[发明专利]一种基于融合用户行为和迅雷ID的NAT检测方法

说明书

本发明公开了一种基于融合用户行为和迅雷ID的NAT检测方法。本方法为：1)流量处理平台从捕获的网络流量中提取User‑Agent、Cookie ID、和迅雷ID信息，并将提取出的信息拼接成JSON串；2)根据网络流量的五元组将JSON串负载均衡到流量处理平台中相应的服务器进行处理；3)所述服务器根据五元组对数据进行分类，当判断某一五元组对应的TCP流结束时；对该TCP流进行在线处理；其中，在线处理方法为：根据五元组计算客户端IP的主机出度、主机入度，判定该客户端IP的NAT属性，并计算该客户端IP的主机规模。本发明能够对大量IP属性进行标定并对NAT规模进行精准判断。

技术领域

本发明属于互联网被动流量分析和NAT检测技术领域，涉及一种基于融合用户行为和迅雷ID的NAT检测方法。

背景技术

NAT(Network Address Translation，网络地址转换)技术应用减缓了IP地址空间的枯竭，实现了私有网络IP地址与公共网络IP地址间的映射关系，使得内外网隔离开来，从而将局域网中的所有计算机隐藏并保护起来，无法通过公共网络访问，有效地防范了来自公共网络的各种非法攻击。因此，NAT技术也为防火墙技术的发展提供了新的思路。如今，绝大多数路由器中都集成了NAT技术，这为私有网络安全提供了一定的保障。

然而，与历史上许多其他技术一样，NAT技术同样也有负面性。一方面，多用户共享上网的方式占据了大量的网络资源，运营商成本增加；另一方面，NAT技术增加了使用被动流量进行个性化网络服务及非法用户追踪的难度。

现有的NAT流量识别方法一般都是采用被动检测方法，被动检测方法是通过被动地监听网络中的数据流量，检测数据包的首部或内容信息，来进行数据包的源IP地址的身份判断。根据各种识别方法的不同特点，大致上可以把现有的NAT被动检测方法分为两个大的类别，分别为：基于TCP/IP协议特征字段的识别方法、基于应用层信息的识别方法。

1)与本发明相关的现有技术方案一：User-Agent识别法

User-Agent是用户浏览器使用的一个特殊的只读字符串头，每当用户浏览某个网站时，浏览器发送的HTTP请求数据包的用户代理头中就包含该User-Agent值。Web服务器通过该User-Agent值，便可以知道用户使用的操作系统及版本是什么、浏览器及版本是什么、CPU类型是什么等。又由于同一个网络中的不同主机的操作系统及版本、浏览器及版本、甚至于打的补丁都不尽相同，因此通过统计分析同一个IP地址发出的所有HTTP请求数据包中的User-Agent字段，便可以确定是普通主机还是NAT设备，如果是NAT设备，还可以用来分别标识NAT。

2)与本发明相关的现有技术方案二：Cookie ID识别法

在HTTP协议中，为了在User-Agent(一般为浏览器)与Web服务器之间有效的传输状态信息，便于网站辨别用户的身份，定义了一个Cookie数据值。当用户浏览某个网站时，Web服务器将生成一个包含有用户ID、时间日期等信息的Cookie值，并将该Cookie值连同用户访问的相应内容一并返回给请求访问的浏览器，浏览器则将其存储于用户本地的终端中。当下次该用户再次浏览同一个网站时，用户会将上次保存在本地的Cookie值一并发送，网站通过该Cookie值便可以得到用户信息了。一般情况下，对于首次访问该网站的用户，Web服务器会在Cookie值中设置一个有效期。在有效期内，同一个网站下不同的用户的Cookie值中的用户ID是不同的。运营商经常利用一些知名网站的Cookie ID来对动态主机、NAT主机进行标识，进而做一些与网络测量、优化服务等相关的工作。