CN112995358B - 大规模网络地址转换流量识别方法、装置及计算机设备 - Google Patents
大规模网络地址转换流量识别方法、装置及计算机设备 Download PDFInfo
- Publication number
- CN112995358B CN112995358B CN202110427584.0A CN202110427584A CN112995358B CN 112995358 B CN112995358 B CN 112995358B CN 202110427584 A CN202110427584 A CN 202110427584A CN 112995358 B CN112995358 B CN 112995358B
- Authority
- CN
- China
- Prior art keywords
- data packet
- survival time
- network
- normal network
- undetected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种大规模网络地址转换流量识别方法、装置及计算机设备,所述方法获取目标网络的网络流量数据,并将其分为正常数据包和反向主动递减的存活时间探测应答数据包;对正常数据包进行过滤,得到已探测数据包和未探测数据包,构建未探测数据包的反向主动递减的存活时间探测数据包;并将其发送至对应未探测数据包的源主机网络地址,并接收反向主动递减的存活时间探测应答数据包,根据该探测应答数据包,判断网络流量是否为网络地址转换流量。本方法利用网络地址转换设备自动减少网络数据包的存活时间,造成发送和接收数据包的存活时间差异,推测出是否为网络地址转换流量;与其他方法相比,本发明更高效且吞吐量更高。
Description
技术领域
本申请涉及互联网技术领域,特别是涉及一种大规模网络地址转换流量识别方法、装置及计算机设备。
背景技术
当前互联网大量部署了网络地址转换设备。网络地址转换缓解了网络地址稀缺,因此得到了广泛的关注和迅速的普及。然而,网络地址转换的匿名性和不易监管也对网络管理提出了新的挑战。一般的基于协议类型的流量识别技术对于网络流量识别是不可行的。现存的网络地址转换流量识别方法多是通过长时间扫描网络地址转换设备,这些方法却无法直接应用于大规模网络中的网络地址转换流量识别。为此,行业内积极发展一种高效灵活的大规模网络地址转换方法。
现有的网络地址转换推断方法,如NAT Revelioe等,在网络地址转换设备发现方面取得了一定的成绩,但是大规模网络地址转换流量识别方面存在效率不高的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种能够实现用户大规模网络地址转换流量实时识别的大规模网络地址转换流量识别方法、装置及计算机设备。
一种大规模网络地址转换流量识别方法,所述方法包括:
获取目标网络的网络流量数据。
根据所述网络流量数据,得到正常网络数据包和反向主动递减的存活时间探测应答数据包。
对所述正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包。
根据所述未探测的正常网络数据包,构建对应的反向主动递减的存活时间探测数据包。
将所述反向主动递减的存活时间探测数据包发送至对应的所述未探测的正常网络数据包的源主机网络地址,并接收反向主动递减的存活时间探测应答数据包;所述反向主动递减的存活时间探测应答数据包包括源主机网络交换设备的类型和反向主动递减的存活时间探测数据包的剩余存活时间。
根据所述源主机网络交换设备的类型,判断源主机是否为网络地址转换设备,并根据判断结果和反向主动递减的存活时间探测数据包的剩余存活时间,判断网络流量是否为网络地址转换流量,得到探测结果。
在其中一个实施例中,根据所述网络流量数据,得到正常网络数据包和反向主动递减的存活时间探测应答数据包,还包括:
对所述网络流量数据进行分类,得到正常网络数据包和反向主动递减的存活时间探测应答数据包。
在其中一个实施例中,对所述正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包,还包括:
根据所述正常网络数据包的网络层和传输层信息对所述正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包;所述已探测的正常网络数据包是同属一条网络流的另一个所述正常网络数据包已经被探测识别的正常网络数据包;所述未探测的正常网络数据包是指同属一条网络流的其他正常网络数据包尚未被探测识别的正常网络数据包。
在其中一个实施例中,根据所述未探测的正常网络数据包,构建对应的反向主动递减的存活时间探测数据包,还包括:
提取所述未探测的正常网络数据包的生存时间的剩余存活时间,得到未探测的正常网络数据包的剩余存活时间。
通过所述未探测的正常网络数据包已有的存活时间的请求评议文件,得到未探测的正常网络数据包的初始存活时间。
根据未探测的正常网络数据包的信息、所述剩余存活时间以及所述初始存活时间,构建对应的反向主动递减的存活时间探测数据包;所述反向主动递减的存活时间探测数据包是一组生存时间依次递减的探测数据包,所述反向主动递减的存活时间探测数据包的初始生存时间为所述未探测的正常网络数据包的初始存活时间与所述未探测的正常网络数据包的剩余存活时间之差;未探测的正常网络数据包的信息保存于所述反向主动递减的存活时间探测数据包的互联网控制消息协议的选项和负载中。
在其中一个实施例中,将所述反向主动递减的存活时间探测数据包发送至对应的所述未探测的正常网络数据包的源主机网络地址;接收反向主动递减的存活时间探测应答数据包,还包括:
将多个所述反向主动递减的存活时间探测数据包同时发送至对应的所述未探测的正常网络数据包的源主机网络地址。
同时接收多个反向主动递减的存活时间探测应答数据包。
在其中一个实施例中,根据所述源主机网络交换设备的类型,判断源主机是否为网络地址转换设备,并根据判断结果和反向主动递减的存活时间探测数据包的剩余存活时间,判断网络流量是否为网络地址转换流量,得到探测结果,还包括:
根据所述源主机网络交换设备的类型,判断源主机是否为网络地址转换设备。
当所述源主机的设备类型是网络地址转换设备,并且所述反向主动递减的存活时间探测数据包的剩余存活时间大于0时,则网络流量为网络地址转换流量。
在其中一个实施例中,根据所述网络流量数据,得到正常网络数据包和反向主动递减的存活时间探测应答数据包,步骤后还包括:构建亚线性数据空间结构,所述亚线性数据空间结构用于压缩存储所述已探测的正常网络数据包、所述反向主动递减的存活时间探测应答数据包的信息以及正常网络数据包利用对应的反向主动递减的存活时间探测数据包进行探测后的识别结果,并提供所述正常网络数据包所属网络流和大规模网络的信息。
在其中一个实施例中,根据所述源主机网络交换设备的类型,判断源主机是否为网络地址转换设备,并根据判断结果和反向主动递减的存活时间探测数据包的剩余存活时间,判断网络流量是否为网络地址转换流量,得到探测结果,步骤后还包括:
将已探测的正常网络数据包、对应的反向主动递减的存活时间探测应答数据包以及所述探测结果压缩存储在所述亚线性数据空间结构中。
一种大规模网络地址转换流量识别装置,所述装置包括:
网络流量数据获取模块,用于获取目标网络的网络流量数据。
数据包分类模块,用于根据所述网络流量数据,得到正常网络数据包和反向主动递减的存活时间探测应答数据包。
正常网络数据包过滤模块,用于对所述正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包。
探测数据包构建模块,用于根据所述未探测的正常网络数据包,构建对应的反向主动递减的存活时间探测数据包。
发送探测数据包模块,用于将所述反向主动递减的存活时间探测数据包发送至对应的所述未探测的正常网络数据包的源主机网络地址,并接收反向主动递减的存活时间探测应答数据包;所述反向主动递减的存活时间探测应答数据包包括源主机网络交换设备的类型和反向主动递减的存活时间探测数据包的剩余存活时间。
网络流量识别模块,用于根据源主机网络交换设备的类型,判断源主机是否为网络地址转换设备,并根据判断结果和反向主动递减的存活时间探测数据包的剩余存活时间,判断网络流量是否为网络地址转换流量,得到探测结果。
上述大规模网络地址转换流量识别方法、装置及计算机设备,通过获取目标网络的网络流量数据;根据网络流量数据,得到正常网络数据包和反向主动递减的存活时间探测应答数据包;对正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包;根据未探测的正常网络数据包,构建对应的反向主动递减的存活时间探测数据包;将反向主动递减的存活时间探测数据包发送至对应的未探测的正常网络数据包的源主机网络地址,并接收反向主动递减的存活时间探测应答数据包;根据反向主动递减的存活时间探测应答数据包中源主机网络交换设备的类型,判断网络流量是否为网络地址转换流量。本方法,可在大规模网络中实时识别网络地址转换流量的技术,利用网络地址转换设备自动减少网络数据包的存活时间,造成发送和接收数据包的存活时间差异,推测出是否为网络地址转换流量。与其他地址探测方法相比,本发明更高效且吞吐量更高。
附图说明
图1为一个实施例中大规模网络地址转换流量识别方法的流程示意图;
图2为另一个实施例中大规模网络地址转换流量识别的工作流程图;
图3为一个实施例中探测数据包信息的保存示意图;
图4为另一个实施例中网络数据包过滤的机制示意图;其中(a)为已探测的正常网络数据包过滤的机制示意图;(b)为未探测的正常网络数据包过滤的机制示意图;
图5为另一个实施例中探测结果压缩存储的机制示意图;
图6为一个实施例中大规模网络地址转换流量识别装置的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
生存时间(Time To Live,简称:TTL)是IP协议包中的一个值,它告诉网络路由器包在网络中的时间是否太长而应被丢弃。TTL的初值通常是系统缺省值,是包头中的8位的域。TTL的最初设想是确定一个时间范围,超过此时间就把包丢弃。由于每个路由器都至少要把TTL域减一,TTL通常表示包在被丢弃前最多能经过的路由器个数。当记数到0时,路由器决定丢弃该包,并发送一个ICMP报文给最初的发送者。
在一个实施例中,如图1所示,提供了一种大规模网络地址转换流量识别方法,该方法包括以下步骤:
步骤100:获取目标网络的网络流量数据。
步骤102:根据网络流量数据,得到正常网络数据包和反向主动递减的存活时间探测应答数据包。
反向主动递减的存活时间探测应答数据包通过一种新型的亚线性数据空间压缩存储。
步骤104:对正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包。
已探测的正常网络数据包是同属一条网络流的另一个正常网络数据包已经被探测识别的正常网络数据包。
未探测的正常网络数据包是指同属一条网络流的其他正常网络数据包尚未被探测识别的正常网络数据包。
步骤106:根据未探测的正常网络数据包,构建对应的反向主动递减的存活时间探测数据包。
反向主动递减的存活时间探测数据包是一组生存时间依次递减的探测数据包;反向主动递减的存活时间探测数据包的目标网络地址为所述正常网络数据包的源主机网络地址;反向主动递减的存活时间探测数据包的初始生存时间设置为正常网络数据包的初始存活时间与正常网络数据包的剩余存活时间之差。
正常网络数据包的剩余存活时间是从正常网络数据包的生存时间中提取的。
正常网络数据包的初始存活时间是通过已有的存活时间的请求评议文件得到的。
步骤108:将反向主动递减的存活时间探测数据包发送至对应的未探测的正常网络数据包的源主机网络地址,并接收反向主动递减的存活时间探测应答数据包。
反向主动递减的存活时间探测数据包的目标网络地址为所述正常网络数据包的源主机网络地址。
反向主动递减的存活时间探测应答数据包包括:反向主动递减的存活时间探测数据包的剩余存活时间和目标网络交换设备的类型,还包括正常网络数据包的编号;其中,目标网络交换设备的类型即就是正常网络数据包的源主机网络交换设备的类型。这些信息通过散列函数已经映射为反向主动递减的存活时间探测应答数据包的网络层和传输层的数据字段。
步骤110:根据源主机网络交换设备的类型,判断源主机是否为网络地址转换设备,并根据判断结果和反向主动递减的存活时间探测数据包的剩余存活时间,判断网络流量是否为网络地址转换流量,得到探测结果。
当所述反向主动递减的存活时间探测数据包到达目标主机仍然剩余存活时间时,说明所述正常网络数据包为网络地址转换数据包,则网络流量为网络地址转换流量。
反向主动递减的存活时间探测数据包到达目标主机仍然剩余的存活时间为正常网络数据包实际发送主机距离网络地址转换设备的路由距离。
上述大规模网络地址转换流量识别方法中,所述方法通过获取目标网络的网络流量数据;根据网络流量数据,得到正常网络数据包和反向主动递减的存活时间探测应答数据包;对正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包;根据未探测的正常网络数据包,构建对应的反向主动递减的存活时间探测数据包;将反向主动递减的存活时间探测数据包发送至对应的未探测的正常网络数据包的源主机网络地址,并接收反向主动递减的存活时间探测应答数据包;根据反向主动递减的存活时间探测应答数据包中源主机网络交换设备的类型,判断网络流量是否为网络地址转换流量。本方法,可在大规模网络中实时识别网络地址转换流量的技术,利用网络地址转换设备自动减少网络数据包的存活时间,造成发送和接收数据包的存活时间差异,推测出是否为网络地址转换流量。与其他地址探测方法相比,本发明更高效且吞吐量更高。
在其中一个实施例中,步骤102还包括:对网络流量数据进行分类,得到正常网络数据包和反向主动递减的存活时间探测应答数据包。
在其中一个实施例中,步骤104还包括:根据正常网络数据包的网络层和传输层信息对正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包;已探测的正常网络数据包是同属一条网络流的另一个正常网络数据包已经被探测识别的正常网络数据包;未探测的正常网络数据包是指同属一条网络流的其他正常网络数据包尚未被探测识别的正常网络数据包。
在其中一个实施例中,步骤106还包括:提取未探测的正常网络数据包的生存时间的剩余存活时间,得到未探测的正常网络数据包的剩余存活时间;通过未探测的正常网络数据包已有的存活时间的请求评议文件,得到未探测的正常网络数据包的初始存活时间;根据未探测的正常网络数据包的信息、剩余存活时间以及初始存活时间,构建对应的反向主动递减的存活时间探测数据包。
反向主动递减的存活时间探测数据包是一组生存时间依次递减的探测数据包,反向主动递减的存活时间探测数据包的初始生存时间为未探测的正常网络数据包的初始存活时间与未探测的正常网络数据包的剩余存活时间之差;未探测的正常网络数据包的信息保存于反向主动递减的存活时间探测数据包的互联网控制消息协议的选项和负载中。
在其中一个实施例中,步骤108还包括:将多个反向主动递减的存活时间探测数据包同时发送至对应的未探测的正常网络数据包的源主机网络地址;同时接收多个反向主动递减的存活时间探测应答数据包。
在其中一个实施例中,步骤110还包括:根据网络流量源主机的信息,判断源主机是否为网络地址转化设备;当源主机的设备类型是网络地址转换设备,并且反向主动递减的存活时间探测数据包的剩余存活时间大于0时,则网络流量为网络地址转换流量。
反向主动递减的存活时间探测数据包的剩余存活时间是反向主动递减的存活时间探测数据包到达目标网络地址时仍然剩余的存活时间;其中目标网络地址为正常网络数据包的源主机网络地址。
网络数据包每经过一个路由设备,其剩余存活时间减少一个单位。所述反向主动递减的存活时间探测数据包到达公网的网络地址转换设备仍然剩余的存活时间,为所述正常网络数据包实际发送的主机在内网中相对于所述网络地址转换设备的路由距离。
在其中一个实施例中,步骤102后还包括:构建亚线性数据空间结构,亚线性数据空间结构用于压缩存储已探测的正常网络数据包、反向主动递减的存活时间探测应答数据包的信息以及正常网络数据包利用对应的反向主动递减的存活时间探测数据包进行探测后的识别结果,并提供正常网络数据包所属网络流和大规模网络的信息。
正常网络数据包的探测结果被一种亚线性数据空间结构所压缩存储。
亚线性数据空间结构统计压缩正常网络数据包的信息。
亚线性数据空间结构提供正常网络数据包所属网络流和大规模网络的信息。
在其中一个实施例中,步骤110后还包括,将已探测的正常网络数据包、对应的反向主动递减的存活时间探测应答数据包以及所述探测结果压缩存储在所述亚线性数据空间结构中。
在另一个实施例中,图2是大规模网络地址转换流量识别方法的工作流程图。当从目标网络上收集到网络流量数据时,判断是否已经达到预设置资源总数;若仍有剩余资源,对所述网络流量数据分类为正常网络数据包和反向主动递减的存活时间探测应答数据包;反向主动递减的存活时间探测应答数据包由亚线性数据空间结构压缩存储;正常网络数据包被过滤为已探测的正常网络数据包和未探测的正常网络数据包;已探测的正常网络数据包由亚线性数据空间结构压缩存储;未探测的正常网络数据包用于构建对应的反向主动递减的存活时间探测数据包,并发送。
应该理解的是,虽然图1-2的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-2中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在其中一个实施例中,反向主动递减的存活时间探测应答数据包保存对应正常网络数据包的信息的示意图,如图3所示。对应正常网络数据包的剩余存活时间,数据包大小和源主机地址被映射为反向主动递减的存活时间探测应答数据包的互联网控制消息协议(ICMP)的选项和负载中。
在其中一个实施例中,正常网络数据包被过滤为已探测的正常网络数据包和未探测的正常网络数据包的高效过滤方法如图4所示。一个正常网络数据包被过滤的信息被同时映射到线性存储区域的多个块,当所述线性存储区域的多个块均匹配成功,说明该数据包为已探测的正常网络数据包,否则为未探测的正常网络数据包。其中,(a)是已探测的正常网络数据包,在经过过滤器时的操作,数据包的信息包括:协议类型,源端口,目的端口,源地址,目的地址,总共13个字节的信息,被三个散列函数同时映射到对应存储区,当所有对应存储区均已存在,即所有对应存储区值均为1时,则说明该网络流量数据包的流已经被探测过,否则如(b)所示,存在映射结果不匹配的存储块,如图中“X”表示映射结果和存储块的值不匹配,就说明没有探测过。
在其中一个实施例中,一个需要压缩存储的数据包可以映射到每一列的一个块中,同时数据包的大小和类型被保存于每一列的映射块中;当调用查询接口时,累加每一列的网络地址转换数据包的大小,选取结果最小的那一列作为最终统计网络地址转换流量的大小。用于压缩存储和查询的亚线性数据空间结构如图5所示。图5是将已探测的正常网络数据包的信息(数据包大小)存储于亚线性空间中,输入的信息包括:数据包的协议类型,源端口,目的端口,源地址,目的地址和包的大小。经过多个散列函数映射后,数据包的类型(0:非地址网络地址转换流量;1:网络地址转换流量)和数据包的大小,被映射存储到所有的对应存储块中。当需要查询一条流的信息(总数据量大小),只需将流的信息(数据包的协议类型,源端口,目的端口,源地址,目的地址)做出映射,取出数据量最小的存储块即可。当需要查询整个网络流量的统计信息,只需要将每一行的:非地址网络地址转换流量(0)累加,取出最小的一行的结果即可。
在一个实施例中,如图6所示,提供了一种大规模网络地址转换流量识别装置,该装置通常部署于目标网络网关路由器上,包括:网络流量数据获取模块、数据包分类模块、正常网络数据包过滤模块、探测数据包构建模块、发送探测数据包模块以及网络流量识别模块,其中:
网络流量数据获取模块,用于获取目标网络的网络流量数据。
数据包分类模块,用于根据网络流量数据,得到正常网络数据包和反向主动递减的存活时间探测应答数据包。
正常网络数据包过滤模块,用于对正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包。
探测数据包构建模块,用于根据未探测的正常网络数据包,构建对应的反向主动递减的存活时间探测数据包。
发送探测数据包模块,用于将反向主动递减的存活时间探测数据包发送至对应的未探测的正常网络数据包的源主机网络地址,并接收反向主动递减的存活时间探测应答数据包。
网络流量识别模块,用于根据源主机网络交换设备的类型,判断源主机是否为网络地址转换设备,并根据判断结果和反向主动递减的存活时间探测数据包的剩余存活时间,判断网络流量是否为网络地址转换流量,得到探测结果。
在其中一个实施例中,数据包分类模块还用于对网络流量数据进行分类,得到正常网络数据包和反向主动递减的存活时间探测应答数据包。
在其中一个实施例中,正常网络数据包过滤模块还用于根据正常网络数据包的网络层和传输层信息对正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包;已探测的正常网络数据包是同属一条网络流的另一个正常网络数据包已经被探测识别的正常网络数据包;未探测的正常网络数据包是指同属一条网络流的其他正常网络数据包尚未被探测识别的正常网络数据包。
在其中一个实施例中,探测数据包构建模块还用于提取未探测的正常网络数据包的生存时间的剩余存活时间,得到未探测的正常网络数据包的剩余存活时间;通过未探测的正常网络数据包已有的存活时间的请求评议文件,得到未探测的正常网络数据包的初始存活时间;根据未探测的正常网络数据包的信息、剩余存活时间以及初始存活时间,构建对应的反向主动递减的存活时间探测数据包;反向主动递减的存活时间探测数据包是一组生存时间依次递减的探测数据包,反向主动递减的存活时间探测数据包的初始生存时间为未探测的正常网络数据包的初始存活时间与未探测的正常网络数据包的剩余存活时间之差;未探测的正常网络数据包的信息保存于反向主动递减的存活时间探测数据包的互联网控制消息协议的选项和负载中。
在其中一个实施例中,发送探测数据包模块还用于将多个反向主动递减的存活时间探测数据包同时发送至对应的未探测的正常网络数据包的源主机网络地址;同时接收多个反向主动递减的存活时间探测应答数据包。
在其中一个实施例中,网络流量识别模块还用于根据源主机网络交换设备的类型,判断源主机是否为网络地址转换设备;当源主机的设备类型是网络地址转换设备,并且反向主动递减的存活时间探测数据包的剩余存活时间大于0时,则网络流量为网络地址转换流量。
在其中一个实施例中,正常网络数据包过滤模块后还包括构建亚线性数据空间结构模块,用于构建亚线性数据空间结构,亚线性数据空间结构用于压缩存储已探测的正常网络数据包、反向主动递减的存活时间探测应答数据包的信息以及正常网络数据包利用对应的反向主动递减的存活时间探测数据包进行探测后的识别结果,并提供正常网络数据包所属网络流和大规模网络的信息。
在其中一个实施例中,网络流量识别模块后边包括数据存储模块,用于将已探测的正常网络数据包、对应的反向主动递减的存活时间探测应答数据包以及所述探测结果压缩存储在所述亚线性数据空间结构中。
关于大规模网络地址转换流量识别装置的具体限定可以参见上文中对于大规模网络地址转换流量识别方法的限定,在此不再赘述。上述大规模网络地址转换流量识别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种大规模网络地址转换流量识别方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行计算机程序时实现上述实施例中方法的步骤。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (9)
1.一种大规模网络地址转换流量识别方法,其特征在于,所述方法包括:
获取目标网络的网络流量数据;
根据所述网络流量数据,得到正常网络数据包和反向主动递减的存活时间探测应答数据包;
对所述正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包;
根据所述未探测的正常网络数据包,构建对应的反向主动递减的存活时间探测数据包;
将所述反向主动递减的存活时间探测数据包发送至对应的所述未探测的正常网络数据包的源主机网络地址,并接收反向主动递减的存活时间探测应答数据包;所述反向主动递减的存活时间探测应答数据包包括源主机网络交换设备的类型和反向主动递减的存活时间探测数据包的剩余存活时间;
根据所述源主机网络交换设备的类型,判断源主机是否为网络地址转换设备,并根据判断结果和所述反向主动递减的存活时间探测数据包的剩余存活时间,判断网络流量是否为网络地址转换流量,得到探测结果;
其中:根据所述未探测的正常网络数据包,构建对应的反向主动递减的存活时间探测数据包,包括:
提取所述未探测的正常网络数据包的生存时间的剩余存活时间,得到未探测的正常网络数据包的剩余存活时间;
通过所述未探测的正常网络数据包已有的存活时间的请求评议文件,得到未探测的正常网络数据包的初始存活时间;
根据未探测的正常网络数据包的信息、所述未探测的正常网络数据包的剩余存活时间以及所述初始存活时间,构建对应的反向主动递减的存活时间探测数据包;所述反向主动递减的存活时间探测数据包是一组生存时间依次递减的探测数据包,所述反向主动递减的存活时间探测数据包的初始生存时间为所述未探测的正常网络数据包的初始存活时间与所述未探测的正常网络数据包的剩余存活时间之差;未探测的正常网络数据包的信息保存于所述反向主动递减的存活时间探测数据包的互联网控制消息协议的选项和负载中。
2.根据权利要求1所述的方法,其特征在于,根据所述网络流量数据,得到正常网络数据包和反向主动递减的存活时间探测应答数据包,包括:
对所述网络流量数据进行分类,得到正常网络数据包和反向主动递减的存活时间探测应答数据包。
3.根据权利要求1所述的方法,其特征在于,对所述正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包,包括:
根据所述正常网络数据包的网络层和传输层信息对所述正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包;所述已探测的正常网络数据包是同属一条网络流的另一个所述正常网络数据包已经被探测识别的正常网络数据包;所述未探测的正常网络数据包是指同属一条网络流的其他正常网络数据包尚未被探测识别的正常网络数据包。
4.根据权利要求1所述的方法,其特征在于,将所述反向主动递减的存活时间探测数据包发送至对应的所述未探测的正常网络数据包的源主机网络地址,并接收反向主动递减的存活时间探测应答数据包,包括:
将多个所述反向主动递减的存活时间探测数据包同时发送至对应的所述未探测的正常网络数据包的源主机网络地址;
同时接收多个反向主动递减的存活时间探测应答数据包。
5.根据权利要求1所述的方法,其特征在于,根据所述源主机网络交换设备的类型,判断源主机是否为网络地址转换设备,并根据判断结果和反向主动递减的存活时间探测数据包的剩余存活时间,判断网络流量是否为网络地址转换流量,得到探测结果,包括:
根据所述源主机网络交换设备的类型,判断源主机是否为网络地址转换设备;
当所述源主机的设备类型是网络地址转换设备,并且所述反向主动递减的存活时间探测数据包的剩余存活时间大于0时,则网络流量为网络地址转换流量。
6.根据权利要求1所述的方法,其特征在于,根据所述网络流量数据,得到正常网络数据包和反向主动递减的存活时间探测应答数据包,步骤后还包括:
构建亚线性数据空间结构,所述亚线性数据空间结构用于压缩存储所述已探测的正常网络数据包、所述反向主动递减的存活时间探测应答数据包的信息以及正常网络数据包利用对应的反向主动递减的存活时间探测数据包进行探测后的识别结果,并提供所述正常网络数据包所属网络流和大规模网络的信息。
7.根据权利要求6所述的方法,其特征在于,根据所述源主机网络交换设备的类型,判断源主机是否为网络地址转换设备,并根据判断结果和反向主动递减的存活时间探测数据包的剩余存活时间,判断网络流量是否为网络地址转换流量,得到探测结果,步骤后还包括:
将已探测的正常网络数据包、对应的反向主动递减的存活时间探测应答数据包以及所述探测结果压缩存储在所述亚线性数据空间结构中。
8.一种大规模网络地址转换流量识别装置,其特征在于,所述装置包括:
网络流量数据获取模块,用于获取目标网络的网络流量数据;
数据包分类模块,用于根据所述网络流量数据,得到正常网络数据包和反向主动递减的存活时间探测应答数据包;
正常网络数据包过滤模块,用于对所述正常网络数据包进行过滤,得到已探测的正常网络数据包和未探测的正常网络数据包;
探测数据包构建模块,用于根据所述未探测的正常网络数据包,构建对应的反向主动递减的存活时间探测数据包;
发送探测数据包模块,用于将所述反向主动递减的存活时间探测数据包发送至对应的所述未探测的正常网络数据包的源主机网络地址,并接收反向主动递减的存活时间探测应答数据包;所述反向主动递减的存活时间探测应答数据包包括源主机网络交换设备的类型和反向主动递减的存活时间探测数据包的剩余存活时间;
网络流量识别模块,用于根据所述源主机网络交换设备的类型,判断源主机是否为网络地址转换设备,并根据判断结果和所述反向主动递减的存活时间探测数据包的剩余存活时间,判断网络流量是否为网络地址转换流量,得到探测结果;
其中:探测数据包构建模块,还用于提取所述未探测的正常网络数据包的生存时间的剩余存活时间,得到未探测的正常网络数据包的剩余存活时间;通过所述未探测的正常网络数据包已有的存活时间的请求评议文件,得到未探测的正常网络数据包的初始存活时间;根据未探测的正常网络数据包的信息、所述未探测的正常网络数据包的剩余存活时间以及所述初始存活时间,构建对应的反向主动递减的存活时间探测数据包;所述反向主动递减的存活时间探测数据包是一组生存时间依次递减的探测数据包,所述反向主动递减的存活时间探测数据包的初始生存时间为所述未探测的正常网络数据包的初始存活时间与所述未探测的正常网络数据包的剩余存活时间之差;未探测的正常网络数据包的信息保存于所述反向主动递减的存活时间探测数据包的互联网控制消息协议的选项和负载中。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110427584.0A CN112995358B (zh) | 2021-04-21 | 2021-04-21 | 大规模网络地址转换流量识别方法、装置及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110427584.0A CN112995358B (zh) | 2021-04-21 | 2021-04-21 | 大规模网络地址转换流量识别方法、装置及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112995358A CN112995358A (zh) | 2021-06-18 |
| CN112995358B true CN112995358B (zh) | 2021-07-23 |
Family
ID=76341450
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110427584.0A Active CN112995358B (zh) | 2021-04-21 | 2021-04-21 | 大规模网络地址转换流量识别方法、装置及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995358B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113691648A (zh) * | 2021-08-25 | 2021-11-23 | 杭州安恒信息技术股份有限公司 | 一种检测网络地址转换设备的方法及相关装置 |
| CN115022280B (zh) * | 2022-06-16 | 2023-07-14 | 杭州楷知科技有限公司 | 一种nat探测的方法、客户端及系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812394A (zh) * | 2006-03-03 | 2006-08-02 | 清华大学 | 使用即时消息软件的数据检测网络地址转换设备的方法 |
| CN101060397A (zh) * | 2006-04-20 | 2007-10-24 | 国际商业机器公司 | 检测网络地址转换装置的设备和方法 |
| CN101193044A (zh) * | 2006-11-21 | 2008-06-04 | 北京大学 | 实时监测网络活动的重定向方法和装置 |
| CN102025567A (zh) * | 2010-12-13 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种共享接入检测方法以及相关装置 |
| JP2018110392A (ja) * | 2017-01-02 | 2018-07-12 | 株式会社パイオリンクPiolink, Inc. | Nat装置を探知するための方法及び装置 |
| CN108900351A (zh) * | 2018-07-13 | 2018-11-27 | 中国科学院信息工程研究所 | 内网设备类型识别方法及装置 |
| CN109314701A (zh) * | 2016-06-21 | 2019-02-05 | 高通股份有限公司 | 使用可用网络连接的网络路径探测 |
| CN111131339A (zh) * | 2020-04-01 | 2020-05-08 | 深圳市云盾科技有限公司 | 一种基于ip标识号的nat设备识别方法及系统 |
| CN111866216A (zh) * | 2020-08-03 | 2020-10-30 | 深圳市联软科技股份有限公司 | 基于无线网络接入点的nat设备检测方法及系统 |
-
2021
- 2021-04-21 CN CN202110427584.0A patent/CN112995358B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1812394A (zh) * | 2006-03-03 | 2006-08-02 | 清华大学 | 使用即时消息软件的数据检测网络地址转换设备的方法 |
| CN101060397A (zh) * | 2006-04-20 | 2007-10-24 | 国际商业机器公司 | 检测网络地址转换装置的设备和方法 |
| CN101193044A (zh) * | 2006-11-21 | 2008-06-04 | 北京大学 | 实时监测网络活动的重定向方法和装置 |
| CN102025567A (zh) * | 2010-12-13 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种共享接入检测方法以及相关装置 |
| CN109314701A (zh) * | 2016-06-21 | 2019-02-05 | 高通股份有限公司 | 使用可用网络连接的网络路径探测 |
| JP2018110392A (ja) * | 2017-01-02 | 2018-07-12 | 株式会社パイオリンクPiolink, Inc. | Nat装置を探知するための方法及び装置 |
| CN108900351A (zh) * | 2018-07-13 | 2018-11-27 | 中国科学院信息工程研究所 | 内网设备类型识别方法及装置 |
| CN111131339A (zh) * | 2020-04-01 | 2020-05-08 | 深圳市云盾科技有限公司 | 一种基于ip标识号的nat设备识别方法及系统 |
| CN111866216A (zh) * | 2020-08-03 | 2020-10-30 | 深圳市联软科技股份有限公司 | 基于无线网络接入点的nat设备检测方法及系统 |
Non-Patent Citations (2)
| Title |
|---|
| Identification of Hosts behind a NAT Device Utilizing Multiple Fields of IP and TCP;Hanbyeol Park et al.;《2016 International Conference on Information and Communication Technology Convergence (ICTC)》;20161021;全文 * |
| 被动式远程网络地址翻译器识别系统;焦程波 等;《电子科技大学学报》;20121130;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112995358A (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| USRE49126E1 (en) | Real-time adaptive processing of network data packets for analysis | |
| CN112995358B (zh) | 大规模网络地址转换流量识别方法、装置及计算机设备 | |
| CN103607399B (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| US9485155B2 (en) | Traffic analysis of data flows | |
| KR101295708B1 (ko) | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 | |
| CN111371735A (zh) | 僵尸网络检测方法、系统及存储介质 | |
| CN113489619B (zh) | 一种基于时间序列分析的网络拓扑推断方法及装置 | |
| CN112995352B (zh) | 基于流量分析的IPv6网络空间测绘系统及测绘方法 | |
| CN113328985B (zh) | 一种被动物联网设备识别方法、系统、介质及设备 | |
| EP2552054A2 (en) | Wide field indexing for packet tracking | |
| CN105827474A (zh) | 网络监控方法、过滤数据包的方法及装置 | |
| KR20190061258A (ko) | 네트워크 트래픽 플로우를 이용한 보안상황 종합 분석 및 인지 시스템 | |
| KR101338223B1 (ko) | 네트워크 트래픽 분석 시스템 및 방법 | |
| US7496688B2 (en) | Label switched data unit content evaluation | |
| CN113630442B (zh) | 数据传输方法、装置及系统 | |
| CN112532593B (zh) | 一种攻击报文的处理方法、装置、设备和介质 | |
| WO2021218528A1 (zh) | 流量识别方法和流量识别设备 | |
| KR100710047B1 (ko) | Ip 네트워크 환경에서의 트래픽 분석장치 | |
| KR100769887B1 (ko) | 아이피 주소 관리 시스템 및 방법 | |
| CN113938400A (zh) | 流表管理和维护的方法、设备以及存储介质 | |
| CN107800696A (zh) | 一种云平台虚拟交换机上通信伪造源识别方法 | |
| EP2854340B1 (en) | Misdirected packet statistics collection and analysis | |
| CN114338549B (zh) | 数据流识别处理方法、装置、服务器及存储介质 | |
| KR101007262B1 (ko) | 네트워크의 활성호스트 탐지장치 및 방법 | |
| CN107809344B (zh) | 实时讯务量搜集与分析系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |