[发明专利]一种流量劫持的检测方法及装置

说明书

本发明提供一种流量劫持的检测方法及装置，涉及数据处理技术领域。其中，所述方法包括：在网络的接口中获取预设时间段内用于分析流量劫持的请求数据包和响应数据包；对响应数据包进行处理，得到网络中多个IP地址分别对应的TTL返回值的标准偏差；若IP地址对应的TTL返回值的标准偏差大于或等于预设的网络中TLL返回值的抖动门阀值时，则确定IP地址为疑似存在流量劫持的第一IP地址；根据第一IP地址确定请求数据包中目的IP地址为第一IP地址的第一请求数据包对应的响应数据包的数量；当判断第一请求数据包对应的响应数据包的数量大于或等于预设数量时，则确定第一请求数据包对应的第一IP地址为存在流量劫持的IP地址。

技术领域

本发明涉及数据处理技术领域，具体地，涉及一种流量劫持的检测方法及装置。

背景技术

随着宽带的快速发展，上网用户量和流量在激增的同时，用户的点击量和流量的导向存在着重要的价值。为此网络便存在大量的流量异常现象，例如，DNS(domain nameservice，域名服务)劫持、HTTP(Hyper Text Transport Protocol，超文本传输协议)链路劫持等等，恶意修改用户访问网站的返回内容，导致用户的使用感知质量下降，容易引起批量投诉，并对运营商网络造成安全隐患。为了净化网络环境，提高用户感知，稳定用户群，同时也响应电信局关于整治优化网络环境的315专题活动，故有必要研究异常流量的检测和定位方案，协助找出网络中流量异常的域名的IP地址及流量异常源。

在介绍现有技术方案之前，简要地描述一下HTTP链路劫持的基本原理。在HTTP协议的交互过程中，终端的客户端没有办法识别返回的应答是否是服务器返回的，还是第三方返回的，因此，第三方可在链路层架设旁听设备进行链路监控。当监测到终端的请求报文符合劫持策略时，第三方就会向所述终端返回伪造的响应数据包，伪造的响应数据包会在正常的响应数据包到达客户端之前到达客户端，客户端简单地信任了第三方的应答，丢弃了真正的应答，便形成了链路劫持。图1是HTTP链路劫持的示意图。如图1所示，可看出劫持源距离客户端的物理位置肯定比服务器距离客户端的物理位置更近一些，否则返回的伪造的响应数据包便会晚于正常的响应数据包到达客户端，HTTP链路劫持将会失败。

目前，针对流量劫持的检测，现有技术主要通过以下两种方案进行检测。方案一是通过探针拨测的方式进行流量劫持的检测。具体地，首先在某一跳路由器下发送伪造包，检测劫持现象。如果存在劫持现象，则使用路由跟踪工具确定相应IP地址所采取的路由路径，在下一跳路由器或者中间一跳路由器采用二分法再进行发送伪造包，继续进行测试，直到定位出劫持者的路由位置。方案二是在更改路由路径，并发送伪造包发现劫持现象之后，通过依次更改其中某一跳路由路径的方法来确定劫持者的路由位置。

然而，方案一的效率过低，需要预先设定疑似范围后进行拨测，预警能力弱，并且在测试时，第一次劫持现象难以找到，需要多次更换劫持点或者测试的目的IP地址，这样就会导致效率低下。再者，在第一次劫持现象找到之后，需要使用路由跟踪工具确定路由路径，在每跳路由下进行测试也存在很大的难度，即使采用二分法可以减少测试次数，也不容易办到，需耗费较大的人力物力。该方案不适合在全网普查。方案二的缺点是首次伪造包的劫持现象难以发现，并且更改每一跳路由的路由表需要其他部门的深度支持，如果路由器在省外或者在网外，则协调更加困难。再者，更改路由表存在一定的风险，对网络会造成一定的影响。该方案不推荐使用。

发明内容

本发明的目的是提供一种流量劫持的检测方法及装置。其中，所述方法所要解决的技术问题是：如何在不影响网络的情况下，提高检测流量劫持的效率和准确性。

为了实现上述目的，本发明提供一种流量劫持的检测方法。所述方法包括：

在网络的接口中获取预设时间段内用于分析流量劫持的信令数据，所述信令数据包括终端向所述网络发送的请求数据包和所述网络向所述终端返回的响应数据包；

对所述响应数据包进行处理，得到所述网络中多个IP地址分别对应的TTL返回值的标准偏差；