CN108259637A

CN108259637A - 一种基于决策树的nat设备识别方法及装置

Info

Publication number: CN108259637A
Application number: CN201711233344.7A
Authority: CN
Inventors: 朱国胜; 石志凯; 镇佳; 雷龙飞; 陈�胜; 吴善超; 吴梦宇
Original assignee: Hubei University
Current assignee: Hubei University
Priority date: 2017-11-30
Filing date: 2017-11-30
Publication date: 2018-07-06

Abstract

本发明公开了一种基于决策树的NAT设备识别方法及装置，用于NAT设备识别。本发明提供的方法包括获取已经确认为NAT设备的APP访问信息和web访问信息；根据所述APP访问信息和所述web访问信息，建立决策树识别模型；利用决策树识别模型，对待识别的接入设备进行识别。通过本发明在应对大批量数据检测处理时，能实现高效快速处理，对于不同的网络环境同时保证了数据处理的准确性与稳定性。

Description

一种基于决策树的NAT设备识别方法及装置

技术领域

本发明涉及NAT设备识别领域，尤其涉及一种基于决策树的NAT设备识别方法及装置

背景技术

随着互联网的快速发展，网民数量逐年攀升，网络接入设备也在急剧增长。据统计，目前全球网民大约有36亿，接入互联网的设备大约有203.5亿，大量设备的接入，导致有限IPv4地址的急剧短缺，此时网络地址转换(NAT,Network Address Translation)技术发挥不可替代作用。NAT技术，有效缓解了IPv4地址短缺的问题，同时很大层度上缓解路由规模，用户可以很便利的进行再次组网而不影响对互联网的访问，增加的网络使用的灵活性。然而，NAT设备的使用会导致ISP(Internet Service Providers，网络服务提供商)无法知道内网的规模和结构，给网络管理带来不便。当大量的NAT设备接入时，更是加大管理难度。

目前，针对上述问题，通常会直接对用户发送的认证请求数据进行校验，或者根据用户的流量特征来识别NAT设备，通过对抓取的数据包特征进行分析。这种直接对数据包内容进行分析的方法，当需要对大批量数据进行分析处理时效率较为低下，随着接入设备的增多难以应对大量的数据处理，不能满足市场需求。

发明内容

本发明实施例提供了一种基于决策树的NAT设备识别方法及装置，能够实现对待识别的接入设备判断是否为NAT设备。

第一方面，提供了一种基于决策树的NAT设备识别方法，包括以下步骤：

获取已经确认为NAT设备的APP访问信息和web访问信息；

根据所述APP访问信息和所述web访问信息，建立决策树识别模型；

利用决策树识别模型，对待识别的接入设备进行识别。

第二方面，提供了一种基于决策树的NAT设备识别装置，包括：

获取单元，用于获取已经确认为NAT设备的APP访问信息和web访问信息；

建模单元，用于根据所述APP访问信息和所述web访问信息，建立决策树识别模型；

识别单元，用于利用决策树识别模型，对待识别的接入设备进行识别。

第三方面，提供一种基于决策树的NAT设备识别终端装置，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述一种基于决策树的NAT设备识别方法的步骤。

第四方面，提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述一种基于决策树的NAT设备识方法的步骤。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中，根据已经确认为NAT设备的APP访问信息和web访问信息，建立决策树识别模型，并利用决策树识别模型对未识别的接入设备进行识别，在应对大批量数据检测处理时，能实现高效快速处理，对于不同的网络环境同时保证了数据处理的准确性与稳定性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的基于决策树的NAT设备识别方法的实现流程图；

图2为本发明实施例提供的基于决策树的NAT设备识别方法具体实现的实施例流程图；

图3为本发明实施例提供的NAT设备识别装置的结构框图；

图4为本发明实施例中NAT设备识别终端装置相关的部分结构框图。

具体实施方式

本发明实施例提供了一种基于决策树的NAT设备识别方法及装置，用于解决目前NAT设备识别效率低下，无法应对大批量的数据处理分析的问题。

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1，本发明实施例中一种基于决策树的NAT设备识别方法的一个实施例包括：

步骤S101,获取已经确认为NAT设备的APP访问信息和web访问信息。

对于已经确认为NAT设备的IP和对应流量进行APP识别，并在APP库中匹配，获得该NAT设备的APP访问信息。同样的，对该确认的NAT设备进行web识别，并在web库中匹配，得到web访问信息。

步骤S102,根据所述APP访问信息和所述web访问信息，建立决策树识别模型。

根据所述APP访问信息和所述web访问信息，对APP访问信息和web访问信息进行训练得到训练集，再通过决策树算法建立决策树识别模型

步骤S103,利用决策树识别模型，对待识别的接入设备进行识别。

对待识别的IP和对应流量分别进行APP匹配、web匹配得到待识别接入设备的APP访问信息和web访问信息，通过决策树模型，判断所述接入设备是否为NAT设备。

若是NAT设备，则获取该NAT设备的APP访问信息和web访问信息，加入训练集，并根据训练集更新决策树识别模型。

若不是NAT设备，则标记为为已识别。

为便于理解，根据图1所描述的实施例，下面以一个实际应用场景对本发明实施例中的一种方法进行描述：

图2显示出了进行NAT设备识别的具体过程。

在S201中，对已经确认为NAT设备的IP和对应流量进行APP识别，主要通过对应的流量信息中目的端口来进行识别，获得该NAT设备所包含的APP数量、APP所属类的数量、APP使用时长等APP访问信息。

在S202中，对已经确认为NAT设备的IP和对应流量进行web识别，主要基于http协议中user-agent字段进行识别，获得该NAT设备所包含的Web浏览数量、Web浏览所属类数量、Web浏览时长等web访问信息。

在S203中，由于训练集中每项样本由包含若干个流量属性的属性向量表示，将获取到的APP访问信息和web访问信息整合即可得到训练集。具体的，训练集记为S＝{D₁，D₂，···，D_n}，每个训练集包括IP和对应类别外，还包括使用的APP数量、APP所属类的数量、APP使用时长、Web浏览数量、Web浏览所属类数量和Web浏览时常六个字段，分别用An，Aan，At，Wn，Wcn，Wt表示。

在S203中，利用决策树算法，通过计算训练集中每个流量属性的信息增益率，建立决策树识别模型。具体来讲，对于某个训练集Ss，将各个字段分别划分多个取值区间，记为C₁，C₂，···，C_m共m个子集，记P(C_p)＝|C_p|/|Ss|(1≤p≤m)。则该训练集对分类的平均信息量为：

对于其中任意字段，如An，假设有t个不同取值a_q(1≤q≤t)，那么根据An的不同取值，可以将Ss划分为S₁，S₂，···，S_t共t个子集，同时可以将C₁，C₂，···，C_m划分为m×t个子集，每个子集C_pq表示在A_n＝a_q的条件下属于第p类的样本集合，其中，1≤p≤k，(1≤q≤t)。通过An进行划分后，样本集对分类的平均信息量为：

其中，P(C_pq)＝|C_pq|/|Ss|。可计算出An对Ss进行划分的信息增益为：

f_G(Ss,An)＝H(Ss)-H(Ss/An) (3)

通过式(3)，信息增益f_G(S,A_i)表示的即为划分后不确定性的下降程度。使用属性A_i划分S的信息增益率f_GR(S,A_i)为信息增益与分割信息量的比值，即：

其中，分割信息量根据计算得到的信息增益率，算法由大到小进行选择，从决策树顶端开始，自上而下建立，待完整树生成以后，C5.0采用后剪枝法，从叶子节点逐层向上修剪。修剪依据为各子节点加权误差是否大于父节点的加权误差，如果大于则剪出。如此形成最终决策树模型。

在S207中，得到待识别数据和得到训练集大致相同，通过采集待识别设备的APP访问信息和web访问信息，形成待识别数据集。该待识别数据集和训练集相同，包含若干个流量属性。

在S208中，对未知的接入设备采集的APP访问信息和web访问信息，形成待识别数据集，经过决策树识别模型识别，确定该接入设备是否为NAT设备。若是NAT设备，则将待识别数据加入训练集中，进而更新决策树识别模型。若不是，则标记该接入设备为非NAT设备。

应理解，上述实施例中各步骤的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

上面主要描述了一种方法，下面将对基于决策树的NAT设备识别装置进行详细描述。

图3示出了本发明实施例中NAT设备识别装置的结构框图，该装置包括：

获取单元31，获取已经确认为NAT设备的APP访问信息和web访问信息

建模单元32，根据所述APP访问信息和所述web访问信息，建立决策树识别模型

识别单元33，利用决策树识别模型，对待识别的接入设备进行识别

可选的，所述获取单元31具体用于：

对于已经确认为NAT设备的IP和对应流量进行APP识别，并在APP库中匹配，获得该NAT设备的APP访问信息。同样的，对该确认的NAT设备进行web识别，并在web库中匹配，得到web访问信息。同样的，对于待识别的接入设备也采取相同方法获取app访问信息和web访问信息。

可选的，所述建模单元32具体用于：

对获取到的确认为NAT设备的APP访问信息和web访问信息，形成训练集，再根据训练集，利用C5.0决策树算法，建立决策树模型。

可选的，所述识别单元33具体用于：

对从待识别接入设备采集到的数据，利用决策树算法，判断该接入设备是否为NAT设备。若是，则将待识别数据加入训练集，进而更新决策树模型。若不是，则对该设备进行标记。

图4是本发明一实施例提供的一种基于决策树的NAT设备识别终端设备的示意图。如图4所示，该实施例的NAT设备识别终端设备4包括：处理器40、存储器41、网络接入设备42以及存储在所述存储器41中并可在所述处理器40上运行的计算机程序43，例如NAT设备识别程序。所述处理器40执行所述计算机程序43时实现上述各个实施例中的步骤，例如图1所示的步骤s101至s103。或者，所述处理器40执行所述计算机程序46时实现上述各装置实施例中各模块/单元的功能，例如图3所示模块31至33的功能。

示例性的，所述计算机程序43可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器41中，并由所述处理器40执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序43在所述NAT设备识别终端设备4中的执行过程。例如，所述计算机程序43可以被分割成获取单元、建模单元、识别单元，各单元具体有对应操作任务。

所述NAT设备识别终端设备4可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述NAT设备识别终端设备可包括，但不仅限于，处理器40、存储器41、网络接入设备42。本领域技术人员可以理解，图4仅仅是NAT设备识别终端设备4的示例，并不构成对NAT设备识别终端设备4的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如所述NAT设备识别终端设备还可以包括输入输出设备、总线等。

所述处理器40可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器41可以是所述NAT设备识别终端设备4的内部存储单元，例如NAT设备识别终端设备6的硬盘或内存。所述存储器41也可以是所述NAT设备识别终端设备6的外部存储设备，例如所述NAT设备识别终端设备4上配备的插接式硬盘，智能存储卡(SmartMedia Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，所述存储器41还可以既包括所述NAT设备识别终端设备4的内部存储单元也包括外部存储设备。所述存储器41用于存储所述计算机程序以及所述NAT设备识别终端设备所需的其他程序和数据。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各实施例的模块、单元和/或方法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，RandomAccess Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种基于决策树的NAT设备识别方法，其特征在于，包括：

步骤a：获取已经确认为NAT设备的APP访问信息和web访问信息；

步骤b：根据所述APP访问信息和所述web访问信息，建立决策树识别模型；

步骤c：利用决策树识别模型，对待识别的接入设备进行识别。

2.根据权利要求1所述的方法，其特征在于，所述步骤a具体为：

通过对已经确认为NAT设备的IP和对应流量分别进行APP识别、web识别，得到所述NAT设备的APP访问信息、web访问信息。

3.根据权利要求1所述的方法，其特征在于，所述步骤b具体为：

根据所述APP访问信息和所述web访问信息，对APP访问信息和web访问信息进行训练得到训练集，再通过决策树算法建立决策树识别模型。

4.根据权利要求1所述的方法，其特征在于，所述步骤c具体为：

采集待识别接入设备的APP访问信息和web访问信息，通过决策树模型，判断所述接入设备是否为NAT设备。

5.根据权利要求4所述的方法，其特征在于，所述步骤c还包括：

获取确认为NAT设备的APP访问信息和web访问信息，加入训练集，并根据训练集更新决策树识别模型。

6.一种基于决策树的NAT设备识别装置，其特征在于，包括：

7.根据权利要求6所述的一种基于决策树的NAT设备识别装置，其特征在于，所述识别单元具体用于：

对于采集的待识别接入设备的APP访问信息和web访问信息，通过决策树模型，判断所述接入设备是否为NAT设备。

8.根据权利要求7所述的一种基于决策树的NAT设备识别装置，其特征在于，所述识别单元还用于：

9.一种基于决策树的NAT设备识别装置，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述一种基于决策树的NAT设备识别方法的步骤。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述一种基于决策树的NAT设备识方法的步骤。