[发明专利]主机的身份合法性检测方法、检测装置及身份检测设备

权利要求书

1.一种主机的身份合法性检测方法，其特征在于，包括如下步骤：

获取待检测主机若干个时刻的时间偏移；

根据所述若干个时刻以及若干个时刻中的各个时刻对应的时间偏移得到所述待检测主机的时间偏移率；

根据所述时间偏移率对所述待检测主机的身份合法性进行检测；

其中，获取待检测主机若干个时刻对应的时间偏移，包括如下步骤：

获取所述待检测主机接收的一TCP报文的发送时间，并将所述发送时间作为第一时刻；

获取所述待检测主机应答所述TCP报文的第二时刻；

获取所述第一时刻所述待检测主机和发送所述TCP报文的主机的时钟之间的时间差；

根据所述第一时刻、所述第二时刻和所述时间差得到所述待检测主机在所述第一时刻的时间偏移，并重复上述步骤直至获取所述若干个时刻对应的时间偏移。

2.根据权利要求1所述的主机的身份合法性检测方法，其特征在于，当所述时间偏移率落入某一预设合法时间偏移率的范围内时，所述待检测主机合法。

3.根据权利要求2所述的主机的身份合法性检测方法，其特征在于，所述预设合法时间偏移率的范围是指预先获取的一个合法主机的多个时钟偏移率的最大值和最小值之间的范围。

4.根据权利要求1所述的主机的身份合法性检测方法，其特征在于，获取所述待检测主机接收的一TCP报文的发送时间，并将所述发送时间作为第一时刻，包括如下步骤：

提供一监测主机；

控制所述监测主机向所述待检测主机发送一类型值为13的ICMP报文；

提取所述类型值为13的ICMP报文中的时间戳信息，得到所述第一时刻；

获取所述待检测主机应答所述TCP报文第二时刻，包括如下步骤：

获取所述监测主机接收到的所述待检测主机应答所述类型值为13的ICMP报文的类型值为14的ICMP报文；

提取所述类型值为14的ICMP报文中的时间戳信息，得到所述第二时刻。

5.根据权利要求1所述的主机的身份合法性检测方法，其特征在于，取所述待检测主机接收的一TCP报文的发送时间，并所述发送时间作为第一时刻，包括如下步骤：

提供一监测主机；

将所述待检测主机的流量信息镜像到所述监测主机中；

捕获所述流量信息中的TCP流量信息，并筛选出类型为8的TCP报文；

提取所述类型为8的TCP报文中的时间戳信息，得到所述第一时刻；

获取所述待检测主机应答所述TCP报文第二时刻，包括如下步骤：

提取所述类型为8的TCP报文中的应答时间戳信息，得到所述第二时刻。

6.一种主机的身份合法性检测装置，其特征在于，包括：

时间偏移获取模块，用于获取待检测主机若干个时刻的时间偏移；

时间偏移率计算模块，用于根据所述若干个时刻以及若干个时刻中的各个时刻对应的时间偏移得到所述待检测主机的时间偏移率；

合法性检测模块，用于根据所述时间偏移率对所述待检测主机的身份合法性进行检测；

其中，所述时间偏移获取模块包括：

第一时刻获取单元，用于获取所述待检测主机接收的一TCP报文的发送时间，并将所述发送时间作为第一时刻；

第二时刻获取单元，用于获取所述待检测主机应答所述TCP报文的第二时刻；

时间差获取单元，用于获取所述第一时刻所述待检测主机和发送所述TCP报文的主机的时钟之间的时间差；

时间偏移获取单元，用于根据所述第一时刻、所述第二时刻和所述时间差得到所述待检测主机在所述第一时刻的时间偏移，并重复调用上述模块直至获取所述若干个时刻对应的时间偏移。

7.一种身份检测设备，其特征在于，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行上述权利要求1-5中任一所述的方法。

8.一种计算机可读存储介质，其上存储有计算机指令，其特征在于，该指令被处理器执行时实现上述权利要求1-5中任一所述方法的步骤。