CN101502052A - Nat和代理设备检测 - Google Patents
Nat和代理设备检测 Download PDFInfo
- Publication number
- CN101502052A CN101502052A CNA2007800169925A CN200780016992A CN101502052A CN 101502052 A CN101502052 A CN 101502052A CN A2007800169925 A CNA2007800169925 A CN A2007800169925A CN 200780016992 A CN200780016992 A CN 200780016992A CN 101502052 A CN101502052 A CN 101502052A
- Authority
- CN
- China
- Prior art keywords
- sampled
- grouping
- equipment
- field
- digital
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
NAT设备(20)之后的多个联网设备(22)被通过以下步骤来标识:对穿过网络的多个数据分组中的一部分进行采样,并对分组IP标识字段进行比较。基于不同分组中的值的接近程度,使用NAT将每个被采样分组与当前已知的设备之一相关联,并利用新认出的设备来标识每个被采样分组。
Description
技术领域
本发明涉及数据网络。更具体地,本发明涉及对网络上的共享共同的网络地址的不同设备的标识。
背景技术
表1 首字母缩略词和缩写词
| NAT | 网络地址转换 |
| IP | 互联网协议 |
| IPID | IP标识 |
| RDR | 报告数据记录 |
对于与分组交换网(例如,互联网)中的其他计算机或服务器通信的计算机,该计算机必需具有唯一的IP地址。IP协议版本4指定了32比特用于IP地址,这在理论上给出了大约4,294,967,296个唯一的IP地址。然而,在实际中,由于预留了一些用于组播、测试和其他专门用途的IP地址,实际仅有32到33亿个地址可用。由于互联网的增长,IP地址的数目现在不足了。
用于增加有限数目的IP地址的效用的一个解决方案被称为网络地址转换(NAT)。NAT使得位于互联网和局域网之间的中间设备(例如,计算机、路由器、或交换机)可以用作一组本地计算机或设备的代理。指派小范围的IP地址或一个IP地址来代表本地组。并给予本地组中的每个设备一个仅用在该本地组中的本地IP地址。本地组的本地IP地址可以复制用在其他局域网中的IP地址。然而,由于他们的有限范围,不同本地组的本地IP地址不会互相冲突。当本地计算机试图与位于局域网之外的远程计算机通信时,中间设备将本地计算机的本地IP地址与中间设备的被指派IP地址之一相匹配。然后,中间设备用所匹配的被指派IP地址来替换本地计算机的本地地址。然后,所匹配的被指派IP地址被用于在本地计算机和远程计算机之间通信。一般,NAT设备截取分组并在经由互联网服务提供商的设施将它们转发到目的接收者之前执行网络地址转换。
一个新的协议(互联网协议版本6(IPv6))允诺了一个超过可预见未来的连接需求的IP地址空间。但是,IPv6还处于其运用的早期阶段。当前,使企业中的客户端团体能够被唯一地访问一般是通过NAT实现的。通常,共享IP地址的设备越多,互联网服务提供商必须分配给该地址的带宽越大。为了优化其设施的使用并确保与合同条款(例如,被允许同时使用一个互联网连接的设备的数目)的兼容,互联网服务提供商希望知道在一个NAT单元之后有多少个设备同时有效。
附图说明
为了更好地理解本发明,参考作为示例的、将结合附图来阅读的本发明的详细描述,在附图中,相似的元件被给予相同的参考标号,并且其中:
图1是根据本发明的公开实施例的用于确定数据网络上的位于NAT设备之后的设备数目的装置的示意图;
图2是根据本发明的公开实施例的区分共享IP地址的不同联网设备的方法的流程图;
图3是根据本发明的公开实施例的用于检测共享一个共同的IP地址的多个联网设备的方法的流程图;
图4是示出根据本发明的公开实施例的用于记录随着时间的推移检测到的设备的数目的示例性阵列的示意图;
图5是根据本发明的公开实施例的随着时间的推移标示出了多个分组流(flow)的IPID字段值的图表;以及
图6是示出根据本发明的公开实施例的不同时间点处的与图4中所示的阵列相类似的阵列的状态的一系列图表。
具体实施方式
在下面的描述中,为了提供对本发明的彻底理解,阐述了大量的具体细节。然而,本领域技术人员将明白,在没有这些具体细节的情况下,本发明也可以实现。在其他实例中,没有详细示出用于传统算法和处理的计算机程序指令的细节、公知电路、以及控制逻辑,以不造成对本发明的不必要的模糊。
体现本发明的多个方面的软件编程代码一般被保存在诸如计算机可读介质之类的永久性存储器中。在客户端-服务器环境中,这种软件编程代码可以被存储在客户端或服务器上。软件编程代码可以被体现在结合数据处理系统一起使用的各种已知介质中的任何一种上。这包括但不限于诸如磁盘驱动器、磁带、压缩光盘(CD)、数字视频光盘(DVD)之类的磁和光存储设备、以及被体现在具有或不具有其上调制了信号的载波的传输介质中的计算机指令信号。例如,传输介质可以包括诸如互联网的通信网络。另外,尽管本发明可以被体现在计算机软件中,但是可替代地,实现本发明所必需的功能也可以部分或全部使用诸如专用集成电路或其他硬件之类的硬件部件或硬件部件和软件的一些组合来体现。
概述
信息以具有头和数据有效载荷的分组(数据报)的形式在互联网上传送。除了IP地址以外,IP分组头还包含可以在互联网(例如,在URL“www.rfc-archive.org”)上获得的其他信息,如文件RFC 791所指定的。特别地,IP分组头包含IP标识字段(IPID字段)。如RFC 791中所阐明的,IPID字段被计划用于区别一个数据报的片段(fragment)和另一个数据报的片段。互联网数据报的发起者将IPID字段设置为这样的值,该值在该数据报将在互联网系统中有效的时间期间内对于源-目的地对和协议而言是唯一的。
已经在实践中观察到,IPID字段通常被实现为一个简单的计数器。结果,由一个设备发出的连续分组携带了顺序的IPID值。本发明的多个方面利用了这个事实。连续的IPID字段值串代表来自一个设备的连续分组串。不同的设备可以利用相同的IPID字段值发起传输。然而,由于很多因素,例如所发送和所接收的分组的不同混合以及分组生成的不同速率,使得多个设备的IPID字段值迅速差异化(diverge)。所以,从不同设备发起的分组的IPID字段值通常处在不同的范围中。跟踪IPID字段值能够使得不同设备可以被识别。在可以在互联网上的URL“http://www.cs.columbia.edu/~smb/papers/fnat.pdf”获得的由Steven M.Bellovin所著的文献“A Technique for Counting NATted Hosts”中已经提出,通过分析分组流中的IPID字段值来确定NAT之后的主机的数目。然而,作者也陈述到,所提出的方法主要适用于分析具有相对较小的内联网通信量的NAT的服务网络,例如,家庭NAT和宾馆NAT的服务网络,而不适用于趋于运行他们自己的文件和电子邮件服务器的大多数商业网络。
