[发明专利]一种基于融合用户行为和迅雷ID的NAT检测方法

权利要求书

1.一种基于融合用户行为和迅雷ID的NAT检测方法，其步骤为：

1)流量处理平台从捕获的网络流量中提取User-Agent、Cookie ID、和迅雷ID信息，并将提取出的信息拼接成JSON串；

2)根据网络流量的五元组将JSON串负载均衡到流量处理平台中相应的服务器进行处理；该五元组包括源IP、源端口、目的IP、目的端口和协议；

3)所述服务器根据五元组对数据进行分类，当判断某一五元组对应的TCP流结束时；对该TCP流进行在线处理；其中，在线处理方法为：根据五元组计算客户端IP的主机出度、主机入度，判定该客户端IP的NAT属性，并计算该客户端IP的主机规模；计算该客户端IP的主机规模的方法为：根据该客户端IP的JSON串计算以User-Agent和Cookie ID组合键的数据量大小N1；将具有相同User-Agent的JSON串放入同一Cookie ID集合E，遍历集合E，找出不同User-Agent下具有相同的Cookie ID的User-Agent规模N2；以迅雷ID为Key计算Json串中去重的迅雷ID数量N3；主机规模计算为N1-N2+N3。

2.如权利要求1所述的方法，其特征在于，所述主机出度为：主机向其他主机发出的TCP连接数；所述主机入度为：主机接收其他主机的TCP连接数。

3.如权利要求2所述的方法，其特征在于，判定该客户端IP的NAT属性的方法为：当主机连续活跃程度>4小时，且从所述流量处理平台检测到该主机开始的连续24小时之内该主机总活跃程度>8小时，并且该主机出度/入度的比值>1.4时，将该主机标记为NAT主机。

4.如权利要求1所述的方法，其特征在于，步骤3)中，所述服务器对收到的数据进行清洗，过滤掉没有User-Agent、Cookie ID、和迅雷ID特征的TCP连接数据，将属于同一五元组的数据进行集中。

5.如权利要求1所述的方法，其特征在于，所述流量处理平台为每一五元组对应的TCP流数据设置一个超时时间，当某一五元组在该超时时间内没有得到更新，则判定该五元组对应的TCP流结束。

6.如权利要求1所述的方法，其特征在于，根据网络流量的五元组将JSON串负载均衡到流量处理平台中相应的服务器进行处理的方法为：将五元组作为hash函数的key进行计算得到一索引值index，每一索引值index对应一不同的服务器；根据索引值index将JSON串负载均衡到相应的服务器，实现负载均衡。