本發(fā)明實(shí)施例涉及網(wǎng)絡(luò)安全，尤其涉及一種網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法及裝置。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全問題也日趨嚴(yán)重。一個(gè)典型的安全問題是攻擊者通過網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備(網(wǎng)絡(luò)地址轉(zhuǎn)換即network?address?translation，簡(jiǎn)稱為nat)私自接入終端，以達(dá)成例如網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取或者規(guī)避計(jì)費(fèi)的目的。

2、現(xiàn)有技術(shù)例如基于終端設(shè)備發(fā)送的報(bào)文等數(shù)據(jù)確定可以體現(xiàn)是否發(fā)生網(wǎng)絡(luò)地址轉(zhuǎn)換行為的信息，以此作為判斷是否發(fā)生網(wǎng)絡(luò)轉(zhuǎn)換行為的參照，具有檢測(cè)準(zhǔn)確性低等缺陷。這使得如何準(zhǔn)確、高效地進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換成為一個(gè)亟需解決的技術(shù)問題。

技術(shù)實(shí)現(xiàn)思路

1、本技術(shù)提供一種網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法及裝置。

2、第一方面，本技術(shù)涉及網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，包括：根據(jù)第一響應(yīng)報(bào)文，確定終端設(shè)備的動(dòng)態(tài)指紋，其中，第一響應(yīng)報(bào)文是終端設(shè)備對(duì)第一探測(cè)報(bào)文進(jìn)行響應(yīng)得到的；根據(jù)基準(zhǔn)動(dòng)態(tài)指紋與終端設(shè)備的動(dòng)態(tài)指紋進(jìn)行匹配，以得到第一檢測(cè)結(jié)果，其中，基準(zhǔn)動(dòng)態(tài)指紋是合法接入的基準(zhǔn)終端設(shè)備的動(dòng)態(tài)指紋，第一檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為。

3、指紋可以理解為可以唯一標(biāo)識(shí)終端設(shè)備的信息，動(dòng)態(tài)指紋可以理解為終端設(shè)備具有的可以唯一標(biāo)識(shí)該終端設(shè)備的動(dòng)態(tài)特性，該動(dòng)態(tài)特性包括終端設(shè)備的響應(yīng)特性，通過第一響應(yīng)報(bào)文可以體現(xiàn)終端設(shè)備的響應(yīng)特性。

4、根據(jù)本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，通過根據(jù)第一響應(yīng)報(bào)文，可以確定終端設(shè)備的動(dòng)態(tài)指紋，終端設(shè)備的動(dòng)態(tài)指紋可以從動(dòng)態(tài)指紋的維度唯一標(biāo)識(shí)該終端設(shè)備，即動(dòng)態(tài)指紋更具唯一性和表征性，后續(xù)基于動(dòng)態(tài)指紋可以準(zhǔn)確匹配終端設(shè)備與基準(zhǔn)終端設(shè)備，由于基準(zhǔn)終端設(shè)備是合法接入的，因此根據(jù)基準(zhǔn)動(dòng)態(tài)指紋與終端設(shè)備的動(dòng)態(tài)指紋進(jìn)行匹配，得到的第一檢測(cè)結(jié)果可以表征終端設(shè)備是否為合法接入，從而可以表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)準(zhǔn)確性更高。

5、另外，由于第一響應(yīng)報(bào)文是終端設(shè)備對(duì)第一探測(cè)報(bào)文進(jìn)行響應(yīng)得到的，第一探測(cè)報(bào)文例如可以隨時(shí)發(fā)送至終端設(shè)備，以對(duì)應(yīng)地隨時(shí)獲得第一響應(yīng)報(bào)文并基于第一響應(yīng)報(bào)文得到第一檢測(cè)結(jié)果，不會(huì)受限于終端設(shè)備發(fā)送報(bào)文不規(guī)律的情況，因此nat檢測(cè)更及時(shí)。

6、綜上，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法的nat檢測(cè)具有更高的效率。

7、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)，以得到第二檢測(cè)結(jié)果，其中，第二檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為。

8、示例性地，例如可以對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量統(tǒng)計(jì)，以實(shí)現(xiàn)流量行為檢測(cè)的具體示例，可以得到第二檢測(cè)結(jié)果。

9、根據(jù)本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，通過對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)，可以從流量行為維度檢測(cè)是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為。

