[发明专利]一种大型网络地址转换出口判断方法及装置

说明书

本发明实施例提供一种大型网络地址转换出口判断方法及装置，该方法包括：抓取源地址为待分析的IP地址的数据包；记录抓取的数据包的生存时间TTL值；统计至少一段指定时间段内记录的各TTL值的出现频率，确定各TTL值的出现比例；根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口。能够简单、准确的识别是否是大型NAT出口，对抓站、代理服务器等非NAT出口进行及时的排查处理，从而有效的提高网络安全性。

技术领域

本发明涉及网络技术领域，尤指一种大型网络地址转换出口判断方法及装置。

背景技术

随着互联网协议第四版(Internet Protocol version 4，IPv4)日益短缺，使得网络地址转换(Network Address Translation，NAT)，特别是NAT44被越来越广泛的使用，导致大量用户公用一个或少数几个出口互联网协议(Internet Protocol，IP)地址。这时，在大型网站的统计图表中，就能看到一个源IP地址产生了海量的请求。但是，这种现象也可能是代理或者抓站产生的。

目前，还没有有效的区分方式来区分是代理还是抓站产生的海量请求，还是大量用户公用出口产生的海量请求，从而导致网络安全不能得到有效保障，因此，如何区分这种海量请求成为亟待解决的技术问题。

发明内容

本发明实施例提供一种大型网络地址转换出口判断方法及装置，用以解决现有技术中无法区分海量请求产生原因，导致网络安全无法得到有效保障的问题。

一方面，本发明实施例提供了一种大型网络地址转换出口判断方法，包括：

抓取源地址为待分析的IP地址的数据包；

记录抓取的数据包的生存时间TTL值；

统计至少一段指定时间段内记录的各TTL值的出现频率，确定各TTL值的出现比例；

根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口。

在一些可选的实施例中，所述统计至少一段指定时间段内记录的各TTL值的出现频率，确定各TTL值的出现比例，具体包括：

针对一段指定时间段内记录的TTL：

记录所有出现的不同的TTL值，以及每个TTL值出现的次数，制作TTL值和对应出现次数的直方图；

确定各TTL值的出现次数，占所述一段指定时间段内各TTL值的总出现次数的比例。

在一些可选的实施例中，所述根据确定的出现比例与设定的出现比例阈值的关系确定待分析的IP地址是否是网络地址转换NAT出口，包括：

比较确定的出现比例与设定的出现比例阈值的大小，当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时，确定待分析的IP地址不是NAT出口；否则，确定待分析的IP地址是NAT出口；或

获取出现的TTL值的个数并与设定的个数阈值进行比较，以及比较确定的出现比例与设定的出现比例阈值的大小；当出现的TTL值的个数小于设定的个数阈值且当确定的出现比例中至少一个出现比例大于设定的出现比例阈值时，确定待分析的IP地址不是NAT出口；否则，确定待分析的IP地址是NAT出口；或

获取出现的TTL值的个数并与设定的个数阈值进行比较，以及比较确定的出现比例与设定的出现比例阈值的大小；当出现的TTL值的个数小于设定的个数阈值且出现比例大于设定的出现比例阈值的TTL值中最大的至少两个TTL值的出现比例符合设定的出现规律时，确定待分析的IP地址不是NAT出口；否则，确定待分析的IP地址是NAT出口。