CN1881938A - 一种预防和检测代理的方法和系统 - Google Patents
一种预防和检测代理的方法和系统 Download PDFInfo
- Publication number
- CN1881938A CN1881938A CNA2006100796628A CN200610079662A CN1881938A CN 1881938 A CN1881938 A CN 1881938A CN A2006100796628 A CNA2006100796628 A CN A2006100796628A CN 200610079662 A CN200610079662 A CN 200610079662A CN 1881938 A CN1881938 A CN 1881938A
- Authority
- CN
- China
- Prior art keywords
- mentioned
- proxy
- agency
- detection module
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
一种预防和检测代理的方法和系统,该方法包括预防代理操作和检测代理操作,根据代理检测策略请求数据执行上述预防代理操作和/或检测代理操作的相应操作中的一种或其组合;该系统至少包括:802.1x认证模块及执行预防代理和检测代理操作的代理检测模块,代理检测模块根据代理检测策略请求数据执行预防代理操作和/或检测代理操作的相应操作中的一种或其组合。本发明的预防和检测代理的方法和系统可以利用不同的预防代理和检测代理的方法来防止代理,并可以将这些预防代理方法和检测代理方法任意组合以满足各种防代理检测需要。
Description
技术领域
本发明涉及代理检测和网络技术,更具体地说,涉及一种预防和检测用户使用代理技术的方法和系统。
背景技术
随着互联网(下称Internet)与局域网(下称Intranet)的飞速发展,作为连接Internet与Intranet的桥梁,共享上网技术在实际应用中发挥着极其重要的作用。但网络用户使用了共享上网技术以后,网络中的资源访问权限变得不可控,给网络资源带来了安全隐患,同时逃避计费也给通过网络运营的各类网络服务提供商(Internet Service Provider,简称ISP)和校园网络管理部门带来了很大的损失。
在采用基于端口的访问控制协议(Port based network access controlprotocol,又名802.1x协议,以下简称802.1x)技术的宽带网环境中,用户可以通过代理上网来实现“一个账号多人使用”的方法,如何防范和检测用户使用共享上网技术成为目前需要重点关注研究并亟待解决的问题。
如图1所示,代理服务器是接收或解释客户端连接并发起到服务器的新连接的网络节点,代理服务器的四个基本功能:
(1)能够接收和解释客户端的请求;
(2)能够创建到服务器的新连接;
(3)能够接收服务器发来的响应;
(4)能够发出或解释服务器的响应并将该响应传回给客户端。
如果说接收客户端请求并发回响应是服务器的功能的话,那么发起到服务器的连接并接收服务器的响应则是客户端发挥的作用。因此代理服务器必须要同时实现服务器和客户端两端的功能。
现在网上的代理程序很多,如WinGate,Sygate,WinProxy,SocksCap32,CCProxy,Socks Online,SpoonProxy,SuperProxy,NAT32Enhanced,ProxyCap,SinforNAT,UserGate,SOCKS2HTTP,NetProxy等有几百种软件。现有技术一般采用端口扫描和根据连接数的突变来检测代理的方法,但根据端口扫描会占据大量的机器资源和网络资源,而根据连接数的突变可能会导致误检。
发明内容
鉴于上述,本发明的目的在于提供一种预防和检测代理的方法和系统,其能够预防和检测用户使用的代理技术。
为实现上述目的,本发明提供一种预防和检测代理的方法,包括:
由代理检测模块执行预防代理和检测代理操作中的一种或其组合;
其中,预防代理操作至少包括执行检测双网卡、双网际协议、传输控制协议活动连接数、用户数据报协议开放端口数及用户修改分配的网际协议地址操作中的一种或其任意组合;
检测代理操作至少包括执行检测运行的代理软件特征、查看特定服务的状态、监视非法服务端口及数据包特征分析操作中的一种或其任意组合;
代理检测模块根据代理检测策略请求数据执行上述预防代理操作和/或检测代理操作的相应操作中的一种或其组合。
进一步地,上述代理检测策略请求数据按照预防代理及检测代理操作中代价大小的顺序排列;
上述代理检测模块优先执行上述代理检测策略请求数据中代价小的预防代理操作和检测代理操作中的一种或其组合。
进一步地,上述预防代理操作中的检测多网卡和多网际协议操作包括:
1)上述代理检测模块使用Windows的IpHlpapi库定时查询网络接口信息;
2)上述代理检测模块检查网卡和网际协议数是否超过限制。
