[发明专利]基于信安系统的HTTP劫持监测分析及定位的方法

说明书

基于信安系统的HTTP劫持监测分析及定位的方法，本发明涉及信息技术领域。实现本发明的必要模块包括：指纹样本库、日常检测网站库、广告位对比器、网页拍照HASH值生成器、未备案域名检测器、TTL分析器；指纹样本库由网页指纹库和流量指纹库组成；TTL分析器包括拨测客户端。实现本发明的益处在于：1、监测IDC机房内业务系统是否被劫持，所需采集设备减少，降低建设系统所需的投资成本，减轻了基础运营商的负担。2、能帮助运营商发现http劫持信息，结合定位分析能力清除http劫持点，维护客户的利益，项目可以在集团内做推广，实现大范围的应用。

技术领域

本发明涉及信息技术领域，特别是其中的信息安全技术。

背景技术

随着数据流量的大幅提高，互联网公司和消费电子公司的用户有更多的机会接触客户并获取利益，移动运营商也积极响应总理号召降费提速，做好管道服务，但是，在移动网络运营商为行业客户提供的管道服务过程中，出现被非法劫持的情况，导致移动网络运营商企业形象出现严重破坏。

互联网上80-90%的流量是由20%的经常被访问的对象构成的，目前一般把这部分访问对象保存在内网的缓存服务器上，以减少不必要的重复性数据传输，降低互联网出口压力，减少网间流量，减轻外网原始服务器的负担；同时缓存服务器将外网服务器资源本地化，可以有效缩短资源响应时间，加快用户的访问速度，正是基于此种情况，出现了大量的基于http资源缓存的会话劫持发生。

媒体采用集群定向媒体选择、JS内容缓存、代码注入以及HTTP代理功能，主要是通过旁路分光并联方式获取业务系统的信息，得到用户上网的原始数据，完成业务判断后，调用连接好的出口路由器端口，发送数据包进行插入操作，实现悬浮插件功能。

目前行业中的监测系统由将内网所有旁路设备的封堵口流量，通过路由器镜像，并打上Vlan标签汇聚到提供的流量分析服务器，进行指定IP定时访问需监控HTTP网站的过程中，流量分析服务器监测旁路设备封堵包，如发现在这段时间内有旁路设备设备在向指定IP发送应答包，则判定旁路设备有劫持行为，并根据vLan标签确定旁路设备位置，能准确定位所有旁路设备的Http劫持行为，但是是部署难度大，有些交换机不支持大vLan标签，另外隐藏的设备无法监管。

本发明所述方法，分析运营商网络结构，分层次分段部署劫持定位设备，通过中心端CU对信安采集流量样本指纹库和网页指纹子系统采集流量数据指纹库EU，进行匹配，结合TTL心跳计数，确定出现劫持行为的网络段。本发明通过提出了降低流量采集监控设备投入数量，减少投入成本的方法，目的是为了及时监测、定位基础运营商IDC机房出现劫持情况，解决因监测、定位出现的投资成本很大的难题。

现有技术说明：

一、CU、EU、TTL说明：

1、 CU为控制单元，主要进行内容、指令管控和策略分发；EU为执行单元，主要负责指令的执行，内容的采集、上报。如图2所示：

2、 TTL为Time To Live的缩写，该字段指定IP包被路由器丢弃之前允许通过的最大网段数量，TTL是IPv4包头的一个8 bit字段。在此专利技术中，主要是通过探针服务器Traceroute和服务器响应的数据包，在网络中数据包的心跳数量进行标记、对比、计算，从而推断数据包丢失的网络节点。

二、在现有技术中没有公认定义的特殊名词的定义：

1、网页指纹库：含网站主页URL、网站ip、网站所属分类、标记EU上传时间、来源EU的IP信息、机房信息、通过爬虫工具（默认每天爬取一次），爬取主页URL和IP信息下的下级页面；

2、拨测采集的流量指纹库：包含网站主页、网站IP、网站子页面详情、以及不属于主页面IP地址的子页面标识，并含下发到EU队列监控，标识出来的自定义添加的网站、系统默认的top100网站的域名和URL。

发明内容