[发明专利]一种NAT环境下的网络流量分类方法

权利要求书

1.一种NAT环境下的网络流量分类方法，其特征在于：所述分类方法包括：

S1、将待分类的网络流量基于IP地址进行分类，形成所有IP与其所属流的关系映射集合；

S2、从关系映射集合中任意一个元素并遍历其所有的流，得到发送流集合和响应流集合；

S3、分别遍历发送流集合和响应流集合生成设备指纹，并归类设备指纹及其所属流形成发送设备指纹集合和响应指纹集合；

S4、从所述发送设备指纹集合中取出任意一个元素的设备指纹，生成该元素响应方向的设备响应指纹，以该响应指纹与所述响应指纹集合进行匹配，取出匹配成功的元素并构成设备指纹与所属流的关系映射；

S5、遍历发送指纹集合，形成设备指纹列表；

S6、遍历关系映射集合中所有元素，并依次执行步骤S2-S5，得到IP、设备指纹和所属流的映射集合；

所述将待分类的网络流量基于IP地址进行分类，形成所有IP与其所属流的关系映射集合包括：

S11、将待分类的网络流量以流为单位，基于IP地址进行分类，形成某个IP与其所属流sn的关系映射ip_m={IP:[s1,s2,…,sn]}；

S12、分类完成后，带分类的网络流量形成所有IP与其所属流的关系映射集合S={ip_m1，ip_m2，…，ip_mn}；

所述从关系映射集合中任意一个元素并遍历其所有的流，得到发送流集合和响应流集合包括：

S21、从关系映射集合S中取出任意一个元素ip_m，遍历元素ip_m中的所有流；

S22、基于元素所属IP在流中的方向，将流分为发送流集合ip_ms={s_s1,s_s2, …, s_sn}和响应流集合ip_mr={s_r1,s_r2, …,s_rn}；

所述分别遍历发送流集合和响应流集合生成设备指纹，并归类设备指纹及其所属流形成发送设备指纹集合和响应指纹集合包括：

S31、分别遍历发送流集合ip_ms和响应流集合ip_mr，从每条流的元素所属IP发送的第一个包中提取协议栈信息生成设备指纹f；

S32、遍历完成后，归类设备指纹f及其所属流，分别形成发送设备指纹f_s与所属流的关系映射f_sm={f_s:[s_s1,s_s2, …,s_sn]}与响应设备指纹f_r与所属流的关系映射f_rm={f_r:[s_r1,s_r2, …,s_rn]}；

S33、归类完成后，分别形成发送设备指纹集合F_s={f_sm1, f_sm2,…, f_smn}和响应指纹集合F_r={f_rm1,f_rm2,…,f_rmn}；

所述从所述发送指纹集合中取出任意一个元素的设备指纹，生成该元素响应方向的设备响应指纹，以该响应指纹与所述响应指纹集合进行匹配，取出匹配成功的元素并构成设备指纹与所属流的关系映射包括：

S41、从所述发送指纹集合F_s中取出任意一个元素f_sm，并取出元素中的设备指纹f_s；

S42、基于成对指纹的相似性，生成该元素响应方向的设备指纹f_r，并以生成的响应职位f_r为查找键在响应指纹集合F_r中匹配响应指纹；

S43、取出匹配成功的响应指纹集合F_r中对应的元素f_rm，并与f_sm一起构成某个设备完整的设备指纹f与所属流的关系映射f_m={f:[s1,s2, …,sn]}，否则表示该网络流量中不存在该元素的响应方向流，则单独构成设备指纹f与所属流的关系映射f_m={f:[s_s1,s_s2, …,s_sn]}。

2.根据权利要求1所述的一种NAT环境下的网络流量分类方法，其特征在于：所述遍历发送指纹集合，形成设备指纹列表包括：

S51、变量发送指纹集合F_s，完成后与响应指纹集合F_r匹配剩余的f_rm形成设备指纹列表[f_m1, f_m2, …,f_mn]；

S52、最后完成元素ip_m的分类，形成新的元素ip_f_m={IP:[f_m1,f_m2,…,f_mn]}。

3.根据权利要求1或2所述的一种NAT环境下的网络流量分类方法，其特征在于：所述提取的协议栈信息包括IP包头部的TTL、IPID、DF标志位、其他标志、选项长度，TCP头部的序列号、确认序列号、保留位、标志位、窗口大小、所有选项类型。

4.根据权利要求3所述的一种NAT环境下的网络流量分类方法，其特征在于：所述生成设备指纹f的生成方式包括判别IPID、序列号、确认序列号、保留位、标志位是否为空，并将结果按位相或后形成位组合标志，最后将TTL、IP选项长度、TCP窗口大小、TCP选项类型、位组合标志按照一定的顺序排列构成可显示字符串。