本發(fā)明涉及網(wǎng)絡(luò)共享設(shè)備檢測(cè)方法及系統(tǒng)，尤其是基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)方法及系統(tǒng)。

背景技術(shù)：

企業(yè)為了保證網(wǎng)絡(luò)安全，往往會(huì)對(duì)員工的網(wǎng)絡(luò)訪問做限制；但是一些員工會(huì)通過私接網(wǎng)絡(luò)共享設(shè)備(隨身WiFi、無線路由器等)來滿足移動(dòng)設(shè)備的無線上網(wǎng)需求，這會(huì)給企業(yè)網(wǎng)絡(luò)帶來較大的安全隱患。

目前對(duì)網(wǎng)絡(luò)共享設(shè)備的檢測(cè)方法有IP_ID檢測(cè)法、TTL檢測(cè)法、TCP指紋檢測(cè)法和TCP時(shí)間戳檢測(cè)法。

1、IP_ID檢測(cè)法

基本原理：同一Windows主機(jī)發(fā)出的IP報(bào)文中的ID字段是連續(xù)變化的(呈遞增趨勢(shì))，如果在一段時(shí)間內(nèi)檢測(cè)到某個(gè)設(shè)備出現(xiàn)不同的ID序列，則可以判定該設(shè)備為網(wǎng)絡(luò)共享設(shè)備。

不足之處：在新的Windows系統(tǒng)(Windows 8及Windows 10)上，IP報(bào)文中的ID字段已不存在這種規(guī)律。

2、TTL檢測(cè)法

基本原理：TTL(Time To Live)是IP報(bào)文中的一個(gè)字段，每當(dāng)IP報(bào)文經(jīng)過一個(gè)路由設(shè)備，TTL值就會(huì)減小1。如果檢測(cè)到某個(gè)設(shè)備的報(bào)文存在多個(gè)TTL值，則可以判定該設(shè)備為網(wǎng)絡(luò)共享設(shè)備。

不足之處：現(xiàn)在很多網(wǎng)絡(luò)共享設(shè)備已經(jīng)實(shí)現(xiàn)了反TTL檢測(cè)，IP報(bào)文經(jīng)過設(shè)備后，TTL不會(huì)被改變。

3、TCP指紋檢測(cè)法

基本原理：各個(gè)操作系統(tǒng)、各個(gè)時(shí)期的版本對(duì)于同樣的通訊規(guī)范的實(shí)現(xiàn)有相當(dāng)多的不同之處，這其中最明顯的差異來自于TCP參數(shù)和選項(xiàng)的選擇；通過TCP起始窗口大小、起始TTL、擴(kuò)展選項(xiàng)與順序等作為TCP指紋可以來檢測(cè)操作系統(tǒng)類型。如果檢測(cè)到某個(gè)設(shè)備包含多種操作系統(tǒng)，則可以判定該設(shè)備為網(wǎng)絡(luò)共享設(shè)備。

不足之處：由于很多操作系統(tǒng)的TCP指紋有較多相近之處，這種技術(shù)的判別精度始終是個(gè)問題。

4、TCP時(shí)間戳檢測(cè)法

基本原理：實(shí)時(shí)獲取同一IP發(fā)送的相鄰兩個(gè)TCP報(bào)文的系統(tǒng)時(shí)間及時(shí)間戳信息。根據(jù)設(shè)定的常量及算法判定這兩個(gè)報(bào)文是否是兩臺(tái)主機(jī)發(fā)出的，如果判定是兩臺(tái)主機(jī)，則可以判定該設(shè)備為網(wǎng)絡(luò)共享設(shè)備。

不足之處：目前大部分操作系統(tǒng)默認(rèn)都是不開啟TCP時(shí)間戳的，有些文章描述了可以動(dòng)態(tài)開啟的方法，但是已經(jīng)不適用于現(xiàn)在常見的操作系統(tǒng)。

同時(shí)，隨著終端系統(tǒng)不斷升級(jí)以及網(wǎng)絡(luò)共享設(shè)備具有反檢測(cè)技術(shù)，目前對(duì)網(wǎng)絡(luò)共享設(shè)備的檢測(cè)方法已經(jīng)不能滿足需求。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的就是為了解決現(xiàn)有技術(shù)中存在的上述問題，提供一種基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)方法及系統(tǒng)。

本發(fā)明的目的將通過以下技術(shù)方案得以實(shí)現(xiàn)：

基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)方法，包括如下步驟：

S1，信息采集步驟：通過深度報(bào)文檢測(cè)技術(shù)檢測(cè)若干終端設(shè)備中安裝的應(yīng)用軟件發(fā)給服務(wù)器的請(qǐng)求數(shù)據(jù)，并識(shí)別出請(qǐng)求數(shù)據(jù)中包含的所在終端設(shè)備的操作系統(tǒng)類型和/或設(shè)備型號(hào)信息；

S2，判斷步驟：根據(jù)各種應(yīng)用軟件通過某一設(shè)備在一段時(shí)間內(nèi)發(fā)送的請(qǐng)求數(shù)據(jù)中的設(shè)備操作系統(tǒng)類型和/或設(shè)備型號(hào)的數(shù)量，從而判斷是否存在網(wǎng)絡(luò)共享設(shè)備。

優(yōu)選的，所述的基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)方法，其中：所述S1，信息采集步驟包括如下過程：

S11，分析若干應(yīng)用軟件的請(qǐng)求信息，并提取特征字段，然后根據(jù)分析結(jié)果生成特征庫；

S12，通過深度報(bào)文解析技術(shù)，對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行分析并得到應(yīng)用協(xié)議信息，在特征庫中查找匹配應(yīng)用協(xié)議的特征規(guī)則，然后通過規(guī)則中的正則表達(dá)式去獲取特定字段中的值,根據(jù)規(guī)則中的描述來確定該值是否是終端設(shè)備的操作系統(tǒng)類型或設(shè)備型號(hào)信息。

優(yōu)選的，所述的基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)方法，其中：在所述S2，判斷步驟中：

當(dāng)通過深度報(bào)文檢測(cè)技術(shù)分析出各種應(yīng)用軟件通過某一設(shè)備在一段時(shí)間內(nèi)發(fā)送的請(qǐng)求數(shù)據(jù)中包括至少兩個(gè)操作系統(tǒng)類型或至少兩個(gè)操作系統(tǒng)版本，則判定所述設(shè)備為網(wǎng)絡(luò)共享設(shè)備；和/或

當(dāng)通過深度報(bào)文檢測(cè)技術(shù)分析出各種應(yīng)用軟件通過某一設(shè)備在一段時(shí)間內(nèi)發(fā)送的請(qǐng)求數(shù)據(jù)中包括至少兩個(gè)品牌的終端設(shè)備或是至少兩個(gè)設(shè)備型號(hào)，則判定該所述設(shè)備為網(wǎng)絡(luò)共享設(shè)備。

優(yōu)選的，所述的基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)方法，其中：當(dāng)判斷存在網(wǎng)絡(luò)共享設(shè)備時(shí)，對(duì)網(wǎng)絡(luò)共享設(shè)備進(jìn)行斷網(wǎng)并通知網(wǎng)絡(luò)管理員或在對(duì)網(wǎng)絡(luò)共享設(shè)備進(jìn)行斷網(wǎng)后，并在移除所述網(wǎng)絡(luò)共享設(shè)備且等待設(shè)定時(shí)間后，使網(wǎng)絡(luò)自動(dòng)恢復(fù)正常。

優(yōu)選的，所述的基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)方法，其中：還包括S4，識(shí)別步驟，識(shí)別是否存在安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備，當(dāng)判斷存在安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備且在S2，判斷步驟中識(shí)別存在網(wǎng)絡(luò)共享設(shè)備時(shí)，判斷識(shí)別出的網(wǎng)絡(luò)共享設(shè)備是否是安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備，如是，則對(duì)該設(shè)備不做處理。

優(yōu)選的，所述的基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)方法，其中：還包括S5，預(yù)設(shè)置步驟：當(dāng)企業(yè)中存在安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備時(shí)，將安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備通過黑/白名單方式進(jìn)行配置，使該設(shè)備不會(huì)被斷網(wǎng)。

基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)系統(tǒng)，包括

信息采集單元，用于通過深度報(bào)文檢測(cè)技術(shù)檢測(cè)若干終端設(shè)備中安裝的應(yīng)用軟件發(fā)給服務(wù)器的請(qǐng)求數(shù)據(jù)，并識(shí)別出請(qǐng)求數(shù)據(jù)中包含的所在終端設(shè)備的操作系統(tǒng)類型和/或設(shè)備型號(hào)信息；

判斷單元，用于根據(jù)各種應(yīng)用軟件通過某一設(shè)備在一段時(shí)間內(nèi)發(fā)送的請(qǐng)求數(shù)據(jù)中的設(shè)備操作系統(tǒng)類型和/或設(shè)備型號(hào)的數(shù)量，從而判斷是否存在網(wǎng)絡(luò)共享設(shè)備。

優(yōu)選的，所述的基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)系統(tǒng)，其中：還包括處理單元，用于當(dāng)判斷存在網(wǎng)絡(luò)共享設(shè)備時(shí)，對(duì)網(wǎng)絡(luò)共享設(shè)備進(jìn)行斷網(wǎng)并通知網(wǎng)絡(luò)管理員或在對(duì)網(wǎng)絡(luò)共享設(shè)備進(jìn)行斷網(wǎng)后，并在移除所述網(wǎng)絡(luò)共享設(shè)備并等待設(shè)定時(shí)間后，使網(wǎng)絡(luò)自動(dòng)恢復(fù)正常。

優(yōu)選的，所述的基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)系統(tǒng)，其中：還包括識(shí)別單元，用于識(shí)別是否存在安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備，當(dāng)判斷存在安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備且在判斷單元識(shí)別存在網(wǎng)絡(luò)共享設(shè)備時(shí)，判斷識(shí)別出的網(wǎng)絡(luò)共享設(shè)備是否是安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備，如是，則對(duì)該設(shè)備不做處理。

優(yōu)選的，所述的基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)系統(tǒng)，其中：還包括預(yù)設(shè)置單元，用于當(dāng)企業(yè)中存在安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備時(shí)，將安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備通過黑/白名單方式進(jìn)行配置，使該設(shè)備不會(huì)被斷網(wǎng)。

本發(fā)明技術(shù)方案的優(yōu)點(diǎn)主要體現(xiàn)在：

本發(fā)明的網(wǎng)絡(luò)共享設(shè)備檢測(cè)方法是直接獲取終端設(shè)備信息和/或設(shè)備操作系統(tǒng)信息來進(jìn)行判斷，并且本方法和操作系統(tǒng)本身特性無關(guān)，同時(shí)目前還沒有相應(yīng)的反檢測(cè)技術(shù)，因此檢測(cè)準(zhǔn)確性大大提高，并且通過設(shè)置自動(dòng)的處理方法，能夠及時(shí)、有效的對(duì)檢測(cè)出的網(wǎng)絡(luò)共享設(shè)備進(jìn)行處理，降低了風(fēng)險(xiǎn)產(chǎn)生的概率。

通過對(duì)特殊情況，即安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備的設(shè)置，能夠有效規(guī)避特殊情況對(duì)識(shí)別精度的干擾，從而進(jìn)一步提高識(shí)別的準(zhǔn)確性。

具體實(shí)施方式

本發(fā)明揭示的基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)系統(tǒng)，包括

信息采集單元，用于通過深度報(bào)文檢測(cè)技術(shù)檢測(cè)若干終端設(shè)備中安裝的應(yīng)用軟件發(fā)給服務(wù)器的請(qǐng)求數(shù)據(jù)，并識(shí)別出請(qǐng)求數(shù)據(jù)中包含的所在終端設(shè)備的操作系統(tǒng)類型和/或設(shè)備型號(hào)信息；

判斷單元，用于根據(jù)各種應(yīng)用軟件通過某一設(shè)備在一段時(shí)間內(nèi)發(fā)送的請(qǐng)求數(shù)據(jù)中的設(shè)備操作系統(tǒng)類型和/或設(shè)備型號(hào)的數(shù)量，從而判斷是否存在網(wǎng)絡(luò)共享設(shè)備；

以及處理單元，用于當(dāng)判斷存在網(wǎng)絡(luò)共享設(shè)備時(shí)，對(duì)網(wǎng)絡(luò)共享設(shè)備進(jìn)行斷網(wǎng)并通知網(wǎng)絡(luò)管理員或在對(duì)網(wǎng)絡(luò)共享設(shè)備進(jìn)行斷網(wǎng)后，并在移除所述網(wǎng)絡(luò)共享設(shè)備并等待設(shè)定時(shí)間后，使網(wǎng)絡(luò)自動(dòng)恢復(fù)正常。

進(jìn)一步，所述基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)系統(tǒng)還包括識(shí)別單元，用于識(shí)別是否存在安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備，當(dāng)判斷存在安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備且在判斷單元識(shí)別存在網(wǎng)絡(luò)共享設(shè)備時(shí)，判斷識(shí)別出的網(wǎng)絡(luò)共享設(shè)備是否是安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備，如是，則對(duì)該設(shè)備不做處理。

更進(jìn)一步，所述的基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)系統(tǒng)還包括預(yù)設(shè)置單元，用于當(dāng)企業(yè)中存在安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備時(shí)，將安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備通過黑/白名單方式進(jìn)行配置，使該設(shè)備不會(huì)被斷網(wǎng)，當(dāng)然也可以采用其他可行的方式進(jìn)行配置，使該設(shè)備不會(huì)被斷網(wǎng)。

采用上述的基于DPI技術(shù)的網(wǎng)絡(luò)共享設(shè)備檢測(cè)系統(tǒng)，其工作過程如下：

S1，信息采集步驟：通過深度報(bào)文檢測(cè)技術(shù)檢測(cè)若干終端設(shè)備中安裝的應(yīng)用軟件發(fā)給服務(wù)器的請(qǐng)求數(shù)據(jù)，并識(shí)別出請(qǐng)求數(shù)據(jù)中包含的所在終端設(shè)備的操作系統(tǒng)類型和/或設(shè)備型號(hào)信息。

詳細(xì)的，所述S1，信息采集步驟包括如下過程：

S11，分析若干應(yīng)用軟件的請(qǐng)求信息，并提取特征字段，然后根據(jù)分析結(jié)果生成特征庫；

S12，通過深度報(bào)文解析技術(shù)，對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行分析并得到應(yīng)用協(xié)議信息，在特征庫中查找匹配應(yīng)用協(xié)議的特征規(guī)則，然后通過規(guī)則中的正則表達(dá)式去獲取特定字段(如HTTP頭部的User-Agent字段及HTTP Payload部分等)中的值,根據(jù)規(guī)則中的描述來確定該值是否是終端設(shè)備的操作系統(tǒng)類型或設(shè)備型號(hào)信息。

S2，判斷步驟：根據(jù)各種應(yīng)用軟件通過某一設(shè)備在一段時(shí)間內(nèi)發(fā)送的請(qǐng)求數(shù)據(jù)中的設(shè)備操作系統(tǒng)類型和/或設(shè)備型號(hào)的數(shù)量，從而判斷是否存在網(wǎng)絡(luò)共享設(shè)備。

詳細(xì)的，在上述判斷過程中：

由于所述的設(shè)備在網(wǎng)絡(luò)層的表現(xiàn)形式為一個(gè)IP地址，如果設(shè)備為網(wǎng)絡(luò)共享設(shè)備，那么此IP地址就會(huì)被多臺(tái)設(shè)備共享使用，所以就可能看到多種操作系統(tǒng)類型或操作系統(tǒng)版本，而常見的操作系統(tǒng)有Windows、iOS、Android、Linux等，每種操作系統(tǒng)又有很多個(gè)版本，因此，當(dāng)通過深度報(bào)文檢測(cè)技術(shù)分析出各種應(yīng)用軟件通過某一設(shè)備在一段時(shí)間內(nèi)發(fā)送的請(qǐng)求數(shù)據(jù)中包括至少兩個(gè)操作系統(tǒng)類型或至少兩個(gè)操作系統(tǒng)版本，則判定所述設(shè)備為網(wǎng)絡(luò)共享設(shè)備。

另外，常見的智能終端有很多品牌，每個(gè)品牌又包含很多種型號(hào)的設(shè)備，因此，當(dāng)通過深度報(bào)文檢測(cè)技術(shù)分析出各種應(yīng)用軟件通過某一設(shè)備在一段時(shí)間內(nèi)發(fā)送的請(qǐng)求數(shù)據(jù)中包括至少兩個(gè)品牌的終端設(shè)備或是至少兩個(gè)設(shè)備型號(hào)，由于只有當(dāng)一臺(tái)設(shè)備作為網(wǎng)絡(luò)共享設(shè)備時(shí)，它發(fā)送的數(shù)據(jù)才可能包含多種設(shè)備品牌或設(shè)備型號(hào)，則判定該所述設(shè)備為網(wǎng)絡(luò)共享設(shè)備。

上述的兩種判斷條件只要滿足兩者中的一個(gè)或全部滿足，都可以認(rèn)定存在網(wǎng)絡(luò)共享設(shè)備。

并且，當(dāng)判斷存在網(wǎng)絡(luò)共享設(shè)備時(shí)，對(duì)網(wǎng)絡(luò)共享設(shè)備進(jìn)行斷網(wǎng)(比如對(duì)該IP發(fā)出的數(shù)據(jù)包進(jìn)行丟棄)并通知網(wǎng)絡(luò)管理員進(jìn)行處理，也可以進(jìn)行動(dòng)態(tài)處理，如斷網(wǎng)后的自動(dòng)恢復(fù)網(wǎng)絡(luò)的機(jī)制，即：在對(duì)網(wǎng)絡(luò)共享設(shè)備進(jìn)行斷網(wǎng)后，在一段時(shí)間內(nèi)所述IP沒有再被檢測(cè)為網(wǎng)絡(luò)共享設(shè)備(比如所述網(wǎng)絡(luò)共享設(shè)備被移除)，并等待設(shè)定時(shí)間后，使網(wǎng)絡(luò)自動(dòng)恢復(fù)正常。

但是，一些比較特殊的情況是：當(dāng)電腦上安裝了虛擬機(jī)(虛擬系統(tǒng))且使用了NAT網(wǎng)絡(luò)連接方式，該電腦也會(huì)被識(shí)別為網(wǎng)絡(luò)共享設(shè)備，這就會(huì)影響上述網(wǎng)絡(luò)共享設(shè)備識(shí)別的準(zhǔn)確性，因此在判斷存在網(wǎng)絡(luò)共享設(shè)備時(shí)，還包括S4，識(shí)別步驟，識(shí)別是否存在安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備，當(dāng)判斷存在安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備且在S2，判斷步驟中識(shí)別存在網(wǎng)絡(luò)共享設(shè)備時(shí)，判斷識(shí)別出的網(wǎng)絡(luò)共享設(shè)備是否是安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備，如是，則對(duì)該設(shè)備不做處理。

當(dāng)然，針對(duì)上述情況，也可以根據(jù)實(shí)際網(wǎng)控環(huán)境，采用其他可行方式進(jìn)行處理，例如，在事先知道企業(yè)中已存在或檢測(cè)得到存在安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的設(shè)備(如電腦)時(shí)，可以將安裝了虛擬系統(tǒng)且使用了NAT網(wǎng)絡(luò)連接方式的電腦通過黑/白名單方式進(jìn)行配置以滿足需求，即可以允許網(wǎng)絡(luò)管理員把該電腦IP加入白名單，保證該電腦不會(huì)被斷網(wǎng)。

本發(fā)明尚有多種實(shí)施方式，凡采用等同變換或者等效變換而形成的所有技術(shù)方案，均落在本發(fā)明的保護(hù)范圍之內(nèi)。