于会话开始时间和会话结束时间确定该会话的会话时间范围。
优选地,所述统计各会话时间范围中存在交集区间的会话数量,进而根据该会话数量得到本次加密流量共享检测的共享设备数,具体为:
判断各会话是否在会话时间范围上存在交集区间,并将在会话时间范围上存在交集区间的会话作为一个集合,从而得到一个或多个集合;
统计每个集合中的会话数量并进行数量比较,将最大会话数量与固定通量的比值作为本次加密流量共享检测的共享设备数。
另一方面,本发明提供了一种基于时钟偏移的加密流量共享检测装置,包括至少一个处理器和存储器,所述至少一个处理器和存储器之间通过数据总线连接,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令在被所述处理器执行后,用于完成第一方面所述的基于时钟偏移的加密流量共享检测方法。
与传统技术相比,本发明的有益效果是:
本发明提供的加密流量共享检测方案中,充分利用加密协议中都会携带时间相关字段这一特征,采用加密协议中携带的时钟偏移这种变量而非传统固定特征来标示设备或用户,通过统计时钟偏移在一定时间内出现相同值的个数,即可确定流量的共享设备数,可解决传统基于协议特征中固定标识符无法进行流量共享检测的问题。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍。显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于时钟偏移的加密流量共享检测方法流程图;
图2为本发明实施例提供的一种微信触发短会话时的报文示意图;
图3为本发明实施例提供的一种携带时钟偏移值的报文示意图;
图4为本发明实施例提供的一种微信时钟偏移检测图;
图5为本发明实施例提供的一种微信触发长会话时的报文示意图;
图6为本发明实施例提供的一种长会话时的加密流量共享检测方法流程图;
图7为本发明实施例提供的一种长会话时各会话之间的交集示意图;
图8为本发明实施例提供的一种基于时钟偏移的加密流量共享检测装置架构图。
【具体实施方式】
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明各实施例中,符号“/”表示同时具有两种功能的含义,而对于符号“A和/或B”则表明由该符号连接的前后对象之间的组合包括“A”、“B”、“A和B”三种情况。
此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。下面就参考附图和实施例结合来详细说明本发明。
实施例1:
为解决在加密流量情况下,传统基于协议特征的流量共享检测方法无效的技术问题,本发明实施例提供了一种基于时钟偏移的加密流量共享检测方法,当用户上网过程中各应用通过加密协议进行网络数据传输时,可基于加密协议中携带的时间偏移来对用户的设备进行标识,从而进行加密流量的共享检测。
这些加密协议加密的是传输内容,即用户数据,但是这些加密协议本身是一种网络协议,因此会有标准或自定义的协议格式,而这种格式里都会有时间戳项,也就是时间偏移,例如使用最广的TLS协议。像微信这种目前用户量及使用频率最高的应用,使用的是微信自己的TLS协议,因此传输的内容也是加密的,加密协议本身也包含时间相关字段。时间戳在TLS协议的random字段里,通常被当成一种变量来使用,不会用于做为设备唯一标示来区分不同的设备或用户;但是时钟偏移这个特性又不是一个完全随机的变量,而是一种标准变量,因此可以用来进行用户设备标识。
举个简单的例子,目前大街上外卖配送员的服装统一化,在一个较长的时间段内,例如1小时内,如果总共看见10个外卖配送员来回经过,无法区分是同一个外卖配送员来回10次,还是几个不同的外卖配送员来回几次;但是在一个较短的时间段内,例如30秒内,如果总共看见10个外卖配送员来回经过,可以确定这是不同的10个外卖配送员,因为在这个足够短的时间内,同一个外卖配送员是不可能往返10次的。这就是通量的检测。
