具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

本实施例提供一种用于运营商网络的非法劫持快速监测方法，用于运营商网络的非法劫持快速监测方法包括如下步骤：

S1、核查并获取运营商网络中硬件系统的配置信息，筛选出未开启URPF的端口。

S2、对未开启URPF的端口进行数据分光，得到镜像报文数据，过滤出镜像报文数据中包含http200、http301以及http302代码的数据报文。

S3、对包含http200、http301以及http302代码的数据报文进行源IP地址分析。若分析结果能够与本地运营商IP地址库相匹配，则判定为正常数据报文。若分析结果不能与本地运营商IP地址库相匹配，则判定为非法劫持数据报文。

本申请的发明人研究发现：

一个用户在运营商网络中进行互联网网站资源访问的正常过程分为三个阶段：第一个阶段为用户发起网站域名解析DNS请求，运营商DNS服务器收到域名请求后返回用户该网站域名解析后的IP地址；第二个阶段为用户通过http协议向该域名站点发起http get请求报文，请求报文中包含了用户需要访问的url地址；第三阶段为互联网网站服务器接收到用户的http get请求后对用户做出响应，响应数据中包含了用户需要的相关资源内容。

非法劫持者大多都是通过安全漏洞或者破解系统密码的方式来控制并利用运营商内部系统进行非法劫持行为，甚至有些非法劫持者自身就是运营商系统内部管理人员。被劫持的运营商网络用户除个别具备非常专业的技术知识外，绝大部分用户都难以察觉已经被网络非法劫持，并不会主动向运营商反应非法劫持现象，因此，运营商网络维护部门对自身网络环境中是否存在非法网络劫持现象难以及时发现，也无法提前进行针对性排查。

目前的监测的手段主要为运营商收到来自用户侧或者互联网资源侧的相关投诉，反映自身的业务存在被非法网络劫持的情况，缺点是运营商无法主动及时的对自身网络进行监测是否存在非法劫持现象，等到用户投诉后损失已经产生。

即使在进行排查的过程中，排查手段也主要为运营商针对自身网络中具备非法劫持能力的系统逐一进行业务端口流量中断测试，直到某个业务系统流量中断后网络中的非法劫持现象消失，最后再通过对该业务端口数据抓包进行分析来判定是否为该系统产生的非法劫持数据。这种排查手段的缺点是需要耗费大量的时间及人员成本逐个的对数量众多的系统及业务端口进行地毯式排查，排查的过程中非法劫持现象可能已经结束，无法实现快速监测定位并及时取证。

因此，目前运营商现有的网络非法劫持监测及排查定位手段基本属于前期依赖用户投诉及企业投诉被动响应，并且随着自身业务系统增加导致排查难度和排查的时间、人力成本也成比例增加，难以实现快速监测及定位网络非法劫持源头。

针对以上问题，本申请的发明人进行了针对性研究，发现：

非法劫持者为了实现网络报文劫持操作，通常需要在运营商的网络出口处通过以下几种非法手段获取到用户的http get请求数据的镜像报文：第一种为通过物理分光设备对运营商的重要出口链路进行数据分光，得到用户所有访问数据的完整镜像，并从中过滤出用户的http get请求报文；第二种为利用运营商网络中承担用户数据报文转发的路由器、交换机、数据分流、数据分析等设备的端口镜像功能对正常业务数据中的用户http get报文请求采取端口镜像方式来获取；第三种是非法利用本身业务就包含运营商用户httpget报文的业务系统，利用系统自身的管理漏洞来进行获取。

非法劫持者通过以上三种方式截取到用户的http get请求报文后，分析并伪造请求报文中的目标资源服务器IP地址，然后通过伪造的IP地址向用户发起代码为http 200、http 301或者http 302响应报文，这个伪造的报文将从运营商网络内抢先进行转发，并代替正常的资源网站将用户重定向到一个非法劫持者指定的非法资源网站，通常为诈骗网站，钓鱼网站，赌博网站等，或者通过报文中内嵌代码来实现任何能够给非法劫持者带来盈利的操作，给运营商和网络用户带来极大的利益损失。

非法劫持者制造的伪造报文通常具备以下几点特征：第一点，该数据报文伪造的目标资源站点IP地址归属一定不属于本省运营商所有；第二点，该数据报文要通过本地运营商路由器正常的转发到用户侧那么沿途经过的路由器端口一定不能开启URPF检测功能，否则伪造IP地址的报文会被路由器丢弃。第三点，伪造的报文类型一定为http200、http301或者http302报文。

根据本申请发明人的研究发现，通过本申请的以上方案设计，对运营商网络中硬件系统的配置信息进行确认后，筛选出未开启URPF的端口，针对这些端口将其包含http200、http301以及http302代码的数据报文过滤出来，核对这些数据报文的源IP地址与本地运营商IP地址库是否匹配，从而实现从上述的三点特征的角度对数据报文的安全性进行验证，能够简单、快速、准确地将非法劫持数据报文定位出来。

