本发明专利技术涉及一种基于即时通讯应用的NAT检测方法及系统,采用实时数据采集,QQ应用识别,QQ应用分析,针对同一IP,若一段时间间隔内同时存在PC端和移动端的QQ日志记录,则可准确的判断该设备为NAT设备,该方法不依赖于某个特定的操作系统,覆盖范围广,识别率高,操作简便。
【技术实现步骤摘要】
一种基于即时通讯应用的NAT检测方法及系统
本专利技术涉及通信网络
,具体涉及一种基于即时通讯应用的NAT检测方法。
技术介绍
随着电子技术和网络技术的发展,越来越多的终端设备接入到互联网中。NAT(NetworkAddressTranslation)技术的出现,缓解了当前IPv4地址不足的难题,为家庭、学校、公司等用户提供了便捷的上网方法。该技术在给用户提供方便的同时,给网络运营商和监管部门也带来了困扰。一方面,存在多用户私自共享上网或者经营黑网吧逃避监管;另一方面,NAT技术增加了使用被动流量进行个性化网络服务及非法用户追踪的难度。于此,对NAT后主机进行检测和准确定位是保障信息安全,减少运营商额外经营成本等急需解决的技术问题,本文提出一种基于即时通讯应用的NAT检测方法。现有技术中,对于NAT检测技术,根据检测技术的特点,主要分为两种类型:一是协议分析检测法,二是应用层特征检测法。协议分析检测法:该方法主要是利用分析数据链路层、网络层、传输层的协议字段来进行NAT的检测识别,比如比较流行的IPID、TTL;应用层特征检测法:用于检测各种应用层数据报文特征,从而区别标识不同的主机,常用方法有CookieID和UserAgent。IPID指的是IP报文首部标识域,用来唯一标识一个ip报文。windows操作系统将IPID作为一个计数器,主机每发出一个数据包,IPID值增加1,根据指定IP地址主机发出的数据包的IPID值有多少个连续的轨迹,则判定有多少个主机设备。其缺点在于指定为windows操作系统的主机,设备覆盖面小。对于移动端的设备检测将是很大的遗漏,且现有NAT设备具备修改IPID值的手段,所以此方法适用局限性大,容易失效。TTL(生存时间,TimeTOLive)值是IP协议包中的一个8位字段,它表示该数据包的生存时间。根据TCP/IP协议,数据包每通过一个三层网络设备IP包头中的TTL字段值就会自动减1。通常操作系统的TTL值都是固定的,一般windows操作系统的值为128。NAT的判断依据为数据包通过NAT设备的TTL值会比同等条件下未通过NAT设备的值小1。其缺点在于完全依赖于TTL字段值,当设备能够修改该TTL字段值,或者由于不同操作系统的TTL不同,这都会影响到检测结果。CookieID技术是为了解决HTTP无状态性的手段之一,cookie存放于客户端,让服务器读取cookie中的信息,维持服务器和客户端之间的会话。不同的用户在浏览网页时会产生不同的cookie,统计cookie信息,根据cookieID值的不同,便可推测NAT后主机数目。此方法受用户上网行为影响较大,用户访问网站的行为是随机的,会产生各样的cookieID值,不便于cookieID值的统计,或者对于担心隐私泄露的用户则会关闭cookie功能,则方法失效。UserAgent声明了浏览器用于HTTP请求的用户代理头的值,使得服务器能够识别客户使用的操作系统及版本、浏览器及版本、CPU类型等。因此应用层数据报文中的HTTP报头中的UserAgent字段因操作系统版本、浏览器版本和补丁的差异而不尽相同,通过分析HTTP报头中的该字段可以确定NAT设备后的主机数。缺点是:该方法会因操作系统、浏览器的使用情况产生误判,比如一台主机开启两个浏览器就会影响检测效果。综上所述,目前还没有基于即时通讯应用的NAT检测方法。
技术实现思路
有鉴于此,本专利技术提供一种基于即时通讯应用的NAT检测方法及系统。为了实现上述目的,本专利技术采取的技术方案如下:本专利技术公开一种基于即时通讯应用的NAT检测方法,所述方法步骤如下:1)采集网络环境中终端主机的流量数据;2)将采集的流量数据用于设备端QQ应用特征匹配;3)对满足匹配规则的流量数据,制定设备端QQ应用触发事件与QQ脚本解析策略,生成QQ日志记录;4)对同一IP同一段时间间隔存在设备端的QQ日志记录进行判断。在上述技术方案中,所述步骤2)所述设备端QQ应用是PC端QQ应用与移动端QQ应用,利用其端口与信道的区别,根据不同的匹配规则进行匹配。在上述技术方案中,所述PC端与移动端QQ应用端口与信道经实验验证分析,PC机常用udp/8000通信,协议标识符为0x02,移动设备常用tcp/8080、tcp/80、tcp/443通信,协议标识符为0x00。在上述技术方案中,所述PC端与移动端的QQ应用的差别,分别定义不同的数据结构,PC端定义标识符、版本号、操作符、序列号、QQ账号,移动端定义标识符、版本号、操作符、序列号、QQ号长度、QQ账号;本专利技术还公开一种基于即时通讯应用的NAT检测系统,所述系统包括以下模块:采集模块,采集网络环境中终端主机的流量数据;匹配模块,将采集的流量数据用于设备端QQ应用特征匹配;解析生成日志模块,对满足匹配规则的流量数据,制定设备端QQ应用触发事件与QQ脚本解析策略,生成QQ日志记录;判断模块,对同一IP同一段时间间隔存在设备端的QQ日志记录进行判断。在上述技术方案中,所述匹配模块中设备端QQ应用是PC端QQ应用与移动端QQ应用,利用其端口与信道的区别,根据不同的匹配规则进行匹配。在上述技术方案中,所述PC端与移动端QQ应用端口与信道经实验验证分析,PC机常用udp/8000通信,协议标识符为0x02,移动设备常用tcp/8080、tcp/80、tcp/443通信,协议标识符为0x00。在上述技术方案中,所述PC端与移动端的QQ应用的差别,分别定义不同的数据结构,PC端定义标识符、版本号、操作符、序列号、QQ账号,移动端定义标识符、版本号、操作符、序列号、QQ号长度、QQ账号;本专利技术一种基于即时通讯应用的NAT检测方法及系统,具有以下有益效果:该方法不局限于操作系统,能够大范围的覆盖用户所选择的设备类型,同时采用对应用层应用识别分析,其优势在于:(1)NAT网关很难修改应用层信息;(2)主机用户很难修改源码信息避开检测;(3)应用开发人员没有直接动机修改特征避开检测。用QQ应用作为检测对象,其优势在于:(1)QQ应用的在线时间长,用户量大,可以被唯一标识。(2)QQ应用有通用信道,有容易被标识的特征,容易被检测和识别。(3)QQ应用适合在各种各样的终端同时登陆,涉及的设备类型广,相比传统识别方法,本方法局限性小,操作简便,依赖条件少,识别率高。附图说明图1为本专利技术一种基于即时通讯的NAT检测方法示意图图2为本专利技术一种基于即时通讯的NAT检测系统模块图具体实施方式下面结合附图对本专利技术作进一步详细描述如图1所示一种基于即时通讯应用的NAT检测方法所述方法步骤如下:步骤1)采集网络环境中终端主机的流量数据;具体的,采集的是整个网络环境中的网络数据包。步骤2)将采集的流量数据用于设备端QQ应用特征匹配;具体的,本方法是利用PC端和移动端QQ应用,利用wireshark分别采集PC机和移动设备登录QQ应用时的网络数据包,通过实验验证分析QQ应用的常用信道和端口。实验表明PC机常用udp/8000通信,协议标识符为0x02,移动设备常用tcp/8080、tcp/80、tcp/443通信,协议标识符为0x00。步骤3)对满足匹配规则的流量数据,制定设备端QQ应用触发事件与Q本文档来自技高网...
【技术保护点】
一种基于即时通讯应用的NAT检测方法,其特征在于:所述方法步骤如下:步骤1)采集网络环境中终端主机的流量数据;步骤2)将采集的流量数据用于设备端QQ应用特征匹配;步骤3)对满足匹配规则的流量数据,制定设备端的QQ应用触发事件与QQ脚本解析策略,生成QQ日志记录;步骤4)对同一IP同一段时间间隔存在设备端的QQ日志记录进行判断。
【技术特征摘要】
1.一种基于即时通讯应用的NAT检测方法,其特征在于:所述方法步骤如下:步骤1)采集网络环境中终端主机的流量数据;步骤2)将采集的流量数据用于设备端QQ应用特征匹配;步骤3)对满足匹配规则的流量数据,制定设备端的QQ应用触发事件与QQ脚本解析策略,生成QQ日志记录;步骤4)对同一IP同一段时间间隔存在设备端的QQ日志记录进行判断。2.根据权利要求1所述一种基于即时通讯应用的NAT检测方法,其特征在于:所述步骤2)所述设备端QQ应用是PC端QQ应用与移动端QQ应用,利用其端口与信道的区别,根据不同的匹配规则进行匹配。3.根据权利要求2所述一种基于即时通讯应用的NAT检测方法,其特征在于:所述PC端与移动端QQ应用端口与信道经实验验证分析,PC机常用udp/8000通信,协议标识符为0x02,移动设备常用tcp/8080、tcp/80、tcp/443通信,协议标识符为0x00。4.根据权利要求3所述一种基于即时通讯应用的NAT检测方法,其特征在于:所述PC端与移动端的QQ应用的差别,分别定义不同的数据结构,PC端定义标识符、版本号、操作符、序列号、QQ账号,移动端定义标识符、版本号、操作符、序列号、QQ号长度、QQ账号。5.一种基...
【专利技术属性】
技术研发人员:朱国胜,雷龙飞,祁小云,陈胜,石志凯,镇佳,吴善超,吴梦宇,
申请(专利权)人:湖北大学,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。