那么在流量上,由于流量是用户使用应用触发的动作,从而产生了网络数据,而网络数据里又会携带这种时间相关的时钟偏移。因此,结合上述外卖配送员的实例,通过时钟偏移进行共享设备的通量检测需满足以下条件:时间段足够短,例如1秒内,即1秒内正常人的用户行为是不可能那么快地产生高频动作。如此一来,通过统计时钟偏移在足够短的相同时间段内出现相同值的个数(即通量),即可确定共享设备数。
基于上述原理,本发明实施例提供的加密流量共享检测方法如图1所示,主要包括以下步骤:
步骤201,实时获取当前各用户上网所触发的一个或多个会话,并基于各会话的会话持续时间判断是否满足短会话应用场景。具体如下:
1)实时获取当前各用户上网动作所触发的一个或多个会话,并通过会话中协议报文的获取时间得到每个会话的会话持续时间。具体地,每个用户通过自己的设备使用流量上网时,上网动作都会触发一个或多个会话。以微信应用为例,用户通过微信发送一条消息时会触发一个会话,上滑或下滑动作浏览朋友圈时,也会触发一个或多个会话;如图2所示,当前总共获取到微信对应产生的35个会话(即图中右侧的“TCP 35”字段),每一行代表一个会话。其中,每个会话中包含一个或多个协议报文,则会话持续时间的获取过程具体为:对于实时获取的每个会话,记录该会话中第一个协议报文的获取时间以及最后一个协议报文的获取时间,并将两个获取时间的时间差(即第一个报文与最后一个报文的抓包时间差)作为该会话的会话持续时间,图2中方框圈出的Duration部分即为每个会话对应的会话持续时间。
2)将所述一个或多个会话按照会话持续时间由大到小或由小到大的顺序进行排序,并判断最大会话持续时间是否小于预设时间阈值;如果最大会话持续时间小于预设时间阈值,则说明满足短会话应用场景;否则不满足短会话应用场景。以图2为例,是将微信对应的35个会话按照会话持续时间进行降序排列,则第一个会话对应的会话持续时间即为最大会话持续时间,只需要判断最大会话持续时间与预设时间阈值间的大小关系;如果最大会话持续时间小于预设时间阈值,证明后续所有的会话持续时间肯定都是小于预设时间阈值的,即每个会话的会话持续时间相对较短,属于短会话。所述预设时间阈值的取值范围为0~2秒,如果取1秒,则会话持续时间小于1秒的会话属于短会话。只有短会话场景下,才可以采用本发明实施例提供的方法进行共享检测。
步骤202,如果满足短会话应用场景,则通过解析用户在当前第一预设时间段内上网所产生的各协议报文,获取协议报文中携带的一个或多个时钟偏移值。
由前述可知,每个会话中包含一个或多个协议报文,但并不是每个协议报文中都携带时钟偏移,实际上时钟偏移仅携带在特定报文的特定字段中,则获取协议报文中时钟偏移的过程具体为:获取各用户在当前第一预设时间段内上网所触发的一个或多个会话,对于每个会话,通过对该会话中的一个或多个协议报文进行报文解析,定位到该会话中的特定报文的特定字段,进而在所述特定字段中提取对应的时钟偏移值,最终得到一个或多个时钟偏移值。
其中,所述第一预设时间段的取值范围为0~2秒,取值越小越满足上述提到的使用条件,即时间段足够短,在这个足够短的时间内从正常人的用户手速来看至多只能进行一次上网动作。例如,取值为1秒时,则获取各用户当前这1秒内产生的报文并从中提取时钟偏移值;当取值足够小,可以认为是一个时间点,即获取当前时刻报文中的时钟偏移值。需要说明的是,这里的时钟偏移值并不是实时时间,而是相对同一个标准时间的偏移量,一般是以二进制形式表示;如图3所示,经过报文解析过滤后,仅将带有时钟偏移的报文字段显示出来,每一行对应一个时钟偏移值,例如图3中方框圈出的7ff9a2ad,后面的报文时间字段对应的2019-10-15为获取报文的实际时间。
步骤203,统计在当前第一预设时间段内相同时钟偏移值的通量,并基于该通量得到当前第一预设时间段内的共享设备数。
当设置的第一预设时间段足够小时,可认为当前第一预设时间段内相同的时钟偏移值分别对应不同的设备,因此可将获取的通量作为当前第一预设时间段内的共享设备数。例如,假设第一预设时间段取1秒,那么如果在第5秒-第6秒的时间段内,时钟偏移值00001016总共出现3次,则这个时间段内的共享设备数为3。另外,考虑到个别用户的偶发高频动作触发,即在足够短的时间段内,仍存在个别用户产生高频动作,利用上述方法计算可能存在一定的误差。为减小上述问题带来的误差,在优选的实施例中,可进一步通过以下方法来进行共享检测:
