CN1852182A - 一种活动主机数量的检测方法及装置 - Google Patents
一种活动主机数量的检测方法及装置 Download PDFInfo
- Publication number
- CN1852182A CN1852182A CN 200610057572 CN200610057572A CN1852182A CN 1852182 A CN1852182 A CN 1852182A CN 200610057572 CN200610057572 CN 200610057572 CN 200610057572 A CN200610057572 A CN 200610057572A CN 1852182 A CN1852182 A CN 1852182A
- Authority
- CN
- China
- Prior art keywords
- main frame
- time
- monitoring form
- host computers
- mobile host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种活动主机数量的检测方法及装置,属于网络监控领域。为了解决现有技术中检测主机数量方法相对复杂、时间长的问题,本发明提出了一种检测方法,所述方法包括在监控设备中设置监控表、根据流经所述监控设备的数据包更新所述监控表、以及根据所述监控表判断所述活动主机数量的步骤。本发明还提供了一种网络地址转换设备后活动主机数量的检测装置,包括监控设备,在所述监控设备中设置监控表、监控表更新模块和活动主机数量判断模块。本发明用于对各种网络设备后活动主机数量的统计。
Description
技术领域
本发明涉及网络监控领域,特别涉及一种活动主机数量的检测方法及装置。
背景技术
在IP协议最初设计的年代,由于可以互连的设备数量很有限,因此IP地址的长度定义为32位。然而随着Internet的迅猛发展,地址资源消耗迅速。为了应对即将耗尽的IP地址,引入了网络地址转换(NAT-Network AddressTranslate)技术。
该技术通过将私网地址信息映射成为公网地址信息,使得内部用户不用获取公网地址即可同外界通信,大大缓解了公网IP地址匮乏问题。
NAT设备完成的是网络地址转换的功能,用不同的端口号标识其后不同主机的不同网络连接,用来作为中间传递网络数据的依据。参见图1所示的NAT的网络结构图,NAT使得其后面主机采用虚拟IP地址,如192.168.10.1,所有NAT后的主机共享一个真实IP地址,如10.110.255.30。所有流经NAT的数据包的虚拟IP地址等信息都被改写。
在很多情况下,需要对NAT后及其他网络设备后的主机数量进行检测,以达到某种监管的目的。然而网络设备,尤其是NAT的特性使得经由NAT的数据包中很难观察出NAT后主机的信息,从而使得对NAT后的主机数量进行统计变得十分困难。
现有技术中利用TCP数据包中的时间戳选项为技术基础,论证了在单位时间内每台主机与绝对标准时间的计时误差是互不相同的,从而利用这一特点作为识别某个主机的“指纹”。其中时间戳是数据包中的一个数值,其数值是从自主机开机后开始计算的时间,可以是十毫秒或百毫秒数,只取决于开机时间不取决于上网时间。绝对标准时间是某一时区的统一时间,需要相关的设备和技术才能获得。该方法所实现的技术不受网络时延、接入方式等的影响,判断准确度高。但是这项技术有两个缺点:
(1)绝对标准时间的获取相对复杂,需要辅以其他的工具和手段。
(2)要确定并区分每台机器的偏移率,需要每台机器长时间的开机(通常至少数日),在对该机器进行鉴别的时候,也需要该机开机数日的时间。
因此该方案投资相对较大,且只适用于特定场合。
发明内容
为了克服现有技术中检测主机数量方法相对复杂、时间长的问题,本发明的目的在于提供一种简单易行的主机数量检测方法,所述方法包括:
在监控设备中设置监控表、根据流经所述监控设备的数据包更新所述监控表、以及根据所述监控表判断所述活动主机数量的步骤。
优选地,所述监控表至少包括以下三个表项:主机开机时间、主机的下线时间和主机端口号;所述监控表的更新步骤如下:
步骤A:监控设备从数据包中获取当前主机信息,所述信息内容包括当前主机的开机时间、下线时间和主机端口号;
步骤B:将所述当前主机的开机时间与所述监控表中每个结构记录的开机时间进行比较;如果相等,将所述当前主机的端口号添加到所述与当前主机有相同开机时间的结构中;否则建立一个新结构,记录所述当前主机信息;
步骤C:监控设备监听该端口是否活动,如果是,则更新所述监控表中对应的该主机的下线时间为当前时间,否则从该主机对应的结构中删除该端口号;重复步骤C。
优选地,所述监控表至少包括以下二个表项:主机开机时间和主机的下线时间;所述监控表的更新步骤如下:
步骤A:监控设备从数据包中获取当前主机信息,所述信息内容包括当前主机的开机时间和下线时间;
