路　海　張偉燕　李　芬　王新宇

(1.中國工程物理研究院計(jì)算機(jī)應(yīng)用研究所　綿陽　621900)(2.華中科技大學(xué)計(jì)算機(jī)學(xué)院　武漢　430074)

基于投影尋蹤的NAT識(shí)別技術(shù)

路海1張偉燕1李芬1王新宇2

(1.中國工程物理研究院計(jì)算機(jī)應(yīng)用研究所綿陽621900)(2.華中科技大學(xué)計(jì)算機(jī)學(xué)院武漢430074)

摘要隨著網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)的應(yīng)用越來越普及,緩解了網(wǎng)絡(luò)IP地址枯竭的問題,然而也帶來了一定的安全隱患。因此,有效地識(shí)別NAT變得十分有必要。論文提出一種基于網(wǎng)絡(luò)流量的NAT識(shí)別技術(shù),引入投影尋蹤技術(shù),通過網(wǎng)絡(luò)流量特征對(duì)NAT進(jìn)行識(shí)別。使用基于量子粒子群的投影尋蹤算法,將量子粒子群的全局搜索能力與投影尋蹤對(duì)高維數(shù)據(jù)的降維能力的結(jié)合。核心是獲取網(wǎng)絡(luò)中IP地址設(shè)備的流量特征數(shù)據(jù),通過算法把高維數(shù)據(jù)投影到低維子空間上,從而將NAT設(shè)備與普通設(shè)備分隔開,實(shí)現(xiàn)NAT的識(shí)別。

關(guān)鍵詞網(wǎng)絡(luò)地址轉(zhuǎn)換; 網(wǎng)絡(luò)地址轉(zhuǎn)換識(shí)別; 流量特征; 投影尋蹤; 量子粒子群算法

Class NumberX196

1引言

網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation,NAT)是一種將IP數(shù)據(jù)包中的內(nèi)部私有IP地址與一個(gè)公網(wǎng)IP地址進(jìn)行互相轉(zhuǎn)換的技術(shù),實(shí)質(zhì)是通過動(dòng)態(tài)維護(hù)一個(gè)映射表,將內(nèi)部IP地址及端口映射到外部地址上。NAT技術(shù)有效地解決了IP地址資源匱乏的問題,同時(shí)實(shí)現(xiàn)了私有網(wǎng)絡(luò)與公共網(wǎng)絡(luò)IP地址之前的映射互訪,有效地將內(nèi)外網(wǎng)分隔開來,使得公共外網(wǎng)無法直接訪問局域網(wǎng)內(nèi)的主機(jī),防范了來自公共網(wǎng)絡(luò)的非法攻擊。

NAT技術(shù)實(shí)現(xiàn)的方式有三種:靜態(tài)地址轉(zhuǎn)換(Static NAT)、動(dòng)態(tài)地址轉(zhuǎn)換(Dynamic NAT)以及端口多路復(fù)用(Port Address Translation,PAT)。

然而,NAT技術(shù)使得私有網(wǎng)絡(luò)中的主機(jī)對(duì)于公共網(wǎng)絡(luò)是透明的,無法對(duì)網(wǎng)絡(luò)中的所有設(shè)備用戶進(jìn)行識(shí)別認(rèn)證,對(duì)于網(wǎng)絡(luò)的監(jiān)管帶來了一定的安全隱患,對(duì)網(wǎng)絡(luò)安全帶來了安全威脅。因此很有必要找到一種方法能行之有效地識(shí)別區(qū)分一個(gè)網(wǎng)絡(luò)中是否存在NAT設(shè)備。

NAT流量識(shí)別方法[4]一般采用被動(dòng)檢測(cè)方法,即被動(dòng)收集監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)流量,通過數(shù)據(jù)包的首部或內(nèi)容來進(jìn)行NAT的檢測(cè)。NAT的被動(dòng)檢測(cè)方法大致可以分為兩類:基于TCP/IP協(xié)議特征字段的識(shí)別方法與基于應(yīng)用層信息的識(shí)別方法。

傳統(tǒng)的各種NAT識(shí)別方法依賴于IP數(shù)據(jù)包中的特殊字段,但是這些方法受到了操作系統(tǒng)等諸多制約。因此,本文引入投影尋蹤技術(shù),通過網(wǎng)絡(luò)流量特征對(duì)NAT進(jìn)行識(shí)別。投影尋蹤分析方法[5]的基本原理:其基本思想是利用計(jì)算機(jī)技術(shù),把高維數(shù)據(jù)通過某種組合,投影到低維(1～3維)子空間上,并通過極小化(或極大化)某個(gè)投影指標(biāo),尋找出能反映原高維數(shù)據(jù)結(jié)構(gòu)或特征的投影,在低維空間上對(duì)數(shù)據(jù)結(jié)構(gòu)進(jìn)行分析,以達(dá)到研究和分析高維數(shù)據(jù)的目的。

使用基于量子粒子群的投影尋蹤算法,將量子粒子群的全局搜索能力與投影尋蹤對(duì)高維數(shù)據(jù)的降維能力的結(jié)合。核心是獲取網(wǎng)絡(luò)中IP地址設(shè)備的流量特征數(shù)據(jù),通過算法把高維數(shù)據(jù)投影到低維子空間上,從而將NAT設(shè)備與普通設(shè)備分隔開,實(shí)現(xiàn)NAT的識(shí)別。

2投影尋蹤技術(shù)

2.1粒子群算法

粒子算法(PSO)[12]通過個(gè)體間的競爭與合作來實(shí)現(xiàn)高維空間中最優(yōu)解的搜索,可以解決復(fù)雜的優(yōu)化問題。

PSO算法的基本思想:首先初始化粒子群體,每個(gè)粒子個(gè)體代表該優(yōu)化問題的一個(gè)可行解,并且每一個(gè)粒子個(gè)體都由被優(yōu)化問題的目標(biāo)函數(shù)確定一個(gè)適應(yīng)值。群體中每個(gè)粒子將在解空間中按一個(gè)速度決定粒子的方向和距離規(guī)則運(yùn)動(dòng)。然后粒子們就追隨當(dāng)前的最優(yōu)粒子在解空間中搜索,經(jīng)過多次迭代搜索,最后得到問題的最優(yōu)解。在每一次迭代中,粒子通過跟蹤兩個(gè)“極值”來更新自己。第一個(gè)就是粒子本身所找到的最優(yōu)解,這個(gè)解叫做個(gè)體極值pbest。另一個(gè)極值是整個(gè)種群目前找到的最優(yōu)解,這個(gè)極值是全局極值gbest。

在找到上述兩個(gè)最優(yōu)值時(shí),粒子根據(jù)如下公式更新自己的速度和新的位置:

(1)

(2)

式中,vid為粒子i飛行速度矢量的第d維分量,xid為粒子i位置矢量的第d維分量,c1、c2為常數(shù),稱學(xué)習(xí)因子,分別調(diào)節(jié)向全局最好粒子和個(gè)體最好粒子方向飛行的最大步長,rand()是[0,1]上的隨機(jī)數(shù),w為慣性權(quán)重。

式(1)右邊由三部分組成,第一部分為“慣性”或“動(dòng)量”部分,反映了粒子的運(yùn)動(dòng)“習(xí)慣”,代表粒子有維持自己先前速度的趨勢(shì);第二部分為“認(rèn)知”部分,反映了粒子對(duì)自身歷史經(jīng)驗(yàn)的記憶,代表粒子有向自身歷史最佳位置逼近的趨勢(shì);第三部分為“社會(huì)”部分,反映了粒子間協(xié)同合作與知識(shí)共享的群體歷史經(jīng)驗(yàn),代表粒子有向群體或鄰域歷史最佳位置逼近的趨勢(shì),根據(jù)經(jīng)驗(yàn),通常c1=c2=2,i=1,2,…,D。vid是粒子的速度,vid∈[-vmax,vmax],vmax是常數(shù),由用戶設(shè)定用來限制粒子的速度。rand()是介于[0,1]之間的隨機(jī)數(shù)。

2.2量子粒子群算法

由于在經(jīng)典的PSO系統(tǒng)中,粒子的收斂是以軌道的形式實(shí)現(xiàn)的,并且又由于粒子的速度總是有限的,因此在搜索過程中粒子每個(gè)迭代步的搜索空間是一個(gè)有限的區(qū)域,不能覆蓋整個(gè)可行空間。因此一般的PSO算法不能保證以概率1收斂到全局最優(yōu)解,這正是一般PSO算法的最大缺陷,而在量子空間中,粒子的聚集性通過在粒子運(yùn)動(dòng)中心存在的某種吸引勢(shì)產(chǎn)生的束縛態(tài)來描述,而處于量子束縛態(tài)的粒子可以以一定的概率密度出現(xiàn)在空間任何點(diǎn),滿足聚集態(tài)的性質(zhì)的粒子可以在整個(gè)可行解空間中進(jìn)行搜索,但不會(huì)發(fā)散到無窮遠(yuǎn)處。

量子粒子群優(yōu)化算法[6]是從量子力學(xué)的角度提出的一種新的PSO算法,這個(gè)算法簡單易行,不僅參數(shù)個(gè)數(shù)少,并且在搜索能力上也優(yōu)于PSO算法。該算法的整個(gè)流程和基本PSO大體上相同,不同點(diǎn)是粒子位置的更新公式不同,如下:

p=a*pbest(i)+(1-a)*gbest

(3)

(4)

其中,a,u為[0,1]之間的隨機(jī)數(shù),mbest是粒子群pbest的中間位置,b為收縮擴(kuò)張系數(shù),在QPSO的收斂過程中線性遞減,G為當(dāng)前進(jìn)化代數(shù),T為最大進(jìn)化代數(shù)。QPSO中粒子位置的更新按照以上公式進(jìn)行,沒有速度更新。

3基于投影尋蹤的NAT技術(shù)識(shí)別

NAT流量識(shí)別本質(zhì)上是將網(wǎng)絡(luò)上的NAT設(shè)備與普通設(shè)備進(jìn)行劃分。因此,本文采用基于兩子粒子群算法的投影尋蹤算法,通過收集網(wǎng)絡(luò)中IP地址的網(wǎng)絡(luò)流量,基于流量特征進(jìn)行設(shè)備劃分,從而實(shí)現(xiàn)NAT技術(shù)識(shí)別。

3.1投影尋蹤聚類方法模型

基本思想是:利用計(jì)算機(jī)技術(shù),把高維數(shù)據(jù)通過某種線性組合投影到低維子空間,對(duì)于投影過程的構(gòu)造,采用投影指標(biāo)函數(shù)(目標(biāo)函數(shù))來衡量投影后保留原始數(shù)據(jù)結(jié)構(gòu)特征的可能性大小,它是用于衡量投影到低維空間的數(shù)據(jù)是否有意義的目標(biāo)函數(shù),找到一個(gè)或幾個(gè)投影方向,使它的指標(biāo)值達(dá)到最大或最小,然后根據(jù)該投影值對(duì)高維數(shù)據(jù)聚類。其中,構(gòu)造投影指標(biāo)函數(shù)及優(yōu)化投影方向是應(yīng)用投影尋蹤方法能否成功的關(guān)鍵[7]。

最佳投影方向即為最能夠顯示高維數(shù)據(jù)內(nèi)部結(jié)構(gòu)特征的那個(gè)方向。從信息提取的程度上來說,對(duì)數(shù)據(jù)信息保留最完整、信息利用最充分的方向就是最佳投影方向,那么,對(duì)投影方向的優(yōu)化其實(shí)是找出最能反映數(shù)據(jù)特征的投影指標(biāo)。如果數(shù)據(jù)的結(jié)構(gòu)特征較復(fù)雜,一個(gè)投影方向難以完全表示,則允許存在反映數(shù)據(jù)整體結(jié)構(gòu)的多個(gè)投影方向?？偠灾?能夠?qū)⒏呔S的原始數(shù)據(jù)清晰地投影在低維空間上,并且保證投影后的數(shù)據(jù)分布結(jié)構(gòu)是有意義的,能滿足這個(gè)條件的投影方向都是最佳投影方向。

模型的建立:

步驟1:樣本評(píng)價(jià)指標(biāo)集的歸一化處理

設(shè)各指標(biāo)值的樣本集為{x*(i,j)|i=1,2,…,n;j=1,2,…,p},其中x(i,j)為第i個(gè)樣本第j個(gè)指標(biāo)值,n,p分別為樣本數(shù)和指標(biāo)數(shù)。歸一化處理如下:

對(duì)于越大越優(yōu)的指標(biāo):

(5)

對(duì)于越小越優(yōu)的指標(biāo):

(6)

其中,xmax(j)、xmin(j)分別為第j個(gè)指標(biāo)值的最大值和最小值,x(i,j)為指標(biāo)值歸一化的序列。

步驟2:構(gòu)造投影指標(biāo)函數(shù)

Q(a)投影尋蹤方法就是把p維數(shù)據(jù){x(i,j)|j=1,2,…,p},轉(zhuǎn)化為以a={a(1),a(2),a(3),…,a(p)}為投影方向的一維投影值z(mì)(i):

(7)

根據(jù){z(i)|i=1,2,…,n}進(jìn)行K均值聚類。要求投影值z(mì)(i)的散布特征應(yīng)為:局部投影點(diǎn)盡可能密集,最后凝聚成若干個(gè)點(diǎn)團(tuán),而在整體上投影點(diǎn)團(tuán)之間盡量散開。因此,投影指標(biāo)函數(shù)為

Q(a)=Sz*Dz

(8)

(9)

(10)

其中,Sz為投影值z(mì)(i)的標(biāo)準(zhǔn)差,Dz為投影值z(mì)(i)的局部密度,E(z)為序列{z(i)|i=1,2,…,n}的平均值,R為局部密度的窗口半徑,可取rmax+p/2≤R≤2p,一般取R=0.1*Sz,r(i,j)表示樣本之間的距離,r(i,j)=|z(i)-z(j)|,u(t)為一單位階躍函數(shù),當(dāng)t≥0時(shí),其值為1,當(dāng)t<0時(shí)其函數(shù)值為0。

步驟3:優(yōu)化投影指標(biāo)函數(shù)

當(dāng)各指標(biāo)值的樣本集給定時(shí),Q(a)只隨投影方向a變化。不同的投影方向反映不同的結(jié)構(gòu)特征,最佳投影方向就是最大可能暴露高維數(shù)據(jù)特征結(jié)構(gòu)的投影方向,通過優(yōu)化投影指標(biāo)函數(shù)來尋找最佳投影方向,即

最大化目標(biāo)函數(shù):

Max:Q(a)=Sz*Dz

(11)

約束條件:

(12)

這是一個(gè)以{a(j)|j=1,2,…,p}為優(yōu)化變量的復(fù)雜非線性優(yōu)化問題,用傳統(tǒng)的優(yōu)化方法處理較難。本文利用幾種智能優(yōu)化算法的實(shí)數(shù)編碼解決其高維全局尋優(yōu)問題,即優(yōu)化投影方向,使目標(biāo)函數(shù)達(dá)到極值時(shí),得到最佳投影方向。

步驟4:聚類

把由步驟3求得的最佳投影方向a帶入式(7)后可得各樣本的投影值{z(i)|i=1,2,…,n},將任意兩個(gè)樣本的投影值進(jìn)行比較,二者越接近,表示這兩個(gè)樣本越傾向于分為同一類。本文引入K均值聚類算法對(duì)投影值進(jìn)行聚類,投影值屬于某一類,則對(duì)應(yīng)的原始數(shù)據(jù)樣本屬于同一類別。

3.2基于投影尋蹤的量子粒子群算法模型

基于QPSO的投影尋蹤聚類算法采用基于投影方向的實(shí)數(shù)編碼,一個(gè)編碼對(duì)應(yīng)了一組投影方向,而且p維的投影方向組成每個(gè)粒子的位置,因此粒子采用的編碼結(jié)構(gòu)為:x1x2…xp。

而且算法中,投影目標(biāo)函數(shù)確定適應(yīng)度f(x):

f(x)=Q(x)

(13)

約束條件處理為

(14)

算法的計(jì)算流程為:

1) 根據(jù)式(5)或(6)對(duì)原始數(shù)據(jù)進(jìn)行歸一化處理;

2) 隨機(jī)產(chǎn)生滿足約束條件式(12)的初始種群,根據(jù)式(13)計(jì)算每個(gè)粒子的適應(yīng)度;

3) 對(duì)每個(gè)粒子,比較它的適應(yīng)度值和經(jīng)歷過的最好位置pbest的適應(yīng)度值,如果更好,更新pbest;

4) 對(duì)每個(gè)粒子,比較它的適應(yīng)度值和群體所經(jīng)歷的最好位置gbest的適應(yīng)度值,如果更好,更新gbest;

5) 根據(jù)式(4)更新粒子位置,生成新的粒子群體;

6) 對(duì)群體中的不合法個(gè)體按式(14)進(jìn)行修正;

7) 如果達(dá)到結(jié)束條件(足夠好的位置或最大迭代次數(shù)),則結(jié)束,否則轉(zhuǎn)2)。

3.3NAT流量特征參數(shù)選取

實(shí)際網(wǎng)絡(luò)中,NAT設(shè)備因?yàn)閮?nèi)部網(wǎng)絡(luò)中具有一定數(shù)量主機(jī),其網(wǎng)絡(luò)流量特征相比于普通設(shè)備會(huì)有很大的不同。因此,找出合適的NAT流量特征是影響識(shí)別效果的關(guān)鍵因素,通過分析這些流量特征,得出實(shí)驗(yàn)所需的NAT流量特征參數(shù)集。

通過分析比較,可發(fā)現(xiàn)NAT設(shè)備具有如下流量特征:

1) 流量與報(bào)文數(shù)

由于NAT設(shè)備后具有一定數(shù)量主機(jī),因此相比普通設(shè)備,NAT設(shè)備往往網(wǎng)絡(luò)流量與報(bào)文數(shù)量會(huì)比較大。因此對(duì)于NAT設(shè)備流量特征,選取IP地址的流量字節(jié)數(shù)與報(bào)文數(shù)作為參數(shù)。

2) 流數(shù)目

NAT設(shè)備相比普通設(shè)備,流(即五元組)的數(shù)目總體比較多,而一臺(tái)普通主機(jī),相對(duì)來說傳輸?shù)牧鲾?shù)目較少。因此,可選取流數(shù)目作為參數(shù)。

3) 端口的數(shù)目

由于大多數(shù)NAT設(shè)備的公網(wǎng)IP地址較少,因此大多采用端口多路復(fù)用(PAT)的方式。在這種方式下,內(nèi)部網(wǎng)絡(luò)的多個(gè)IP地址映射到一個(gè)公網(wǎng)IP地址的不同端口上,因此在內(nèi)部網(wǎng)絡(luò)的主機(jī)與外部網(wǎng)絡(luò)的通訊過程中,NAT設(shè)備往往使用多個(gè)端口,而相較而言,一臺(tái)普通設(shè)備使用的端口數(shù)較少。因此流量特征參數(shù)可選用不同設(shè)備的通信端口數(shù)。

4) TCP連接數(shù)

NAT設(shè)備后由于具有一定數(shù)量的主機(jī),因此網(wǎng)絡(luò)的TCP連接更為頻繁,總的并發(fā)TCP連接數(shù)較多。

5) DNS報(bào)文的數(shù)量

由于NAT設(shè)備后的主機(jī)訪問網(wǎng)站數(shù)量、頻率較多,因此訪問不同域名時(shí)發(fā)出的DNS請(qǐng)求頻率較高,DNS請(qǐng)求的報(bào)文數(shù)量也更多,而一臺(tái)普通主機(jī)在一段時(shí)間內(nèi)不會(huì)產(chǎn)生較多的DNS請(qǐng)求。因此可采用DNS報(bào)文數(shù)作為參數(shù)。

6) IP地址數(shù)

因?yàn)镹AT設(shè)備后有較多主機(jī),與其通信的網(wǎng)絡(luò)設(shè)備較多,因此NAT網(wǎng)絡(luò)流量的報(bào)文中IP地址(源、目的IP地址)相對(duì)普通設(shè)備較多,普通設(shè)備在一段時(shí)間內(nèi)往往只與少數(shù)IP地址設(shè)備進(jìn)行通信。因此可以選用同一IP地址通信的IP地址數(shù)作為流量特征參數(shù)。

4實(shí)驗(yàn)及結(jié)果分析

4.1實(shí)驗(yàn)數(shù)據(jù)采集

本文采用網(wǎng)絡(luò)環(huán)境共有38臺(tái)設(shè)備主機(jī),其中有6臺(tái)為NAT設(shè)備,每臺(tái)NAT設(shè)備后接入4臺(tái)主機(jī)組成一個(gè)NAT子網(wǎng),然后NAT設(shè)備與14臺(tái)普通主機(jī)共同接入一個(gè)帶有鏡像端口的交換機(jī),數(shù)據(jù)采集時(shí),交換機(jī)會(huì)自動(dòng)將流經(jīng)所有被鏡像端口的網(wǎng)絡(luò)數(shù)據(jù)流量復(fù)制一份到鏡像端口。通過在鏡像端口處連接的一臺(tái)單獨(dú)普通主機(jī)作為數(shù)據(jù)采集器進(jìn)行網(wǎng)絡(luò)流量數(shù)據(jù)采集。

本文的數(shù)據(jù)是通過在數(shù)據(jù)采集器端使用yaf和silk軟件進(jìn)行采集分析的。Yaf將鏡像端口獲得的網(wǎng)絡(luò)流數(shù)據(jù)轉(zhuǎn)換成IPFIX流文件,然后交由silk工具處理,輸出silk流文件,并以二進(jìn)制格式寫入文件。然后通過silk工具的rwfilter命令進(jìn)行參數(shù)過濾。

根據(jù)上文總結(jié),本文采用數(shù)據(jù)集中六個(gè)流量特征值作為實(shí)驗(yàn)參數(shù),如表1所示。

表1　NAT流量特征參數(shù)

4.2結(jié)果分析

本次實(shí)驗(yàn)收集了24h內(nèi)網(wǎng)絡(luò)中的數(shù)據(jù)流量,通過使用基于量子粒子群算法的投影尋蹤算法得到的投影值如圖1所示。

圖1　投影值

圖1中橫坐標(biāo)表示設(shè)備編號(hào),其中1～6號(hào)為NAT設(shè)備,7～20號(hào)為普通設(shè)備?？v坐標(biāo)為每個(gè)設(shè)備的數(shù)據(jù)參數(shù)投影值?？梢詮膱D中看出,通過投影,將NAT設(shè)備和普通設(shè)備進(jìn)行了劃分,從而能夠快速找出NAT設(shè)備。

當(dāng)然,算法還是可能受到諸多方面的影響,例如網(wǎng)絡(luò)環(huán)境中可能出現(xiàn)普通主機(jī)的流量特征值較大的情況,但是,在設(shè)備數(shù)量較多、網(wǎng)絡(luò)穩(wěn)定、數(shù)據(jù)采集時(shí)間長的情況下,算法依然能夠較為準(zhǔn)確地進(jìn)行NAT識(shí)別。

5結(jié)語

隨著網(wǎng)絡(luò)的迅速發(fā)展,NAT技術(shù)的運(yùn)用越來越普及。在NAT技術(shù)帶來便利的同時(shí),也帶來了安全隱患。因此,如何在網(wǎng)絡(luò)中識(shí)別出NAT設(shè)備變得十分有必要。

本文針對(duì)現(xiàn)有的NAT識(shí)別方法普遍依賴于IP數(shù)據(jù)包中的特殊字段等缺點(diǎn),引入投影尋蹤技術(shù),通過網(wǎng)絡(luò)流量特征對(duì)NAT進(jìn)行識(shí)別。使用基于量子粒子群的投影尋蹤算法,將量子粒子群的全局搜索能力與投影尋蹤對(duì)高維數(shù)據(jù)的降維能力的結(jié)合。核心是獲取網(wǎng)絡(luò)中IP地址設(shè)備的流量特征數(shù)據(jù),通過算法把高維數(shù)據(jù)投影到低維子空間上,從而將NAT設(shè)備與普通設(shè)備分隔開,實(shí)現(xiàn)NAT的識(shí)別。

本文在投影尋蹤聚類模型中引入量子粒子群算法(QPSO),使兩者有機(jī)結(jié)合,充分利用QPSO的全局快速收斂性和投影尋蹤聚類模型的降維能力,有效解決了高維數(shù)據(jù)聚類計(jì)算量大效率低的問題,使其優(yōu)勢(shì)互補(bǔ)。并通過實(shí)驗(yàn)對(duì)收集的數(shù)據(jù)進(jìn)行了基于量子粒子群算法的投影尋蹤算法,將投影值投影到二維坐標(biāo)軸進(jìn)行分析。實(shí)驗(yàn)結(jié)果表明該方法能夠有效地識(shí)別NAT設(shè)備。

參 考 文 獻(xiàn)

[1] P. Srisuresh, M Holdrege. IP Network Address Translator(NAT) Terminology and Consideration[S]. RFC2663,1999-08.

[2] P. Srisuresh, K. Egevang. Traditional IP Network Address Tranlator(Traditional NAT) RFC3022, Internet Engineering Task Force, January 2001, 2001.

[3] Zhu Hongliang, Li Rui. An Integrative Model and System for Detecting NATted Hosts[C]//ICIECS2009, Wuhan, China. Dec. 2009.

[4] 譚超.現(xiàn)代NAT檢測(cè)技術(shù)的原理與應(yīng)用[J].儀器儀表用戶,2006,13(5):130-133.

TAN Chao. The principle and application of modern NAT detect technology[J]. Electronic Instrumentation Customer,2006,13(5):130-133.

[5] 付強(qiáng),趙小勇.投影尋蹤模型原理及其應(yīng)用[M].北京:科學(xué)出版社,2006.

FU Qiang, ZHAO Xiaoyong. The principle and application of Projection Pursuit Model[M]. Science Press,2006.

[6] 張群,雷秀娟,馬千知.量子粒子群在投影尋蹤聚類中的應(yīng)用[J].計(jì)算機(jī)工程與應(yīng)用,2011,47(2):190-193.

ZHANG Qun, LEI Xiujuan, MA Qianzhi. Application of Quantum-behaved Particle Swarm Optimization in projection pursuit clustering[J]. Computer Engineering and Applications,2011,47(2):190-193.

[7] 王李近,胡欣欣,寧正元.基于粒子群優(yōu)化的投影尋蹤聚類模型及其應(yīng)用[J].南京信息工程大學(xué)學(xué)報(bào),2010,2(4):320-323.

WANG Lijin, HU Xinxin, NING Zhengyuan. Projection pursuit cluster model based on particle swarm optimization and its application[J]. Journal of Nanjing Unviersity of Information Science & Technology,2010,2(4):320-323.

[8] 朱應(yīng)武,楊家海,張金祥.基于流量信息結(jié)構(gòu)的異常檢測(cè)[J].軟件學(xué)報(bào),2010,21(10):2573-2583.

ZHU Yingwu, YANG Jiahai, ZHANG Jinxiang. Anomaly Detection Based on Traffic Information Structure[J]. Journal of Software,2010,21(10):2573-2583.

[9] Lakhina A, Crovella M, Diot C. Mining anomalies using traffic feature distributions[C]//Proc. of the 2005 Conf. on Applications, Technologies, Architectures, and Protocols for Computer Communications. Pennsylvania,2005:217-228.

[10] G Tsirtsis, P Srisuresh. Network Address Translation-Protocol Translation(NAT-PT)[S]. RFC2766,2000-02.

[11] 龍海峽,須文波,孫俊.基于QPSO的數(shù)據(jù)聚類[J].計(jì)算機(jī)應(yīng)用研究,2006(12):40-45.

LONG Haixia, XU Wenbo, SUN Jun. Data Clustering Based on Quantum-behaved Particle Swarm Optimization[J]. Application Research of Computers,2006(12):40-45.

[12] 段曉東,王存睿,劉向東.粒子群算法及其應(yīng)用[M].沈陽:遼寧大學(xué)出版社,2007.

DUAN Xiaodong, WANG Cunrui, LIU Xiangdong. Particle Swarm Optimization and Application[M]. Shenyang: Liaoning University Press,2007.

[13] 田錚,林偉.投影尋蹤方法與應(yīng)用[M].西安:西北工業(yè)大學(xué)出版社,2008.

TIAN Zheng, LIN Wei. Projection Pursuit Method and Application[M]. Xi’an: Northwestern Polytechnical University Press,2008.

NAT Identification Technology Based on Projection Pursuit

LU Hai1ZHANG Weiyan1LI Fen1WANG Xinyu2

(1. Institute of Computer Application, Chinese Academy of Engineering Physics, Mianyang621900)(2. School of Computer Science & Technology, Huazhong University of Science and Technology, Wuhan430074)

AbstractWith the development of network, network address translation(NAT) technology is more and more widly applied, which relieves the problem of network IP address exhaustion, and brings some potential risk. Therefore, the effective identification of NAT become very necessary. This paper proposes a NAT identification technology based on network flow, introducing the projection pursuit technique, analysising on the characteristics of network flow to identify NAT. Using projection pursuit based on quantum particle swarm algorithm, combing the quantum particle swarm global search ability and the high-dimensional data dimension reduction ability of the projection pursuity. Core is to obtain the feature data of the network equipment flow, using the algorithm to project the high-dimensional data to low-dimensional subspace, which will separate the pervasive devices and the NAT devices, to achieve the identification of NAT.

Key WordsNAT, NAT detection, network flow feature, projection pursuit, quantum particle swarm optimization

收稿日期:2015年12月10日,修回日期:2016年1月26日

作者簡介:路海,男,研究員,研究方向:計(jì)算機(jī)網(wǎng)絡(luò)和信息安全。張偉燕,男,碩士,高級(jí)工程師,研究方向:數(shù)據(jù)庫技術(shù)和信息安全。李芬,女,博士,高級(jí)工程師,研究方向:網(wǎng)絡(luò)和信息安全。王新宇,男,碩士研究生,研究方向:網(wǎng)絡(luò)和信息安全。

中圖分類號(hào)X196

DOI:10.3969/j.issn.1672-9722.2016.06.027