專利名稱:一種共享接入檢測(cè)方法以及相關(guān)裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉 及通信領(lǐng)域����,尤其涉及一種共享接入檢測(cè)方法以及相關(guān)裝置。
背景技術(shù):
為了解決IP地址數(shù)量�����、以及安全問(wèn)題�,現(xiàn)有的IP網(wǎng)絡(luò)上,存在大量的網(wǎng)絡(luò)地址 轉(zhuǎn)換(NAT�,NetworkAddress Transform)設(shè)備和防火墻設(shè)備。NAT設(shè)備將每個(gè)局域網(wǎng)節(jié)點(diǎn) 的私有網(wǎng)絡(luò)地址轉(zhuǎn)換成一個(gè)公有網(wǎng)絡(luò)地址��,反之亦然��。NAT技術(shù)也可以應(yīng)用到防火墻技 術(shù)里���,把私有地址隱藏起來(lái)不被外界發(fā)現(xiàn)�����,使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)設(shè)備�����,同時(shí)��, 它還幫助網(wǎng)絡(luò)可以超越地址的限制����,合理地安排網(wǎng)絡(luò)中的公有網(wǎng)絡(luò)地址和私有網(wǎng)絡(luò)地址 的使用。隨著現(xiàn)在共享接入技術(shù)日益成熟��,NAT設(shè)備的也使用越來(lái)越廣泛���,給運(yùn)營(yíng)商的 利益和網(wǎng)絡(luò)的管理帶來(lái)了很大的影響���,因此,如何準(zhǔn)確獲得位于NAT設(shè)備后的當(dāng)前活動(dòng) 主機(jī)的數(shù)量����,從而有效管理共享接入的用戶成了運(yùn)營(yíng)商一大難題。在現(xiàn)有技術(shù)中有一種主動(dòng)獲取主機(jī)信息的檢測(cè)方法�,首先接收共享接入網(wǎng)中主 機(jī)發(fā)送的訪問(wèn)請(qǐng)求消息,根據(jù)該訪問(wèn)請(qǐng)求消息向主機(jī)發(fā)送主機(jī)信息查詢命令���,迫使主機(jī) 返回MAC地址和主機(jī)名等含有主機(jī)特定標(biāo)識(shí)的信息��,根據(jù)接收到的主機(jī)返回的主機(jī)信 息��,獲得共享接入網(wǎng)中的主機(jī)數(shù)目�����。由于目前瀏覽器的安全性能越來(lái)越高����,因此���,若使用主動(dòng)獲取主機(jī)信息的檢測(cè) 方法�,構(gòu)造出來(lái)的包含主機(jī)信息查詢命令的請(qǐng)求信息往往會(huì)被瀏覽器攔截而無(wú)法查詢到 所需的主機(jī)信息�,所有檢測(cè)成功率較低;而且主動(dòng)發(fā)送報(bào)文會(huì)額外的增加網(wǎng)絡(luò)負(fù)擔(dān)����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種共享接入檢測(cè)方法以及相關(guān)裝置,用于有效的檢測(cè)位 于NAT設(shè)備之后處于活動(dòng)狀態(tài)的主機(jī)數(shù)目����。本發(fā)明提供的共享接入檢測(cè)方法,包括獲取客戶端發(fā)送的數(shù)據(jù)報(bào)文����;分析所 述數(shù)據(jù)報(bào)文的協(xié)議類型���,根據(jù)所述協(xié)議類型選擇對(duì)應(yīng)的提取策略;根據(jù)所述提取策略提 取所述數(shù)據(jù)報(bào)文的公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息�����;根據(jù)所述公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息統(tǒng)計(jì) 屬于同一公網(wǎng)下的不同客戶端的數(shù)目���。本發(fā)明提供的共享接入檢測(cè)裝置����,包括獲取單元�����,用于獲取客戶端發(fā)送的數(shù) 據(jù)報(bào)文�����;選擇單元�����,用于分析所述數(shù)據(jù)報(bào)文的協(xié)議類型�,并根據(jù)所述協(xié)議類型選擇對(duì)應(yīng) 的提取策略���;提取單元,用于根據(jù)所述提取策略提取所述數(shù)據(jù)報(bào)文的公網(wǎng)IP信息和內(nèi)網(wǎng) IP信息��;統(tǒng)計(jì)單元��,用于根據(jù)所述公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息統(tǒng)計(jì)屬于同一公網(wǎng)下的不同 客戶端的數(shù)目�。從以上技術(shù)方案可以看出���,本發(fā)明實(shí)施例具有以下優(yōu)點(diǎn)本發(fā)明通過(guò)分析客戶 端發(fā)送的數(shù)據(jù)報(bào)文的協(xié)議類型�,根據(jù)對(duì)應(yīng)的提取策略提取該數(shù)據(jù)報(bào)文的公網(wǎng)IP信息和內(nèi) 網(wǎng)IP信息���,然后根據(jù)所述公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息統(tǒng)計(jì)屬于同一公網(wǎng)下的不同客戶端的數(shù)目�����,可以有效的檢測(cè)位于NAT設(shè)備之后處于活動(dòng)狀態(tài)的主機(jī)數(shù)量����,使得運(yùn)營(yíng)商可以有 效的管理共享接入用戶��。
圖1是本發(fā)明實(shí)施例共享接入檢測(cè)方法的一個(gè)流程示意圖���;圖2是本發(fā)明實(shí)施例共享接入檢測(cè)方法的另一個(gè)流程示意圖���;圖3是本發(fā)明實(shí)施例共享接入檢測(cè)方法的另一個(gè)流程示意圖�;圖4是本發(fā)明實(shí)施例共享接入檢測(cè)裝置的邏輯結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式本發(fā)明實(shí)施例提供了一種共享接入檢測(cè)方法以及相關(guān)裝置�����,用于有效的檢測(cè)位 于NAT設(shè)備之后處于活動(dòng)狀態(tài)的主機(jī)數(shù)目�����。請(qǐng)參閱圖1�����,本發(fā)明實(shí)施例中共享接入檢測(cè)方法的一個(gè)實(shí)施例包括101���、獲取數(shù)據(jù)報(bào)文�;共享接入檢測(cè)裝置獲取客戶端發(fā)送的數(shù)據(jù)報(bào)文。該數(shù)據(jù)報(bào)文可以是應(yīng)用層協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文��,可以是傳輸層協(xié)議的網(wǎng)絡(luò)數(shù)據(jù) 報(bào)文����,也可以是其他協(xié)議類型的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文,此處具體不作限定���。102�、分析協(xié)議類型�����;共享接入檢測(cè)裝置分析該數(shù)據(jù)報(bào)文的協(xié)議類型����,該協(xié)議類型可以體現(xiàn)在數(shù)據(jù)報(bào) 文的端口號(hào)上���,也可以體現(xiàn)在數(shù)據(jù)報(bào)文的應(yīng)用層協(xié)議特征上����,還可以體現(xiàn)在數(shù)據(jù)報(bào)文的 其它負(fù)載信息上�,具體根據(jù)實(shí)際情況而定,此處不作限定。每一種協(xié)議類型對(duì)應(yīng)一種業(yè)務(wù)應(yīng)用���,該業(yè)務(wù)應(yīng)用如騰訊聊天軟件����,PPTV視頻 軟件或迅雷下載軟件�。共享接入檢測(cè)裝置可以通過(guò)深度報(bào)文解析(DPI,Deep Packet Inspect)方法來(lái)分 析數(shù)據(jù)報(bào)文的協(xié)議類型���,可以通過(guò)現(xiàn)場(chǎng)可編程門陣列(FPGA���,F(xiàn)ield Programmable Gate Array)中的硬件電路來(lái)分析數(shù)據(jù)報(bào)文的協(xié)議類型,可以通過(guò)端口識(shí)別分析數(shù)據(jù)報(bào)文的協(xié) 議類型�����,也可以通其他方法分析數(shù)據(jù)報(bào)文的協(xié)議類型��,此處具體不作限定����。共享接入檢測(cè)裝置分析出該數(shù)據(jù)報(bào)文的協(xié)議類型后,在本地預(yù)置的映射關(guān)系中 查詢?cè)搮f(xié)議類型對(duì)應(yīng)的提取策略����。由于不同的業(yè)務(wù)應(yīng)用對(duì)應(yīng)不同協(xié)議類型的數(shù)據(jù)報(bào)文���,而且各種協(xié)議類型的表現(xiàn) 形式也不一樣,所以本發(fā)明會(huì)預(yù)先對(duì)不同協(xié)議類型的數(shù)據(jù)結(jié)構(gòu)進(jìn)行定制化分析�,制定相 應(yīng)內(nèi)網(wǎng)IP信息的提取策略,并將各種協(xié)議類型的提取策略存儲(chǔ)在本地計(jì)算機(jī)里面����,便于 共享接入檢測(cè)時(shí)查找使用。具體的提取策略以及提取策略的定制方法將在后續(xù)實(shí)施例中進(jìn)行描述�����。103�、提取公網(wǎng)和內(nèi)網(wǎng)IP信息���;共享接入檢測(cè)裝置根據(jù)該協(xié)議類型對(duì)應(yīng)的提 取策略提取該數(shù)據(jù)報(bào)文的公網(wǎng)IP信 息和內(nèi)網(wǎng)IP信息�。位于NAT設(shè)備之后的主機(jī)設(shè)備在進(jìn)行網(wǎng)絡(luò)交互時(shí)��,該主機(jī)設(shè)備的內(nèi)網(wǎng)IP信息都 會(huì)被隱藏��,只會(huì)顯示NAT設(shè)備的公網(wǎng)IP信息�����;但目前大多數(shù)主流軟件例如聊天軟件騰訊QQ,視頻軟件PPTV�����,下載軟件迅雷等��,在與用戶客戶端進(jìn)行交互時(shí)��,都會(huì)間接地帶 出該用戶客戶端的內(nèi)網(wǎng)IP信息����,這些軟件通過(guò)定制化的分析就可以知道內(nèi)網(wǎng)IP信息出現(xiàn) 在該數(shù)據(jù)報(bào)文中的哪些位置,共享接入檢測(cè)裝置直接掃描到這些位置就可以提取到內(nèi)網(wǎng) IP fn 息�����。共享接入檢測(cè)裝置根據(jù)公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息統(tǒng)計(jì)屬于同一公網(wǎng)下的不同客 戶端的數(shù)目�。在本申請(qǐng)文件中,公網(wǎng)IP的定義是相對(duì)而言的���,若一臺(tái)位于NAT設(shè)備之后的主 機(jī)設(shè)備(假設(shè)其內(nèi)網(wǎng)IP信息為第一內(nèi)網(wǎng)IP)再嵌入一層子網(wǎng)(假設(shè)這層子網(wǎng)內(nèi)所有主 機(jī)設(shè)備的IP信息為第二內(nèi)網(wǎng)IP)��,第一內(nèi)網(wǎng)IP相對(duì)于第二內(nèi)網(wǎng)IP而言�����,第一內(nèi)網(wǎng)IP即 是公網(wǎng)IP��。雖然檢測(cè)設(shè)備無(wú)法直接獲知位于同一 NAT設(shè)備后面有多少個(gè)共享接入的主機(jī)設(shè) 備��,但在同一時(shí)間內(nèi)�,一個(gè)公網(wǎng)IP地址下不同客戶端的內(nèi)網(wǎng)IP信息肯定不同,因此通過(guò) 統(tǒng)計(jì)同一時(shí)間內(nèi)內(nèi)網(wǎng)IP信息的個(gè)數(shù)就可以間接地檢測(cè)出共享接入的主機(jī)設(shè)備的數(shù)目���。本發(fā)明通過(guò)分析客戶端發(fā)送的數(shù)據(jù)報(bào)文的協(xié)議類型�,根據(jù)對(duì)應(yīng)的提取策略提取 該數(shù)據(jù)報(bào)文的公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息���,然后根據(jù)該公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息統(tǒng)計(jì)屬 于同一公網(wǎng)下的不同客戶端的數(shù)目���,就可以有效的檢測(cè)位于NAT設(shè)備之后處于活動(dòng)狀態(tài) 的主機(jī)數(shù)量����,使得運(yùn)營(yíng)商可以有效的管理共享接入用戶。在進(jìn)行數(shù)據(jù)報(bào)文捕獲的過(guò)程中����,某些數(shù)據(jù)報(bào)文是不具有內(nèi)網(wǎng)IP信息的���,沒(méi)有必 要浪費(fèi)資源對(duì)其進(jìn)行處理,請(qǐng)參閱圖2��,本發(fā)明實(shí)施例中共享接入檢測(cè)方法的另一實(shí)施例 包括201����、獲取數(shù)據(jù)報(bào)文;本實(shí)施例中的步驟201的內(nèi)容與前述圖1所示的實(shí)施例中步驟101的內(nèi)容相同�, 此處不再贅述。202�、分析協(xié)議類型;共享接入檢測(cè)裝置對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行解封裝���,分析該數(shù)據(jù)報(bào)文的協(xié)議類 型�,從該協(xié)議類型的數(shù)據(jù)報(bào)文中識(shí)別出相應(yīng)的IP信息的表現(xiàn)形式�。該IP信息的表現(xiàn)形式包括沒(méi)有通過(guò)NAT設(shè)備進(jìn)行內(nèi)網(wǎng)IP地址和公網(wǎng)IP地址 之間相互轉(zhuǎn)換的形式,以及通過(guò)NAT設(shè)備進(jìn)行內(nèi)網(wǎng)IP地址和公網(wǎng)IP地址之間相互轉(zhuǎn)換的 形式���。根據(jù)該數(shù)據(jù)報(bào)文進(jìn)行協(xié)議類型的分析后���,在本地預(yù)置的映射關(guān)系中查詢?cè)搮f(xié)議 類型對(duì)應(yīng)的提取策略。203�、判斷是否含有內(nèi)網(wǎng)IP信息���;共享接入檢測(cè)裝置識(shí)別出該數(shù)據(jù)報(bào)文的IP信息表現(xiàn)形式之后,判斷該數(shù)據(jù)報(bào)文 的協(xié)議類型中是否含有內(nèi)網(wǎng)IP信息��;若沒(méi)有��,則丟棄該數(shù)據(jù)報(bào)文���,不對(duì)其進(jìn)行處理�;若有�,則觸發(fā)步驟204。204�、提取公網(wǎng)和內(nèi)網(wǎng)IP信息;本實(shí)施例中的步驟204的內(nèi)容與前述圖1所示的實(shí)施例中步驟103的內(nèi)容相同���,此處不再贅述��。205�、判斷是否存有相同的公網(wǎng)IP信息����;共享接入檢測(cè)裝置對(duì)比當(dāng)前獲取到的和本地存儲(chǔ)的公網(wǎng)IP信息��,判斷本地是否 保存有相同的公網(wǎng)IP信息;若沒(méi)有�,則觸發(fā)步驟206;若有,則觸發(fā)步驟207���。206����、存儲(chǔ) IP 信息���;共享接入檢測(cè)裝置將當(dāng)前公網(wǎng)IP信息以及當(dāng)前公網(wǎng)IP信息下的內(nèi)網(wǎng)IP信息作為 一組參數(shù)存儲(chǔ)至本地���,該組參數(shù)可以包含一個(gè)或多個(gè)內(nèi)網(wǎng)IP信息,但只能包含一個(gè)公網(wǎng) IP 信 息����。207、判斷是否存有相同的內(nèi)網(wǎng)IP信息�����;共享接入檢測(cè)裝置對(duì)比當(dāng)前獲取到的和本地存儲(chǔ)的內(nèi)網(wǎng)IP信息��,判斷本地是否 保存有當(dāng)前公網(wǎng)IP信息下相同的內(nèi)網(wǎng)IP信息��;若沒(méi)有,則觸發(fā)步驟206將當(dāng)前的內(nèi)網(wǎng)IP信息存儲(chǔ)到與其公網(wǎng)IP信息相同的那 一組參數(shù)中�;若有,則觸發(fā)步驟208���。208����、更新內(nèi)網(wǎng)IP計(jì)數(shù)器���。內(nèi)網(wǎng)IP計(jì)數(shù)器統(tǒng)計(jì)屬于同一公網(wǎng)下的不同客戶端的數(shù)目�����。對(duì)本地已保存的公網(wǎng) IP,每檢測(cè)到1個(gè)新的內(nèi)網(wǎng)IP����,共享接入檢測(cè)裝置將對(duì)應(yīng)的公網(wǎng)IP信息下的內(nèi)網(wǎng)IP計(jì)數(shù) 器的計(jì)數(shù)值加一���,更新當(dāng)前內(nèi)網(wǎng)IP計(jì)數(shù)器��。當(dāng)共享接入檢測(cè)裝置獲取到一組新的公網(wǎng)IP信息時(shí)�,就會(huì)新建一個(gè)與該公網(wǎng)IP 信息對(duì)應(yīng)的內(nèi)網(wǎng)IP計(jì)數(shù)器,并將該公網(wǎng)IP的內(nèi)網(wǎng)IP數(shù)置為1��。��。在本發(fā)明實(shí)施例中���,步驟206和208結(jié)束后都會(huì)返回步驟1重新獲取數(shù)據(jù)報(bào)文, 直到獲取不到數(shù)據(jù)報(bào)文時(shí)結(jié)束���。需要特別說(shuō)明的是����,步驟208是可選步驟���,在其他實(shí)施例中可以不執(zhí)行步驟 208�,由于步驟206和步驟207已經(jīng)進(jìn)行了公網(wǎng)IP和內(nèi)網(wǎng)IP的對(duì)應(yīng)存儲(chǔ)��,因此在需要計(jì)數(shù) 值時(shí)��,直接統(tǒng)計(jì)各公網(wǎng)IP所對(duì)應(yīng)的內(nèi)網(wǎng)IP數(shù)量即可����。在本發(fā)明實(shí)施例中,增加了判斷數(shù)據(jù)報(bào)文中是否含有內(nèi)網(wǎng)IP信息的步驟,使得 當(dāng)獲取到的數(shù)據(jù)報(bào)文沒(méi)有攜帶內(nèi)網(wǎng)IP信息時(shí)�,可以直接丟棄該數(shù)據(jù),節(jié)省計(jì)算機(jī)的運(yùn)算 量�����。同時(shí)����,本實(shí)施例也細(xì)化了統(tǒng)計(jì)同一公網(wǎng)下的不同客戶端數(shù)目的步驟,使得本發(fā)明的 技術(shù)方案更加完善��。由于不同的業(yè)務(wù)具有不同協(xié)議類型的數(shù)據(jù)報(bào)文��,不同數(shù)據(jù)報(bào)文的內(nèi)網(wǎng)IP信息表 現(xiàn)的形式和位于數(shù)據(jù)報(bào)文中的地方也不一樣�,所以需要使用有效的數(shù)據(jù)報(bào)文分析方法, 區(qū)分不同協(xié)議類型的數(shù)據(jù)報(bào)文�,并相應(yīng)的對(duì)不同協(xié)議類型的數(shù)據(jù)報(bào)文進(jìn)行定制分析,請(qǐng) 參閱圖3�����,本發(fā)明實(shí)施例中共享接入檢測(cè)方法的另一實(shí)施例包括301����、獲取數(shù)據(jù)報(bào)文�����;本實(shí)施例中的步驟301的內(nèi)容與前述圖1所示的實(shí)施例中步驟101的內(nèi)容相同����, 此處不再贅述�����。302����、使用DPI方法分析協(xié)議類型����;共享接入檢測(cè)裝置對(duì)接收到的數(shù)據(jù)報(bào)文進(jìn)行解封裝,使用DPI方法分析該數(shù)據(jù) 報(bào)文的協(xié)議類型�����,從該協(xié)議類型的數(shù)據(jù)報(bào)文中識(shí)別出相應(yīng)IP信息的表現(xiàn)形式��,然后�����,在本地預(yù)置的映射關(guān)系中查詢?cè)搮f(xié)議類型對(duì)應(yīng)的提取策略。該IP信息的表現(xiàn)形式包括沒(méi)有通過(guò)NAT設(shè)備進(jìn)行內(nèi)網(wǎng)IP地址和公網(wǎng)IP地址 之間相互轉(zhuǎn)換的形式�����,以及通過(guò)NAT設(shè)備進(jìn)行內(nèi)網(wǎng)IP地址和公網(wǎng)IP地址之間相互轉(zhuǎn)換的 形式����。在本實(shí)施例及其他實(shí)施例中,分析數(shù)據(jù)報(bào)文的協(xié)議類型���,可以采用普通的報(bào)文 檢測(cè)方法����,即通過(guò)分析網(wǎng)絡(luò)層的數(shù)據(jù)內(nèi)容���,包括源地址�、目的地址�����、源端口以及目的 端口��,可以是通過(guò)端口號(hào)來(lái)識(shí)別應(yīng)用類型的,如檢測(cè)到端口號(hào)為80時(shí)�����,則認(rèn)為該應(yīng)用代 表著普通上網(wǎng)應(yīng)用�����。在某些情況下��,也可以使用DPI檢測(cè)辦法�,因?yàn)楫?dāng)前網(wǎng)絡(luò)上的一些 非法應(yīng)用會(huì)采用隱藏或假 用層中的數(shù)據(jù)報(bào)文內(nèi)容進(jìn)行探測(cè)�����,從而確定數(shù)據(jù)報(bào)文的真正業(yè)務(wù) 應(yīng)用是什么��。雖然非法應(yīng)用可以隱藏端口號(hào)�,但目前卻難以隱藏應(yīng)用層的業(yè)務(wù)應(yīng)用內(nèi) 容。具體的DPI方法可以包括一���、基于應(yīng)用層特征的DPI檢測(cè)方法某些業(yè)務(wù)的控制流和業(yè)務(wù)流是分離的��,業(yè)務(wù)流沒(méi)有任何特征��,這種情況下�,我 們就可以采用應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)。應(yīng)用層網(wǎng)關(guān)需要先識(shí)別出控制流��,并根據(jù)控制流的 協(xié)議通過(guò)特定的應(yīng)用層網(wǎng)關(guān)對(duì)其進(jìn)行解析����,從協(xié)議內(nèi)容中識(shí)別出每一個(gè)協(xié)議對(duì)應(yīng)的業(yè)務(wù) 流,需要有不同的應(yīng)用層網(wǎng)關(guān)對(duì)其進(jìn)行分析���。如會(huì)話初始化協(xié)議(SIP����,Session Initiation Protocol) > H323協(xié)議都屬于這種類型����。SIP或H323協(xié)議通過(guò)信令交互過(guò)程,協(xié)商得到其 數(shù)據(jù)通道�,一般是實(shí)時(shí)傳輸協(xié)議(RTP,Realtime Transport Protocol)格式封裝的語(yǔ)音流����。 也就是說(shuō),純粹檢測(cè)RTP流并不能得出這條RTP流是那通過(guò)那種協(xié)議建立的����。只有通過(guò) 檢測(cè)SIP或H323的協(xié)議交互�����,才能得到其完整的分析��。二�、基于特征字的DPI檢測(cè)方法不同的應(yīng)用通常依賴于不同的協(xié)議���,而不同的協(xié)議都有其特殊的特征字��,這些 特征字可能是特定的端口�����、特定的字符串或者特定的Bit序列?��;谔卣髯值淖R(shí)別技術(shù)通 過(guò)對(duì)業(yè)務(wù)流中特定數(shù)據(jù)包中的特征字信息的檢測(cè)以確定業(yè)務(wù)流承載的應(yīng)用�����。根據(jù)具體檢測(cè)方式的不同��,基于特征字的識(shí)別技術(shù)又可以分為固定位置特征字 匹配����、變動(dòng)位置的特征匹配以及狀態(tài)特征匹配三種技術(shù)。通過(guò)對(duì)特征字信息的擴(kuò)展����,基 于特征字的識(shí)別技術(shù)可以很方便的進(jìn)行功能擴(kuò)展,實(shí)現(xiàn)對(duì)新協(xié)議的檢測(cè)���。如比特流 (Bittorrent)協(xié)議的識(shí)別�����,通過(guò)反向工程的方法對(duì)其對(duì)等協(xié)議進(jìn)行分析�����,該對(duì)等協(xié)議指的 是peer與peer之間交換信息的協(xié)議��。對(duì)等協(xié)議由一個(gè)握手開(kāi)始�����,后面是循環(huán)的消息流�����, 每個(gè)消息的前面����,都有一個(gè)數(shù)字來(lái)表示消息的長(zhǎng)度。在其握手過(guò)程中��,首先是先發(fā)送 19���,跟著是字符串 “BitTorrent protocol”���。那么 “ 19BitTorrent Protocol” 就是 Bittorrent 的特征字。三�����、基于行為模式識(shí)別的DPI方法�����;行為模式識(shí)別技術(shù)基于對(duì)終端已經(jīng)實(shí)施的行為的分析�����,判斷出用戶正在進(jìn)行的 動(dòng)作或者即將實(shí)施的動(dòng)作�。行為模式識(shí)別技術(shù)通常用于無(wú)法根據(jù)協(xié)議判斷業(yè)務(wù)的識(shí)別。 例如垃圾郵件(SPAM)業(yè)務(wù)流和普通的郵件(Email)業(yè)務(wù)流從Email的內(nèi)容上看是完全一致的����,只有通過(guò)對(duì)用戶行為的分析,才能夠準(zhǔn)確的識(shí)別出SPAM業(yè)務(wù)�。以上三種DPI識(shí)別技術(shù)分別用于不同類型協(xié)議的識(shí)別,無(wú)法相互替代�。303、判斷是否含有內(nèi)網(wǎng)IP信息�����;共享接入檢測(cè)裝置識(shí)別出該數(shù)據(jù)報(bào)文的IP信息表現(xiàn)形式之后���,判斷該協(xié)議類型的數(shù)據(jù)報(bào)文中是否含有內(nèi)網(wǎng)IP信息�;若沒(méi)有�,則丟棄該數(shù)據(jù)報(bào)文,不對(duì)其進(jìn)行處理�����;若有,則觸發(fā)步驟304���。304���、提取公網(wǎng)IP信息;在共享接入檢測(cè)裝置對(duì)該數(shù)據(jù)報(bào)文進(jìn)行解封裝后�����,共享接入檢測(cè)裝置在網(wǎng)絡(luò)層 源地址的字段中提取公網(wǎng)IP信息��。305��、提取內(nèi)網(wǎng)IP信息�����;共享接入檢測(cè)裝置根據(jù)該協(xié)議類型的提取策略��,在共享接入檢測(cè)裝置對(duì)該數(shù)據(jù) 報(bào)文進(jìn)行解封裝后����,在該數(shù)據(jù)報(bào)文應(yīng)用層中的固定偏移位獲取內(nèi)網(wǎng)IP信息。內(nèi)網(wǎng)IP信息的提取策略需要通過(guò)對(duì)該協(xié)議類型的特征進(jìn)行定制化分析得到���,主 要是檢測(cè)內(nèi)網(wǎng)IP信息在特定業(yè)務(wù)的數(shù)據(jù)報(bào)文中的固定偏移位�����,以視頻軟件PPTV為例首先要搭建內(nèi)網(wǎng)環(huán)境����,使得PPTV客戶端運(yùn)行在內(nèi)網(wǎng)IP的環(huán)境下���。在PPTV客 戶端產(chǎn)生流量時(shí)����,捕獲網(wǎng)絡(luò)交互中的數(shù)據(jù)報(bào)文�;獲知當(dāng)前本地計(jì)算機(jī)的內(nèi)網(wǎng)IP地址,假設(shè)為10.0.0.165�����,對(duì)應(yīng)的十六進(jìn)制為 Oa 00 00 a5��。解封裝捕獲到的數(shù)據(jù)報(bào)文��,在凈負(fù)荷中搜索內(nèi)網(wǎng)IP信息(10.0.0.165)的 關(guān)鍵字���,如“0x0a0000a5�,,��, “0xa500000a” 或者 “10.0.0.165”��,主要以字節(jié)序 或字符的形式進(jìn)行查找�,如果在某一字段中查找到上述三種關(guān)鍵字的其中一個(gè)(如
"0x0a0000a5"),并在重復(fù)多次查找中仍在該字段中出現(xiàn)“0x0a0000a5”���,就基本可以 確定該字段為內(nèi)網(wǎng)IP地址在PPTV數(shù)據(jù)報(bào)文中的固定偏移位���。內(nèi)網(wǎng)IP端口也可以使用上 述同樣的方法確定固定偏移位。在騰訊即時(shí)通信軟件的數(shù)據(jù)報(bào)文中�,內(nèi)網(wǎng)IP地址是以字符串的形式出現(xiàn)的, 如“10.0.0.165”�����,則在查找關(guān)鍵字的時(shí)候搜索“10.0.0.165”�。上述數(shù)據(jù)報(bào)文的定制化分析方法僅為一個(gè)例子,可以理解的是��,在實(shí)際應(yīng)用 中��,還可以使用其它方法進(jìn)行分析,此處具體不作限定����。306 309����、本實(shí)施例中的步驟306至309的內(nèi)容與前述圖2所示的實(shí)施例中205 至208的內(nèi)容相同,此處不再贅述�����。為了便于理解��,下面以一具體應(yīng)用場(chǎng)景對(duì)上述的實(shí)施例中描述的共享接入檢測(cè) 方法再進(jìn)行詳細(xì)描述�����,具體為共享接入檢測(cè)裝置捕獲到一組數(shù)據(jù)報(bào)文�,然后對(duì)該數(shù)據(jù)報(bào)文進(jìn)行解封裝,得到 包含不同信號(hào)特征的數(shù)據(jù)�。共享接入檢測(cè)裝置對(duì)該數(shù)據(jù)報(bào)文解封裝后的數(shù)據(jù)進(jìn)行分析,得到該IP信息的表 現(xiàn)形式為通過(guò)NAT設(shè)備進(jìn)行內(nèi)網(wǎng)IP地址和公網(wǎng)IP地址之間相互轉(zhuǎn)換的����;識(shí)別出數(shù)據(jù) 報(bào)文的業(yè)務(wù)應(yīng)用為視頻軟件PPTV�����,且選出與PPTV相對(duì)應(yīng)的內(nèi)網(wǎng)IP信息提取策略獲 取數(shù)據(jù)報(bào)文中應(yīng)用層的數(shù)據(jù)包����,在該應(yīng)用層數(shù)據(jù)包的第0030行的前四個(gè)字段中提取內(nèi)網(wǎng) IP地址�,在該應(yīng)用層數(shù)據(jù)包的第0030行的第七和第八個(gè)字段中提取內(nèi)網(wǎng)IP端口。
根據(jù)該IP信息的表現(xiàn)形式可以判斷該數(shù)據(jù)包為含有內(nèi)網(wǎng)IP信息的數(shù)據(jù)包���,因 此����,繼續(xù)提取該數(shù)據(jù)報(bào)文的公網(wǎng)IP信息(假設(shè)IP地址201.0.0.1����,端口 80),且根據(jù) PPTV的提取策略提取到內(nèi)網(wǎng)IP信息為IP地址Oa 00 00 a5 (即10.0.0.165)�����,端口 c7 0f(即 199 15)���。 該數(shù)據(jù)報(bào)文應(yīng)用層的部分?jǐn)?shù)據(jù)如下0000 Od 27 e6 77 12 20 58 la 5d 27 e7 74 d9 54 ce Oe0010 6f 81 aO al Ofed 97 4c af 29 29 e5 f4 e4 e6 570020 50 e2 ft 3f 16 7c 70 46 9b 74 42 3c 94 8e ee ed0030 Oa 00 00 a5 80 Oe c7 Of 70 5f 93 95 00 00 2a 9d0040 dd cl 08 56 00 00 26 23 19 00 05 00 05 09 00 010050 02 00 10 01 00 00 00 00 00 00 00 aa 2c 00 00 00在提取到公網(wǎng)IP信息(IP地址201.0.0.1��,端口 80)和內(nèi)網(wǎng)IP信息(IP地 址10.0.0.165����,端口 199 15)后,掃描本地公網(wǎng)IP信息存儲(chǔ)單元����,找到“IP地址 201.0.0.1���,端口 80”的參數(shù)組(假設(shè)本地存儲(chǔ)有該公網(wǎng)IP信息)����,在“IP地址 201.0.0.1�,端口 80” 的參數(shù)組中查找 “IP 地址10.0.0.165,端口 199 15”,假 設(shè)沒(méi)有查找到���,則在“IP地址201.0.0.1�����,端口 80”的參數(shù)組中存儲(chǔ)“IP地址 10.0.0.165�����,端口 199 15” 這組內(nèi)網(wǎng) IP 信息�,并將 “IP 地址201.0.0.1,端口 80” 的 內(nèi)網(wǎng)IP計(jì)數(shù)器的計(jì)數(shù)值加一�����,本次循環(huán)結(jié)束���。下面對(duì)用于執(zhí)行上述共享接入檢測(cè)方法的本發(fā)明共享接入檢測(cè)裝置的實(shí)施例 進(jìn)行說(shuō)明���,其邏輯結(jié)構(gòu)請(qǐng)參考圖4,本發(fā)明實(shí)施例中的共享接入檢測(cè)裝置一個(gè)實(shí)施例包 括獲取單元401�����,用于獲取客戶端發(fā)送的數(shù)據(jù)報(bào)文����;選擇單元402,用于分析該數(shù)據(jù)報(bào)文的協(xié)議類型��,并根據(jù)該協(xié)議類型選擇對(duì)應(yīng)的 提取策略���;提取單元403�,用于根據(jù)該提取策略提取數(shù)據(jù)報(bào)文的公網(wǎng)IP信息和內(nèi)網(wǎng)IP信 息;統(tǒng)計(jì)單元404�����,用于根據(jù)該公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息統(tǒng)計(jì)屬于同一公網(wǎng)下的不 同客戶端的數(shù)目��。本發(fā)明實(shí)施例的共享接入檢測(cè)裝置還可以包括第一判斷單元405�,用于判斷該協(xié)議類型的數(shù)據(jù)報(bào)文中是否含有內(nèi)網(wǎng)IP信息; 若沒(méi)有���,則觸發(fā)丟棄單元;若有����,則觸發(fā)提取單元;丟棄單元406�,用于丟棄該數(shù)據(jù)報(bào)文,不對(duì)該數(shù)據(jù)報(bào)文進(jìn)行處理�����。本發(fā)明實(shí)施例的共享接入檢測(cè)裝置的統(tǒng)計(jì)單元404還可以進(jìn)一步包括第二判斷單元4041�,用于判斷本地是否保存有相同的公網(wǎng)IP信息;若沒(méi)有,則 觸發(fā)存儲(chǔ)單元��;若有����,則觸發(fā)第三判斷單元;存儲(chǔ)單元4042���,用于存儲(chǔ)公網(wǎng)IP信息以及內(nèi)網(wǎng)IP信息�;第三判斷單元4043����,用于判斷本地是否保存有該公網(wǎng)IP信息下的內(nèi)網(wǎng)IP信息; 若有�,則觸發(fā)丟棄單元406;若沒(méi)有,則觸發(fā)存儲(chǔ)單元存儲(chǔ)該內(nèi)網(wǎng)IP信息��,并觸發(fā)內(nèi)網(wǎng) IP計(jì)數(shù)單元4044 ���;
內(nèi)網(wǎng)IP計(jì)數(shù)單元4044��,用于將對(duì)應(yīng)的公網(wǎng)IP信息下的內(nèi)網(wǎng)IP計(jì)數(shù)值加一����,更 新內(nèi)網(wǎng)IP計(jì)數(shù)器。本發(fā) 明實(shí)施例的共享接入檢測(cè)裝置的提取單元403還可以進(jìn)一步包括第一提取模塊4031��,用于提取數(shù)據(jù)報(bào)文中的公網(wǎng)IP信息���;獲取模塊4032��,用于獲取數(shù)據(jù)報(bào)文中含有內(nèi)網(wǎng)IP信息的數(shù)據(jù)包����;第二提取模塊4033���,用于根據(jù)該數(shù)據(jù)包中的固定偏移位提取內(nèi)網(wǎng)IP信息��,該固 定偏移位是對(duì)該協(xié)議類型的數(shù)據(jù)報(bào)文進(jìn)行定制化的內(nèi)網(wǎng)IP信息的檢測(cè)得到��。本發(fā)明實(shí)施例共享接入檢測(cè)裝置各個(gè)單元具體的交互過(guò)程如下獲取單元401獲取客戶端發(fā)送的數(shù)據(jù)報(bào)文,選擇單元402分析并得到該數(shù)據(jù)報(bào)文 的協(xié)議類型����,在本地預(yù)置的映射關(guān)系中選擇該協(xié)議類型對(duì)應(yīng)的提取策略。第一判斷單元405判斷該協(xié)議類型的數(shù)據(jù)報(bào)文中是否含有內(nèi)網(wǎng)IP信息�;若沒(méi) 有,則觸發(fā)丟棄單元406丟棄該數(shù)據(jù)報(bào)文��,不對(duì)該數(shù)據(jù)報(bào)文進(jìn)行處理;若有����,則觸發(fā)第 一提取模塊4031。第一提取模塊4031在數(shù)據(jù)報(bào)文進(jìn)行解封裝后�,在網(wǎng)絡(luò)層源地址的字段中提取公 網(wǎng)IP信息。獲取模塊4032在數(shù)據(jù)報(bào)文進(jìn)行解封裝后���,獲取含有內(nèi)網(wǎng)IP信息的應(yīng)用層數(shù) 據(jù)包��。第二提取模塊4033根據(jù)該應(yīng)用層數(shù)據(jù)包中的固定偏移位提取內(nèi)網(wǎng)IP信息�����,該固 定偏移位是對(duì)該協(xié)議類型的數(shù)據(jù)報(bào)文進(jìn)行定制化的內(nèi)網(wǎng)IP信息的檢測(cè)得到��。在提取到公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息后��,第二判斷單元4041對(duì)比當(dāng)前獲取到的和 本地存儲(chǔ)的公網(wǎng)IP信息���,判斷本地是否保存有相同的公網(wǎng)IP信息;若沒(méi)有�����,則觸發(fā)存儲(chǔ) 單元4042存儲(chǔ)當(dāng)前公網(wǎng)IP信息以及當(dāng)前公網(wǎng)IP信息下的內(nèi)網(wǎng)IP信息;若有�����,則觸發(fā)第 三判斷單元4043�。第三判斷單元4043對(duì)比當(dāng)前獲取到的和本地存儲(chǔ)的內(nèi)網(wǎng)IP信息,判斷本地是否 保存有當(dāng)前公網(wǎng)IP信息下相同的內(nèi)網(wǎng)IP信息��;若有�,則觸發(fā)丟棄單元406;若沒(méi)有,則 觸發(fā)存儲(chǔ)單元4042存儲(chǔ)當(dāng)前公網(wǎng)IP信息下的內(nèi)網(wǎng)IP信息���,并觸發(fā)內(nèi)網(wǎng)IP計(jì)數(shù)單元4044 將對(duì)應(yīng)的公網(wǎng)IP信息下的內(nèi)網(wǎng)IP計(jì)數(shù)值加一���,更新內(nèi)網(wǎng)IP計(jì)數(shù)器。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟是可以 通過(guò)程序來(lái)指令相關(guān)的硬件完成��,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中�����, 上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器��,磁盤或光盤等�����。以上對(duì)本發(fā)明所提供的一種共享接入檢測(cè)方法以及相關(guān)裝置進(jìn)行了詳細(xì)介紹���, 對(duì)于本領(lǐng)域的一般技術(shù)人員�,依據(jù)本發(fā)明實(shí)施例的思想����,在具體實(shí)施方式
及應(yīng)用范圍上 均會(huì)有改變之處,綜上所述�����,本說(shuō)明書(shū)內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制��。
權(quán)利要求
1.一種共享接入檢測(cè)方法�����,其特征在于���,包括 獲取客戶端發(fā)送的數(shù)據(jù)報(bào)文��;分析所述數(shù)據(jù)報(bào)文的協(xié)議類型�����,根據(jù)所述協(xié)議類型選擇對(duì)應(yīng)的提取策略���; 根據(jù)所述提取策略提取所述數(shù)據(jù)報(bào)文的公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息���; 根據(jù)所述公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息統(tǒng)計(jì)屬于同一公網(wǎng)下的不同客戶端的數(shù)目。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,所述根據(jù)協(xié)議類型選擇對(duì)應(yīng)的提取策略 之后包括判斷所述協(xié)議類型的數(shù)據(jù)報(bào)文中是否含有內(nèi)網(wǎng)IP信息���; 若沒(méi)有����,則不處理所述數(shù)據(jù)報(bào)文�����;若有����,則觸發(fā)根據(jù)所述協(xié)議類型提取所述數(shù)據(jù)報(bào)文的公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息的步驟。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述根據(jù)公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息統(tǒng) 計(jì)屬于同一公網(wǎng)下的不同客戶端的數(shù)目具體為判斷本地是否保存有相同的公網(wǎng)IP信息�����; 若沒(méi)有����,則存儲(chǔ)所述公網(wǎng)IP信息以及內(nèi)網(wǎng)IP信息;若有�����,則判斷本地是否保存有所述公網(wǎng)IP信息下相同的內(nèi)網(wǎng)IP信息�����,若有���,則不處 理所述數(shù)據(jù)報(bào)文�,若沒(méi)有,則存儲(chǔ)所述內(nèi)網(wǎng)IP信息����,并統(tǒng)計(jì)所述公網(wǎng)IP信息下的內(nèi)網(wǎng)IP信息數(shù)目。
4.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述分析數(shù)據(jù)報(bào)文的協(xié)議類型包括 通過(guò)深度報(bào)文解析DPI方法分析所述數(shù)據(jù)報(bào)文的協(xié)議類型����。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于�,所述深度報(bào)文解析DPI方法包括 基于應(yīng)用層特征的DPI檢測(cè)方法,基于特征字的DPI檢測(cè)方法或基于行為模式識(shí)別的DPI檢測(cè)方法��。
6.根據(jù)權(quán)利要求1至5任意一項(xiàng)所述的方法����,其特征在于,所述根據(jù)提取策略提取所 述數(shù)據(jù)報(bào)文的內(nèi)網(wǎng)IP信息包括對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行解封裝�,獲取含有內(nèi)網(wǎng)IP信息的數(shù)據(jù)包; 根據(jù)所述數(shù)據(jù)包中的固定偏移位提取內(nèi)網(wǎng)IP信息�����,所述固定偏移位是對(duì)所述協(xié)議類 型的數(shù)據(jù)報(bào)文進(jìn)行定制化內(nèi)網(wǎng)IP信息的檢測(cè)得到。
7.—種共享接入檢測(cè)裝置��,其特征在于����,包括 獲取單元����,用于獲取客戶端發(fā)送的數(shù)據(jù)報(bào)文;選擇單元���,用于分析所述數(shù)據(jù)報(bào)文的協(xié)議類型�,并根據(jù)所述協(xié)議類型選擇對(duì)應(yīng)的提 取策略�����;提取單元����,用于根據(jù)所述提取策略提取所述數(shù)據(jù)報(bào)文的公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息; 統(tǒng)計(jì)單元�,用于根據(jù)所述公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息統(tǒng)計(jì)屬于同一公網(wǎng)下的不同客戶 端的數(shù)目。
8.根據(jù)權(quán)利要求7所述的裝置���,其特征在于���,所述裝置還包括第一判斷單元���,用于判斷所述協(xié)議類型的數(shù)據(jù)報(bào)文中是否含有內(nèi)網(wǎng)IP信息;若沒(méi) 有���,則觸發(fā)丟棄單元�����;若有����,則觸發(fā)提取單元�����;丟棄單元����,用于丟棄所述數(shù)據(jù)報(bào)文,不對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行處理�����。
9.根據(jù)權(quán)利要求7或8所述的裝置,其特征在于�����,所述統(tǒng)計(jì)單元包括第二判斷單元��,用于判斷本地是否保存有相同的公網(wǎng)IP信息��;若沒(méi)有�����,則觸發(fā)存儲(chǔ) 單元��;若有����,則觸發(fā)第三判斷單元��;存儲(chǔ)單元���,用于存儲(chǔ)公網(wǎng)IP信息以及內(nèi)網(wǎng)IP信息�;第三判斷單元,用于判斷本地是否保存有所述公網(wǎng)IP信息下的內(nèi)網(wǎng)IP信息����;若有, 則觸發(fā)丟棄單元�;若沒(méi)有,則觸發(fā)存儲(chǔ)單元存儲(chǔ)所述內(nèi)網(wǎng)IP信息��,并觸發(fā)內(nèi)網(wǎng)IP計(jì)數(shù)單 元�;內(nèi)網(wǎng)IP計(jì)數(shù)單元,用于將對(duì)應(yīng)的公網(wǎng)IP信息下的內(nèi)網(wǎng)IP計(jì)數(shù)值加一�����。
10.根據(jù)權(quán)利要求9所述的裝置�,其特征在于,所述提取單元包括 第一提取模塊�,用于提取所述數(shù)據(jù)報(bào)文中的公網(wǎng)IP信息;獲取模塊��,用于獲取數(shù)據(jù)報(bào)文中含有內(nèi)網(wǎng)IP信息的數(shù)據(jù)包����; 第二提取模塊,用于根據(jù)所述數(shù)據(jù)包中的固定偏移位提取內(nèi)網(wǎng)IP信息�����,所述固定偏 移位是對(duì)所述協(xié)議類型的數(shù)據(jù)報(bào)文進(jìn)行定制化的內(nèi)網(wǎng)IP信息的檢測(cè)得到。
全文摘要
本發(fā)明實(shí)施例公開(kāi)了一種共享接入檢測(cè)方法以及相關(guān)裝置��,用于有效的檢測(cè)位于NAT設(shè)備之后處于活動(dòng)狀態(tài)的主機(jī)數(shù)目����。本發(fā)明實(shí)施例方法包括獲取客戶端發(fā)送的數(shù)據(jù)報(bào)文;分析所述數(shù)據(jù)報(bào)文的協(xié)議類型�����,并根據(jù)所述協(xié)議類型選擇對(duì)應(yīng)的提取策略�;根據(jù)所述提取策略提取所述數(shù)據(jù)報(bào)文的公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息����;根據(jù)所述公網(wǎng)IP信息和內(nèi)網(wǎng)IP信息統(tǒng)計(jì)屬于同一公網(wǎng)下的不同客戶端的數(shù)目。本發(fā)明實(shí)施例還提供了實(shí)現(xiàn)該方法的相關(guān)裝置�。
文檔編號(hào)H04L12/26GK102025567SQ20101058525
公開(kāi)日2011年4月20日 申請(qǐng)日期2010年12月13日 優(yōu)先權(quán)日2010年12月13日
發(fā)明者翟祥志, 鄧偉濤 申請(qǐng)人:成都市華為賽門鐵克科技有限公司