本發(fā)明涉及網(wǎng)絡技術領域，具體涉及一種防止惡意監(jiān)測的方法及網(wǎng)關。

背景技術：

網(wǎng)絡中存在各式各樣的應用層協(xié)議，但都基于傳輸控制協(xié)議(Transmission Control Protocol，TCP)，惡意運營商在對用戶終端進行網(wǎng)絡監(jiān)測時都需要進行TCP狀態(tài)判斷，如果TCP三次握手已經(jīng)建立，則開始監(jiān)測，如果TCP傳輸結(jié)束，進行了TCP四次揮手，則停止監(jiān)測。

現(xiàn)有技術中用戶終端進行應用報文傳輸?shù)膱鼍叭鐖D1所示，用戶終端進行應用報文傳輸?shù)牧鞒倘缦虏襟E1至3：

1、用戶終端向網(wǎng)站服務器發(fā)起TCP三次握手過程，完成TCP三次握手后，用戶終端與網(wǎng)站服務器建立連接。

2、用戶終端對應用報文進行超文本傳輸協(xié)議(HyperText Transfer Protocol，HTTP)傳輸，直到應用報文傳輸結(jié)束。圖1中網(wǎng)關(例如家庭網(wǎng)關、企業(yè)網(wǎng)關)起到應用報文轉(zhuǎn)發(fā)的功能。

3、用戶終端向網(wǎng)站服務器發(fā)起TCP四次揮手過程，完成TCP四次揮手后，用戶終端與網(wǎng)站服務器終止連接。

惡意運營商通過監(jiān)測設備檢測用戶終端向網(wǎng)站服務器發(fā)起TCP三次握手過程的第一次握手時，即用戶終端發(fā)送的同步SYN請求報文時，會記錄源端口，源互聯(lián)網(wǎng)協(xié)議(Internet Protocol，IP)地址，目的端口以及目的IP地址及協(xié)議號(后續(xù)以五元組代替)，接著對第三次握手時用戶終端發(fā)送的確認ACK報文進行檢測，如果ACK報文對應的五元組與第一次握手時檢測的五元組的五元均匹配，即五元均相同，且SYN請求報文、ACK報文符合TCP三次握手的順序，則開始對用戶終端發(fā)送的應用報文監(jiān)測。

當監(jiān)測設備檢測到TCP四次揮手的第一次揮手時，即檢測到結(jié)束FIN報文，且該FIN報文對應的五元組與匹配到已記錄的五元組，則結(jié)束對用戶終端的監(jiān)測，刪除記錄的五元組。

可見，由于存在惡意監(jiān)測的現(xiàn)象，給用戶帶來安全隱患，例如隱私泄露等。

技術實現(xiàn)要素：

鑒于上述問題，本發(fā)明提出了克服上述問題的一種防止惡意監(jiān)測的方法及網(wǎng)關。

第一發(fā)明，本發(fā)明提出一種防止惡意監(jiān)測的方法，包括：

網(wǎng)關檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務器發(fā)送TCP四次揮手的第一次揮手報文；

所述網(wǎng)關在發(fā)送所述第一次揮手報文后，接收所述用戶終端發(fā)送的TCP三次握手的第三次握手報文，并將所述第三次握手報文轉(zhuǎn)發(fā)到所述網(wǎng)站服務器，以實現(xiàn)所述用戶終端與所述網(wǎng)站服務器的通信連接，防止惡意監(jiān)測。

可選的，所述網(wǎng)關檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務器發(fā)送TCP四次揮手的第一次揮手報文，包括：

所述網(wǎng)關檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，接收所述用戶終端發(fā)送的所述第一次揮手報文；

所述網(wǎng)關將所述第一揮手報文轉(zhuǎn)發(fā)到所述網(wǎng)站服務器。

可選的，所述網(wǎng)關檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務器發(fā)送TCP四次揮手的第一次揮手報文，包括：

所述網(wǎng)關基于所述用戶終端發(fā)送的第一次握手報文，獲取所述用戶終端與所述網(wǎng)站服務器的通信信息；

所述網(wǎng)關基于所述通信信息，生成所述第一次揮手報文；

所述網(wǎng)關檢測到所述用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務器發(fā)送所述第一次揮手報文。

可選的，所述通信信息包括：源端口、源IP地址、目的端口、目的IP地址及協(xié)議號。

第二方面，本發(fā)明還提出一種網(wǎng)關，包括：

第一通信單元，用于在檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務器發(fā)送TCP四次揮手的第一次揮手報文；

第二通信單元，用于在所述第一通信單元發(fā)送所述第一次揮手報文后，接收所述用戶終端發(fā)送的TCP三次握手的第三次握手報文，并將所述第三次握手報文轉(zhuǎn)發(fā)到所述網(wǎng)站服務器，以實現(xiàn)所述用戶終端與所述網(wǎng)站服務器的通信連接，防止惡意監(jiān)測。

可選的，所述第一通信單元，用于在檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，接收所述用戶終端發(fā)送的所述第一次揮手報文；將所述第一揮手報文轉(zhuǎn)發(fā)到所述網(wǎng)站服務器。

可選的，所述第一通信單元，用于基于所述用戶終端發(fā)送的第一次握手報文，獲取所述用戶終端與所述網(wǎng)站服務器的通信信息；基于所述通信信息，生成所述第一次揮手報文；在檢測到所述用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務器發(fā)送所述第一次揮手報文。

可選的，所述通信信息包括：源端口、源IP地址、目的端口、目的IP地址及協(xié)議號。

相比于現(xiàn)有技術，本發(fā)明提出的防止惡意監(jiān)測的方法及網(wǎng)關，通過調(diào)整TCP報文的順序，使惡意運營商的監(jiān)測設備無法確定TCP三次握手過程完成，從而防止惡意監(jiān)測，確保了用戶終端的網(wǎng)絡通信安全，降低了網(wǎng)絡信息的泄露風險。

附圖說明

圖1為現(xiàn)有技術中用戶終端進行應用報文傳輸?shù)膱鼍笆疽鈭D；

圖2為本發(fā)明第一實施例提供的一種防止惡意監(jiān)測的方法流程圖；

圖3為本發(fā)明第二實施例提供的一種網(wǎng)關結(jié)構(gòu)示意圖。

具體實施方式

為使本發(fā)明實施例的目的、技術方案和優(yōu)點更加清楚，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚地描述，顯然，所描述的實施例是本發(fā)明一部分實施例，而不是全部的實施例。

需要說明的是，本文中提及的用戶終端可以包括任何類型的設備，諸如手持式計算機、個人數(shù)字助理PDA、網(wǎng)絡家電、智能電視、智能手機、平板電腦、筆記本電腦、掌上游戲機、智能手表、媒體播放器或者這些數(shù)據(jù)處理設備或其他數(shù)據(jù)處理設備中的任何兩個或多個的組合。

需要說明的是，在本文中，“第一”和“第二”僅僅用來將相同的名稱區(qū)分開來，而不是暗示這些名稱之間的關系或者順序。

如圖2所示，本實施例公開一種防止惡意監(jiān)測的方法，該方法的執(zhí)行主體為網(wǎng)關，網(wǎng)關包括家庭網(wǎng)關，企業(yè)網(wǎng)關等非運營商網(wǎng)關。所述方法可包括以下步驟201和202：

201、網(wǎng)關檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務器發(fā)送TCP四次揮手的第一次揮手報文。

本實施例中，網(wǎng)關可以通過檢測第一次握手報文(即用戶終端發(fā)送的SYN報文)以及第二次握手報文(即網(wǎng)站服務器發(fā)送的SYN+ACK報文)來確定用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手。

本實施例中，網(wǎng)關向網(wǎng)站服務器發(fā)送的TCP四次揮手的第一次揮手報文(即FIN報文)，該報文用于指示用戶終端向網(wǎng)站服務器發(fā)起用于結(jié)束會話的TCP四次揮手過程。

本實施例中，由于所述第一次揮手報文先于TCP三次握手的第三次握手報文(即ACK報文)發(fā)送，所以惡意運營商的監(jiān)測設備先檢測到第一次揮手報文，監(jiān)測設備會認為會話結(jié)束，因此不會對用戶設備進行監(jiān)測。

202、所述網(wǎng)關在發(fā)送所述第一次揮手報文后，接收所述用戶終端發(fā)送的TCP三次握手的第三次握手報文，并將所述第三次握手報文轉(zhuǎn)發(fā)到所述網(wǎng)站服務器，以實現(xiàn)所述用戶終端與所述網(wǎng)站服務器的通信連接，防止惡意監(jiān)測。

本實施例中，網(wǎng)站服務器應該先收到第三次握手報文，但實際先收到了第一次揮手報文，由于不符合標準的TCP會話流程，因此，網(wǎng)站服務器會第一次揮手報文丟棄，等接收到第三次握手報文后開始與用戶終端會話。

可見，相比于現(xiàn)有技術，本實施例公開的防止惡意監(jiān)測的方法，通過調(diào)整TCP報文的順序，使惡意運營商的監(jiān)測設備無法確定TCP三次握手過程完成，從而防止惡意監(jiān)測，確保了用戶終端的網(wǎng)絡通信安全，降低了網(wǎng)絡信息的泄露風險。

在一個具體的例子中，給出圖2所示的步驟201：“網(wǎng)關檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務器發(fā)送TCP四次揮手的第一次揮手報文”的一種優(yōu)選實施方式，具體為：

所述網(wǎng)關檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，接收所述用戶終端發(fā)送的所述第一次揮手報文；所述網(wǎng)關將所述第一揮手報文轉(zhuǎn)發(fā)到所述網(wǎng)站服務器。

本實施例中，網(wǎng)關向網(wǎng)站服務器發(fā)送的第一次揮手報文為網(wǎng)關接收到的用戶終端發(fā)送的第一次揮手報文。

當然，為了使用戶終端在完成前兩次握手后，先發(fā)送第一次揮手報文，可預先在用戶終端設置控制器，控制器實現(xiàn)對TCP三次握手的監(jiān)控以及發(fā)送第一次揮手報文的時機選擇。

當然，為了使用戶終端在完成前兩次握手后，先發(fā)送第一次揮手報文，網(wǎng)關可在檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，先向用戶終端發(fā)送第一揮手報文請求消息，以使用戶終端向網(wǎng)關發(fā)送第一揮手報文。

在一個具體的例子中，給出圖2所示的步驟201：“網(wǎng)關檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務器發(fā)送TCP四次揮手的第一次揮手報文”的一種優(yōu)選實施方式，具體包括圖2中未示出的步驟2011～2013：

2011、所述網(wǎng)關基于所述用戶終端發(fā)送的第一次握手報文，獲取所述用戶終端與所述網(wǎng)站服務器的通信信息。

2012、所述網(wǎng)關基于所述通信信息，生成所述第一次揮手報文；

2013、所述網(wǎng)關檢測到所述用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務器發(fā)送所述第一次揮手報文。

相比上一個例子，本實施例中，第一次揮手報文并非由用戶終端發(fā)送，而是由網(wǎng)關自身生成。

網(wǎng)關基于用戶終端發(fā)送的第一次握手報文，生成所述第一次揮手報文。具體為，基于用戶終端發(fā)送的第一次握手報文，獲取所述用戶終端與所述網(wǎng)站服務器的通信信息；基于通信信息，生成第一次揮手報文。

本實施例中，所述通信信息包括：源端口、源IP地址、目的端口、目的IP地址及協(xié)議號。

如圖3所示，本實施例公開一種網(wǎng)關，包括家庭網(wǎng)關，企業(yè)網(wǎng)關等非運營商網(wǎng)關，具體可包括以下單元：第一通信單元31和第二通信單元32。各單元具體說明如下：

第一通信單元31，用于在檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務器發(fā)送TCP四次揮手的第一次揮手報文。

第二通信單元32，用于在所述第一通信單元31發(fā)送所述第一次揮手報文后，接收所述用戶終端發(fā)送的TCP三次握手的第三次握手報文，并將所述第三次握手報文轉(zhuǎn)發(fā)到所述網(wǎng)站服務器，以實現(xiàn)所述用戶終端與所述網(wǎng)站服務器的通信連接，防止惡意監(jiān)測。

本實施例公開的網(wǎng)關，可實現(xiàn)圖2所示的防止惡意監(jiān)測的方法流程，因此，本實施例中的網(wǎng)關的效果及說明可參見圖2所示的方法實施例，在此不再贅述。

在一個具體的例子中，所述第一通信單元31，用于在檢測到用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，接收所述用戶終端發(fā)送的所述第一次揮手報文；將所述第一揮手報文轉(zhuǎn)發(fā)到所述網(wǎng)站服務器。

在一個具體的例子中，所述第一通信單元31，用于基于所述用戶終端發(fā)送的第一次握手報文，獲取所述用戶終端與所述網(wǎng)站服務器的通信信息；基于所述通信信息，生成所述第一次揮手報文；在檢測到所述用戶終端與網(wǎng)站服務器完成TCP三次握手的前兩次握手后，向所述網(wǎng)站服務器發(fā)送所述第一次揮手報文。

在一個具體的例子中，所述通信信息包括：源端口、源IP地址、目的端口、目的IP地址及協(xié)議號。

本領域技術人員可以理解，可以把實施例中的各單元組合成一個單元，以及此外可以把它們分成多個子單元。除了這樣的特征和/或過程或者單元中的至少一些是互相排斥之處，可以采用任何組合對本說明書中公開的所有特征以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述，本說明書中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。

本領域的技術人員能夠理解，盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征，但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。

本領域技術人員可以理解，實施例中的各單元可以以硬件實現(xiàn)，或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn)，或者以它們的組合實現(xiàn)。本領域的技術人員應當理解，可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設備或者裝置程序(例如，計算機程序和計算機程序產(chǎn)品)。

雖然結(jié)合附圖描述了本發(fā)明的實施方式，但是本領域技術人員可以在不脫離本發(fā)明的精神和范圍的情況下做出各種修改和變型，這樣的修改和變型均落入由所附權(quán)利要求所限定的范圍之內(nèi)。