TWI577163B - Based on the current time to share the public network IP Internet connection request flow of the selective allow or prevent the method and the implementation of the method of public network IP sharing of the current state detection and prevention system - Google Patents

Based on the current time to share the public network IP Internet connection request flow of the selective allow or prevent the method and the implementation of the method of public network IP sharing of the current state detection and prevention system Download PDF

Info

Publication number
TWI577163B
TWI577163B TW103102803A TW103102803A TWI577163B TW I577163 B TWI577163 B TW I577163B TW 103102803 A TW103102803 A TW 103102803A TW 103102803 A TW103102803 A TW 103102803A TW I577163 B TWI577163 B TW I577163B
Authority
TW
Taiwan
Prior art keywords
user
client terminal
traffic
website
router
Prior art date
Application number
TW103102803A
Other languages
English (en)
Other versions
TW201526589A (zh
Inventor
Jong-Ho Choi
Seung-Kwang Koh
Original Assignee
Planty-Net Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Planty-Net Co Ltd filed Critical Planty-Net Co Ltd
Publication of TW201526589A publication Critical patent/TW201526589A/zh
Application granted granted Critical
Publication of TWI577163B publication Critical patent/TWI577163B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Description

以當前時間為基準共享公網IP之因特網連接請求流量之選擇性允許或阻止方法及用以執行該方法之公網IP共享之當前狀態檢測及阻止系統
本發明係關於一種針對複數個用戶一面利用藉由網絡地址轉換(NAT)或網絡路由器等IP地址轉換之IP路由器而以共享一個公網IP之方式連接到由因特網服務提供商所提供之因特網服務網,於因特網服務用戶中檢測於當前狀態中藉由IP路由器而超出針對用戶允許之線路而實施多址連接之用戶,針對該IP共享用戶之IP共享狀態,允許以當前狀態為基準應允許因特網連接之終端之網頁使用,而阻止以當前狀態為基準應阻止因特網連接之終端之網頁使用之裝置及利用其裝置之阻止方法。
近年來,多用戶計算機等之客戶終端於同時使用網絡之過程中,使用IP路由器共享分配於因特網服務用戶之一個公網IP而利用因特網之情況非常多,越來越多之公司或企業內部為了構建公司內部網絡與外部因特網之間之防火牆而於路由器上構成網絡地址轉換(NAT,Network Address Translation),內部亦多使用私有IP。
另一方面,於由現有之因特網服務提供商(ISP:Internet Service Provider)所構建之基礎設施中,裝備及網絡維護費、網絡速度等資源有限,另一方面,隨著使用網絡地址轉換或IP路由器等之頻率之增加,複數個用戶連接於藉由網絡所提供之一個線路上,從而導致發生無序之流量增加,藉此,針對每個線路之因特網公網IP僅有一個客戶終端(計算機)正常使用之用戶,或者,藉由申請相當於因特網使用需求客戶終端之數字之因特網公網IP線路而正常使用之用戶,相對地需承擔其造成之損失。
然而,為了正確地掌握此種使用超過藉由因特網服務使用線路之公網IP線路之相應數量之客戶終端(用戶終端,用戶計算機)之用戶,需跟蹤實際用戶終端(用戶計算機)之IP地址,然而,由於網絡地址轉換(NAT)或IP路由器內部之用戶之實際IP(私有IP)地址,於通過網絡地址轉換(NAT)或IP路由器時轉換為公網IP地址,藉此,無法自外部掌握用戶之實際IP地址,亦無法正確地掌握由幾個私有IP共用特定公網IP。
為了解決此種存在問題,藉由分析TCP/IP包,於所請求之頁面中針對共享對象重定向連接於具有主域之域之所有會話,於使用特定公網IP(因特網IP)之私有網絡內掌握用戶之私有IP,同時實施資料庫化,以使正確掌握使用因特網之用戶數,若藉由資料庫化之IP池資訊及任務(JOB)而由私有IP用戶同時連接網絡,則如公開有基於TCP/IP之選擇性允許及阻止技術之大韓民國專利註冊第10-0723657號(2007.5.23.公告),為了獲得用戶計算機之私有IP,需要設置用於告知內部網絡內之用戶之私有IP地址之獨立之小程序(應用程序),且需要於試圖藉由網頁瀏覽器而連接因特網之用戶計算機中運行所獨立設置之小程序(應用程序),然而,用戶可藉由識別此種小程序之設置或運 行與否而將其刪除或停止其運行,從而無法提供問題之根本性解決方案。
另一方面,於為了解決如上所述之用於取得私有IP之獨立之小程序設置於用戶終端之技術所具有之存在問題所提出之應對方案中,根據大韓民國公開專利公報第10-2009-0041752號(2009.4.29.公開)所公開之技術,針對需要檢測之多台終端,利用藉由生成於共享使用之私有網絡內之客戶端側之多終端之Cookie之精密檢測算法而掌握客戶端側之多終端之正確數量之技術,藉由資料庫化之Cookie池資料庫資訊及以預定時間間隔運行之任務(JOB)計劃程序(Scheduler),若特定公網IP之私有網絡用戶超過允許線路數而同時連接因特網,則基於TCP/IP之私有網絡中允許及阻止因特網連接。
然而,於此種根據以往技術之路由器檢測及阻止方法或路由器檢測及阻止系統中,由於檢測藉由使用IP路由器而利用過多終端(計算機)數量之用戶之檢測流程及檢測自此種用戶之檢測系統而進行阻止之流程呈一體化,具有IP路由器等與共享裝備之使用完全無關之所有用戶之流量向路由器檢測系統流入之結構,藉此,不僅加重路由器檢測系統之負荷,而且所有用戶之流量處理速度等受到路由器檢測系統之處理性能之影響,從而不僅導致因特網速度減慢,若路由器檢測系統發生錯誤或故障,則所有用戶之流量處於不可處理之狀態,從而導致因特網本身之癱瘓。
同時,於上述以往技術中,為了檢測及阻止路由器過量使用用戶而利用存儲於用戶計算機之特定區域之Cookie,此種Cookie係為了針對用於向客戶端側賦予持續性之標準HTTP協議擴展功能而藉由網頁瀏覽器所操作,其存儲於用戶計算機之硬盤之已知位置,又,大部 分計算機用戶非常瞭解Cookie刪除方法,若Cookie積累,則反而導致發生因特網速度低下之問題,對此,網頁瀏覽器亦提供於預定期間後對其進行刪除及整理之功能,例如,若一個公網IP僅限於由一個計算機使用(不使用IP路由器等),則若於因特網連接途中刪除Cookie後再次運行網頁瀏覽器而發生網頁流量,則於根據以往技術之阻止系統中,將其錯誤地判斷為於具有相同公網IP之其他計算機中發生之流量(即,使用IP路由器等之流量),從而導致對其進行阻止,而此種存在問題將對由因特網服務提供商所提供之服務之可靠性造成巨大之損害。
同時,於上述以往技術中,若於因特網服務用戶中使用IP路由器而以超過針對用戶允許之線路之終端連接因特網之同時,連接因特網之終端之數量於針對用戶允許之線路範圍內使用,則若開始連接於因特網之終端之當前狀態處於連接中斷狀態,則為了能夠允許後續連接於網絡之終端之連接,於作為包括用於區分以相同IP進行連接之終端之分隔符之記錄集合體之Cookie池資料庫(或用戶身分證明池資料庫)中運營按預定時間間隔更新以分隔符列表存在之時間之任務計劃程序,例如,每隔30分鐘運行之任務(JOB)計劃程序,藉由查看於Cookie池資料庫中上傳之記錄中之所上傳之因特網連接時間,刪除於預定時間內(例如,20分鐘內)無連接時間之變化之記錄而更新資訊(參照圖5b)。
然而,於此種情況中,例如,6名工作人員分別使用所分配之4台計算機連接因特網並處理各自之業務,若每2名一組並按照12小時倒班之形式工作,如若僅具有2個因特網連接允許線路,則存在一種輪班之新一組2名工作人員無法於上一組2名工作人員之因特網連接記錄藉由以30分鐘為單位運行之任務(JOB)計劃程序而被刪除期間無法連接因特網之問題,而此種無法連接因特網之時間最長可達到任務 (JOB)計劃程序驅動時間間隔(例如,30分鐘)及驅動任務(JOB)計劃程序後記錄刪除基準時間(例如,20分鐘)加起之50分鐘,藉此,造成用戶使用上之極大之不便性。
另一方面,若為了緩解此種存在問題而最小化任務(JOB)計劃程序驅動時間間隔及驅動任務(JOB)計劃程序後之記錄刪除基準時間間隔,則不僅出現因驅動任務(JOB)計劃程序而導致之資料庫服務器工作負荷之增加之問題,而且對於用戶來說,若短暫處理其他業務或稍事休憩,則將喪失藉由自身終端之因特網連接權限,從而導致使用上之不便性。
本發明係用以解決此種先前技術之問題點之技術手段,其係一種共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其係選擇性地允許及阻止藉由檢測利用相同公網IP之私有網絡上之複數個用戶終端台數並與所分配之允許台數進行比較而進行請求連接的終端之因特網連接請求流量(例如,於基於TCP/IP之HTTP協議之用戶生成之HTTP請求(Request)流量,藉由GET、POST等方法(Method)之HTTP請求(Request)流量)者,其特徵在於包括:(I)加入用戶流量之鏡像階段,其於由客戶終端藉由驅動網頁瀏覽器而請求連接到因特網上之網站之情況下,由設置於因特網服務提供商之骨幹網絡之鏡像裝置鏡像自客戶終端發生之網站連接請求流量,並且將上述經鏡像之網站連接請求流量傳輸到推送服務器,以便確認是否為IP路由器過量使用嫌疑用戶;(II)加入用戶流量之過量使用嫌疑用戶公網IP確認階段,其由上述推送服務器確認上述經鏡像之網站連接請求流量是否為藉由推送服務器所處理之藉由包含於上一個連接流量之公網IP及cookie資訊而選定為路由器過量使用嫌疑用戶之公網IP; (III)路由器過量使用狀態檢測及阻止決定階段,其若為被選定為路由器過量使用嫌疑用戶之公網IP,則為了減少負荷,上述推送服務器執行用於確認上述經鏡像之網站連接請求流量是否為可成為決定阻止與否之對象之流量之階段後,若屬於阻止與否決定對象流量,則向客戶終端傳輸第二假響應流量(為了區別於後述之“第一假響應流量而稱為”第二假響應流量),以使藉由上述第二假響應流量而於用戶客戶終端所生成之100%幀上以參數形式補充用戶原來試圖連接之網站之地址並向檢測及阻止用網絡服務器重定向之檢測及阻止用轉發流量自客戶終端傳輸到檢測及阻止用網絡服務器後,上述檢測及阻止用網絡服務器藉由有別於所接收之自上述檢測及阻止用轉發流量所提取之用戶之公網IP及上述100%幀而獨立生成之0%檢測幀,藉由自用戶客戶終端所接收之以用戶身分證明等設定參數名存儲之閃存共享對象(“Flash Shared Object”:以二進制形態之資料存儲於用戶硬盤之未知區域,用戶不易對其進行刪除,不同於Cookie,不設定所持續之資料之到期日由有效期等)之固有參數值而執行路由器過量使用檢測算法,藉此,對於非路由器過量使用狀態之用戶之流量,允許藉由用戶客戶終端所請求之網站連接,藉由檢測路由器過量使用狀態之用戶流量,藉由補充處理條件而決定是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接請求。
