[发明专利]基于无线网络接入点的NAT设备检测方法及系统

权利要求书

1.一种基于无线网络接入点的NAT设备检测方法，其特征在于，包括以下步骤：

接收镜像流量服务器在网络汇聚层中采集到的所有TCP协议的第一次握手流量包；

分别提取出每个第一次握手流量包中源IP、发包时间以及源端口号，作为一个三元组数据；

将得到的三元组数据划分为至少一个小分组，对得到的小分组进行过滤；

依次比较过滤后相邻两个小分组中三元组数据在时间维度上是否存在重叠部分，根据比较结果判断是否存在NAT设备；

所述将得到的三元组数据划分为至少一个小分组具体包括：

将所述得到的三元组数据按照源IP进行分组，得到至少一个小组；每个小组内的三元组数据按照时间先后顺序排列；

将同一个小组中三元组数据划分成至少一个以端口号间隔和时间间隔为约束限制的所述小分组；

所述依次比较过滤后相邻两个小分组中三元组数据在时间维度上是否存在重叠部分，根据比较结果判断是否存在NAT设备具体包括：

将相邻两个小分组中的前一个小分组中的三元组数据按时间先后顺序进行升序排序；

根据前一个小分组中前1/4三元组数据的发包时间求取平均值，得到最小平均时间值；

根据前一个小分组中最后1/4三元组数据的发包时间求取平均值，得到最大平均时间值；

统计相邻两个小分组中后一个小分组的发包时间落入最小平均时间值到最大平均时间值之间的三元组数据的数量，定义为重叠数量C；

如果Cmin(len(gi)/2,len(gi+1)/2)，则认为这两个小分组有重叠，该小分组对应的源IP下存在NAT设备；其中len(gi)为前一个小分组中三元组数据的数量，len(gi+1)为后一个小分组中三元组数据的数量，min为求取最小值运算。

2.根据权利要求1所述基于无线网络接入点的NAT设备检测方法，其特征在于，所述将同一个小组中三元组数据划分成以端口号间隔和时间间隔为约束限制的所述小分组具体包括：

A1：获取小组中所有的三元组数据；

A2：根据小组中第一个三元组数据建立第一个小分组；

A3：判断是否存在下一个三元组数据，如果不存在，流程结束；如果存在，执行步骤A4；

A4：判断下一个三元组数据中的源端口号是否被遍历过；如果是，丢弃该三元组数据，返回步骤A3；如果不是，执行步骤A5；

A5：依次将该三元组数据分别与已建立的小分组中时间最近的三元组数据进行比较，判断这两个三元组数据中源端口号间隔的绝对值是否小于预设的超参数P、且发包时间的时间间隔的绝对值是否小于预设的超参数T；如果是，执行步骤A6；如果不是，执行步骤A7；

A6：将该三元组数据加入该小分组，返回步骤A3；

A7：根据该三元组数据建立下一个小分组，返回步骤A3。

3.根据权利要求2所述基于无线网络接入点的NAT设备检测方法，其特征在于，所述对得到的小分组进行过滤具体包括：

当得到的小分组中三元组数据的数量小于预设的超参数N，舍弃该小分组。

4.根据权利要求2所述基于无线网络接入点的NAT设备检测方法，其特征在于，该方法在所述对得到的小分组进行过滤之后，还包括：

如果同一小组中划分得到的小分组的数量为1，判定该源IP下不存在NAT设备。