[发明专利]网络接入检测系统和网络接入检测方法

说明书

技术领域

本发明涉及互联网技术领域，具体而言，涉及一种网络接入检测系统和一种网络接入检测方法。

背景技术

目前，由于互联网宽带接入业务的计费主要还是采用时长计费而不是流量计费的方式。一部分人利用运营商的这个漏洞，往往以个人的名义申请宽带而让企业或黑网吧使用，或者几户共用宽带分摊费用，这给运营商造成了巨大的收入流失。由于IP协议设计本身的历史原因，没有任何一个标准或协议能够直接反映出同一个IP地址下的局域网内共享有多少台计算机，目前业界普遍使用的检测方法有以下几种：

1、IP报文中有IPID标识（IP包序列号），每台机器的该标识从0至65535循环，呈递增数列，路由器、防火墙和多数代理服务器均不会修改该标识，因此可以根据该标识的连续性判断是否是同一台机器。但是用该方法判断的难度在于，机器台数较多时连续性会显得很混乱，会导致准确计算的难度很大。另外，有些机器感染了病毒和蠕虫，也会造成IPID值异常增长以及导致计算难度变大。因此需要复杂并高效的算法还原出真实情况。方法一就是根据该原理尽可能将每台机器所发送的报文连成一条直线，每条直线代表一台机器。

2、方法二原理同上，但算法不同，不是还原成直线，而是还原成离散的数组，每个数组代表一台机器。

3、方法三根据TCP（Transmission Control Protocol，传输控制协议）序号，部分TCP报文也会有随系统时间递增的序列号，该值可以路由器、防火墙和代理服务器均不能修改该标识，否则报文失效，也可以尽可能将每台机器所发送的报文连成一条直线，每条直线代表一台机器；

4、SNMP（Simple Network Management Protocol，简单网络管理协议）扫描法，通过在接入设备Modem上植入SNMP扫描程序对用户主机进行SNMP扫描来检测是否有多台机器共享上网，由于极易用户通过修改Modem配置来规避，并且扫描用户主机也会招致用户察觉和不满，目前已经基本淘汰；

5、MAC（Media Access Control，介质访问控制）地址获取法，只能部署于接入层，通过在接入层大规模部署，在网络数据包中统计是否有多个MAC地址使用相同IP地址上网的情况，这种方法对于NAT/Proxy代理上网无效，并且对一台主机多个网卡的情况会产生误报，目前也已基本淘汰；

6、TTL（Time To Live，生存时间）分析法，也只能部署于接入层，通过分析IP报文中的TTL数值不同来判断是否多机共享接入，由于目标服务器网络应用的类型不同，TTL值会发生变化，因此这种方法仅在某些特定情况下有一定作用，即使TTL不一致，也不一定是共享上网用户，同时对于代理上网的情况也会失效，因此目前也已基本淘汰。

因此，需要一种新的技术方案，能够有效提高共享接入检测的精确度，同时能避免某些通过打乱IPID的发包规律、顺序或者分散IPID的技术手段逃避检测，导致检测不到共享接入的情况。

发明内容

本发明正是基于上述问题，提出了一种新的技术方案，能够有效提高共享接入检测的精确度，同时能避免某些通过打乱IPID的发包规律、顺序或者分散IPID的技术手段逃避检测，导致检测不到共享接入的情况。

有鉴于此，本发明提出了一种网络接入检测系统，包括：采集单元，采集网络中的数据包，从所述数据包中获取使用指定应用协议的上行流量；提取单元，根据存储的所述指定应用协议的应用层特征，从所述上行流量中提取出含有私网IP地址的数据包；存储单元，从所述含有私网IP地址的数据包中提取出源IP地址和私网IP地址，并将所述源IP地址和所述私网IP地址进行关联存储；主机数目确定单元，读取所述存储单元中存储的数据，统计与同一个源IP地址相关联的私网IP地址的个数，根据所述个数确定所述网络中的主机数目。

在该技术方案中，网络运营商可以从用户的一些常用的应用协议中，获得用户的私网IP地址，从而统计出同一个源IP地址对应的私网IP地址的个数，确定网络中的主机数目。例如，当用户访问一个应用程序时，根据应用层特征，系统会从应用协议中获取到该用户的私网IP地址并进行存储，利用同样的方法，可以统计出一个源IP地址下，存在几个私网IP地址，从而根据私网IP地址的个数确定网络中接入的主机的个数。这样提高了网络接入检测的准确性，降低了因检测破解技术提高带来的漏检漏报风险。

在上述技术方案中，优选地，所述主机数目确定单元确定从指定的源IP地址接入所述网络的主机数目。