在第二预设时间段内,每隔预设周期T统计一次当前第一预设时间段内相同时钟偏移值的通量,并取所述第二预设时间段内得到的各时钟偏移通量的平均值,作为本次加密流量共享检测的共享设备数。其中,所述第二预设时间段和预设周期T可根据实际需求来设置,如果需要更多的样本来进行平均计算,则可将第二预设时间段设置较大取值,预设周期T设置较小取值,可以更频繁地进行统计处理。例如,所述第二预设时间段取为2天,预设周期T取为1分钟,所述第一预设时间段取值为1秒,需要每隔1分钟,统计当前1秒内的时钟偏移值,连续统计2天;以微信为例,某个IP地址以1分钟为检测周期的2天时钟偏移检测情况如图4所示,经计算得到2天内的时钟偏移通量的均值为4,因此将4作为该IP地址这段时间内的共享设备数。
综上所述,本发明实施例提供的上述加密流量共享检测方案中,充分利用加密协议中都会携带时间相关字段这一特征,采用加密协议中携带的时钟偏移值这种变量而非传统固定特征来标示设备或用户,通过统计时钟偏移在一定时间内出现相同值的个数,即可确定流量的共享设备数,可解决传统基于固定标识符无法进行流量共享检测的问题。
实施例2
上述实施例1中介绍的是短会话应用场景下的共享检测方法,如果在步骤201中获取当前各用户上网所触发的一个或多个会话后,通过计算发现每个会话的会话持续时间都大于预设阈值,如图5所示,每个会话对应的会话持续时间Duration都在几百秒,则认为每个会话的会话持续时间相对较长,属于长会话。此时也就不满足短会话应用场景,无法再利用实施例1中所述的共享检测方法来获取共享设备数。那么,在长会话应用场景中,即不满足短会话应用场景时,可参考图6,通过以下方法进行共享检测:
步骤301,通过报文解析获取每个会话的会话时间范围。
如果TLS协议的会话持续时间相对较长,会存在相当一定时间范围,此处以TimeStart表示一个TLS会话检测到的时钟偏移值做为起始时间,用TimeEnd表示此TLS会话结束的时间,则对于每一个TLS会话都有[TimeStart,TimeEnd]的时间范围。其中,图5中的会话持续时间是通过该会话的第一个报文与最后一个报文的获取时间差来计算的,而报文的获取时间与报文的实际产生时间是存在一定偏差的。因此,如果要获取更准确的会话时间范围,需要重新计算,而不是直接以图5中的会话持续时间为准。
基于上述原理,获取会话时间范围的过程具体如下:对于每个会话,将该会话的第一个协议报文中携带的时间偏移值作为该会话的会话起始时间TimeStart,将传输层协议本身结束时的时间作为该会话的会话结束时间TimeEnd,进而基于会话开始时间和会话结束时间确定该会话的会话时间范围[TimeStart,TimeEnd]。其中,这里对开始时间要求更严谨,因此需要在应用层通过报文中记录的时钟偏移值来表示,结束时间可直接在传输层获取即可,也可以将会话中最后一个报文的获取时间作为结束时间。以TLS协议为例,TLS协议在Random随机数字段的值的开始四个字节为当前时间的UTC Unix时间戳,则会话起始时间TimeStart即为图5中左侧框出的UTC时间偏移。
步骤302,统计各会话时间范围中存在交集区间的会话数量,进而根据该会话数量得到本次加密流量共享检测的共享设备数。具体如下:
首先,判断各会话是否在会话时间范围上存在交集区间,并将在会话时间范围上存在交集区间的会话作为一个集合,从而得到一个或多个集合;然后,统计每个集合中的会话数量并进行数量比较,将最大会话数量与固定通量的比值作为本次加密流量共享检测的共享设备数。
由于很多应用在使用TLS协议进行数据传输的时候,针对某个服务器都会有一个确定数量的TLS会话,例如1个,这个会话就是客户端跟服务器建立的一个相对固定的通信信道;那么这个数量就是这个应用在TLS协议上的固有通量,表示为M,例如M=1。如果要通过本发明实施例提供的方法针对长会话场景进行共享检测,还需满足以下前提条件:应用在同一时间内产生固定数量的会话,即存在固定通量M,而不是并发产生多个(变数)同样的会话;否则就无法区分是一个IP产生的多个会话,还是多个IP产生的多个会话。
