CN103312835B - 地址溯源方法和装置 - Google Patents

Abstract

本发明提供一种地址溯源方法和装置，通过从至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个日志记录对应的目标详单记录，将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，以进行IP地址溯源，由于根据用于指示日志记录对应的第二标准时刻未处于以所述日志记录对应的目标详单记录对应的第一标准时刻为起始时刻，时长为标准时长内的概率的无关度，进行关联处理，解决了现有技术中详单记录和日志记录关联正确率较低，进而造成IP地址溯源正确率较低的技术问题。

Description

地址溯源方法和装置

技术领域

本发明涉及通信技术，尤其涉及一种地址溯源方法和装置。

背景技术

现有技术中，对在运营商的核心网内部访问的移动终端分配私网IP地址，用户流量数据采集系统记录对移动终端分配私网IP地址相关的信息，生成包含移动终端标识、私网IP地址、私网端口号、目的IP地址、目的端口号、分配私网IP地址的时刻、私网IP地址的可用时长和使用的协议在内的详单记录；当移动终端访问互联网时，将私网IP地址转换为公网IP地址，网络地址转换(NAT，NetworkAddressTranslation)防火墙系统记录将私网IP地址转换为公网IP地址相关的信息，生成包含私网IP地址、私网端口号、目的IP地址、目的端口号、公网IP地址、公网端口号、转换为公网IP地址的时刻、公网IP址的可用时长和使用的协议在内的日志记录。在对访问互联网的移动终端进行IP地址溯源时，需要将具有相同私网IP地址、相同私网端口号、相同目的IP地址、相同目的端口号和使用相同协议的日志记录与详单记录进行关联，并且进行关联的详单记录中分配私网IP地址的时刻，应处于该日志记录中分配公网IP地址的时刻与公网IP地址的可用时长所规定时间段内，从而利用关联后的详单记录和日志记录，查询公网IP地址对应的移动终端标识，完成IP地址溯源。

但现有技术中，由于日志记录中所记录的分配公网IP地址的时刻和详单记录中所记录的分配私网IP地址的时刻均为本地时刻，并且由于用户流量数据采集系统与NAT防火墙系统的时钟不同步，造成采用根据日志记录中的分配公网IP地址的时刻、公网IP地址的可用时长，以及详单记录中的分配私网IP地址的时刻，关联详单记录和日志记录时，详单记录和日志记录关联正确率较低，进而造成IP地址溯源正确率较低。

发明内容

本发明提供一种地址溯源方法和装置，用于提高详单记录和日志记录之间的关联正确率，进而提高IP地址溯源正确率。

本发明的一个方面是提供一种地址溯源方法，包括：

获取包含相同私网IP地址、相同私网端口号、相同目的IP地址、相同目的端口号和相同协议的至少一个详单记录和至少一个日志记录；所述详单记录中记录有第一本地时刻以及第一可用时长，所述第一本地时刻是指用户流量数据采集系统为访问所述目的IP地址和所述目的端口号的终端设备，分配所述私网IP地址和所述私网端口号的本地时刻，所述第一可用时长是指所述用户流量数据采集系统允许所述私网IP地址和所述私网端口号被占用的时长；所述日志记录中记录有第二本地时刻以及第二可用时长，所述第二本地时刻是指网络地址转换NAT防火墙系统将所述私网IP地址和所述私网端口号转换为公网IP地址和公网端口号的本地时刻，所述第二可用时长是指所述NAT防火墙系统允许所述公网IP地址和所述公网端口号被占用的时长；

从所述至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个所述日志记录对应的目标详单记录；所述日志记录与所述日志记录对应的目标详单记录之间的无关度是指所述日志记录对应的第二标准时刻未处于以所述日志记录对应的目标详单记录对应的第一标准时刻为起始时刻，时长为标准时长内的概率；所述第二标准时刻是指按照标准时钟对所述日志记录中的第二本地时刻进行修正获得的标准时刻，所述第一标准时刻是指按照所述标准时钟对所述日志记录对应的目标详单记录中的第一本地时刻进行修正获得的标准时刻，所述标准时长是指按照所述标准时钟对所述日志记录对应的所述目标详单记录中的第一可用时长进行修正获得的时长；

将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，获得关联记录；

根据所述关联记录，对所述终端设备进行IP地址溯源。

本发明的另一个方面是提供一种地址溯源装置，包括：

获取模块，用于获取包含相同私网IP地址、相同私网端口号、相同目的IP地址、相同目的端口号和相同协议的至少一个详单记录和至少一个日志记录；所述详单记录中记录有第一本地时刻以及第一可用时长，所述第一本地时刻是指用户流量数据采集系统为访问所述目的IP地址和所述目的端口号的终端设备，分配所述私网IP地址和所述私网端口号的本地时刻，所述第一可用时长是指所述用户流量数据采集系统允许所述私网IP地址和所述私网端口号被占用的时长；所述日志记录中记录有第二本地时刻以及第二可用时长，所述第二本地时刻是指网络地址转换NAT防火墙系统将所述私网IP地址和所述私网端口号转换为公网IP地址和公网端口号的本地时刻，所述第二可用时长是指所述NAT防火墙系统允许所述公网IP地址和所述公网端口号被占用的时长；

确定模块，用于从所述至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个所述日志记录对应的目标详单记录；所述日志记录与所述日志记录对应的目标详单记录之间的无关度是指所述日志记录对应的第二标准时刻未处于以所述日志记录对应的目标详单记录对应的第一标准时刻为起始时刻，时长为标准时长内的概率；所述第二标准时刻是指按照标准时钟对所述日志记录中的第二本地时刻进行修正获得的标准时刻，所述第一标准时刻是指按照所述标准时钟对所述日志记录对应的目标详单记录中的第一本地时刻进行修正获得的标准时刻，所述标准时长是指按照所述标准时钟对所述日志记录对应的所述目标详单记录中的第一可用时长进行修正获得的时长；

关联模块，用于将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，获得关联记录；

溯源模块，用于根据所述关联记录，对所述终端设备进行IP地址溯源。

本发明提供的地址溯源方法和装置，通过从至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个日志记录对应的目标详单记录，将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，以进行IP地址溯源，由于考虑了用户流量数据采集系统与NAT防火墙系统的时钟不同步所带来的误差，根据用于指示日志记录对应的第二标准时刻未处于以所述日志记录对应的目标详单记录对应的第一标准时刻为起始时刻，时长为标准时长内的概率的无关度，进行关联处理，从而提高了详单记录和日志记录之间的关联正确率，进而提高IP地址溯源正确率。

附图说明

图1为本发明一实施例提供的地址溯源方法流程示意图；

图2为本发明另一实施例提供的地址溯源方法流程示意图；

图3为规整函数在二维直角坐标系中的示意图；

图4为本发明一实施例提供的地址溯源装置结构示意图；

图5为本发明另一实施例提供的地址溯源装置结构示意图。

具体实施方式

图1为本发明一实施例提供的地址溯源方法流程示意图，如图1所示，包括：

101、获取包含相同私网IP地址、相同私网端口号、相同目的IP地址、相同目的端口号和相同协议的至少一个详单记录和至少一个日志记录。

其中，所述详单记录中记录有第一本地时刻以及第一可用时长，所述第一本地时刻是指用户流量数据采集系统为访问所述目的IP地址和所述目的端口号的终端设备，分配所述私网IP地址和所述私网端口号的本地时刻，所述第一可用时长是指所述用户流量数据采集系统允许所述私网IP地址和所述私网端口号被占用的时长；所述日志记录中记录有第二本地时刻以及第二可用时长，所述第二本地时刻是指NAT防火墙系统将所述私网IP地址和所述私网端口号转换为公网IP地址和公网端口号的本地时刻，所述第二可用时长是指所述NAT防火墙系统允许所述公网IP地址和所述公网端口号被占用的时长。

102、从所述至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个所述日志记录对应的目标详单记录。

其中，所述日志记录与所述日志记录对应的目标详单记录之间的无关度是指所述日志记录对应的第二标准时刻未处于以所述日志记录对应的目标详单记录对应的第一标准时刻为起始时刻，时长为标准时长内的概率；所述第二标准时刻是指按照标准时钟对所述日志记录中的第二本地时刻进行修正获得的标准时刻，所述第一标准时刻是指按照所述标准时钟对所述日志记录对应的目标详单记录中的第一本地时刻进行修正获得的标准时刻，所述标准时长是指按照所述标准时钟对所述日志记录对应的所述目标详单记录中的第一可用时长进行修正获得的时长。

可选的，计算每个日志记录和每个详单记录之间的无关度，根据计算获得的每个日志记录和每个详单记录之间的无关度，采用穷举法从所述至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个所述日志记录对应的目标详单记录。

103、将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，获得关联记录。

104、根据所述关联记录，对所述终端设备进行IP地址溯源。

本实施例提供的地址溯源方法，通过从至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个日志记录对应的目标详单记录，将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，以进行IP地址溯源，由于考虑了用户流量数据采集系统与NAT防火墙系统的时钟不同步所带来的误差，从而提高了详单记录和日志记录之间的关联正确率，进而提高IP地址溯源正确率。

图2为本发明另一实施例提供的地址溯源方法流程示意图，如图2所示，包括：

201、获取指定时段内生成的包含相同私网IP地址、相同私网端口号、相同目的IP地址、相同目的端口号和相同协议的至少一个详单记录和至少一个日志记录。

其中，详单记录中记录有第一本地时刻以及第一可用时长，所述第一本地时刻是指用户流量数据采集系统为访问所述目的IP地址和所述目的端口号的终端设备，分配所述私网IP地址和所述私网端口号的本地时刻，所述第一可用时长是指所述用户流量数据采集系统允许所述私网IP地址和所述私网端口号被占用的时长；所述日志记录中记录有第二本地时刻以及第二可用时长，所述第二本地时刻是指网络地址转换NAT防火墙系统将所述私网IP地址和所述私网端口号转换为公网IP地址和公网端口号的本地时刻，所述第二可用时长是指所述NAT防火墙系统允许所述公网IP地址和所述公网端口号被占用的时长。

例如：每隔30秒获取在30秒内生成的包含相同私网IP地址、相同私网端口号、相同目的IP地址、相同目的端口号和相同协议的至少一个详单记录和至少一个日志记录。

202、根据所述详单记录中的第一本地时刻的先后顺序对所述详单记录进行排序，以及根据所述日志记录中的第二本地时刻的先后顺序对所述日志记录进行排序。

按照所述详单记录中的第一本地时刻由先至后的顺序，对所述详单记录进行排序，以及按照所述日志记录中的第二本地时刻由先至后的顺序，对所述日志记录进行排序。

203、确定第一条日志记录对应的目标详单记录为第一条详单记录，以及最后一条日志记录对应的目标详单记录为最后一条详单记录。

例如：若共有m条日志记录和n条详单记录，定义规整函数φ(i)＝j，用于指示第i条日志记录所对应的目标详单记录的序号为j，则确定φ(1)＝1即第一条日志记录所对应的目标详单记录为第一条详单记录，且φ(m)＝n即第m条日志记录所对应的目标详单记录为第n条详单记录。

204、以后一条日志记录对应的目标详单记录的序号与前一条日志记录对应的目标详单记录的序号之差大于等于零且小于等于一，以及对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，利用动态规整算法计算获得第二条日志记录至倒数第二条日志记录对应的目标详单记录。

其中，所述日志记录与所述日志记录对应的目标详单记录之间的无关度是指所述日志记录对应的第二标准时刻未处于以所述日志记录对应的目标详单记录对应的第一标准时刻为起始时刻，时长为标准时长内的概率；所述第二标准时刻是指按照标准时钟对所述日志记录中的第二本地时刻进行修正获得的标准时刻，所述第一标准时刻是指按照所述标准时钟对所述日志记录对应的目标详单记录中的第一本地时刻进行修正获得的标准时刻，所述标准时长是指按照所述标准时钟对所述日志记录对应的所述目标详单记录中的第一可用时长进行修正获得的时长。

具体的，若t＜T＜t+s＜T+S，则所述日志记录与所述日志记录对应的目标详单记录之间的无关度

$d=\frac{1}{1+\mathrm{\α}}[(1-e^{-|t-T|})+\mathrm{\α}\frac{S}{t+s-T}];$

若T＜t＜T+S＜t+s，则所述日志记录与所述日志记录对应的目标详单记录之间的无关度

$d=\frac{1}{1+\mathrm{\α}}[(1-e^{-|t-T|})+\mathrm{\α}\frac{S}{T+S-t}];$

若t+s≤T或者T+S≤t，则所述日志记录与所述日志记录对应的目标详单记录之间的无关度d＝1；否则，所述日志记录与所述日志记录对应的目标详单记录之间的无关度d＝0。其中，T为所述日志记录对应的目标详单记录中的第一本地时刻，S为所述日志记录对应的目标详单记录中的第一可用时长，t为所述日志记录中的第二本地时刻，s为所述日志记录中的第二时长，α为修正系数，e为自然数。利用动态规整算法，计算满足φ(i)≤φ(i+1)≤φ(i)+1即后一条日志记录对应的目标详单记录的序号不小于前一条日志记录对应的目标详单记录的序号，且不大于前一条日志记录对应的目标详单记录的序号加1，且使D＝∑d最小的规整函数φ(i)＝j。

其中，D＝∑d是计算每个日志记录与每个日志记录对应的目标详单记录之间的无关度d，将计算出的全部的无关度d求和，所获得的无关度之和。

需要说明的是，修正系数α用于修正由于不同的NAT防火墙系统与不同的用户流量数据采集系统之间时钟不同步的程度不同，所带来的计算出的无关度与实际的无关度之间的误差。时钟不同步包括时刻不同步和时钟精度不同，若NAT防火墙系统与用户流量数据采集系统之间时钟精度误差增大，则修正系数α取值相应增大，α取值范围为非负数，修正系数α的计算方法可参考现有的概率论与数理统计中的计算方法获得。

例如：获取到3条日志记录，5条详单记录，则m＝3，n＝5，根据详单记录中的第一本地时刻的先后顺序对所述详单记录进行排序，以及根据所述日志记录中的第二本地时刻的先后顺序对所述日志记录进行排序，可构建以日志记录的序号i为横坐标，以详单记录的序号j为纵坐标，所构成的二维直角坐标系(i，j)。已知φ(1)＝1，φ(3)＝5，求解使得D＝∑d，最小的规整函数φ(i)＝j。

该规整函数在二维直角坐标系(i，j)中体现为一条路径，即在所构建的二维直角坐标系(i，j)中寻找一条经过(1，1)和(3，5)，使得D＝∑d最小的路径。

由于φ(i)≤φ(i+1)≤φ(i)+1，即若该路径经过(i，j)点，则该路径所经过的下一个点仅可为(i，j+1)，(i+1，j)或(i+1，j+1)。从而避免了对每个日志记录与每个详单记录之间的无关度进行计算，减小了计算量。从(i，j+1)，(i+1，j)或(i+1，j+1)所代表的可能的日志记录与详单记录的对应关系之中，选取无关度d最小的作为规整函数所表示的日志记录与详单记录的对应关系。根据上述动态规整算法，获得该路径所经过的点为(1，1)，(2，2)，(2，3)，(2，4)和(3，5)，图3为规整函数在二维直角坐标系中的示意图，如图3所示，规整函数满足：φ(1)＝1，φ(2)＝2，φ(2)＝3，φ(2)＝4和φ(3)＝5。

从而获知，第1条日志记录对应的目标详单记录的序号为1，第2条日志记录对应的目标详单记录的序号为2至4，第3条日志记录对应的目标详单记录的序号为5。

需要说明的是，上述动态时间规整算法的实质是将用于生成详单记录的时钟非线性地映射到用于生成日志记录的时钟上，使详单记录和日志记录之间建立对应关系。动态时间规整算法的内容可参见现有技术中对于动态时间规整算法的描述。

205、将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，获得关联记录。

其中，关联记录包括：公网IP地址、公网端口号、私网IP地址、私网端口号、目的IP地址、目的端口号、访问所述目的IP地址的目的端口号所采用的协议、第一本地时刻、第一可用时长、第二本地时刻、第二本地时长和终端设备的标识。

206、根据所述关联记录，对所述终端设备进行IP地址溯源。

本实施例提供的地址溯源方法，通过从至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个日志记录对应的目标详单记录，将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，以进行IP地址溯源，由于考虑了用户流量数据采集系统与NAT防火墙系统的时钟不同步所带来的误差，从而提高了详单记录和日志记录之间的关联正确率，进而提高IP地址溯源正确率。

图4为本发明一实施例提供的地址溯源装置结构示意图，如图4所示，包括：获取模块41、确定模块42、关联模块43和溯源模块44。

获取模块41，用于获取包含相同私网IP地址、相同私网端口号、相同目的IP地址、相同目的端口号和相同协议的至少一个详单记录和至少一个日志记录。

其中，所述详单记录中记录有第一本地时刻以及第一可用时长，所述第一本地时刻是指用户流量数据采集系统为访问所述目的IP地址和所述目的端口号的终端设备，分配所述私网IP地址和所述私网端口号的本地时刻，所述第一可用时长是指所述用户流量数据采集系统允许所述私网IP地址和所述私网端口号被占用的时长；所述日志记录中记录有第二本地时刻以及第二可用时长，所述第二本地时刻是指网络地址转换NAT防火墙系统将所述私网IP地址和所述私网端口号转换为公网IP地址和公网端口号的本地时刻，所述第二可用时长是指所述NAT防火墙系统允许所述公网IP地址和所述公网端口号被占用的时长。

确定模块42，与获取模块连接41，用于从所述至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个所述日志记录对应的目标详单记录。

其中，所述日志记录与所述日志记录对应的目标详单记录之间的无关度是指所述日志记录对应的第二标准时刻未处于以所述日志记录对应的目标详单记录对应的第一标准时刻为起始时刻，时长为标准时长内的概率；所述第二标准时刻是指按照标准时钟对所述日志记录中的第二本地时刻进行修正获得的标准时刻，所述第一标准时刻是指按照所述标准时钟对所述日志记录对应的目标详单记录中的第一本地时刻进行修正获得的标准时刻，所述标准时长是指按照所述标准时钟对所述日志记录对应的所述目标详单记录中的第一可用时长进行修正获得的时长。

可选的，采用穷举法从所述至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个所述日志记录对应的目标详单记录。

关联模块43，与确定模块连接42，用于将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，获得关联记录。

溯源模块41，与关联模块连接43，用于根据所述关联记录，对所述终端设备进行IP地址溯源。

本实施例提供的地址溯源方法，通过从至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个日志记录对应的目标详单记录，将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，以进行IP地址溯源，由于考虑了用户流量数据采集系统与NAT防火墙系统的时钟不同步所带来的误差，从而提高了详单记录和日志记录之间的关联正确率，进而提高IP地址溯源正确率。

图5为本发明另一实施例提供的地址溯源装置结构示意图，在上一实施例的基础上，所述至少一个日志记录是所述用户流量数据采集系统在指定时段内生成的，所述至少一个详单记录是所述NAT防火墙系统在所述指定时段内生成的，基于此，如图5所示，确定模块42，包括：排序单元421、确定单元422和获得单元423。

排序单元421，用于根据所述详单记录中的第一本地时刻的先后顺序对所述详单记录进行排序，以及根据所述日志记录中的第二本地时刻的先后顺序对所述日志记录进行排序。

确定单元422，与排序单元421连接，用于根据排序单元421的排序结果，确定第一条日志记录对应的目标详单记录为第一条详单记录，以及最后一条日志记录对应的目标详单记录为最后一条详单记录。

获得单元423，与确定单元422连接，用于以后一条日志记录对应的目标详单记录的序号与前一条日志记录对应的目标详单记录的序号之差大于等于零且小于等于一，以及对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，利用动态规整算法计算获得第二条日志记录至倒数第二条日志记录对应的目标详单记录。

其中，若t＜T＜t+s＜T+S，则所述日志记录与所述日志记录对应的目标详单记录之间的无关度 $d=\frac{1}{1+\mathrm{\α}}[(1-e^{-|t-T|})+\mathrm{\α}\frac{S}{t+s-T}];$

若T＜t＜T+S＜t+s，则所述日志记录与所述日志记录对应的目标详单记录之间的无关度 $d=\frac{1}{1+\mathrm{\α}}[(1-e^{-|t-T|})+\mathrm{\α}\frac{S}{T+S-t}];$

若t+s≤T或者T+S≤t，则所述日志记录与所述日志记录对应的目标详单记录之间的无关度d＝1；

否则，所述日志记录与所述日志记录对应的目标详单记录之间的无关度d＝0；

其中，T为所述日志记录对应的目标详单记录中的第一本地时刻，S为所述日志记录对应的目标详单记录中的第一可用时长，t为所述日志记录中的第二本地时刻，s为所述日志记录中的第二时长，α为修正系数，e为自然数。

本实施例提供的地址溯源方法，通过从至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个日志记录对应的目标详单记录，将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，以进行IP地址溯源，由于考虑了用户流量数据采集系统与NAT防火墙系统的时钟不同步所带来的误差，从而提高了详单记录和日志记录之间的关联正确率，进而提高IP地址溯源正确率。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (8)

1.一种地址溯源方法，其特征在于，包括；

获取包含相同私网IP地址、相同私网端口号、相同目的IP地址、相同目的端口号和相同协议的至少一个详单记录和至少一个日志记录；所述详单记录中记录有第一本地时刻以及第一可用时长，所述第一本地时刻是指用户流量数据采集系统为访问所述目的IP地址和所述目的端口号的终端设备分配所述私网IP地址和所述私网端口号的本地时刻，所述第一可用时长是指所述用户流量数据采集系统允许所述私网IP地址和所述私网端口号被占用的时长；所述日志记录中记录有第二本地时刻以及第二可用时长，所述第二本地时刻是指网络地址转换NAT防火墙系统将所述私网IP地址和所述私网端口号转换为公网IP地址和公网端口号的本地时刻，所述第二可用时长是指所述NAT防火墙系统允许所述公网IP地址和所述公网端口号被占用的时长；

从所述至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个所述日志记录对应的目标详单记录；所述日志记录与所述日志记录对应的目标详单记录之间的无关度是指所述日志记录对应的第二标准时刻未处于以所述日志记录对应的目标详单记录对应的第一标准时刻为起始时刻，时长为标准时长内的概率；所述第二标准时刻是指按照标准时钟对所述日志记录中的第二本地时刻进行修正获得的标准时刻，所述第一标准时刻是指按照所述标准时钟对所述日志记录对应的目标详单记录中的第一本地时刻进行修正获得的标准时刻，所述标准时长是指按照所述标准时钟对所述日志记录对应的所述目标详单记录中的第一可用时长进行修正获得的时长；

将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，获得关联记录；

根据所述关联记录，对所述终端设备进行IP地址溯源。

2.根据权利要求1所述的地址溯源方法，其特征在于，

若t＜T＜t+s＜T+S，则所述日志记录与所述日志记录对应的目标详单记录之间的无关度 $d=\frac{1}{1+\mathrm{\α}}\[(1-e^{-|t-T|})+\mathrm{\α}\frac{S}{t+s-T}\];$

若T＜t＜T+S＜t+s，则所述日志记录与所述日志记录对应的目标详单记录之间的无关度 $d=\frac{1}{1+\mathrm{\α}}\[(1-e^{-|t-T|})+\mathrm{\α}\frac{S}{T+S-t}\];$

若t+s≤T或者T+S≤t，则所述日志记录与所述日志记录对应的目标详单记录之间的无关度d＝1；

否则，所述日志记录与所述日志记录对应的目标详单记录之间的无关度d＝0；

其中，T为所述日志记录对应的目标详单记录中的第一本地时刻，S为所述日志记录对应的目标详单记录中的第一可用时长，t为所述日志记录中的第二本地时刻，s为所述日志记录中的第二可用时长，α为修正系数，e为自然数。

3.根据权利要求1或2所述的地址溯源方法，其特征在于，所述从所述至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个所述日志记录对应的目标详单记录，包括：

采用穷举法从所述至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个所述日志记录对应的目标详单记录。

4.根据权利要求1或2所述的地址溯源方法，其特征在于，所述至少一个日志记录是所述用户流量数据采集系统在指定时段内生成的，所述至少一个详单记录是所述NAT防火墙系统在所述指定时段内生成的；

所述从所述至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个所述日志记录对应的目标详单记录，包括：

根据所述详单记录中的第一本地时刻的先后顺序对所述详单记录进行排序，以及根据所述日志记录中的第二本地时刻的先后顺序对所述日志记录进行排序；

确定第一条日志记录对应的目标详单记录为第一条详单记录，以及最后一条日志记录对应的目标详单记录为最后一条详单记录；

以后一条日志记录对应的目标详单记录的序号与前一条日志记录对应的目标详单记录的序号之差大于等于零且小于等于一，且不大于所述前一条日志记录对应的目标详单记录的序号加一，以及对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，利用动态规整算法计算获得第二条日志记录至倒数第二条日志记录对应的目标详单记录。

5.一种地址溯源装置，其特征在于，包括；

获取模块，用于获取包含相同私网IP地址、相同私网端口号、相同目的IP地址、相同目的端口号和相同协议的至少一个详单记录和至少一个日志记录；所述详单记录中记录有第一本地时刻以及第一可用时长，所述第一本地时刻是指用户流量数据采集系统为访问所述目的IP地址和所述目的端口号的终端设备分配所述私网IP地址和所述私网端口号的本地时刻，所述第一可用时长是指所述用户流量数据采集系统允许所述私网IP地址和所述私网端口号被占用的时长；所述日志记录中记录有第二本地时刻以及第二可用时长，所述第二本地时刻是指网络地址转换NAT防火墙系统将所述私网IP地址和所述私网端口号转换为公网IP地址和公网端口号的本地时刻，所述第二可用时长是指所述NAT防火墙系统允许所述公网IP地址和所述公网端口号被占用的时长；

确定模块，用于从所述至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个所述日志记录对应的目标详单记录；所述日志记录与所述日志记录对应的目标详单记录之间的无关度是指所述日志记录对应的第二标准时刻未处于以所述日志记录对应的目标详单记录对应的第一标准时刻为起始时刻，时长为标准时长内的概率；所述第二标准时刻是指按照标准时钟对所述日志记录中的第二本地时刻进行修正获得的标准时刻，所述第一标准时刻是指按照所述标准时钟对所述日志记录对应的目标详单记录中的第一本地时刻进行修正获得的标准时刻，所述标准时长是指按照所述标准时钟对所述日志记录对应的所述目标详单记录中的第一可用时长进行修正获得的时长；

关联模块，用于将每个所述日志记录与每个所述日志记录对应的目标详单记录进行关联处理，获得关联记录；

溯源模块，用于根据所述关联记录，对所述终端设备进行IP地址溯源。

6.根据权利要求5所述的地址溯源装置，其特征在于，

若t＜T＜t+s＜T+S，则所述日志记录与所述日志记录对应的目标详单记录之间的无关度 $d=\frac{1}{1+\mathrm{\α}}\[(1-e^{-|t-T|})+\mathrm{\α}\frac{S}{t+s-T}\];$

若T＜t＜T+S＜t+s，则所述日志记录与所述日志记录对应的目标详单记录之间的无关度 $d=\frac{1}{1+\mathrm{\α}}\[(1-e^{-|t-T|})+\mathrm{\α}\frac{S}{T+S-t}\];$

若t+s≤T或者T+S≤t，则所述日志记录与所述日志记录对应的目标详单记录之间的无关度d＝1；

否则，所述日志记录与所述日志记录对应的目标详单记录之间的无关度d＝0；

其中，T为所述日志记录对应的目标详单记录中的第一本地时刻，S为所述日志记录对应的目标详单记录中的第一可用时长，t为所述日志记录中的第二本地时刻，s为所述日志记录中的第二可用时长，α为修正系数，e为自然数。

7.根据权利要求5或6所述的地址溯源装置，其特征在于，所述确定模块，具体用于：

采用穷举法从所述至少一个详单记录中，以对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，确定每个所述日志记录对应的目标详单记录。

8.根据权利要求5或6所述的地址溯源装置，其特征在于，所述至少一个日志记录是所述用户流量数据采集系统在指定时段内生成的，所述至少一个详单记录是所述NAT防火墙系统在所述指定时段内生成的；

所述确定模块，包括：

排序单元，用于根据所述详单记录中的第一本地时刻的先后顺序对所述详单记录进行排序，以及根据所述日志记录中的第二本地时刻的先后顺序对所述日志记录进行排序；

确定单元，用于确定第一条日志记录对应的目标详单记录为第一条详单记录，以及最后一条日志记录对应的目标详单记录为最后一条详单记录；

获得单元，用于以后一条日志记录对应的目标详单记录的序号与前一条日志记录对应的目标详单记录的序号之差大于等于零且小于等于一，以及对每个所述日志记录与每个所述日志记录对应的目标详单记录之间的无关度进行累加获得的无关度之和最小为依据，利用动态规整算法计算获得第二条日志记录至倒数第二条日志记录对应的目标详单记录。