基于有向无环图支持向量机被动NAT主机检测算法.pdfVIP

基于有向无环图支持向量机的NAT主机检法

1,2,3,朱1,2,3

1，网络与交换技2网络与攻防3国家灾备与恢复工程，北

术国家重点，邮电大技术重点，邮电大京邮电大学

学学

—的网络地址转换（NAT）设备可能是一个重vin了一种通过观察IPI

Bello提出D序列模式来统

大的安全问题。它们为连接到它们的任何数量的主机不计NAT设备背后主机数量的技术[2]。该算法依赖于各个

受限制的。一些者可能会利用隐藏在NAT设备后面主机实现的IPID作为顺序计数器。通过构建在合理间

的计算机进行活动，如服务。本文提出了一种检测隔和时间范围内匹配的ID序列，可以推断出中的机

隐藏在NAT后面的主机的算法。与以往的研究不同，该算法

器数量。然而，正如Bellovin所指出的，这种方法可能

不依赖于任何数据包头部中的特殊字段。它是基于使用有向

无环图支持向量机（DAGSVM）分析流量特征。首先，会失败。例如，基于BSD的操作系统现在将IPID实现

为伪随机数而不是计数器[3]。此外，如果设置了不分片

从训练样本中使用DAGSVM选择主机的流量模型。然后使用位，则不需要重组。因此，一些NAT设备会将IPID重

这些模型和分类器来预测未知痕迹中的主机数量。实验表明，置为零。这两个问题使得IPID序列匹配无效。

所算法是有效的，即使测试集中的主机数量多于训练

Beverly[3]开发了一个分类器，用于地推断主机

集中的主机数量，当测试痕迹中存在未知主机时，准确

的操作系统，并统计隐藏在NAT后面的主机数量。分类过

性会下降。

程基于TC/IP头部的以下参数：时间（TTL）、不分

P

段（YN

DF、窗口大小和S大小信息。结果与之前的技术

‑网络地址转换；；有向无环图；支持向量机；）

主机检测进行了对比，包括Bllovin的IPID方法，Bellovin的技术

e

在统计NAT后面主机数量方面表现优于Beverly的分类器。

I.引言

A.背景Kohno[4]提出使用主机机器的时钟偏差作为

由于IPv4地址的短缺，许多地点通过NAT（网络识别主机的方法。他们发现，设备的系统时间和TCP时

地址转换）[1]设备连接到互联网。的NAT设间戳可能在流行的操作系统中存在可测量的偏差。为了

备可能是一个重大的安全问题。通常，NAT设备在网络实现这一点，主机计算机的TCP时