[发明专利]一种针对IP网络中非法接入的检测及控制方法

说明书

技术领域

本发明涉及代理检测控制和计算机网络技术，更具体地说，涉及一种针对IP网络中非法接入的检测及控制方法。

背景技术

随着互联网(下称Internet)与局域网(下称Intranet)的飞速发展，作为连接Internet和Intranet的桥梁，代理共享上网技术在实际应用中发挥着积极重要的作用。但用户使用了共享上网技术以后，网络中的资源访问权限变得不可控，给网络资源带来了安全隐患，同时逃避计费也给通过网络运营的各位网络服务商(Internet Service Provider，简称ISP)和校园网络管理部门带来了很大的损失。

宽带网的非法接入，又称私接，指多个未授权用户利用一个合法用户的身份进入网络，共享合法用户的资源。这种接入方式导致了网络资源滥用也加大了信息安全的管理难度。

防非法接入技术经过了长期的发展，多是采用在网络出口进行旁路侦听技术，包括有连接数/流量检测法、MAC地址检测法、SNMP扫描检测，IP标识轨迹检测法、时钟偏移检测法和应用特征检测法。但上述方法均只能够做到：对网络的非法接入情况有一定的分析的能力，离实际应用还需亟待解决几个比较明显的问题：

1.需要长周期统计的分析和汇总，其周期长，不能及时做出判断，并会有误报的情况；

2.只能列举有一个账号下几个非法接入用户，无法判断哪个是真正的合法用户，哪个是非法的非法接入用户；

3.只能通过对账号进行封停或部分干扰(只能对TCP连接，对UDP无效)，无法做到实时控制，也无法做到只让合法的用户访问，非法接入用户不能访问。

发明内容

针对上述现有技术的缺陷，本发明目的旨在解决现有代理检测技术的不足和控制不到位，提出一种针对IP(internet protocol)网络中非法接入的检测及控制方法，通过分析IP报头TTL值，快速分析检测出是否存在代理共享上网，以及灵活快捷的控制通过代理通信的计算机及其他数据通信设备，本发明所述方法及时，准确，且便于推广应用。

为达到上述发明目的，本发明采取的技术方案是：一种针对IP网络中非法接入的检测方法：

1)源网络设备发送IP协议请求数据报，该IP协议报文中有TTL生存时间的字段，其字段内容的初始值为数据报可经过的最多路由器数；

2)待IP协议报文传送到上一级网络非法代理接入检测的路径时，检测模块分析源主机发过来的IP数据报的TTL值，如果该值至少减1说明存在非法代理接入；

3)根据网络非法代理接入检测模块放置在不同的网络层级时，对TTL值的判断分析随层级增加减少而改变。

进一步的，本发明还提供一种针对IP网络中非法接入的控制方法，步骤包括：

1)源网络设备发送IP协议请求数据报，该IP协议报文中有TTL生存时间的字段，其字段内容的初始值为数据报可经过的最多路由器数；

2)待回应IP数据报文传送到网络非法代理接入控制的路径时，控制模块上设置需要控制的用户条件，对收到的符合条件的用户数据报进行IP数据报文TTL值的修改，使该数据报只能够传递到有效用户的这一级，让该级以下的非法用户无法收到服务器回应的数据。

本发明所述针对IP网络中非法接入的检测和控制方法的工作原理详细描述如下：

IP网络报文的结构为图1所示，包括4位版本、4位首部长度、8位服务类型(TOS)、16位总长度(字节)、16位标识、3位标志、13位片偏移和8位生存时间(TTL)等，其中IP头部TTL值(Time-To-Live)指定的是数据报的生存时间。首先源网络设备发送IP协议请求数据报，该IP协议报文中有TTL(Time-To-Live)生存时间的字段，其字段内容的初始值为数据报可经过的最多路由器数，通常为32、64或128等。待IP协议报文传送到上一级网络非法代理接入检测的路径时，网络非法代理接入检测模块分析IP数据报的TTL值，如果该值至少减1说明存在非法代理接入，当该字段的值为0时，数据报就被丢弃，并发送ICMP报文通知源网络设备。当网络非法代理接入检测模块放置在不同的网络层级时，对TTL值的判断分析随层级增加减少而改变。

根据上述原理，在待检测的网络路径位置上的网络非法代理接入检测模块便可以检测到该网络路径位置是否有用户接入。同时还可以在待检测的网络路径位置的控制模块上设置需要控制哪类用户的条件，对收到的符合条件类型的用户数据报进行IP数据报TTL值的修改，使该数据报只能够传递到有效用户的这一级，让该级以下的非法用户无法收到服务器回应的数据。