步骤B:将所述当前主机的开机时间与所述监控表中每个结构记录的开机时间进行比较;如果相等,则将所述监控表中的主机下线时间更新为当前主机的下线时间;否则建立一个新结构,记录所述当前主机信息。
所述开机时间为所述监控设备标准时间与所述当前主机的时间戳的差值。
所述时间戳采取以下步骤获得:所述监控设备截获到当前主机发送的建立TCP连接的请求包后,伪造一个包含时间戳的请求/应答包发送给当前主机,所述当前主机向所述监控设备返回应答包,其中包含了时间戳。
优选地,根据所述监控表判断所述活动主机数量的步骤具体包括:根据所述监控表中每个结构中的表项得出所述每个结构对应主机的活动区间;判断所述需要得到活动主机数量的时刻是否在所述每个主机的活动区间内,如果是,记录所述结构对应的主机为活动主机;从而得出所述时刻所有活动主机数量。
进一步地,所述监控表的表项还包括主机的上线时间,相应地,所述当前主机信息还包括所述当前主机的上线时间。
所述活动区间为开机时间和下线时间之间。
所述活动区间为上线时间和下线时间之间。
本发明还提供了一种网络地址转换设备后活动主机数量的检测装置,包括监控设备,在所述监控设备中设置监控表、监控表更新模块和活动主机数量判断模块;所述监控表用于记录主机信息;所述监控表更新模块用于根据流经所述监控设备的数据包更新所述监控表;所述活动主机数量判断模块用于根据所述监控表判断所述活动主机数量。
本发明的有益效果是:采用本发明所述的技术方案能够简单、有效地检测NAT或其它网络设备后的活动主机数量。
附图说明
图1所示为NAT的网络结构图;
图2为本发明所述监控表的表项示意图;
图3为本发明所述监控表的更新过程实施方案的流程图;
图4为本发明所述监控表的更新过程另一个实施方案的流程图;
图5为利用本发明所述监控表得到的检测结果图;
图6为本发明所述装置的结构图。
具体实施方式
下面结合附图和实施例进一步说明本发明,但不作为对本发明的限定。
参见图1,在Internet和NAT设备之间部署有监控设备。该设备用于通过监控NAT后的数据包,获取其中的时间戳信息。首先在监控设备中存储一张监控表,参见图2,表中有数个结构,每个结构记录如下信息:
ΔT,Time1,Time2,Port[n]。
其中ΔT表示标准时间与某台主机的时间戳的差值,这个差值同时也用来标识这一台主机,凡是ΔT数值相等的为同一台主机。这个值从数值上也等于该主机在ΔT标准时间下开机。所谓标准时间是指监控设备的时间,在这里是一个计数器,单位是毫秒,计时精度与时间戳精度一致。
Time1用来记录这台主机的上线时间,由于每台主机只有在上线后才会有数据包流经监控设备,这时监控设备才会捕获其第一个时间戳,所以Time1也就是当捕获到一个ΔT时的标准时间。
Time2用来记录这台主机的下线时间,根据对已记录的端口的监听随时更新,当此端口仍然活动时,其数值更新为当前标准时间。
Port[n]是一个数组,数组中的每一个端口号都代表一台主机发出的连接,同时其中的每一个端口都被监听,用以判断主机是否活动,并同时记录主机的最后活动时间。当该端口不活动时则从数组中删除,当有新端口活动则添加进来。
在建立了监控表后,还要在一定时间内对监控表进行更新,以便形成一个记录了多个主机信息的监控表。更新的主要依据是具有相同ΔT的两个数据包是同一台主机发出的(本依据的前提是:第一,NAT后的主机数量不是很多,同时开机的可能性很小;第二,由于时间戳的精度为毫秒,在这种时间精度内同时开机的可能性也会很小)。同时,在绝大部分情况下,具有不同ΔT的两个数据包可能是两台不同的主机发出的,也可能是一台主机在重启之后(仅仅上下线不会改变ΔT的数值)发出的。
更新的主要思路是对流经每个端口的数据包中断连接之前只取一次时间戳,然后记下该端口号,以后只需要随时监听该端口确认该端口是否仍然活动并记录活动时间即可。
参见图3,所述监控表的更新步骤如下:
步骤101:监控设备从数据包中获取当前主机信息,包括记录当前的ΔT’,以及捕获ΔT’的时刻(记为Time1)、Time2(此时和Time1相等)和端口号;
由于ΔT’表示当前主机的时间戳与标准时间的差值,监控设备需要从数据包中获取时间戳。时间戳作为一个可选项,在windows系统中默认为不包含,在linux系统中默认为包含。但经过试验,在任何系统中,只要接受到包含时间戳的数据包,都会将时间戳自动包含在回应包中;
获取时间戳的一个具体方法是可以在截获到被检测主机发送的SYN包后,
伪造一个包含时间戳的SYN/ACK包发送给被检测主机,则被检测主机返回的ACK包中即包含了时间戳;
用监控设备的标准时间减去获得的时间戳就得到了ΔT’;
步骤102:将ΔT’与表中所有结构中的ΔT进行比较;
步骤103a:如果ΔT’与ΔT相等,说明监控表中已经记录了当前主机的信息,把数据包中的端口号添加到ΔT对应的结构中去;
