[发明专利]一种NAT的检测方法、装置、设备及介质

说明书

本申请公开了一种NAT的检测方法、装置、设备及介质，其中，该方法包括：将待检测环境的流量数据作为检测存在NAT的数据来源，在得到流量数据后，从所述流量数据中提取用于表征会话数据唯一性的特征字段，若存在具有相同的通信协议，且具有相同的特征字段的目标会话数据，则确定存在NAT。由此可见，相对于端口转发工具的流量特征而言，用于表征会话数据唯一性的特征字段相对固定，不需要频繁开发新的特征字段，易于维护，维护成本低。此外，本申请所公开的NAT的检测装置、设备及介质，与上述方法对应，效果同上。

技术领域

本申请涉及网络通讯技术领域，特别是涉及一种NAT的检测方法、装置、设备及介质。

背景技术

网络地址转换(Network Address Translation，NAT)是将IP数据包头中的IP地址转换为另一个IP地址的过程。在NAT中，端口转发和端口映射是两种常见的形式。其中，端口转发和端口映射均是将目的为某个地址和端口的网络请求重定向到另一个网络地址和端口。端口映射与端口转发的区别为：端口映射通常不存在隧道技术，不对数据进行处理而直接地将流量重定向到目的地址和端口。端口映射可以分为源地址网络转换(SourceNetwork Address Translation，SNAT)和目的地址网络转换(Destination NetworkAddress Translation，DNAT)，分别是指通过网关或路由器等设备时重写了IP数据包头中的源地址或目的地址。NAT经常被黑客用来进行内网穿透，通过受控制的主机访问其它只在内网开放的敏感服务，对内网安全危害性极大。

目前，为了检测是否存在NAT，通常采用的方法是针对端口转发工具存在的流量特征进行提取，然后利用入侵检测系统进行检测。由于不同的端口转发工具的流量特征不同，当端口转发工具改变，则原流量特征就不再适用，需要开发新的流量特征，需要长期维护，持续投入较高。

由此可见，如何减少长期维护的成本是本领域技术人员系亟待解决的问题。

发明内容

本申请的目的是提供一种NAT的检测方法，所采用得表征会话数据唯一性的特征字段相对固定，不需要频繁开发新的特征字段，易于维护，维护成本低。此外，本申请的目的还提供一种NAT的检测装置、设备及介质。

为解决上述技术问题，本申请提供一种NAT的检测方法，包括：

获取待检测环境的流量数据；

从所述流量数据中提取用于表征会话数据唯一性的特征字段；

若存在具有相同的通信协议，且具有相同的特征字段的目标会话数据，则确定存在NAT。

优选地，所述流量数据为明文流量数据。

优选地，所述从所述流量数据中提取用于表征会话数据唯一性的特征字段包括：

按照所述通信协议的类型将所述流量数据解析为预设结构的数据；

按照所述通信协议的会话格式将所述流量数据划分为多条所述会话数据；其中，所述会话数据包括所述特征字段和会话字段；

根据所述通信协议的类型和所述特征字段的类型的对应关系从所述会话数据中提取所述特征字段。

优选地，在确定存在所述目标会话数据之前，还包括：

利用哈希函数将所述特征字段转换为哈希指纹。

优选地，确定所述目标会话数据的过程包括：

选取一条所述会话数据开始时刻后预设时长范围内的会话数据；

按照具有相同的通信协议和相同的所述哈希指纹的聚合方式将所述会话数据聚合得到会话集合；

选取所述会话集合中包含多条所述会话数据的目标会话集合；