[发明专利]一种基于即时通讯应用的NAT检测方法及系统

说明书

本发明涉及一种基于即时通讯应用的NAT检测方法及系统，采用实时数据采集，QQ应用识别，QQ应用分析，针对同一IP，若一段时间间隔内同时存在PC端和移动端的QQ日志记录，则可准确的判断该设备为NAT设备，该方法不依赖于某个特定的操作系统，覆盖范围广，识别率高，操作简便。

技术领域

本发明涉及通信网络技术领域，具体涉及一种基于即时通讯应用的NAT检测方法。

背景技术

随着电子技术和网络技术的发展，越来越多的终端设备接入到互联网中。NAT(Network Address Translation)技术的出现，缓解了当前IPv4地址不足的难题，为家庭、学校、公司等用户提供了便捷的上网方法。该技术在给用户提供方便的同时，给网络运营商和监管部门也带来了困扰。一方面，存在多用户私自共享上网或者经营黑网吧逃避监管；另一方面，NAT技术增加了使用被动流量进行个性化网络服务及非法用户追踪的难度。于此，对NAT后主机进行检测和准确定位是保障信息安全，减少运营商额外经营成本等急需解决的技术问题，本文提出一种基于即时通讯应用的NAT检测方法。

现有技术中，对于NAT检测技术，根据检测技术的特点，主要分为两种类型:一是协议分析检测法，二是应用层特征检测法。协议分析检测法：该方法主要是利用分析数据链路层、网络层、传输层的协议字段来进行NAT的检测识别，比如比较流行的IPID、TTL；应用层特征检测法：用于检测各种应用层数据报文特征，从而区别标识不同的主机，常用方法有CookieID和UserAgent。

IPID指的是IP报文首部标识域，用来唯一标识一个ip报文。windows操作系统将IPID作为一个计数器，主机每发出一个数据包，IPID值增加1，根据指定IP地址主机发出的数据包的IPID值有多少个连续的轨迹，则判定有多少个主机设备。其缺点在于指定为windows操作系统的主机，设备覆盖面小。对于移动端的设备检测将是很大的遗漏，且现有NAT设备具备修改IPID值的手段，所以此方法适用局限性大，容易失效。

TTL(生存时间，Time TO Live)值是IP协议包中的一个8位字段，它表示该数据包的生存时间。根据TCP/IP协议，数据包每通过一个三层网络设备IP包头中的TTL字段值就会自动减1。通常操作系统的TTL值都是固定的，一般windows操作系统的值为128。NAT的判断依据为数据包通过NAT设备的TTL值会比同等条件下未通过NAT设备的值小1。其缺点在于完全依赖于TTL字段值，当设备能够修改该TTL字段值，或者由于不同操作系统的TTL不同，这都会影响到检测结果。

Cookie ID技术是为了解决HTTP无状态性的手段之一，cookie存放于客户端，让服务器读取cookie中的信息，维持服务器和客户端之间的会话。不同的用户在浏览网页时会产生不同的cookie，统计cookie信息，根据cookie ID值的不同，便可推测NAT后主机数目。此方法受用户上网行为影响较大，用户访问网站的行为是随机的，会产生各样的cookie ID值，不便于cookie ID值的统计，或者对于担心隐私泄露的用户则会关闭cookie功能，则方法失效。

UserAgent声明了浏览器用于HTTP请求的用户代理头的值，使得服务器能够识别客户使用的操作系统及版本、浏览器及版本、CPU类型等。因此应用层数据报文中的HTTP报头中的UserAgent字段因操作系统版本、浏览器版本和补丁的差异而不尽相同，通过分析HTTP报头中的该字段可以确定NAT设备后的主机数。缺点是:该方法会因操作系统、浏览器的使用情况产生误判，比如一台主机开启两个浏览器就会影响检测效果。

综上所述，目前还没有基于即时通讯应用的NAT检测方法。

发明内容

有鉴于此，本发明提供一种基于即时通讯应用的NAT检测方法及系统。

为了实现上述目的，本发明采取的技术方案如下：

本发明公开一种基于即时通讯应用的NAT检测方法，