根据定位出来的非法劫持数据报文，便于对对应的硬件设备、对应的端口进行安全修复，大大提高了安全维护工作的主动性和及时性，弱化了非法劫持现象的隐形能力，便于采取主动式的安全策略。这对于优化用户体验，降低运行商安全维护工作的难度、成本，提高运行商安全维护工作的针对性、准确性具有积极意义。

总体而言，用于运营商网络的非法劫持快速监测方法简单方便，执行效率高，能够快速、准确地对非法劫持现象进行锁定，解决了运营商网络中的非法劫持现象无法主动及时监测且难以排查定位源头的问题。

具体的，在步骤S1中，运营商网络中的硬件系统包括但不限于路由器、交换机系统等。

需要注意的是，在步骤S3中，本地运营商IP地址库可以预存至系统内，便于快速地对分析结果进行比对。

在本实施例中，用于运营商网络的非法劫持快速监测方法还包括：设置业务白名单。若分析结果与业务白名单相匹配，则判定为正常数据报文。也就是说，若分析结果与业务白名单相匹配，即使分析结果不能与本地运营商IP地址库相匹配，也不会被判定为非法劫持数据报文。

这是因为考虑到运营商网络中还存在合法的http劫持现象，例如运营商为了给用户提供更优质的资源响应，会对某些用户请求进行重定向，将用户对外的资源请求通过合法劫持的方式重定向至运营商的缓存业务系统，以用于给用户提供更优质的资源响应服务。

通过自定义业务白名单的方式来进行非法和合法的劫持现象区分，系统管理员通过将这些合法的劫持业务用于伪造源IP的IP地址库进行白名单添加，添加后的白名单业务即使满足上述劫持特征现象，也不会被判定为非法劫持。

进一步地，用于运营商网络的非法劫持快速监测方法还包括：若判定为非法劫持数据报文，则生成非法劫持现象的告警信号，告警信号包括该非法劫持数据报文的内容以及产生非法劫持现象的源头设备名称、源头端口。这能够有效地帮助管理者快速定位非法劫持现象的源头以及快速进行针对有效的安全处理。

进一步地，在本实施例中，用于运营商网络的非法劫持快速监测方法还包括：根据历史分析结果得到各个端口的非法劫持现象的发生情况，并记录各个端口的非法劫持现象的发生频率的变化情况。根据的各个端口的非法劫持现象的发生情况以及各个端口的非法劫持现象的发生频率的变化情况，对各个端口的非法劫持风险进行预测。这些都可以采用曲线图的形式进行展示。

这样的话，便于管理人员准确地掌握非法劫持现象的发生特点。

由于非法劫持是人为发起的，而且一般都是以团伙的形式开展，具有一定的团体特性，并且非法劫持手段具有一定的变化规律，这与网络技术手段的变化直接相关。

通过以上分析，便于了解非法人员在进行非法劫持时对数据报文类型、接口类型等的选择倾向性，也便于总结非法劫持的发生规律，结合非法劫持的分布情况和变化规律，能够在一定程度上对未来一段时间的非法劫持发生情况进行预测，从而便于管理人员“提前地”对在未来具有非法劫持风险的网络板块针对性地进行安全检查和维护，进一步提高了数据传输的安全性，降低了安全维护工作的盲目性。

根据预测结果，还可以考虑提前对预测结果中显示的具有非法劫持风险的端口进行安全处理和/或暂停预测结果中显示的具有非法劫持风险的端口的传输工作，采取何种措施可以根据实际情况和需要进行灵活选择。

为了持续优化预测准确度和可靠性，还可以建立机器学习模型，将非法劫持风险预测结果与实际的非法劫持现象发生情况对比，持续进行机器学习，优化非法劫持风险预测模型。

进一步地，用于运营商网络的非法劫持快速监测方法还包括：根据的各个端口的非法劫持现象的发生情况以及各个端口的非法劫持现象的发生频率的变化情况，并结合对非法劫持的预测结果，选择非法劫持现象发生率最低的若干端口并对其进行安全性测试。

安全性测试包括：设置虚拟用户，利用虚拟用户通过选出的端口发送测试请求报文，检测发出的测试请求报文与虚拟用户收到的反馈报文是否匹配。若匹配则判定为安全。若不匹配则判定为不安全，则表明该端口存在非法劫持现象。

若判定为安全，则通过相应的端口进行数据传输。

在进行数据传输时，数据以间隔式的方式进行传输，并间隔式继续进行安全性测试。数据传输与安全性测试交替进行。

若连续两次安全性测试的结果均判定为安全，则判定在该两次安全性测试间隔之间进行的数据传输为安全。若连续两次安全性测试的结果不全判定为安全，则判定对应端口出现了安全风险，已经不再安全，并终止该端口的数据传输。

通过以上设计，能够在日常的数据传输通道中筛选出安全性较高的通道，便于对较重要的数据进行传输，与使用传输专线进行传输相比，成本更低，适用于对传输安全具有一定要求的传输工作。

在传输过程中，间隔式的安全性测试能够实时地对传输通道的安全性进行监控，进一步提高了数据安全性。

其中，数据传输的间歇式传输的间隔时间和安全性测试的间隔时间可以根据实际情况和需要进行灵活设置。

进一步地，在本实施例中，安全性测试还包括：若判定为不安全，则通过对应端口向虚拟用户发送验证反馈报文，检测发出的验证反馈报文与虚拟用户收到的报文是否匹配。其中，验证反馈报文为与之前的测试请求报文的相匹配的反馈信息，即相当于是假设之前有虚拟用户发送的测试请求报文没有被非法劫持，而是顺利被接受并进行反馈，验证反馈报文即为我们主动向虚拟用户发送的。

若发出的验证反馈报文与虚拟用户收到的报文是匹配的，则表明非法劫持手段主要是劫持由用户发出的请求信息，主要是单向劫持，这种非法劫持手段一般通过简单的劫持编码实现，危害性属于一般。判定为一般风险。

若发出的验证反馈报文与虚拟用户收到的报文是不匹配的，则表明存在双向劫持的情况，并且不仅限于劫持请求报文，这种非法劫持情况很多时候还存在人工实时介入的现象，危害性较前一种更高，数据窃取风险更高，判定为高级风险。

通过以上方式对风险进行初步分级，便于管理人员根据具体情况进行针对性、选择性安全维护，对于提高维护工作的合理性和有序性有很好的帮助。

综上所述，用于运营商网络的非法劫持快速监测方法简单方便，执行效率高，能够快速、准确地对非法劫持现象进行锁定，解决了运营商网络中的非法劫持现象无法主动及时监测且难以排查定位源头的问题。

实施例2

本实施例提供一种用于运营商网络的非法劫持快速监测系统，该监测系统包括：安全筛选模块、数据分析模块和安全性分析模块。

安全筛选模块用于核查并获取运营商网络中路由器、交换机系统的配置信息，筛选出未开启URPF的端口。

数据分析模块用于对未开启URPF的端口进行数据分光，得到镜像报文数据，过滤出镜像报文数据中包含http200、http301以及http302代码的数据报文。

安全性分析模块用于对包含http200、http301以及http302代码的数据报文进行源IP地址分析。若分析结果能够与本地运营商IP地址库相匹配，则判定为正常数据报文。若分析结果不能与本地运营商IP地址库相匹配，则判定为非法劫持数据报文。

综上所述，用于运营商网络的非法劫持快速监测系统简单方便，执行效率高，能够快速、准确地对非法劫持现象进行锁定，解决了运营商网络中的非法劫持现象无法主动及时监测且难以排查定位源头的问题。

实施例3

请参照图1，本实施例提供一种电子设备8，包括：存储器81和处理器82。存储器81存储有计算机程序，计算机程序被设置为运行时执行实施例1的用于运营商网络的非法劫持快速监测方法。处理器82被设置为通过计算机程序执行实施例1的用于运营商网络的非法劫持快速监测方法。

下面参考图2，其示出了适于用来实现本发明实施例的终端设备/服务器的计算机系统800的结构示意图。图2示出的终端设备/服务器仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图2所示，计算机系统800包括中央处理单元801，其可以根据存储在只读存储器802中的程序或者从存储部分808加载到随机访问记忆体803中的程序而执行各种适当的动作和处理。在随机访问记忆体803中，还存储有系统800操作所需的各种程序和数据。中央处理单元801（即CPU）、只读存储器802（即ROM）以及随机访问记忆体803（即RAM）通过总线804彼此相连。I/O接口805也连接至总线804。

以下部件连接至I/O接口805：包括键盘、鼠标等的输入部分806；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分807；包括硬盘等的存储部分808；以及包括诸如LAN卡、调制解调器等的网络界面卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器810上，以便于从其上读出的计算机程序根据需要被安装入存储部分808。

根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分809从网络上被下载和安装，和/或从可拆卸介质811被安装。在该计算机程序被中央处理单元801执行时，执行本发明的方法中限定的上述功能。需要说明的是，本发明所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是—但不限于—电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问记忆体(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的装置中所包含的；也可以是单独存在，而未装配入该装置中。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该装置执行时，使得该装置执行如下步骤：S1、核查并获取运营商网络中硬件系统的配置信息，筛选出未开启URPF的端口；S2、对未开启URPF的端口进行数据分光，得到镜像报文数据，过滤出镜像报文数据中包含http200、http301以及http302代码的数据报文；S3、对包含http200、http301以及http302代码的数据报文进行源IP地址分析。若分析结果能够与本地运营商IP地址库相匹配，则判定为正常数据报文。若分析结果不能与本地运营商IP地址库相匹配，则判定为非法劫持数据报文。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。