在一个具体的实施例中,假设固有通量M=1,对某个IP地址总共检测到A[TimeStart1,TimeEnd1],B[TimeStart2,TimeEnd2],C[TimeStart3,TimeEnd3],……,X[TimeStartN,TimeEndN]N个会话以及对应的会话时间范围。判断这N个会话是否在会话时间范围上存在交集区间,如果发现会话A、B、C存在交集区间t,如图7所示,其他所有会话并不存在交集区间,则相当于会话A、B、C组成一个集合,该集合中的会话数量为3,此时该集合中的会话数量3与固定通量1的比值3,就是这个时间段t内的共享设备数。如果发现会话A、B、C存在交集区间t1,会话D、E、F、G存在交集区间t2,且交集区间t1与交集区间t2无交集,则相当于会话A、B、C组成一个集合,该集合中的会话数量为3;会话D、E、F、G组成另一个集合,该集合中的会话数量为4;此时通过比较两个集合的会话数量,发现最大会话数量为4,则最大会话数量4与固定通量1的比值4,就是这个时间段t内的共享设备数。
通过上述方法,可以弥补会话持续时间较长时无法通过时钟偏移通量获取共享设备数的缺陷,同样无需固定标识符,利用加密协议中携带的时钟偏移值就能实现共享检测。
实施例3:
在上述实施例1和实施例2提供的基于时钟偏移的加密流量共享检测方法的基础上,本发明还提供了一种可用于实现上述方法的基于时钟偏移的加密流量共享检测装置,如图8所示,是本发明实施例的装置架构示意图。本实施例的基于时钟偏移的加密流量共享检测装置包括一个或多个处理器21以及存储器22。其中,图8中以一个处理器21为例。
所述处理器21和所述存储器22可以通过总线或者其他方式连接,图8中以通过总线连接为例。
所述存储器22作为一种基于时钟偏移的加密流量共享检测方法非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如实施例1中的基于时钟偏移的加密流量共享检测方法。所述处理器21通过运行存储在所述存储器22中的非易失性软件程序、指令以及模块,从而执行基于时钟偏移的加密流量共享检测装置的各种功能应用以及数据处理,即实现实施例1和实施例2的基于时钟偏移的加密流量共享检测方法。
所述存储器22可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,所述存储器22可选包括相对于所述处理器21远程设置的存储器,这些远程存储器可以通过网络连接至所述处理器21。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述程序指令/模块存储在所述存储器22中,当被所述一个或者多个处理器21执行时,执行上述实施例1中的基于时钟偏移的加密流量共享检测方法,例如,执行以上描述的图1和图6所示的各个步骤。
本领域普通技术人员可以理解实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取存储器(RAM,RandomAccessMemory)、磁盘或光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于时钟偏移的加密流量共享检测方法,其特征在于,当用户上网过程中各应用通过加密协议进行网络数据传输时,加密流量共享检测方法包括:
实时获取当前各用户上网所触发的一个或多个会话,并基于各会话的会话持续时间判断是否满足短会话应用场景;
如果满足短会话应用场景,则通过解析用户在当前第一预设时间段内上网所产生的各协议报文,获取协议报文中携带的一个或多个时钟偏移值;
统计在当前第一预设时间段内相同时钟偏移值的通量,并基于该通量得到当前第一预设时间段内的共享设备数。
2.根据权利要求1所述的基于时钟偏移的加密流量共享检测方法,其特征在于,在第二预设时间段内,每隔预设周期T统计一次当前第一预设时间段内相同时钟偏移值的通量,并取所述第二预设时间段内得到的各时钟偏移通量的平均值,作为本次加密流量共享检测的共享设备数。
3.根据权利要求1所述的基于时钟偏移的加密流量共享检测方法,其特征在于,所述实时获取当前各用户上网所触发的一个或多个会话,并基于各会话的会话持续时间判断是否满足短会话应用场景,具体为:
实时获取当前各用户上网动作所触发的一个或多个会话,并通过会话中协议报文的获取时间得到每个会话的会话持续时间;
将所述一个或多个会话按照会话持续时间由大到小或由小到大的顺序进行排序,并判断最大会话持续时间是否小于预设时间阈值;
如果最大会话持续时间小于预设时间阈值,则说明满足短会话应用场景;否则不满足短会话应用场景。
4.根据权利要求3所述的基于时钟偏移的加密流量共享检测方法,其特征在于,每个会话中包含一个或多个协议报文,则所述通过会话中协议报文的获取时间得到每个会话的会话持续时间具体为:
对于实时获取的每个会话,记录该会话中第一个协议报文的获取时间以及最后一个协议报文的获取时间,并将两个获取时间的时间差作为该会话的会话持续时间。
5.根据权利要求1所述的基于时钟偏移的加密流量共享检测方法,其特征在于,每个会话中包含一个或多个协议报文,其中时钟偏移携带在特定报文的特定字段中,则所述通过解析用户在当前第一预设时间段内上网所产生的各协议报文,获取协议报文中携带的一个或多个时钟偏移,具体为:
获取各用户在当前第一预设时间段内上网所触发的一个或多个会话,对于每个会话,通过对该会话中的一个或多个协议报文进行报文解析,定位到该会话中的特定报文的特定字段,进而在所述特定字段中提取对应的时钟偏移值,最终得到一个或多个时钟偏移值。
6.根据权利要求1-5任一所述的基于时钟偏移的加密流量共享检测方法,其特征在于,所述第一预设时间段的取值范围为0~2秒。
7.根据权利要求1所述的基于时钟偏移的加密流量共享检测方法,其特征在于,如果不满足短会话应用场景,则所述方法还包括:
通过报文解析获取每个会话的会话时间范围;
统计各会话时间范围中存在交集区间的会话数量,进而根据该会话数量得到本次加密流量共享检测的共享设备数。
8.根据权利要求7所述的基于时钟偏移的加密流量共享检测方法,其特征在于,每个会话中包含一个或多个协议报文,则所述通过报文解析获取每个会话的会话时间范围具体为:
对于每个会话,将该会话的第一个协议报文中携带的时间偏移值作为该会话的会话起始时间,将传输层协议本身结束时的时间作为该会话的会话结束时间,进而基于会话开始时间和会话结束时间确定该会话的会话时间范围。
9.根据权利要求7所述的基于时钟偏移的加密流量共享检测方法,其特征在于,所述统计各会话时间范围中存在交集区间的会话数量,进而根据该会话数量得到本次加密流量共享检测的共享设备数,具体为:
判断各会话是否在会话时间范围上存在交集区间,并将在会话时间范围上存在交集区间的会话作为一个集合,从而得到一个或多个集合;
统计每个集合中的会话数量并进行数量比较,将最大会话数量与固定通量的比值作为本次加密流量共享检测的共享设备数。
10.一种基于时钟偏移的加密流量共享检测装置,其特征在于,包括至少一个处理器和存储器,所述至少一个处理器和存储器之间通过数据总线连接,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令在被所述处理器执行后,用于完成权利要求1-9任一所述的基于时钟偏移的加密流量共享检测方法。
CN202010861531.5A 2020-08-25 2020-08-25 一种基于时钟偏移的加密流量共享检测方法与装置 Active CN111970173B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010861531.5A CN111970173B (zh) 2020-08-25 2020-08-25 一种基于时钟偏移的加密流量共享检测方法与装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010861531.5A CN111970173B (zh) 2020-08-25 2020-08-25 一种基于时钟偏移的加密流量共享检测方法与装置