根据本发明的一些方面的解决方案采用了基于IP堆栈的NAT代理设备检测算法,该算法的运算是基于以下事实的:NAT对于分组流几乎是完全透明的。仅有输出源IP和端口、以及输入目的地IP和端口被修改。
本发明的实施例提供了一种用于标识分组交换网上的多个设备的方法,该方法通过以下步骤执行:对穿过网络的多个数据分组中的一部分进行采样,其中,该部分少于该多个分组的全部;识别具有公共的源地址的第一被采样分组和第二被采样分组;对第一和第二被采样分组的数字标识字段进行比较;以及响应于该比较,确定第一被采样分组和第二被采样分组是由不同设备发出的。
该方法的一方面包括对经由NAT中介访问网络的多个设备的数目进行计数。
根据该方法的另一方面,数字标识字段是IPID字段。
根据该方法的一方面,多个分组被多个设备在多个分组流中发出,并且采样包括:在测量间隔期间,估计该多个分组流之一的第一分组、最后分组、以及中间分组。
该方法的另一方面,确定包括:获取第一被采样分组的数字标识字段和第二被采样分组的数字标识字段之间的差值,并且当该差值超过预定值时,确定第一被采样分组和第二被采样分组是由这些设备中的不同设备发出的。
该方法的再一方面包括:维护具有共同的源地址的当前被识别的设备的列表;为每个当前被识别的设备记录分组信息,该分组信息包括最后观察到的数字标识字段和最后观察到的时间戳。该方法进一步通过以下步骤执行:使用新的被采样分组作为第一被采样分组,并使用各个当前被识别的设备的最后观察到的数字标识字段作为第二被采样分组,叠代(iterate)所述比较;并且在新的被采样分组的数字标识字段与每个当前被识别的设备的最后观察到的数字标识字段相差大于预定差值时,将新的被采样分组与新的被识别的设备相关联。
当新的被采样分组的数字标识字段与任意一个当前被识别的设备的最后观察到的数字标识字段都相差不大于预定差值时,该方法包括:将该新的被采样分组与多个当前被识别的设备之一相关联,其中,新的被采样分组的数字标识字段和该一个当前被识别的设备的最后观察到的数字标识字段之间的差值最小;以及利用来自新的被采样分组的相应信息更新该一个当前被识别的设备的最后观察到的数字标识字段和最后观察到的时间戳。
该方法的又一方面包括:计算当前时间和多个当前被识别的设备之一的最后观察到的时间戳之间的不活动(inactivity)间隔,其中,该不活动间隔超过了预定长度;并且从列表删除该一个当前被识别的设备。
本发明的实施例提供了一种用于标识分组交换网上的多个设备的计算机软件产品,包括其中存储有计算机程序指令的计算机可读介质,其中,当该计算机程序指令被计算机读取时,该指令使得计算机:对穿过网络的多个数据分组中的一部分进行采样,该多个分组中的每个都包括源地址和数字标识字段,其中,该多个数据分组的一部分少于该多个分组的全部。计算机进一步被指示:识别具有公共的源地址的第一被采样分组和第二被采样分组,以计算第一和第二被采样分组的数字标识字段之间的差值;并且响应于该比较,确定第一被采样分组和第二被采样分组是由多个设备中的不同设备发出的。
本发明的实施例提供了一种用于标识分组交换网络上的多个设备的系统,包括:检测单元,用于对穿过网络的多个数据分组中的一部分进行采样,其中,该多个数据分组中的一部分少于该多个分组的全部。该系统包括从检测单元接收数据的处理单元,该处理单元用于:识别具有公共的源地址的第一被采样分组和第二被采样分组,对第一被采样分组的数字标识字段和第二被采样分组的数字标识字段进行比较,以及响应于该比较,确定第一被采样分组和第二被采样分组是由该多个设备中的不同设备发出的。
本发明的实施例提供了一种用于标识分组交换网上的多个设备的系统,包括:检测装置,用于对穿过网络的多个数据分组中的一部分进行采样,其中,该多个数据分组中的一部分少于该多个分组的全部。该系统包括用于分析来自检测装置的数据的处理装置,该处理装置用于:识别具有公共的源地址的第一被采样分组和第二被采样分组,对第一被采样分组的特性和第二被采样分组的相应特性进行比较,并且响应于该比较,确定第一被采样分组和第二被采样分组是由该多个设备中的不同设备发出的。所述特性可以是IPID字段值或发送者名称。
根据该系统的再一方面,处理装置还用于:响应于所述特性,确定每个单位时间的HTTP流的数目,并且根据HTTP流的数目来对设备的数目进行计数。
现在转到附图,首先参考图1。图1是根据本发明的公开实施例的适合用于确定数据网络上的NAT之后的设备的数目的装置10的示意图。装置10一般由互联网服务提供商操作,该装置10包括检测部件12(SCE)和收集管理器14(collection manager,CM)。收集管理器14包括数据处理部件16和数据存储设备18。检测部件12和收集管理器14可以被实现为包括处理器和存储器的通用计算机。存储器包含对应于图1中所示的功能块的对象。可替代地,检测部件12和收集管理器14的元件可以被实现为专用于执行下面描述的算法的专用硬件。
检测部件12被连接至数据网络,并且从数据网络接收从NAT 20发起的分组流。分组可以遵循诸如某版本的多协议标签交换协议(MPLS)之类的隧道传输协议。NAT 20为在图1中代表性地示为个人计算机的任意数目的通信设备22服务。但是,设备22不限于计算机,还可以是在很多组合中的很多不同种类的联网设备,例如是不同种类的电器。
检测部件12是从NAT 20接收所有输出网络通信量的网络元件,并可以从其他分组源(他们本身可以是NAT的)24接收网络通信量。到检测部件12的输入被示出为分组流26。NAT 20的IP地址与源24的IP地址不同。通信量被从检测部件12传递到诸如互联网的数据网络28。检测部件12不会阻塞任何网络通信量。然而,一些分组被检测部件12从分组流26中采样出来。没有被采样的分组可能在检测部件12中被认出但被忽略,或者可能完全没有被认出。在检测部件12中采样的分组部分可以不同,但是要少于穿过的全部分组。
作为包含有关在被采样分组中找出的IPID值的信息的消息,报告数据记录(RDR)被从检测部件12发送到收集管理器14。RDR被根据IP地址分离到各个数据流中。流中的每项都包括分组数字标识字段(一般是IP头的IPID字段),并且还包括时间戳。可替代地,其他头字段可以用作数字标识字段。一般,流信息最初被集中在存储器30中。当在RDR中累积了阈值数目的分组提取物(packet extract)时,RDR被经由链路32发送到收集管理器14中的数据处理部件16。
尽管检测部件12和收集管理器14在图1中被示为分离的元件,但是他们可以位于一处甚至可以被结合在同一个物理单元中。
在测量间隔期间,检测部件12选择特定的分组作为代表性的采样。该测量间隔不是关键的,而可以根据通信量的量和设备能力来选择。一小时的间隔期间是合适的。根据公知的TCP协议,通过传输SYN分组(其打开TCP套接字)来建立分组流。流中的最后分组通常是TCP FIN分组,此时,套接字被释放。从具有公共的IP地址的流中的分组提取的采样可被选择用于由数据处理部件16进行的如下分析:(1)在测量间隔期间由检测部件12观察到的第一分组和(2)第二分组;以及(3)在测量间隔期间的任何时间发生的流的至少一个其他分组。在短流的情况下,仅有第一和最后分组可以被采样。
还可以使用其他采样方案(例如,随机采样),只要采样的数目是分组流26的任意小部分。通过忽略一些分组,装置10可以处理从大量设备和IP地址发起的通信量,而不变得饱和。
所提取的信息被传递到收集管理器14的数据处理部件16。检测部件12在缓冲器中收集IPID字段值,并且仅在缓冲器满时向数据处理部件16DC发送RDR。缓冲器的大小和RDR通信量之间存在折衷。缓冲器越大,RDR通信量越低,反之亦然。
在一些实施例中,通过忽略连续的IPID字段值(或者与前一IPID字段值相差小于预定值的那些IPID字段值)来达到最佳性能。这些被认为是从相同设备发起的,并且不需要由数据处理部件16分析。另一方面,具有相差足够大的值(一般为3000—5000)的IPID字段值的两个分组被推测视为从两个不同设备发起。实际上,这两个分组可能是从相同的设备发起的。然而,如下面所解释的,老化机制(aging mechanism)防止了对当前有效的设备的计数的错误上升。不过,在其中的IPID值增长相对较慢的设备的情况下,如果太多的IPID值被过滤,则存在不适当地使设备老化的风险。所以,必需通过施加在从RDR去除IPID值之前需要满足的以下两个条件来谨慎地进行优化:如果(1)IPID值足够接近以前看到的IPID值,并且(2)自从上一个IPID值被报告开始经过的时间没有超过阈值,则该IPID值可以被从RDR去除。
数据处理部件16在特定端口上监听检测部件12以获得原始数据记录。当原始数据记录到达时,数据处理部件16提取分组头的适当字段,并响应于字段值发送原始数据记录。数据处理部件16处理原始数据记录并检测有多少不同设备位于与该原始数据相关联的IP之后。原始数据记录和由数据处理部件16从原始数据记录中得到的数据被存储在存储设备18中。数据处理部件16累积数据并计算测量流活动性(flow activity)的统计数字。数据处理部件16时常访问存储设备18中的数据库,以访问生成由收集管理器14发布的报告所需的数据。
数据处理部件16运行下面描述的算法,通过该算法确定有多少不同设备正在使用NAT 20的IP地址。另外,该算法还可以被应用于每一个源24。收集管理器14对从数据处理部件16的输出得到的统计信息进行编辑(compile),并可以按预定时间或根据需要生成报告。
检测共享IP地址的设备
继续参考图1,由数据处理部件16执行的算法是基于这样的事实的:在TCP/IP协议中,经典IP堆栈中的每个设备执行分组计数器,并将计数器的当前值插入IPID字段中。最初的计数可以在任意数字开始,从该任意数字开始,分组数目逐一增加直到达到最大值,在最大值处分组数目归零。当多个设备共享一个IP地址时,它们的分组计数器通常具有不同的值,并且根据他们各自的通信量发起点以不同的速率增加。如果在短时间间隔期间,观察到两个分组具有相同的IP源地址,但是该两个分组具有充分不同的IPID字段值,则可以推断该两个分组是由不同设备生成的。一般,在这样的间隔期间观察到的“非常不同”的IPID字段值的数目提供了对于同时有效的共享一个IP地址的多个有效设备的数目的保守估计。在离散时间点对分组进行采样,并通过内插确定中间时间点。优选地,在一个流的开头、结尾处对分组进行采样,并且在较长的流的情况下,在流期间每30秒对分组进行一次采样。
下面描述的算法可能会低估NAT 20之后的设备22的数目。例如,在流传输应用中,由一些设备发出的分组流可能如此长以致于采样处理不能检测到他们。
现在参考图2,图2是根据本发明的公开实施例的用于区别共享一个IP地址的不同联网设备的方法的高级流程图。分组流串(stream)被采样并被划分到多个流信道(他们是具有共同的IP地址的序列)中。在最初的步骤34处,所述流信道之一的第一分组被检查。它的IPID字段值(ID1)和它的时间戳(PT1)被记录。这里,时间戳被记录为该分组在检测部件12(图1)中被处理的时间。
接着,在步骤36处,在最初的步骤34中使用的同一流信道的第二分组被检查。他的IPID字段值(ID2)和他的时间戳(PT2)被记录。
现在控制进行到判决步骤38,在该步骤确定第二分组的IPID字段值是否小于第一分组的IPID字段值。如果判决步骤38处的判定是肯定的,则控制进行到最终的步骤40。将会想到,由相同设备产生的连续分组的IPID字段值增加。所以,第一和第二分组被确定为由不同设备产生,并且过程结束。
如果判决步骤38处的判定是否定的,则控制进行到判决步骤42。现在通过确定差值ID2—ID1来估计两个分组的IPID字段值。可以确定由在所有中间时间点产生第一分组的设备发出的多个分组中的IPID字段值将采取的值,以得出IPID字段值的取决于时间的最大值(IPID_DIFF)。参数IPID_DIFF的一般值为300—500。针对流速率和正在处理的流的数目,调整该参数的值。在判决步骤42中,确定差值ID2—ID1是否超过了值IPID_DIFF。
如果判决步骤42处的判定是肯定的,则控制进行到最终的步骤40。
如果判决步骤42处的判定是否定的,则控制进行到最终的步骤44。不能推断不止一个设备产生了第一和第二分组。
现在参考图3,图3是根据本发明的公开实施例的用于检测共享共同的IP地址的多个联网设备的方法的流程图。参考一个IP地址来对该方法进行解释。然而,将会理解,可以同时估计任意数目的IP地址。为了下面说明的目的,假设分组流串的采样已经被过滤,并且所有分组被认为具有一个共同的IP地址。为了陈述的清楚,图3中以线性顺序示出了处理步骤。然而,将会明白,他们中的很多可以被并行、异步、或者以不同的次序执行。
在最初的步骤46处,用于当前被估计的IP地址的以下数据结构被初始化:
(1)用于保存下述信息的一维环形阵列,该信息描述了在多个时间点检测出的设备的数目。4KB对于该阵列是合适的。
(2)当前检测出的设备的列表。该列表记录与设备相关联的最后的分组采样的时间戳和IPID字段值。
(3)用于保存当前分组采样的时间戳和IPID字段值的数据结构。
现在参考图4,图4是示出根据本发明的公开实施例的用于记录随着时间的推移被检测出的设备的数目的示例性阵列48的示意图。阵列48具有3600个元素并且保存一个小时的数据。所以,该阵列可以以秒为粒度来记录检测出的设备的数目。到该阵列的索引50是以3600为模数增加的。在图4中,索引50指向阵列48的第3596个元素(其具有值3)。这意味着在当前测量时间间隔的第3596秒处有三个共享相同IP地址的设备是有效的。阵列48通常是稀疏阵列。在必需节省存储器的环境中,可能希望利用另一个数据结构(例如,链表)来跟踪检测出的设备的数目。确实,如本领域所公知的,可以使用很多不同的数据结构来维护随着时间的推移对有效设备的记录。
再次参考图3,在最初的步骤46之后,控制进行到步骤52,在该步骤,选择一个分组作为当前采样。在后续步骤中,当前采样的数据将被与在最初的步骤46中建立的设备列表中的相应数据比较。当前采样具有时间戳(currentTimePoint)和IPID字段值(currentIPID)。
接着,在步骤54处,选择在最初的步骤46中被初始化的列表的元素。在步骤54的第一次叠代上,当前采样被作为该列表的第一元素插入该列表。所以,所选择的元素等于当前元素。
