CN110572325A - 一种nat路由器流量识别方法 - Google Patents

一种nat路由器流量识别方法 Download PDF

Info

Publication number
CN110572325A
CN110572325A CN201910840690.4A CN201910840690A CN110572325A CN 110572325 A CN110572325 A CN 110572325A CN 201910840690 A CN201910840690 A CN 201910840690A CN 110572325 A CN110572325 A CN 110572325A
Authority
CN
China
Prior art keywords
flow
nat router
traffic
clock frequency
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910840690.4A
Other languages
English (en)
Inventor
武杨
牟一林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CHENGDU PONDER TECHNOLOGY Co Ltd
Original Assignee
CHENGDU PONDER TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CHENGDU PONDER TECHNOLOGY Co Ltd filed Critical CHENGDU PONDER TECHNOLOGY Co Ltd
Priority to CN201910840690.4A priority Critical patent/CN110572325A/zh
Publication of CN110572325A publication Critical patent/CN110572325A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04JMULTIPLEX COMMUNICATION
    • H04J3/00Time-division multiplex systems
    • H04J3/02Details
    • H04J3/06Synchronising arrangements
    • H04J3/0635Clock or time synchronisation in a network
    • H04J3/0638Clock or time synchronisation among nodes; Internode synchronisation
    • H04J3/0658Clock or time synchronisation among packet nodes
    • H04J3/0661Clock or time synchronisation among packet nodes using timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种NAT路由器流量识别方法,针对每条流分别提取IP方向的TTL、IP选项信息组合成设备指纹,并从每个IP包的TCP头中提取设备的时间戳值,通过时钟频率计算、时钟相位差计算及匹配,识别NAT路由器流量。本发明不仅能够真正做到识别NAT路由器自身流量,而且能够标记流所属NAT路由器的生产厂商、产品型号等信息,为路由器流量分析提供更全面的情报。

Description

一种NAT路由器流量识别方法
技术领域
本发明属于网络流量分析领域,尤其涉及一种NAT路由器流量识别方法。
背景技术
NAT(网络地址转换)技术是一种私有网络访问公有网络的技术,大大缓解了IPv4地址枯竭的问题,广泛应用于家用路由器、企业网关、光猫等路由产品中。近年来,随着路由器攻击事件的频繁爆发,针对NAT路由器进行流量分析愈发重要。在以往的流量分析中,一般通过IP识别路由器,并关联路由器流量,但存在以下问题:无法区分NAT路由器及NAT后面路由器的自身流量与转发流量。一般情况下,路由器自身流量远远少于其转发流量,经过NAT后的流量具有相同的IP,采用IP关联流量的方法会将NAT后的所有流量关联为一个路由器,这不仅混入了大量的路由器转发流量,导致无法识别真正的路由器自身流量,而且无法跟踪记录路由器的真实行为,增加了路由器流量分析的复杂度。为了仅针对路由器进行流量分析,则需要精确识别并捕获NAT路由器的自身流量。
发明内容
本发明的目的就在于为了解决上述问题而提供一种NAT路由器流量识别方法,包括如下步骤:
S1:针对每条流分别提取IP方向的TTL、IP选项信息组合成设备指纹,并从每个IP包的TCP头中提取设备的时间戳值,计算与该方向第一个时间戳值的差,构成设备时间戳差值结合;
S2:将流中提取的TTL、IP选项信息组合的设备指纹在人工收集的静态设备指纹库中进行多模式匹配查找;若在指纹库中查找成功,则标记流并将流量与查找到的设备指纹关联,转S3;若在指纹库中查找失败,则该条流不是NAT路由器流量,转S5;
S3:在流结束时,根据时间戳差值集合的量级,计算时钟频率,采用线性规划计算时钟相位差;若时钟频率与时钟相位差计算成功则执行S4,否则执行S5;
S4:将计算求得的时钟频率、时钟相位差与关联的设备指纹里的时钟频率、时钟相位差进行匹配,若匹配成功,则标记该条流为NAT路由器流量;否则,该流非NAT路由器流量;
S5:当前流识别完成。
本发明的有益效果在于:本发明提供了一种能够识别NAT路由器自身流量的方法,解决了NAT环境下无法区分路由器自身流量与转发流量的问题;解决了过去基于IP识别路由器流量,在NAT环境下存在路由器流量过大、不易分析的问题,本方法将NAT路由器的流量降到了可分析的范围;本方法采用设备指纹识别NAT路由器流量,流量识别更精确;本发明不仅能够真正做到识别NAT路由器自身流量,而且能够标记流所属NAT路由器的生产厂商、产品型号等信息,为路由器流量分析提供更全面的情报。
附图说明
图1是本发明的原理图;
图2是本发明实施例的原理图。
具体实施方式
下面结合附图对本发明作进一步说明:
如图1所示,本发明一种NAT路由器流量识别方法,包括如下步骤:
S1:针对每条流分别提取IP方向的TTL、IP选项信息组合成设备指纹,并从每个IP包的TCP头中提取设备的时间戳值,计算与该方向第一个时间戳值的差,构成设备时间戳差值结合;
S2:将流中提取的TTL、IP选项信息组合的设备指纹在人工收集的静态设备指纹库中进行多模式匹配查找;若在指纹库中查找成功,则标记流并将流量与查找到的设备指纹关联,转S3;若在指纹库中查找失败,则该条流不是NAT路由器流量,转S5;
S3:在流结束时,根据时间戳差值集合的量级,计算时钟频率,采用线性规划计算时钟相位差;若时钟频率与时钟相位差计算成功则执行S4,否则执行S5;
S4:将计算求得的时钟频率、时钟相位差与关联的设备指纹里的时钟频率、时钟相位差进行匹配,若匹配成功,则标记该条流为NAT路由器流量;否则,该流非NAT路由器流量;
S5:当前流识别完成。
进一步的,所述IP方向包括源IP方向与目的IP方向。
进一步的,所述流中任一IP方向的设备指纹查找成功,则流量即为NAT路由器自身流量。
进一步的,所述S3中,若时间戳差值集合达到设定值,则采用最小二乘法计算时钟频率,否则采用加权平均值法计算时钟频率。
具体的,一种NAT路由器流量识别方法,包括如下步骤:
步骤1:针对每条流,分别提取源IP方向与目的IP方向的TTL、IP选项等信息组合成设备指纹,并从每个IP包的TCP头中提取设备的时间戳值,并计算与该方向第一个时间戳值的差,构成设备时间戳差值集合;
步骤2:将流中提取的TTL、IP选项等信息组合的设备指纹在人工收集的静态设备指纹库中进行多模式匹配查找。若在指纹库中查找成功,则标记流为疑似NAT路由器流量,并将流量与查找的设备指纹关联,然后执行步骤3;若在指纹库中查找失败,则该条流不是NAT路由器流量,执行步骤5;
步骤3:在流结束时,基于时间戳差值集合的量级,采用最小二乘法或加权平均值法计算时钟频率,采用线性规划计算时钟相位差。若时钟频率与相位差计算成功,则执行步骤4,否则执行步骤5。
步骤4:将计算求得的时钟频率、相位差与关联的设备指纹里的时钟频率、相位差进行匹配。若匹配成功,则标记该条流为NAT路由器流量;否则,该流非NAT路由器流量。
步骤5:本条流识别结束。
需提取每条流双向的设备指纹,分别进行设备指纹匹配。
在进行NAT路由器流量识别时,只要流中任意一个方向的设备指纹查找成功,则流量即为NAT路由器自身流量。
时间戳差值集合的量级指的是,当差值集合达到一定的数量时,即可计算出设备的时钟频率。若差值数大于10则采用最小二乘法计算设备时钟频率,否则采用加权平均值法。例如,假设捕获时间戳的时间差集合T=[t1,t2,…,tN],时间戳差值集合S=[s1,s2,…,sN]。若N大于10,则采用下列最小二乘法公式计算时间频率Hz:
否则,采用下列加权平均值公式计算时间频率Hz:
本发明解决了NAT环境下无法区分路由器自身流量与转发流量的问题;解决了过去基于IP识别路由器流量,在NAT环境下存在路由器流量过大、不易分析的问题,本方法将NAT路由器的流量降到了可分析的范围;相对于过去的通过IP识别流量的方法,本方法采用设备指纹识别NAT路由器流量,流量识别更精确。
网络流量按照五元组构成了流概念,本方法采用多模式匹配技术,从流中提取设备指纹与NAT路由器指纹进行匹配,不仅能够真正做到识别NAT路由器自身流量,而且能够标记流所属NAT路由器的生产厂商、产品型号等信息,为路由器流量分析提供更全面的情报。
本发明的技术方案不限于上述具体实施例的限制,凡是根据本发明的技术方案做出的技术变形,均落入本发明的保护范围之内。

Claims (4)

1.一种NAT路由器流量识别方法,其特征在于,包括如下步骤:
S1:针对每条流分别提取IP方向的TTL、IP选项信息组合成设备指纹,并从每个IP包的TCP头中提取设备的时间戳值,计算与该方向第一个时间戳值的差,构成设备时间戳差值结合;
S2:将流中提取的TTL、IP选项信息组合的设备指纹在人工收集的静态设备指纹库中进行多模式匹配查找;若在指纹库中查找成功,则标记流并将流量与查找到的设备指纹关联,转S3;若在指纹库中查找失败,则该条流不是NAT路由器流量,转S5;
S3:在流结束时,根据时间戳差值集合的量级,计算时钟频率,采用线性规划计算时钟相位差;若时钟频率与时钟相位差计算成功则执行S4,否则执行S5;
S4:将计算求得的时钟频率、时钟相位差与关联的设备指纹里的时钟频率、时钟相位差进行匹配,若匹配成功,则标记该条流为NAT路由器流量;否则,该流非NAT路由器流量;
S5:当前流识别完成。
2.根据权利要求1所述一种NAT路由器流量识别方法,其特征在于,所述IP方向包括源IP方向与目的IP方向。
3.根据权利要求1所述一种NAT路由器流量识别方法,其特征在于,所述流中任一IP方向的设备指纹查找成功,则流量即为NAT路由器自身流量。
4.根据权利要求1所述一种NAT路由器流量识别方法,其特征在于,所述S3中,若时间戳差值集合达到设定值,则采用最小二乘法计算时钟频率,否则采用加权平均值法计算时钟频率。
CN201910840690.4A 2019-09-06 2019-09-06 一种nat路由器流量识别方法 Pending CN110572325A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910840690.4A CN110572325A (zh) 2019-09-06 2019-09-06 一种nat路由器流量识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910840690.4A CN110572325A (zh) 2019-09-06 2019-09-06 一种nat路由器流量识别方法

Publications (1)

Publication Number Publication Date
CN110572325A true CN110572325A (zh) 2019-12-13

Family

ID=68778163

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910840690.4A Pending CN110572325A (zh) 2019-09-06 2019-09-06 一种nat路由器流量识别方法

Country Status (1)

Country Link
CN (1) CN110572325A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111565200A (zh) * 2020-07-14 2020-08-21 成都数维通信技术有限公司 一种基于多路径报文检测分析的nat关联检测方法
CN113194043A (zh) * 2021-03-18 2021-07-30 成都深思科技有限公司 一种nat环境下的网络流量分类方法
CN117221242A (zh) * 2023-09-01 2023-12-12 安徽慢音科技有限公司 一种网络流向识别方法、设备及介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102307123A (zh) * 2011-09-06 2012-01-04 电子科技大学 基于传输层流量特征的nat流量识别方法
CN102377620A (zh) * 2011-12-09 2012-03-14 浙江大学 基于osi传输层时间戳的宽带私接检测方法
CN105681487A (zh) * 2009-10-28 2016-06-15 惠普发展公司,有限责任合伙企业 用于nat设备的检测的方法和装置
CN106254370A (zh) * 2016-08-30 2016-12-21 成都源知信息技术有限公司 一种网络设备指纹生成方法及探测设备
CN106411644A (zh) * 2016-09-30 2017-02-15 苏州迈科网络安全技术股份有限公司 基于dpi技术的网络共享设备检测方法及系统
CN108347359A (zh) * 2018-01-30 2018-07-31 新浪网技术(中国)有限公司 一种大型网络地址转换出口判断方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105681487A (zh) * 2009-10-28 2016-06-15 惠普发展公司,有限责任合伙企业 用于nat设备的检测的方法和装置
CN102307123A (zh) * 2011-09-06 2012-01-04 电子科技大学 基于传输层流量特征的nat流量识别方法
CN102377620A (zh) * 2011-12-09 2012-03-14 浙江大学 基于osi传输层时间戳的宽带私接检测方法
CN106254370A (zh) * 2016-08-30 2016-12-21 成都源知信息技术有限公司 一种网络设备指纹生成方法及探测设备
CN106411644A (zh) * 2016-09-30 2017-02-15 苏州迈科网络安全技术股份有限公司 基于dpi技术的网络共享设备检测方法及系统
CN108347359A (zh) * 2018-01-30 2018-07-31 新浪网技术(中国)有限公司 一种大型网络地址转换出口判断方法及装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111565200A (zh) * 2020-07-14 2020-08-21 成都数维通信技术有限公司 一种基于多路径报文检测分析的nat关联检测方法
CN111565200B (zh) * 2020-07-14 2020-10-09 成都数维通信技术有限公司 一种基于多路径报文检测分析的nat关联检测方法
CN113194043A (zh) * 2021-03-18 2021-07-30 成都深思科技有限公司 一种nat环境下的网络流量分类方法
CN117221242A (zh) * 2023-09-01 2023-12-12 安徽慢音科技有限公司 一种网络流向识别方法、设备及介质

Similar Documents

Publication Publication Date Title
CN110572325A (zh) 一种nat路由器流量识别方法
CN102307123B (zh) 基于传输层流量特征的nat流量识别方法
CN104506484B (zh) 一种私有协议分析与识别方法
CN107360145B (zh) 一种多节点蜜罐系统及其数据分析方法
CN101399710B (zh) 一种协议格式异常检测方法及系统
CN111683097B (zh) 一种基于两级架构的云网络流量监控系统
CN109768952B (zh) 一种基于可信模型的工控网络异常行为检测方法
CN106330584A (zh) 一种业务流的识别方法及识别装置
CN111147513A (zh) 基于攻击行为分析的蜜网内横向移动攻击路径确定方法
CN111953552B (zh) 数据流的分类方法和报文转发设备
EP3242240A1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN105959321A (zh) 网络远程主机操作系统被动识别方法及装置
CN107347016B (zh) 一种信令流程模型识别方法及异常信令流程辨识方法
CN111294342A (zh) 一种软件定义网络中DDos攻击的检测方法及系统
CN111130947A (zh) 一种基于服务验证的网络空间测绘方法
CN102984242B (zh) 一种应用协议的自动识别方法和装置
CN113438332B (zh) 一种DoH服务标识方法及装置
CN117040943B (zh) 基于IPv6地址驱动的云网络内生安全防御方法和装置
CN105610808A (zh) 一种基于动态域名解析的网络流量识别方法及系统
CN109274551A (zh) 一种精确高效的工控资源定位方法
CN104244217B (zh) 实现用户数据实时同步的方法和系统
EP3790260B1 (en) Device and method for identifying network devices in a nat based communication network
CN103532779A (zh) 一种快速定位分流设备丢包的方法及系统
CN113824721B (zh) 基于网络的信息处理方法及电子设备
CN109309679A (zh) 一种基于tcp流状态的网络扫描检测方法及检测系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20191213

RJ01 Rejection of invention patent application after publication