步骤103b:否则建立一个新结构,记录所获取的主机信息。
步骤104:监控设备监听该端口是否活动,
步骤105a:如果是,则更新表中的Time2,
步骤105b:否则从结构的数组中删除该端口号。
步骤106:重复步骤104。
参见图4,在某些情况下,连接持续时间很短,因此可以把接收到时间戳的时间看似为该端口的最后活动时间,如大部分的浏览网页的情况。针对这种情况,本发明提供了另一种监控表的更新步骤,所述更新步骤如下:
步骤201:监控设备从数据包中获取当前主机信息,包括记录当前的ΔT’,以及捕获ΔT’的时刻(记为Time1)、Time2(此时和Time1相等)。该步骤和上一实施例相同,不再赘述;
步骤202:将ΔT’与表中所有结构中的ΔT进行比较;
步骤203a:如果ΔT’与ΔT相等,说明监控表中已经记录了当前主机的信息,更新表中的Time2;
步骤203b:否则建立一个新结构,记录所获取的主机信息。
监听一段时间后就可以根据表中每个结构(也即每台主机)中标注的相应时间值来判断出某一时刻内NAT后主机的数量。
在有些情况下,为了满足进一步的要求,还可以将记录下来的时间折算成实际时间(时:分:秒),以便对主机的活动情况进行进一步了解。
假设检测从9点开始止于10点,那么这段时间的检测结果应该由图4所示:
图5中显示了在1个小时内共记录了4个结构(对应于图中的4条横线,不同类型的线的长度表示持续的时间),每一个结构都对应着一台主机,不同的数据表示不同的结构中的对应值,从图4中可以很明显地看出在任意时刻或时间段内NAT后主机的活动情况。
当监控设备完成一段时间的监控后,会生成一个如前文所述的监控表(其实也就是一个数据库),里面存储着若干个结构,每个结构都对应一台主机的相关信息(开机时间、上下线时间等)。参见表1,(-表示该时间超出记录范围)为在10:00时得到的监控表(监控设备始于9:00)。设定活动区间为开机时间和下线时间之间,有时也会设定活动区间为上线时间和下线时间之间,本实施例中的活动区间为上线时间和下线时间之间。如果设定的活动区间为开机时间和下线时间之间,则在上述实施例中,监控表的表项和主机信息中都不必包含上线时间。
当需要得到在某一个时刻如9:30活动主机的数量的时候,将9:30这个数值与表中各个主机对应的时间区间进行比较,落在那个区间内,就说明该区间对应的主机在9:30是活动的,全部比较完后,就可以统计出总的数量。在本实施例中,9:30分主机A、D是活动的,主机B是开机但未活动的,C是该主机在监控设备启动之前就已经活动了,在9:30分时已经下线。
| 主机 | ΔT开机时间 | Time1上线时间 | Time2下线时间 |
| A | -- | 9:28 | 9:50 |
| B | 9:20 | 9:43 | -- |
| C | -- | -- | 9:27 |
| D | 9:15 | 9:22 | 9:45 |
表1
参见图6,本发明还提供了一种网络地址转换设备后活动主机数量的检测装置的实施例,包括监控设备,在所述监控设备中设置监控表、监控表更新模块和活动主机数量判断模块;所述监控表用于记录主机信息,至少包括以下四个表项:开机时间,主机的上线时间,主机的下线时间,和主机端口号。所述监控表更新模块用于根据流经所述监控设备的数据包更新所述监控表;所述活动主机数量判断模块用于根据所述监控表判断所述活动主机数量。
其中监控表更新模块具体包括主机信息获取模块,开机时间比较模块,和端口监听模块;所述主机信息获取模块用于监控设备从数据包中获取当前主机信息,所述信息内容包括当前主机的开机时间、上线时间、下线时间和主机端口号;
所述开机时间比较模块用于将所述当前主机的开机时间与所述监控表中每个结构记录的开机时间进行比较;如果相等,将所述与当前主机有相同开机时间的结构中的端口号添加到所述结构中;否则建立一个新结构,记录所述当前主机信息;
所述端口监听模块用于监控设备监听该端口是否活动,如果是,则更新表中对应该主机的下线时间为当前时间,否则从该主机对应的结构中删除该端口号;
所述主机信息获取模块的输出所述主机信息至所述开机时间比较模块。
以上只是对本发明的优选实施方式进行了描述,本领域的技术人员在本
发明技术的方案范围内,进行的通常变化和替换,都应包含在本发明的保护范围内。
Claims (10)
1、一种活动主机数量的检测方法,其特征在于,所述方法包括在监控设备中设置监控表、根据流经所述监控设备的数据包更新所述监控表、以及根据所述监控表判断所述活动主机数量的步骤。
2、如权利要求1所述的活动主机数量的检测方法,其特征在于,所述监控表至少包括以下三个表项:主机开机时间、主机的下线时间和主机端口号;所述监控表的更新步骤如下:
步骤A:监控设备从数据包中获取当前主机信息,所述信息内容包括当前主机的开机时间、下线时间和主机端口号;
步骤B:将所述当前主机的开机时间与所述监控表中每个结构记录的开机
时间进行比较;如果相等,将所述当前主机的端口号添加到所述与当前主机有相同开机时间的结构中;否则建立一个新结构,记录所述当前主机信息;
步骤C:监控设备监听该端口是否活动,如果是,则更新所述监控表中对应的该主机的下线时间为当前时间,否则从该主机对应的结构中删除该端口号;重复步骤C。
3、如权利要求1所述的活动主机数量的检测方法,其特征在于,所述监控表至少包括以下二个表项:主机开机时间和主机的下线时间;所述监控表的更新步骤如下:
步骤A:监控设备从数据包中获取当前主机信息,所述信息内容包括当前主机的开机时间和下线时间;
步骤B:将所述当前主机的开机时间与所述监控表中每个结构记录的开机
时间进行比较;如果相等,则将所述监控表中的主机下线时间更新为当前主机的下线时间;否则建立一个新结构,记录所述当前主机信息。
4、如权利要求2或3所述的活动主机数量的检测方法,其特征在于,所述开机时间为所述监控设备标准时间与所述当前主机的时间戳的差值。
5、如权利要求4所述的活动主机数量的检测方法,其特征在于,所述时间戳采取以下步骤获得:所述监控设备截获到当前主机发送的建立TCP连接的请求包后,伪造一个包含时间戳的请求/应答包发送给当前主机,所述当前主机向所述监控设备返回应答包,其中包含了时间戳。
6、如权利要求1所述的活动主机数量的检测方法,其特征在于,根据所述监控表判断所述活动主机数量的步骤具体包括:根据所述监控表中每个结构中的表项得出所述每个结构对应主机的活动区间;判断所述需要得到活动主机数量的时刻是否在所述每个主机的活动区间内,如果是,记录所述结构对应的主机为活动主机;从而得出所述时刻所有活动主机数量。
7、如权利要求2或3所述的活动主机数量的检测方法,其特征在于,所述监控表的表项还包括主机的上线时间,相应地,所述当前主机信息还包括所述当前主机的上线时间。
8、如权利要求6所述的活动主机数量的检测方法,其特征在于,所述活动区间为开机时间和下线时间之间。
9、如权利要求6所述的活动主机数量的检测方法,其特征在于,所述活动区间为上线时间和下线时间之间。
10、一种活动主机数量的检测装置,包括监控设备,其特征在于,在所述监控设备中设置监控表、监控表更新模块和活动主机数量判断模块;所述监控表用于记录主机信息;所述监控表更新模块用于根据流经所述监控设备的数据包更新所述监控表;所述活动主机数量判断模块用于根据所述监控表判断所述活动主机数量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610057572A CN1852182B (zh) | 2006-03-15 | 2006-03-15 | 一种活动主机数量的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610057572A CN1852182B (zh) | 2006-03-15 | 2006-03-15 | 一种活动主机数量的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1852182A true CN1852182A (zh) | 2006-10-25 |
| CN1852182B CN1852182B (zh) | 2010-05-12 |
Family
ID=37133652
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610057572A Expired - Fee Related CN1852182B (zh) | 2006-03-15 | 2006-03-15 | 一种活动主机数量的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1852182B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442450B (zh) * | 2008-12-24 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种检测共享接入终端数量的方法、系统及装置 |
| CN104268293A (zh) * | 2014-10-23 | 2015-01-07 | 北京国双科技有限公司 | 数据库中的不可累加指标处理方法和装置 |
| CN107018043A (zh) * | 2017-04-24 | 2017-08-04 | 北京安博通科技股份有限公司 | 一种共享上网的检测方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109873829B (zh) * | 2019-03-06 | 2021-07-30 | 国网甘肃省电力公司电力科学研究院 | 一种基于二进制哈希表的活动ip主机数量统计方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100527751C (zh) * | 2004-04-15 | 2009-08-12 | 华为技术有限公司 | 多媒体广播组播业务用户数量的统计方法 |
-
2006
- 2006-03-15 CN CN200610057572A patent/CN1852182B/zh not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442450B (zh) * | 2008-12-24 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种检测共享接入终端数量的方法、系统及装置 |
| CN104268293A (zh) * | 2014-10-23 | 2015-01-07 | 北京国双科技有限公司 | 数据库中的不可累加指标处理方法和装置 |
| CN104268293B (zh) * | 2014-10-23 | 2018-02-23 | 北京国双科技有限公司 | 数据库中的不可累加指标处理方法和装置 |
| CN107018043A (zh) * | 2017-04-24 | 2017-08-04 | 北京安博通科技股份有限公司 | 一种共享上网的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1852182B (zh) | 2010-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108712426B (zh) | 基于用户行为埋点的爬虫识别方法及系统 | |
| CN105630823B (zh) | 基于分布式系统的缓存数据的监控方法、装置和系统 | |
| EP1603307A3 (en) | System and method for performance managment in a multi-tier computing environment | |
| CN103617287A (zh) | 一种分布式环境下的日志管理方法和装置 | |
| BRPI0906470A2 (pt) | sistema de combinaçao de afinidades e metodo | |
| EP1936919A3 (en) | Information Processing Apparatus and Information Processing Method | |
| CN102222187A (zh) | 基于域名构造特征的挂马网页检测方法 | |
| US20150154640A1 (en) | Method and system for collecting resource access information | |
| CN106302350A (zh) | Url监测方法、装置及设备 | |
| CN1852182A (zh) | 一种活动主机数量的检测方法及装置 | |
| CN110555019B (zh) | 一种基于业务端的数据清洗方法 | |
| CN107766234A (zh) | 一种基于移动设备的网页健康度的测评方法、装置及系统 | |
| CN111538931A (zh) | 基于大数据的舆情监控方法、装置、计算机设备及介质 | |
| CN105373603A (zh) | 一种提高三层关联精准度的方法 | |
| CN113238917B (zh) | 前端性能监控方法、装置、设备及存储介质 | |
| CN111885086A (zh) | 恶意软件心跳检测方法、装置、设备及可读存储介质 | |
| CN106874319A (zh) | 点击量的分布式统计方法及装置 | |
| CN104661190A (zh) | 一种基于m2m的信息处理方法和m2m业务平台 | |
| CN109213912A (zh) | 一种抓取网络数据的方法及网络数据抓取调度装置 | |
| CN117097578B (zh) | 一种网络流量的安全监控方法、系统、介质及电子设备 | |
| CN107423188B (zh) | 日志处理方法及设备 | |
| CN1870524A (zh) | 网元告警数据获取方法 | |
| CN103581119B (zh) | 一种生产过程数据高速显示系统及方法 | |
| CN105245394A (zh) | 一种基于分层方式分析网络访问日志的方法和设备 | |
| CN103902725A (zh) | 搜索引擎优化信息的获取方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100512 Termination date: 20180315 |