又,於本發明之加入用戶流量之路由器過量使用嫌疑用戶公網IP確認階段中,包括並未選定為路由器過量使用嫌疑用戶之公網IP之處理階段之更具體之方法如下:(I)加入用戶流量之鏡像階段,其於由客戶終端藉由驅動網頁瀏覽器而請求連接到因特網上之網站之情況下,由設置於因特網服務提供商之骨幹網絡之鏡像裝置鏡像自客戶終端發生之網站連接請求流量,並且將上述經鏡像之網站連接請求流量傳輸到推送服務器,以便 確認是否為IP路由器過量使用嫌疑用戶;(II)加入用戶流量之過量使用嫌疑用戶公網IP確認階段,其由上述推送服務器確認上述經鏡像之網站連接請求流量是否為藉由推送服務器所處理之藉由包含於上一個連接流量之公網IP及cookie資訊而選定為路由器過量使用嫌疑用戶之公網IP;(III-A)路由器過量使用嫌疑用戶選定及上傳階段,其若並非為被選定為路由器過量使用嫌疑用戶之公網IP,則由上述推送服務器藉由包含於上述經鏡像之網站連接請求流量之公網IP及Cookie資訊而驗證是否為應選定為路由器過量使用嫌疑用戶之狀態,若被選定為路由器過量使用嫌疑用戶,則上傳該IP,又,將包括用於向客戶終端存儲藉由定義設定如sign參數之Cookie有效時間之獨特變量並以當前時刻設定之Cookie之命令及用於引導以使重新連接到原來試圖連接之網站之重定向命令之第一假響應流量傳輸到客戶終端;(III-B)路由器過量使用狀態檢測及阻止決定階段,其若為被選定為路由器過量使用嫌疑用戶之公網IP,則為了減少負荷,上述推送服務器執行用於確認上述經鏡像之網站連接請求流量是否為可成為決定阻止與否之對象之流量之階段,若屬於阻止與否決定對象流量,則向客戶終端傳輸第二假響應流量,以使藉由上述第二假響應流量而於用戶客戶終端所生成之100%幀上以參數形式補充用戶原來試圖連接之網站之地址並向檢測及阻止用網絡服務器重定向之檢測及阻止用轉發流量自客戶終端傳輸到檢測及阻止用網絡服務器後,上述檢測及阻止用網絡服務器藉由有別於所接收之自上述檢測及阻止用轉發流量所提取之用戶之公網IP及上述100%幀而獨立生成之0%檢測幀,藉由自用戶客戶終端所接收之閃存共享對象之之固有參數值而執行路由器過量使用檢測算法,若為非路由器過量使用狀態之用戶流量,則允許藉由用戶客戶終端而請求之網站連接,藉由檢測路由器過量使用狀態之 用戶流量而根據補充處理條件而決定是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接請求,並且,經過上述路由器過量使用嫌疑用戶選定及上傳階段之上述經鏡像之網站連接請求流量,與被選定為路由器過量使用嫌疑用戶與否無關,於上述推送服務器中被廢棄,允許藉由原始網站連接請求流量之因特網連接,若於上述路由器過量使用狀態檢測及阻止決定階段之上述路由器過量使用狀態檢測中未被判別為路由器過量使用狀態,則檢測及阻止用網絡服務器藉由重定向於藉由用戶客戶終端而以參數形式附加到上述檢測及阻止用轉發流量之原始目的網站而允許網站之連接,於上述路由器過量使用狀態檢測及阻止決定階段之上述路由器過量使用狀態檢測中未被判別為路由器過量使用狀態,或者於決定是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接之過程中藉由補充處理條件而允許網站連接之情況下,檢測及阻止用網絡服務器藉由重定向於藉由用戶客戶終端而以參數形式附加到上述檢測及阻止用轉發流量之原始目的網站而允許網站之連接。
與此,藉由檢測及阻止用網絡服務器而執行之構成上述路由器過量使用狀態檢測及阻止階段之路由器過量使用狀態之用戶流量檢測階段,優選地,其具體包括如下階段:由上述檢測及阻止用網絡服務器藉由0%檢測幀而請求於用戶客戶終端(用戶計算機)之閃存共享對象中以如用戶身分證明等設定參數名存儲之固有參數值之階段;以及於上述請求固有參數值之階段中,自客戶終端接收用戶身分證明之固有參數值,若於資料庫服務器之該用戶IP(ID)之24小時以內之用戶身分證明列表中存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為有效之用戶身分證明之固有參數 值,則向資料庫服務器更新該用戶身分證明之連接時刻,允許連接到由用戶之客戶終端請求連接之網站之階段,並且若於上述請求固有參數值之階段中,無法自客戶終端接收用戶身分證明之固有參數值,或者已接收用戶身分證明之固有參數值,然而於該IP(ID)之24小時以內之用戶身分證明列表中不存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為無效之用戶身分證明之固有參數值,則藉由查找於當前資料庫服務器中所存在之該用戶IP(ID)之24小時以內之有效之用戶身分證明列表之數量及該用戶IP(ID)之路由器計算機允許台數,(a)若有效之用戶身分證明列表之數量不足計算機允許台數,則判定為當前不處於路由器過量使用狀態,針對當前連接之用戶客戶終端(用戶計算機)而生成新的用戶身分證明之固有參數值,將其存儲於用戶客戶終端,亦將其與連接時刻一同上傳於資料庫服務器,允許用戶連接到客戶終端所請求連接之網站,並且(b)若有效之用戶身分證明列表數量超過計算機允許台數,則判定為當前處於路由器過量使用狀態,針對當前連接之用戶客戶終端(用戶計算機),藉由補充處理條件而實施用於決定是否允許或阻止因特網連接之連接請求流量之阻止或允許與否決定階段。
進而,於如上所述之藉由補充處理條件而實施用於決定是否允許或阻止因特網連接之連接請求流量之阻止或允許與否決定階段中,優選地,其包括:(b1)存在於資料庫服務器之該用戶IP(ID)之第一設定時間(T-1;例如,24小時)以內之有效之用戶身分證明列表中,若存在所上傳之連接時刻以當前時刻為基準而超過第二設定時間(T-2;例如,30分鐘)而經過之用戶身分證明,則刪除於資料庫服務器中之連接時間最久之用戶身分證明列表,針對當前連接之用戶客戶終端(用戶計算機)而生 成新的用戶身分證明之固有參數值,將其存儲於用戶客戶終端,亦將其與連接時刻一同上傳於資料庫服務器,允許用戶連接到客戶終端所請求連接之網站,並且(b2)若存在於資料庫服務器之該用戶IP(ID)之24小時以內之有效之用戶身分證明列表中不存在所上傳之連接時刻以當前時刻為基準而超過30分鐘之用戶身分證明,則針對當前連接之用戶客戶終端(用戶計算機),阻止連接到所請求連接之網站。
本發明提供一種公網IP共享狀態檢測及阻止系統,其係執行上述方法發明而藉由檢測利用相同公網IP之私有網絡上之複數個用戶客戶終端之數量並與所分配之允許台數進行比較而根據IP共享狀態選擇性地允許及阻止請求連接之客戶終端之因特網連接請求流量者,其特徵在於包括:鏡像裝置,其於由因特網服務用戶之客戶終端藉由驅動網頁瀏覽器而請求連接到因特網上之網站之情況下,用於鏡像自客戶終端發生之網站連接請求流量,設置於因特網服務提供商之骨幹網絡;推送服務器,其藉由確認上述經鏡像之網站連接請求流量之用戶公網IP是否為藉由推送服務器所處理之藉由包含於上一個連接流量之公網IP及cookie資訊而選定為路由器過量使用嫌疑用戶之公網IP,若為被選定為路由器過量使用嫌疑用戶之公網IP,則為了減少檢測及阻止用網絡服務器之負荷,上述推送服務器執行用於確認上述經鏡像之網站連接請求流量是否為可成為決定阻止與否之對象之流量之階段,若屬於阻止與否決定對象流量,則向客戶終端傳輸第二假響應流量,以使藉由生成於用戶客戶終端之100%幀而以參數形式補充用戶原來試圖連接之網站之地址並向檢測及阻止用網絡服務器重定向之檢測及阻止用轉發流量自客戶終端傳輸到檢測及阻止用網絡服務器;以及 檢測及阻止用網絡服務器,其藉由有別於自上述用戶客戶終端傳輸之自上述檢測及阻止用轉發流量所提取之用戶之公網IP及上述100%幀而獨立生成之0%檢測幀,而將以自用戶客戶終端接收之用戶身分證明等設定參數名存儲之閃存共享對象之固有參數值存儲於資料庫服務器,藉由搜索自連接時刻至第一設定時間期間所存儲之列表,而執行路由器過量使用狀態檢測算法,藉此,對於非路由器過量使用狀態之用戶流量,向藉由用戶客戶終端而以參數形式附於上述檢測及阻止用轉發流量之原始目的網站進行重定向,藉由檢測路由器過量使用狀態之用戶流量,藉由補充處理條件而決定是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接請求。
另一方面,本發明之公網IP共享狀態檢測及阻止系統,其用於更提供並未選定為路由器過量使用嫌疑用戶之公網IP之情況之處理功能,其特徵在於包括:鏡像裝置,其於由因特網服務用戶之客戶終端藉由驅動網頁瀏覽器而請求連接到因特網上之網站之情況下,用於鏡像自客戶終端發生之網站連接請求流量,設置於因特網服務提供商之骨幹網絡;推送服務器,其藉由確認上述經鏡像之網站連接請求流量之用戶公網IP是否為所處理之藉由包含於上一個連接流量之公網IP及cookie資訊而選定為路由器過量使用嫌疑用戶之公網IP,若並非為被選定為路由器過量使用嫌疑用戶之公網IP,則向分析服務器傳輸包含於上述經鏡像之網站連接請求流量之公網IP及連接主機(HOST)資訊,以使確認是否處於應選定為路由器過量使用嫌疑用戶之狀態,又,將包括用於向客戶終端存儲藉由定義設定如sign參數之Cookie有效時間之獨特變量並以當前時刻設定之Cookie之命令及用於引導以使重新連接到用戶原來試圖連接之網站之重定向命令之第一假響應流量傳輸到客戶終端,並且,若為被選定為路由器過量使用嫌疑用戶之公 網IP,則向客戶終端傳輸第二假響應流量,以使藉由上述第二假響應流量而於用戶客戶終端所生成之100%幀上以參數形式補充用戶原來試圖連接之網站之地址並向檢測及阻止用網絡服務器重定向之檢測及阻止用轉發流量自客戶終端傳輸到檢測及阻止用網絡服務器;分析服務器,其將自上述推送服務器接收之用戶之公網IP及連接主機(HOST)資訊與連接時間資料一同存儲於資料庫服務器,藉由掌握於設定時間內以公網IP而針對特定主機發起之連接請求次數,而判別其連接請求次數是否超過按不同用戶政策實施管理之IP共享允許計算機數量之允許值,藉此,決定是否選定為路由器過量使用嫌疑用戶,將其決定結果與該公網IP一同傳輸到上述推送服務器;以及檢測及阻止用網絡服務器,其藉由有別於自上述用戶客戶終端傳輸之自上述檢測及阻止用轉發流量所提取之用戶之公網IP及上述100%幀而獨立生成之0%檢測幀,而將以自用戶客戶終端接收之用戶身分證明等設定參數名存儲之閃存共享對象之固有參數值存儲於資料庫服務器,藉由搜索自連接時刻至第一設定時間期間所存儲之列表,而執行路由器過量使用狀態檢測算法,藉此,對於非路由器過量使用狀態之用戶流量,向藉由用戶客戶終端而以參數形式附於上述檢測及阻止用轉發流量之原始目的網站進行重定向,藉由檢測路由器過量使用狀態之用戶流量,藉由補充處理條件而決定是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接請求。
根據本發明,於預先檢測路由器過量使用嫌疑用戶之後,僅針對使用該公網IP之用戶而檢測實際路由器過量使用狀態,並執行阻止其檢測系統之工作,藉此,與路由器使用無關之用戶,幾乎不受到路由器檢測系統之影響,又,於對路由器過量使用嫌疑用戶進行檢測之過程中,幾乎不存在因特網速度減慢現象,即便檢測系統發生錯誤或 故障,亦不會對用戶之因特網造成任何影響。
又,於檢測正確之路由器過量使用狀態並對其進行阻止之階段中,藉由利用閃存共享對象(“Flash Shared Object”:以二進制形態之資料存儲於用戶硬盤之未知區域,用戶不易對其進行刪除,不同於Cookie,不設定所持續之資料之到期日由有效期等),而非利用藉由用戶而易於被刪除之Cookie,從而可降低誤檢測或誤阻止之概率。
同時,於實際阻止之階段中,藉由動態區分應允許連接之終端及應阻止之終端而進行處理,從而向整體系統賦予高效率性,尤其,最小化處於應允許因特網連接之狀態之工作負荷,藉此,可大幅提昇因特網連接服務之根本性服務效率。
100‧‧‧IP路由器
200‧‧‧公網IP共享狀態檢測及阻止系統
210‧‧‧鏡像裝置
220‧‧‧推送服務器
230‧‧‧分析服務器
240‧‧‧資料庫服務器
250‧‧‧政策管理網頁服務器
260‧‧‧檢測及阻止用網絡服務器
300‧‧‧因特網
圖1係本發明之檢測及阻止系統之整體構成圖。
圖2a及圖2b係表示本發明之檢測及阻止系統中執行藉由推送服務器及分析服務器之路由器過量使用嫌疑用戶選定階段之過程的工作狀態圖。
圖3係表示本發明之檢測及阻止系統中執行藉由推送服務器與檢測及阻止用網絡服務器之路由器過量使用狀態檢測及阻止階段之過程的工作狀態圖。
圖4a至圖4d係本發明之方法發明之順序圖。
圖5a及圖5b係比較例,與圖5c所示之本發明之執行路由器過量使用狀態檢測及阻止階段之過程進行比較的時序圖。