Publications (2)

Publication Number Publication Date
CN111970173A true CN111970173A (zh) 2020-11-20
CN111970173B CN111970173B (zh) 2021-08-03

Family

ID=73390684

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010861531.5A Active CN111970173B (zh) 2020-08-25 2020-08-25 一种基于时钟偏移的加密流量共享检测方法与装置

Country Status (1)

Country Link
CN (1) CN111970173B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101442450A (zh) * 2008-12-24 2009-05-27 成都市华为赛门铁克科技有限公司 一种检测共享接入终端数量的方法、系统及装置
CN101631052A (zh) * 2009-08-25 2010-01-20 杭州华三通信技术有限公司 一种检测接入终端数量的方法及装置
CN102523263A (zh) * 2011-12-06 2012-06-27 中国联合网络通信集团有限公司 共享接入主机数量监测方法、设备及系统
WO2017010678A1 (ko) * 2015-07-13 2017-01-19 주식회사 수산아이앤티 공유 ip를 이용하는 클라이언트들을 카운트 하는 방법
CN108965386A (zh) * 2018-06-08 2018-12-07 北京奇安信科技有限公司 一种共享接入终端的识别方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101442450A (zh) * 2008-12-24 2009-05-27 成都市华为赛门铁克科技有限公司 一种检测共享接入终端数量的方法、系统及装置
CN101631052A (zh) * 2009-08-25 2010-01-20 杭州华三通信技术有限公司 一种检测接入终端数量的方法及装置
CN102523263A (zh) * 2011-12-06 2012-06-27 中国联合网络通信集团有限公司 共享接入主机数量监测方法、设备及系统
WO2017010678A1 (ko) * 2015-07-13 2017-01-19 주식회사 수산아이앤티 공유 ip를 이용하는 클라이언트들을 카운트 하는 방법
CN108965386A (zh) * 2018-06-08 2018-12-07 北京奇安信科技有限公司 一种共享接入终端的识别方法及装置

Also Published As

Publication number Publication date
CN111970173B (zh) 2021-08-03

Similar Documents

Publication Publication Date Title
Hopper et al. How much anonymity does network latency leak?
US10650119B2 (en) Multimedia data processing method, apparatus, system, and storage medium
CN110519177A (zh) 一种网络流量识别方法及相关设备
JP2004112791A (ja) ネットワーク動作パラメータを測定する方法
CN109246172A (zh) 一种恢复会话的方法、装置及计算机存储介质
US20170134413A1 (en) System and method for connection fingerprint generation and stepping-stone traceback based on netflow
CN109743672A (zh) 一种运动轨迹显示方法和装置
CN107135190B (zh) 基于传输层安全连接的数据流量归属识别方法及装置
CN107342964B (zh) 一种报文解析方法及设备
WO2020112126A1 (en) Device validation using tokens
CN111917706A (zh) 一种识别nat设备及确定nat后终端数的方法
CN111970173B (zh) 一种基于时钟偏移的加密流量共享检测方法与装置
CN101127690A (zh) 一种下一代网络业务流量识别方法
KR20170054215A (ko) 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법
CN110838950B (zh) 一种网络性能抖动值的确定方法及装置
CN106060594B (zh) 一种基于播放器心跳的白名单生成系统及方法
CN110062016A (zh) 用于可信服务管理的方法及装置
EP3617922A1 (en) Apparatus and methods for deriving fingerprints of communications devices
RU2007119383A (ru) Способ регистрации мобильного оконечного устройства связи в локальной сети
CN115334032B (zh) 一种基于多协议的邮件收取方法
CN109040137A (zh) 用于检测中间人攻击的方法、装置以及电子设备
CN105207768A (zh) 路由器端访问设备与互联网时间不一致的提醒方法和系统
CN106130764B (zh) 一种监控视频直播间数据服务是否可用的方法及系统
EP2605480A1 (en) Apparatus and method for HTTP analysis
Li et al. HMC: a novel mechanism for identifying encrypted P2P thunder traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant