CN105897777A - 一种基于网络流量特征的 nat 识别方法 - Google Patents

一种基于网络流量特征的 nat 识别方法 Download PDF

Info

Publication number
CN105897777A
CN105897777A CN201610484258.2A CN201610484258A CN105897777A CN 105897777 A CN105897777 A CN 105897777A CN 201610484258 A CN201610484258 A CN 201610484258A CN 105897777 A CN105897777 A CN 105897777A
Authority
CN
China
Prior art keywords
nat
data
network
data mining
recognition methods
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201610484258.2A
Other languages
English (en)
Inventor
董雄飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hefei Kurui Network Technology Co Ltd
Original Assignee
Hefei Kurui Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hefei Kurui Network Technology Co Ltd filed Critical Hefei Kurui Network Technology Co Ltd
Priority to CN201610484258.2A priority Critical patent/CN105897777A/zh
Publication of CN105897777A publication Critical patent/CN105897777A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

本发明公开了一种基于网络流量特征的 NAT 识别方法,该方法获取网络中所有 IP 地址的网络流量特征,然后以各个 IP 地址作为数据挖掘中的实例,以其特征参数作为数据挖掘中的属性,通过数据挖掘将 IP 地址划分为NAT 设备与普通主机两大类,进而完成 NAT 的识别,该方法不依赖于数据包中的任何特殊字段,不依赖于操作系统和用户的操作习惯,市场前景广阔。

Description

一种基于网络流量特征的 NAT 识别方法
技术领域
本发明属于网络方法领域,更具体地说,本发明涉及一种基于网络流量特征的NAT 识别方法。
背景技术
NAT 技术大大地减缓了 IP地址空间枯竭的问题,实现了私有网络访问公共网络的功能,为用户带来了巨大的便利与实惠。然而,NAT 技术也为未经授权的用户非法接入网络提供了便利,给运营商的正常网络运营带来诸多的困难。现有的各种 NAT 识别方法共同存在的问题是,都普遍依赖于 IP数据包中的某一特殊字段,其识别效果的好坏完全取决于该字段。一旦该字段被修改,或者本身无法满足识别需求,则这些方法将完全效。而且这些方法要么受到了操作系统的制约,要么受到了用户上网习惯的制约。
发明内容
本发明所要解决的问题是提供一种基于网络流量特征的 NAT 识别方法。
为了实现上述目的,本发明采取的技术方案为:
一种基于网络流量特征的 NAT 识别方法,包括如下步骤:
(1)数据采集
数据采集通过 Win Dump抓包工具软件、路由器、PC 机和二层交换机的端口镜像实现,采集到的数据包括PC 机的流量,以及 NAT 设备后的内部主机的流量;
(2)数据预处理
首先需要将采集到的数据按照五元组的方式提取流,在流的提取过程中,对 TCP 流与UDP 流将有不同的处理,同时,对数据中的
NAT 设备与普通主机分别进行标记,以便进行后面的数据挖掘;
(3)特征提取
通过对 NAT 设备和普通主机的流量特征进行对比分析,得到一组反映 NAT 设备与普通主机之间的各项差异的流量特征参数,然后,从之前经过数据预处理的网络数据中提取出这些流量特征参数,以IP地址项的形式进行存放;
(4)特征选择
采用特征搜索算法Best First,特征子集评估函数Filter中的CFS,得到该网络环境下的 NAT 流最优特征子集;
(5)数据挖掘
利用数据挖掘技术对大量的无标记数据和少量的标记数据进行处理。
优选的,所述步骤(1)中数据采集过程中,保证PC 主机与 NAT 设备主机的网络环境的一致。
优选的,所述步骤(2)中五元组分别为源 IP 地址,目的 IP 地址,源端口号,目的端口号,传输层协议类型。
优选的,所述步骤(5)中数据挖掘技术为C4.5 决策树算法、朴素贝叶斯算法和K-均值聚类算法。
优选的,所述步骤(5)中数据挖掘后进行实验结果分析。
优选的,所述实验结果分析为对数据挖掘技术获得的实验结果与实际搭建的网络环境情况进行对比分析。
有益效果:本发明提供了一种基于网络流量特征的 NAT 识别方法,该方法获取网络中所有 IP 地址的网络流量特征,然后以各个 IP 地址作为数据挖掘中的实例,以其特征参数作为数据挖掘中的属性,通过数据挖掘将 IP 地址划分为NAT 设备与普通主机两大类,进而完成 NAT 的识别,该方法不依赖于数据包中的任何特殊字段,不依赖于操作系统和用户的操作习惯,市场前景广阔。
具体实施方式
一种基于网络流量特征的 NAT 识别方法,包括如下步骤:
(1)数据采集
数据采集通过 Win Dump抓包工具软件、路由器、PC 机和二层交换机的端口镜像实现,采集到的数据包括PC 机的流量,以及 NAT 设备后的内部主机的流量,所述数据采集过程中,保证PC 主机与 NAT 设备主机的网络环境的一致;
(2)数据预处理
首先需要将采集到的数据按照五元组的方式提取流,在流的提取过程中,对 TCP 流与UDP 流将有不同的处理,同时,对数据中的
NAT 设备与普通主机分别进行标记,以便进行后面的数据挖掘,所述五元组分别为源IP 地址,目的 IP 地址,源端口号,目的端口号,传输层协议类型;
(3)特征提取
通过对 NAT 设备和普通主机的流量特征进行对比分析,得到一组反映 NAT 设备与普通主机之间的各项差异的流量特征参数,然后,从之前经过数据预处理的网络数据中提取出这些流量特征参数,以IP地址项的形式进行存放;
(4)特征选择
采用特征搜索算法Best First,特征子集评估函数Filter中的CFS,得到该网络环境下的 NAT 流最优特征子集;
(5)数据挖掘
利用数据挖掘技术对大量的无标记数据和少量的标记数据进行处理,所述数据挖掘技术为C4.5 决策树算法、朴素贝叶斯算法和K-均值聚类算法;
(6)实验结果分析
对数据挖掘技术获得的实验结果与实际搭建的网络环境情况进行对比分析。
本发明提供了一种基于网络流量特征的 NAT 识别方法,该方法获取网络中所有IP 地址的网络流量特征,然后以各个 IP 地址作为数据挖掘中的实例,以其特征参数作为数据挖掘中的属性,通过数据挖掘将 IP 地址划分为NAT 设备与普通主机两大类,进而完成 NAT 的识别,该方法不依赖于数据包中的任何特殊字段,不依赖于操作系统和用户的操作习惯,市场前景广阔。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (6)

1.一种基于网络流量特征的 NAT 识别方法,其特征在于,包括如下步骤:
(1)数据采集
数据采集通过 Win Dump抓包工具软件、路由器、PC 机和二层交换机的端口镜像实现,采集到的数据包括PC 机的流量,以及 NAT 设备后的内部主机的流量;
(2)数据预处理
首先需要将采集到的数据按照五元组的方式提取流,在流的提取过程中,对 TCP 流与UDP 流将有不同的处理,同时,对数据中的
NAT 设备与普通主机分别进行标记,以便进行后面的数据挖掘;
(3)特征提取
通过对 NAT 设备和普通主机的流量特征进行对比分析,得到一组反映 NAT 设备与普通主机之间的各项差异的流量特征参数,然后,从之前经过数据预处理的网络数据中提取出这些流量特征参数,以IP地址项的形式进行存放;
(4)特征选择
采用特征搜索算法Best First,特征子集评估函数Filter中的CFS,得到该网络环境下的 NAT 流最优特征子集;
(5)数据挖掘
利用数据挖掘技术对大量的无标记数据和少量的标记数据进行处理。
2.按照权利要求1所述的一种基于网络流量特征的 NAT 识别方法,其特征在于:所述步骤(1)中数据采集过程中,保证PC 主机与 NAT 设备主机的网络环境的一致。
3.按照权利要求1所述的一种基于网络流量特征的 NAT 识别方法,其特征在于:所述步骤(2)中五元组分别为源 IP 地址,目的 IP 地址,源端口号,目的端口号,传输层协议类型。
4.按照权利要求1所述的一种基于网络流量特征的 NAT 识别方法,其特征在于:所述步骤(5)中数据挖掘技术为C4.5 决策树算法、朴素贝叶斯算法和K-均值聚类算法。
5.按照权利要求1所述的一种基于网络流量特征的 NAT 识别方法,其特征在于:所述步骤(5)中数据挖掘后进行实验结果分析。
6.按照权利要求5所述的一种基于网络流量特征的 NAT 识别方法,其特征在于:所述实验结果分析为对数据挖掘技术获得的实验结果与实际搭建的网络环境情况进行对比分析。
CN201610484258.2A 2016-06-28 2016-06-28 一种基于网络流量特征的 nat 识别方法 Withdrawn CN105897777A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610484258.2A CN105897777A (zh) 2016-06-28 2016-06-28 一种基于网络流量特征的 nat 识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610484258.2A CN105897777A (zh) 2016-06-28 2016-06-28 一种基于网络流量特征的 nat 识别方法

Publications (1)

Publication Number Publication Date
CN105897777A true CN105897777A (zh) 2016-08-24

Family

ID=56719135

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610484258.2A Withdrawn CN105897777A (zh) 2016-06-28 2016-06-28 一种基于网络流量特征的 nat 识别方法

Country Status (1)

Country Link
CN (1) CN105897777A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107592222A (zh) * 2017-09-11 2018-01-16 电子科技大学 基于流行为特征的idc识别方法
CN109450733A (zh) * 2018-11-26 2019-03-08 武汉烽火信息集成技术有限公司 一种基于机器学习的网络终端设备识别方法及系统
CN109447177A (zh) * 2018-11-12 2019-03-08 南京中孚信息技术有限公司 账号聚类方法、装置和服务器
CN109510785A (zh) * 2018-12-27 2019-03-22 杭州迪普科技股份有限公司 一种镜像报文的方法和装置
CN110519106A (zh) * 2019-09-18 2019-11-29 南京中孚信息技术有限公司 目标网络中设备类型的确定方法、装置及电子设备

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107592222A (zh) * 2017-09-11 2018-01-16 电子科技大学 基于流行为特征的idc识别方法
CN109447177A (zh) * 2018-11-12 2019-03-08 南京中孚信息技术有限公司 账号聚类方法、装置和服务器
CN109447177B (zh) * 2018-11-12 2020-12-18 南京中孚信息技术有限公司 账号聚类方法、装置和服务器
CN109450733A (zh) * 2018-11-26 2019-03-08 武汉烽火信息集成技术有限公司 一种基于机器学习的网络终端设备识别方法及系统
CN109450733B (zh) * 2018-11-26 2020-10-23 武汉烽火信息集成技术有限公司 一种基于机器学习的网络终端设备识别方法及系统
CN109510785A (zh) * 2018-12-27 2019-03-22 杭州迪普科技股份有限公司 一种镜像报文的方法和装置
CN110519106A (zh) * 2019-09-18 2019-11-29 南京中孚信息技术有限公司 目标网络中设备类型的确定方法、装置及电子设备

Similar Documents

Publication Publication Date Title
CN105897777A (zh) 一种基于网络流量特征的 nat 识别方法
CN105871941A (zh) 一种基于网络流量特征的 nat 识别方法
CN104853003B (zh) 一种基于Netfilter的地址、端口跳变通信实现方法
CN103746982B (zh) 一种http网络特征码自动生成方法及其系统
WO2016201938A1 (zh) 一种多阶段钓鱼网站检测方法与系统
CN103595732B (zh) 一种网络攻击取证的方法及装置
CN102307123A (zh) 基于传输层流量特征的nat流量识别方法
CN110519298A (zh) 一种基于机器学习的Tor流量识别方法及装置
Sato et al. Unknown attacks detection using feature extraction from anomaly-based ids alerts
CN104348741A (zh) 基于多尺度分析和决策树的p2p流量检测方法和系统
CN110177114A (zh) 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质
CN103200133A (zh) 一种基于网络流引力聚类的流量识别方法
CN110177123B (zh) 基于dns映射关联图的僵尸网络检测方法
CN106375345A (zh) 一种基于周期性检测的恶意软件域名检测方法及系统
CN112115183B (zh) 一种基于图的蜜罐系统威胁情报分析方法
Kang et al. A New Logging-based IP Traceback Approach using Data Mining Techniques.
CN107733902A (zh) 一种目标数据扩散过程的监控方法及装置
CN109067778B (zh) 一种基于蜜网数据的工控扫描器指纹识别方法
CN108073808A (zh) 基于pdb调试信息生成攻击者画像的方法及系统
CN110336798A (zh) 一种基于dpi的报文匹配过滤方法及其装置
CN114598499A (zh) 结合业务应用的网络风险行为分析方法
CN105323206B (zh) Ip防御方法
Teoh et al. Visual data analysis for detecting flaws and intruders in computer network systems
US20230188479A1 (en) Adaptive Networking Policy with User Defined Fields
CN105847258A (zh) 基于防火墙acl的企业内部资源开放范围分析方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20160824

WW01 Invention patent application withdrawn after publication