(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114172861A(43)申请公布日2022.03.11(21)申请号202111485544.8(22)申请日2021.12.07(71)申请人北京天融信网络安全技术有限公司地址100085北京市海淀区上地东路1号院3号楼四层申请人北京天融信科技有限公司北京天融信软件有限公司(72)发明人毛财丰(74)专利代理机构北京超凡宏宇专利代理事务所(特殊普通合伙)11463代理人李飞(51)Int.Cl.H04L61/256(2022.01)H04L61/5014(2022.01)权利要求书2页说明书8页附图3页(54)发明名称一种网络地址转换设备的识别方法及装置(57)摘要一种网络地址转换设备的识别方法及装置，涉及网络通信技术领域，该网络地址转换设备的识别方法包括：先获取待识别的内部主机地址；再获取每一个内部主机地址对应的生存时间值集合；然后根据生存时间值集合，从所有内部主机地址中确定目标通信地址，目标通信地址对应的设备包括网络地址转换设备；再按照预设分析时长计算每个目标通信地址对应的生存时间值分布情况；进一步地，根据生存时间值分布情况从所有目标通信地址中确定网络地址转换设备的地址信息；最后将地址信息对应的主机设备确定为网络地址转换设备，能够准确识别出网络中的网络地址转换设备，避免单独采用TTL值个数进行识别导致的误检风险，消除潜在的内网安全风险。CN114172861ACN114172861A权利要求书1/2页1.一种网络地址转换设备的识别方法，其特征在于，包括：获取待识别的内部主机地址；获取每一个所述内部主机地址对应的生存时间值集合；根据所述生存时间值集合，从所有所述内部主机地址中确定目标通信地址，所述目标通信地址对应的设备包括网络地址转换设备；按照预设分析时长计算每个所述目标通信地址对应的生存时间值分布情况；根据所述生存时间值分布情况从所有所述目标通信地址中确定所述网络地址转换设备的地址信息；将所述地址信息对应的主机设备确定为所述网络地址转换设备。2.根据权利要求1所述的网络地址转换设备的识别方法，其特征在于，所述获取待识别的内部主机地址，包括：获取流经网关设备的流量数据；从所述流量数据中确定出内部主机发送的主机通信数据；根据所述主机通信数据确定待识别的内部主机地址。3.根据权利要求2所述的网络地址转换设备的识别方法，其特征在于，所述根据所述主机通信数据确定待识别的内部主机地址，包括：统计所述主机通信数据中预设时间段内的所有源地址；对所述源地址进行私有地址筛选处理，得到内部主机地址。4.根据权利要求1所述的网络地址转换设备的识别方法，其特征在于，所述根据所述生存时间值集合，从所有所述内部主机地址中确定目标通信地址，包括：对所述生存时间值集合进行异常值过滤处理，得到有效值集合；根据所述有效值集合统计每个所述内部主机地址对应的有效值个数；从所有所述内部主机地址中确定出有效值个数大于预设个数阈值的内部主机地址，作为目标通信地址。5.根据权利要求1所述的网络地址转换设备的识别方法，其特征在于，所述按照预设分析时长计算每个所述目标通信地址对应的生存时间值分布情况，包括：按照预设分析时长确定每个所述目标通信地址对应的分析时段；统计每个所述目标通信地址在所述分析时段内的生存时间值个数；根据所述分析时段和所述生存时间值个数，计算每个所述目标通信地址的生存时间值分布情况。6.根据权利要求1所述的网络地址转换设备的识别方法，其特征在于，所述根据所述生存时间值分布情况从所有所述目标通信地址中确定所述网络地址转换设备的地址信息，包括：根据所述生存时间值分布情况计算每个所述目标通信地址对应的目标个数占比，其中，所述目标个数占比为生存时间值个数为1的子分析时段的数量占所述子分析时段的总数量的比值，所述分析时段包括多个子分析时段；从所有所述目标通信地址中确定出目标个数占比小于预设占比阈值的目标通信地址，作为所述网络地址转换设备的地址信息。7.一种网络地址转换设备的识别装置，其特征在于，所述网络地址转换设备的识别装2CN114172861A权利要求书2/2页置包括：第一获取单元，用于获取待识别的内部主机地址；第二获取单元，用于获取每一个所述内部主机地址对应的生存时间值集合；第一确定单元，用于根据所述生存时间值集合，从所有所述内部主机地址中确定目标通信地址，所述目标通信地址对应的设备包括网络地址转换设备；计算单元，用于按照预设分析时长计算每个所述目标通信地址对应的生存时间值分布情况；第二确定单元，用于根据所述生存时间值分布情况从所有所述目标通信地址中确定所述网络地址转换设备的地址信息；第三确定单元，用于将所述地址信息对应的主机设备确定为所述网络地址转换设备。8.根据权利要求7所述