圖6a至圖7c係表示根據本發明執行路由器過量使用嫌疑用戶選定階段期間所傳輸之網頁流量之實施例的圖式。
圖8及圖9a至圖10b係表示根據本發明執行路由器過量使用狀態檢測及阻止決定階段階段期間所傳輸之網頁流量之實施例的圖式。
以下,將參照附圖對為了藉由檢測利用相同公網IP之私有網絡上之複數個用戶終端台數並將其與所分配之允許台數進行比較而選擇性地允許及阻止請求連接之終端之因特網連接請求流量之本發明之優選實施例進行說明。
參照附圖之圖1至圖3所示之基本結構圖及工作狀態圖、圖4a至圖10b所示之圖,首先對本發明之公網IP共享狀態檢測及阻止系統之優選之一實施例進行說明。
如圖1所示,本發明之公網IP共享狀態檢測及阻止系統200之優選之一實施例,其包括鏡像裝置210、推送服務器220、分析服務器230、資料庫服務器240及檢測及阻止用網絡服務器260,具體而言,上述鏡像裝置210,其於由因特網服務用戶之客戶終端(計算機-1、計算機-2、計算機-3、計算機-4)藉由驅動網頁瀏覽器而請求連接到因特網300上之網站之情況下,用於鏡像自客戶終端發生之網站連接請求流量,其設置於因特網服務提供商(ISP;Internet Service Provider)之骨幹網絡(Back Bone Network);上述推送服務器220,其藉由確認上述經鏡像之網站連接請求流量之用戶公網IP是否為藉由推送服務器所處理之藉由包含於上一個連接流量之公網IP及cookie資訊而選定為路由器過量使用嫌疑用戶之公網IP,若並非為被選定為路由器過量使用嫌疑用戶之公網IP,則向分析服務器230傳輸包含於上述經鏡像之網站連接請求流量之公網IP及連接主機(HOST)資訊,以使確認是否處於應選定為路由器過量使用嫌疑用戶之狀態,又,將包括用於向客戶終端(計算機-1、計算機-2、計算機-3、計算機-4)存儲藉由定義設定如sign參數之Cookie有效時間之獨特變量並以當前時刻設定之Cookie之命令及用於引導以使重新連接到用戶原來試圖連接之網站之重定向命令之第一假響應流量(參照圖6b)傳輸到客戶終端(計算機-1、計算機-2、計算機-3、計算機-4),並且,若為被選定為路由器過量使用嫌疑 用戶之公網IP,則為了減少檢測及阻止用網絡服務器之負荷,執行用於確認上述經鏡像之網站連接請求流量是否為可成為決定阻止與否之對象之流量之階段(圖4a及圖4c之“S250”),若屬於阻止與否決定對象流量,則向客戶終端傳輸第二假響應流量(參照圖9a及圖9b),以使藉由上述第二假響應流量而於用戶客戶終端所生成之100%幀上以參數形式補充用戶原來試圖連接之網站之地址並向檢測及阻止用網絡服務器260重定向之檢測及阻止用轉發流量(參照圖10a及圖10b)自客戶終端傳輸到檢測及阻止用網絡服務器260;上述分析服務器230,其將自上述推送服務器220接收之用戶之公網IP及連接主機(HOST)資訊與連接時間資料一同存儲於資料庫服務器240,藉由掌握於設定時間內以公網IP而針對特定主機發起之連接請求次數,而判別其連接請求次數是否超過按不同用戶政策實施管理之IP共享允許計算機數量之允許值,藉此,決定是否選定為路由器過量使用嫌疑用戶,將其決定結果與該公網IP一同傳輸到上述推送服務器220;上述檢測及阻止用網絡服務器260,其藉由有別於自上述用戶客戶終端傳輸之自上述檢測及阻止用轉發流量(參照圖10a及圖10b)所提取之用戶之公網IP及上述100%幀而獨立生成之0%檢測幀,而將以自用戶客戶終端接收之用戶身分證明等設定參數名存儲之閃存共享對象(“Flash Shared Object”)之固有參數值存儲於資料庫服務器240,藉由搜索自連接時刻至第一設定時間期間所存儲之列表,而執行路由器過量使用狀態檢測算法,藉此,對於非路由器過量使用狀態之用戶流量,向藉由用戶客戶終端而以參數形式附於上述檢測及阻止用轉發流量之原始目的網站進行重定向,藉由檢測路由器過量使用狀態之用戶流量,藉由補充處理條件而決定是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接請求。
又,優選地,於本發明之系統中,其更包括:政策管理網頁服 務器250,其將按不同用戶政策實施管理之IP共享允許計算機數量列表存儲於上述資料庫服務器240並可變更該等資訊。
關於本發明之方法發明,根據如將圖2a、圖2b及圖3所示之裝置系統之工作狀態以順序圖(流程圖)形式示出之圖4a所示之具體方法之優選實施例,提供一種共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其藉由檢測利用相同公網IP之私有網絡上之複數個用戶終端台數並將其與所分配之允許台數進行比較而選擇性地允許及阻止請求連接之終端之因特網連接請求流量,其特徵在於包括:(I)加入用戶流量之鏡像階段(“S100”),其於由客戶終端藉由驅動網頁瀏覽器而請求連接到因特網上之網站之情況下,由設置於因特網服務提供商之骨幹網絡之鏡像裝置210鏡像自客戶終端發生之網站連接請求流量,並且將上述經鏡像之網站連接請求流量傳輸到推送服務器220,以便確認是否為IP路由器過量使用嫌疑用戶;(II)加入用戶流量之過量使用嫌疑用戶公網IP確認階段(“S200”),其由上述推送服務器220確認上述經鏡像之網站連接請求流量是否為藉由推送服務器所處理之藉由包含於上一個連接流量之公網IP及cookie資訊而選定為路由器過量使用嫌疑用戶之公網IP;(III-A)路由器過量使用嫌疑用戶選定及上傳階段(“S210”),其若並非為被選定為路由器過量使用嫌疑用戶之公網IP,則由上述推送服務器220藉由包含於上述經鏡像之網站連接請求流量之公網IP及Cookie資訊而驗證是否為應選定為路由器過量使用嫌疑用戶之狀態,若被選定為路由器過量使用嫌疑用戶,則上傳該IP,又,將包括用於向客戶終端存儲藉由定義設定如sign參數之Cookie有效時間之獨特變量並以當前時刻設定之Cookie之命令及用於引導以使重新連接到原來試圖連接之網站之重定向命令之第一假響應流量傳輸到客戶終端;(III-B)路由器過量使用狀態檢測及阻止決定階段(“S400”),其若 為被選定為路由器過量使用嫌疑用戶之公網IP,則為了減少負荷,上述推送服務器220執行用於確認上述經鏡像之網站連接請求流量是否為可成為決定阻止與否之對象之流量之階段(“S250”),若屬於阻止與否決定對象流量,則向客戶終端傳輸第二假響應流量(“S300”),以使藉由上述第二假響應流量而於用戶客戶終端所生成之100%幀上以參數形式補充用戶原來試圖連接之網站之地址並向檢測及阻止用網絡服務器260重定向之檢測及阻止用轉發流量自客戶終端傳輸到檢測及阻止用網絡服務器260後,上述檢測及阻止用網絡服務器260藉由有別於所接收之自上述檢測及阻止用轉發流量所提取之用戶之公網IP及上述100%幀而獨立生成之0%檢測幀,藉由自用戶客戶終端所接收之閃存共享對象之之固有參數值而執行路由器過量使用檢測算法,藉此,實施對路由器過量使用狀態之用戶流量進行檢測之路由器過量使用狀態檢測(“S410”)後,藉由補充處理條件而決定是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接請求(“S420a”),並且 經過上述路由器過量使用嫌疑用戶選定及上傳階段(“S210”)之上述經鏡像之網站連接請求流量,與被選定為路由器過量使用嫌疑用戶與否無關,於上述推送服務器220中被廢棄(“S220”),允許藉由原始網站連接請求流量之因特網連接(“S230”), 於上述路由器過量使用狀態檢測及阻止決定階段(“S400”)之上述路由器過量使用狀態檢測(“S410”)中未被判別為路由器過量使用狀態,或者於決定是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接(“S420a”)之過程中藉由補充處理條件而允許網站連接之情況下,檢測及阻止用網絡服務器260藉由重定向於藉由用戶客戶終端而以參數形式附加到上述檢測及阻止用轉發流量之原始目的網站而允許網站之連接(“S420b1”)。
於此,上述路由器過量使用嫌疑用戶選定及上傳階段(“S210”), 如圖4b所示之更具體之進行階段,其中,檢查用戶客戶終端之所鏡像之“網站連接請求流量”(若所鏡像之用戶流量為非“網站連接請求流量”,則推送服務器單純地廢棄所鏡像之用戶流量即可)中表示有試圖連接之網站之“URL(Uniform Resource Locator)”之“Host”,檢查“URI(Uniform Resource Identifier)”、“頭域(Referer:以網頁瀏覽器瀏覽因特網時,藉由超鏈接訪問各網站時留下之痕跡)”、“Cookie”之獨特變量(例如,sign變量)狀態,若上述“Host”屬於預先設定之主要檢測目標主機(例如,主要門戶網站等之連接排行前十左右之網站)(下列設定條件),且其他“URI”、“Referer”、“Cookie”之獨特變量均滿足相關下列設定條件(下列設定條件),則設定以使利用公網IP及Cookie資訊之路由器過量使用嫌疑用戶檢測階段繼續執行,否則,設定以使所鏡像之網站連接請求流量廢棄。
- 設定條件:“Host”是否為主要檢測目標主機?:即,若屬於主要檢測目標主機,則滿足該條件,確立此種設定條件之理由為確保推送服務器僅對預先設定之網站,例如僅對網站連接排行前十左右之網站執行路由器過量使用嫌疑用戶檢測工作,藉此,大幅降低與此相關之流量處理負荷。故而,若“HOST”為非主要檢測目標主機,則推送服務器將廢棄用戶之鏡像流量,故而,藉由用戶之原始網站連接請求流量而使得HOST之響應流量正常傳輸(輸出)到用戶客戶終端(用戶計算機)。於此,優選地,推送服務器220檢測之Host意味著包括所有子域名之Host,例如,若推送服務器220檢測之主機(HOST)為“naver.com”,則其表示包括“www.naver.com”、“search.naver.com”、“a.b.c.naver.com”等子域名之*.naver.com。故而,若針對用戶設定Cookie或者向分析服務器230傳輸連接主機資訊,則以由推送服務器220檢測之主機基準進行設定或傳輸,例如,若用戶之連接主機為“www.naver.com”且推送服務器220所檢測之主機為“naver.com”,則 Cookie設定為“naver.com”域名(參照圖6b之第一假響應流量之“domain=.naver.com.;”),亦向分析服務器230以“naver.com”傳輸主機資訊,若如此對Cookie以“naver.com”域名進行設定,則以“*.naver.com”連接時,無條件設定之Cookie隨附請求流量而被傳輸。
- 設定條件:“URI”之結束部是否為“/”或“/?”?:即,若推送服務器滿足該條件,則執行路由器過量使用嫌疑用戶檢測工作,其原因為若“URI”之結束部對非“/”或“/?”之流量進行重定向,則將出錯。
- 設定條件:是否存在“頭域(Referer)”?即,推送服務器藉由該條件而確認是否為重定向之流量之條件,其成為防止無限循環之條件。
- 設定條件:“Cookie”是否存在“sign”變量?:若於“cookie”中存在“sign”獨特變量值,則此為使用與上一個進行連接之客戶終端相同之客戶終端而於規定時間(例如,1小時;存儲“sign”變量值時預先設定之生存時間)以內藉由網頁瀏覽器而二次連接網站之流量,此為非路由器使用檢測(監測)目標流量,由推送服務器廢棄所鏡像之用戶流量即可。
又,構成上述路由器過量使用狀態檢測及阻止階段(“S400”)之上述路由器過量使用狀態之用戶流量檢測(“S410”)階段,如圖4d所示之更具體之進行階段,其實施如下階段,即,由上述檢測及阻止用網絡服務器260藉由0%檢測幀而請求於用戶客戶終端(用戶計算機)之閃存共享對象中以如用戶身分證明等設定參數名存儲之固有參數值之階段(“S411”);以及於上述“S411”階段中自客戶終端接收用戶身分證明之固有參數值,若於資料庫服務器240之該用戶IP(ID)之24小時以內之用戶身分證明列表中存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為有效之用戶身分證明之固有參數值,則向資料庫服務器240更新該用戶身分證明之連接時刻,允許連 接到由用戶之客戶終端請求連接之網站之階段(“S412”),並且,若於上述“S411”中,無法自客戶終端接收用戶身分證明之固有參數值,或者已接收用戶身分證明之固有參數值,然而於該IP(ID)之24小時以內之用戶身分證明列表中不存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為無效之用戶身分證明之固有參數值,則藉由查找於當前資料庫服務器240中所存在之該用戶IP(ID)之24小時以內之有效之用戶身分證明列表之數量及該用戶IP(ID)之路由器計算機允許台數(“S413”),(a)若有效之用戶身分證明列表之數量不足計算機允許台數,則判定為當前不處於路由器過量使用狀態,針對當前連接之用戶客戶終端(用戶計算機)而生成新的用戶身分證明之固有參數值,將其存儲於用戶客戶終端,亦將其與連接時刻一同上傳於資料庫服務器240,允許用戶連接到客戶終端所請求連接之網站(“S414a”),並且,(b)若有效之用戶身分證明列表數量超過計算機允許台數,則判定為當前處於路由器過量使用狀態(“S414b”),針對當前連接之用戶客戶終端(用戶計算機),藉由補充處理條件而實施用於決定是否允許或阻止因特網連接之連接請求流量之阻止或允許與否決定階段(參照圖4a之“S420a”及圖4d)。
