[发明专利]一种基于多路径报文检测分析的NAT关联检测方法

权利要求书

1.一种基于多路径报文检测分析的NAT关联检测方法，其特征在于，包括以下步骤：

S1、解析pcap格式的网络报文文件，获取源MAC地址、目的MAC地址、以太网类型、五元组、TTL、TCPsequence序列号、TCP ack序列号、TCP Flag、Payload数据长度，以及捕获报文时的时间戳；并根据捕获报文时的时间戳设置该报文的报文ID；

S2、对于TCP协议报文和UDP协议报文，判断是否可以根据其五元组在内存报文流数据结构中查找到其所属的流，若是则获取并进入步骤S4，否则进入步骤S3；

S3、将该报文的五元组为基础数据添加至内存中，并根据该报文的长度设置其所属流的接收总字节和发送总字节，根据该报文的捕获时间设置其所属流ID和流的起始时间戳；设置这个报文在这条流的发送次序和接收次序，进入步骤S5；

S4、将该报文所属流的接收总字节或发送总字节与该报文的长度相加，并设置该报文在这条流的发送次序和接收次序；

S5、将TCP协议报文和UDP协议报文解析得到的数据、所属的流ID和TCP协议报文与UDP协议报文被捕获时的时间戳保存至数据库中，使每条记录对应一条报文，即报文记录；将内存报文流数据结构中的每一条流的数据添加到数据库中，使每条记录对应一条流；

S6、对数据库中的所有流按照流ID升序进行排序，判断两两相邻的流的起始时间戳差值是否在第一时差阈值内，若是则进入步骤S7，否则判定该两条流不是NAT关联的流；

S7、判断该两条流的L4层协议是否相同，若是则将该两条流作为关联流组合并进入步骤S8，否则判定该两条流不是NAT关联的流；

S8、从数据库中获取流发送次序和流接收次序小于次序阈值、且非重传的报文记录，并将获取的报文记录按照流ID和报文ID进行升序排序；

S9、对于步骤S8中得到的报文记录，从第一个报文开始将其流ID与关联流组合中的流ID进行比较，取出该报文序列中流ID等于关联流组合的流ID的2组报文；

S10、对比步骤S9中同时取出的2组报文的长度和Payload净荷指纹特征值是否都相同，若是则进入步骤S11，否则判定该两条流不是NAT关联的流；

S11、判断步骤S9中同时取出的2组报文的时间戳差值是否在第二时差阈值内，若是则判定该两条流是NAT关联的流；否则判定该两条流不是NAT关联的流。

2.根据权利要求1所述的基于多路径报文检测分析的NAT关联检测方法，其特征在于，所述步骤S11之后还包括步骤S12：

比较该2组报文的IP地址和TCP/UDP端口，若源IP地址和源端口均相同，则判定为DNAT关联；若目的IP地址和目的端口相同，则判定为SNAT关联。

3.根据权利要求1所述的基于多路径报文检测分析的NAT关联检测方法，其特征在于，所述步骤S1中根据捕获报文时的时间戳设置该报文的报文ID的具体方法为：

将该报文的捕获时间戳的秒数乘以1000000000后加上该报文的序号作为该报文的ID，即报文ID为64位无符号数；捕获时间戳的秒数即POSIX时间；报文的序号从1递增。

4.根据权利要求1所述的基于多路径报文检测分析的NAT关联检测方法，其特征在于，所述步骤S3中根据该报文的捕获时间设置其所属流ID和流的起始时间戳的具体方法为：

将该报文的捕获时间戳的秒数乘以1000000000后加上该条流的序号作为该条流的流ID，即流ID为64位无符号数；其中捕获时间戳的秒数即POSIX时间；流的序号从1递增。

5.根据权利要求1所述的基于多路径报文检测分析的NAT关联检测方法，其特征在于，所述步骤S6中第一时差阈值为10ms。

6.根据权利要求1所述的基于多路径报文检测分析的NAT关联检测方法，其特征在于，所述步骤S8中的次序阈值为5。

7.根据权利要求1所述的基于多路径报文检测分析的NAT关联检测方法，其特征在于，所述步骤S10中Payload净荷指纹特征值为Payload数据前80个字节的MD5 Hash值。

8.根据权利要求1所述的基于多路径报文检测分析的NAT关联检测方法，其特征在于，所述步骤S11中第二时差阈值为10ms。