CN116032851A - 基于间隔时序轨迹特征的tcp短连接的nat识别方法及*** - Google Patents
基于间隔时序轨迹特征的tcp短连接的nat识别方法及*** Download PDFInfo
- Publication number
- CN116032851A CN116032851A CN202211730122.7A CN202211730122A CN116032851A CN 116032851 A CN116032851 A CN 116032851A CN 202211730122 A CN202211730122 A CN 202211730122A CN 116032851 A CN116032851 A CN 116032851A
- Authority
- CN
- China
- Prior art keywords
- short
- time sequence
- interval
- aggregation
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000005540 biological transmission Effects 0.000 title claims abstract description 14
- 238000013519 translation Methods 0.000 title abstract description 6
- 230000002776 aggregation Effects 0.000 claims abstract description 87
- 238000004220 aggregation Methods 0.000 claims abstract description 87
- 239000013598 vector Substances 0.000 claims abstract description 36
- 238000010586 diagram Methods 0.000 claims description 16
- 230000004931 aggregating effect Effects 0.000 claims description 10
- 238000012163 sequencing technique Methods 0.000 claims description 7
- 230000001174 ascending effect Effects 0.000 claims description 6
- 238000001514 detection method Methods 0.000 description 10
- 238000001914 filtration Methods 0.000 description 7
- 238000013507 mapping Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 101100121123 Caenorhabditis elegans gap-1 gene Proteins 0.000 description 4
- 101100282111 Caenorhabditis elegans gap-2 gene Proteins 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000011330 nucleic acid test Methods 0.000 description 1
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于间隔时序轨迹特征的TCP短连接的NAT识别方法及***包括:通过短连接网络流量帧构建短连接网络流量匹配二部图并得到对应的短连接流量聚合;根据所述短连接流量聚合生成对应的时序间隔向量,进而得到对应的间隔时序特征;根据所述短连接网络流量匹配二部图和所述间隔时序特征,计算短连接流量聚合之间的相似度,当所述相似度大于预设阈值时,则两个短连接流量聚合NAT匹配成功,进而完成NAT识别。本发明通过高频短连接发送的时序特征完成NAT识别功能,弥补了负载缺失情况下NAT识别方法无法实现识别的短板。
Description
技术领域
本发明涉及通信技术领域,具体地,涉及一种基于间隔时序轨迹特征的TCP短连接的NAT识别方法及***。
背景技术
传输控制协议(TCP,Transmission Control Protocol)是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP旨在适应支持多网络应用的分层协议层次结构。连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的,可能不可靠的数据报服务。原则上,TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信***之上操作。
NAT(Network Address Translation),是指网络地址转换。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。NAT不仅能解决IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。另外,这种通过使用少量的全球IP地址(公网IP地址)代表较多的私有IP地址的方式,将有助于减缓可用的IP地址空间的枯竭。
对于经过具备NAT功能设备的网络流量,NAT设备会在转发时修改流量中的IP、端口、MAC等信息,对于需要进行流量监控的应用,匹配并衔接NAT设备两侧具备不同IP、端口、MAC的同一网络流量是具备的功能,这一功能即为NAT识别。
目前常见的NAT识别方法一般通过比较流量的负载内容相似度实现,但在网络流量中,不具备负载的高频短链接流量占据不可忽略的比例(存在但不限于电子支付、物流消息短信、产线指令等场景),此时基于负载内容的NAT识别方法便无法实现识别。
专利文献CN115022280A公开了一种NAT探测的方法、客户端及***,方法包括:客户端向STUN服务器发起映射行为探测,并基于映射行为探测识别NAT的映射类型;当基于映射行为探测识别出NAT的映射类型为端点无关映射的NAT类型时,向STUN服务器发起过滤行为探测,并基于过滤行为探测识别NAT的过滤类型;当基于过滤行为探测识别出NAT的过滤类型为地址和端口相关过滤的NAT类型时,向STUN服务器发起顺序行为探测,并基于顺序行为探测识别NAT的顺序类型。
但是专利文献CN115022280A需要通过NAT的过滤行为、数据类型进行NAT识别,需要依赖的假设较多,且不适用于含有负载数据类型的短连接NAT识别。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种基于间隔时序轨迹特征的TCP短连接的NAT识别方法及***。
根据本发明提供的一种基于间隔时序轨迹特征的TCP短连接的NAT识别方法,包括:
步骤S1:通过短连接网络流量帧构建短连接网络流量匹配二部图并得到对应的短连接流量聚合;
步骤S2:根据所述短连接流量聚合生成对应的时序间隔向量,进而得到对应的间隔时序特征;
步骤S3:根据所述短连接网络流量匹配二部图和所述间隔时序特征,计算短连接流量聚合之间的相似度,当所述相似度大于预设阈值时,则两个短连接流量聚合NAT匹配成功,进而完成NAT识别。
优选地,所述步骤S1包括:
步骤S1.1:识别短连接网络流量,并在特定时间窗口之间集合所有短连接网络流,得到对应的短连接网络流量帧;
步骤S1.2:滑动流量传输两端对应的时间窗口,将位于两端的短连接网络流量帧分别划分成连续且不重叠的短连接网络流量帧序列,分别得到第一二部图和第二二部图;
步骤S1.3:分别对所述第一二部图和第二二部图中的短连接网络流量帧进行聚合,得到对应的短连接网络流量聚合。
优选地,所述进行聚合包括按照三元组进行聚合划分成多个集合,集合内的每个元素为一个短连接网络流的四元组,每个集合即为一个短连接流量聚合。
优选地,步骤S2包括:
步骤S2.1:将每个短连接流量聚合内的短连接网络流按照四元组的发生时间进行升序排序,生成所述短连接流量聚合对应的时序间隔向量;
步骤S2.2:将长度为n的滑动窗口在所述时序间隔向量上进行滑动,根据每个滑动串口涵盖的数据得到对应的时序间隔特征,进而得到时序间隔向量对应的时序间隔特征集合。
优选地,步骤S3包括:
步骤S3.1:依次计算两个短链接流量聚合中对应的时序间隔特征集合中的时序间隔特征的相似度,公式如下:
其中,series_gap_sim表示时序间隔特征的相似度,series_gap_dist表示时序间隔特征的轨迹距离;
步骤S3.2:将两个短链接流量聚合中对应的时序间隔特征集合中的时序间隔特征的相似度均计算完成后,取出所有时序间隔特征的相似度中的最大值为两个短连接流量聚合之间的相似度。
根据本发明提供的一种基于间隔时序轨迹特征的TCP短连接的NAT识别***,包括:
模块M1:通过短连接网络流量帧构建短连接网络流量匹配二部图并得到对应的短连接流量聚合;
模块M2:根据所述短连接流量聚合生成对应的时序间隔向量,进而得到对应的间隔时序特征;
模块M3:根据所述短连接网络流量匹配二部图和所述间隔时序特征,计算短连接流量聚合之间的相似度,当所述相似度大于预设阈值时,则两个短连接流量聚合NAT匹配成功,进而完成NAT识别。
优选地,所述模块M1包括:
模块M1.1:识别短连接网络流量,并在特定时间窗口之间集合所有短连接网络流,得到对应的短连接网络流量帧;
模块M1.2:滑动流量传输两端对应的时间窗口,将位于两端的短连接网络流量帧分别划分成连续且不重叠的短连接网络流量帧序列,分别得到第一二部图和第二二部图;
模块M1.3:分别对所述第一二部图和第二二部图中的短连接网络流量帧进行聚合,得到对应的短连接网络流量聚合。
优选地,所述进行聚合包括按照三元组进行聚合划分成多个集合,集合内的每个元素为一个短连接网络流的四元组,每个集合即为一个短连接流量聚合。
优选地,模块M2包括:
模块M2.1:将每个短连接流量聚合内的短连接网络流按照四元组的发生时间进行升序排序,生成所述短连接流量聚合对应的时序间隔向量;
模块M2.2:将长度为n的滑动窗口在所述时序间隔向量上进行滑动,根据每个滑动串口涵盖的数据得到对应的时序间隔特征,进而得到时序间隔向量对应的时序间隔特征集合。
优选地,模块M3包括:
模块M3.1:依次计算两个短链接流量聚合中对应的时序间隔特征集合中的时序间隔特征的相似度,公式如下:
其中,series_gap_sim表示时序间隔特征的相似度,series_gap_dist表示时序间隔特征的轨迹距离;
模块M3.2:将两个短链接流量聚合中对应的时序间隔特征集合中的时序间隔特征的相似度均计算完成后,取出所有时序间隔特征的相似度中的最大值为两个短连接流量聚合之间的相似度。
与现有技术相比,本发明具有如下的有益效果:
1、本发明通过高频短连接发送的时序特征完成NAT识别功能,弥补了负载缺失情况下NAT识别方法无法实现识别的短板。
2、本发明同样可用于有负载流量的NAT识别,相对于解负载、对比内容的识别方法,本发明无需解包,识别速度更快。
3、本发明可以兼容NAT转发设备导致的转发间隔拉长、部分流量丢失问题,具备较好的容错性和鲁棒性。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为本发明流程示意图。
图2为本发明中构建短连接流量匹配二部图的流程示意图。
图3为本发明中生成间隔时序特征的流程示意图。
图4为本发明中基于检测时序轨迹特征的识别匹配流程示意图。
图5为本发明中时序间隔向量绘制轨迹示意图。
其中,图5中的横坐标表示时序间隔的序号,纵坐标表示时序间隔的时间长短。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
在网络专业内,将TCP网络连接中包含三次建连、四次拆连之间的部分称为会话。会话一般具备五元组头部如下:
(源IP,源端口,目的IP,目的端口,协议类型)
位于会话层之上的逻辑层称为flow,也就是网络流,flow一般具备四元组头部如下:
(源IP,源端口,目的IP,目的端口)
对于flow中不包含SYN头的flow称为短连接flow,本发明中短连接flow,也就是短连接网络流记为short_flow的四元组表示形式如下:
(源IP,目的IP,目的端口,发生时间)
实施例一
根据本发明提供的一种基于间隔时序轨迹特征的TCP短连接的NAT识别方法,如图1所示,包括:
步骤S1:通过短连接网络流量帧构建短连接网络流量匹配二部图并得到对应的短连接流量聚合。如图2所示,步骤S1包括:
步骤S1.1:识别短连接网络流量,并在特定时间窗口之间集合所有短连接网络流,得到对应的短连接网络流量帧。具体地,短连接网络流量帧为时间窗口[start_time,end_time)之间所有的短连接flow的集合,记为short_flow_frame。其中start_time和end_time之间的差一般不大于1500毫秒。
步骤S1.2:滑动流量传输两端对应的时间窗口,将位于两端的短连接网络流量帧分别划分成连续且不重叠的短连接网络流量帧序列,分别得到第一二部图和第二二部图。具体地,如流量从NAT的A侧发往B侧,则位于A侧的流量帧定义为起止时间为[t1,t2)确定的短链接流量帧,记为short_flow_frame_a,t1和t2之间的差一般不大于1000毫秒;对应同时,定义的位于B侧的流量帧定义为起止时间为[t1,t2+delay_offset)的短链接流量帧,记为short_flow_frame_b,delay_offset一般不大于500毫秒。滑动时间窗口[t1,t2),将位于A侧的flow数据划分成连续且不重叠的短连接流量帧序列,这些流量帧共同构成第一二部图,将位于B的侧flow数据生成对应的流量帧序列,这些流量帧共同构成第二二部图。
步骤S1.3:分别对所述第一二部图和第二二部图中的短连接网络流量帧进行聚合,得到对应的短连接网络流量聚合。包括按照三元组进行聚合划分成多个集合,集合内的每个元素为一个短连接网络流的四元组,每个集合即为一个短连接流量聚合。具体地,在第一二部图的短连接流量帧,即short_flow_frame_a内,按照(源IP,目的IP,目的端口)三元组对短连接flow,即short_flow进行聚合,得到多个集合,集合内的每个元素为一个短连接flow,即short_flow,将每个集合称为一个短连接流量聚合,记为short_flow_agg。对第二二部图的短链接流量帧,即short_flow_frame_b进行第一二部图同样的操作,得到多个短链接流量聚合。
步骤S2:根据所述短连接流量聚合生成对应的时序间隔向量,进而得到对应的间隔时序特征。如图3所示,步骤S2包括:
步骤S2.1:将每个短连接流量聚合内的短连接网络流按照四元组的发生时间进行升序排序,生成所述短连接流量聚合对应的时序间隔向量。也就是说,为每个短链接流量聚合生成一个时序间隔向量。对于某一特定的短连接流量聚合即short_flow_agg,将其包含的短连接flow即short_flow按照四元组的发生时间进行升序排序,时间从前往后。如存在在某个短链接流量聚合内,存在多个短连接flow:
short_flow_1,short_flow_2…short_flow_n
这些短链接flow其对应的发生时间为time1,time2…timeN,则其时序间隔向量series_gap_vec为:
[gap_1,gap_2…gap_n-1]
其中gap_i=short_flow_i+1-short_flow_i,将时序间隔向量记为series_gap_vec,按照上述方法,对每一个short_flow_agg生成对应的时序间隔项向量series_gap_vec。
步骤S2.2:将长度为n,n一般大于等于20例如10、20的滑动窗口在所述时序间隔向量上进行滑动,滑动步长为step,该步长一般1<=step<=5,根据每个滑动串口涵盖的数据得到对应的时序间隔特征,进而得到时序间隔向量对应的时序间隔特征集合。具体地,某个时序间隔特征形如:
[(gap_1,time1),(gap_2,time2)…(gap_L,time_L)]
其中gap_x为时序间隔向量中的某个元素,即一个时序间隔的长度,time_x为该时序间隔的起始时间点。
窗口在每个时序间隔向量上滑动,每次滑动生成一个对应的时序间隔特征series_gap_feature,所有的滑动结果共同构成的集合称为时序间隔特征集合,记为series_gap_feature_set。用上述方法计算得到所有每个时序间隔向量timeseries_gap_vec的时序间隔特征集合即series_gap_feature_set。
步骤S3:根据所述短连接网络流量匹配二部图和所述间隔时序特征,计算短连接流量聚合之间的相似度,当所述相似度大于预设阈值时,则两个短连接流量聚合NAT匹配成功,进而完成NAT识别。也就是说,设定阈值nat_threshold(取值为(0,1]的实数),如果agg_sim>nat_threshold,则认为两个聚合NAT匹配成功,即第一二部图的(源IP,目的IP,目的端口)在经过NAT后被映射为第二二部图的(源IP,目的IP,目的端口)。如图4所示,步骤S3包括:
步骤S3.1:依次计算两个短链接流量聚合中对应的时序间隔特征集合中的时序间隔特征的相似度,公式如下:
其中,series_gap_sim表示时序间隔特征的相似度,series_gap_dist表示时序间隔特征的轨迹距离。
步骤S3.2:将两个短链接流量聚合中对应的时序间隔特征集合中的时序间隔特征的相似度均计算完成后,取出所有时序间隔特征的相似度中的最大值为两个短连接流量聚合之间的相似度。
具体地,如存在短链接流量聚合A和聚合B,其分别对应两个时序间隔特征集合,记为fea_set_a和fea_set_b,从fea_set_a和fea_set_b中分别取出一个时序间隔特征,记为fea_a_1和fea_b_1。
计算时序间隔特征fea_a_1和_fea_b_1的相似度。对于某个时序间隔特征:[(gap_1,time1),(gap_2,time2)…(gap_L,time_L)]将其左侧元素取出,构建为间隔时间的序列:[gap_1,gap_2…gap_L],其对应的起始时间点序列为[time1,time2…time_L]将间隔时间的序列绘制在二维平面,形成如图5所示轨迹。
对于两个时序间隔特征,可对其间隔时间的序列形成的轨迹之间计算相似度。轨迹相似度采用基于动态时间调整(DTW)改进的时序轨迹距离计算方法,定义如下:
不同间隔向量两点距离:dist(i,j)=gapi-gapj)*log(timej-timei+1)
设有边长为L的方阵D,D[i,j]表示如果一个向量的前i个点构成的轨迹与另一向量前j个点构成的轨迹的最短距离,则D可以递归定义为:
D[i,j]=min(D[i,j-1],D[i-1,j-1],D[i-1,j])+dist(i,j)
根据上述定义,D[L,L]即为窗口长度为L时两个时序间隔特征的轨迹距离,记为series_gap_dist,则相似度定义为:
依次计算fea_a_1和fea_b_1的相似度。直至分别属于fea_set_a和fea_set_b中的时序间隔特征组合(fea_a_1,fea_b_1)均被计算得到相似度。取所有时序间隔特征的相似度中的最大值为两个短连接流量聚合之间的相似度,将该相似度记为agg_sim。
本发明还提供了一种基于间隔时序轨迹特征的TCP短连接的NAT识别***,本领域技术人员可以通过执行所述基于间隔时序轨迹特征的TCP短连接的NAT识别方法的步骤流程实现所述基于间隔时序轨迹特征的TCP短连接的NAT识别***,即可以将所述基于间隔时序轨迹特征的TCP短连接的NAT识别方法理解为所述基于间隔时序轨迹特征的TCP短连接的NAT识别***的优选实施方式。
根据本发明提供的一种基于间隔时序轨迹特征的TCP短连接的NAT识别***,包括:
模块M1:通过短连接网络流量帧构建短连接网络流量匹配二部图并得到对应的短连接流量聚合。所述模块M1包括:模块M1.1:识别短连接网络流量,并在特定时间窗口之间集合所有短连接网络流,得到对应的短连接网络流量帧。模块M1.2:滑动流量传输两端对应的时间窗口,将位于两端的短连接网络流量帧分别划分成连续且不重叠的短连接网络流量帧序列,分别得到第一二部图和第二二部图。模块M1.3:分别对所述第一二部图和第二二部图中的短连接网络流量帧进行聚合,得到对应的短连接网络流量聚合。所述进行聚合包括按照三元组进行聚合划分成多个集合,集合内的每个元素为一个短连接网络流的四元组,每个集合即为一个短连接流量聚合。
模块M2:根据所述短连接流量聚合生成对应的时序间隔向量,进而得到对应的间隔时序特征。模块M2包括:模块M2.1:将每个短连接流量聚合内的短连接网络流按照四元组的发生时间进行升序排序,生成所述短连接流量聚合对应的时序间隔向量。模块M2.2:将长度为n的滑动窗口在所述时序间隔向量上进行滑动,根据每个滑动串口涵盖的数据得到对应的时序间隔特征,进而得到时序间隔向量对应的时序间隔特征集合。
模块M3:根据所述短连接网络流量匹配二部图和所述间隔时序特征,计算短连接流量聚合之间的相似度,当所述相似度大于预设阈值时,则两个短连接流量聚合NAT匹配成功,进而完成NAT识别。模块M3包括:
模块M3.1:依次计算两个短链接流量聚合中对应的时序间隔特征集合中的时序间隔特征的相似度,公式如下:
其中,series_gap_sim表示时序间隔特征的相似度,series_gap_dist表示时序间隔特征的轨迹距离。
模块M3.2:将两个短链接流量聚合中对应的时序间隔特征集合中的时序间隔特征的相似度均计算完成后,取出所有时序间隔特征的相似度中的最大值为两个短连接流量聚合之间的相似度。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的***、装置及其各个模块以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的***、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以,本发明提供的***、装置及其各个模块可以被认为是一种硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
Claims (10)
1.一种基于间隔时序轨迹特征的TCP短连接的NAT识别方法,其特征在于,包括:
步骤S1:通过短连接网络流量帧构建短连接网络流量匹配二部图并得到对应的短连接流量聚合;
步骤S2:根据所述短连接流量聚合生成对应的时序间隔向量,进而得到对应的间隔时序特征;
步骤S3:根据所述短连接网络流量匹配二部图和所述间隔时序特征,计算短连接流量聚合之间的相似度,当所述相似度大于预设阈值时,则两个短连接流量聚合NAT匹配成功,进而完成NAT识别。
2.根据权利要求1所述的基于间隔时序轨迹特征的TCP短连接的NAT识别方法,其特征在于,所述步骤S1包括:
步骤S1.1:识别短连接网络流量,并在特定时间窗口之间集合所有短连接网络流,得到对应的短连接网络流量帧;
步骤S1.2:滑动流量传输两端对应的时间窗口,将位于两端的短连接网络流量帧分别划分成连续且不重叠的短连接网络流量帧序列,分别得到第一二部图和第二二部图;
步骤S1.3:分别对所述第一二部图和第二二部图中的短连接网络流量帧进行聚合,得到对应的短连接网络流量聚合。
3.根据权利要求1所述的基于间隔时序轨迹特征的TCP短连接的NAT识别方法,其特征在于,所述进行聚合包括按照三元组进行聚合划分成多个集合,集合内的每个元素为一个短连接网络流的四元组,每个集合即为一个短连接流量聚合。
4.根据权利要求3所述的基于间隔时序轨迹特征的TCP短连接的NAT识别方法,其特征在于,步骤S2包括:
步骤S2.1:将每个短连接流量聚合内的短连接网络流按照四元组的发生时间进行升序排序,生成所述短连接流量聚合对应的时序间隔向量;
步骤S2.2:将长度为n的滑动窗口在所述时序间隔向量上进行滑动,根据每个滑动串口涵盖的数据得到对应的时序间隔特征,进而得到时序间隔向量对应的时序间隔特征集合。
6.一种基于间隔时序轨迹特征的TCP短连接的NAT识别***,其特征在于,包括:
模块M1:通过短连接网络流量帧构建短连接网络流量匹配二部图并得到对应的短连接流量聚合;
模块M2:根据所述短连接流量聚合生成对应的时序间隔向量,进而得到对应的间隔时序特征;
模块M3:根据所述短连接网络流量匹配二部图和所述间隔时序特征,计算短连接流量聚合之间的相似度,当所述相似度大于预设阈值时,则两个短连接流量聚合NAT匹配成功,进而完成NAT识别。
7.根据权利要求6所述的基于间隔时序轨迹特征的TCP短连接的NAT识别***,其特征在于,所述模块M1包括:
模块M1.1:识别短连接网络流量,并在特定时间窗口之间集合所有短连接网络流,得到对应的短连接网络流量帧;
模块M1.2:滑动流量传输两端对应的时间窗口,将位于两端的短连接网络流量帧分别划分成连续且不重叠的短连接网络流量帧序列,分别得到第一二部图和第二二部图;
模块M1.3:分别对所述第一二部图和第二二部图中的短连接网络流量帧进行聚合,得到对应的短连接网络流量聚合。
8.根据权利要求6所述的基于间隔时序轨迹特征的TCP短连接的NAT识别***,其特征在于,所述进行聚合包括按照三元组进行聚合划分成多个集合,集合内的每个元素为一个短连接网络流的四元组,每个集合即为一个短连接流量聚合。
9.根据权利要求8所述的基于间隔时序轨迹特征的TCP短连接的NAT识别***,其特征在于,模块M2包括:
模块M2.1:将每个短连接流量聚合内的短连接网络流按照四元组的发生时间进行升序排序,生成所述短连接流量聚合对应的时序间隔向量;
模块M2.2:将长度为n的滑动窗口在所述时序间隔向量上进行滑动,根据每个滑动串口涵盖的数据得到对应的时序间隔特征,进而得到时序间隔向量对应的时序间隔特征集合。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211730122.7A CN116032851B (zh) | 2022-12-30 | 2022-12-30 | 基于间隔时序轨迹特征的tcp短连接的nat识别方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211730122.7A CN116032851B (zh) | 2022-12-30 | 2022-12-30 | 基于间隔时序轨迹特征的tcp短连接的nat识别方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116032851A true CN116032851A (zh) | 2023-04-28 |
CN116032851B CN116032851B (zh) | 2024-05-14 |
Family
ID=86079572
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211730122.7A Active CN116032851B (zh) | 2022-12-30 | 2022-12-30 | 基于间隔时序轨迹特征的tcp短连接的nat识别方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116032851B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040249974A1 (en) * | 2003-03-31 | 2004-12-09 | Alkhatib Hasan S. | Secure virtual address realm |
US20110185085A1 (en) * | 2009-09-08 | 2011-07-28 | Wichorus, Inc. | Network Address Translation Based on Recorded Application State |
CN102307123A (zh) * | 2011-09-06 | 2012-01-04 | 电子科技大学 | 基于传输层流量特征的nat流量识别方法 |
CN102801824A (zh) * | 2012-08-28 | 2012-11-28 | 山石网科通信技术(北京)有限公司 | Nat设备、napt设备和tcp应用引流的处理方法与处理*** |
CN104580553A (zh) * | 2015-02-03 | 2015-04-29 | 网神信息技术(北京)股份有限公司 | 网络地址转换设备的识别方法和装置 |
JP2017028393A (ja) * | 2015-07-17 | 2017-02-02 | Necエンジニアリング株式会社 | 通信システム、通信装置およびvpn構築方法 |
US9577898B1 (en) * | 2013-12-31 | 2017-02-21 | Narus, Inc. | Identifying IP traffic from multiple hosts behind a network address translation device |
WO2017061895A1 (en) * | 2015-10-09 | 2017-04-13 | Huawei Technologies Co., Ltd. | Method and system for automatic online identification of network traffic patterns |
US9729571B1 (en) * | 2015-07-31 | 2017-08-08 | Amdocs Software Systems Limited | System, method, and computer program for detecting and measuring changes in network behavior of communication networks utilizing real-time clustering algorithms |
US10630567B1 (en) * | 2018-02-05 | 2020-04-21 | Illuminate Technologies, Llc | Methods, systems and computer readable media for monitoring communications networks using cross-correlation of packet flows |
CN111131339A (zh) * | 2020-04-01 | 2020-05-08 | 深圳市云盾科技有限公司 | 一种基于ip标识号的nat设备识别方法及*** |
CN114884918A (zh) * | 2022-05-20 | 2022-08-09 | 深圳铸泰科技有限公司 | 一种基于ip标识号的nat设备识别方法及*** |
CN114979017A (zh) * | 2022-05-19 | 2022-08-30 | 杭州电子科技大学 | 基于工控***原始流量的深度学习协议识别方法及*** |
-
2022
- 2022-12-30 CN CN202211730122.7A patent/CN116032851B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040249974A1 (en) * | 2003-03-31 | 2004-12-09 | Alkhatib Hasan S. | Secure virtual address realm |
US20110185085A1 (en) * | 2009-09-08 | 2011-07-28 | Wichorus, Inc. | Network Address Translation Based on Recorded Application State |
CN102307123A (zh) * | 2011-09-06 | 2012-01-04 | 电子科技大学 | 基于传输层流量特征的nat流量识别方法 |
CN102801824A (zh) * | 2012-08-28 | 2012-11-28 | 山石网科通信技术(北京)有限公司 | Nat设备、napt设备和tcp应用引流的处理方法与处理*** |
US9577898B1 (en) * | 2013-12-31 | 2017-02-21 | Narus, Inc. | Identifying IP traffic from multiple hosts behind a network address translation device |
CN104580553A (zh) * | 2015-02-03 | 2015-04-29 | 网神信息技术(北京)股份有限公司 | 网络地址转换设备的识别方法和装置 |
JP2017028393A (ja) * | 2015-07-17 | 2017-02-02 | Necエンジニアリング株式会社 | 通信システム、通信装置およびvpn構築方法 |
US9729571B1 (en) * | 2015-07-31 | 2017-08-08 | Amdocs Software Systems Limited | System, method, and computer program for detecting and measuring changes in network behavior of communication networks utilizing real-time clustering algorithms |
WO2017061895A1 (en) * | 2015-10-09 | 2017-04-13 | Huawei Technologies Co., Ltd. | Method and system for automatic online identification of network traffic patterns |
US10630567B1 (en) * | 2018-02-05 | 2020-04-21 | Illuminate Technologies, Llc | Methods, systems and computer readable media for monitoring communications networks using cross-correlation of packet flows |
CN111131339A (zh) * | 2020-04-01 | 2020-05-08 | 深圳市云盾科技有限公司 | 一种基于ip标识号的nat设备识别方法及*** |
CN114979017A (zh) * | 2022-05-19 | 2022-08-30 | 杭州电子科技大学 | 基于工控***原始流量的深度学习协议识别方法及*** |
CN114884918A (zh) * | 2022-05-20 | 2022-08-09 | 深圳铸泰科技有限公司 | 一种基于ip标识号的nat设备识别方法及*** |
Non-Patent Citations (4)
Title |
---|
刘翼;嵩天;廖乐健;: "基于时序流的移动流量实时分类方法", 北京理工大学学报, no. 05, 15 May 2018 (2018-05-15) * |
朱洪亮;李锐;辛阳;杨义先;徐国爱;: "基于二值异或群的多轨迹识别算法", 高技术通讯, no. 10 * |
朱洪亮;李锐;辛阳;杨义先;徐国爱;: "基于二值异或群的多轨迹识别算法", 高技术通讯, no. 10, 25 October 2010 (2010-10-25) * |
李洪成;吴晓平;俞艺涵;: "基于多维频繁序列挖掘的攻击轨迹识别方法", 海军工程大学学报, no. 01, 15 February 2018 (2018-02-15) * |
Also Published As
Publication number | Publication date |
---|---|
CN116032851B (zh) | 2024-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2021051561A1 (zh) | 图像分类网络的对抗防御方法、装置、电子设备及计算机可读存储介质 | |
US9652505B2 (en) | Content search pattern matching using deterministic finite automata (DFA) graphs | |
JP6099793B2 (ja) | 1つ以上の画像処理アルゴリズムの自動選択のための方法およびシステム | |
US10114934B2 (en) | Calculating consecutive matches using parallel computing | |
CN110546645A (zh) | 视频识别及训练方法和装置、电子设备和介质 | |
US7308446B1 (en) | Methods and apparatus for regular expression matching | |
CN113364752B (zh) | 一种流量异常检测方法、检测设备及计算机可读存储介质 | |
US20140324900A1 (en) | Intelligent Graph Walking | |
CN107026917A (zh) | 用于消息推送的方法及*** | |
CN113438252B (zh) | 报文访问控制方法、装置、设备及存储介质 | |
US20140280825A1 (en) | Identifying network flows under network address translation | |
CN102111331A (zh) | 一种基于hash表实现的带掩码五元组规则的匹配方法 | |
CN112702235A (zh) | 一种对未知协议自动化逆向分析的方法 | |
US20200334466A1 (en) | Person tracking method, device, electronic device, and computer readable medium | |
WO2020198754A1 (en) | Graph stream mining pipeline for efficient subgraph detection | |
CN116032851B (zh) | 基于间隔时序轨迹特征的tcp短连接的nat识别方法及*** | |
CN115484322A (zh) | 数据包解封装卸载方法、装置、电子设备及存储介质 | |
Lin et al. | Towards oblivious network analysis using generative adversarial networks | |
CN104954415A (zh) | 处理http请求的方法及装置 | |
CN112134732B (zh) | 一种用于DDoS攻击的取证方法及*** | |
WO2014094034A1 (en) | Computer intrusion detection | |
Fan et al. | A malicious traffic detection method based on attention mechanism | |
Tran et al. | Graph Embedding for Graph Neural Network in Intrusion Detection System | |
CN116260855B (zh) | 通信方法、装置、电子设备以及存储介质 | |
US11941626B2 (en) | System and method for associating a cryptocurrency address to a user |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |