本發(fā)明提供一種NAT后主機數(shù)量檢測方法，包括如下步驟：根據(jù)每一種操作系統(tǒng)特征將流量按照操作系統(tǒng)類型進行分類；針對每一類操作系統(tǒng)所對應的流量，確定一個待檢應用程序；針對每一類操作系統(tǒng)對應的流量，統(tǒng)計其對應待檢應用程序包含的TCP長連接，確定每一類操作系統(tǒng)對應的主機數(shù)量；根據(jù)每一類操作系統(tǒng)對應的主機數(shù)量，得到NAT后主機的總數(shù)。本發(fā)明具有檢測精度高、處理速度快、空間占用少、不讀取用戶傳輸?shù)娜魏螖?shù)據(jù)內(nèi)容且充分保護了用戶隱私的優(yōu)點。

技術領域

本發(fā)明涉及網(wǎng)絡測量技術，具體來說，涉及對NAT后主機數(shù)量的被動檢測技術。

背景技術

隨著互聯(lián)網(wǎng)規(guī)模的不斷擴大，IP地址資源變得越來越緊張。為了解決IP地址短缺的問題，因特網(wǎng)工程任務組于1994年提出了網(wǎng)絡地址轉換技術(下稱NAT)。其典型結構如圖1所示，主機在局域網(wǎng)內(nèi)部使用私有地址，而當內(nèi)部節(jié)點要與外部網(wǎng)絡進行通訊時，就在網(wǎng)關處將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)上正常使用。NAT可以使多臺計算機共享internet連接，這一功能很好地解決了公用地址緊缺的問題。

雖然NAT具有緩解IP地址短缺壓力，提高網(wǎng)絡使用的隱私性等優(yōu)點。但由于其改變了數(shù)據(jù)包原有的IP地址信息，所以給網(wǎng)絡的監(jiān)管與統(tǒng)計帶來了嚴重的影響。比如，在統(tǒng)計局域網(wǎng)內(nèi)連接外網(wǎng)的主機數(shù)量方面，由于NAT的采用，我們無法再通過統(tǒng)計IP地址數(shù)的方式來確定連接外網(wǎng)的主機數(shù)量。為了解決這一問題，相關研究人員已經(jīng)設計了一系列的檢測方案，對NAT后主機數(shù)量進行檢測。檢測方案可分為主動檢測和被動檢測兩種。

在現(xiàn)有的被動檢測方法中，比較典型的有IP ID序列法、timestamp檢測法以及cookie檢測法。其中IP ID檢測法利用某些操作系統(tǒng)IP報文中ID字段與所發(fā)IP報文數(shù)目同步遞增的特點，通過檢測網(wǎng)關出口流量中連續(xù)的ID序列段數(shù)目來估計主機數(shù)目。而timestamp檢測法利用不同主機發(fā)出的TCP報文中timestamp字段與接收時間表現(xiàn)出不同的線性關系這一特點，通過計算不同的線性關系數(shù)目來估計主機數(shù)目。對于cookie檢測法，則是通過提取所捕獲http報文的cookie字段，統(tǒng)計同一網(wǎng)站下不同cookie的數(shù)量來估計主機數(shù)目。

以上三種方法雖然經(jīng)過不斷改進，但始終存在一定的局限性。其中，對于IP ID序列法，由于許多操作系統(tǒng)并不按與所發(fā)IP報文數(shù)目同步遞增的方式處理ID字段，且算法本身還會受丟包、延時、序列段交叉的影響，所以難以有效估計NAT后的主機數(shù)目。而對于timestamp檢測法，由于timestamp為TCP報文的選項字段，許多操作系統(tǒng)并不使用，所以也不能得出準確的結果。最后cookie檢測法不僅涉嫌侵犯用戶隱私，同時由于https的廣泛采用，也顯得不適用。通過以上分析，發(fā)明人發(fā)現(xiàn)現(xiàn)有被動檢測手段在檢測NAT后主機數(shù)目方面均存在一定的缺陷，因此，設計一種新的被動檢測方案來對NAT后主機數(shù)目進行精準有效的估計是非常必要的。

發(fā)明內(nèi)容

因此，為了達到上述目的，本發(fā)明提供一種新的NAT后主機數(shù)量檢測方法，更加精準有效的估計NAT后主機。

本發(fā)明的目的是通過以下技術方案實現(xiàn)的：

本發(fā)明的一種NAT后主機數(shù)量檢測方法，包括如下步驟：

S1、根據(jù)每一種操作系統(tǒng)特征將流量按照操作系統(tǒng)類型進行分類；此處的操作系統(tǒng)特征采用的是操作系統(tǒng)指紋特征，每一類操作系統(tǒng)指紋特征是指在網(wǎng)絡數(shù)據(jù)包中能標志發(fā)送方所安裝的操作系統(tǒng)類型的信息，一般情況下，操作系統(tǒng)指紋特征采用IP報文值與TCP報文窗口大小值的組合，因為每一類操作系統(tǒng)對應的IP報文值與TCP報文窗口大小值各不相同，所以以IP報文值與TCP報文窗口大小值的組合作為識別操作系統(tǒng)的指紋特征。

S2、針對每一類操作系統(tǒng)所對應的流量，確定一個待檢應用程序；根據(jù)部署環(huán)境，選擇用戶使用量第一的應用程序作為此類操作系統(tǒng)的待檢應用程序。