进一步地,上述预防代理操作中的检测传输控制协议活动连接数操作包括:
1)上述代理检测模块查询TcpTable连接数量;
2)上述代理检测模块根据上述TcpTable连接的状态确定传输控制协议活动的连接数;
3)上述代理检测模块检查上述传输控制协议活动的连接数是否超过限制;
进一步地,上述预防代理操作中的检测用户数据报协议开放端口数操作包括:
1)上述代理检测模块查询UdpTable端口表;
2)上述代理检测模块根据上述UdpTable端口表检查用户数据报协议打开的端口数量;
3)上述代理检测模块检查上述用户数据报协议打开的端口数量是否超过限制。
进一步地,上述检测代理操作中的查看特定服务的状态操作为:
上述代理检测模块通过打开服务管理器并打开上述特定服务,查看上述特定服务的运行状态,判别指定服务是否运行。
进一步地,上述检测代理操作中的监视非法服务端口操作为:
上述代理检测模块通过查看动态主机配置协议服务的端口是否打开判别代理服务的非法运行。
进一步地,上述检测代理操作中的检测运行的代理软件特征操作包括:
1)上述代理检测模块至少查找上述代理软件的进程名称、窗体名称及其在注册表中的classID特征,并将上述特征提取出来存储在程序或内存中;
2)上述代理检测模块通过检查运行的代理软件的各进程的特征匹配判别上述代理软件是否运行。
本发明还提供一种预防和检测代理的系统,至少包括:
基于端口的访问控制协议认证模块;及
代理检测模块,其执行预防代理和检测代理操作中的一种或其组合;
其中,上述基于端口的访问控制协议认证模块与上述代理检测模块通过代理检测策略请求/响应数据进行通信;
上述代理检测模块根据上述代理检测策略请求数据执行上述预防代理操作和/或检测代理操作的相应操作中的一种或其组合。
进一步地,上述代理检测策略请求数据按照预防代理及检测代理操作中代价大小的顺序排列;
上述代理检测模块优先执行上述代理检测策略请求数据中代价小的预防代理操作和检测代理操作中的一种或其组合。
进一步地,上述检测代理操作中的数据包特征分析操作包括:
网卡抓包引擎,用以抓取本机所有网卡的网络进出的通信数据;
代理检测模块,根据预先设定的代理检测规则,检测本机是否存在代理服务;
数据包分析模块,用以分析网络数据并分析获取特征数据;
数据包队列模块,用以存储抓取的网络进出特定数据包进行数据分析;
其中,上述网卡抓包引擎与上述数据包分析模块和上述数据包双向队列模块连接;上述数据包双向队列模块与上述数据包分析模块连接;上述数据包分析模块与上述代理检测模块连接。
本发明的预防和检测代理的方法和系统可以利用不同的预防代理和检测代理的方法来防止代理,并可以将这些预防代理方法和检测代理方法任意组合以满足各种防代理检测需要。
下面结合附图,对本发明的具体实施作进一步的详细说明。对于熟悉本技术领域的人员而言,从对本发明方法的详细说明中,本发明的上述和其他目的、特征和优点将显而易见。
附图说明
图1是客户机通过代理服务器连接外网服务器的示意图;
图2是本发明一较佳实施例的预防和检测代理系统的结构示意图;
图3是本发明一较佳实施例的预防和检测代理系统的代理检测策略请求/回应数据结构示意图;
图4是本发明一较佳实施例的预防和检测代理系统的代理检测策略执行流程结构示意图;
图5是本发明一较佳实施例的预防和检测代理系统的数据包分析的流程示意图。
具体实施方式
下面结合附图对本发明的具体实施作详细说明如下:
图2为本发明一较佳实施例的预防和检测代理系统的结构示意图,其主要分为802.1x认证模块和代理检测模块。其中802.1x认证模块包括可扩展认证协议(Extensible Authentication Protocol,以下简称EAP)实现,基于局域网的扩展认证协议(EAP Over LAN,简称EAPOL)帧处理,代理检测策略接收和结果上报,协议操作和状态机实现,MD5、RC4算法实现。代理检测模块执行预防代理和检测代理操作中的一种或其组合,通过执行如检测双网卡、双IP、TCP活动连接数、UDP开放端口数及用户修改分配的IP地址等预防代理操作,检测用户网卡的进、出数据流量的状况,从而识别出用户是否使用了共享上网技术;通过执行如检查客户端运网络接口信息,代理软件特征检查,TCP活动会话数检查、UDP打开端口数检查,端口监视或扫描探测,网络数据包分析等检测代理操作来判断用户客户端环境中是否安装或运行了代理软件。
在本实施例中的检测代理操作中,代理检测模块是根据代理检测策略请求数据(如图3所示)来执行预防代理操作和/或检测代理操作的相应操作中的一种或其组合。其中代理检测策略请求数据按照预防代理及检测代理操作中代价大小的顺序排列,代理检测模块优先执行代理检测策略请求数据中代价小的预防代理操作和检测代理操作中的一种或其组合,这样的优化执行可以提高检测效率。如图4所示,代理检测模块在收集客户端网络接口信息之后,获取802.1x认证模块发送的防代理策略,其中该策略按检测方法代价大小执行的顺序排列,代理检测模块根据该策略一次性查询,如网卡数、IP地址数,IP/MAC地址检测,TCP/UDP会话数端口检查代价小;端口扫描代价较大,尤其是端口多的时候,就要先分析可疑的端口,如:会话中端口使用次数大于2的,对于TCP端口先检查端口状态为Listen的,这些可疑端口检测时间间隔可小一些,若对端口表全部扫描,检测时间间隔可以大一些;数据包分析可能需要的较大代价,这取决于运行环境中网络流量、抽样数据包数量和检测周期,代理检测模块记录每次执行前后的时间,分析效率,根据情况调整抽样数据包数量和检测周期,确保负荷不会太重。
如图5所示,本发明代理检测模块的数据包特征分析包括以下处理过程:网卡抓包引擎,用以抓取本机所有网卡的网络进出的通信数据;代理检测模块,根据预先设定的代理检测规则,检测本机是否存在代理服务;数据包分析模块,用以分析网络数据并分析获取特征数据;数据包队列模块,用以存储抓取的网络进出特定数据包以进行数据分析。其中,网卡抓包引擎与数据包分析模块和数据包双向队列模块连接;数据包双向队列模块与数据包分析模块连接;数据包分析模块与代理检测模块连接。
在本发明中,除了使用预防和检测代理的系统之外,还提供了预防和检测代理的方法。在本发明的另一较佳实施例中,使用Windows的IpHlpapi库定时查询网络接口信息,以检测网卡和IP数是否超过限制,查询TcpTable连接数量和UdpTable端口表,根据TcpTable连接的状态检查活动的连接数是否超过限制,根据UdpTable端口表检查UDP打开的端口数量是否超过限制。通过打开服务管理器,并打开指定服务(如Windows ICS服务,即Internet连接共享:Internet Connection Sharing),查看指定服务的运行状态来判别指定服务是否运行。通过查看特定服务的端口(如动态主机配置协议(Dynamic Host Configuration Protocol,简称DHCP)服务端口67)是否打开判别某些代理服务非法运行。
还可以通过查找代理程序(如Sygate代理软件、Wingate代理软件等)的进程名称,代理程序的窗体名称,代理程序在注册表中的classID等特征,并将上述特征提取出来存储在程序或内存中,然后通过检查运行的各进程的特征匹配来判别代理程序是否运行。这种检查代理软件特征的检测方法,实现代价低,不会误判,但也易漏掉不太常用的代理程序。
以上详细说明了本发明的实施方式,但这只是为了便于理解而举的形象化的实例,不应被视为是对本发明范围的限制。同样,任何所属技术领域的普通专业人员均可根据本发明的技术方案及其较佳实施例的描述,做出各种可能的等同改变或替换,但所有这些改变或替换都应属于本发明的权利要求的保护范围。
Claims (11)
1、一种预防和检测代理的方法,包括:
由代理检测模块执行预防代理和检测代理操作中的一种或其组合;
其中,预防代理操作至少包括执行检测双网卡、双网际协议、传输控制协议活动连接数、用户数据报协议开放端口数及用户修改分配的网际协议地址操作中的一种或其任意组合;
检测代理操作至少包括执行检测运行的代理软件特征、查看特定服务的状态、监视非法服务端口及数据包特征分析操作中的一种或其任意组合;
代理检测模块根据代理检测策略请求数据执行上述预防代理操作和/或检测代理操作的相应操作中的一种或其组合。
2、根据权利要求1所述的方法,其特征是
上述代理检测策略请求数据按照预防代理及检测代理操作中代价大小的顺序排列;
上述代理检测模块优先执行上述代理检测策略请求数据中代价小的预防代理操作和检测代理操作中的一种或其组合。
3、根据权利要求2所述的方法,其特征是上述预防代理操作中的检测多网卡和多网际协议操作包括:
1)上述代理检测模块使用Windows的IpHlpapi库定时查询网络接口信息;
2)上述代理检测模块检查网卡和网际协议数是否超过限制。
4、根据权利要求3所述的方法,其特征是
上述预防代理操作中的检测传输控制协议活动连接数操作包括:
1)上述代理检测模块查询TcpTable连接数量;
2)上述代理检测模块根据上述TcpTable连接的状态确定传输控制协议活动的连接数;
3)上述代理检测模块检查上述传输控制协议活动的连接数是否超过限制。
5、根据权利要求4所述的方法,其特征是
上述预防代理操作中的检测用户数据报协议开放端口数操作包括:
1)上述代理检测模块查询UdpTable端口表;
2)上述代理检测模块根据上述UdpTable端口表检查用户数据报协议打开的端口数量;
3)上述代理检测模块检查上述用户数据报协议打开的端口数量是否超过限制。
6、根据权利要求5所述的方法,其特征是上述检测代理操作中的查看特定服务的状态操作为:
上述代理检测模块通过打开服务管理器并打开上述特定服务,查看上述特定服务的运行状态,判别指定服务是否运行。
7、根据权利要求6所述的方法,其特征是上述检测代理操作中的监视非法服务端口操作为:
上述代理检测模块通过查看动态主机配置协议服务的端口是否打开判别代理服务的非法运行。
8、根据权利要求7所述的方法,其特征是上述检测代理操作中的检测运行的代理软件特征操作包括:
1)上述代理检测模块至少查找上述代理软件的进程名称、窗体名称及其在注册表中的classID特征,并将上述特征提取出来存储在程序或内存中;
2)上述代理检测模块通过检查运行的代理软件的各进程的特征匹配判别上述代理软件是否运行。
9、一种预防和检测代理的系统,至少包括:
基于端口的访问控制协议认证模块;及
代理检测模块,其执行预防代理和检测代理操作中的一种或其组合;
其中,上述基于端口的访问控制协议认证模块与上述代理检测模块通过代理检测策略请求/响应数据进行通信;
上述代理检测模块根据上述代理检测策略请求数据执行上述预防代理操作和/或检测代理操作的相应操作中的一种或其组合。
10、根据权利要求9所述的系统,其特征是
上述代理检测策略请求数据按照预防代理及检测代理操作中代价大小的顺序排列;
上述代理检测模块优先执行上述代理检测策略请求数据中代价小的预防代理操作和检测代理操作中的一种或其组合。
11、根据权利要求10所述的系统,其特征是上述检测代理操作中的数据包特征分析操作包括:
网卡抓包引擎,用以抓取本机所有网卡的网络进出的通信数据;
代理检测模块,根据预先设定的代理检测规则,检测本机是否存在代理服务;
数据包分析模块,用以分析网络数据并分析获取特征数据;
数据包队列模块,用以存储抓取的网络进出特定数据包进行数据分析;
其中,上述网卡抓包引擎与上述数据包分析模块和上述数据包双向队列模块连接;上述数据包双向队列模块与上述数据包分析模块连接;上述数据包分析模块与上述代理检测模块连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100796628A CN1881938A (zh) | 2006-04-27 | 2006-04-27 | 一种预防和检测代理的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100796628A CN1881938A (zh) | 2006-04-27 | 2006-04-27 | 一种预防和检测代理的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1881938A true CN1881938A (zh) | 2006-12-20 |
Family
ID=37519919
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006100796628A Pending CN1881938A (zh) | 2006-04-27 | 2006-04-27 | 一种预防和检测代理的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1881938A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022340B (zh) * | 2007-03-30 | 2010-11-24 | 武汉烽火网络有限责任公司 | 实现城域以太网交换机接入安全的智能控制方法 |
| CN102223266A (zh) * | 2011-06-17 | 2011-10-19 | 北京星网锐捷网络技术有限公司 | 一种协议代理检测方法和装置 |
| CN103152325A (zh) * | 2013-01-30 | 2013-06-12 | 深信服网络科技(深圳)有限公司 | 防止通过共享方式访问互联网的方法及装置 |
| CN106789858A (zh) * | 2015-11-25 | 2017-05-31 | 广州市动景计算机科技有限公司 | 一种访问控制方法和装置以及服务器 |
| CN106921670A (zh) * | 2017-03-22 | 2017-07-04 | 北京安博通科技股份有限公司 | 一种代理检测的方法及装置 |
| US9918353B2 (en) | 2013-02-19 | 2018-03-13 | Zte Corporation | 802.1X access session keepalive method, device, and system |
| CN111130930A (zh) * | 2019-12-16 | 2020-05-08 | 杭州迪普科技股份有限公司 | 双网卡检测方法和装置 |
-
2006
- 2006-04-27 CN CNA2006100796628A patent/CN1881938A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022340B (zh) * | 2007-03-30 | 2010-11-24 | 武汉烽火网络有限责任公司 | 实现城域以太网交换机接入安全的智能控制方法 |
| CN102223266A (zh) * | 2011-06-17 | 2011-10-19 | 北京星网锐捷网络技术有限公司 | 一种协议代理检测方法和装置 |
