首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

一种基于NTP流量特征的NAT局域网设备探测方法 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

申请/专利权人:中国科学技术大学

摘要:本发明提出了一种基于NTP流量特征的NAT局域网设备探测方法,属于设备审计领域。所述方法包括:1)流量收集模块在网络出口处收集目标网络中的NTP数据包,并对数据包进行分析处理形成访问记录;2)分析访问记录中的字段信息来得出该记录的访问特征;3)根据特征匹配方式的不同将访问记录分成不同处理方式的访问记录类,并对不同类的访问记录进行匹配来形成对应主机的访问记录链;4)通过对应访问记录形成的访问记录链的方式来得出目标网络中的主机类型和数量。所述方法为一种轻量化方案,无需复杂数据处理分析,能够有效减少计算开销,以适应更高带宽场景下的网络探测需求。

主权项:1.一种基于NTP流量特征的NAT局域网设备探测方法,其特征在于,所述方法包括如下步骤,步骤S1,流量收集模块在目标NAT局域网外部采集目标IP对外发出的NTP协议报文,所述目标IP表示目标NAT局域网的外部IP地址;步骤S2,流量处理模块分析NTP协议报文中的工作模式、传输时间戳、对端报文发起时间戳、服务器接受请求时间戳、轮询间隔字段,对上述字段进行有效性分析,将异常NTP协议报文排除;并根据上述字段将NTP请求报文和NTP响应报文成对匹配,形成有效访问记录;步骤S3,流量处理模块对有效访问记录进行数据预处理,计算有效访问记录的如下访问特征:客户端发送请求时间、轮询间隔、NTP服务器域名;步骤S4,流量处理模块将有效访问记录和已有的访问记录链进行匹配和分类,如果有效访问记录和某条已有的访问记录链存在匹配关系,则将有效访问记录合并到匹配的已有的访问记录链中;其中,已有的访问记录链初始状态为一条有效访问记录,随着匹配过程中新的有效访问记录的合并,更新为按时间顺序排列的多条有效访问记录的列表;如果有效访问记录和所有已有的访问记录链不存在匹配关系,则将该有效访问记录单独形成一个新的访问记录链,表征识别一个新的设备;其中,按如下三类特征匹配的规则进行有效访问记录和已有的访问记录链的匹配:信息记录类、时间间隔类和其他类;步骤S5,统计分析模块根据形成的访问记录链的数量推断该目标IP中活跃设备的数量;如果活跃的设备数量大于1,则证实该目标IP是一个NAT网关设备的公网IP,对应一个目标NAT局域网;根据访问记录链中NTP服务器域名信息,通过查询对应指纹数据库推断该访问记录链对应主机的设备类型;所述步骤S4包括:步骤S4.1,信息记录类的匹配方法包括,判断有效访问记录和某条已有的访问记录链之间的时间戳是否具备对应关系;步骤S4.2,时间间隔类的匹配方法包括,根据每条已有的访问记录链中的NTP请求报文的客户端发送请求时间、轮询间隔信息,预测设备下一次发出NTP请求报文的时间;如果一条有效访问记录所对应NTP请求报文的发出时间和某条已有的访问记录链所预测的下一次NTP请求报文的发出时间一致,则认为是同一设备发出的NTP请求报文;步骤S4.3,其他类的匹配方法包括,根据每条已有的访问记录链中的访问记录数量和NTP服务器域名,查找相应的指纹数据库来推断当前每条已有的访问记录链的预测时间间隔;同时,通过每条已有的访问记录链中NTP请求报文的客户端发送请求时间、预测时间间隔信息,预测每条已有的访问记录链对应设备的下一次NTP请求报文发出时间;如果一条有效访问记录所对应NTP请求报文的发出时间和某条已有的访问记录链所预测的下一次NTP请求报文发出时间一致,则认为是同一设备发出的NTP请求报文。

全文数据:

权利要求:

百度查询: 中国科学技术大学 一种基于NTP流量特征的NAT局域网设备探测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。

相关技术
相关技术
相关技术
相关技术