现在控制进行到判决步骤56,在该步骤,确定值“currentIPID”是否比在判决步骤56的在前叠代中找出的最接近的IPID字段值更接近在步骤54中选择的元素的IPID字段值。当然,这个判定在判决步骤56的第一次叠代上将总是肯定的。
如果判决步骤56处的判定是肯定的,则控制进行到步骤58。在步骤54中选择的元素被标记为具有接近的IPID字段值,并且暂时被标识为当前元素。
在完成步骤58后,或者在判决步骤56处的判定是否定的情况下,控制进行到判决步骤60,在该步骤,确定列表中是否存在其余设备需要被处理。如果判决步骤60处的判定是肯定的,则控制返回到步骤54并开始另一个循环的叠代。
如果判决步骤60处的判定是否定的,则控制进行到判决步骤62。这里,执行上面参考图2描述的方法,并且判断由当前采样表示的设备是否确实与在步骤58中利用当前采样暂时标识的设备等同。
如果判决步骤62处的判定是否定的,则控制进行到下面描述的步骤64。
如果判决步骤62处的判定是肯定的,则控制进行到步骤66。在步骤58中作出的暂时标识现在被确认。没有新的设备被检测到。对应于时间“currentTimePoint”的阵列的元素被指派了一个等于有效设备的当前数目的值。
接着,在步骤68处,与利用当前采样标识的设备相对应的列表条目(最初的步骤46)的IPID字段值和时间戳被更新为当前采样的值。控制进行到下面描述的步骤70。
如果判决步骤62处的判定是否定的,则推断新的设备已经被检测到。在步骤64处,设备的当前数目增加。然后,在步骤72处,对应于时间“currentTimePoint”的阵列的元素被指派了一个等于有效设备的当前数目的值。
接着,在步骤74处,通过将当前采样作为新的元素添加到当前被检测到的设备的列表中来登记该新的设备。
在步骤68或步骤74的执行之后,这样的序列开始:其中,设备列表被再次扫描,以识别已经无效达预定时间段的设备(即,在该时间间隔内没有接收到由该设备标识的分组)。120秒是这个间隔的典型值。这样的一个设备被认为是“过期”(aged)的,并被从设备列表中去除。这样做是为了防止看到设备的IPID字段值中的较大的不一致,这将导致不能用无效设备来标识当前采样。如果发生了这种情况,则当前采样可能被不正确地归类为新的设备。将从图2的讨论中想到,当一个设备的最后已知IPID字段值和当前采样的IPID字段值之间的差值超过值IPID_DIFF时,推断当前采样与正在被比较的设备不相对应。设备的老化确保了这种错误归类不会发生。
有不止一个原因使得设备被看作是无效的:例如,设备可能被断开了或者是不起作用了。可替代地,设备可能已经被内联网通信量占用,这不能通过NAT看出。作为进一步的可能性,分组采样率相对于由该设备生成的通信量可以非常低。
在步骤70处,在最初的步骤46中被初始化的列表的元素被选择。
现在控制进行到判决步骤76,在该步骤,确定对应于当前元素的设备是否是无效的。如果判决步骤76处的判定是否定的,则控制直接进行到下面描述的判决步骤78。在一些实施例中,包括判决步骤76的循环不需要与采样周期同步,如图3所示。相反,其可以按预定的时间间隔执行。
如果判决步骤76处的判定是肯定的,则控制进行到步骤80。当前设备的数目减少了。对应于当前元素的设备被从列表中删除。
接着,在步骤82处,对应于时间“currentTimePoint”的阵列的元素被重新指派了一个等于有效设备的当前数目的值。
现在控制进行到判决步骤78,在该步骤,确定是否有列表的其余设备需要被估计。如果判决步骤78处的判定是肯定的,则控制返回到步骤70以开始循环的新的叠代。
如果判决步骤78处的判定是否定的,则控制返回到步骤52以处理另一个分组采样。
通过扫描阵列并识别阵列元素中的最大值可以确定同时有效的共享IP地址的设备的数目。这可以在测量间隔期间结束后的任何时间进行。将可以想到,该阵列是环状的,所以与测量间隔期间相等的最后的时间间隔通常可以在第一测量间隔结束后获得。还可以在测量间隔期间结束之前获取初步判定,可以理解,这相对于等待测量间隔期间的结束是不太准确的。
IPID计算
IPID字段是16比特的字段。如上所述,在连续分组中,每个设备的IPID字段值总是增加。然而,如上所述的文件RFC-791没有指定IPID字段的格式,实际中,根据发起分组的设备的操作系统所采用的字节次序,使用两种方法来增加IPID字段值。用于下面的示例目的的一种方法被假设为遵循装置10(图1)的固有字节解释,高字节在低字节之前,并且增加低字节。使用这种方法,装置10将如下所示地解释两个连续的示例性IPID字段值:
IPn-1=0x2233
IPn=0x2234
在另一种方法中,低字节在高字节之前。但是,仍然增加低字节。装置10将如下解释以上示例:
IPn-1=0x2233
IPn=0x2333
装置10本身不限于任何字节次序。不管其固有字节次序如何,都仅需要使用两种字节次序来执行以上参考图2和图3描述的比较。通过比较两个IPID字段值之间的差值并选择两种可能中的更合理的一个来选择将被用于特定设备的字节次序。
示例
现在参考图5,图5是根据本发明的公开实施例的其中由线段84、86、88表示的多个分组流的IPID字段值随着时间的推移而被绘制的图表。如上所述进行采样,并使用图2和图3所示的方法对采样进行处理。
图5中的图表还具有两个虚线段90、92,他们表示被采样IPID数据的可能的替代解释。虚线段90表示由一个设备在时间间隔350—850期间对分组IPID字段值的估计,其中,该设备如下所述可以与线段86、88相关联。可推测,由于对分组流串的相对稀疏的采样,这些分组被采样处理错过了。所以,在处理中的这点处,不清楚点94和96是属于在不同时间发送流的两个设备还是属于一个设备。这个不确定可以在随后的处理中解决。类似地,由于产生内联网通信量或变化通信量的可能性,不能立即确定应该将线段84、98与同一个设备相关联还是与不同设备相关联。这个不确定由虚线段92示出。
在时间100处,第一流被打开并且采样被进行。当前被采样分组IPID字段值被确定为2400。这个值被标示为线段84的端点100。新的设备被添加到设备列表中,其条目具有当前IPID字段值2400以及时间戳100。阵列48(图4)的元素100被设置为1。元素0—99具有值0(未示出)。
接着,在时间200处,第二流被打开,并且被采样分组IPID字段值被确定为5000。根据参数IPID_DIFF,由端点100表示的分组的IPID字段值(2200)和新的IPID字段值(5000)之间的差值太大以致于与由一个设备发出的分组不一致。所以推断不同的设备打开了流。新的设备被添加到了具有当前IPID字段值5000和时间戳200的设备列表中。阵列48的元素200被设置为1。此时元素200没有被设置为值2,因为还不能确定在时间100处识别的设备当前有效。但是,如果涉及那个设备的分组将来被识别,则逆溯地进行判定。当前IPID字段值被标示为线段86的端点102。
接着,在时间250处,第三流被打开,并且被采样分组IPID字段值被发现为2000。在采用图2中所述的方法的过程中发现,当前已知有效的设备的最后已知IPID字段值(2200,5000)和新的IPID字段值(2000)之间的差值是负的。所以,新流不可能是由他们中的任一个发出的。新设备被添加到了具有当前IPID字段值2000和时间戳250的设备列表中。新IPID字段值被标示为线段88的端点104。阵列48的元素250被设置为1。
现在参考图6,图6是根据本发明的公开实施例的表示在涉及图5的不同时间点处的阵列48(图4)的状态的一系列图表106、108、110、112、114、116。其中,在箭头下面示出了元素编号,并且已经被设置的元素的值由箭头104上面的数字表示。在图表106中,阵列的元素100、200、和250都已经具有值1。
再次参考图5,在时间350处,具有IPID字段值2600的分组已经到达。在已知的设备中,具有最接近的最后已知IPID字段值(IPID字段值2400)的设备是第一设备,该设备已被标示为端点100。利用第一设备标识第一分组。其列表条目被更新,从而使得其当前IPID字段值被设置为2600。可以推断,在100(设备的最后已知时间戳)和350(设备的当前时间戳)之间的时间,第一设备一直有效。为了指示这种情况,100和350之间的阵列48中的所有元素的值都加1。
从图3的讨论可以想到,当最新检测到的IPID值被指派给现有设备时,从看见这个设备的上一时间到当前之间,阵列中的所有值都增加了。这是追溯既往地实现的,因为指派给阵列元素的值表示在由该元素表示的时间处已知明确存在的设备的数目。由于以前已知的设备已经全都变得过期,所以表示当前采样的时间的阵列元素的值不能大于1。只有被指派给当前采样的设备在当前时间是已知为明确存在的。
设置中间元素(即,元素101—349)的值提供了用于分析的有用图表。然而,作为优化,这个步骤可以被省略。当前分组的IPID字段值被标示为点94。注意,在图5中的IPID轴上,与端点100相关联的设备最接近点94。因此,利用当前IPID字段值和时间戳来更新第一设备的列表条目。
如图表108(图6)中所示,在上述增量之后,阵列48的元素100—199、201—249、以及251—350具有值1,并且元素200和250具有值2。
在时间600处,具有IPID字段值5100的分组已经到达。在当前列出的有效设备中,具有最接近的IPID字段值(5000)的设备是第二设备,该设备被标示为端点102。利用当前IPID字段值和时间戳来更新第二设备的列表条目。其当前IPID字段值被设置为5100,并且第二设备的上一时间戳(200)和当前时间戳(600)之间的阵列48的元素加1。元素600被指派了值1,元素351—600的值也被设置为了1。当前分组的IPID字段值在线段86上被标示为点118。
如图表110(图6)中所示,在上一增量后,元素250具有值3。阵列48的元素201—249以及251—350现在具有值1。
在时间800处,具有IPID字段值2800的分组已经到达。在当前列出的有效设备中,具有最接近的IPID字段值的一个设备是第一设备,该设备具有当前IPID字段值2600。第一设备被利用当前分组来标识。该分组被标示为线段84上的点120。分别利用当前IPID字段值和时间戳2800和800来更新第一设备的列表条目。如图表112(图6)上所示,元素800被指派了值1。元素600增加,并且现在具有值2。元素601—799被设置为值1(未示出)。
在时间850处,具有IPID字段值5300的分组已经到达。重复上述分析,这个分组被归结于与线段86相关联的设备,分别用当前IPID字段值和时间戳5300和850来更新该设备。该分组被标示为点96。元素850被设置为值1。在评估历史数据之后,与线段88相关联的设备看起来已经无效,并且因而通过从当前有效设备的列表中的删除而过期。对于使一个设备老化,没有活动性的120秒的时间间隔是适当的。有效设备的数目减少了。元素351—849被减少。在这些操作完成后,如图表114中所示,元素800—849具有值2。
在时间1100处,三个分组已经到达。重复上述分析(为了简短,省略了其细节),具有IPID字段值5300的一个新分组被归结于与线段86相关联的设备并且被标示为点122。
另一个新分组具有IPID字段值5800。由于以上给出的原因,其被归结为新设备并被标示为点124。有效设备的数目加1。
最后的新分组具有IPID字段值5100。其被归结为新设备并被标示为作为线段98的一个端点的点126。有效设备的数目加1。
现在注意,与线段84相关联的设备已经变得无效。有效设备的数目减1。如图表116(图6)上所示,时间1100处的活动性的最终效果是有效设备的数目加1。
如果在当前的测量间隔期间,没有进一步的活动性发生,则具有相同IP地址的设备的数目将被确定为三。其中,三是观察到的有效设备的最大数目,如通过对图表106、108、110、112、114、116(图6)的查阅可以明显看到的。
优化
再次参考图4,为了避免在每次采取新的采样时重复对历史数据的评估,扫描在直接处于当前采样之前的时间间隔期间收集的数据,以检测最高值。该时间间隔至少延伸到上一采样的时间。然而,它决不会少于预定值(一般为120秒)。在确定最高值之后,对应于在前的时间间隔的元素被清除。将会想到,阵列48是环状的。所以,按模数3600执行阵列48的索引计算,以确定要估计和清除的元素。当然,在具有不同维数的阵列中,模数值将根据元素的数目而改变。
为了不受算法性能的限制,配置下面的数据结构:设置两个哈希表。一个表包含系统当前处理的IP地址(currentlyHandledIPs)。另一个表保存以前被处理的IP地址(alreadyHandledIPs)。两个表最初都是空的。
使用多个参数来配置该系统:
MaxIPs-系统可以同时处理的IP地址的数目;
IphandlePeriod-系统应该跟踪IP地址的最长时间(以分为单位);以及
RefreshPeriod-可在其间处理同一IP的时间间隔(以分为单位)。
当分组进入系统时,其IP地址被核对。如果IP地址出现在alreadyHandledIPs哈希表中,则其被忽略。如果IP地址不在alreadyHandledIPs哈希表中并且如果currentlyHandledIPs哈希表包含少于maxIPs个IP地址,则其被通过算法处理并被添加到currentlyHandledIPs哈希表中(如果其还不在那)。
当currentlyHandledIPs哈希表满时,也就是包含maxIPs个IP地址,则仅有由包含在currentlyHandledIPs哈希表中的IP地址生成的分组被处理,其余的所有分组都被忽略。
每IphandlePeriod分钟,currentlyHandledIPs哈希表中的所有IP地址都被复制到alreadyHandledIPs哈希表中,并且currentlyHandledIPs哈希表被清除。
每refreshPeriod分钟,两个哈希表都被清除。
替代实施例1
可以使用启发方法(heuristic method)来估计NAT之后的设备的数目,而不使用上述计算方法(或除了上述计算方法之外)。例如,检测部件12(图1)可以检测诸如新的HTTP流和/或SMTP发送者名称之类的特性。然后,针对给定的源IP地址,数据处理部件16可以分析每单位时间的HTTP流的数目、或不同SMTP发送者名称的数目。可以将这些数目与例如指示出下述情况的统计基准进行比较:一般设备每分钟生成n个HTTP流或被s个SMTP发送者名称所用。测量出的结果与相关基准值之比给出了对NAT之后的设备的数目的指示。
替代实施例2
在图3和图5的讨论中,一旦设备被检测到,就假设该设备不是继续有效直到该设备的活动性被后续的IPID字段值确认为止。在替代实施例中,在以其它方式被老化的决定证明之前,都假设设备是有效的。不管使用哪个替代实施例,最后的结果是一样的。
附录
表2示出了有关存储器消耗、RDR率、和CPU利用率的典型参数的模拟效果。
表2
| 通信量速度 250,000,000b/秒 |
| 订户数目 50,000 |
| 流的数目 800,000 |
| 流大小 15,000Kb |
| 每RDR的字段数目 10字节 |
| 所发送的RDR的数目 3333秒 |
| 每个订户的存储器使用量 40字节 |
| 每RDR的处理时间 10微秒 |
| 总处理时间 11,111微秒 |
| CPU利用率 1.11% |
本领域技术人员将明白,本发明不限于以上在本文中具体示出和描述的内容。相反,本发明的范围包括本领域技术人员在阅读前面的描述之后将会想到的以上在本文中描述的各种特征的组合和子组合以及不属于现有技术的本发明的变化和改变。
Claims (20)
1.一种用于标识分组交换网上的多个设备的方法,包括以下步骤:
对穿过所述网络的多个数据分组中的一部分进行采样,所述多个分组中的每一个都包括源地址和数字标识字段,所述多个数据分组中的一部分少于所述多个分组的全部;
识别第一被采样分组和第二被采样分组,其中,所述第一被采样分组的源地址和所述第二被采样分组的源地址是一个共同的源地址;
将所述第一被采样分组的数字标识字段和所述第二被采样分组的数字标识字段进行比较;以及
响应于所述比较步骤,确定所述第一被采样分组和所述第二被采样分组是由所述多个设备中的不同设备发出的。
2.根据权利要求1所述的方法,进一步包括对经由NAT中介访问所述网络的所述多个设备的数目进行计数的步骤。
3.根据权利要求1所述的方法,其中,所述数字标识字段是IPID字段。
4.根据权利要求1所述的方法,其中,所述多个分组被所述多个设备在多个分组流中发出,并且采样包括在测量间隔期间评估所述多个分组流中的一个分组流的第一分组、最后分组、以及中间分组。
5.根据权利要求1所述的方法,其中,所述确定步骤包括以下步骤:
获取所述第一被采样分组的数字标识字段和所述第二被采样分组的数字标识字段之间的差值;以及
当所述差值超过预定值时,确定所述第一被采样分组和所述第二被采样分组是由所述多个设备中的不同设备发出的。
6.根据权利要求1至5中任一项所述的方法,进一步包括以下步骤:
维护具有所述共同的源地址的多个当前被识别的设备的列表;
为所述多个当前被识别的设备中的每一个记录分组信息,其中,该分组信息包括最后观察到的数字标识字段和最后观察到的时间戳;以及
使用一个新的被采样分组作为所述第一被采样分组,并使用所述多个当前被识别的设备中的各个设备的所述最后观察到的数字标识字段作为所述第二被采样分组来叠代所述比较步骤;以及
当所述新的被采样分组的数字标识字段与所述多个当前被识别的设备中的每一个的最后观察到的数字标识字段相差都大于预定差值时,所述确定步骤包括将所述新的被采样分组与一个新的被识别设备相关联。
7.根据权利要求6所述的方法,进一步包括以下步骤:
当所述新的被采样分组的数字标识字段与所述多个当前被识别的设备中的任意一个的最后观察到的数字标识字段相差都不大于所述预定差值时,将所述新的被采样分组与所述多个当前被识别的设备中的一个当前被识别的设备相关联,其中,所述新的被采样分组的数字标识字段和所述一个当前被识别的设备的最后观察到的数字标识字段之间的差值最小;以及
利用来自所述新的被采样分组的相应信息来更新所述一个当前被识别的设备的最后观察到的数字标识字段和最后观察到的时间戳。
8.根据权利要求6所述的方法,进一步包括以下步骤:
计算当前时间和所述多个当前被识别的设备中的一个当前被识别设备的最后观察到的时间戳之间的不活动间隔,其中,所述不活动间隔超过预定长度;以及
从所述列表删除所述一个当前被识别的设备。
9.一种用于标识分组交换网上的多个设备的计算机软件产品,包括其中存储有计算机程序指令的计算机可读介质,其中,所述指令在被计算机读取时使得所述计算机:
对穿过所述网络的多个数据分组中的一部分进行采样,所述多个分组中的每一个都包括源地址和数字标识字段,所述多个数据分组中的一部分少于所述多个分组的全部;
识别第一被采样分组和第二被采样分组,其中,所述第一被采样分组的源地址和所述第二被采样分组的源地址是一个共同的源地址;
计算所述第一被采样分组的数字标识字段和所述第二被采样分组的数字标识字段之间的比较结果;以及
响应于所述比较结果,确定所述第一被采样分组和所述第二被采样分组是由所述多个设备中的不同设备发出的。
10.一种用于标识分组交换网上的多个设备的系统,包括:
检测单元,用于对穿过所述网络的多个数据分组中的一部分进行采样,所述多个分组中的每一个都包括源地址和数字标识字段,所述第一个数据分组的一部分少于所述多个分组的全部;以及
处理单元,从所述检测单元接收数据,所述处理单元用于识别第一被采样分组和第二被采样分组,其中,所述第一被采样分组的源地址和所述第二被采样分组的源地址是一个共同的源地址;
对所述第一被采样分组的数字标识字段和所述第二被采样分组的数字标识字段进行比较;以及
响应于所述比较,确定所述第一被采样分组和所述第二被采样分组是由所述多个设备中的不同设备发出的。
11.根据权利要求10所述的系统,其中,所述处理单元用于:
获取所述第一被采样分组的数字标识字段和所述第二被采样分组的数字标识字段之间的差值;以及
当所述差值超过预定值时,确定所述第一被采样分组和所述第二被采样分组是由所述多个设备中的不同设备发出的。
12.根据权利要求10或11所述的系统,其中,所述处理单元用于:
维护具有所述共同的源地址的多个当前被识别的设备的列表;
为所述多个当前被识别的设备中的每一个记录分组信息,其中,该分组信息包括最后观察到的数字标识字段和最后观察到的时间戳;以及
使用新的被采样分组作为所述第一被采样分组,并使用所述多个当前被识别的设备中的各个设备的最后观察到的数字标识字段作为所述第二被采样分组,叠代进行所述比较的新实例;以及
当所述新的被采样分组的数字标识字段与所述多个当前被识别的设备中的每一个的最后观察到的数字标识字段相差都大于预定差值时,将所述新的被采样分组与一个新的被识别的设备相关联。
13.根据权利要求12所述的系统,其中,当所述新的被采样分组的数字标识字段与所述多个当前被识别的设备中的任意一个的最后观察到的数字标识字段相差都不大于所述预定差值时,所述处理单元用于:
将所述新的被采样分组与所述多个当前被识别的设备中的一个当前被识别的设备相关联,其中,所述新的被采样分组的数字标识字段和所述一个当前被识别的设备的最后观察到的数字标识字段之间的差值最小;以及
利用来自所述新的被采样分组的相应信息来更新所述一个当前被识别的设备的最后观察到的数字标识字段和最后观察到的时间戳。
14.根据权利要求12所述的系统,其中,所述处理单元用于:
计算当前时间和所述多个当前被识别的设备中的一个当前被识别的设备的最后观察到的时间戳之间的不活动间隔,其中,所述不活动间隔超过预定长度;以及
从所述列表删除所述一个当前被识别的设备。
15.一种用于标识分组交换网上的多个设备的系统,包括:
检测装置,用于对穿过所述网络的多个数据分组中的一部分进行采样,所述多个分组中的每一个都包括源地址和数字标识字段,所述多个数据分组中的一部分少于所述多个分组的全部;以及
处理装置,用于分析来自所述检测装置的数据,所述处理装置用于:
识别第一被采样分组和第二被采样分组,其中,所述第一被采样分组的源地址和所述第二被采样分组的源地址是一个共同的源地址;
对所述第一被采样分组的特性与所述第二被采样分组的所述特性进行比较;以及
响应于所述比较,确定所述第一被采样分组和所述第二被采样分组是由所述多个设备中的不同设备发出的。
16.根据权利要求15所述的系统,其中,所述特性是IPID字段值。
17.根据权利要求15所述的系统,其中,所述特性是发送者名称。
18.根据权利要求15所述的系统,其中,所述处理装置用于响应于所述特性而确定每个单位时间的HTTP流的数目,以及用于根据所述HTTP流的数目对所述多个设备的数目进行计数。
19.根据权利要求15至18中任一项所述的系统,其中,所述处理装置用于对经由NAT中介访问所述网络的所述多个设备的数目进行计数。
20.根据权利要求15至18中任一项所述的系统,其中,所述多个分组被所述多个设备在多个分组流中发出,并且所述检测装置用于通过在测量间隔期间评估所述多个分组流中的一个分组流的第一分组、最后分组、和中间分组来进行采样。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/430,689 US7433325B1 (en) | 2006-05-09 | 2006-05-09 | NAT and proxy device detection |
| US11/430,689 | 2006-05-09 | ||
| PCT/IL2007/000527 WO2007129301A2 (en) | 2006-05-09 | 2007-04-30 | Nat and proxy device detection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101502052A true CN101502052A (zh) | 2009-08-05 |
| CN101502052B CN101502052B (zh) | 2012-04-18 |
Family
ID=38668164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800169925A Expired - Fee Related CN101502052B (zh) | 2006-05-09 | 2007-04-30 | Nat和代理设备检测 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7433325B1 (zh) |
| EP (1) | EP2016712B1 (zh) |
| CN (1) | CN101502052B (zh) |
| WO (1) | WO2007129301A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107820043A (zh) * | 2016-09-14 | 2018-03-20 | 华为技术有限公司 | 视频监控系统的控制方法、装置及系统 |
| CN111131339A (zh) * | 2020-04-01 | 2020-05-08 | 深圳市云盾科技有限公司 | 一种基于ip标识号的nat设备识别方法及系统 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4677340B2 (ja) * | 2005-12-21 | 2011-04-27 | キヤノン株式会社 | 情報処理装置、情報処理方法、プログラム、及び記憶媒体 |
| CN100562020C (zh) * | 2007-03-30 | 2009-11-18 | 华为技术有限公司 | 检测方法、统计分析服务器以及检测系统 |
| US8180892B2 (en) * | 2008-12-22 | 2012-05-15 | Kindsight Inc. | Apparatus and method for multi-user NAT session identification and tracking |
| US9674195B1 (en) * | 2014-06-25 | 2017-06-06 | Symantec Corporation | Use of highly authenticated operations to detect network address translation |
| JP6348019B2 (ja) * | 2014-08-28 | 2018-06-27 | ルネサスエレクトロニクス株式会社 | 通信システム、通信装置、自動車および通信方法 |
| JP6672925B2 (ja) * | 2016-03-22 | 2020-03-25 | 富士ゼロックス株式会社 | 通信プログラム及び通信装置 |
| US10523715B1 (en) * | 2016-08-26 | 2019-12-31 | Symantec Corporation | Analyzing requests from authenticated computing devices to detect and estimate the size of network address translation systems |
| US20190215300A1 (en) * | 2018-01-09 | 2019-07-11 | Circle Media Labs Inc. | Devices, networks, storage media, and methods for identifying client devices across a network address translation border |
| CN110049147B (zh) * | 2019-03-28 | 2020-07-31 | 中国科学院计算技术研究所 | 一种nat后主机数量检测方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6629137B1 (en) * | 2000-04-26 | 2003-09-30 | Telefonaktiebolaget L.M. Ericsson | Network interface devices methods system and computer program products for connecting networks using different address domains through address translation |
| US7243141B2 (en) * | 2002-05-13 | 2007-07-10 | Sony Computer Entertainment America, Inc. | Network configuration evaluation |
| KR100607146B1 (ko) * | 2003-11-10 | 2006-08-01 | 전북대학교산학협력단 | Id 의 연속성과 세션 그룹화를 이용한 네트워크 주소 변환기와 연결되어 사용중인 컴퓨터의 수를 결정하는 방법 |
-
2006
- 2006-05-09 US US11/430,689 patent/US7433325B1/en not_active Expired - Fee Related
-
2007
- 2007-04-30 CN CN2007800169925A patent/CN101502052B/zh not_active Expired - Fee Related
- 2007-04-30 EP EP07736267.1A patent/EP2016712B1/en active Active
- 2007-04-30 WO PCT/IL2007/000527 patent/WO2007129301A2/en active Application Filing
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107820043A (zh) * | 2016-09-14 | 2018-03-20 | 华为技术有限公司 | 视频监控系统的控制方法、装置及系统 |
| CN107820043B (zh) * | 2016-09-14 | 2020-09-11 | 华为技术有限公司 | 视频监控系统的控制方法、装置及系统 |
| CN111131339A (zh) * | 2020-04-01 | 2020-05-08 | 深圳市云盾科技有限公司 | 一种基于ip标识号的nat设备识别方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2016712A2 (en) | 2009-01-21 |
| US7433325B1 (en) | 2008-10-07 |
| EP2016712A4 (en) | 2017-03-22 |
| EP2016712B1 (en) | 2019-07-17 |
| WO2007129301A2 (en) | 2007-11-15 |
| CN101502052B (zh) | 2012-04-18 |
| WO2007129301A3 (en) | 2009-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101502052B (zh) | Nat和代理设备检测 | |
| US11700275B2 (en) | Detection of malware and malicious applications | |
| Wagner et al. | Entropy based worm and anomaly detection in fast IP networks | |
| US8813220B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
| EP1742416B1 (en) | Method, computer readable medium and system for analyzing and management of application traffic on networks | |
| US7787442B2 (en) | Communication statistic information collection apparatus | |
| JP4341413B2 (ja) | 統計収集装置を備えたパケット転送装置および統計収集方法 | |
| US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
| EP3082293B1 (en) | Switching device and packet loss method therefor | |
| JP2006314077A (ja) | ネットワーク制御装置と制御システム並びに制御方法 | |
| JP2009232300A (ja) | 輻輳検出方法、輻輳検出装置及び輻輳検出プログラム | |
| US20240146753A1 (en) | Automated identification of false positives in dns tunneling detectors | |
| JP6783261B2 (ja) | 脅威情報抽出装置及び脅威情報抽出システム | |
| CN111756713A (zh) | 网络攻击识别方法、装置、计算机设备及介质 | |
| JP4422176B2 (ja) | トラフィック量変化原因特定方法、システム、プログラム、及び記録媒体 | |
| JP2022515990A (ja) | 通信ネットワークにおけるトラフィックフローをモニタリングするシステム及び方法 | |
| US20060291469A1 (en) | Computer-readable recording medium storing worm detection program, worm detection method and worm detection device | |
| CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 | |
| CN108111476B (zh) | C&c通道检测方法 | |
| JP4871775B2 (ja) | 統計情報収集装置 | |
| US20160366034A1 (en) | Analyzing network traffic in a computer network | |
| KR100860414B1 (ko) | 네트워크 공격 시그너처 생성 방법 및 장치 | |
| WO2010115096A2 (en) | System, method, and media for network traffic measurement on high-speed routers | |
| CN112866243B (zh) | 一种基于单包溯源的DDoS攻击检测方法 | |
| KR101007262B1 (ko) | 네트워크의 활성호스트 탐지장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120418 Termination date: 20210430 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |