CN114172861B - 一种网络地址转换设备的识别方法及装置 - Google Patents

一种网络地址转换设备的识别方法及装置 Download PDF

Info

Publication number
CN114172861B
CN114172861B CN202111485544.8A CN202111485544A CN114172861B CN 114172861 B CN114172861 B CN 114172861B CN 202111485544 A CN202111485544 A CN 202111485544A CN 114172861 B CN114172861 B CN 114172861B
Authority
CN
China
Prior art keywords
address
target communication
host
determining
addresses
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111485544.8A
Other languages
English (en)
Other versions
CN114172861A (zh
Inventor
毛财丰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111485544.8A priority Critical patent/CN114172861B/zh
Publication of CN114172861A publication Critical patent/CN114172861A/zh
Application granted granted Critical
Publication of CN114172861B publication Critical patent/CN114172861B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种网络地址转换设备的识别方法及装置,涉及网络通信技术领域,该网络地址转换设备的识别方法包括:先获取待识别的内部主机地址;再获取每一个内部主机地址对应的生存时间值集合;然后根据生存时间值集合,从所有内部主机地址中确定目标通信地址,目标通信地址对应的设备包括网络地址转换设备;再按照预设分析时长计算每个目标通信地址对应的生存时间值分布情况;进一步地,根据生存时间值分布情况从所有目标通信地址中确定网络地址转换设备的地址信息;最后将地址信息对应的主机设备确定为网络地址转换设备,能够准确识别出网络中的网络地址转换设备,避免单独采用TTL值个数进行识别导致的误检风险,消除潜在的内网安全风险。

