1.一种基于融合用户行为和迅雷ID的NAT检测方法,其步骤为:
1)流量处理平台从捕获的网络流量中提取User-Agent、Cookie ID、和迅雷ID信息,并将提取出的信息拼接成JSON串;
2)根据网络流量的五元组将JSON串负载均衡到流量处理平台中相应的服务器进行处理;该五元组包括源IP、源端口、目的IP、目的端口和协议;
3)所述服务器根据五元组对数据进行分类,当判断某一五元组对应的TCP流结束时;对该TCP流进行在线处理;其中,在线处理方法为:根据五元组计算客户端IP的主机出度、主机入度,判定该客户端IP的NAT属性,并计算该客户端IP的主机规模。
2.如权利要求1所述的方法,其特征在于,所述主机出度为:主机向其他主机发出的TCP连接数;所述主机入度为:主机接收其他主机的TCP连接数。
3.如权利要求2所述的方法,其特征在于,判定该客户端IP的NAT属性的方法为:当主机连续活跃程度>4小时,且从所述流量处理平台检测到该主机开始的连续24小时之内该主机总活跃程度>8小时,并且该主机出度/入度的比值>1.4时,将该主机标记为NAT主机。
4.如权利要求1所述的方法,其特征在于,计算该客户端IP的主机规模的方法为:根据该客户端IP的JSON串计算以User-Agent和Cookie ID组合键的数据量大小N1;将具有相同User-Agent的JSON串放入同一Cookie ID集合E,遍历集合E,找出不同User-Agent下具有相同的Cookie ID的User-Agent规模N2;以迅雷ID为Key计算Json串中去重的迅雷ID数量N3;主机规模计算为N1-N2+N3。
5.如权利要求1所述的方法,其特征在于,步骤3)中,所述服务器对收到的数据进行清洗,过滤掉没有User-Agent、Cookie ID、和迅雷ID特征的TCP连接数据,将属于同一五元组的数据进行集中。
6.如权利要求1所述的方法,其特征在于,所述流量处理平台为每一五元组对应的TCP流数据设置一个超时时间,当某一五元组在该超时时间内没有得到更新,则判定该五元组对应的TCP流结束。
7.如权利要求1所述的方法,其特征在于,根据网络流量的五元组将JSON串负载均衡到流量处理平台中相应的服务器进行处理的方法为:将五元组作为hash函数的key进行计算得到一索引值index,每一索引值index对应一不同的服务器;根据索引值index将JSON串负载均衡到相应的服务器,实现负载均衡。