10、另外，對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)并不涉及例如向終端設(shè)備發(fā)送探測(cè)報(bào)文以使得終端設(shè)備作出響應(yīng)，因此，流量行為檢測(cè)對(duì)終端設(shè)備是無感的，nat檢測(cè)的性能更優(yōu)。

11、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：根據(jù)報(bào)文解析結(jié)果，確定終端設(shè)備的靜態(tài)指紋，其中，報(bào)文解析結(jié)果是對(duì)來自終端設(shè)備的報(bào)文進(jìn)行報(bào)文解析得到的；根據(jù)終端設(shè)備的靜態(tài)指紋與參照設(shè)備的靜態(tài)指紋進(jìn)行匹配，確定終端設(shè)備檢測(cè)結(jié)果，其中，終端設(shè)備檢測(cè)結(jié)果表征發(fā)生網(wǎng)絡(luò)地址轉(zhuǎn)換行為的目標(biāo)終端設(shè)備的設(shè)備數(shù)量和/或設(shè)備屬性。

12、報(bào)文包括報(bào)文頭和報(bào)文體，報(bào)文頭包括若干的設(shè)備信息，通過對(duì)報(bào)文進(jìn)行報(bào)文解析得到的報(bào)文解析結(jié)果可以體現(xiàn)終端設(shè)備的若干信息，因此可以通過報(bào)文解析結(jié)果確定終端設(shè)備的靜態(tài)指紋。

13、靜態(tài)指紋可以理解為終端設(shè)備具有的可以唯一標(biāo)識(shí)該終端設(shè)備的靜態(tài)特性，例如可以通過終端設(shè)備是否需要“有感”區(qū)別“靜態(tài)指紋”與“動(dòng)態(tài)指紋”。

14、通過對(duì)報(bào)文進(jìn)行報(bào)文解析例如可以得到多個(gè)報(bào)文字段，報(bào)文解析結(jié)果例如可以是解析得到的全量的報(bào)文字段的形式，例如還可以根據(jù)報(bào)文解析結(jié)果中確定更具標(biāo)識(shí)性的報(bào)文特征(這里的報(bào)文特征也可以理解為報(bào)文字段)確定終端設(shè)備的靜態(tài)指紋。

15、參照設(shè)備可以理解為預(yù)先確定的、用于對(duì)比的電子設(shè)備。

16、根據(jù)本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，通過根據(jù)報(bào)文解析結(jié)果，確定的終端設(shè)備的靜態(tài)指紋可以從靜態(tài)指紋的維度唯一標(biāo)識(shí)該終端設(shè)備，即靜態(tài)指紋更具唯一性和表征性，后續(xù)基于靜態(tài)指紋可以準(zhǔn)確識(shí)別終端設(shè)備。通過根據(jù)終端設(shè)備的靜態(tài)指紋與參照設(shè)備的靜態(tài)指紋進(jìn)行匹配，確定的終端設(shè)備檢測(cè)結(jié)果表征發(fā)生網(wǎng)絡(luò)地址轉(zhuǎn)換行為的目標(biāo)終端設(shè)備的設(shè)備數(shù)量和/或設(shè)備屬性，是更精細(xì)的檢測(cè)結(jié)果，可以實(shí)現(xiàn)與網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備連接的終端設(shè)備的可視化，這里的“可視化”體現(xiàn)在例如可以獲知與網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備連接的目標(biāo)終端設(shè)備的設(shè)備數(shù)量和/或設(shè)備屬性，便于后續(xù)進(jìn)行網(wǎng)絡(luò)安全控制等。

17、另外，根據(jù)報(bào)文解析結(jié)果，確定終端設(shè)備的靜態(tài)指紋以及基于靜態(tài)指紋確定終端設(shè)備檢測(cè)結(jié)果的操作對(duì)終端設(shè)備也是無感的，因此nat檢測(cè)以及終端識(shí)別的性能更優(yōu)。

18、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：根據(jù)報(bào)文解析結(jié)果，確定終端設(shè)備的靜態(tài)指紋，其中，報(bào)文解析結(jié)果是對(duì)來自終端設(shè)備的報(bào)文進(jìn)行報(bào)文解析得到的；根據(jù)基準(zhǔn)靜態(tài)指紋與終端設(shè)備的靜態(tài)指紋進(jìn)行匹配，以得到第三檢測(cè)結(jié)果，其中，基準(zhǔn)靜態(tài)指紋是合法接入的基準(zhǔn)終端設(shè)備的靜態(tài)指紋，第三檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為。

19、根據(jù)本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，通過根據(jù)報(bào)文解析結(jié)果，確定的終端設(shè)備的靜態(tài)指紋可以從靜態(tài)指紋的維度唯一標(biāo)識(shí)該終端設(shè)備，即靜態(tài)指紋更具唯一性和表征性，后續(xù)基于靜態(tài)指紋可以準(zhǔn)確匹配終端設(shè)備與基準(zhǔn)終端設(shè)備，以檢測(cè)網(wǎng)絡(luò)地址轉(zhuǎn)換行為。由于基準(zhǔn)終端設(shè)備是合法接入的，因此根據(jù)基準(zhǔn)靜態(tài)指紋與終端設(shè)備的靜態(tài)指紋進(jìn)行匹配，得到的第三檢測(cè)結(jié)果可以表征終端設(shè)備是否為合法接入，從而可以表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)準(zhǔn)確性更高。

20、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：根據(jù)第二檢測(cè)結(jié)果和/或第三檢測(cè)結(jié)果以及第一檢測(cè)結(jié)果，確定目標(biāo)檢測(cè)結(jié)果，其中，目標(biāo)檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為。

21、根據(jù)第二檢測(cè)結(jié)果和/或第三檢測(cè)結(jié)果以及第一檢測(cè)結(jié)果，確定目標(biāo)檢測(cè)結(jié)果包括以下幾種情況：

22、(1)根據(jù)第二檢測(cè)結(jié)果、第一檢測(cè)結(jié)果，確定目標(biāo)檢測(cè)結(jié)果。

23、示例性地，例如可以在第二檢測(cè)結(jié)果表征存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為的情況下，再執(zhí)行根據(jù)第一響應(yīng)報(bào)文，確定終端設(shè)備的動(dòng)態(tài)指紋以及根據(jù)基準(zhǔn)動(dòng)態(tài)指紋與終端設(shè)備的動(dòng)態(tài)指紋進(jìn)行匹配，得到第一檢測(cè)結(jié)果的操作，例如可以將第一檢測(cè)結(jié)果確定為目標(biāo)檢測(cè)結(jié)果。

24、由于基于流量行為進(jìn)行nat檢測(cè)是對(duì)終端設(shè)備無感的，也不需要解析來自終端設(shè)備的報(bào)文，因此nat檢測(cè)的性能更優(yōu)。由于動(dòng)態(tài)指紋更具標(biāo)識(shí)性和唯一性，因此基于動(dòng)態(tài)指紋進(jìn)行nat檢測(cè)的準(zhǔn)確性更高。在根據(jù)第二檢測(cè)結(jié)果和第一檢測(cè)結(jié)果綜合確定目標(biāo)檢測(cè)結(jié)果的情況下，nat檢測(cè)的準(zhǔn)確性、性能均更優(yōu)，nat檢測(cè)效率更高。

25、(2)根據(jù)第三檢測(cè)結(jié)果、第一檢測(cè)結(jié)果，確定目標(biāo)檢測(cè)結(jié)果。

26、(3)根據(jù)第一檢測(cè)結(jié)果、第二檢測(cè)結(jié)果、第三檢測(cè)結(jié)果，確定目標(biāo)檢測(cè)結(jié)果。

27、第一檢測(cè)結(jié)果、第二檢測(cè)結(jié)果以及第三檢測(cè)結(jié)果是分別從動(dòng)態(tài)指紋、流量行為、靜態(tài)指紋三個(gè)維度得到的表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為的檢測(cè)結(jié)果，每一種檢測(cè)結(jié)果是單一的nat檢測(cè)方式檢測(cè)得到的，根據(jù)本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，可以將綜合多種單一的nat檢測(cè)結(jié)果，得到更加準(zhǔn)確的目標(biāo)檢測(cè)結(jié)果。

28、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為的情況下，將發(fā)生網(wǎng)絡(luò)地址轉(zhuǎn)換行為的目標(biāo)終端設(shè)備確定為異常接入的終端設(shè)備。

29、出于一些目的私自接入終端設(shè)備的實(shí)現(xiàn)方式通常是轉(zhuǎn)換網(wǎng)絡(luò)地址，這存在網(wǎng)絡(luò)安全隱患，因此需要檢測(cè)是否存在網(wǎng)絡(luò)地址行為。根據(jù)本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，通過在存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為的情況下，將發(fā)生網(wǎng)絡(luò)地址轉(zhuǎn)換行為的目標(biāo)終端設(shè)備確定為異常接入的終端設(shè)備可以應(yīng)對(duì)這種場(chǎng)景，檢測(cè)出該場(chǎng)景下的異常接入的終端設(shè)備。

30、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：在存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為且發(fā)生網(wǎng)絡(luò)地址轉(zhuǎn)換行為的目標(biāo)終端設(shè)備的數(shù)量大于或者等于終端數(shù)量閾值的情況下，將目標(biāo)終端設(shè)備確定為異常接入的終端設(shè)備。在一些場(chǎng)景下，存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為是正常、合法的，所以即使檢測(cè)存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為并不能表征存在網(wǎng)絡(luò)安全隱患，而是需要了解到nat設(shè)備之后的終端設(shè)備的信息才可以判斷是否存在網(wǎng)絡(luò)安全隱患。根據(jù)本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，在目標(biāo)檢測(cè)結(jié)果表征存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為且發(fā)生網(wǎng)絡(luò)地址轉(zhuǎn)換行為的目標(biāo)終端設(shè)備的數(shù)量大于或者等于終端數(shù)量閾值的情況下，將目標(biāo)終端設(shè)備確定為異常接入的終端設(shè)備可以應(yīng)對(duì)這種場(chǎng)景。

31、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：根據(jù)第二響應(yīng)報(bào)文，確定基準(zhǔn)動(dòng)態(tài)指紋，其中，基準(zhǔn)終端設(shè)備是首次接入的經(jīng)過認(rèn)證的終端設(shè)備，第二響應(yīng)報(bào)文是基準(zhǔn)終端設(shè)備對(duì)第二探測(cè)報(bào)文進(jìn)行響應(yīng)得到的。

32、為了偽裝非法接入的終端設(shè)備，非法接入的終端設(shè)備通常情況下是在合法的終端設(shè)備之后接入網(wǎng)絡(luò)的，所以首次接入且經(jīng)過認(rèn)證的終端設(shè)備為合法終端設(shè)備的概率更大，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，通過根據(jù)首次接入的終端設(shè)備的信息，可以確定準(zhǔn)確的基準(zhǔn)終端設(shè)備以及基準(zhǔn)終動(dòng)態(tài)指紋、基準(zhǔn)靜態(tài)指紋?；鶞?zhǔn)動(dòng)態(tài)指紋作為后續(xù)與終端設(shè)備的動(dòng)態(tài)指紋匹配的基礎(chǔ)，也相應(yīng)地可以準(zhǔn)確確定第一檢測(cè)結(jié)果?；鶞?zhǔn)靜態(tài)指紋作為后續(xù)與終端設(shè)備的靜態(tài)指紋匹配的基礎(chǔ)，也相應(yīng)地可以準(zhǔn)確確定第三檢測(cè)結(jié)果。

33、在一種可能的實(shí)施例中，對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)，以得到第二檢測(cè)結(jié)果包括：利用機(jī)器學(xué)習(xí)模型對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)，以得到第二檢測(cè)結(jié)果。

34、機(jī)器學(xué)習(xí)可以理解為計(jì)算機(jī)利用已有的數(shù)據(jù)確定用于執(zhí)行特定任務(wù)的模型，并利用此模型預(yù)測(cè)任務(wù)執(zhí)行結(jié)果的方法。

35、通過機(jī)器學(xué)習(xí)模型可以處理更多數(shù)據(jù)，提高數(shù)據(jù)處理效率，并且，訓(xùn)練好的機(jī)器學(xué)習(xí)模型在檢測(cè)準(zhǔn)確性和性能方面也是達(dá)標(biāo)的。因此，根據(jù)本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，通過利用機(jī)器學(xué)習(xí)模型對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)，可以高效地得到準(zhǔn)確的第二檢測(cè)結(jié)果。

36、在一種可能的實(shí)施例中，機(jī)器學(xué)習(xí)模型包括預(yù)先訓(xùn)練的第一機(jī)器學(xué)習(xí)模型和在線訓(xùn)練的第二機(jī)器學(xué)習(xí)模型中的至少一個(gè)；在機(jī)器學(xué)習(xí)模型包括第一機(jī)器學(xué)習(xí)模型和機(jī)器學(xué)習(xí)模型的情況下，利用機(jī)器學(xué)習(xí)模型對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)，以得到第二檢測(cè)結(jié)果包括：利用第一機(jī)器學(xué)習(xí)模型對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)，以得到第一機(jī)器學(xué)習(xí)模型檢測(cè)結(jié)果；利用第二機(jī)器學(xué)習(xí)模型對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)，以得到第二機(jī)器學(xué)習(xí)模型檢測(cè)結(jié)果；根據(jù)第一機(jī)器學(xué)習(xí)模型檢測(cè)結(jié)果和第二機(jī)器學(xué)習(xí)模型檢測(cè)結(jié)果，確定第二檢測(cè)結(jié)果。

37、預(yù)先訓(xùn)練得到的第一機(jī)器學(xué)習(xí)模型是已經(jīng)完成訓(xùn)練的、可以直接使用，不需要算力資源進(jìn)行機(jī)器學(xué)習(xí)模型訓(xùn)練。

38、一些情況下，模型的訓(xùn)練階段使用的訓(xùn)練樣本與實(shí)際應(yīng)用場(chǎng)景的輸入數(shù)據(jù)具有較大差異，這使得訓(xùn)練階段表現(xiàn)優(yōu)異的模型在應(yīng)用階段卻性能急劇下降。第二機(jī)器學(xué)習(xí)模型通過在線訓(xùn)練可以應(yīng)對(duì)這一情況，提高流量行為檢測(cè)的準(zhǔn)確性。

39、根據(jù)本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，通過利用第一機(jī)器學(xué)習(xí)模型和第二機(jī)器學(xué)習(xí)模型對(duì)報(bào)文進(jìn)行流量行為檢測(cè)，可以利用在線訓(xùn)練和預(yù)先訓(xùn)練的模型的各自優(yōu)勢(shì)，分別得到根據(jù)第一機(jī)器學(xué)習(xí)模型檢測(cè)結(jié)果和第二機(jī)器學(xué)習(xí)模型檢測(cè)結(jié)果，并根據(jù)第一機(jī)器學(xué)習(xí)模型檢測(cè)結(jié)果和第二機(jī)器學(xué)習(xí)模型檢測(cè)結(jié)果可以綜合、準(zhǔn)確地確定第二檢測(cè)結(jié)果。

40、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：采集流量行為樣本，其中，流量行為樣本用于訓(xùn)練得到第二機(jī)器學(xué)習(xí)模型。

41、根據(jù)本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，通過在線采集的流量行為樣本可以訓(xùn)練得到適應(yīng)在線場(chǎng)景下的輸入數(shù)據(jù)的第二機(jī)器學(xué)習(xí)模型，提高流量行為檢測(cè)的準(zhǔn)確性。

42、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：根據(jù)流量行為樣本訓(xùn)練初始的第二機(jī)器學(xué)習(xí)模型，以得到第二機(jī)器學(xué)習(xí)模型。

43、根據(jù)本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，可以集成流量行為樣本采集、利用流量行為樣本進(jìn)行模型訓(xùn)練、根據(jù)訓(xùn)練得到的第二機(jī)器學(xué)習(xí)模型進(jìn)行流量行為檢測(cè)三者，更適應(yīng)在線場(chǎng)景，可以提高流量行為檢測(cè)的準(zhǔn)確性。

44、在一種可能的實(shí)施例中，對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)，以得到第二檢測(cè)結(jié)果包括：對(duì)來自終端設(shè)備的報(bào)文進(jìn)行統(tǒng)計(jì)，以得到報(bào)文的流量行為檢測(cè)結(jié)果；根據(jù)流量行為檢測(cè)結(jié)果與流量行為基準(zhǔn)檢測(cè)結(jié)果，確定第二檢測(cè)結(jié)果，其中，流量行為基準(zhǔn)檢測(cè)結(jié)果是對(duì)來自基準(zhǔn)終端設(shè)備的報(bào)文進(jìn)行統(tǒng)計(jì)得到的。

45、根據(jù)本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，由于流量行為基準(zhǔn)檢測(cè)結(jié)果是來自基準(zhǔn)終端設(shè)備的報(bào)文進(jìn)行統(tǒng)計(jì)得到的，基準(zhǔn)終端設(shè)備是合法接入的終端設(shè)備，因此流量行為基準(zhǔn)檢測(cè)結(jié)果是合法的終端設(shè)備體現(xiàn)的流量行為特征，通過流量行為檢測(cè)結(jié)果與流量行為基準(zhǔn)檢測(cè)結(jié)果，可以準(zhǔn)確確定基于流量行為進(jìn)行nat檢測(cè)得到的第二檢測(cè)結(jié)果。

46、第二方面，本技術(shù)涉及網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，包括：發(fā)送第一檢測(cè)指令，其中，第一檢測(cè)指令用于觸發(fā)針對(duì)第一檢測(cè)結(jié)果的檢測(cè)，第一檢測(cè)結(jié)果是根據(jù)基準(zhǔn)動(dòng)態(tài)指紋與終端設(shè)備的動(dòng)態(tài)指紋進(jìn)行匹配得到的，基準(zhǔn)動(dòng)態(tài)指紋是合法接入的基準(zhǔn)終端設(shè)備的動(dòng)態(tài)指紋，終端設(shè)備的動(dòng)態(tài)指紋是根據(jù)第一響應(yīng)報(bào)文得到的，第一響應(yīng)報(bào)文是終端設(shè)備對(duì)第一探測(cè)報(bào)文進(jìn)行響應(yīng)得到的；接收第一檢測(cè)結(jié)果，其中，第一檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為。

47、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：發(fā)送第二檢測(cè)指令，其中，第二檢測(cè)指令用于觸發(fā)針對(duì)第二檢測(cè)結(jié)果的檢測(cè)，第二檢測(cè)結(jié)果通過對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)得到的；接收第二檢測(cè)結(jié)果，其中，第二檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為。

48、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：發(fā)送終端設(shè)備檢測(cè)指令，其中，終端設(shè)備檢測(cè)指令用于觸發(fā)針對(duì)終端設(shè)備檢測(cè)結(jié)果的檢測(cè)，終端設(shè)備檢測(cè)結(jié)果是根據(jù)終端設(shè)備的靜態(tài)指紋與參照設(shè)備的靜態(tài)指紋進(jìn)行匹配得到的，終端設(shè)備的靜態(tài)指紋是根據(jù)報(bào)文解析結(jié)果確定的，報(bào)文解析結(jié)果是對(duì)來自終端設(shè)備的報(bào)文進(jìn)行報(bào)文解析得到的；接收終端設(shè)備檢測(cè)結(jié)果，終端設(shè)備檢測(cè)結(jié)果表征發(fā)生網(wǎng)絡(luò)地址轉(zhuǎn)換行為的目標(biāo)終端設(shè)備的設(shè)備數(shù)量和/或設(shè)備屬性。

49、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：發(fā)送第三檢測(cè)指令，其中，第三檢測(cè)指令用于觸發(fā)針對(duì)第三檢測(cè)結(jié)果的檢測(cè)，第三檢測(cè)結(jié)果是根據(jù)基準(zhǔn)靜態(tài)指紋與終端設(shè)備的靜態(tài)指紋進(jìn)行匹配得到的，終端設(shè)備的靜態(tài)指紋是根據(jù)報(bào)文解析結(jié)果確定的，報(bào)文解析結(jié)果是對(duì)來自終端設(shè)備的報(bào)文進(jìn)行報(bào)文解析得到的，基準(zhǔn)靜態(tài)指紋是合法接入的基準(zhǔn)終端設(shè)備的靜態(tài)指紋；接收第三檢測(cè)結(jié)果，其中，第三檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為。

50、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：接收全量檢測(cè)結(jié)果中的部分檢測(cè)結(jié)果，其中，全量檢測(cè)結(jié)果包括第一檢測(cè)結(jié)果、第二檢測(cè)結(jié)果、第三檢測(cè)結(jié)果以及終端設(shè)備檢測(cè)結(jié)果；執(zhí)行剩余檢測(cè)，以得到全量檢測(cè)結(jié)果中的剩余檢測(cè)結(jié)果。

51、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：根據(jù)第二檢測(cè)結(jié)果和/或第三檢測(cè)結(jié)果以及第一檢測(cè)結(jié)果，確定目標(biāo)檢測(cè)結(jié)果，其中，目標(biāo)檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為。

52、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：根據(jù)流量行為樣本在線訓(xùn)練初始的第二機(jī)器學(xué)習(xí)模型，以得到第二機(jī)器學(xué)習(xí)模型，其中，第二機(jī)器學(xué)習(xí)模型用于進(jìn)行流量行為檢測(cè)，以確定第二檢測(cè)結(jié)果。

53、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：利用第二機(jī)器學(xué)習(xí)模型對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)，以得到第二機(jī)器學(xué)習(xí)模型檢測(cè)結(jié)果，第二機(jī)器學(xué)習(xí)模型檢測(cè)結(jié)果用于確定第一檢測(cè)結(jié)果。

54、第三方面，本技術(shù)涉及網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法，包括：響應(yīng)于接收到的第一檢測(cè)指令，根據(jù)第一響應(yīng)報(bào)文，確定終端設(shè)備的動(dòng)態(tài)指紋，其中，第一響應(yīng)報(bào)文是終端設(shè)備對(duì)第一探測(cè)報(bào)文進(jìn)行響應(yīng)得到的；根據(jù)基準(zhǔn)動(dòng)態(tài)指紋與終端設(shè)備的動(dòng)態(tài)指紋進(jìn)行匹配，以得到第一檢測(cè)結(jié)果，其中，基準(zhǔn)動(dòng)態(tài)指紋是合法接入的基準(zhǔn)終端設(shè)備的動(dòng)態(tài)指紋，第一檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為；發(fā)送第一檢測(cè)結(jié)果。

55、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：響應(yīng)于接收到的第二檢測(cè)指令，對(duì)來自終端設(shè)備的報(bào)文進(jìn)行流量行為檢測(cè)，以得到第二檢測(cè)結(jié)果，其中，第二檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為。

56、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：響應(yīng)于接收到的終端設(shè)備檢測(cè)指令，根據(jù)報(bào)文解析結(jié)果，確定終端設(shè)備的靜態(tài)指紋，其中，報(bào)文解析結(jié)果是對(duì)來自終端設(shè)備的報(bào)文進(jìn)行報(bào)文解析得到的；根據(jù)終端設(shè)備的靜態(tài)指紋與參照設(shè)備的靜態(tài)指紋進(jìn)行匹配，確定終端設(shè)備檢測(cè)結(jié)果，其中，終端設(shè)備檢測(cè)結(jié)果表征發(fā)生網(wǎng)絡(luò)地址轉(zhuǎn)換行為的目標(biāo)終端設(shè)備的設(shè)備數(shù)量和/或設(shè)備屬性；發(fā)送終端設(shè)備檢測(cè)結(jié)果。

57、在一種可能的實(shí)施例中，本技術(shù)的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法還包括：響應(yīng)于接收到的第三檢測(cè)指令，根據(jù)報(bào)文解析結(jié)果，確定終端設(shè)備的靜態(tài)指紋，其中，報(bào)文解析結(jié)果是對(duì)來自終端設(shè)備的報(bào)文進(jìn)行報(bào)文解析得到的；根據(jù)基準(zhǔn)靜態(tài)指紋與終端設(shè)備的靜態(tài)指紋進(jìn)行匹配，以得到第三檢測(cè)結(jié)果，其中，基準(zhǔn)靜態(tài)指紋是合法接入的基準(zhǔn)終端設(shè)備的靜態(tài)指紋，第三檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為；發(fā)送第三檢測(cè)結(jié)果。

58、第四方面，本技術(shù)涉及網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)裝置，包括：動(dòng)態(tài)指紋確定模塊，用于根據(jù)第一響應(yīng)報(bào)文，確定終端設(shè)備的動(dòng)態(tài)指紋，其中，第一響應(yīng)報(bào)文是終端設(shè)備對(duì)第一探測(cè)報(bào)文進(jìn)行響應(yīng)得到的；動(dòng)態(tài)指紋匹配模塊，用于根據(jù)基準(zhǔn)動(dòng)態(tài)指紋與終端設(shè)備的動(dòng)態(tài)指紋進(jìn)行匹配，以得到第一檢測(cè)結(jié)果，其中，基準(zhǔn)動(dòng)態(tài)指紋是合法接入的基準(zhǔn)終端設(shè)備的動(dòng)態(tài)指紋，第一檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為。

59、第五方面，本技術(shù)涉及網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)裝置，包括：第一檢測(cè)指令發(fā)送模塊，用于發(fā)送第一檢測(cè)指令，其中，第一檢測(cè)指令用于觸發(fā)針對(duì)第一檢測(cè)結(jié)果的檢測(cè)，第一檢測(cè)結(jié)果是根據(jù)基準(zhǔn)動(dòng)態(tài)指紋與終端設(shè)備的動(dòng)態(tài)指紋進(jìn)行匹配得到的，基準(zhǔn)動(dòng)態(tài)指紋是合法接入的基準(zhǔn)終端設(shè)備的動(dòng)態(tài)指紋，終端設(shè)備的動(dòng)態(tài)指紋是根據(jù)第一響應(yīng)報(bào)文得到的，第一響應(yīng)報(bào)文是終端設(shè)備對(duì)第一探測(cè)報(bào)文進(jìn)行響應(yīng)得到的；第一檢測(cè)結(jié)果接收模塊，用于接收第一檢測(cè)結(jié)果，其中，第一檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為。

60、第六方面，本技術(shù)涉及網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)裝置，包括：動(dòng)態(tài)指紋確定模塊，用于響應(yīng)于接收到的第一檢測(cè)指令，根據(jù)第一響應(yīng)報(bào)文，確定終端設(shè)備的動(dòng)態(tài)指紋，其中，第一響應(yīng)報(bào)文是終端設(shè)備對(duì)第一探測(cè)報(bào)文進(jìn)行響應(yīng)得到的；動(dòng)態(tài)指紋匹配模塊，用于根據(jù)基準(zhǔn)動(dòng)態(tài)指紋與終端設(shè)備的動(dòng)態(tài)指紋進(jìn)行匹配，以得到第一檢測(cè)結(jié)果，其中，基準(zhǔn)動(dòng)態(tài)指紋是合法接入的基準(zhǔn)終端設(shè)備的動(dòng)態(tài)指紋，第一檢測(cè)結(jié)果表征是否存在網(wǎng)絡(luò)地址轉(zhuǎn)換行為；第一檢測(cè)結(jié)果發(fā)送模塊，用于發(fā)送第一檢測(cè)結(jié)果。

61、第七方面，本技術(shù)涉及網(wǎng)絡(luò)設(shè)備，包括至少一個(gè)處理器和與至少一個(gè)處理器通信連接的存儲(chǔ)器；其中，存儲(chǔ)器存儲(chǔ)有可被至少一個(gè)處理器執(zhí)行的指令，指令被至少一個(gè)處理器執(zhí)行，以使至少一個(gè)處理器能夠執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法。

62、第八方面，本技術(shù)涉及網(wǎng)絡(luò)系統(tǒng)，包括第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備，其中，第一網(wǎng)絡(luò)設(shè)備包括至少一個(gè)第一處理器和與至少一個(gè)第一處理器通信連接的第一存儲(chǔ)器，第一存儲(chǔ)器存儲(chǔ)有可被至少一個(gè)第一處理器執(zhí)行的指令，指令被至少一個(gè)第一處理器執(zhí)行，以使至少一個(gè)第一處理器能夠執(zhí)行第二方面的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法；第二網(wǎng)絡(luò)設(shè)備包括至少一個(gè)第二處理器和與至少一個(gè)第二處理器通信連接的第二存儲(chǔ)器，第二存儲(chǔ)器存儲(chǔ)有可被至少一個(gè)第二處理器執(zhí)行的指令，指令被至少一個(gè)第二處理器執(zhí)行，以使至少一個(gè)第二處理器能夠執(zhí)行第三方面的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法。

63、在一種可能的實(shí)施例中，網(wǎng)絡(luò)系統(tǒng)還包括終端設(shè)備，終端設(shè)備連接第二網(wǎng)絡(luò)設(shè)備，第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備用于判斷終端設(shè)備是否為異常接入的終端設(shè)備。

64、第九方面，本技術(shù)涉及網(wǎng)絡(luò)系統(tǒng)，包括網(wǎng)絡(luò)設(shè)備和終端設(shè)備，其中，網(wǎng)絡(luò)設(shè)備包括至少一個(gè)處理器和與至少一個(gè)處理器通信連接的第一存儲(chǔ)器，存儲(chǔ)器存儲(chǔ)有可被至少一個(gè)處理器執(zhí)行的指令，指令被至少一個(gè)處理器執(zhí)行，以使至少一個(gè)處理器能夠執(zhí)行第一方面的網(wǎng)絡(luò)地址轉(zhuǎn)換行為檢測(cè)方法；終端設(shè)備連接網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備用于判斷終端是否為異常接入的終端設(shè)備。