[发明专利]一种NAT后主机数量检测方法

说明书

本发明提供一种NAT后主机数量检测方法，包括如下步骤：根据每一种操作系统特征将流量按照操作系统类型进行分类；针对每一类操作系统所对应的流量，确定一个待检应用程序；针对每一类操作系统对应的流量，统计其对应待检应用程序包含的TCP长连接，确定每一类操作系统对应的主机数量；根据每一类操作系统对应的主机数量，得到NAT后主机的总数。本发明具有检测精度高、处理速度快、空间占用少、不读取用户传输的任何数据内容且充分保护了用户隐私的优点。

技术领域

本发明涉及网络测量技术，具体来说，涉及对NAT后主机数量的被动检测技术。

背景技术

随着互联网规模的不断扩大，IP地址资源变得越来越紧张。为了解决IP地址短缺的问题，因特网工程任务组于1994年提出了网络地址转换技术(下称NAT)。其典型结构如图1所示，主机在局域网内部使用私有地址，而当内部节点要与外部网络进行通讯时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用。NAT可以使多台计算机共享internet连接，这一功能很好地解决了公用地址紧缺的问题。

虽然NAT具有缓解IP地址短缺压力，提高网络使用的隐私性等优点。但由于其改变了数据包原有的IP地址信息，所以给网络的监管与统计带来了严重的影响。比如，在统计局域网内连接外网的主机数量方面，由于NAT的采用，我们无法再通过统计IP地址数的方式来确定连接外网的主机数量。为了解决这一问题，相关研究人员已经设计了一系列的检测方案，对NAT后主机数量进行检测。检测方案可分为主动检测和被动检测两种。

在现有的被动检测方法中，比较典型的有IP ID序列法、timestamp检测法以及cookie检测法。其中IP ID检测法利用某些操作系统IP报文中ID字段与所发IP报文数目同步递增的特点，通过检测网关出口流量中连续的ID序列段数目来估计主机数目。而timestamp检测法利用不同主机发出的TCP报文中timestamp字段与接收时间表现出不同的线性关系这一特点，通过计算不同的线性关系数目来估计主机数目。对于cookie检测法，则是通过提取所捕获http报文的cookie字段，统计同一网站下不同cookie的数量来估计主机数目。

以上三种方法虽然经过不断改进，但始终存在一定的局限性。其中，对于IP ID序列法，由于许多操作系统并不按与所发IP报文数目同步递增的方式处理ID字段，且算法本身还会受丢包、延时、序列段交叉的影响，所以难以有效估计NAT后的主机数目。而对于timestamp检测法，由于timestamp为TCP报文的选项字段，许多操作系统并不使用，所以也不能得出准确的结果。最后cookie检测法不仅涉嫌侵犯用户隐私，同时由于https的广泛采用，也显得不适用。通过以上分析，发明人发现现有被动检测手段在检测NAT后主机数目方面均存在一定的缺陷，因此，设计一种新的被动检测方案来对NAT后主机数目进行精准有效的估计是非常必要的。

发明内容

因此，为了达到上述目的，本发明提供一种新的NAT后主机数量检测方法，更加精准有效的估计NAT后主机。

本发明的目的是通过以下技术方案实现的：

本发明的一种NAT后主机数量检测方法，包括如下步骤：

S1、根据每一种操作系统特征将流量按照操作系统类型进行分类；此处的操作系统特征采用的是操作系统指纹特征，每一类操作系统指纹特征是指在网络数据包中能标志发送方所安装的操作系统类型的信息，一般情况下，操作系统指纹特征采用IP报文值与TCP报文窗口大小值的组合，因为每一类操作系统对应的IP报文值与TCP报文窗口大小值各不相同，所以以IP报文值与TCP报文窗口大小值的组合作为识别操作系统的指纹特征。

S2、针对每一类操作系统所对应的流量，确定一个待检应用程序；根据部署环境，选择用户使用量第一的应用程序作为此类操作系统的待检应用程序。