[发明专利]基于传输层流量特征的NAT流量识别方法

权利要求书

1.基于传输层流量特征的NAT流量识别方法，其特征在于，包括如下步骤：

A、采集经过NAT设备的数据包作为训练数据；

B、从训练数据中学习一个分类器；

C、将后续采集到的经过NAT设备的所有数据包送入所述分类器；

D、所述分类器根据送入的数据包的数据流的特征区分NAT流量和非NAT流量。

2.根据权利要求1所述的方法，其特征在于，步骤A中，所采集经过NAT设备的网络数据包为双向的。

3.根据权利要求2所述的方法，其特征在于，步骤B具体包括如下步骤：

数据预处理步骤：获取采集到的训练数据之后，按照五元组源IP、目的IP、源端口、目的端口和协议的方式提取出数据流，并丢弃不完整的数据流；

特征提取步骤：分别提取TCP数据流和UDP数据流中的特征参数信息；通过提取统计到TCP数据流的IP报文段的个数、字节大小以及到达时间作为特征参数，并通过TCP报文头部信息提取特征参数，从而形成TCP数据流的完整特征参数；UDP数据流提取源、目的端口、以太帧的大小及统计特征、IP报文段的数据大小及统计特征、双向的UDP数据包总数、双向的UDP流量吞吐量作为特征参数；

特征选择步骤：用特征选择算法选择TCP数据流和UDP数据流特征参数信息中的NAT数据流的最优特征子集和相应聚类；或者根据NAT流量特征凭经验进行特征选择；

聚类步骤：利用特征选择步骤从训练数据得到的NAT数据流的最优特征子集，使用聚类算法对大量的无标记数据和少量的标记数据进行聚类，将数据划分为不同的两个簇。

4.根据权利要求3所述的方法，其特征在于，

步骤C具体包括如下步骤：对于后续采集的经过NAT设备的数据包，首先要先经过提取数据流，然后进行预处理之后，提取数据流的特征，最后再送入分类器；

步骤D具体包括如下步骤：利用少量的标记数据标记簇，并将标记信息扩展到簇内所有数据，确定两个簇分别与流量的映射关系，实现NAT流量和非NAT流量的识别。

5.根据权利要求4所述的方法，其特征在于，所述数据预处理步骤中，对于建立连接标志和拆除连接标志不完整的TCP数据流进行丢弃；并将具有相同五元组的UDP数据包归为一个完整的UDP流。

6.根据权利要求4或5所述的方法，其特征在于，所述特征选择步骤中，凭经验进行特征选择所依据的NAT流程特征包括：

NAT网络的网络流量较大、和或

NAT网络的并发TCP连接数较多、和或

NAT网络上下行流量差异较小、和或

NAT网络总体上是持续稳定的流量、和或

NAT网络的DNS请求应该比较频繁。

7.根据权利要求6所述的方法，其特征在于，所述特征选择步骤中，用进化包装Wrapper算法选择TCP数据流和UDP数据流特征信息中的NAT流量特征的具体步骤为：将经过特征提步骤取获的所有TCP数据流和UDP数据流的流量特征作为原始特征集，利用特征搜索算法从原始特征集中获取候选特征子集；然后使用聚类算法将所述候选特征子集进行聚类，最后直接以聚类学习算法的训练准确率作为特征评价标准对前面选择的候选特征子集和聚类结果进行评估，从而去除冗余特征；直到找到满足的NAT数据流的最优特征子集和相应聚类。

8.根据权利要求6所述的方法，其特征在于，所述特征选择步骤中，利用数据挖掘软件WEKA中提供的特征搜索算法和属性评估器来进行特征选择。

9.根据权利要求4-8任一项所述的方法，其特征在于，所述NAT数据流的最优特征子集包括的特征为：服务端端口、以太帧最小字节数、服务端发送给客户端带重发数据包的SACK总数、客户端发送给服务端带FIN位的数据包总数、客户端发送给服务端建立TCP连接时的最大IP报文段长度、服务端到客户端的往返时间RTT的平均值、服务端到客户端从TCP 3次握手计算的RTT、在所有重传中，两次重传之间的最小时间、所有IP数据包中字节的中值。

10.根据权利要求9所述的方法，其特征在于，所述服务端是指各种在因特网上使用公网IP地址提供资源服务的设备；而客户端是指在NAT设备之后的，使用私网IP地址的设备。