CN110381177A - Nat设备的识别方法、装置、电子设备和计算机可读介质 - Google Patents

Abstract

本发明提供了一种NAT设备的识别方法、装置、电子设备和计算机可读介质，涉及识别技术领域，包括获取目标网络的流量数据；根据流量数据和投影寻踪算法识别目标网络中的NAT设备。本发明有效提升了识别目标网络中NAT设备的准确率。

Description

NAT设备的识别方法、装置、电子设备和计算机可读介质

技术领域

本发明涉及识别技术领域，尤其是涉及一种NAT设备的识别方法、装置、电子设备和计算机可读介质。

背景技术

NAT(Network Address Translation，网络地址转换)技术可以有效地缓解IP地址资源不足的问题，同时实现了私有网络与公有网络的有效隔离，在一定程度上能够防范来自外部网络的攻击。但是，NAT技术也会使得私有网络中的主机对外部网络不可见，导致无法对其中的网络用户设备进行识别认证，给网络安全带来了威胁，也给网络监管带来了挑战。因此，检测网络中是否存在NAT设备是非常有必要的，然而，发明人根据现有的研究成果发现，目前基于标识符和基于应用层识别NAT设备的方法的识别准确率普遍较低。

发明内容

本发明的目的在于提供一种NAT设备的识别方法、装置、电子设备和计算机可读介质，有效提升了识别目标网络中NAT设备的准确率。

第一方面，本发明实施例提供一种NAT设备的识别方法，包括：获取目标网络的流量数据；根据所述流量数据和投影寻踪算法识别所述目标网络中的NAT设备。

在可选的实施方式中，所述根据所述流量数据和投影寻踪算法识别所述目标网络中的NAT设备的步骤，包括：根据所述流量数据构建特征矩阵；所述特征矩阵是包含多种流量特征参数的矩阵；根据所述特征矩阵和投影寻踪算法识别所述目标网络中的NAT设备。

在可选的实施方式中，所述根据所述流量数据构建特征矩阵的步骤，包括：从所述流量数据中筛选出多个流量特征参数，根据所述流量特征参数构建特征矩阵X^*(m，n)；其中，m为所述特征矩阵的行数，所述特征矩阵的不同行包含不同的IP地址，n为所述特征矩阵的列数，所述特征矩阵的不同列包含不同的流量特征参数。

在可选的实施方式中，所述流量特征参数包括：流量数、报文数、流数目、端口数、TCP连接数、DNS报文数和IP地址数中的多种。

在可选的实施方式中，所述根据所述特征矩阵和投影寻踪算法识别所述目标网络中的NAT设备的步骤，包括：根据所述特征矩阵构建投影指标函数；确定所述投影指标函数的最优解，并根据所述最优解确定最佳投影方向；根据所述最佳投影方向确定最佳投影值，并根据所述最佳投影值在预设坐标系中绘制最佳投影；通过绘制的所述最佳投影识别所述目标网络中的NAT设备。

在可选的实施方式中，所述根据所述特征矩阵构建投影指标函数的步骤，包括：对所述特征矩阵X^*(m，n)进行归一化处理获得归一化矩阵X(m，n)；基于所述归一化矩阵X(m，n)构建所述投影指标函数，所述投影指标函数为：

Q(a)＝1/S_z+α*D_z

其中，α为调节因子，S_z为投影值z(i)的标准差，且

D_z为投影值z(i)的局部密度，且

其中，所述投影值且a(j)＝{a(1)，a(2)，...a(n)}为投影方向，E(z)为z(i)的平均值，R为局部密度的窗口半径，r(i，j)为样本之间的距离，r(i，j)＝|z(i)-z(j)|，u(t)为单位阶跃函数，t≥0时为u(t)＝1，t＜0时u(t)＝0。

在可选的实施方式中，所述确定所述投影指标函数的最优解，并根据所述最优解确定最佳投影方向的步骤，包括：采用惩罚函数将所述投影指标函数转换为无约束的目标函数，所述目标函数为：

其中，h为惩罚因子；根据遗传算法求解所述目标函数的最大值，将求解得到的所述最大值作为最优解，并将所述最大值对应的所述投影方向a_best(i)作为所述最佳投影方向。

第二方面，本发明实施例提供一种NAT设备的识别装置，包括：流量数据模块，用于获取目标网络的流量数据；识别模块，用于根据所述流量数据和投影寻踪算法识别所述目标网络中的NAT设备。

第三方面，本发明实施例提供一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述前述第一方面任一项所述的方法的步骤。

第四方面，本发明实施例提供一种计算机可读介质，所述计算机可读介质存储有计算机可执行指令，所述计算机可执行指令在被处理器调用和执行时，所述计算机可执行指令促使所述处理器实现前述第一方面任一项所述的方法。

本发明实施例提供的一种NAT设备的识别方法、装置、电子设备和计算机可读介质，该方法包括：首先获取目标网络的流量数据；然后根据流量数据和投影寻踪算法识别目标网络中的NAT设备。该方法将投影寻踪算法引入至NAT设备识别中，相比于传统技术中基于标识符和应用层进行简单识别而言，本实施例借助投影寻踪算法进行NAT识别，可有效提升目标网络中NAT设备的识别准确率。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种NAT设备的识别方法流程图；

图2为本发明实施例提供的一种网络环境图；

图3为本发明实施例提供的一种最佳投影图；

图4为本发明实施例提供的一种NAT设备的识别装置结构示意图；

图5为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

下面结合附图，对本发明的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

目前基于标识符和基于应用层识别NAT设备的方法的准确率较低，发明人经研究发现，现在虽然出现了基于流量特征识别NAT设备的机器学习方法，但是采用机器学习方法需要提前进行模型训练，并且在特定的网络环境下的训练模型应用范围小。基于此，本发明实施例提供了一种NAT设备的识别方法、装置、电子设备和计算机可读介质，该方法将投影寻踪算法引入至NAT设备识别中，相比于传统技术中基于标识符和应用层进行简单识别而言，本实施例借助投影寻踪算法进行NAT识别，可有效提升目标网络中NAT设备的识别准确率，且该方法无需进行模型训练，应用范围广。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种NAT设备的识别方法进行详细介绍。

本发明实施例提供了一种NAT设备的识别方法，参见如图1所示的NAT设备的识别方法流程图，该方法包括以下步骤：

S102：获取目标网络的流量数据。

上述目标网络可以是需要检测是否存在NAT设备(该NAT设备可以是安装有NAT软件的设备，例如可以是路由器)的网络。如图2所示的网络环境图，当获取目标网络的流量数据时，可以是通过在目标网络下的交换机附近连接一个镜像的方式来获取(例如，图2中的交换机A连接检测器A，交换机B连接检测器B)，目标网络下所有计算机网络设备发送或接收的数据都会通过上述镜像，如图2所示，NAT设备(如图2中的路由器A和路由器B)下一般会连接有多个网络设备(例如，图2中示出的计算机、手机、笔记本电脑或平板电脑等)，该多个网络设备发送的数据经过NAT设备后传输到上一层的交换机，镜像端口(该镜像可以是图2中的检测器A及检测器B)获取到的是多个网络设备的总流量。

S104：根据流量数据和投影寻踪算法识别目标网络中的NAT设备。

根据获取到的流量数据，以及投影寻踪算法计算识别出目标网络中的NAT设备，有效避免了数据包中含有特殊字段等因素对NAT设备识别的影响，可以适应不同的网络环境。

投影寻踪(projection pursuit，简称PP)是处理和分析高维数据的一类统计方法，其基本思想是将高维数据投影到低维(1～3维)子空间上，寻找出反映原高维数据的结构或特征的投影，以达到研究和分析高维数据的目的。投影寻踪算法属于直接样本数据驱动的探索性数据分析方法，将高维数据通过某种组合投影到低维子空间上，对于投影到的构形，采用投影指标函数来描述投影暴露原系统某种分类排序结构的可能性大小，寻找出使投影指标函数达到最优(即能反应高维数据结构或特征)的投影值，然后根据该投影值来分析高维数据的分类结构特征(如投影寻踪聚类评价模型)，或根据该投影值与研究系统的实际输出值之间的散点图构造适当的数学模型以模拟系统输出(如投影寻踪等级评价模型)。投影寻踪在处理数据时，无须人为假定，不会损失大量有用的偏态信息，能自动找出数据内在规律，因此稳健性较好。

本发明实施例提供的一种NAT设备的识别方法，将投影寻踪算法引入至NAT设备识别中，相比于传统技术中基于标识符和应用层进行简单识别而言，本实施例借助投影寻踪算法进行NAT识别，可有效提升目标网络中NAT设备的识别准确率。

为了进一步提升NAT设备识别的准确率，本实施例提供了根据流量数据和投影寻踪算法识别目标网络中的NAT设备的具体实施方式，可参照如下步骤(1)～(2)：

步骤(1)：根据流量数据构建特征矩阵；特征矩阵是包含多种流量特征参数的矩阵。

在一种具体的实施方式中，本实施例提供了根据流量数据构建特征矩阵的具体实施方式：从流量数据中筛选出多个流量特征参数，根据流量特征参数构建特征矩阵X^*(m，n)。其中，m为特征矩阵的行数，特征矩阵的不同行包含不同的IP地址，n为特征矩阵的列数，特征矩阵的不同列包含不同的流量特征参数。从获取到的流量数据中筛选出能够反映出NAT设备与普通主机之间流量差异的流量特征参数，将筛选出的流量特征参数表示为矩阵的形式，即特征矩阵，记为X^*(m，n)，其中，m表示特征矩阵的行数，特征矩阵的每一行为不同的IP地址，n表示特征矩阵的列数，特征矩阵的每一列为不同的流量特征参数。

在一种具体的实施方式中，上述流量特征参数包括：流量数、报文数、流数目、端口数、TCP(Transmission Control Protocol，传输控制协议)连接数、DNS(Domain NameSystem，域名系统)报文数和IP(Internet ProtocolAddress，网际协议地址)地址数中的多种。其中，流量数是指同一个时间段内，某一个IP下总的字节数；报文数是指同一个时间段内，某一个IP下报文数量；流数目是指同一时间段内，某一个IP下五元组的数目；端口数是指同一个时间段内，某一个IP下通信产生的不同软件端口号数目；TCP连接数是指同一时间段内，某一个IP下TCP请求建立的连接数；DNS报文数是指同一个时间段内某一个IP地址通信下DNS报文请求数量；IP地址数是指同一时间段内同某一个IP地址通信的总IP地址数。

步骤(2)：根据特征矩阵和投影寻踪算法识别目标网络中的NAT设备。

为了更加准确地确定上述投影寻踪算法的最佳投影方向，本实施例提供了根据特征矩阵和投影寻踪算法识别目标网络中的NAT设备的具体实施方式，可参照如下步骤1～4：

步骤1：根据特征矩阵构建投影指标函数。

在一种具体的实施方式中，上述根据特征矩阵构建投影指标函数的具体实施方式为：对特征矩阵X^*(m，n)进行归一化处理获得归一化矩阵X(m，n)。矩阵X^*(m，n)＝{X^*(i，j)|i＝1，2，...，m；j＝1，2，...，n}的归一化处理，采用越大越优的指标公式：其中，X_max(j)表示为第j个特征参数的最大值，X_min(j)表示为第j个特征参数的最小值。

基于归一化矩阵X(m，n)构建投影指标函数，根据{z(i)|i＝1，2，...n}进行K值聚类得到投影指标函数，投影指标函数为：

Q(a)＝1/S_z+α*D_z

其中，α为调节因子。

S_z为投影值z(i)的标准差，且

D_z为投影值z(i)的局部密度，且

其中，根据投影值公式 可以得到特征矩阵X(i，j)的一维投影值，且a(j)＝{a(1)，a(2)，...a(n)}为投影方向，E(z)为z(i)的平均值，R为局部密度的窗口半径，R的取值可以是R＝0.1*S_z，r(i，j)为样本之间的距离，r(i，j)＝|z(i)-z(j)|，u(t)为单位阶跃函数，t≥0时为u(t)＝1，t＜0时u(t)＝0。上述投影指标函数一定程度上能够缓解投影点在低维空间上的过度聚集，从而使相似的数据较为分散的进行投影。

步骤2：确定投影指标函数的最优解，并根据最优解确定最佳投影方向。

投影指标函数随着投影方向的变化而变化的，最佳的投影方向应使投影值的分布满足局部投影点尽量靠拢，形成聚拢的点团，而整体不同点团之间尽量散开，即最大化对应的目标函数。

在一种具体的实施方式中，上述确定投影指标函数的最优解，并根据最优解确定最佳投影方向的具体实施方式为：采用惩罚函数将投影指标函数转换为无约束的目标函数，该无约束的目标函数为：

其中，h为惩罚因子；h是取非常大的正整数。

还可以是其他实施方式，诸如，可以将上述投影指标函数转化为有约束的目标函数，该有约束的目标函数为：

Max：Q(a)＝1/S_z+α*D_z

约束条件为：

根据遗传算法求解目标函数的最大值，将求解得到的最大值作为最优解，并将最大值对应的投影方向a_best(i)作为最佳投影方向。采用遗传算法求解上述无约束的目标函数的全局最优解，首先随机产生p组投影方向a，计算每一组的投影值z(i)，i＝1，2，...，m，进而根据每一组投影值计算目标函数的值，总共得到p组值，保留p组中值较大的一部分，通过遗传算法的交叉，变异操作产生新的p组投影方向，重新计算得到p组值，重复以上操作，当流程结束时，选择最大值所对应的投影方向，将其作为最佳投影方向a_best。

步骤3：根据最佳投影方向确定最佳投影值，并根据最佳投影值在预设坐标系中绘制最佳投影。

由上述投影值的计算公式 根据上述最佳投影方向a_best(以及最佳投影方向a_best对应的i值)计算得到最佳投影值z_best(i)，i＝1，2，...，m，将最佳投影绘制到预设的坐标系中，例如可以是二维坐标系。

步骤4：通过绘制的最佳投影识别目标网络中的NAT设备。

通过预设坐标系中绘制的最佳投影的投影点的离散情况可以对NAT设备进行识别。示例性的，参见如图3所示的最佳投影图，图3示出了在二维坐标系中绘制出的最佳投影图，该二维坐标系的每一个横坐标点表示不同的IP地址，横坐标点表示的IP地址可能来自NAT设备，也可能来自普通的网络设备；纵坐标表示投影。一般情况下某个目标网络环境下NAT设备相对普通的网络设备(例如主机)是比较少的，所以图中那些纵坐标较大(较高位置的)离散点一般被认为是NAT设备。

本发明实施例提供的上述NAT设备的识别方法，通过从目标网络的流量数据筛选出流量特征参数构建特征矩阵，并根据特征矩阵和投影寻踪算法识别目标网络中的NAT设备，一定程度上可以缓解数据从高位空间投影到低位空间的过度聚集问题，且上述NAT设备的识别方法无需进行模型训练，有效解决了现有的机器学习算法识别前需要训练模型的限制，可以较好地适应不同的网络流量环境。

对应于前述NAT设备的识别方法，本发明实施例提供了一种NAT设备的识别装置，参见如图4所示的NAT设备的识别装置结构示意图，包括：

流量数据模块41，用于获取目标网络的流量数据。

识别模块42，用于根据流量数据和投影寻踪算法识别目标网络中的NAT设备。

本发明实施例提供的上述NAT设备的识别装置，将投影寻踪算法引入至NAT设备识别中，相比于传统技术中基于标识符和应用层进行简单识别而言，本实施例借助投影寻踪算法进行NAT识别，可有效提升目标网络中NAT设备的识别准确率。

在一种实施方式中，上述识别模块42，进一步用于根据流量数据构建特征矩阵；特征矩阵是包含多种流量特征参数的矩阵；根据特征矩阵和投影寻踪算法识别目标网络中的NAT设备。

在一种实施方式中，上述识别模块42，进一步用于从流量数据中筛选出多个流量特征参数，根据流量特征参数构建特征矩阵X^*(m，n)。其中，m为特征矩阵的行数，特征矩阵的不同行包含不同的IP地址，n为特征矩阵的列数，特征矩阵的不同列包含不同的流量特征参数。流量特征参数包括：流量数、报文数、流数目、端口数、TCP连接数、DNS报文数和IP地址数中的多种。

在一种实施方式中，上述识别模块42，进一步用于根据特征矩阵构建投影指标函数。确定投影指标函数的最优解，并根据最优解确定最佳投影方向。根据最佳投影方向确定最佳投影值，并根据最佳投影值在预设坐标系中绘制最佳投影。通过绘制的最佳投影识别目标网络中的NAT设备。

在一种实施方式中，上述识别模块42，进一步用于对特征矩阵X^*(m，n)进行归一化处理获得归一化矩阵X(m，n)；基于归一化矩阵X(m，n)构建投影指标函数，投影指标函数为：

Q(a)＝1/S_z+α*D_z

其中，α为调节因子，S_z为投影值z(i)的标准差，且

D_z为投影值z(i)的局部密度，且

其中，投影值且a(j)＝{a(1)，a(2)，...a(n)}为投影方向，E(z)为z(i)的平均值，R为局部密度的窗口半径，r(i，j)为样本之间的距离，r(i，j)＝|z(i)-z(j)|，u(t)为单位阶跃函数，t≥0时为u(t)＝1，t＜0时u(t)＝0。

在一种实施方式中，上述识别模块42，进一步用于采用惩罚函数将投影指标函数转换为无约束的目标函数，目标函数为：

其中，h为惩罚因子；根据遗传算法求解目标函数的最大值，将求解得到的最大值作为最优解，并将最大值对应的投影方向a_best(i)作为最佳投影方向。

本发明实施例提供的上述NAT设备的识别装置，通过从目标网络的流量数据筛选出流量特征参数构建特征矩阵，并根据特征矩阵和投影寻踪算法识别目标网络中的NAT设备，一定程度上可以缓解数据从高位空间投影到低位空间的过度聚集问题，且上述NAT设备的识别方法无需进行模型训练，有效解决了现有的机器学习算法识别前需要训练模型的限制，可以较好地适应不同的网络流量环境。

本实施例所提供的装置，其实现原理及产生的技术效果和前述实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

本发明实施例提供了一种电子设备，如图5所示的电子设备结构示意图，电子设备包括处理器51、存储器52，所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述实施例提供的方法的步骤。

参见图5，电子设备还包括：总线54和通信接口53，处理器51、通信接口53和存储器52通过总线54连接。处理器51用于执行存储器52中存储的可执行模块，例如计算机程序。

其中，存储器52可能包含高速随机存取存储器(RAM，Random Access Memory)，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个通信接口53(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线54可以是ISA(Industry Standard Architecture，工业标准体系结构)总线、PCI(Peripheral Component Interconnect，外设部件互连标准)总线或EISA(ExtendedIndustry StandardArchitecture，扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器52用于存储程序，所述处理器51在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器51中，或者由处理器51实现。

处理器51可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器51中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器51可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等。还可以是数字信号处理器(Digital SignalProcessing，简称DSP)、专用集成电路(Application Specific Integrated Circuit，简称ASIC)、现成可编程门阵列(Field-Programmable GateArray，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器52，处理器51读取存储器52中的信息，结合其硬件完成上述方法的步骤。

本发明实施例提供了一种计算机可读介质，其中，所述计算机可读介质存储有计算机可执行指令，所述计算机可执行指令在被处理器调用和执行时，所述计算机可执行指令促使所述处理器实现实施例所述的方法。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种NAT设备的识别方法，其特征在于，包括：

获取目标网络的流量数据；

根据所述流量数据和投影寻踪算法识别所述目标网络中的NAT设备。

2.根据权利要求1所述的方法，其特征在于，所述根据所述流量数据和投影寻踪算法识别所述目标网络中的NAT设备的步骤，包括：

根据所述流量数据构建特征矩阵；所述特征矩阵是包含多种流量特征参数的矩阵；

根据所述特征矩阵和投影寻踪算法识别所述目标网络中的NAT设备。

3.根据权利要求2所述的方法，其特征在于，所述根据所述流量数据构建特征矩阵的步骤，包括：

从所述流量数据中筛选出多个流量特征参数，根据所述流量特征参数构建特征矩阵X^*(m,n)；

其中，m为所述特征矩阵的行数，所述特征矩阵的不同行包含不同的IP地址，n为所述特征矩阵的列数，所述特征矩阵的不同列包含不同的流量特征参数。

4.根据权利要求2或3所述的方法，其特征在于，所述流量特征参数包括：流量数、报文数、流数目、端口数、TCP连接数、DNS报文数和IP地址数中的多种。

5.根据权利要求2所述的方法，其特征在于，所述根据所述特征矩阵和投影寻踪算法识别所述目标网络中的NAT设备的步骤，包括：

根据所述特征矩阵构建投影指标函数；

确定所述投影指标函数的最优解，并根据所述最优解确定最佳投影方向；

根据所述最佳投影方向确定最佳投影值，并根据所述最佳投影值在预设坐标系中绘制最佳投影；

通过绘制的所述最佳投影识别所述目标网络中的NAT设备。

6.根据权利要求5所述的方法，其特征在于，所述根据所述特征矩阵构建投影指标函数的步骤，包括：

对所述特征矩阵X^*(m，n)进行归一化处理获得归一化矩阵X(m，n)；

基于所述归一化矩阵X(m，n)构建所述投影指标函数，所述投影指标函数为：

Q(a)＝1/S_z+α*D_z

其中，α为调节因子，

S_z为投影值z(i)的标准差，且

D_z为投影值z(i)的局部密度，且

其中，所述投影值且a(j)＝{a(1)，a(2)，...a(n)}为投影方向，E(z)为z(i)的平均值，R为局部密度的窗口半径，r(i，j)为样本之间的距离，r(i，j)＝|z(i)-z(j)|，u(t)为单位阶跃函数，t≥0时为u(t)＝1，t＜0时u(t)＝0。

7.根据权利要求6所述的方法，其特征在于，所述确定所述投影指标函数的最优解，并根据所述最优解确定最佳投影方向的步骤，包括：

采用惩罚函数将所述投影指标函数转换为无约束的目标函数，所述目标函数为：

其中，h为惩罚因子；

根据遗传算法求解所述目标函数的最大值，将求解得到的所述最大值作为最优解，并将所述最大值对应的所述投影方向a_best(i)作为所述最佳投影方向。

8.一种NAT设备的识别装置，其特征在于，包括：

流量数据模块，用于获取目标网络的流量数据；

识别模块，用于根据所述流量数据和投影寻踪算法识别所述目标网络中的NAT设备。

9.一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现上述权利要求1至7任一项所述的方法的步骤。

10.一种计算机可读介质，其特征在于，所述计算机可读介质存储有计算机可执行指令，所述计算机可执行指令在被处理器调用和执行时，所述计算机可执行指令促使所述处理器实现权利要求1至7任一项所述的方法。