Description

一种网络地址转换设备的识别方法及装置
技术领域
本申请涉及网络通信技术领域,具体而言,涉及一种网络地址转换设备的识别方法及装置。
背景技术
NAT(网络地址转换)技术可以使得NAT设备一侧的主机对另一侧的网络不可见,因此,通过NAT设备可以隐藏未经授权的主机甚至整个私自搭建的局域网络。现有的NAT设备识别方法,通常从网络流量中采集的各源地址的TTL值个数来识别NAT设备。然而在实践中发现,由DHCP分配的主机地址,其TTL值个数特征和NAT地址的TTL个数特征很相似,导致现有的识别方法存在误检风险。
发明内容
本申请实施例的目的在于提供一种网络地址转换设备的识别方法及装置,能够准确识别出网络中的网络地址转换设备,避免单独采用TTL值个数进行识别导致的误检风险,消除潜在的内网安全风险。
本申请实施例第一方面提供了一种网络地址转换设备的识别方法,包括:
获取待识别的内部主机地址;
获取每一个所述内部主机地址对应的生存时间值集合;
根据所述生存时间值集合,从所有所述内部主机地址中确定目标通信地址,所述目标通信地址对应的设备包括网络地址转换设备;
按照预设分析时长计算每个所述目标通信地址对应的生存时间值分布情况;
根据所述生存时间值分布情况从所有所述目标通信地址中确定所述网络地址转换设备的地址信息;
将所述地址信息对应的主机设备确定为所述网络地址转换设备。
在上述实现过程中,先获取待识别的内部主机地址;再获取每一个内部主机地址对应的生存时间值集合;然后根据生存时间值集合,从所有内部主机地址中确定目标通信地址,目标通信地址对应的设备包括网络地址转换设备;再按照预设分析时长计算每个目标通信地址对应的生存时间值分布情况;进一步地,根据生存时间值分布情况从所有目标通信地址中确定网络地址转换设备的地址信息;最后将地址信息对应的主机设备确定为网络地址转换设备,能够准确识别出网络中的网络地址转换设备,避免单独采用TTL值个数进行识别导致的误检风险,消除潜在的内网安全风险。
进一步地,所述获取待识别的内部主机地址,包括:
获取流经网关设备的流量数据;
从所述流量数据中确定出内部主机发送的主机通信数据;
根据所述主机通信数据确定待识别的内部主机地址。
进一步地,所述根据所述主机通信数据确定待识别的内部主机地址,包括:
统计所述主机通信数据中预设时间段内的所有源地址;
对所述源地址进行私有地址筛选处理,得到内部主机地址。
进一步地,所述根据所述生存时间值集合,从所有所述内部主机地址中确定目标通信地址,包括:
对所述生存时间值集合进行异常值过滤处理,得到有效值集合;
根据所述有效值集合统计每个所述内部主机地址对应的有效值个数;
从所有所述内部主机地址中确定出有效值个数大于预设个数阈值的内部主机地址,作为目标通信地址。
进一步地,所述按照预设分析时长计算每个所述目标通信地址对应的生存时间值分布情况,包括:
按照预设分析时长确定每个所述目标通信地址对应的分析时段;
统计每个所述目标通信地址在所述分析时段内的生存时间值个数;
根据所述分析时段和所述生存时间值个数,计算每个所述目标通信地址的生存时间值分布情况。
进一步地,所述根据所述生存时间值分布情况从所有所述目标通信地址中确定所述网络地址转换设备的地址信息,包括:
根据所述生存时间值分布情况计算每个所述目标通信地址对应的目标个数占比,其中,所述目标个数占比为生存时间值个数为1的子分析时段的数量占所述子分析时段的总数量的比值,所述分析时段包括多个子分析时段;
从所有所述目标通信地址中确定出目标个数占比小于预设占比阈值的目标通信地址,作为所述网络地址转换设备的地址信息。
本申请实施例第二方面提供了一种网络地址转换设备的识别装置,所述网络地址转换设备的识别装置包括:
第一获取单元,用于获取待识别的内部主机地址;
第二获取单元,用于获取每一个所述内部主机地址对应的生存时间值集合;
第一确定单元,用于根据所述生存时间值集合,从所有所述内部主机地址中确定目标通信地址,所述目标通信地址对应的设备包括网络地址转换设备;
计算单元,用于按照预设分析时长计算每个所述目标通信地址对应的生存时间值分布情况;
第二确定单元,用于根据所述生存时间值分布情况从所有所述目标通信地址中确定所述网络地址转换设备的地址信息;
第三确定单元,用于将所述地址信息对应的主机设备确定为所述网络地址转换设备。
在上述实现过程中,第一获取单元获取待识别的内部主机地址;第二获取单元获取每一个内部主机地址对应的生存时间值集合;第一确定单元根据生存时间值集合,从所有内部主机地址中确定目标通信地址,目标通信地址对应的设备包括网络地址转换设备;计算单元按照预设分析时长计算每个目标通信地址对应的生存时间值分布情况;第二确定单元根据生存时间值分布情况从所有目标通信地址中确定网络地址转换设备的地址信息;第三确定单元将地址信息对应的主机设备确定为网络地址转换设备,能够准确识别出网络中的网络地址转换设备,避免单独采用TTL值个数进行识别导致的误检风险,消除潜在的内网安全风险。
进一步地,所述第一获取单元包括:
第一子单元,用于获取流经网关设备的流量数据;以及从所述流量数据中确定出内部主机发送的主机通信数据;
第二子单元,用于根据所述主机通信数据确定待识别的内部主机地址。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的网络地址转换设备的识别方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的网络地址转换设备的识别方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络地址转换设备的识别方法的流程示意图;
图2为本申请实施例提供的一种网络地址转换设备的识别装置的结构示意图;
图3是本申请实施例提供的一种网络拓扑示意图;
图4是本申请实施例提供的一种DHCP分配的IP地址的生存时间值分布情况示意图;
图5是本申请实施例提供的一种NAT地址的生存时间值分布情况示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种网络地址转换设备的识别方法的流程示意图。其中,该网络地址转换设备的识别方法包括:
S101、获取流经网关设备的流量数据。
S102、从流量数据中确定出内部主机发送的主机通信数据。
本申请实施例中,主机通信数据包括主机的TTL数据。
本申请实施例中,TTL(Time To Live,生存时间值)该字段指定IP包被路由器丢弃之前允许通过的最大网段数量。
本申请实施例中,NAT(Network Address Translation,网络地址转换),用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信。
本申请实施例中,网络地址转换设备又称为NAT设备、NAT主机等,对此本申请实施例不作限定。
本申请实施例中,当流量流经网关设备时,如果是由内部主机发往其它网络的数据包(即主机通信数据),则记录数据包的主机TTL信息。可采用统计表这种数据结构来记录这些数据。
本申请实施例中,记录主机TTL信息的统计表的格式如下:
可索引字段 时间、源地址、TTL值
数值字段 数据包数量
S103、根据主机通信数据确定待识别的内部主机地址。
作为一种可选的实施方式,根据主机通信数据确定待识别的内部主机地址,包括:
统计主机通信数据中预设时间段内的所有源地址;
对源地址进行私有地址筛选处理,得到内部主机地址。
本申请实施例中,通常,从NAT主机发出的数据包,绝大多数情况下会有多种不同的TTL值。这是因为NAT主机背后的网络有多种不同的主机,它们的操作系统可能是Windows,也可能是Linux或MacOS,甚至是移动设备OS,这些不同的操作系统有不同的缺省TTL值。另外,NAT主机之后的网络结构也可能比较复杂,可能存在多级的网络结构,这些不同子域网络的报文到达NAT出口时,经历的跃点数各不相同,导致报文的TTL值也各不相同。由此,识别疑似NAT主机时,先从主机TTL信息的记录中,统计某个时间段内的所有源地址,筛选出为私有地址的IP,这些IP是内部主机的地址,可能包含NAT主机的地址。
本申请实施例中,实施上述步骤S101~步骤S103,能够获取待识别的内部主机地址。
在步骤S103之后,还包括以下步骤:
S104、获取每一个内部主机地址对应的生存时间值集合。
本申请实施例中,对每一个内部主机地址,统计其TTL值个数,以及各TTL值出现的比例。
S105、对生存时间值集合进行异常值过滤处理,得到有效值集合。
本申请实施例中,一般来说,某个主机的报文在内部网络的路由是比较固定的,也就是说,从该主机发出的报文,到达网关设备时,其数据包的TTL一般都是固定的。但是,也可能因为一些特殊的网络状况,导致从该主机发出的报文偶尔会选择另一种路由线路,其数据包到达网关设备时,TTL值和该主机的其它大部分数据包的TTL值不相同,这种TTL值的数据包通常只占主机所有数据包很小的比例。虽然从统计上看,该主机有多个不同的TTL值,但因为其中某些TTL值是异常的,需要排除这种异常的TTL值,以免造成误报。
本申请实施例中,可以根据预设比例阈值来进行异常值过滤处理。预设比例阈值可以预先设置,例如,可以根据统计的结果,获知这种异常TTL值数据包可能出现的规律,从而制定预设比例阈值。
在步骤S105之后,还包括以下步骤:
S106、根据有效值集合统计每个内部主机地址对应的有效值个数。
S107、从所有内部主机地址中确定出有效值个数大于预设个数阈值的内部主机地址,作为目标通信地址。
本申请实施例中,在剔除异常的TTL值后,如果主机的有效TTL值个数大于预设个数阈值,记该内部主机地址为疑似NAT主机地址。该目标通信地址即为疑似NAT主机地址。
本申请实施例中,实施上述步骤S105~步骤S107,能够根据生存时间值集合,从所有内部主机地址中确定目标通信地址。
本申请实施例中,目标通信地址对应的设备包括网络地址转换设备。
在步骤S107之后,还包括以下步骤:
S108、按照预设分析时长计算每个目标通信地址对应的生存时间值分布情况。
作为一种可选的实施方式,按照预设分析时长计算每个目标通信地址对应的生存时间值分布情况,包括:
按照预设分析时长确定每个目标通信地址对应的分析时段;
统计每个目标通信地址在分析时段内的生存时间值个数;
根据分析时段和生存时间值个数,计算每个目标通信地址的生存时间值分布情况。
请一并参阅图3,图3是本申请实施例提供的一种网络拓扑示意图,如图3所示,Host_1和Host_2主机在不同的时间通过DHCP Server获得了同一个IP地址,从较大时间范围的TTL值统计上看,这个地址也具备和NAT主机相似的特征(即:同一个IP地址有多个不同的有效TTL值),需要排除这种伪NAT地址。采用DHCP机制为主机分配地址的网络,同一个IP地址在不同时段可能是不同的设备在使用,但对于某一个指定的时间段,该IP地址只对应一个设备。因此,可以通过统计主机的TTL值的个数变化趋势,得到生存时间值分布情况,从而根据生存时间值分布情况来区分某个IP是NAT主机地址还是DHCP出来的一般地址。
本申请实施例中,DHCP Server是动态主机配置协议服务器,指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。担任DHCP服务器的计算机需要安装TCP/IP协议,并为其设置静态IP地址、子网掩码、默认网关等内容。
请一并参阅图4和图5,图4是本申请实施例提供的一种DHCP分配的IP地址的生存时间值分布情况示意图。图5是本申请实施例提供的一种NAT地址的生存时间值分布情况示意图。NAT主机的背后,有很多不同主机,这些主机的操作系统可能各不相同,TTL值很可能也就不同。因此,如图4和图5所示,生存时间值分布情况的横坐标为TTL值个数,纵坐标为时间,可通过统计分析时段的主机的TTL值分布情况来排除伪NAT主机。
S109、根据生存时间值分布情况计算每个目标通信地址对应的目标个数占比,其中,目标个数占比为生存时间值个数为1的子分析时段的数量占子分析时段的总数量的比值,分析时段包括多个子分析时段。
S110、从所有目标通信地址中确定出目标个数占比小于预设占比阈值的目标通信地址,作为网络地址转换设备的地址信息。
本申请实施例中,对每一个目标通信地址,可以通过以下步骤确定出网络地址转换设备的地址信息:
A)假设预设分析时长为(T_start,T_end),则以T_start为分析起始点,每H时长(可设H=5分钟)为一个分析时段;
B)如果该分析时段内,主机的TTL值个数只有1个;
C)分析时段往后移动H时长;
D)重复上述B)、C)的处理逻辑,直到分析结束点T_end。如果该地址的TTL值个数为1的时段占全部时的目标个数占比超过预设占比阈值(如80%等),则认为该地址是DHCP分配的主机地址,非NAT主机地址。
本申请实施例中,识别NAT主机所采用的过滤主机异常TTL值的方法。通过分析TTL值个数在时间轴上的分布情况,过滤非真正NAT主机地址。
本申请实施例中,实施上述步骤S109~步骤S110,能够根据生存时间值分布情况从所有目标通信地址中确定网络地址转换设备的地址信息。从而能够从疑似NAT主机地址中,排除伪NAT主机地址,识别出网络中真正的NAT主机地址(即网络地址转换设备的地址信息)。
S111、将地址信息对应的主机设备确定为网络地址转换设备。
本申请实施例中,实施该方法不需要在网络中部署特定的Agent,只需采集流经探测系统的被动流量中数据包的TTL值等少量字段的数据,就可高效准确地识别网络中的NAT设备。在资源紧张的网关级设备上,只需消耗较少的存储及计算资源,即可准确识别出网络中的NAT设备,消除潜在的内网安全风险。
可见,实施本实施例所描述的网络地址转换设备的识别方法,能够准确识别出网络中的网络地址转换设备,避免单独采用TTL值个数进行识别导致的误检风险,消除潜在的内网安全风险。
实施例2
请参看图2,图2为本申请实施例提供的一种网络地址转换设备的识别装置的结构示意图。如图2所示,该网络地址转换设备的识别装置包括:
第一获取单元210,用于获取待识别的内部主机地址;
第二获取单元220,用于获取每一个内部主机地址对应的生存时间值集合;
第一确定单元230,用于根据生存时间值集合,从所有内部主机地址中确定目标通信地址,目标通信地址对应的设备包括网络地址转换设备;
计算单元240,用于按照预设分析时长计算每个目标通信地址对应的生存时间值分布情况;
第二确定单元250,用于根据生存时间值分布情况从所有目标通信地址中确定网络地址转换设备的地址信息;
第三确定单元260,用于将地址信息对应的主机设备确定为网络地址转换设备。
作为一种可选的实施方式,第一获取单元210包括:
第一子单元211,用于获取流经网关设备的流量数据;以及从流量数据中确定出内部主机发送的主机通信数据;
第二子单元212,用于根据主机通信数据确定待识别的内部主机地址。
作为一种可选的实施方式,第二子单元212包括:
第一模块,用于统计主机通信数据中预设时间段内的所有源地址;
第二模块,用于对源地址进行私有地址筛选处理,得到内部主机地址。
作为一种可选的实施方式,第一确定单元230包括:
第三子单元231,用于对生存时间值集合进行异常值过滤处理,得到有效值集合;以及根据有效值集合统计每个内部主机地址对应的有效值个数;
第四子单元232,用于从所有内部主机地址中确定出有效值个数大于预设个数阈值的内部主机地址,作为目标通信地址。
作为一种可选的实施方式,计算单元240包括:
第五子单元241,用于按照预设分析时长确定每个目标通信地址对应的分析时段;以及统计每个目标通信地址在分析时段内的生存时间值个数;
第六子单元242,用于根据分析时段和生存时间值个数,计算每个目标通信地址的生存时间值分布情况。
作为一种可选的实施方式,第二确定单元250包括:
第七子单元251,用于根据生存时间值分布情况计算每个目标通信地址对应的目标个数占比,其中,目标个数占比为生存时间值个数为1的子分析时段的数量占子分析时段的总数量的比值,分析时段包括多个子分析时段;
第八子单元252,用于从所有目标通信地址中确定出目标个数占比小于预设占比阈值的目标通信地址,作为网络地址转换设备的地址信息。
本申请实施例中,网络地址转换设备的识别装置可运行在被动接收的网络流量检测环境中,只需要采集少量IP层的数据,就能够识别NAT设备的高效、低误报方案。
本申请实施例中,对于网络地址转换设备的识别装置的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的网络地址转换设备的识别装置,能够准确识别出网络中的网络地址转换设备,避免单独采用TTL值个数进行识别导致的误检风险,消除潜在的内网安全风险。
本申请实施例提供了一种电子设备,包括存储器以及处理器,存储器用于存储计算机程序,处理器运行计算机程序以使电子设备执行本申请实施例1中任一项网络地址转换设备的识别方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,计算机程序指令被一处理器读取并运行时,执行本申请实施例1中任一项网络地址转换设备的识别方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims (8)

1.一种网络地址转换设备的识别方法,其特征在于,包括:
获取待识别的内部主机地址;
获取每一个所述内部主机地址对应的生存时间值集合;
根据所述生存时间值集合,从所有所述内部主机地址中确定目标通信地址,所述目标通信地址对应的设备包括网络地址转换设备;
按照预设分析时长计算每个所述目标通信地址对应的生存时间值分布情况;
根据所述生存时间值分布情况从所有所述目标通信地址中确定所述网络地址转换设备的地址信息;
将所述地址信息对应的主机设备确定为所述网络地址转换设备;
其中,所述根据所述生存时间值分布情况从所有所述目标通信地址中确定所述网络地址转换设备的地址信息,包括:
根据所述生存时间值分布情况计算每个所述目标通信地址对应的目标个数占比,其中,所述目标个数占比为生存时间值个数为1的子分析时段的数量占所述子分析时段的总数量的比值,所述分析时段包括多个子分析时段;
从所有所述目标通信地址中确定出目标个数占比小于预设占比阈值的目标通信地址,作为所述网络地址转换设备的地址信息;
其中,所述根据所述生存时间值集合,从所有所述内部主机地址中确定目标通信地址,包括:
对所述生存时间值集合进行异常值过滤处理,得到有效值集合;
根据所述有效值集合统计每个所述内部主机地址对应的有效值个数;
从所有所述内部主机地址中确定出有效值个数大于预设个数阈值的内部主机地址,作为目标通信地址。
2.根据权利要求1所述的网络地址转换设备的识别方法,其特征在于,所述获取待识别的内部主机地址,包括:
获取流经网关设备的流量数据;
从所述流量数据中确定出内部主机发送的主机通信数据;
根据所述主机通信数据确定待识别的内部主机地址。
3.根据权利要求2所述的网络地址转换设备的识别方法,其特征在于,所述根据所述主机通信数据确定待识别的内部主机地址,包括:
统计所述主机通信数据中预设时间段内的所有源地址;
对所述源地址进行私有地址筛选处理,得到内部主机地址。
4.根据权利要求1所述的网络地址转换设备的识别方法,其特征在于,所述按照预设分析时长计算每个所述目标通信地址对应的生存时间值分布情况,包括:
按照预设分析时长确定每个所述目标通信地址对应的分析时段;
统计每个所述目标通信地址在所述分析时段内的生存时间值个数;
根据所述分析时段和所述生存时间值个数,计算每个所述目标通信地址的生存时间值分布情况。
5.一种网络地址转换设备的识别装置,其特征在于,所述网络地址转换设备的识别装置包括:
第一获取单元,用于获取待识别的内部主机地址;
第二获取单元,用于获取每一个所述内部主机地址对应的生存时间值集合;
第一确定单元,用于根据所述生存时间值集合,从所有所述内部主机地址中确定目标通信地址,所述目标通信地址对应的设备包括网络地址转换设备;
计算单元,用于按照预设分析时长计算每个所述目标通信地址对应的生存时间值分布情况;
第二确定单元,用于根据所述生存时间值分布情况从所有所述目标通信地址中确定所述网络地址转换设备的地址信息;
第三确定单元,用于将所述地址信息对应的主机设备确定为所述网络地址转换设备;
其中,第二确定单元包括:
第七子单元,用于根据生存时间值分布情况计算每个目标通信地址对应的目标个数占比,其中,目标个数占比为生存时间值个数为1的子分析时段的数量占子分析时段的总数量的比值,分析时段包括多个子分析时段;
第八子单元,用于从所有目标通信地址中确定出目标个数占比小于预设占比阈值的目标通信地址,作为网络地址转换设备的地址信息;
其中,所述第一确定单元包括:
第三子单元,用于对生存时间值集合进行异常值过滤处理,得到有效值集合;以及根据有效值集合统计每个内部主机地址对应的有效值个数;
第四子单元,用于从所有内部主机地址中确定出有效值个数大于预设个数阈值的内部主机地址,作为目标通信地址。
6.根据权利要求5所述的网络地址转换设备的识别装置,其特征在于,所述第一获取单元包括:
第一子单元,用于获取流经网关设备的流量数据;以及从所述流量数据中确定出内部主机发送的主机通信数据;
第二子单元,用于根据所述主机通信数据确定待识别的内部主机地址。
7.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至4中任一项所述的网络地址转换设备的识别方法。
8.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至4任一项所述的网络地址转换设备的识别方法。
CN202111485544.8A 2021-12-07 2021-12-07 一种网络地址转换设备的识别方法及装置 Active CN114172861B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111485544.8A CN114172861B (zh) 2021-12-07 2021-12-07 一种网络地址转换设备的识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111485544.8A CN114172861B (zh) 2021-12-07 2021-12-07 一种网络地址转换设备的识别方法及装置

Publications (2)

Publication Number Publication Date
CN114172861A CN114172861A (zh) 2022-03-11
CN114172861B true CN114172861B (zh) 2024-04-19

Family

ID=80483833

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111485544.8A Active CN114172861B (zh) 2021-12-07 2021-12-07 一种网络地址转换设备的识别方法及装置

Country Status (1)

Country Link
CN (1) CN114172861B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114710466B (zh) * 2022-04-15 2023-03-24 北京天融信网络安全技术有限公司 基于地址池偏移量的ipv6地址转换方法、装置、设备和介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106549820A (zh) * 2015-09-23 2017-03-29 阿里巴巴集团控股有限公司 识别网络环路的方法、装置、流量清洗设备及系统
CN108347359A (zh) * 2018-01-30 2018-07-31 新浪网技术(中国)有限公司 一种大型网络地址转换出口判断方法及装置
CN110266739A (zh) * 2019-08-06 2019-09-20 杭州安恒信息技术股份有限公司 结合威胁情报的Fast-Flux僵尸网络的检测方法
CN111669732A (zh) * 2019-03-06 2020-09-15 乐鑫信息科技(上海)股份有限公司 一种用于在蓝牙Mesh网络中的节点处过滤冗余数据包的方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106549820A (zh) * 2015-09-23 2017-03-29 阿里巴巴集团控股有限公司 识别网络环路的方法、装置、流量清洗设备及系统
CN108347359A (zh) * 2018-01-30 2018-07-31 新浪网技术(中国)有限公司 一种大型网络地址转换出口判断方法及装置
CN111669732A (zh) * 2019-03-06 2020-09-15 乐鑫信息科技(上海)股份有限公司 一种用于在蓝牙Mesh网络中的节点处过滤冗余数据包的方法
CN110266739A (zh) * 2019-08-06 2019-09-20 杭州安恒信息技术股份有限公司 结合威胁情报的Fast-Flux僵尸网络的检测方法

Also Published As

Publication number Publication date
CN114172861A (zh) 2022-03-11

Similar Documents

Publication Publication Date Title
US8341742B2 (en) Network attack detection devices and methods
CN107547488B (zh) 一种dns隧道检测方法以及dns隧道检测装置
US10356106B2 (en) Detecting anomaly action within a computer network
Collins et al. Using uncleanliness to predict future botnet addresses
Liljenstam et al. Simulating realistic network worm traffic for worm warning system design and testing
US8341740B2 (en) Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware
EP3223495B1 (en) Detecting an anomalous activity within a computer network
US20090282478A1 (en) Method and apparatus for processing network attack
US20050108377A1 (en) Method for detecting abnormal traffic at network level using statistical analysis
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
CN101502052B (zh) Nat和代理设备检测
Wu et al. Network anomaly detection using time series analysis
CN107770132A (zh) 一种对算法生成域名进行检测的方法及装置
Padmanabhan et al. DynamIPs: Analyzing address assignment practices in IPv4 and IPv6
CN109561111B (zh) 一种攻击源的确定方法及装置
EP3913888A1 (en) Detection method for malicious domain name in domain name system and detection device
CN107360118A (zh) 一种高级持续威胁攻击防护方法及装置
CN114172861B (zh) 一种网络地址转换设备的识别方法及装置
Zali et al. Real-time attack scenario detection via intrusion detection alert correlation
US10320823B2 (en) Discovering yet unknown malicious entities using relational data
US20240146753A1 (en) Automated identification of false positives in dns tunneling detectors
CN109120733B (zh) 一种利用dns进行通信的检测方法
CN116112229A (zh) 一种流量清洗方法、系统、存储介质以及智能终端
Maier et al. In the loop: A measurement study of persistent routing loops on the IPv4/IPv6 Internet
Sawaya et al. Understanding the time-series behavioral characteristics of evolutionally advanced email spammers

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant