Web站电商劫持检测方法技术

本发明专利技术公开了一种Web站电商劫持检测方法，所述方法包括：步骤一、比较客户端与服务器之间的通信的数据包获取其中的TTL值是否一致；步骤二、如果所述TTL值一致则进入到步骤三，如果所述TTL数值不一致则判断为所述客户端与服务器之间的通信被劫持；步骤三、将所述数据包中的内容与所述被劫持查找表中的内容相比对，确定所述数据包在所述被劫持查找表中的分级；步骤四、根据所述分级来判断所述客户端与所述服务器之间的通信是否被劫持。通过上述方法兼顾了检测的速度和准确性。

Web station electricity supplier hijacking detection methods

The invention discloses a hijacking detection method of Web station electricity supplier, the method comprises the following steps: step one, comparison between the client and server communication data packet to obtain the value of TTL is consistent; step two, if the TTL value is consistent to step three, if the TTL numerical inconsistency judgment the communication between the client and the server is hijacked; step three, the content of the data packet and the hijacked in the lookup table of contents compared, determining that the data packet in the hijacked search classification table; step four, according to the classification to determine the communication between the the client and the server is hijacked. Through the method mentioned above, the speed and accuracy of the detection are taken into account.

【技术实现步骤摘要】
Web站电商劫持检测方法
本专利属于互联网
，具体而言涉及一种Web站电商劫持检测方法。
技术介绍
用户上网的正常情况下，在用户的客户端与其要访问的服务器经过网络协议协商后，二者之间建立了一条专用的数据通道，用户端程序在系统中开放指定网络端口用于接收数据报文，服务器端将全部数据按指定网络协议规则进行分解打包，形成连续数据报文。用户端接收到全部报文后，按照协议标准来解包组合获得完整的网络数据。其中传输过程中的每一个数据包都有特定的标签，表示其来源、携带的数据属性以及要到何处，所有的数据包经过网络路径中互联网服务提供商(ISP)的路由器传输接力后，最终到达目的地，也就是客户端。HTTP劫持是在使用者与其目的网络服务所建立的专用数据通道中，监视特定数据信息，提示当满足设定的条件时，就会在正常的数据流中插入精心设计的网络数据报文，目的是让用户端程序解释“错误”的数据，并以弹出新窗口的形式在使用者界面展示宣传性广告或者直接显示某网站的内容。HTTP劫持常见的现象为针对大流量网站的加小尾巴行为，如百度，hao123导航，360导航，百度知道，各大电商网站(淘宝，天猫，当当等)，HTTP的劫持出现的频率多变，针对不同的ip也会不同(断网之后再连接，也许劫持就暂时消失)，一定程度会造成错误的假象，用户可能会忽视该问题，由于其劫持过程非常快，只是经过某个IP后就快速的跳转，用户如果不注意地址栏的变化，根本不会注意到该问题的出现。HTTP劫持的原理：HTTP劫持发生在应用层，分为两大类，一类是涉及HTTP协议修改的，即“302重定向劫持”，另一类则是非涉及协议的，即“200ok劫持”，其中“302重定向劫持”又可细分为两种。(1)串接情况：即当客户端发送get请求包到服务器，劫持方直接进行劫持，这时劫持方会修改正常的反馈报文，即在location字段中修改，内容为希望被客户端访问的链接，之后发送到客户端，这时完成302重定向，同时还会发送RST到服务器端，来断开客户端与服务器的正常连接，从而避免服务器的二次响应，即避免客户端收到重复的响应。(2)并接情况：需要强调的是，由于劫持方设备与客户端设备在物理距离上一般比较近，所以它与客户端之间的传输速度会比服务器与客户端的传输速度快，于是当客户端发送get请求包时，劫持方会先于服务器嗅探到请求包，接下来发生的302重定向劫持方法与串接情况相同。所述HTTP200ok劫持：反馈给客户端的是正常的200ok报文，但是实际上已经修改了正常网页的内容，方法即在JavaScript里添加内容，如广告等。现有技术中，为了防止HTTP劫持通常采用访问HTTPS加密的方案，例如强制HTTP跳转HTTPS。HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版，用于安全的HTTP数据传输。通过HTTPS的传输即在地址栏输入形如“HTTPs://....”可以有效避免用户上网的HTTP劫持。但是该方案具有如下缺陷：(1)HTTPS目前尚未普及，只有百度主页等少数网站已部署。(2)HTTPS的部署涉及很多业务的修改，成本较高。
技术实现思路
本专利技术真是基于现有技术的上述需求而提出的，本专利技术要解决的技术问题是提供一种Web站电商劫持检测方法，所述方法针对在访问电商网站的用户，提供有效的http劫持检测技术，帮助用户鉴别真假网页内容，使用户能够察觉到自己在浏览电商网页时是否被http劫持。为了解决该问题，本专利提供的技术方案包括：一种Web站电商劫持检测方法，所述方法包括：步骤一、比较客户端与服务器之间的通信的数据包获取其中的TTL值是否一致；步骤二、如果所述TTL值一致则进入到步骤三，如果所述TTL数值不一致则判断为所述客户端与服务器之间的通信被劫持；步骤三、将所述数据包中的内容与所述被劫持查找表中的内容相比对，确定所述数据包在所述被劫持查找表中的分级；所述查找表是通过如下方法建立的:S001针对不同的网站，对反馈信息进行统计分析，并根据反馈信息的类型将其分入到不同的组中；S002对于这些分好的组，按照反馈信息的异常性进行优先级的划分排序，反馈信息越异常，反馈内容与访问的关联度越小，则优先级越大，即越被视为遭遇HTTP劫持；S003按照优先级的从高到低，从每组内进行取样，对于样本进行验证操作，确定被劫持的分级；步骤四、根据所述分级来判断所述客户端与所述服务器之间的通信是否被劫持。优选地，在S001中，对于不同的网站所返回的反馈信息分别进行统计分析，并根据预定的规则对所述数据包进行分组；所述预定的规则包括统计所述反馈信息中指向自身网站的链接数量、即对内链接数量，以及指向其他网站的链接数量、即对外链接数量；根据反馈信息的中对内、对外链接数量将反馈信息进行分组；在S002中，根据反馈信息的异常性进行排序包括基于统计的方式可以通过统计不同分组下的数量得出，将数量较大的分组列为小的优先级，将数量较小的分组列为较大的优先级；在S003中，对于每个分组的取样采用随机的方式来获得；对于样本进行验证操作包括首先保证验证环境没有被HTTP劫持的前提下，进行与客户端相同的访问操作，若存在差异则表明该用户或者该优先级下的分组被HTTP劫持。本专利通过设置上述方法首先检测TTL数值，对于利用所述TTL数值进行高效的筛查，当TTL数值检测正常时，进行基于统计的分析，保证了全面的劫持检测。因此兼顾了检测的速度和准确性。具体实施方式下面对本专利的具体实施方式进行详细说明，需要指出的是，该具体实施方式仅仅是对本专利保护范围的举例，并不能理解为对本专利保护范围的限制。本具体实施方式中提供了一种Web站电商劫持检测方法，所述方法包括如下步骤：步骤一、比较客户端与服务器之间的通信的数据包获取其中的TTL值是否一致TTL是IP包中的一个字段，为TimeToLive的缩写，是指其所属的IP包被路由器丢弃之前允许通过的最大网段数量。TTL代表的是IP数据包在计算机网络中可以转发的最大跳数。TTL字段由IP数据包的发送者设置，在IP数据包从源到目的的整个转发路径上，每经过一个路由器，路由器都会修改这个TTL字段值。例如，把该TTL的值减1，然后再将IP包转发出去。如果在IP包到达目的IP之前，TTL减少为0，路由器将会丢弃收到的TTL＝0的IP包并向IP包的发送者发送ICMPtimeexceeded消息。在正常的访问连接中，客户端发给服务器的IP包与服务器返回的IP包的信息应该是一致的，即其中的TTL的值是一样的，而在HTTP劫持发生的情况下，TTL的值就会改变，即IP包就会不同，基于此道理，我们通过技术手段，对于客户端与服务器之间的连接进行单独的分析比较，通过判断TTL值是否异常来检测用户上网是否遭遇HTTP劫持。步骤二、如果所述TTL值一致则进入到步骤三，如果所述TTL数值不一致则判断为所述客户端与服务器之间的通信被劫持。如步骤一中所分析的，当所述TTL数值不一致时，则代表所述客户端与服务器之间的通信被劫持了，因此在此情况下可直接判定所述通信被劫持。但是并非所有的劫持都会导致TTL数值不一致，在一些特意留意了TTL数值的劫持中，劫持方会刻意对TTL数值进行处理，因而TTL数值的一致与否只能是判断客户端与服务器之间通信被本文档来自技高网...

【技术保护点】
一种Web站电商劫持检测方法，其特征在于，所述方法包括：步骤一、比较客户端与服务器之间的通信的数据包获取其中的TTL值是否一致；步骤二、如果所述TTL值一致则进入到步骤三，如果所述TTL数值不一致则判断为所述客户端与服务器之间的通信被劫持；步骤三、将所述数据包中的内容与所述被劫持查找表中的内容相比对，确定所述数据包在所述被劫持查找表中的分级；所述查找表是通过如下方法建立的:S001针对不同的网站，对反馈信息进行统计分析，并根据反馈信息的类型将其分入到不同的组中；S002对于这些分好的组，按照反馈信息的异常性进行优先级的划分排序，反馈信息越异常，反馈内容与访问的关联度越小，则优先级越大，即越被视为遭遇HTTP劫持；S003按照优先级的从高到低，从每组内进行取样，对于样本进行验证操作，确定被劫持的分级；步骤四、根据所述分级来判断所述客户端与所述服务器之间的通信是否被劫持。

【技术特征摘要】
1.一种Web站电商劫持检测方法，其特征在于，所述方法包括：步骤一、比较客户端与服务器之间的通信的数据包获取其中的TTL值是否一致；步骤二、如果所述TTL值一致则进入到步骤三，如果所述TTL数值不一致则判断为所述客户端与服务器之间的通信被劫持；步骤三、将所述数据包中的内容与所述被劫持查找表中的内容相比对，确定所述数据包在所述被劫持查找表中的分级；所述查找表是通过如下方法建立的:S001针对不同的网站，对反馈信息进行统计分析，并根据反馈信息的类型将其分入到不同的组中；S002对于这些分好的组，按照反馈信息的异常性进行优先级的划分排序，反馈信息越异常，反馈内容与访问的关联度越小，则优先级越大，即越被视为遭遇HTTP劫持；S003按照优先级的从高到低，从每组内进行取样，对于样本进行验证操作，确定被劫持的分级；步骤四、根据所述分级...

【专利技术属性】
技术研发人员：张大炜，雷葆华，荆涛，曹俊，
申请(专利权)人：深圳汇网天下科技有限公司，
类型：发明
国别省市：广东,44