CN111866216A - 基于无线网络接入点的nat设备检测方法及系统 - Google Patents
基于无线网络接入点的nat设备检测方法及系统 Download PDFInfo
- Publication number
- CN111866216A CN111866216A CN202010767899.5A CN202010767899A CN111866216A CN 111866216 A CN111866216 A CN 111866216A CN 202010767899 A CN202010767899 A CN 202010767899A CN 111866216 A CN111866216 A CN 111866216A
- Authority
- CN
- China
- Prior art keywords
- data
- small
- group
- packet
- triple
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
Abstract
本发明提供NAT设备检测方法及系统,方法包括接收镜像流量服务器在采集到的所有TCP协议的第一次握手流量包;分别提取出每个第一次握手流量包中源IP、发包时间以及源端口号,作为一个三元组数据;将得到的三元组数据划分为至少一个小分组,对得到的小分组进行过滤;依次比较相邻两个小分组中三元组数据在时间维度上是否存在重叠部分,根据比较结果判断是否存在NAT设备。该方法通过统计比较TCP协议握手流量包中三元组数据的关系,可以检测某一个源IP是否存在NAT设备,以过滤分组、比较相邻两个小分组中三元组数据在时间维度上的重叠关系的方式,进一步提高了方法的泛化能力,对复杂的网络环境也能够有很高的检测准确度。
Description
技术领域
本发明属于无线网络技术领域,具体涉及基于无线网络接入点的NAT设备检测方法及系统。
背景技术
无线接入点(Access Point,AP)是一个无线网络的接入点,俗称“热点”,主要有路由交换接入一体设备和纯接入点设备。
网络地址转换(Network Address Translation,NAT)在计算机网络中是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。
TCP三次握手是TCP协议在建立通信连接时,先进行三次握手确保成功建立连接。其中,第一次握手时,请求方会发送一个包含SYN标记的包到回复方,并进入SYN_SENT状态,等待回复方确认。
在宽带家庭、大楼、校园、仓库以及工厂等场景中,PC和一些便携式设备经常利用AP接入网络。任何一台装有无线网卡的PC可以通过自身的AP来分享有线局域网络甚至广域网络的资源。理论上,当网络中增加一个无线AP之后,即可成倍地扩展网络覆盖直径,还可使网络中容纳更多的设备,从而满足在不同环境下便携式终端设备共享网络的要求。在很多无线AP中,一般包括了网络地址转换(NAT)协议,支持网络连接共享,这样多台上网设备利用NAT地址转换技术后只通过一个公有IP地址就可以访问互联网的资源,从而解决了IPV4地址不足的问题。
在实际应用中常见以下场景:在小型无线局域网内,一台台式电脑通过有线连接网络资源,然后台式电脑利用自带的无线网卡创建一个AP接入点,其他可以接受热点信号的设备,都可以通过这台台式电脑上网,当局域网内的设备联机上网时,设备共用台式电脑的IP与外界进行通信。对外界来说,感觉对方只有一个设备与自己通信,基于以上场景在网络流量监管的系统中,除台式电脑外,其他设备在一定程度上逃离了监管,管理员无法轻易感知其他设备的存在,也无法获知连接到局域网内设备的安全。特别是在重要的办公区域,如果有员工私搭AP,供其他不符合安全检查的设备共享网络时,很可能会被攻击者攻破获得网络内的重要数据信息,从而给企业带来一定的损失,因此,检测基于无线网络AP方式的NAT设备具有一定的实际应用意义。
但是现有的检测方法中或多或少都存在一定问题。例如现有判断是否使用同一个IP不同MAC地址的方法,该方法有很大的应用局限性,因为当IP包经过路由器时,MAC会被路由器重新封装,从而导致方法检测结果出错。还例如现有利用TTL值的变化来检测是否存在NAT设备的方法,该方法会因为TTL值被人为的修改而导致检测结果出错。还比如现有通过判断IP协议首部包含的字段Identification值是否连续的方法,该方法在实际网络环境应用中的检测准确度比较低。
发明内容
针对现有技术中的缺陷,本发明提供一种基于无线网络接入点的NAT设备检测方法及系统,提高基于无线网络AP方式的NAT设备检测的准确度。
第一方面,一种基于无线网络接入点的NAT设备检测方法,包括以下步骤:
接收镜像流量服务器在网络汇聚层中采集到的所有TCP协议的第一次握手流量包;
分别提取出每个第一次握手流量包中源IP、发包时间以及源端口号,作为一个三元组数据;
将得到的三元组数据划分为至少一个小分组,对得到的小分组进行过滤;
依次比较过滤后相邻两个小分组中三元组数据在时间维度上是否存在重叠部分,根据比较结果判断是否存在NAT设备。
优选地,所述将得到的三元组数据划分为至少一个小分组具体包括:
将所述得到的三元组数据按照源IP进行分组,得到至少一个小组;每个小组内的三元组数据按照时间先后顺序排列;
将同一个小组中三元组数据划分成至少一个以端口号间隔和时间间隔为约束限制的所述小分组。
优选地,所述将同一个小组中三元组数据划分成以端口号间隔和时间间隔为约束限制的所述小分组具体包括:
A1:获取小组中所有的三元组数据;
A2:根据小组中第一个三元组数据建立第一个小分组;
A3:判断是否存在下一个三元组数据,如果不存在,流程结束;如果存在,执行步骤A4;
A4:判断下一个三元组数据中的源端口号是否被遍历过;如果是,丢弃该三元组数据,返回步骤A3;如果不是,执行步骤A5;
A5:依次将该三元组数据分别与已建立的小分组中时间最近的三元组数据进行比较,判断这两个三元组数据中源端口号间隔的绝对值是否小于预设的超参数P、且发包时间的时间间隔的绝对值是否小于预设的超参数T;如果是,执行步骤A6;如果不是,执行步骤A7;
A6:将该三元组数据加入该小分组,返回步骤A3;
A7:根据该三元组数据建立下一个小分组,返回步骤A3。
优选地,所述对得到的小分组进行过滤具体包括:
当得到的小分组中三元组数据的数量小于预设的超参数N,舍弃该小分组。
优选地,该方法在所述对得到的小分组进行过滤之后,还包括:
如果同一小组中划分得到的小分组的数量为1,判定该源IP下不存在NAT设备。
优选地,所述依次比较过滤后相邻两个小分组中三元组数据在时间维度上是否存在重叠部分,根据比较结果判断是否存在NAT设备具体包括:
将相邻两个小分组中的前一个小分组中的三元组数据按时间先后顺序进行升序排序;
根据前一个小分组中前1/4三元组数据的发包时间求取平均值,得到最小平均时间值;
根据前一个小分组中最后1/4三元组数据的发包时间求取平均值,得到最大平均时间值;
统计相邻两个小分组中后一个小分组的发包时间落入最小平均时间值到最大平均时间值之间的三元组数据的数量,定义为重叠数量C;
如果C>min(len(gi)/2,len(gi+1)/2),则认为这两个小分组有重叠,该小分组对应的源IP下存在NAT设备;其中len(gi)为前一个小分组中三元组数据的数量,len(gi+1)为后一个小分组中三元组数据的数量,min为求取最小值运算。
第二方面,一种基于无线网络接入点的NAT设备检测系统,包括:
镜像流量服务器:用于在网络汇聚层中采集所有TCP协议的第一次握手流量包,并将采集到的第一次握手流量包发送检测设备;
检测设备:用于接收所述第一次握手流量包,分别提取出每个第一次握手流量包中源IP、发包时间以及源端口号,作为一个三元组数据,将得到的三元组数据划分为至少一个小分组,对得到的小分组进行过滤,依次比较过滤后相邻两个小分组中三元组数据在时间维度上是否存在重叠部分,根据比较结果判断是否存在NAT设备。
优选地,所述检测设备具体用于:
将所述得到的三元组数据按照源IP进行分组,得到至少一个小组;每个小组内的三元组数据按照时间先后顺序排列;
将同一个小组中三元组数据划分成至少一个以端口号间隔和时间间隔为约束限制的所述小分组。
优选地,所述检测设备具体用于:
A1:获取小组中所有的三元组数据;
A2:根据小组中第一个三元组数据建立第一个小分组;
A3:判断是否存在下一个三元组数据,如果不存在,流程结束;如果存在,执行步骤A4;
A4:判断下一个三元组数据中的源端口号是否被遍历过;如果是,丢弃该三元组数据,返回步骤A3;如果不是,执行步骤A5;
A5:依次将该三元组数据分别与已建立的小分组中时间最近的三元组数据进行比较,判断这两个三元组数据中源端口号间隔的绝对值是否小于预设的超参数P、且发包时间的时间间隔的绝对值是否小于预设的超参数T;如果是,执行步骤A6;如果不是,执行步骤A7;
A6:将该三元组数据加入该小分组,返回步骤A3;
A7:根据该三元组数据建立下一个小分组,返回步骤A3。
优选地,所述检测设备具体用于:
当得到的小分组中三元组数据的数量小于预设的超参数N,舍弃该小分组;
如果同一小组中划分得到的小分组的数量为1,判定该源IP下不存在NAT设备;
将相邻两个小分组中的前一个小分组中的三元组数据按时间先后顺序进行升序排序;
根据前一个小分组中前1/4三元组数据的发包时间求取平均值,得到最小平均时间值;
根据前一个小分组中最后1/4三元组数据的发包时间求取平均值,得到最大平均时间值;
统计相邻两个小分组中后一个小分组的发包时间落入最小平均时间值到最大平均时间值之间的三元组数据的数量,定义为重叠数量C;
如果C>min(len(gi)/2,len(gi+1)/2),则认为这两个小分组有重叠,该小分组对应的源IP下存在NAT设备;其中,len(gi)为前一个小分组中三元组数据的数量,len(gi+1)为后一个小分组中三元组数据的数量,min为求取最小值运算。
由上述技术方案可知,本发明提供的基于无线网络接入点的NAT设备检测方法及系统,通过统计比较TCP协议握手流量包中三元组数据的关系,可以检测某一个源IP是否存在NAT设备,以过滤分组、比较相邻两个小分组中三元组数据在时间维度上的重叠关系的方式,进一步提高了方法的泛化能力。另外,在复杂的网络环境中,工序简单,部署方便。对复杂的网络环境也能够有很高的检测准确度,提高基于无线网络AP方式的NAT设备检测的准确度。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1为实施例一提供的NAT设备检测方法的流程图。
图2为实施例二提供的三元组数据分组的示意图。
图3为实施例四提供的NAT设备检测系统的架构图。
具体实施方式
下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案,因此只作为示例,而不能以此来限制本发明的保护范围。需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
实施例一:
一种基于无线网络接入点的NAT设备检测方法,参见图1,包括以下步骤:
S1:接收镜像流量服务器在网络汇聚层中采集到的所有TCP协议的第一次握手流量包;
具体地,镜像流量服务器可以部署在办公网络内,将办公网络中所有流量镜像到该镜像流量服务器上。镜像流量服务器可以周期性(例如五分钟)采样流量的TCP协议的第一次握手流量包(即SYN包)。
S2:分别提取出每个第一次握手流量包中源IP、发包时间以及源端口号,作为一个三元组数据;
具体地,得到的三元组数据格式为(源IP,发包时间time,源端口号port)。
S3:将得到的三元组数据划分为至少一个小分组,对得到的小分组进行过滤;
S4:依次比较过滤后相邻两个小分组中三元组数据在时间维度上是否存在重叠部分,根据比较结果判断是否存在NAT设备。
该方法通过统计比较TCP协议握手流量包中三元组数据的关系,可以检测某一个源IP是否存在NAT设备,以过滤分组、比较相邻两个小分组中三元组数据在时间维度上的重叠关系的方式,进一步提高了方法的泛化能力。另外,在复杂的网络环境中,工序简单,部署简单方便。对复杂的网络环境也能够有很高的检测准确度,提高基于无线网络AP方式的NAT设备检测的准确度。
实施例二:
实施例二在实施例一的基础上,增加了以下内容:
参见图2,所述将得到的三元组数据划分为至少一个小分组具体包括:
将所述得到的三元组数据按照源IP进行分组,得到至少一个小组;每个小组内的三元组数据按照时间先后顺序排列;
将同一个小组中三元组数据划分成至少一个以端口号间隔和时间间隔为约束限制的所述小分组。
具体地,该方法首先将同一源IP下的三元组数据作为一个小组Gi,然后将同一个小组Gi中三元组数据划分成小分组gi。端口号间隔为两个三元组数据的源端口号的差值,时间间隔为两个三元组数据的发包时间的差值。
优选地,所述将同一个小组中三元组数据划分成以端口号间隔和时间间隔为约束限制的所述小分组具体包括:
A1:获取小组中所有的三元组数据;
A2:根据小组中第一个三元组数据建立第一个小分组;
A3:判断是否存在下一个三元组数据,如果不存在,流程结束;如果存在,执行步骤A4;
A4:判断下一个三元组数据中的源端口号是否被遍历过;如果是,丢弃该三元组数据,返回步骤A3;如果不是,执行步骤A5;
A5:依次将该三元组数据分别与已建立的小分组中时间最近的三元组数据进行比较,判断这两个三元组数据中源端口号间隔的绝对值是否小于预设的超参数P、且发包时间的时间间隔的绝对值是否小于预设的超参数T;如果是,执行步骤A6;如果不是,执行步骤A7;
A6:将该三元组数据加入该小分组,返回步骤A3;
A7:根据该三元组数据建立下一个小分组,返回步骤A3。
具体地,该方法在小组Gi中按照发包时间的先后顺序依次遍历三元组数据。在小组Gi的遍历过程中,第一个SYN包的三元组数据无条件地加入到第一个小分组g1中。接下来是第二个三元组数据,首先判断第二个三元组数据中源端口号是否已经在之前被遍历过(因为网络包中存在重发现象),如果已经遍历过则舍弃该三元组数据,继续遍历下一个三元组数据。如果该三元组数据没有遍历过,则用该三元组数据与第一个小分组g1中时间最近的一个三元组数据(即g1中第一个三元组数据)进行比较,如果两者的源端口号间隔的绝对值小于超参数P(超参数P一般设置为100),并且两者的发包时间间隔的绝对值小于超参数T(超参数T一般设置为300秒),则将第二个三元组数据加入到第一个小分组g1中,否则,第二个三元组重新加入到一个新的小分组中即第二个小分组g2,剩下的三元组遍历方式依次类推,直到将所有的三元组数据按条件划分到相应的小分组gi中。
优选地,所述对得到的小分组进行过滤具体包括:
当得到的小分组中三元组数据的数量小于预设的超参数N,舍弃该小分组。
具体地,如果小分组gi中三元组数据的数量小于超参数N(超参数N一般设置为50),则舍弃小分组gi。
优选地,该方法在所述对得到的小分组进行过滤之后,还包括:
如果同一小组中划分得到的小分组的数量为1,判定该源IP下不存在NAT设备。
具体地,如果同一小组中划分得到的小分组gi的个数为1,则认为该源IP下不存在NAT设备。
本发明实施例所提供的方法,为简要描述,实施例部分未提及之处,可参考前述方法实施例中相应内容。
实施例三:
实施例三在上述实施例的基础上,增加了以下内容:
所述依次比较过滤后相邻两个小分组中三元组数据在时间维度上是否存在重叠部分,根据比较结果判断是否存在NAT设备具体包括:
将相邻两个小分组中的前一个小分组中的三元组数据按时间先后顺序进行升序排序;
根据前一个小分组中前1/4三元组数据的发包时间求取平均值,得到最小平均时间值;
根据前一个小分组中最后1/4三元组数据的发包时间求取平均值,得到最大平均时间值;
统计相邻两个小分组中后一个小分组的发包时间落入最小平均时间值到最大平均时间值之间的三元组数据的数量,定义为重叠数量C;
如果C>min(len(gi)/2,len(gi+1)/2),则认为这两个小分组有重叠,该小分组对应的源IP下存在NAT设备;其中len(gi)为前一个小分组中三元组数据的数量,len(gi+1)为后一个小分组中三元组数据的数量,min为求取最小值运算。
具体地,该方法首先将相邻两个小分组的第一个小分组中的三元组数据按发包时间先后进行一次升序排序,其次,计算第一个小分组排序后的前1/4三元组数据中发包时间的平均值,并将此平均值作为第一个小分组的最小平均时间值(min_avg_time),然后,计算第一个小分组排序后的后1/4三元组数据中发包时间的平均值,并将此平均值作为第一个小分组的最大平均时间值(max_avg_time)。将第二个小分组中的所有三元组数据与第一个小分组的最小平均时间值和最大平均时间值进行比较,统计第二个小分组中三元组数据在第一个小分组的平均时间区域(即最小平均时间值和最大平均时间值之间)内的个数,定义为重叠数量C,如果定义为重叠数量C比第一个小分组中三元组数据数量一半值和第二个小分组中三元组数据数量一半值的最小值都大,即C>min(len(gi)/2,len(gi+1)/2,则认为相邻两个小分组有重叠,认为该源IP下存在NAT设备,否则,不存在NAT设备。
为了证明该方法检测NAT设备的准确度,本实施例提供了以下数据。表1中记录了在实际网络环境测试中,各方法的检测结果准确度。
表1各方法在实际网络环境中检测准确度对比表
| 基于多MAC地址方法 | 基于TTL方法 | 基于ID方法 | 本方法 | |
| IP(数量20,其中NAT数为10) | 0% | 40% | 65% | 95% |
从表1中可以看出,基于同IP下是否存在多MAC地址方式的检测方法,准确率为0,因为在实际网络环境中,镜像流量服务器部署在汇聚层,在汇聚层捕获的流量中,很少出现有NAT设备的IP下存在多个MAC值的情况。基于TTL值变化的方法,其检测结果准确度为40%,虽然路由功能在转发IP数据包时会将TTL值减一,根据TTL值的变化可以检测出NAT设备,但是当操作系统TTL默认值被修改之后,其无法准确检测出NAT设备。基于IP协议首部包含的字段Identification值是否连续的检测方法,其检测结果准确度为65%,从实际的抓包检测结果中,发现在非NAT设备中,也存在Identificaion值非连续的现象,因此,根据Identification值是否连续变化来确定NAT设备的方法存在一定的误差。
该本方法当设置超参数P为10,超参数T为300,超参数N为50时,准确度为75%,其检测结果准确度偏低是因为源端口号间隔较小,在三元组数据分组时,容易出现原本可以归属同一个分组Gi的三元组数据被划分到不同分组Gj中的现象,从而降低了方法的检测准确度。该方法当增加源端口号间隔时,准确度提高。经过多次不同网络环境的测试,当将超参数P,T,N分别设置为100,300,50时,方法的泛化能力较好适应能力强,此时的检测结果准确度可达95%。
本发明实施例所提供的方法,为简要描述,实施例部分未提及之处,可参考前述方法实施例中相应内容。
实施例四:
一种基于无线网络接入点的NAT设备检测系统,参见图3,包括:
镜像流量服务器:用于在网络汇聚层中采集所有TCP协议的第一次握手流量包,并将采集到的第一次握手流量包发送检测设备;
检测设备:用于接收所述第一次握手流量包,分别提取出每个第一次握手流量包中源IP、发包时间以及源端口号,作为一个三元组数据,将得到的三元组数据划分为至少一个小分组,对得到的小分组进行过滤,依次比较过滤后相邻两个小分组中三元组数据在时间维度上是否存在重叠部分,根据比较结果判断是否存在NAT设备。
具体地,图3为一个简单的办公网络。图3中,PC机利用自带的无线网卡或者外助无线设备创建一个AP接入点,其他的终端设备通过连入这个热点,实现网络共享。一台镜像流量服务器把办公网络的流量按时间周期发给检测设备,检测设备实时地将检测告警结果发送给网络管理员。该网络结构简单,成本低,容易部署。
优选地,所述检测设备具体用于:
将所述得到的三元组数据按照源IP进行分组,得到至少一个小组;每个小组内的三元组数据按照时间先后顺序排列;
将同一个小组中三元组数据划分成至少一个以端口号间隔和时间间隔为约束限制的所述小分组。
优选地,所述检测设备具体用于:
A1:获取小组中所有的三元组数据;
A2:根据小组中第一个三元组数据建立第一个小分组;
A3:判断是否存在下一个三元组数据,如果不存在,流程结束;如果存在,执行步骤A4;
A4:判断下一个三元组数据中的源端口号是否被遍历过;如果是,丢弃该三元组数据,返回步骤A3;如果不是,执行步骤A5;
A5:依次将该三元组数据分别与已建立的小分组中时间最近的三元组数据进行比较,判断这两个三元组数据中源端口号间隔的绝对值是否小于预设的超参数P、且发包时间的时间间隔的绝对值是否小于预设的超参数T;如果是,执行步骤A6;如果不是,执行步骤A7;
A6:将该三元组数据加入该小分组,返回步骤A3;
A7:根据该三元组数据建立下一个小分组,返回步骤A3。
优选地,所述检测设备具体用于:
当得到的小分组中三元组数据的数量小于预设的超参数N,舍弃该小分组;
如果同一小组中划分得到的小分组的数量为1,判定该源IP下不存在NAT设备;
将相邻两个小分组中的前一个小分组中的三元组数据按时间先后顺序进行升序排序;
根据前一个小分组中前1/4三元组数据的发包时间求取平均值,得到最小平均时间值;
根据前一个小分组中最后1/4三元组数据的发包时间求取平均值,得到最大平均时间值;
统计相邻两个小分组中后一个小分组的发包时间落入最小平均时间值到最大平均时间值之间的三元组数据的数量,定义为重叠数量C;
如果C>min(len(gi)/2,len(gi+1)/2),则认为这两个小分组有重叠,该小分组对应的源IP下存在NAT设备;其中,len(gi)为前一个小分组中三元组数据的数量,len(gi+1)为后一个小分组中三元组数据的数量,min为求取最小值运算。
该系统通过统计比较TCP协议握手流量包中三元组数据的关系,可以检测某一个源IP是否存在NAT设备,以过滤分组、比较相邻两个小分组中三元组数据在时间维度上的重叠关系的方式,进一步提高了方法的泛化能力,对复杂的网络环境也能够有很高的检测准确度。本发明实施例所提供的系统,为简要描述,实施例部分未提及之处,可参考前述方法实施例中相应内容。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (10)
1.一种基于无线网络接入点的NAT设备检测方法,其特征在于,包括以下步骤:
接收镜像流量服务器在网络汇聚层中采集到的所有TCP协议的第一次握手流量包;
分别提取出每个第一次握手流量包中源IP、发包时间以及源端口号,作为一个三元组数据;
将得到的三元组数据划分为至少一个小分组,对得到的小分组进行过滤;
依次比较过滤后相邻两个小分组中三元组数据在时间维度上是否存在重叠部分,根据比较结果判断是否存在NAT设备。
2.根据权利要求1所述基于无线网络接入点的NAT设备检测方法,其特征在于,所述将得到的三元组数据划分为至少一个小分组具体包括:
将所述得到的三元组数据按照源IP进行分组,得到至少一个小组;每个小组内的三元组数据按照时间先后顺序排列;
将同一个小组中三元组数据划分成至少一个以端口号间隔和时间间隔为约束限制的所述小分组。
3.根据权利要求2所述基于无线网络接入点的NAT设备检测方法,其特征在于,所述将同一个小组中三元组数据划分成以端口号间隔和时间间隔为约束限制的所述小分组具体包括:
A1:获取小组中所有的三元组数据;
A2:根据小组中第一个三元组数据建立第一个小分组;
A3:判断是否存在下一个三元组数据,如果不存在,流程结束;如果存在,执行步骤A4;
A4:判断下一个三元组数据中的源端口号是否被遍历过;如果是,丢弃该三元组数据,返回步骤A3;如果不是,执行步骤A5;
A5:依次将该三元组数据分别与已建立的小分组中时间最近的三元组数据进行比较,判断这两个三元组数据中源端口号间隔的绝对值是否小于预设的超参数P、且发包时间的时间间隔的绝对值是否小于预设的超参数T;如果是,执行步骤A6;如果不是,执行步骤A7;
A6:将该三元组数据加入该小分组,返回步骤A3;
A7:根据该三元组数据建立下一个小分组,返回步骤A3。
4.根据权利要求3所述基于无线网络接入点的NAT设备检测方法,其特征在于,所述对得到的小分组进行过滤具体包括:
当得到的小分组中三元组数据的数量小于预设的超参数N,舍弃该小分组。
5.根据权利要求3所述基于无线网络接入点的NAT设备检测方法,其特征在于,该方法在所述对得到的小分组进行过滤之后,还包括:
如果同一小组中划分得到的小分组的数量为1,判定该源IP下不存在NAT设备。
6.根据权利要求3所述基于无线网络接入点的NAT设备检测方法,其特征在于,所述依次比较过滤后相邻两个小分组中三元组数据在时间维度上是否存在重叠部分,根据比较结果判断是否存在NAT设备具体包括:
将相邻两个小分组中的前一个小分组中的三元组数据按时间先后顺序进行升序排序;
根据前一个小分组中前1/4三元组数据的发包时间求取平均值,得到最小平均时间值;
根据前一个小分组中最后1/4三元组数据的发包时间求取平均值,得到最大平均时间值;
统计相邻两个小分组中后一个小分组的发包时间落入最小平均时间值到最大平均时间值之间的三元组数据的数量,定义为重叠数量C;
如果C>min(len(gi)/2,len(gi+1)/2),则认为这两个小分组有重叠,该小分组对应的源IP下存在NAT设备;其中len(gi)为前一个小分组中三元组数据的数量,len(gi+1)为后一个小分组中三元组数据的数量,min为求取最小值运算。
7.一种基于无线网络接入点的NAT设备检测系统,其特征在于,包括:
镜像流量服务器:用于在网络汇聚层中采集所有TCP协议的第一次握手流量包,并将采集到的第一次握手流量包发送检测设备;
检测设备:用于接收所述第一次握手流量包,分别提取出每个第一次握手流量包中源IP、发包时间以及源端口号,作为一个三元组数据,将得到的三元组数据划分为至少一个小分组,对得到的小分组进行过滤,依次比较过滤后相邻两个小分组中三元组数据在时间维度上是否存在重叠部分,根据比较结果判断是否存在NAT设备。
8.根据权利要求7所述基于无线网络接入点的NAT设备检测系统,其特征在于,所述检测设备具体用于:
将所述得到的三元组数据按照源IP进行分组,得到至少一个小组;每个小组内的三元组数据按照时间先后顺序排列;
将同一个小组中三元组数据划分成至少一个以端口号间隔和时间间隔为约束限制的所述小分组。
9.根据权利要求8所述基于无线网络接入点的NAT设备检测系统,其特征在于,所述检测设备具体用于:
A1:获取小组中所有的三元组数据;
A2:根据小组中第一个三元组数据建立第一个小分组;
A3:判断是否存在下一个三元组数据,如果不存在,流程结束;如果存在,执行步骤A4;
A4:判断下一个三元组数据中的源端口号是否被遍历过;如果是,丢弃该三元组数据,返回步骤A3;如果不是,执行步骤A5;
A5:依次将该三元组数据分别与已建立的小分组中时间最近的三元组数据进行比较,判断这两个三元组数据中源端口号间隔的绝对值是否小于预设的超参数P、且发包时间的时间间隔的绝对值是否小于预设的超参数T;如果是,执行步骤A6;如果不是,执行步骤A7;
A6:将该三元组数据加入该小分组,返回步骤A3;
A7:根据该三元组数据建立下一个小分组,返回步骤A3。
10.根据权利要求9所述基于无线网络接入点的NAT设备检测系统,其特征在于,所述检测设备具体用于:
当得到的小分组中三元组数据的数量小于预设的超参数N,舍弃该小分组;
如果同一小组中划分得到的小分组的数量为1,判定该源IP下不存在NAT设备;
将相邻两个小分组中的前一个小分组中的三元组数据按时间先后顺序进行升序排序;
根据前一个小分组中前1/4三元组数据的发包时间求取平均值,得到最小平均时间值;
根据前一个小分组中最后1/4三元组数据的发包时间求取平均值,得到最大平均时间值;
统计相邻两个小分组中后一个小分组的发包时间落入最小平均时间值到最大平均时间值之间的三元组数据的数量,定义为重叠数量C;
如果C>min(len(gi)/2,len(gi+1)/2),则认为这两个小分组有重叠,该小分组对应的源IP下存在NAT设备;其中,len(gi)为前一个小分组中三元组数据的数量,len(gi+1)为后一个小分组中三元组数据的数量,min为求取最小值运算。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010767899.5A CN111866216B (zh) | 2020-08-03 | 2020-08-03 | 基于无线网络接入点的nat设备检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010767899.5A CN111866216B (zh) | 2020-08-03 | 2020-08-03 | 基于无线网络接入点的nat设备检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111866216A true CN111866216A (zh) | 2020-10-30 |
| CN111866216B CN111866216B (zh) | 2022-10-28 |
Family
ID=72952952
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010767899.5A Active CN111866216B (zh) | 2020-08-03 | 2020-08-03 | 基于无线网络接入点的nat设备检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111866216B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112995358A (zh) * | 2021-04-21 | 2021-06-18 | 中国人民解放军国防科技大学 | 大规模网络地址转换流量识别方法、装置及计算机设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100017376A1 (en) * | 2007-03-30 | 2010-01-21 | Yang Xin | Method and system for detecting accessing host contained in network, and statistic and analyzing server |
| CN102761449A (zh) * | 2012-08-07 | 2012-10-31 | 北京鼎震科技有限责任公司 | 一种web服务性能分析系统及方法和装置 |
| CN105681487A (zh) * | 2009-10-28 | 2016-06-15 | 惠普发展公司,有限责任合伙企业 | 用于nat设备的检测的方法和装置 |
| CN106850599A (zh) * | 2017-01-18 | 2017-06-13 | 中国科学院信息工程研究所 | 一种基于融合用户行为和迅雷id的nat检测方法 |
| US20170180421A1 (en) * | 2014-02-11 | 2017-06-22 | Varmour Networks, Inc. | Deception using Distributed Threat Detection |
| EP3319288A1 (en) * | 2016-11-07 | 2018-05-09 | Secucloud GmbH | Protocol detection by parsing layer-4 packets in a network security system |
| JP2018110392A (ja) * | 2017-01-02 | 2018-07-12 | 株式会社パイオリンクPiolink, Inc. | Nat装置を探知するための方法及び装置 |
| CN108541390A (zh) * | 2016-01-28 | 2018-09-14 | 瑞典爱立信有限公司 | Oss节点、网络节点和在其中执行的方法 |
| CN110120948A (zh) * | 2019-05-06 | 2019-08-13 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
-
2020
- 2020-08-03 CN CN202010767899.5A patent/CN111866216B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100017376A1 (en) * | 2007-03-30 | 2010-01-21 | Yang Xin | Method and system for detecting accessing host contained in network, and statistic and analyzing server |
| CN105681487A (zh) * | 2009-10-28 | 2016-06-15 | 惠普发展公司,有限责任合伙企业 | 用于nat设备的检测的方法和装置 |
| CN102761449A (zh) * | 2012-08-07 | 2012-10-31 | 北京鼎震科技有限责任公司 | 一种web服务性能分析系统及方法和装置 |
| US20170180421A1 (en) * | 2014-02-11 | 2017-06-22 | Varmour Networks, Inc. | Deception using Distributed Threat Detection |
| CN108541390A (zh) * | 2016-01-28 | 2018-09-14 | 瑞典爱立信有限公司 | Oss节点、网络节点和在其中执行的方法 |
| EP3319288A1 (en) * | 2016-11-07 | 2018-05-09 | Secucloud GmbH | Protocol detection by parsing layer-4 packets in a network security system |
| JP2018110392A (ja) * | 2017-01-02 | 2018-07-12 | 株式会社パイオリンクPiolink, Inc. | Nat装置を探知するための方法及び装置 |
| CN106850599A (zh) * | 2017-01-18 | 2017-06-13 | 中国科学院信息工程研究所 | 一种基于融合用户行为和迅雷id的nat检测方法 |
| CN110120948A (zh) * | 2019-05-06 | 2019-08-13 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
Non-Patent Citations (4)
| Title |
|---|
| MINUK KIM, JIMAN MUN, SOUHWAN JUNG AND YOUNGHAN KIM: "A Mobile Device-based Mobile AP Detection scheme", 《 2013 INTERNATIONAL CONFERENCE ON IT CONVERGENCE AND SECURITY (ICITCS)》 * |
| 严军: "NGN网络业务NAT穿透技术探讨", 《通信世界》 * |
| 刘凯等: "多跳无线网络中消除暴露终端的MAC协议(英文)", 《CHINESE JOURNAL OF AERONAUTICS》 * |
| 黄伟强: "利用sFlow检测NAT", 《广东科技》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112995358A (zh) * | 2021-04-21 | 2021-06-18 | 中国人民解放军国防科技大学 | 大规模网络地址转换流量识别方法、装置及计算机设备 |
| CN112995358B (zh) * | 2021-04-21 | 2021-07-23 | 中国人民解放军国防科技大学 | 大规模网络地址转换流量识别方法、装置及计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111866216B (zh) | 2022-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5708654A (en) | Method for detecting proxy ARP replies from devices in a local area network | |
| US8135028B2 (en) | Neighbor discovery in cable networks | |
| US6578147B1 (en) | Parallel intrusion detection sensors with load balancing for high speed networks | |
| US8239942B2 (en) | Parallel intrusion detection sensors with load balancing for high speed networks | |
| US6954775B1 (en) | Parallel intrusion detection sensors with load balancing for high speed networks | |
| US20120023552A1 (en) | Method for detection of a rogue wireless access point | |
| WO2011053284A1 (en) | Methods and apparatus for detection of a nat device | |
| US11777971B2 (en) | Bind shell attack detection | |
| US8102854B2 (en) | Neighbor discovery proxy with distributed packet inspection scheme | |
| CN106899500B (zh) | 一种跨虚拟可扩展局域网的报文处理方法及装置 | |
| US8472420B2 (en) | Gateway device | |
| CN109120492B (zh) | 一种存储单元、源交换机、报文转发方法及镜像系统 | |
| CN112751733A (zh) | 一种链路检测方法、装置、设备、系统及交换机 | |
| CN111866216B (zh) | 基于无线网络接入点的nat设备检测方法及系统 | |
| CN112118258B (zh) | 在蜜罐场景下获取攻击者信息的系统及方法 | |
| WO2003055180A1 (en) | Address duplication detection in a network | |
| EP1756719A2 (en) | Data communication system, router and method for routeing data | |
| US20090316599A1 (en) | Information processing apparatus | |
| US9912557B2 (en) | Node information detection apparatus, node information detection method, and program | |
| US20060185009A1 (en) | Communication apparatus and communication method | |
| US7457316B1 (en) | Method and system for handling received packets | |
| US10298481B1 (en) | Method and apparatus for testing VLAN | |
| US11962433B2 (en) | Switch device, in-vehicle communication system, and communication method | |
| JP4863310B2 (ja) | Ip衛星通信システムおよび不正パケット侵入防御方法 | |
| CN112751946B (zh) | 一种隧道建立方法、装置、设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |