共享接入功能如何检测用户一户多机

发布时间:  2012-07-17 浏览次数:  99 下载次数:  0
问题描述
运营商通过使用SIG的共享接入功能,检测出一个账号下多台主机,进而进行相应限制。那么SIG是通过什么原理来检测出某个账号下有多台主机呢?
告警信息
处理过程

SIG使用如下几种方式检测:

1.ID轨迹检测

Windows网络协议栈实现时,ID字段的值随着发送IP报文数的增加而增加,Identification的初始值是随机值,一般说来,不同主机的初始值有较大差距。如果ID值存在多个不同的轨迹,那么可以判断出有多台主机。

2.时钟偏移检测

不同主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系,不同主机发送报文频率与时钟存在统计对应关系,通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同主机。

3.应用特征检测

1)HTTP报头中User-Agent字段、cookie字段,不同操作系统、不同IE版本、不同补丁的User-Agent字段不同。

2)同一时间一般只能登录一个MSN帐号,如果一个账号下,存在多个MSN账号,即可判断有多台主机。
3)windows会不定时发送Update信息,每台主机信息不一样。
4.其他一些辅助检测技术,如流量、连接数统计、TTL检测等。
 

根因

用户通过帐号发起上网请求后,SIG检测到用户上网数据,使用综合特征检测模型(采用ID 轨迹检测、时钟偏移分析、应用特征检测等)从网络3层至7层进行综合分析,不依赖于任何操作系统、主机类型、浏览器准确识别共享用户数目。

建议与总结
SIG不是只用一种方法判断账号是否私接,一般都是通过几种方法一起综合判断,得出最终结果,防止误报。

END