[发明专利]基于IPID和概率统计模型的NAT主机个数检测方法

权利要求书

1.一种基于IPID和概率统计模型的NAT主机个数检测方法，其步骤包括：

1)将在监听时间内获取的数据平均分成n份，n为大于1的自然数，每份的时间间隔为d；

2)获取每个时间段d_i里IP数据包的元数据<timestamp,IPID>，且按照时间戳timestamp进行排序；

3)初始化每个时间段d_i里的IPID序列集S_i为空，并给出计算分别属于相邻时间段内的两个序列是否属于同一个序列的阈值；

4)循环遍历每个时间段d_i里的IPID值，根据所述阈值，将所有的IPID值添加到序列集S_i中的合适序列中；

5)根据步骤4)的结果，计算每个时间段d_i里对应的序列总数

6)如果分别属于相邻时间段内的两个序列属于同一个序列，则该两个序列是交叉的，在相邻的两个时间段d_i和d_i+1里，求得交叉序列的个数，进而得到时间段d_i和d_i+1中的交叉序列总数

7)根据步骤5)得到的和步骤6)得到的求得整个监听时间上所有时间段的平均和平均即

8)根据公式求得N作为NAT设备后主机的数量。

2.如权利要求1所述的方法，其特征在于，步骤4)中将IPID值添加到序列集S_i中的方法是：对于元数据v_i，如果序列集S_i中存在一个序列S_j，满足以下条件：

|v_i-v_j|＜gap_lim,|t(v_i)-t(v_j)|＜time_lim，

其中v_j是序列S_j中最后一个元数据，t(v_j)代表其到达时间，gap_lim为判断两个序列是否相近的阈值，time_lim为判定两个序列为相近序列的最大时间间隔，则将v_i添加到序列S_j中；否则建立一个新的序列添加到S_i中。

3.如权利要求1或2所述的方法，其特征在于：设定最小序列长度f_size，步骤5)将S_i中元数据个数小于f_size的序列删除，然后得到每个时间段d_i里对应的序列总数

4.如权利要求3所述的方法，其特征在于，步骤6)中，假设d_i时间段里的一个序列的尾部与d_i+1时间段里的一个序列的头部相近，则称这两个序列是交叉的，即属于同一个序列。

5.如权利要求4所述的方法，其特征在于，对于序列s₁＝[i₁,i₂,...,i_x]和s₂＝[j₁,j₂,...,j_y]，如果|j₁.timestamp-i_x.timestamp|<time_lim&&|j₁.IPID-i_x.IPID|<gap_lim，则称s₁、s₂相近，其中time_lim为判定两个序列为相近序列的最大时间间隔，gap_lim为判断两个序列是否相近的阈值。