公开(公告)号：CN108566380A

公开(公告)日：2018-09-21

申请号：CN201810212973.X

申请日：2018-03-15

Applicant: 国家计算机网络与信息安全管理中心四川分中心

Inventor： 昝家玮 ,  朱魏魏 ,  张旭 ,  李文佑

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/10 ,  H04L63/0236 ,  H04L63/0272 ,  H04L63/0281 ,  H04L63/1408 ,  H04L63/30 ,  H04L67/025

Abstract: 本发明公开了一种代理上网行为识别与检测方法，包括：初步处理网络中数据，在数据流出时，记录目的地址不在境内的IP，在数据流入时，记录源地址不在境内的IP；将数据流出时和数据流入时记录的IP保存在存储引擎中；储存引擎中的IP数据再提供给分析引擎，供分析引擎进行分析；将标识为可疑访问会话的数据流入方向的源地址加入到应用识别引擎中去进行应用识别；调用协议验证引擎进行协议验证，若验证出有协议为伪装协议，则判定境外IP为代理服务器访问会话或者判定境外IP为代理服务器访问会话的可疑度高。本发明方法能够精准地识别使用全局代理访问出口以外网站的用户及代理服务器。

公开(公告)号：CN108566380B

公开(公告)日：2020-08-28

申请号：CN201810212973.X

申请日：2018-03-15

Applicant: 国家计算机网络与信息安全管理中心四川分中心

Inventor： 昝家玮 ,  朱魏魏 ,  张旭 ,  李文佑

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种代理上网行为识别与检测方法，包括：初步处理网络中数据，在数据流出时，记录目的地址不在境内的IP，在数据流入时，记录源地址不在境内的IP；将数据流出时和数据流入时记录的IP保存在存储引擎中；储存引擎中的IP数据再提供给分析引擎，供分析引擎进行分析；将标识为可疑访问会话的数据流入方向的源地址加入到应用识别引擎中去进行应用识别；调用协议验证引擎进行协议验证，若验证出有协议为伪装协议，则判定境外IP为代理服务器访问会话或者判定境外IP为代理服务器访问会话的可疑度高。本发明方法能够精准地识别使用全局代理访问出口以外网站的用户及代理服务器。