| CN102223266B (zh) * | 2011-06-17 | 2013-07-24 | 北京星网锐捷网络技术有限公司 | 一种协议代理检测方法和装置 |
| CN103152325A (zh) * | 2013-01-30 | 2013-06-12 | 深信服网络科技(深圳)有限公司 | 防止通过共享方式访问互联网的方法及装置 |
| CN103152325B (zh) * | 2013-01-30 | 2015-12-09 | 深信服网络科技(深圳)有限公司 | 防止通过共享方式访问互联网的方法及装置 |
| US9918353B2 (en) | 2013-02-19 | 2018-03-13 | Zte Corporation | 802.1X access session keepalive method, device, and system |
| CN106789858A (zh) * | 2015-11-25 | 2017-05-31 | 广州市动景计算机科技有限公司 | 一种访问控制方法和装置以及服务器 |
| CN106789858B (zh) * | 2015-11-25 | 2019-12-20 | 广州市动景计算机科技有限公司 | 一种访问控制方法和装置以及服务器 |
| CN106921670A (zh) * | 2017-03-22 | 2017-07-04 | 北京安博通科技股份有限公司 | 一种代理检测的方法及装置 |
| CN111130930A (zh) * | 2019-12-16 | 2020-05-08 | 杭州迪普科技股份有限公司 | 双网卡检测方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1881938A (zh) | 一种预防和检测代理的方法和系统 | |
| Xu et al. | Internet traffic behavior profiling for network security monitoring | |
| CN101488960B (zh) | 基于并行处理的tcp协议及其数据还原装置及方法 | |
| US20090092057A1 (en) | Network Monitoring System with Enhanced Performance | |
| US20120039336A1 (en) | High Performance, High Bandwidth Network Operating System | |
| CN106559382A (zh) | 基于opc协议的安全网关防护系统访问控制方法 | |
| CN101056306A (zh) | 网络设备及其访问控制方法 | |
| CN1175621C (zh) | 一种检测并监控恶意用户主机攻击的方法 | |
| CN101052046A (zh) | 一种用于防火墙的防病毒方法及装置 | |
| CN101060397A (zh) | 检测网络地址转换装置的设备和方法 | |
| US20070289014A1 (en) | Network security device and method for processing packet data using the same | |
| CN101039326A (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
| Ji et al. | A mulitiprocess mechanism of evading behavior-based bot detection approaches | |
| CN1299471C (zh) | 一种宽带接入服务器测试网关与测试方法 | |
| CN108737332B (zh) | 一种基于机器学习的中间人攻击预测方法 | |
| CN1968180A (zh) | 一种基于多级聚集的异常流量控制方法与系统 | |
| CN113382010B (zh) | 基于协同入侵检测的大规模网络安全防御系统 | |
| CN1992595A (zh) | 在计算机网络中检测不良企图的数据的终端机与相关方法 | |
| CN101047502A (zh) | 一种网络认证方法 | |
| CN205510109U (zh) | 用于云计算环境的多服务动态路由系统 | |
| CN1151635C (zh) | 一种适用于集群网络服务的基于内容的通用调度系统 | |
| CN1652538A (zh) | 代理检测方法 | |
| CN201491275U (zh) | 无线网络检查取证系统 | |
| CN1291567C (zh) | 一种高性能多业务的网络安全处理设备 | |
| CN110581843B (zh) | 一种拟态Web网关多应用流量定向分配方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20061220 |