(b1)存在於資料庫服務器240之該用戶IP(ID)之第一設定時間(T-1;例如,24小時)以內之有效之用戶身分證明列表中,若存在所上傳之連接時刻以當前時刻為基準而超過第二設定時間(T-2;例如,30分鐘)而經過之用戶身分證明,則刪除於資料庫服務器240中之連接時間最久之用戶身分證明列表,針對當前連接之用戶客戶終端(用戶計算機)而生成新的用戶身分證明之固有參數值,將其存儲於用戶客戶終端,亦將其與連接時刻一同上傳於資料庫服務器240,允許用戶連接到客戶終端所請求連接之網站(“S420b1”),(b2)若存在於資料庫服務器240之該用戶IP(ID)之24小時以內之 有效之用戶身分證明列表中不存在所上傳之連接時刻以當前時刻為基準而超過30分鐘之用戶身分證明,則針對當前連接之用戶客戶終端(用戶計算機),阻止連接到所請求連接之網站(“S420b2”)。
故而,用戶身分證明列表之持續時間,例如24小時之第一設定時間(T-1)為用於確認藉由路由器而連接之終端之數量而設定之時間(即,若24小時以內重新連接,則不生成新的用戶身分證明而僅更新連接時間),如此,會出現不合理之狀況,即,幾乎於20小時以上之時間內再無因特網網站連接之終端於用戶身分證明持續時間之第一設定時間(T-1)以內持續保持連接優先權,後續連接之終端之連接持續被不允許,對此需要一種解決方案,其為了使於當前狀態中不超過針對用戶允許之線路數量之範圍以內靈活地允許網絡連接,而獨立於用戶身分證明列表之持續時間之第一設定時間(T-1)而另行設定第二設定時間(T-2),以當前連接之追加終端之連接時間為基準,刪除於連接因特網後經過第二設定時間(T-2)之以往終端之用戶身分證明,針對最新連接之終端而生成新的用戶身分證明,並將其上傳到資料庫服務器並允許網站連接,藉此,動態地分配連接優先權。
於此,由上述檢測及阻止用網絡服務器260阻止向由用戶之客戶終端請求連接之網站進行連接之階段(“S420b2”),可按如圖4a及圖4d所共同示出之方式進行,其阻止階段可藉由政策而向用戶不提供任何響應,與此相反,如圖4d所示,更可包括向阻止消息頁面或警告消息頁面進行重定向之階段。
以下,將參照附圖更具體地說明按照本發明之方法發明及用於執行其方法之裝置系統發明而具體地由複數個客戶終端(用戶計算機)藉由IP路由器100而連接因特網網站之案例之處理過程,藉此,進一步補充對本發明結構之理解,同時補充說明更優選之具體實施例,更加具體說明工作狀態及其作用及效果。
如圖2a及圖2b所示,於藉由使用網絡地址轉換裝備等IP路由器100而構成之由複數個客戶終端(用戶計算機)(計算機-1、計算機-2、計算機-3、計算機-4)分別試圖連接因特網之私有網絡中,例如,若由第一計算機(計算機-1)藉由驅動網頁瀏覽器而生成用於請求因特網網站連接之用戶請求流量(參照圖6a之“用戶請求流量”),則此種網站連接請求流量(以下,簡稱為“用戶請求流量”),如圖2a之箭頭“①”所示,於因特網服務提供商(ISP;Internet Service Provider)之骨幹網絡(Back Bone Network)之鏡像裝置210中被鏡像,上述經鏡像之網站連接請求流量傳輸到推送服務器220而以使確認是否為IP路由器過量使用嫌疑用戶(參照圖4a之“S100”階段)。
如此,於圖4a所示之加入用戶流量之公網IP確認階段(“S200”)中,上述推送服務器220確認上述經鏡像之網站連接請求流量之用戶(圖2a之用戶ID為“USER-1”)公網IP(圖2a之“IP-Addr1”)是否為被選定為路由器過量使用嫌疑用戶之公網IP,若並非為被選定為路由器過量使用嫌疑用戶之公網IP,則藉由包含於上述經鏡像之網站連接請求流量之公網IP及cookie資訊而進行用於檢驗是否處於應選定為路由器過量使用嫌疑用戶之狀態並進行上傳之路由器過量使用嫌疑用戶選定及上傳階段(“S210”)。
於此,關於上述路由器過量使用嫌疑用戶選定及上傳階段(“S210”)之進行過程,更具體而言,優選地,推送服務器220首先確認所鏡像之流量是否為“網站連接請求流量”(圖4b之“S211”階段),若所鏡像之用戶流量並非為“網站連接請求流量”,則推送服務器單純地廢棄所鏡像之用戶流量,藉此,允許藉由原始流量之網站連接。
進而,若為“網站連接請求流量”,則實施設定條件之“Host”是否為主要監測目標主機(HOST)之階段(“S212”);設定條件之“URI”之結束部是否為“/”或“/?”以及是否存在設定條件之“Referer”之階段 (“S213”);以及設定條件之包含於網站連接請求流量之“Cookie”是否存在稱為“sign”之參數值之階段(“S214”)。
於如圖6a所示之用戶請求流量中,其既為“網站連接請求流量”,又,全部滿足(YES)如上所述之設定條件(“Host”為主要檢測目標主機)、(“URI”之結束部為“/”或“/?”)、(無“Referer”)、(“Cookie”中無sign變量;表示於規定時間內首次請求連接之計算機),藉此,推送服務器220將用戶IP及連接主機(HOST)資訊傳輸到分析服務器230(圖4b之階段“S215a”),分析服務器230基於此檢測是否屬於路由器過量使用嫌疑用戶(圖4b之階段“S216a”)。
此時,分析服務器230將自推送服務器220接收之用戶IP、連接主機資訊存儲於資料庫服務器240,同時記錄其存儲時間,若於規定時間(例如,1小時)內以相同之公網IP與相同之主機發起多次連接請求且其連接次數未超過藉由政策管理網頁服務器250之按不同用戶政策實施管理之IP共享允許計算機數量之允許值,則確保不被選定為路由器過量使用嫌疑用戶(參照圖2a)。
另一方面,推送服務器220於向分析服務器230傳輸用戶IP及連接主機資訊(參照圖2a之箭頭③)時,同時或者相隔規定時間(與順序無關),向用戶客戶終端(用戶計算機;計算機-1)傳輸確保於用戶計算機中執行下一個工作之第一假響應流量(參照圖2a之箭頭②),上述第一假響應流量如圖6b所示。
(i)定義稱為sign之變量,將當前時間設定為值之Cookie存儲於用戶計算機(計算機-1),(ii)將sign變量之有效時間設定為1小時(3,600秒鐘),(iii)為使向用戶原來試圖連接之網站進行重新連接而引導之重定向命令
藉此,自用戶計算機(計算機-1)所生成之重新連接流量如圖6c所示。另一方面,此種重新連接流量中具有“Referer”,存在具有sign變 量值之Cookie(sign=1265344202:參照圖6c),故而,即便於鏡像裝置210中再次被鏡像而傳輸到推送服務器220,亦將於推送服務器220中廢棄。
另一方面,若第一計算機(計算機-1)之網頁瀏覽器於1小時以內再次被驅動而發生用戶請求流量(追加連接流量),則此種藉由相同IP之相同用戶計算機(計算機-1)之追加連接流量如圖7a所示,此種追加連接流量中不存在“Referer”,而存在具有sign變量值之Cookie(sign=1265344202:參照圖7a),故而,即便於鏡像裝置210中被鏡像而傳輸到推送服務器220,亦將於推送服務器220中廢棄。
接著,若第二計算機(計算機-2)之網頁瀏覽器被驅動而使得按相同之方式處理用戶請求流量(省略過程相關說明),進而第三計算機(計算機-3)驅動網頁瀏覽器而生成用於請求因特網網站連接之用戶請求流量(此時,參照圖7b之“用戶請求流量”),此種用戶請求流量同樣如圖2b之箭頭“①”所示,於因特網服務提供商(ISP;Internet Service Provider)之骨幹網絡(Back Bone Network)之鏡像裝置210中被鏡像,上述經鏡像之網站連接請求流量傳輸到推送服務器220而以使確認是否為IP路由器過量使用嫌疑用戶(參照圖4a之“S100”階段)。
如此,於圖4a所示之加入用戶流量之公網IP確認階段(“S200”)中,上述推送服務器220確認上述經鏡像之網站連接請求流量之用戶(圖2b之用戶ID為“USER-1”)公網IP(圖2b之“IP-Addr1”)是否為被選定為路由器過量使用嫌疑用戶之公網IP,若並非為被選定為路由器過量使用嫌疑用戶之公網IP,則藉由包含於上述經鏡像之網站連接請求流量之公網IP及cookie資訊而進行用於檢驗是否處於應選定為路由器過量使用嫌疑用戶之狀態並進行上傳之路由器過量使用嫌疑用戶選定及上傳階段(“S210”)。
於此,關於上述路由器過量使用嫌疑用戶選定及上傳階段 (“S210”)之進行過程,截止於分析服務器230中檢測是否為路由器過量使用嫌疑用戶(圖4b之階段“S216a”)之階段之進行情況與上述之第一計算機(計算機-1)之情況相同。
然而,此時不同於圖2a所示,而如圖2b所示,由於使用“IP-Addr1”之公網IP之用戶(圖2b之用戶ID為“USER-1”)針對相同網站之連接次數超出藉由政策管理網頁服務器250之按不同用戶政策實施管理之IP共享允許計算機數量之允許值,故而,分析服務器230將其選定為路由器過量使用嫌疑用戶,將其公網IP(IP-Addr1)以路由器過量使用嫌疑用戶IP列表之形態進行存儲後,以規定時間間隔向推送服務器220傳輸(參照圖2b之箭頭“④”)。
另一方面,推送服務器220為了選定路由器過量使用嫌疑用戶而向分析服務器230傳輸用戶IP及連接主機資訊(參照圖2b之箭頭③)時,同時或者相隔規定時間(與順序無關),向用戶客戶終端(用戶計算機;計算機-3)傳輸如上所述之第一假響應流量(參照圖2b之箭頭②),上述第一假響應流量同樣如圖6b所示(不包括Cookie之sign值本身)。
藉此,藉由第一假響應流量(參照圖2b之之箭頭“②”)而自用戶計算機(計算機-3)所生成之重新連接流量,亦如同圖6c所示(不包括Cookie之sign值本身),此種重新連接流量中具有“Referer”且存在具有sign變量值之Cookie之sign值(參照圖6c),故而,即便於鏡像裝置210中再次被鏡像而傳輸到推送服務器220,將於推送服務器220中廢棄(參照圖4b之“S213”,“S214”→“NO”→“S220”),允許用戶正常連接到所請求之網站,即,Cookie之獨特之sign變量值之有無,影響路由器過量使用嫌疑用戶選定及上傳過程,而不影響其網頁流量之阻止或允許與否(不阻止),藉此,例如若發生於用戶計算機中任意之Cookie刪除等情況(根據以往技術之誤判斷為路由器過量使用用戶之情況),亦不會阻止網頁流量,從而保持因特網服務提供商之可靠性。
另一方面,例如,第一計算機(計算機-1)之網頁瀏覽器被驅動而設定Cookie之Sign變量後,經過1小時之設定時間後(sign變量值消失後),第一計算機(計算機-1)之網頁瀏覽器再次被驅動而所生成之用戶請求流量,其成為如圖7c所示之流量。
進而,經過此種過程,被選定為路由器過量使用嫌疑用戶後被上傳之之用戶藉由複數個客戶終端利用因特網,如圖3所示,若第三計算機(計算機-3)再次生成網站連接請求流量(參照圖3之箭頭“⑤”),則此種因特網網站連接請求流量(參照圖8)亦使用位於因特網服務提供商(ISP;Internet Service Provider)之骨幹網絡(Back Bone Network)之鏡像裝置210而被鏡像,上述經鏡像之網站連接請求流量傳輸到推送服務器220(參照圖3之箭頭“⑥”、圖4a之“S100”),上述推送服務器220經過用於確認上述經鏡像之網站連接請求流量之用戶公網IP是否為被選定為路由器過量使用嫌疑用戶之公網IP之加入用戶流量之公網IP確認階段(參照圖3之箭頭“⑦”、圖4a之“S200”),此時,如上所述,由於其為已選定為路由器過量使用嫌疑用戶之公網IP(IP-Addr1),故而,如圖4a及圖4c所示,上述推送服務器220首先執行用於確認是否為屬於阻止目標之流量之階段(圖4a及圖4c之“S250”),若屬於阻止與否決定對象流量,則向圖3之客戶終端,例如向用戶計算機(計算機-3)傳輸第二假響應流量(參照圖9a及圖9b)(參照圖3之箭頭“⑧”、圖4a之“S300”)。
於此,如圖4a所示之確認是否為阻止與否決定對象之流量之階段(“S250”)中,為了減少檢測及阻止用網絡服務器260之負荷,具體如圖4c所示,推送服務器220經過確認所鏡像之流量是否為“網站連接請求流量”之階段(圖4c之“S251”階段)、確認所鏡像之上述流量之連接主機(HOST)是否為“擴大監測目標網站”之階段(“S252”)、確認所鏡像之上述流量之URI之結束部是否為“/”或“/?”(若重定向URI之結束 部為非“/”或“/?”之流量,則於由檢測及阻止用網絡服務器260向用戶試圖連接之網站重定向時發生錯誤)以及是否存在Referer(若重定向具有Referer之流量,則藉由推送服務器而導致無限循環)之階段(“S253”),若於上述確認階段(“S251”、“S252”、“S253”)中無法滿足各項條件中之一種以上條件(順序圖中標記為“No”),如圖4c所示,則所鏡像之上述流量被廢棄(“S220”),允許正常連接到由用戶請求連接之網站(“S230”)。
進而,於確認是否為阻止與否決定對象之流量之階段(“S250”)中,若滿足阻止與否決定對象流量之條件(於圖4c中之判斷結果均為“Yes”)(網站連接請求流量之約10%),則實施由上述推送服務器220向用戶計算機(計算機-3)傳輸第二假響應流量(參照圖9a及圖9b)之階段(“S300”)。
於此,關於“擴大監測目標網站”,優選地,例如選自於網站連接排行前1,000個左右之網站中不發生重定向錯誤(HTTP協議為通用協議,除網頁瀏覽器外,亦於例如NateOn等其他應用程序中使用,若由推送服務器重定向此種其他應用程序之流量,則應用程序之運行出錯之可能性非常高)之網站。
圖9a及圖9b表示第二假響應流量之兩種實施例(根據因特網服務提供商之要求條件合理選擇),根據圖9a所示之第一實施例,其為於推送服務器220中生成由下列兩種幀,即由100%幀(用戶原來試圖連接之網站之URL)及0%檢測幀(檢測及阻止用網絡服務器之URL;用於指定收錄有自客戶終端取回用戶身分證明並與資料庫服務器進行比較檢查之命令之“search.jsp”;將用戶原來試圖連接之網站之地址以參數形式附上)所構成之假響應流量之實施例;根據圖9b所示之第二實施例,其由推送服務器220生成僅由100%幀(檢測及阻止用網絡服務器之URL;指定“check.jsp”;將用戶原來試圖連接之網站之URL地址以 參數形式附上)所構成之第二假響應流量,如圖9c所示,於檢測及阻止用網絡服務器260中,於上述check.jsp內分割為iframe而生成獨立之0%檢測幀(檢測及阻止用網絡服務器之URL;用於指定收錄有自客戶終端取回用戶身分證明並與資料庫服務器進行比較檢查之命令之“search.jsp”;將用戶原來試圖連接之網站之地址以參數形式附上)。 於上述第一實施例之0%檢測幀與第二實施例之100%幀上以參數形式附上用戶原來試圖連接之網站之地址,生成向藉由檢測共享狀態而進行阻止之檢測及阻止用網絡服務器260連接(重定向)之流量(例如,圖10a及圖10b之“檢測及阻止用轉發流量”),如此分割幀之理由為以不變更(避免用戶知曉)網頁瀏覽器之地址欄之方式訪問藉由檢測共享狀態而進行阻止之檢測及阻止用網絡服務器260,藉此,用戶可以網頁瀏覽器畫面無變化之方式生成(參照圖3之箭頭“⑨”)連接到藉由檢測共享狀態而進行阻止之檢測及阻止用網絡服務器260之流量(圖10a或圖10b之“檢測及阻止用轉發流量”)。
當然,此種用戶之檢測及阻止用轉發流量亦經過因特網服務提供商之骨幹網絡傳輸且於鏡像裝置210中被鏡像而傳輸到推送服務器220,而如圖10a及圖10b所示,此種鏡像流量附有“Referer”,必然將被推送服務器220廢棄。
比較上述兩種類型之第二假響應流量實施例之特徵,於上述第一實施例中,其特徵在於,警告及阻止頁面僅可藉由彈出/一般頁面形態而運營,於上述第二實施例中,其優點在於,警告及阻止頁面除可採用彈出/一般頁面形態之外,還可採用即便彈出框被阻止亦可始終顯示之HTML層形態,藉此,警告及阻止頁面之形態變更具有靈活性。
如此,藉由第二假響應流量傳輸階段(“S300”),圖10a(或圖10b)所示之檢測及阻止用轉發流量傳輸到檢測及阻止用網絡服務器(260; 圖10a及圖10b中以“ipsd.com”之URL形式示出),接著,檢測及阻止用網絡服務器260藉由有別於自上述檢測及阻止用轉發流量所提取之用戶之公網IP及上述100%幀而獨立生成之0%檢測幀,將自用戶客戶終端接收之“閃存共享對象(Flash Shared Object)”之固有參數值存儲於資料庫服務器240,藉由搜索自連接時刻至第一設定時間期間所存儲之列表,而執行路由器過量使用狀態檢測算法,藉此,對於非路由器過量使用狀態之用戶流量,向藉由用戶客戶終端而以參數形式附於上述檢測及阻止用轉發流量之原始目的網站進行重定向(參考“S412”、“S414a”:藉由最小化不應阻止而應允許因特網連接之狀態下之工作負荷,而可大幅提昇因特網連接服務之根本性服務效率),藉由檢測路由器過量使用狀態之用戶流量(參考“S414b”),藉由補充處理條件(“S420a”)而決定是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接請求。
並且,參照表示有上述路由器過量使用狀態之用戶流量檢測階段(“S411”)進行狀態之圖3及表示有以順序圖形式示出其進行過程之圖4d,具體地,檢測及阻止用網絡服務器260藉由上述說明之0%檢測幀而請求於用戶計算機(圖3之“計算機-3”)之“閃存共享對象(Flash Shared Object)”中以用戶身分證明之參數名存儲之固有參數值(圖3之箭頭“⑩”,圖4d之附圖標記“S411”),於上述“S411”階段中,自客戶終端接收用戶身分證明之固有參數值,若於資料庫服務器240之該用戶IP(ID)之24小時以內之用戶身分證明列表中存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為有效之用戶身分證明之固有參數值,則向資料庫服務器240更新該用戶身分證明之連接時刻,允許連接到由用戶之客戶終端請求連接之網站之階段(“S412”),並且,若於上述“S411”中,無法自客戶終端接收用戶身分證明之固有參數值,或者已接收用戶身分證明之固有參數值,然而於 該IP(ID)之24小時以內之用戶身分證明列表中不存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為無效之用戶身分證明之固有參數值,則藉由查找於當前資料庫服務器240中所存在之該用戶IP(ID)之24小時以內之有效之用戶身分證明列表之數量及該用戶IP(ID)之路由器計算機允許台數(“S413”), (a)若有效之用戶身分證明列表之數量不足計算機允許台數,則判定為當前不處於路由器過量使用狀態,針對當前連接之用戶客戶終端(用戶計算機)而生成新的用戶身分證明之固有參數值,將其存儲於用戶客戶終端,亦將其與連接時刻一同上傳於資料庫服務器240,如圖3之箭頭“⑫”所示,重定向於用戶試圖連接之URL(http://www.naver.com),允許用戶連接到客戶終端所請求連接之網站(“S414a”)。此時,重定向由推送服務器220所生成之主幀,實施取消分割之幀之工作(top refresh)。
(b)若有效之用戶身分證明列表數量超過計算機允許台數,則判定為當前處於路由器過量使用狀態(“S414b”),針對當前連接之用戶客戶終端(用戶計算機),藉由補充處理條件而實施用於決定是否允許或阻止因特網連接之連接請求流量之阻止或允許與否決定階段(參照圖4a之“S420a”及圖4d)。
(b1)存在於資料庫服務器240之該用戶IP(ID)之第一設定時間(T-1;例如,24小時)以內之有效之用戶身分證明列表中,若存在所上傳之連接時刻以當前時刻為基準而超過第二設定時間(T-2;例如,30分鐘)而經過之用戶身分證明(比較參照圖5a、圖5b及圖5c),則刪除於資料庫服務器240中之連接時間最久之用戶身分證明列表,針對當前連接之用戶客戶終端(用戶計算機)而生成新的用戶身分證明之固有參數值,將其存儲於用戶客戶終端(用戶計算機;圖3之“計算機-3”)(圖3之箭頭“⑩”,圖4d之附圖標記“S414a”,圖5c之“用戶身分證明-Field- Update”),亦將其與連接時刻一同上傳於資料庫服務器240,允許用戶連接到客戶終端所請求連接之網站(“S420b1”)(圖5c之情況)。
與此相反,如圖5a所示之比較例,不管是否存在超過第二設定時間(T-2;例如,30分鐘)而經過之用戶身分證明(圖5c之用戶身分證明-2),於其一直以有效之方式持續之第一設定時間(24小時)期間內,持續阻止追加連接之終端(圖5c之用戶身分證明-3)之網站連接,針對由此導致之問題,其主要解決方案藉由韓國公開專利公報第10-2009-0041752號而提出,如圖5b所示之再一比較例,按以非個別用戶為中心之預定時間間隔(圖中顯示30分鐘)使用任務計劃程序而更新所有資料庫(任務①、任務②、任務③),刪除自更新時點至20分鐘以內之無記錄之列表,藉由比較示出此種比較例之圖5b與示出本發明之處理方法之處理結果之圖5c,可知效果方面圖5c之方案更為優秀,而且,根據圖5c之方案,僅於必要之情況執行資料庫更新,從而可減少因反覆執行藉由任務計劃程序而隨時更新整個資料庫之工作所致之資料庫服務器之負擔。
(b2)另一方面,若存在於資料庫服務器240之該用戶IP(ID)之24小時以內之有效之用戶身分證明列表中不存在所上傳之連接時刻以當前時刻為基準而超過30分鐘之用戶身分證明,則針對當前連接之用戶客戶終端(用戶計算機;計算機-3),阻止連接到所請求連接之網站(“S420b2”)。
於此,關於查詢存在於當前資料庫服務器240之該用戶IP(ID)之24小時以內之有效之用戶身分證明列表之數量及該用戶IP(ID)之路由器計算機允許台數之階段(“S413”),更具體而言,如圖3之箭頭“⑪”所示,利用用戶IP而於資料庫服務器240中查找該用戶IP(或用戶ID)之共享計算機允許台數(參照圖3之下表),算出於資料庫服務器240之該用戶之IP(ID)及24小時以內之用戶身分證明列表(參照圖3之上表;廢棄 經過24小時之用戶身分證明列表)中當前(圖3上部表之“T5”)有效存續之用戶身分證明存儲數量(於圖3上部表中為“2個”),若算出之用戶身分證明存儲數量超過該用戶之共享計算機允許台數(於圖3下部表中為“2個”),則判定為路由器過量使用狀態(故而,圖3所示之狀態為過量使用狀態),如上述之圖4d之“S420a”階段及其下一個階段(“S420b1”或“S420b2”)所示,根據補充處理條件而進行後續處理。
另一方面,若阻止用戶連接到所請求連接之網站(“S420b2”),則此種阻止根據政策可不向用戶提供任何響應,或者可重定向於警告消息頁面或阻止消息頁面。
於上述警告消息頁面或阻止消息頁面中,除顯示警告或阻止狀態外,考慮到因用戶客戶終端(用戶計算機)之格式或刪除“閃存共享對象(Flash Shared Object)”等最新生成用戶身分證明而達到阻止狀態等,於阻止畫面中提供獨立之“連接允許請求按鈕”,以使解除當前客戶終端之阻止狀態,並初始化(刪除)於資料庫服務器240中以往被允許之客戶終端中之於24小時內最初連接(由於連接資訊持續被更新,故而,僅限於24小時內之初始連接)之客戶終端之用戶身分證明,除可採取上述追加階段之方案外,或者,還可採取以下方法,即,若此種請求藉由電話等方式而由因特網服務提供商接收,因特網服務提供商管理員藉由政策管理網頁服務器250初始化(刪除)存儲於資料庫服務器240之以往客戶端資訊(用戶身分證明),從而解除阻止狀態。
另一方面,不同於以上圖示之本發明之優選實施例,可知於本發明之再一形態之實施例中,可藉由將上述分析服務器230之功能整合到推送服務器220而構成,以此替代上述分析服務器230與上述推送服務器220相獨立之構成,其工作實質上相同,為了避免對其進行重複之詳細說明,故而省略。
本發明為了藉由具體實施例而進行說明,於圖6a至圖10b中例示 之網頁流量中所使用之代碼基於jsp/java編製而成,然而,該等只不過為一個例示,本領域技術人員理解其可由其他方法所替代,本發明之複數個實施例僅僅為了幫助理解本發明而提出,本發明並不受限於此,本領域技術人員可於所附本發明所要保護之技術思想之範圍內實施各種變更。
100‧‧‧IP路由器
210‧‧‧因特網服務提供商骨幹網絡
220‧‧‧推送服務器
230‧‧‧分析服務器
240‧‧‧資料庫服務器
250‧‧‧政策管理網頁服務器
260‧‧‧檢測/阻止網頁服務器
300‧‧‧因特網

Claims (19)

  1. 一種共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其係選擇性地允許及阻止藉由檢測利用相同公網IP之私有網絡上之複數個用戶終端台數並與所分配之允許台數進行比較而進行請求連接的終端之因特網連接請求流量者,其特徵在於包括:(I)加入用戶流量之鏡像階段(“S100”),其在客戶終端驅動網頁瀏覽器而請求連接到網絡上之網站之情況下,由設置於因特網服務提供商(ISP;Internet Service Provider)之骨幹網絡(Back Bone Network)之鏡像裝置(210)鏡像自客戶終端發生之網站連接請求流量,並且將上述經鏡像之網站連接請求流量傳輸到推送服務器(220),以便確認是否為IP路由器過量使用嫌疑用戶;(II)加入用戶流量之過量使用嫌疑用戶公網IP確認階段(“S200”),其由上述推送服務器(220)確認上述經鏡像之網站連接請求流量之加入用戶公網IP是否為藉由推送服務器所處理之包含於上一個連接流量之公網IP及藉由cookie資訊而選定為路由器過量使用嫌疑用戶之公網IP;(III)路由器過量使用狀態檢測及阻止決定階段(“S400”),其若為被選定為路由器過量使用嫌疑用戶之公網IP,則為了減少負荷,上述推送服務器(220)執行用於確認上述經鏡像之網站連接請求流量是否為可成為決定阻止與否之對象之流量之階段(“S250”),若屬於阻止與否決定對象流量,則向客戶終端傳輸第二假響應流量(“S300”),以使藉由上述第二假響應流量而於用戶客戶終端所生成之100%幀上以參數形式補充用戶原來試圖連接之網站之地址並向檢測及阻止用網絡服務器(260)重定向之檢測 及阻止用轉發流量自客戶終端傳輸到檢測及阻止用網絡服務器(260)後,上述檢測及阻止用網絡服務器(260)藉由有別於所接收之自上述檢測及阻止用轉發流量所提取之用戶之公網IP及上述100%幀而獨立生成之0%檢測幀,藉由自用戶客戶終端所接收之閃存共享對象之固有參數值而執行路由器過量使用檢測算法,藉此,對於非路由器過量使用狀態之用戶之流量,允許藉由進行用戶客戶終端所請求之網站連接之路由器過量使用狀態檢測(“S410”),藉由檢測路由器過量使用狀態之用戶流量,藉由補充處理條件而決定(“S420a”)是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接請求,並且構成上述路由器過量使用狀態檢測及阻止階段(“S400”)且檢測路由器過量使用狀態的用戶流量的上述路由器過量使用狀態檢測(“S410”)階段,其實施如下階段,由上述檢測及阻止用網絡服務器(260)藉由0%檢測幀而請求於用戶客戶終端(用戶計算機)的閃存共享對象中以如用戶身分證明等設定參數名存儲之固有參數值的階段(“S411”);以及於上述“S411”階段中自客戶終端接收用戶身分證明之固有參數值,若於資料庫服務器(240)之該用戶IP(ID)之第一設定時間(T-1)以內之用戶身分證明列表中存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為有效之用戶身分證明之固有參數值,則向資料庫服務器(240)更新該用戶身分證明之連接時刻,允許連接到由用戶之客戶終端請求連接之網站之階段(“S412”),並且若於上述“S411”中,無法自客戶終端接收用戶身分證明之固有參數值,或者已接收用戶身分證明之固有參數值,然而於該IP(ID)之第一設定時間(T-1)以內之用戶身分證明列表中不存 在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為無效之用戶身分證明之固有參數值,則藉由查找於當前資料庫服務器(240)中所存在之該用戶IP(ID)之第一設定時間(T-1)以內之有效之用戶身分證明列表之數量及該用戶IP(ID)之路由器計算機允許台數(“S413”),(a)若有效之用戶身分證明列表之數量不足計算機允許台數,則判定為當前不處於路由器過量使用狀態,針對當前連接之用戶客戶終端(用戶計算機)而生成新的用戶身分證明之固有參數值,將其存儲於用戶客戶終端,亦將其與連接時刻一同上傳於資料庫服務器(240),允許用戶連接到客戶終端所請求連接之網站(“S414a”),並且(b)若有效之用戶身分證明列表數量超過計算機允許台數,則判定為當前處於路由器過量使用狀態(“S414b”),針對當前連接之用戶客戶終端(用戶計算機),藉由補充處理條件而實施用於決定是否允許或阻止因特網連接之連接請求流量之阻止或允許與否決定階段(“S420a”)。
  2. 一種共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其係選擇性地允許及阻止藉由檢測利用相同公網IP之私有網絡上之複數個用戶終端台數並與所分配之允許台數進行比較而進行請求連接的終端之因特網連接請求流量者,其特徵在於包括:(I)加入用戶流量之鏡像階段(“S100”),其於由客戶終端藉由驅動網頁瀏覽器而請求連接到因特網上之網站之情況下,由設置於因特網服務提供商之骨幹網絡之鏡像裝置(210)鏡像自客戶終端發生之網站連接請求流量,並且將上述經鏡像之網站連接請求流量傳輸到推送服務器(220),以便確認是否為IP路由器過量使用嫌疑用戶;(II)加入用戶流量之過量使用嫌疑用戶公網IP 確認階段(“S200”),其由上述推送服務器(220)確認上述經鏡像之網站連接請求流量是否為藉由推送服務器所處理之藉由包含於上一個連接流量之公網IP及cookie資訊而選定為路由器過量使用嫌疑用戶之公網IP;(III-A)路由器過量使用嫌疑用戶選定及上傳階段(“S210”),其若並非為被選定為路由器過量使用嫌疑用戶之公網IP,則由上述推送服務器(220)藉由包含於上述經鏡像之網站連接請求流量之公網IP及Cookie資訊而驗證是否為應選定為路由器過量使用嫌疑用戶之狀態,若被選定為路由器過量使用嫌疑用戶,則上傳該IP,又,將包括用於向客戶終端存儲藉由定義設定如sign參數之Cookie有效時間之獨特變量並以當前時刻設定之Cookie之命令及用於引導以使重新連接到原來試圖連接之網站之重定向命令之第一假響應流量傳輸到客戶終端;(III-B)路由器過量使用狀態檢測及阻止決定階段(“S400”),其若為被選定為路由器過量使用嫌疑用戶之公網IP,則為了減少負荷,上述推送服務器(220)執行用於確認上述經鏡像之網站連接請求流量是否為可成為決定阻止與否之對象之流量之階段(“S250”),若屬於阻止與否決定對象流量,則向客戶終端傳輸第二假響應流量(“S300”),以使藉由上述第二假響應流量而於用戶客戶終端所生成之100%幀上以參數形式補充用戶原來試圖連接之網站之地址並向檢測及阻止用網絡服務器(260)重定向之檢測及阻止用轉發流量自客戶終端傳輸到檢測及阻止用網絡服務器(260)後,上述檢測及阻止用網絡服務器(260)藉由有別於所接收之自上述檢測及阻止用轉發流量所提取之用戶之公網IP及上述100%幀而獨立生成之0%檢測幀,藉由自用戶客戶終端所接收之閃存共享對象之之固有參數值而執行路由器過量使用檢測算法,藉此,實施對路由器過量使用狀態之用戶流量進行檢測之路由器過量使用 狀態檢測(“S410”)後,藉由補充處理條件而決定是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接請求(“S420a”),並且經過上述路由器過量使用嫌疑用戶選定及上傳階段(“S210”)之上述經鏡像之網站連接請求流量,與被選定為路由器過量使用嫌疑用戶與否無關,於上述推送服務器(220)中被廢棄(“S220”),允許藉由原始網站連接請求流量之因特網連接(“S230”),,並且構成上述路由器過量使用狀態檢測及阻止階段(“S400”)且檢測路由器過量使用狀態的用戶流量的上述路由器過量使用狀態檢測(“S410”)階段,其實施如下階段,由上述檢測及阻止用網絡服務器(260)藉由0%檢測幀而請求於用戶客戶終端(用戶計算機)的閃存共享對象中以如用戶身分證明等設定參數名存儲之固有參數值的階段(“S411”);以及於上述“S411”階段中自客戶終端接收用戶身分證明之固有參數值,若於資料庫服務器(240)之該用戶IP(ID)之第一設定時間(T-1)以內之用戶身分證明列表中存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為有效之用戶身分證明之固有參數值,則向資料庫服務器(240)更新該用戶身分證明之連接時刻,允許連接到由用戶之客戶終端請求連接之網站之階段(“S412”),並且若於上述“S411”中,無法自客戶終端接收用戶身分證明之固有參數值,或者已接收用戶身分證明之固有參數值,然而於該IP(ID)之第一設定時間(T-1)以內之用戶身分證明列表中不存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為無效之用戶身分證明之固有參數值,則藉由查找於當前資料庫服務器(240)中所存在之該用戶IP(ID)之第一設 定時間(T-1)以內之有效之用戶身分證明列表之數量及該用戶IP(ID)之路由器計算機允許台數(“S413”),(a)若有效之用戶身分證明列表之數量不足計算機允許台數,則判定為當前不處於路由器過量使用狀態,針對當前連接之用戶客戶終端(用戶計算機)而生成新的用戶身分證明之固有參數值,將其存儲於用戶客戶終端,亦將其與連接時刻一同上傳於資料庫服務器(240),允許用戶連接到客戶終端所請求連接之網站(“S414a”),並且(b)若有效之用戶身分證明列表數量超過計算機允許台數,則判定為當前處於路由器過量使用狀態(“S414b”),針對當前連接之用戶客戶終端(用戶計算機),藉由補充處理條件而實施用於決定是否允許或阻止因特網連接之連接請求流量之阻止或允許與否決定階段(“S420a”)。
  3. 如請求項1或2之共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其中於藉由補充處理條件而實施用於決定是否允許或阻止因特網連接之上述連接請求流量之阻止或允許與否決定階段中,(b1)存在於資料庫服務器(240)之該用戶IP(ID)之第一設定時間(T-1;例如,24小時)以內之有效之用戶身分證明列表中,若存在所上傳之連接時刻以當前時刻為基準而超過第二設定時間(T-2;例如,30分鐘)而經過之用戶身分證明,則刪除於資料庫服務器(240)中之連接時間最久之用戶身分證明列表,針對當前連接之用戶客戶終端(用戶計算機)而生成新的用戶身分證明之固有參數值,將其存儲於用戶客戶終端,亦將其與連接時刻一同上傳於資料庫服務器(240),允許用戶連接到客戶終端所請求連接之網站(“S420b1”)。
  4. 如請求項3之共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其中於藉由補充處理條件而實施用於決定是否允許或阻止因特網連接之上述連接請求流量之阻止或允許與否決定階段中,(b2)若存在於資料庫服務器(240)之該用戶IP(ID)之24小時以內之有效之用戶身分證明列表中不存在所上傳之連接時刻以當前時刻為基準而超過30分鐘之用戶身分證明,則針對當前連接之用戶客戶終端(用戶計算機),阻止連接到所請求連接之網站(“S420b2”)。
  5. 如請求項2之共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其中上述路由器過量使用嫌疑用戶選定及上傳階段(“S210”)包括:由上述推送服務器(220)首先確認所鏡像之上述流量是否為“網站連接請求流量”之階段(“S211”);由上述推送服務器(220)確認所鏡像之上述流量之設定條件之“Host”是否為主要監測目標主機(HOST)之階段(“S212”);由上述推送服務器(220)確認所鏡像之上述流量之設定條件之“URI”之結束部是否為“/”或“/?”以及是否存在設定條件之“Referer”之階段(“S213”);以及由上述推送服務器(220)確認所鏡像之上述流量之設定條件之“Cookie”是否存在稱為“sign”之參數值之階段(“S214”)。
  6. 如請求項5之共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其中上述主要監測目標主機(HOST)為網站連接排行前十以內之網站。
  7. 如請求項3之共享公網IP之因特網連接請求流量之選擇性允許或 阻止方法,其中確認所鏡像之上述流量是否為阻止與否決定對象流量之階段(“S250”),其經過由上述推送服務器(220)確認所鏡像之上述流量是否為“網站連接請求流量”之階段(“S251”)、由上述推送服務器(220)確認所鏡像之上述流量之連接主機(HOST)是否為“擴大監測目標網站”之階段(“S252”)、由上述推送服務器(220)確認所鏡像之上述流量之URI之結束部是否為“/”或“/?”以及是否存在Referer之階段(“S253”)之過程,若上述推送服務器(220)於上述“S251”、“S252”、“S253”之確認階段中無法滿足各項條件中之一種以上條件,則所鏡像之上述流量被廢棄(“S220”),允許正常連接到由用戶請求連接之網站(“S230”),並且若上述推送服務器(220)於上述“S251”、“S252”、“S253”之確認階段中全部滿足各項條件,則實施向上述客戶終端傳輸上述第二假響應流量之上述“S300”階段。
  8. 如請求項7之共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其中於針對當前連接之用戶客戶終端(用戶計算機)而阻止連接到所請求連接之網站(“S420b2”)之階段中,藉由政策而向用戶不提供任何響應。
  9. 如請求項7之共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其中於針對當前連接之用戶客戶終端(用戶計算機)而阻止連接到所請求連接之網站(“S420b2”)之階段中,更包括向阻止消息頁面或警告消息頁面進行重定向之階段。
  10. 如請求項9之共享公網IP之因特網連接請求流量之選擇性允許或 阻止方法,其中於上述阻止消息頁面或警告消息頁面中,除了顯示警告或阻止狀態之外,藉由提供另行之“連接允許請求按鈕”,以使解除當前客戶終端之阻止狀態,並初始化(刪除)於資料庫服務器(240)中以往被允許之客戶終端中之於設定時間內最初連接之客戶終端之用戶身分證明。
  11. 如請求項3之共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其中自上述推送服務器(220)傳輸到用戶客戶終端之上述第二假響應流量將用戶客戶終端之幀分割成100%幀(用戶原來試圖連接之網站之URL)及0%檢測幀(檢測及阻止用網絡服務器之URL;用於指定收錄有自客戶終端取回用戶身分證明並與資料庫服務器進行比較檢查之命令之“search.jsp”;將用戶原來試圖連接之網站之地址以參數形式附上)之兩種幀。
  12. 如請求項3之共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其中自上述推送服務器(220)傳輸到用戶客戶終端之上述第二假響應流量,以使用戶客戶終端之幀僅由100%幀(檢測及阻止用網絡服務器之URL;指定“check.jsp”;將用戶原來試圖連接之網站之URL地址以參數形式附上)構成,並且上述檢測及阻止用網絡服務器(260)藉由分割幀而生成獨立之0%檢測幀(檢測及阻止用網絡服務器之URL;用於指定收錄有自客戶終端取回用戶身分證明並與資料庫服務器進行比較檢查之命令之“search.jsp”;將用戶原來試圖連接之網站之地址以參數形式附上)。
  13. 一種公網IP共享狀態檢測及阻止系統,其藉由檢測利用相同公網 IP之私有網絡上之複數個用戶客戶終端之數量並將其與所分配之允許台數進行比較而藉由IP共享狀態而選擇性地允許及阻止請求連接之客戶終端之因特網連接請求流量,其特徵在於包括:鏡像裝置(210),其於由因特網服務用戶之客戶終端藉由驅動網頁瀏覽器而請求連接到因特網上之網站之情況下,用於鏡像自客戶終端發生之網站連接請求流量,設置於因特網服務提供商之骨幹網絡;推送服務器(220)[DNC:根據韓文CLAIM此名詞似不應刪除,否則不連貫],其藉由確認上述經鏡像之網站連接請求流量之用戶公網IP是否為藉由推送服務器所處理之藉由包含於上一個連接流量之公網IP及cookie資訊而選定為路由器過量使用嫌疑用戶之公網IP,若為被選定為路由器過量使用嫌疑用戶之公網IP,則為了減少檢測及阻止用網絡服務器之負荷,推送服務器(220)執行用於確認上述經鏡像之網站連接請求流量是否為可成為決定阻止與否之對象之流量之階段,若屬於阻止與否決定對象流量,則向客戶終端傳輸第二假響應流量,以使藉由生成於用戶客戶終端之100%幀而以參數形式補充用戶原來試圖連接之網站之地址並向檢測及阻止用網絡服務器(260)重定向之檢測及阻止用轉發流量自客戶終端傳輸到檢測及阻止用網絡服務器(260);以及檢測及阻止用網絡服務器(260),其藉由有別於自上述用戶客戶終端傳輸之自上述檢測及阻止用轉發流量所提取之用戶之公網IP及上述100%幀而獨立生成之0%檢測幀,而將以自用戶客戶終端接收之用戶身分證明等設定參數名存儲之閃存共享對象之固有參數值存儲於資料庫服務器(240),藉由搜索自連接時刻至第一設定時間(T-1)期間所存儲之列表,而執行路由器過量使用狀態檢測算法,藉此,對於非路由器過量使用狀態之用戶流量,向藉由用戶客戶終端而以參數形式附於上述檢測及 阻止用轉發流量之原始目的網站進行重定向,藉由進行檢測路由器過量使用狀態之用戶流量的路由器過量使用狀態檢測,藉由補充處理條件而決定是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接請求,並且上述檢測及阻止用網絡服務器(260)為了檢測路由器過量使用狀態,由上述檢測及阻止用網絡服務器(260)藉由0%檢測幀而請求於用戶客戶終端(用戶計算機)之閃存共享對象中以如用戶身分證明等設定參數名存儲之固有參數值,自客戶終端接收用戶身分證明之固有參數值,若於資料庫服務器(240)之該用戶IP(ID)之第一設定時間(T-1)以內之用戶身分證明列表中存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為有效之用戶身分證明之固有參數值,則向資料庫服務器(240)更新該用戶身分證明之連接時刻,允許連接到由用戶之客戶終端請求連接之網站,並且若無法自客戶終端接收用戶身分證明之固有參數值,或者已接收用戶身分證明之固有參數值,然而於該IP(ID)之第一設定時間(T-1)以內之用戶身分證明列表中不存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為無效之用戶身分證明之固有參數值,則藉由查找於當前資料庫服務器(240)中所存在之該用戶IP(ID)之第一設定時間(T-1)以內之有效之用戶身分證明列表之數量及該用戶IP(ID)之路由器計算機允許台數(“S413”),(a)若有效之用戶身分證明列表之數量不足計算機允許台數,則判定為當前不處於路由器過量使用狀態,針對當前連接之用戶客戶終端(用戶計算機)而生成新的用戶身分證明之固有參 數值,將其存儲於用戶客戶終端,亦將其與連接時刻一同上傳於資料庫服務器(240),允許用戶連接到客戶終端所請求連接之網站(“S414a”),並且(b)若有效之用戶身分證明列表數量超過計算機允許台數,則判定為當前處於路由器過量使用狀態(“S414b”),針對當前連接之用戶客戶終端(用戶計算機),藉由補充處理條件而決定是否允許或阻止因特網連接。
  14. 一種公網IP共享狀態檢測及阻止系統,其藉由檢測利用相同公網IP之私有網絡上之複數個用戶客戶終端之數量並將其與所分配之允許台數進行比較而藉由IP共享狀態而選擇性地允許及阻止請求連接之客戶終端之因特網連接請求流量,其特徵在於包括:鏡像裝置(210),其於由因特網服務用戶之客戶終端藉由驅動網頁瀏覽器而請求連接到因特網上之網站之情況下,用於鏡像自客戶終端發生之網站連接請求流量,設置於因特網服務提供商之骨幹網絡;推送服務器(220),其藉由確認上述經鏡像之網站連接請求流量之用戶公網IP是否為藉由推送服務器所處理之藉由包含於上一個連接流量之公網IP及cookie資訊而選定為路由器過量使用嫌疑用戶之公網IP,若並非為被選定為路由器過量使用嫌疑用戶之公網IP,則向分析服務器傳輸包含於上述經鏡像之網站連接請求流量之公網IP及連接主機(HOST)資訊,以使確認是否處於應選定為路由器過量使用嫌疑用戶之狀態,又,由上述推送服務器(220)藉由包含於上述經鏡像之網站連接請求流量之公網IP及Cookie資訊而驗證是否為應選定為路由器過量使用嫌疑用戶之狀態,若被選定為路由器過量使用嫌疑用戶,則上傳該IP,又,將包括用於向客戶終端存儲藉由定義設定如sign參數之Cookie有效時間之獨特變量並以當前時刻設定之Cookie之命令及 用於引導以使重新連接到用戶原來試圖連接之網站之重定向命令之第一假響應流量傳輸到客戶終端,並且,若為被選定為路由器過量使用嫌疑用戶之公網IP,則為了減少檢測及阻止用網絡服務器之負荷,執行用於確認上述經鏡像之網站連接請求流量是否為可成為決定阻止與否之對象之流量之階段,若屬於阻止與否決定對象流量,則向客戶終端傳輸第二假響應流量,以使藉由上述第二假響應流量而於用戶客戶終端所生成之100%幀上以參數形式補充用戶原來試圖連接之網站之地址並向檢測及阻止用網絡服務器(260)重定向之檢測及阻止用轉發流量自客戶終端傳輸到檢測及阻止用網絡服務器(260);分析服務器(230),其將自上述推送服務器接收之用戶之公網IP及連接主機(HOST)資訊與連接時間資料一同存儲於資料庫服務器(240),藉由掌握於設定時間內以公網IP而針對特定主機發起之連接請求次數,而判別其連接請求次數是否超過按不同用戶政策實施管理之IP共享允許計算機數量之允許值,藉此,決定是否選定為路由器過量使用嫌疑用戶,將其決定結果與該公網IP一同傳輸到上述推送服務器(220);以及檢測及阻止用網絡服務器(260),其藉由有別於自上述用戶客戶終端傳輸之自上述檢測及阻止用轉發流量所提取之用戶之公網IP及上述100%幀而獨立生成之0%檢測幀,而將以自用戶客戶終端接收之用戶身分證明等設定參數名存儲之閃存共享對象之固有參數值存儲於資料庫服務器(240),藉由搜索自連接時刻至第一設定(T-1)時間期間所存儲之列表,而執行路由器過量使用狀態檢測算法,藉此,對於非路由器過量使用狀態之用戶流量,向藉由用戶客戶終端而以參數形式附於上述檢測及阻止用轉發流量之原始目的網站進行重定向,藉由進行檢測路由器過量使用狀態之用戶流量路由器過量使用狀態檢測,藉 由補充處理條件而決定是否允許或阻止路由器過量使用狀態之用戶客戶終端之網站連接請求,並且上述檢測及阻止用網絡服務器(260)為了檢測路由器過量使用狀態,由上述檢測及阻止用網絡服務器(260)藉由0%檢測幀而請求於用戶客戶終端(用戶計算機)之閃存共享對象中以如用戶身分證明等設定參數名存儲之固有參數值,自客戶終端接收用戶身分證明之固有參數值,若於資料庫服務器(240)之該用戶IP(ID)之第一設定時間(T-1)以內之用戶身分證明列表中存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為有效之用戶身分證明之固有參數值,則向資料庫服務器(240)更新該用戶身分證明之連接時刻,允許連接到由用戶之客戶終端請求連接之網站,並且若無法自客戶終端接收用戶身分證明之固有參數值,或者已接收用戶身分證明之固有參數值,然而於該IP(ID)之第一設定時間(T-1)以內之用戶身分證明列表中不存在與當前連接之用戶客戶終端(用戶計算機)之用戶身分證明值相同之值而被判定為無效之用戶身分證明之固有參數值,則藉由查找於當前資料庫服務器(240)中所存在之該用戶IP(ID)之第一設定時間(T-1)以內之有效之用戶身分證明列表之數量及該用戶IP(ID)之路由器計算機允許台數(“S413”),(a)若有效之用戶身分證明列表之數量不足計算機允許台數,則判定為當前不處於路由器過量使用狀態,針對當前連接之用戶客戶終端(用戶計算機)而生成新的用戶身分證明之固有參數值,將其存儲於用戶客戶終端,亦將其與連接時刻一同上傳於資料庫服務器(240),允許用戶連接到客戶終端所請求連接之 網站(“S414a”),並且(b)若有效之用戶身分證明列表數量超過計算機允許台數,則判定為當前處於路由器過量使用狀態(“S414b”),針對當前連接之用戶客戶終端(用戶計算機),藉由補充處理條件而決定是否允許或阻止因特網連接。
  15. 如請求項13或14之共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其中於藉由上述補充處理條件而實施用於決定是否允許或阻止因特網連接之連接請求流量之阻止或允許與否決定階段中,(b1)存在於資料庫服務器(240)之該用戶IP(ID)之第一設定時間(T-1)以內之有效之用戶身分證明列表中,若存在所上傳之連接時刻以當前時刻為基準而超過第二設定時間(T-2)而經過之用戶身分證明,則刪除於資料庫服務器(240)中之連接時間最久之用戶身分證明列表,針對當前連接之用戶客戶終端(用戶計算機)而生成新的用戶身分證明之固有參數值,將其存儲於用戶客戶終端,亦將其與連接時刻一同上傳於資料庫服務器(240),允許用戶連接到客戶終端所請求連接之網站(“S420b1”)。
  16. 如請求項15之共享公網IP之因特網連接請求流量之選擇性允許或阻止方法,其中於藉由上述補充處理條件而實施用於決定是否允許或阻止因特網連接之連接請求流量之阻止或允許與否決定階段中,(b2)若存在於資料庫服務器(240)之該用戶IP(ID)之第一設定時間(T-1)以內之有效之用戶身分證明列表中不存在所上傳之連接時刻以當前時刻為基準而超過第二設定時間(T-2)之用戶身分證明,則針對當前連接之用戶客戶終端(用戶計算機),阻止連接到所請求連接之網站(“S420b2”)。
  17. 如請求項16之公網IP共享狀態檢測及阻止系統,其更包括:政策管理網頁服務器(250),其將按不同用戶政策實施管理之IP共享允許計算機數量列表存儲於上述資料庫服務器(240)並可變更該等資訊。
  18. 如請求項15之公網IP共享狀態檢測及阻止系統,其中,上述推送服務器(220)以使自上述推送服務器(220)傳輸到用戶客戶終端之上述第二假響應流量將用戶客戶終端之幀分割成100%幀(用戶原來試圖連接之網站之URL)及0%檢測幀(檢測及阻止用網絡服務器之URL;用於指定收錄有自客戶終端取回用戶身分證明並與資料庫服務器進行比較檢查之命令之“search.jsp”;將用戶原來試圖連接之網站之地址以參數形式附上)之兩種幀。
  19. 如請求項15之公網IP共享狀態檢測及阻止系統,其中,上述推送服務器(220)以使自上述推送服務器(220)傳輸到用戶客戶終端之上述第二假響應流量,以使用戶客戶終端之幀僅由100%幀(檢測及阻止用網絡服務器之URL;指定“check.jsp”;將用戶原來試圖連接之網站之URL地址以參數形式附上)構成,並且上述檢測及阻止用網絡服務器(260)藉由分割幀而生成獨立之0%檢測幀(檢測及阻止用網絡服務器之URL;用於指定收錄有自客戶終端取回用戶身分證明並與資料庫服務器進行比較檢查之命令之“search.jsp”;將用戶原來試圖連接之網站之地址以參數形式附上)。
TW103102803A 2013-12-30 2014-01-24 Based on the current time to share the public network IP Internet connection request flow of the selective allow or prevent the method and the implementation of the method of public network IP sharing of the current state detection and prevention system TWI577163B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130166977A KR101518474B1 (ko) 2013-12-30 2013-12-30 현재 시간 기준으로 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유의 현재 상태 검출 및 차단 시스템

Publications (2)

Publication Number Publication Date
TW201526589A TW201526589A (zh) 2015-07-01
TWI577163B true TWI577163B (zh) 2017-04-01

Family

ID=53394136

Family Applications (1)

Application Number Title Priority Date Filing Date
TW103102803A TWI577163B (zh) 2013-12-30 2014-01-24 Based on the current time to share the public network IP Internet connection request flow of the selective allow or prevent the method and the implementation of the method of public network IP sharing of the current state detection and prevention system

Country Status (3)

Country Link
KR (1) KR101518474B1 (zh)
TW (1) TWI577163B (zh)
WO (1) WO2015102356A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101783014B1 (ko) * 2015-09-10 2017-09-28 주식회사 수산아이앤티 공유단말 검출 방법 및 그 장치
WO2017078196A1 (ko) * 2015-11-05 2017-05-11 주식회사 수산아이앤티 공유 단말 관리 방법 및 그 장치
CN107025107A (zh) * 2016-10-24 2017-08-08 阿里巴巴集团控股有限公司 一种页面重定向循环的检测方法和装置
KR102123549B1 (ko) * 2017-03-08 2020-06-16 주식회사 케이티 인터넷 페이지 접속 제어 서버 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100723657B1 (ko) * 2005-07-08 2007-05-30 플러스기술주식회사 사설 아이피 사용자가 동시에 인터넷에 접속할 경우티씨피/아이피 기반에서 선별적으로 허용 및 차단하는 방법
KR20100040631A (ko) * 2008-10-10 2010-04-20 플러스기술주식회사 트래픽을 분석하여 nat 사용 여부 판단 및 공유대수 분석 및 검출방법과 그에 따른 사설 네트워크 하에서 동시에 인터넷을 사용할 수 있는 사용자 pc를 선별적으로허용 및 차단하는 방법
KR101002421B1 (ko) * 2010-04-09 2010-12-21 주식회사 플랜티넷 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유 상태 검출 및 차단 시스템

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100960152B1 (ko) * 2007-10-24 2010-05-28 플러스기술주식회사 네트워크상의 복수 단말을 검출하여 인터넷을 허용 및차단하는 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100723657B1 (ko) * 2005-07-08 2007-05-30 플러스기술주식회사 사설 아이피 사용자가 동시에 인터넷에 접속할 경우티씨피/아이피 기반에서 선별적으로 허용 및 차단하는 방법
KR20100040631A (ko) * 2008-10-10 2010-04-20 플러스기술주식회사 트래픽을 분석하여 nat 사용 여부 판단 및 공유대수 분석 및 검출방법과 그에 따른 사설 네트워크 하에서 동시에 인터넷을 사용할 수 있는 사용자 pc를 선별적으로허용 및 차단하는 방법
KR101002421B1 (ko) * 2010-04-09 2010-12-21 주식회사 플랜티넷 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유 상태 검출 및 차단 시스템

Also Published As

Publication number Publication date
WO2015102356A1 (ko) 2015-07-09
KR101518474B1 (ko) 2015-05-07
TW201526589A (zh) 2015-07-01

Similar Documents

Publication Publication Date Title
US20210194981A1 (en) Proxy server failover and load clustering
US10027626B2 (en) Method for providing authoritative application-based routing and an improved application firewall
US11831609B2 (en) Network security system with enhanced traffic analysis based on feedback loop
US7630381B1 (en) Distributed patch distribution
EP2643956B1 (en) Request routing processing
KR101002421B1 (ko) 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유 상태 검출 및 차단 시스템
JP2018518862A (ja) グローバル仮想ネットワーク(gvn)において仮想インタフェースとアドバンストスマートルーティングとを提供するためのシステム及び方法
JP2019134484A (ja) アクセス要求を規制するシステムおよび方法
JP2018515984A (ja) ネットワーク攻撃に対して防御するための方法およびデバイス
TWI577163B (zh) Based on the current time to share the public network IP Internet connection request flow of the selective allow or prevent the method and the implementation of the method of public network IP sharing of the current state detection and prevention system
JP6539341B2 (ja) プログラマティックインターフェースに従ったルータ情報の提供
CN102106167A (zh) 安全消息处理
US10397225B2 (en) System and method for network access control
US20160299971A1 (en) Identifying Search Engine Crawlers
KR101127246B1 (ko) Ip 주소를 공유하는 단말을 검출하는 방법 및 그 장치
EP3160086B1 (en) Method and system for detecting failure-inducing client by using client route control system
CN110636068A (zh) 在cc攻击防护中识别未知cdn节点的方法以及装置
RU2738337C1 (ru) Система и способ обнаружения интеллектуальных ботов и защиты от них
JP2005295457A (ja) P2pトラフィック対応ルータ及びそれを用いたp2pトラフィック情報共有システム
TW201626759A (zh) 用於自共用公用ip位址之網際網路請求訊務偵測由一具有額外非指定網域名稱的網路伺服器所選擇之複數個用戶端終端機之裝置的數量之方法,及用於選擇性偵測其之系統
RU2598337C2 (ru) Система и способ выбора средств перехвата данных, передаваемых по сети
US20090150564A1 (en) Per-user bandwidth availability
KR101087291B1 (ko) 인터넷을 사용하는 모든 단말을 구분하는 방법 및 시스템
JP5986340B2 (ja) Url選定方法、url選定システム、url選定装置及びurl選定プログラム
JP2019152912A (ja) 不正通信対処システム及び方法

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees