技術領域

本發明涉及一種大規模流量中基于cookieID的NAT識別方法。

背景技術

目前主流NAT(Network Address Translation，網絡地址轉換)識別方法主要采用被動檢測方法，其方法是通過被動監聽網絡數據流量，分析數據包的源信息(源IP、源PORT、目的IP、目的PORT)、及內容信息來進行用戶身份判斷。從而佐證源IP是否是NAT網關。如果推測源IP為NAT網關，后繼可判定其規模大小。根據各種識別方法的不同特點，大致上可以把現有的NAT被動檢測方法分為兩個大的類別，分別為：基于TCP/IP協議特征字段的識別方法、基于應用層信息的識別方法。

無論是基于TCP/IP協議特征字段識別還是基于應用層信息識別都是基于外顯特征、協議特點等對NAT網關進行有效識別。在大數據時代的今天，這種基于特征的檢測手段對計算資源消耗巨大。而本檢測方法適用于大規模流量中基于cookieID與用戶源信息關聯的手段對NAT網關進行識別。

在HTTP協議中，為了便于Web網站辨別用戶身份，從而有效地處理客戶端與Web服務器之間的狀態信息或內容信息，定義了一個cookie數據值。當用戶瀏覽某個網站時，Web服務器將生成一個包含有用戶ID、時間日期等信息的Cookie值，并將該Cookie值連同用戶訪問的相應內容一并返回給請求訪問的瀏覽器，瀏覽器則將其存儲于用戶本地的終端中。當下次該用戶再次瀏覽同一個網站時，用戶會將上次保存在本地的Cookie值一并發送，網站通過該Cookie值便可以得到用戶信息了。一般情況下，對于首次訪問該網站的用戶，Web服務器會在Cookie值中設置一個有效期。在有效期內，同一個網站下不同的用戶的Cookie值中的用戶ID是不同的。運營商經常利用一些知名網站的Cookie ID來對動態主機、NAT主機進行標識，進而做一些與網絡測量、優化服務等相關的工作。

發明內容

針對現有技術中存在的技術問題，本發明的目的在于提供一種大規模流量中基于cookieID的NAT識別方法

本發明從已知的NAT檢測方法出發，通過對網絡數據包應用層信息中的cookieID進行識別，不僅能對NAT屬性進行識別，而且能夠對NAT規模進行判定。

本發明的技術方案為：

一種大規模流量中基于cookieID的NAT識別方法，其步驟為：

1)解析網絡數據包，從網絡數據包中提取完整源信息、UserAgent、cookieID并入庫；

2)計算該庫中相同源IP、目的IP的cookieID數量，以及計算該庫中相同源IP、目的IP的UserAgent數量；

3)根據步驟2)的計算結果識別出NAT網關及NAT網關的用戶規模。

將相同源IP、目的IP的cookieID數量排序靠前的源IP識別為NAT網關，將該源IP、目的IP對應的UserAgent數量識別為該NAT網關的用戶規模。

利用Hash計算相同源IP、目的IP的cookieID數量并進行排序；其中，以源IP、目的IP作Key，計算cookieID數量。

利用Hash計算相同源IP、目的IP的cookieID數量并進行排序；其中，以源IP、目的IP和cookieID作Key，計算cookieID數量。

利用Hash計算相同源IP、目的IP的UserAgent數量并進行排序；其中，以源IP、目的IP作Key，計算UserAgent數量。

利用Hash計算相同源IP、目的IP的UserAgent數量并進行排序；其中，以源IP、目的IP和UserAgent作Key，計算UserAgent數量。

所述完整源信息包含源IP、源PORT、目的IP、目的PORT。

所述步驟2)中，首先利用源PORT、目的PORT對庫中的信息進行過濾，然后計算該庫中相同源IP、目的IP的cookieID數量，以及計算該庫中相同源IP、目的IP的UserAgent數量。

與現有技術相比，本發明的積極效果為：

本發明主要的優勢在于：能夠更快識別出NAT，以及對NAT規模進行判定。使用CookieID能準確識別出NAT；使用User-Agent能準確計算出NAT規模；使用國內外知名網站CookieID能對國內外NAT進行識別。

本發明根據網絡數據包應用層信息中的cookieID進行識別NAT。