本发明专利技术公开了一种代理上网行为识别与检测方法,包括:初步处理网络中数据,在数据流出时,记录目的地址不在境内的IP,在数据流入时,记录源地址不在境内的IP;将数据流出时和数据流入时记录的IP保存在存储引擎中;储存引擎中的IP数据再提供给分析引擎,供分析引擎进行分析;将标识为可疑访问会话的数据流入方向的源地址加入到应用识别引擎中去进行应用识别;调用协议验证引擎进行协议验证,若验证出有协议为伪装协议,则判定境外IP为代理服务器访问会话或者判定境外IP为代理服务器访问会话的可疑度高。本发明专利技术方法能够精准地识别使用全局代理访问出口以外网站的用户及代理服务器。
【技术实现步骤摘要】
一种代理上网行为识别与检测方法
本专利技术涉及代理上网行为识别
,特别是一种代理上网行为识别与检测方法。
技术介绍
目前国际、国内反恐维稳任务艰巨,新技术新业务日益更新,传统的手段和方法已不能满足新形势下的工作。特别的,对于一些重要的地区,特殊敏感时期保障任务艰巨,责任重大,急需能够识别使用加密代理上网行为的技术或手段。当下使用新技术来对抗监管的手段越来越多,如Shadowsocks等强加密流量且流量无明显特征的代理软件来传递消息或者获取非法内容。但是每个人使用的电脑、手机上都安装了多个应用软件,如手机上基本人人都是用QQ、微信等APP。这些应用软件随时都会向服务器发送数据或者检查升级,如果在这些设备上使用了VPN全局代理或者Shadowsocks全局代理来躲避监管,那么上述软件的行为也将会通过这些通道返回到国内服务器中,因此,通过上述特征结合一定的手段可以精准地识别出使用代理的用户以及代理服务器。
技术实现思路
本专利技术所要解决的技术问题是提供一种代理上网行为识别与检测方法,能够精准地识别使用全局代理访问出口以外网站的用户及代理服务器。为解决上述技术问题,本专利技术采用的技术方案是:一种代理上网行为识别与检测方法,采用分流设备将网络中数据流量全流量镜像到捕包引擎中进行初步处理,即根据数据流入和数据流出分别应对不同的规则,在数据流出时,记录目的地址不在境内的IP,在数据流入时,记录源地址不在境内的IP;将数据流出时和数据流入时记录的IP保存在存储引擎中;储存引擎中的IP数据再提供给分析引擎,供分析引擎进行分析;所述分析引擎为一个时时运行的守护进程,其不停地扫描存储的IP数据并进行匹配,如果发现流出方向的数据源地址与目的地址在设定时间以内同流入方向的数据目的地址和源地址匹配,则将这个访问会话标识为可疑访问会话;将标识为可疑访问会话的数据流入方向的源地址加入到应用识别引擎中去进行应用识别;当应用识别引擎识别出目标IP开放的所有协议后,再调用协议验证引擎进行协议验证,若验证出有协议为伪装协议,则判定境外IP为代理服务器访问会话或者判定境外IP为代理服务器访问会话的可疑度高,若验证出有协议为真实协议,则判定境外IP为无代理服务器访问会话。进一步的,所述代理上网行为识别与检测方法采用C/S模式结构。进一步的,还包括后台结果展示,即采用B/S模式结构,基于轻量级WEB开发语言PHP开发,结合laravel或jquery框架形成展示系统。进一步的,在进行协议验证时,采用传统的网络安全端口扫描的方式识别开放的应用,并使用协议“真”识别的方式去验证开放的这些应用是否真实。进一步的,分析引擎进行分析时,设定时间为60秒。进一步的,所述传统的网络安全端口扫描采用的扫描工具为NMAP或MASSCAN。与现有技术相比,本专利技术的有益效果是:可以无需关注流量封装的具体内容,也可不关注流量是否加密即可精准地识别使用全局代理访问出口以外网站的用户及代理服务器。为了适应更多的协议验证,还可以采用开放式的开发设计,即任何人都可以根据规范编写验证插件,不需要改动系统程序结构。附图说明图1是本专利技术方法整体架构示意图。图2是本专利技术方法具体流程示意图。图3是采用本专利技术方法后的界面展示图。图4是PC的正常连网状态图。图5是正常连网时QQ显示图。图6是网络连接断开时状态图。图7是网络连接断开时QQ显示图。图8是采用本专利技术方法的实验系统图。图9是本专利技术中实验时捕获的最新数据的前五位。图10是本专利技术实验时得到的疑似代理服务器IP。图11是本专利技术实验时得到的开放的端口信息。图12是与图10中IP有过数据交互的信息的前五位。图13是本专利技术实验分析和验证结果。具体实施方式下面结合附图和具体实施方式对本专利技术作进一步详细的说明。若在需要管控地区出口处区分境内IP和境外IP,并将所有非常规的访问源IP和目的IP做一个异常列表并重点监控,在之后发现有异常列表中目的IP向国内服务器请求已知应用数据且目的IP并没有开放常见的应用服务的情况下,那么基本可以判断此种行为是代理行为。本专利技术方法采用前后端分离模式设计,前端采用B/S架构,后端采用C/S模式设计,整体架构如图1所示。后端C/S模式系统结构如下:分流设备将网络中数据流量全流量镜像到捕包引擎中进行初步处理,在这里将区分出数据流入和流出分别应对不同的规则,即:流出方向只记录目的地址不在境内的IP,流入方向的数据只记录源地址不再境内的IP,将这些数据记录并保存在存储引擎中供分析引擎进行分析,分析引擎为一个时时运行的守护进程,将不停地扫描存储的数据并进行匹配,如果发现流出方向的数据源地址与目的地址在60秒以内同流入方向的目的地址和源地址匹配,则将这个访问会话标识为高度可疑,并将流入方向的源地址(境外IP)加入到应用识别系统中去进行应用识别;当应用识别引擎识别出目标IP开放的所有协议后,为了保证数据的可靠性,将会在调用协议验证引擎进行协议验证,并最终判断结果。具体流程如图2所示。前端B/S模式系统结构如下:基于轻量级WEB开发语言PHP开发,结合热门的laravel、jquery等框架形成一个展示系统,主要将后台结果展示出来,主界面如图3所示。本专利技术方法的原理之一为:1)、用户设备上安装有多个国内的热门应用,如微信、QQ、微博、360杀毒等;2)、用户使用VPN上网后上述热门应用会自动重新连接服务器,而这些热门应用发起的连接请求均都回通过VPN服务器反连回来。本专利技术方法要收集常用热门APP的服务器IP。从国际IP分配机构获取属于中国IP,并做成一个KEY-VALUE的高效查询库用于查询,但是这种方式也有一定的缺陷如对于广播IP的方式则可能会发生误判。采用64位LINUX系统加libpacp库实现流量的高效提取和分析,分析传输中的源地址、目的地址、源端口和目的端口。经过实验这种方法在服务器配置:CPUXENE5-2609*2,内存2GB,千兆网卡的接入环境中可以实现实际传输50MB/S的流量捕获和分析。针对部分代理服务器可能开启了混淆和伪装的协议,本专利技术方法在研究中采用了传统的网络安全端口扫描的方式识别开放的应用,并使用协议“真”识别的方式去验证开放的这些应用是否真实,比如我SHADOWSOCKS开放的端口是443,则一般传统的应用识别会将此协议标注为HTTPS,而为了验证这个端口开放的协议是不是真的HTTPS,则验证引擎会模拟一个真实的HTTPS去请求服务器,如果是真实的HTTPS协议,则会对模拟的请求给出正确的反馈,如果是伪装的HTTPS协议,则不会反馈或给出错误的反馈。本专利技术方法为了适应更多的协议验证,则采用了开放式的开发设计,即任何人都可以根据规范编写验证插件,而不需要改动系统程序结构。经常使用手机或者PC都可以发现一个规律,当你网络环境改变后系统内安装的时时网络程序都会及时的重新连接服务器,这一点尤其是在腾讯QQ、微信等即时通信程序中最为常见。例如:a)正常连网的PC,安装腾讯QQ并登陆,如图4、图5所示,可以看到腾讯QQ正常连接状态。b)手动将网络连接断开,并开始计时,大约5秒后,腾讯QQ会自动下线(断开)。c)手动将网络连接上,并开始计时,大约5秒后,腾讯QQ会自动上线(连接上服务器)。当连接VPN或者全局代本文档来自技高网...
【技术保护点】
1.一种代理上网行为识别与检测方法,其特征在于,采用分流设备将网络中数据流量全流量镜像到捕包引擎中进行初步处理,即根据数据流入和数据流出分别应对不同的规则,在数据流出时,记录目的地址不在境内的IP,在数据流入时,记录源地址不在境内的IP;将数据流出时和数据流入时记录的IP保存在存储引擎中;储存引擎中的IP数据再提供给分析引擎,供分析引擎进行分析;所述分析引擎为一个时时运行的守护进程,其不停地扫描存储的IP数据并进行匹配,如果发现流出方向的数据源地址与目的地址在设定时间以内同流入方向的数据目的地址和源地址匹配,则将这个访问会话标识为可疑访问会话;将标识为可疑访问会话的数据流入方向的源地址加入到应用识别引擎中去进行应用识别;当应用识别引擎识别出目标IP开放的所有协议后,再调用协议验证引擎进行协议验证,若验证出有协议为伪装协议,则判定境外IP为代理服务器访问会话或者判定境外IP为代理服务器访问会话的可疑度高,若验证出有协议为真实协议,则判定境外IP为无代理服务器访问会话。
【技术特征摘要】
1.一种代理上网行为识别与检测方法,其特征在于,采用分流设备将网络中数据流量全流量镜像到捕包引擎中进行初步处理,即根据数据流入和数据流出分别应对不同的规则,在数据流出时,记录目的地址不在境内的IP,在数据流入时,记录源地址不在境内的IP;将数据流出时和数据流入时记录的IP保存在存储引擎中;储存引擎中的IP数据再提供给分析引擎,供分析引擎进行分析;所述分析引擎为一个时时运行的守护进程,其不停地扫描存储的IP数据并进行匹配,如果发现流出方向的数据源地址与目的地址在设定时间以内同流入方向的数据目的地址和源地址匹配,则将这个访问会话标识为可疑访问会话;将标识为可疑访问会话的数据流入方向的源地址加入到应用识别引擎中去进行应用识别;当应用识别引擎识别出目标IP开放的所有协议后,再调用协议验证引擎进行协议验证,若验证出有协议为伪装协议,则判定境外IP为代理服务器访问会话或者判定境外IP为代理服务器访问会话的可...
【专利技术属性】
技术研发人员:昝家玮,朱魏魏,张旭,李文佑,
申请(专利权)人:国家计算机网络与信息安全管理中心四川分中心,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。