CN108092976A - 设备指纹构造方法及装置 - Google Patents
设备指纹构造方法及装置 Download PDFInfo
- Publication number
- CN108092976A CN108092976A CN201711351417.2A CN201711351417A CN108092976A CN 108092976 A CN108092976 A CN 108092976A CN 201711351417 A CN201711351417 A CN 201711351417A CN 108092976 A CN108092976 A CN 108092976A
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- target
- feature set
- target device
- object feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明提供一种设备指纹构造方法及装置。在本方案中,识别设备与网关设备相互配合,识别设备根据预设发送策略向目标设备发送多种类型的探测报文,并接收目标设备基于探测报文发送的反馈报文;解析反馈报文,以得到目标设备基于该反馈报文的特征数据集,从多个反馈报文中的特征数据集中的相同数据类型中选取相同的特征数据以作为目标设备的第一目标特征集;网关设备接收目标设备发送的通信报文,并对通信报文进行解析,以得到目标设备的第二目标特征集;识别设备和/或网关设备根据所述第一目标特征集及第二目标特征集,生成与所述目标设备对应的唯一设备指纹。通过主动式与被动式相结合,得到的设备指纹有助于提高对设备识别的准确率。
Description
技术领域
本发明涉及设备指纹技术领域,具体而言,涉及一种设备指纹构造方法及装置。
背景技术
随着移动互联网的快速发展,针对移动互联网推广与运营中所面临的设备识别与追踪的问题,数字设备指纹技术成为了行业关注的焦点。在现有技术中,客户端主动收集与设备相关的信息和特征,通过对这些特征的识别来辨别不同的设备和相关用户。这种主动式设备指纹技术,在实际的应用中存在一些不足与局限,比如,不能实现Web与APP间的设备关联。由于针对Web访问和APP访问收集的设备特征不同,导致生成的设备指纹标识符也不相同,从而造成了同一设备上Web访问和APP访问的相关事件无法关联在一起,限制了主动式设备指纹技术使用的范围。
发明内容
为了克服上述现有技术中的不足,本发明提供一种设备指纹构造方法及装置,其得到的设备指纹有助于提高对设备识别的准确率,进而解决上述问题。
为了实现上述目的,本发明较佳实施例所提供的技术方案如下所示:
本发明较佳实施例提供一种设备指纹构造方法,应用于与目标设备通信连接的识别系统,所述识别系统包括识别设备及网关设备;所述方法包括:
所述识别设备根据预设发送策略向目标设备发送多种类型的探测报文,并接收所述目标设备基于所述探测报文发送的反馈报文;
所述识别设备解析所述反馈报文,以得到所述目标设备基于该反馈报文的特征数据集,从多个所述反馈报文中的特征数据集中的相同数据类型中选取相同的特征数据以作为所述目标设备的第一目标特征集;
所述网关设备接收所述目标设备发送的通信报文,并对所述通信报文进行解析,以得到所述目标设备的第二目标特征集;
所述识别设备和/或网关设备根据所述第一目标特征集及第二目标特征集,生成与所述目标设备对应的唯一设备指纹。
可选地,上述识别设备和/或网关设备根据所述第一目标特征集及第二目标特征集,生成与所述目标设备对应的唯一设备指纹的步骤,包括:
根据预设整合策略对所述第一目标特征集及第二目标特征集进行整合,以得到所述目标设备的最终目标特征集;
根据预设分割策略将所述最终目标特征集分割为多个数据包;
将多个所述数据包进行hash计算,以得到唯一所述设备指纹。
可选地,上述根据预设整合策略对所述第一目标特征集及第二目标特征集进行整合的步骤,包括:
将所述第一目标特征集及第二目标特征集中所有的特征数据的格式统一为预设格式;
删除所述第一目标特征集及第二目标特征集中的满足预设删除条件的字符,所述预设删除条件包括所述字符为标点符号、存在至少两个相同的特征数据中的至少一种。
可选地,上述生成与所述目标设备对应的唯一设备指纹的步骤之后,所述方法还包括:
根据预设密钥策略对所述设备指纹进行加密并存储,以形成指纹库。
可选地,上述根据预设密钥策略对所述设备指纹进行加密并存储,以形成指纹库的步骤,包括:
判断所述指纹库中是否存在与所述设备指纹相同的设备指纹;
若为否,将所述设备指纹进行加密并存入所述指纹库。
可选地,上述特征数据包括目标设备的类型、操作系统、设备品牌、设备型号、端口信息中的至少一种。
本发明的较佳实施例还提供一种设备指纹构造装置,应用于与目标设备通信连接的识别系统,所述识别系统包括识别设备及网关设备;所述设备指纹构造装置包括:
设置在所述识别设备上的报文接收发送单元,用于根据预设发送策略向目标设备发送多种类型的探测报文,并接收所述目标设备基于所述探测报文发送的反馈报文;
设置在所述识别设备的第一解析单元,用于解析所述反馈报文,以得到所述目标设备基于该反馈报文的特征数据集,从多个所述反馈报文中的特征数据集中的相同数据类型中选取相同的特征数据以作为所述目标设备的第一目标特征集;
设置在所述网关设备上的第二解析单元,用于接收所述目标设备发送的通信报文,并对所述通信报文进行解析,以得到所述目标设备的第二目标特征集;
设备指纹生成单元,用于根据所述第一目标特征集及第二目标特征集,生成与所述目标设备对应的唯一设备指纹。
可选地,上述设备指纹生成单元还用于:
根据预设整合策略对所述第一目标特征集及第二目标特征集进行整合,以得到所述目标设备的最终目标特征集;
根据预设分割策略将所述最终目标特征集分割为多个数据包;
将多个所述数据包进行hash计算,以得到唯一所述设备指纹。
可选地,上述设备指纹生成单元执行根据预设整合策略对所述第一目标特征集及第二目标特征集进行整合的步骤,包括:
将所述第一目标特征集及第二目标特征集中所有的特征数据的格式统一为预设格式;
删除所述第一目标特征集及第二目标特征集中的满足预设删除条件的字符,所述预设删除条件包括所述字符为标点符号、存在至少两个相同的特征数据中的至少一种。
可选地,上述设备指纹构造装置还包括加密存储单元,用于在设备指纹生成单元生成与所述目标设备对应的唯一设备指纹的步骤之后,根据预设密钥策略对所述设备指纹进行加密并存储,以形成指纹库。
相对于现有技术而言,本发明提供的设备指纹构造方法及装置至少具有以下有益效果:在本方案中,识别设备与网关设备相互配合,识别设备根据预设发送策略向目标设备发送多种类型的探测报文,并接收目标设备基于探测报文发送的反馈报文;识别设备解析反馈报文,以得到目标设备基于该反馈报文的特征数据集,从多个反馈报文中的特征数据集中的相同数据类型中选取相同的特征数据以作为目标设备的第一目标特征集;网关设备接收目标设备发送的通信报文,并对通信报文进行解析,以得到目标设备的第二目标特征集;识别设备和/或网关设备根据所述第一目标特征集及第二目标特征集,生成与所述目标设备对应的唯一设备指纹。通过主动式与被动式相结合,得到的设备指纹有助于提高对设备识别的准确率。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举本发明较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍。应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明较佳实施例提供的识别系统的交互示意图。
图2为本发明较佳实施例提供的设备指纹构造方法的流程示意图。
图3为图2中步骤S240的子步骤的流程示意图。
图4为本发明较佳实施例提供的设备指纹构造装置的方框示意图。
图标:10-识别系统;11-识别设备;12-网关设备;13-目标设备;14-网络;100-设备指纹构造装置;110-报文接收发送单元;120-第一解析单元;130-第二解析单元;140-设备指纹生成单元;150-加密存储单元。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
下面结合附图,对本发明的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参照图1,为本发明较佳实施例提供的识别系统10的交互示意图。在本实施例中,该识别系统10可以与目标设备13通信连接,该识别系统10可以包括识别设备11及网关设备12,识别设备11、网关设备12及目标设备13可以通过网络14相互连接,以进行数据交互。
可以理解的时,识别系统10可以包括至少一个识别设备11及至少一个网关设备12,一个识别设备11可以与至少一个目标设备13通信连接,一个网关设备12可以与一个或多个目标设备13通信连接。其中,目标设备13可以是,但不限于路由器、智能手机、平板电脑、个人计算机(personal computer,PC),这里不作具体限定。
请参照图2,为本发明较佳实施例提供的设备指纹构造方法的流程示意图。本发明提供的设备指纹构造方法可以应用于上述的识别系统10,通过识别设备11和网关设备12相互配合,以执行该设备指纹构造方法,使得得到的设备指纹包含的特征数据更多,有助于提高对设备识别的准确率。其中,特征数据包括目标设备13的类型、操作系统、设备品牌、设备型号、端口信息、协议类型中的至少一种。
下面将对图2中所示的设备指纹构造方法的各步骤进行详细阐述,在本实施例中,该设备指纹构造方法可以包括以下步骤:
步骤S210,识别设备11根据预设发送策略向目标设备13发送多种类型的探测报文,并接收所述目标设备13基于所述探测报文发送的反馈报文。
在本实施例中,探测报文可以是,但不限于FIN探测报文、BOGUS标记探测报文、ISN(Initial Sequence Number,初始序列号)探测报文、ACK(Acknowledgement,确认字符)值探测报文、ICMP(Internet Control Message Protocol,因特网控制报文协议)错误消息抑制探测报文、MSS(Management Support System,最大报文段长度)探测报文等。
在本实施例中,根据预设发送策略向目标设备13发送多种类型的探测报文的步骤可以为:例如,对预发送的探测报文进行排序,依照排序的顺序依次向目标设备13发送各类探测报文。或者基于探测报文对应的筛选效果,向目标设备13依次发送各类探测报文。例如,对于筛选后的特征数据较多的探测报文,可以优先发送,对于赛选后的特征数据较少的探测报文可以放在发送时序较晚的时间点发送。可理解地,该发送时序即为发送探测报文的时间点组成的时间序列。
例如,识别设备11向一开放的端口发送一个FIN探测报文(或FIN探测数据包),然后等待该端口对应的目标设备13的回应。根据目标设备13是否回复Rest来判断操作系统(Operating System,OS)的版本特征。比如,若为MSWdows、WindowsNT、HP/UX、MVS、CISCO版本,目标设备13便会返回一个Rest回应。若识别设备11未接收到Rest回应,则可判断目标设备13的操作系统的版本为其他版本。其中,该FIN探测报文可以不设置ACK和SYN标记。
可选地,识别设备11向目标设备13发送一个含有未定义的TCP标记和TCP头的BOGUS标记探测报文(或SYN包),根据目标设备13是否回应来判断版本信息。例如:Lunix会回应这个SYN包,其中包含这个未定义的标记,而其他一些操作系统收到这种包将直接关闭连接。
可选地,识别设备11向目标设备13发送ISN探测报文,以使目标设备13响应一个连接请求,根据TCP协议实现所选择的初始化序列数的式样来判断操作系统。例如,早期的UNIX系统初始化序列号以64K递增,而一些新的UNIX系统如Solaris、IRIX、FreeBSD、Digital UNIX、Cray等则是随机增加初始化序列号的值。
可选地,识别设备11向一个开放的端口发送一个ACK值探测报文(可以为ACK包),根据目标设备13设置的ACK序列号上存在差异来判断操作系统。例如,有的操作系统会将ACK值设置为所确认的TCP数据包的序列号,而另一些则将所确认的TCP数据包序列号加1作为ACK序列号返回。
可选地,识别设备11向一随机选定的端口发送ICMP错误消息抑制报文(可以为UDP包),根据在给定时间段内接受不可到达错误消息的数目来判断操作系统,一些操作系统会限制返回ICMP错误的速率。例如,Linux内核限制UDP包不可到达目的地的速度是每4分钟80次,当产生错误的速率超过以上标准就会以1/4秒的延迟作为加罚。
可选地,识别设备11向一开放的端口发送较大的MSS报文(可以为较大的数据包)。根据不同的操作系统有不同缺省(缺省又称默认)MSS值,对不同的MSS值的回应也不同来判断操作系统。例如,识别设备11向Linux的目标设备13发送一个MSS值很小的包,该目标设备13会把这个值原封不动地返回,而其它的操作系统会返回不同的值。
步骤S220,识别设备11解析所述反馈报文,以得到所述目标设备13基于该反馈报文的特征数据集,从多个所述反馈报文中的特征数据集中的相同数据类型中选取相同的特征数据以作为所述目标设备13的第一目标特征集。
在本实施例中,基于不同类型的探测报文,可得到不同的反馈报文,通过对反馈报文进行解析,可确定目标设备13的特征数据集。例如,在对目标设备13的操作系统的识别过程中,可通过上述的方式发送不同类型的探测报文,然后对反馈报文得到的特征数据集进行筛选,基于操作系统类的特征数据集,取其交集,以作为该目标设备13的版本特征集,该版本特征集中存在至少一个该目标设备13的版本特征。
比如,通过FIN探测报文可以识别出操作系统的版本不为MSWdows、WindowsNT、HP/UX、MVS、CISCO中的任意一个,而BOGUS标记探测报文以识别出操作系统的版本为Lunix。其交集便为Lunix版本。
步骤S230,网关设备12接收所述目标设备13发送的通信报文,并对所述通信报文进行解析,以得到所述目标设备13的第二目标特征集。
在本实施例中,网关设备12可根据通信报文中是否表征目标设备13设置了服务类型来判断其操作系统。比如,网关设备12检测ICMP端口不可达消息,送回包的服务类型大多数操作系统是0,而Linux是0xc0。
可选地,网关设备12可根据通信报文中的DF(报文标志字段中间的一位是DF(Don't Fragment))判断目标设备13的操作系统。比如,根据不同操作系统对DF位有不同的处理方式来判断,如:有些操作系统设置DF位,有些不设置DF位,还有一些OS在特定场合才会设置DF位,而在其它场合不设置DF位,其具体操作系统可根据实际情况进行判断,这里不作具体限定。
可选地,基于接收的通信报文,网关设备12根据TCP接收、发送窗口大小来判断不同的操作系统。比如,不同操作系统,在接收的报文(数据包)的数量(流量或个数)超过不同的阈值时发送ACK包。一些特定操作系统的缺省窗口大小(Window Size)通常为常数,如:AIX用0x3F25,Windows、OpenBSD、FreeBSD用0x402E,UNIX的Window Size较大,MSWindows、路由器、交换机等的较小。
可选地,网关设备12还可以根据通信报文中表征目标设备13对出站的报文(或数据包)设置的存活时间(Time To Live,TTL)值来判断不同的操作系统。比如:
TTL值为60的操作系统包括Digital Unix 4.0Alpha/AIX 4.3.x IBM/RS6000;
TTL值为64的操作系统包括Linux 2.2.x Intel/Solaris 8Intel/Sparc;
TTL值为128的操作系统包括Windows 9x/NT/2000Intel/Netware 4.11Intel中的一种;
TTL值为255的操作系统包括Cisco 12.02514。
步骤S240,识别设备11和/或网关设备12根据所述第一目标特征集及第二目标特征集,生成与所述目标设备13对应的唯一设备指纹。
请参照图3为图2中步骤S240的子步骤的流程示意图。在本实施例中,步骤S240可以包括子步骤S241、子步骤S242及子步骤S243。
子步骤S241,根据预设整合策略对所述第一目标特征集及第二目标特征集进行整合,以得到所述目标设备13的最终目标特征集。
在本实施例中,子步骤S241可以为:将所述第一目标特征集及第二目标特征集中所有的特征数据的格式统一为预设格式(比如XML格式);删除所述第一目标特征集及第二目标特征集中的满足预设删除条件的字符,所述预设删除条件包括所述字符为标点符号、存在至少两个相同的特征数据中的至少一种。
例如,在对第一目标特征集及第二目标特征集中内容进行删除时,可删除第一目标特征集及第二目标特征集中的所有标点符号,以避免影响指纹生成的唯一性。若第一目标特征集及第二目标特征集中存在重复的特征数据,保留相同特征数据中的一个,删除其余特征数据相同的特征数据。
子步骤S242,根据预设分割策略将所述最终目标特征集分割为多个数据包。
在本实施例中,可根据预设数据包的大小,将最终目标特征集分割为与预设数据包等大的数据包,其中,最终目标特征集中的剩余数据小于预设数据包的大小时,可将剩余数据作为一个数据包。或者,根据预设数目,将最终目标特征集划分为预设数目的数据包,每个数据包的大小可以相同,也可以不同。其中,预设数据包的大小及预设数目可根据实际情况进行设置,这里不作具体限定。
子步骤S243,将多个所述数据包进行hash计算,以得到唯一所述设备指纹。
在本实施例中,通过对多个所述数据包进行hash计算,将所有的数据包的计算结果相组合,可得到目标设备13的唯一设备指纹。
可选地,在步骤S240之后,该方法还可以包括对设备指纹进行加密的步骤。例如,根据预设密钥策略对所述设备指纹进行加密并存储,以形成指纹库。
例如,可通过非对称加密算法(比如,RSA算法)或对称算法(比如,DES算法)对设备指纹进行加密,以提高指纹库的安全等级,避免设备指纹被篡改或被窃取。
可选地,加密存储的步骤可以包括:判断所述指纹库中是否存在与所述设备指纹相同的设备指纹;若为否,将所述设备指纹进行加密并存入所述指纹库。
可理解地,判断所述指纹库中是否存在与所述设备指纹相同的设备指纹的过程可以为机器学习。基于深度学习算法,对指纹库中未记录的设备指纹进行添加,利用深度学习模型进行处理,从而建立新的设备指纹,对设备指纹库进行补充,可避免遗漏新的设备指纹,以及避免重复添加相同的设备指纹,有助于提高构建指纹库的效率。
值得说明的是,目标设备13的类型、设备品牌、设备型号、端口信息等可通过人工进行识别标记,以作为组成设备指纹的特征。
基于上述设计,识别设备11设置在网络14可达的任意位置,通过识别设备11和网关设备12相互配合,得到的设备指纹包含的特征数据更多,当采用该设备指纹识别设备11时,可提高对设备识别的准确率。通过识别设备11和网关设备12相结合,可实现跨Web/App、跨浏览器,对目标设备13进行跨应用追踪。另外,本方案通过获取关键信息(特征数据),可在不产生隐私侵犯的情况下实现对目标设备13的识别与指纹建立,可提高隐蔽性。
值得说明的是,该设备指纹可以用于但不限于:防作弊评论,在评论区提供营销反作弊服务,高效监测作弊评论行为;防刷单,防IP代理检测,精准防护,避免刷单行为产生;防作弊投票,实时过滤监控作弊投票行为,以保障用户利益。
请参照图4,为本发明较佳实施例提供的设备指纹构造装置100的方框示意图。该设备指纹构造装置100可以应用于上述的识别系统10,该识别系统10可与目标设备13通信连接,该设备指纹构造装置100用于执行上述的设备指纹构造方法,以得到设备指纹。其中,设备指纹构造装置100可以包括报文接收发送单元110、第一解析单元120、第二解析单元130及设备指纹生成单元140。
报文接收发送单元110可设置在识别设备11上,用于根据预设发送策略向目标设备13发送多种类型的探测报文,并接收所述目标设备13基于所述探测报文发送的反馈报文。具体地,报文接收发送单元110可以执行图2中所示的步骤S210,具体执行的操作内容可参照对步骤S210的详细描述。
第一解析单元120可设置在识别设备11上,用于解析所述反馈报文,以得到所述目标设备13基于该反馈报文的特征数据集,从多个所述反馈报文中的特征数据集中的相同数据类型中选取相同的特征数据以作为所述目标设备13的第一目标特征集。具体地,第一解析单元120可以执行图2中所示的步骤S220,具体执行的操作内容可参照对步骤S220的详细描述。
第二解析单元130可以设置在所述网关设备12上,用于接收所述目标设备13发送的通信报文,并对所述通信报文进行解析,以得到所述目标设备13的第二目标特征集。具体地,第二解析单元130可以执行图2中所示的步骤S230,具体执行的操作内容可参照对步骤S230的详细描述。
设备指纹生成单元140,用于根据所述第一目标特征集及第二目标特征集,生成与所述目标设备13对应的唯一设备指纹。
设备指纹生成单元140还用于:根据预设整合策略对所述第一目标特征集及第二目标特征集进行整合,以得到所述目标设备13的最终目标特征集;根据预设分割策略将所述最终目标特征集分割为多个数据包;将多个所述数据包进行hash计算,以得到唯一所述设备指纹。
其中,设备指纹生成单元140执行根据预设整合策略对所述第一目标特征集及第二目标特征集进行整合的步骤,包括:将所述第一目标特征集及第二目标特征集中所有的特征数据的格式统一为预设格式;删除所述第一目标特征集及第二目标特征集中的满足预设删除条件的字符,所述预设删除条件包括所述字符为标点符号、存在至少两个相同的特征数据中的至少一种。
具体地,设备指纹生成单元140可以执行图2中所示的步骤S240,具体执行的操作内容可参照对步骤S240的详细描述。
可选地,设备指纹构造装置100还包括加密存储单元150,用于在设备指纹生成单元140生成与所述目标设备13对应的唯一设备指纹的步骤之后,根据预设密钥策略对所述设备指纹进行加密并存储,以形成指纹库。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现,基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施场景所述的方法。
综上所述,本发明提供一种设备指纹构造方法及装置。在本方案中,识别设备与网关设备相互配合,识别设备根据预设发送策略向目标设备发送多种类型的探测报文,并接收目标设备基于探测报文发送的反馈报文;解析反馈报文,以得到目标设备基于该反馈报文的特征数据集,从多个反馈报文中的特征数据集中的相同数据类型中选取相同的特征数据以作为目标设备的第一目标特征集;网关设备接收目标设备发送的通信报文,并对通信报文进行解析,以得到目标设备的第二目标特征集;识别设备和/或网关设备根据所述第一目标特征集及第二目标特征集,生成与所述目标设备对应的唯一设备指纹。通过主动式与被动式相结合,得到的设备指纹有助于提高对设备识别的准确率。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种设备指纹构造方法,其特征在于,应用于与目标设备通信连接的识别系统,所述识别系统包括识别设备及网关设备;所述方法包括:
所述识别设备根据预设发送策略向目标设备发送多种类型的探测报文,并接收所述目标设备基于所述探测报文发送的反馈报文;
所述识别设备解析所述反馈报文,以得到所述目标设备基于该反馈报文的特征数据集,从多个所述反馈报文中的特征数据集中的相同数据类型中选取相同的特征数据以作为所述目标设备的第一目标特征集;
所述网关设备接收所述目标设备发送的通信报文,并对所述通信报文进行解析,以得到所述目标设备的第二目标特征集;
所述识别设备和/或网关设备根据所述第一目标特征集及第二目标特征集,生成与所述目标设备对应的唯一设备指纹。
2.根据权利要求1所述的方法,其特征在于,所述识别设备和/或网关设备根据所述第一目标特征集及第二目标特征集,生成与所述目标设备对应的唯一设备指纹的步骤,包括:
根据预设整合策略对所述第一目标特征集及第二目标特征集进行整合,以得到所述目标设备的最终目标特征集;
根据预设分割策略将所述最终目标特征集分割为多个数据包;
将多个所述数据包进行hash计算,以得到唯一所述设备指纹。
3.根据权利要求2所述的方法,其特征在于,所述根据预设整合策略对所述第一目标特征集及第二目标特征集进行整合的步骤,包括:
将所述第一目标特征集及第二目标特征集中所有的特征数据的格式统一为预设格式;
删除所述第一目标特征集及第二目标特征集中的满足预设删除条件的字符,所述预设删除条件包括所述字符为标点符号、存在至少两个相同的特征数据中的至少一种。
4.根据权利要求1所述的方法,其特征在于,所述生成与所述目标设备对应的唯一设备指纹的步骤之后,所述方法还包括:
根据预设密钥策略对所述设备指纹进行加密并存储,以形成指纹库。
5.根据权利要求4所述的方法,其特征在于,所述根据预设密钥策略对所述设备指纹进行加密并存储,以形成指纹库的步骤,包括:
判断所述指纹库中是否存在与所述设备指纹相同的设备指纹;
若为否,将所述设备指纹进行加密并存入所述指纹库。
6.根据权利要求1-5中任意一项所述的方法,其特征在于,所述特征数据包括目标设备的类型、操作系统、设备品牌、设备型号、端口信息中的至少一种。
7.一种设备指纹构造装置,其特征在于,应用于与目标设备通信连接的识别系统,所述识别系统包括识别设备及网关设备;所述设备指纹构造装置包括:
设置在所述识别设备上的报文接收发送单元,用于根据预设发送策略向目标设备发送多种类型的探测报文,并接收所述目标设备基于所述探测报文发送的反馈报文;
设置在所述识别设备的第一解析单元,用于解析所述反馈报文,以得到所述目标设备基于该反馈报文的特征数据集,从多个所述反馈报文中的特征数据集中的相同数据类型中选取相同的特征数据以作为所述目标设备的第一目标特征集;
设置在所述网关设备上的第二解析单元,用于接收所述目标设备发送的通信报文,并对所述通信报文进行解析,以得到所述目标设备的第二目标特征集;
设备指纹生成单元,用于根据所述第一目标特征集及第二目标特征集,生成与所述目标设备对应的唯一设备指纹。
8.根据权利要求7所述的设备指纹构造装置,其特征在于,所述设备指纹生成单元还用于:
根据预设整合策略对所述第一目标特征集及第二目标特征集进行整合,以得到所述目标设备的最终目标特征集;
根据预设分割策略将所述最终目标特征集分割为多个数据包;
将多个所述数据包进行hash计算,以得到唯一所述设备指纹。
9.根据权利要求8所述的设备指纹构造装置,其特征在于,所述设备指纹生成单元执行根据预设整合策略对所述第一目标特征集及第二目标特征集进行整合的步骤,包括:
将所述第一目标特征集及第二目标特征集中所有的特征数据的格式统一为预设格式;
删除所述第一目标特征集及第二目标特征集中的满足预设删除条件的字符,所述预设删除条件包括所述字符为标点符号、存在至少两个相同的特征数据中的至少一种。
10.根据权利要求7-9中任意一项所述的设备指纹构造装置,其特征在于,所述设备指纹构造装置还包括加密存储单元,用于在设备指纹生成单元生成与所述目标设备对应的唯一设备指纹的步骤之后,根据预设密钥策略对所述设备指纹进行加密并存储,以形成指纹库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711351417.2A CN108092976A (zh) | 2017-12-15 | 2017-12-15 | 设备指纹构造方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711351417.2A CN108092976A (zh) | 2017-12-15 | 2017-12-15 | 设备指纹构造方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108092976A true CN108092976A (zh) | 2018-05-29 |
Family
ID=62176397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711351417.2A Pending CN108092976A (zh) | 2017-12-15 | 2017-12-15 | 设备指纹构造方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108092976A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108923974A (zh) * | 2018-06-29 | 2018-11-30 | 杭州安恒信息技术股份有限公司 | 一种物联网资产指纹识别方法及系统 |
| CN109657447A (zh) * | 2018-11-28 | 2019-04-19 | 腾讯科技(深圳)有限公司 | 一种设备指纹生成方法及装置 |
| CN109948650A (zh) * | 2019-02-13 | 2019-06-28 | 南京中一物联科技有限公司 | 一种基于报文特征的智能家居设备类型判定方法 |
| CN110113335A (zh) * | 2019-05-06 | 2019-08-09 | 杭州齐安科技有限公司 | 一种工控设备指纹归一化方法 |
| CN110336896A (zh) * | 2019-07-17 | 2019-10-15 | 山东中网云安智能科技有限公司 | 一种局域网设备类型识别方法 |
| CN111028085A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于主被动结合的网络靶场资产信息采集方法及装置 |
| CN112118256A (zh) * | 2020-09-17 | 2020-12-22 | 浙江齐安信息科技有限公司 | 工控设备指纹归一化方法、装置、计算机设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160127898A1 (en) * | 2014-10-30 | 2016-05-05 | The Western Union Company | Methods and systems for validating mobile devices of customers via third parties |
| CN106254370A (zh) * | 2016-08-30 | 2016-12-21 | 成都源知信息技术有限公司 | 一种网络设备指纹生成方法及探测设备 |
| CN106302397A (zh) * | 2016-07-29 | 2017-01-04 | 北京北信源软件股份有限公司 | 一种基于设备指纹的设备识别系统 |
| CN106407768A (zh) * | 2015-07-29 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 一种设备指纹的确定、对目标设备进行识别的方法和设备 |
| CN106453437A (zh) * | 2016-12-22 | 2017-02-22 | 中国银联股份有限公司 | 一种设备识别码获取方法及装置 |
| CN106487879A (zh) * | 2016-09-20 | 2017-03-08 | 北京知道未来信息技术有限公司 | 一种基于设备指纹库的网络设备识别方法和装置 |
-
2017
- 2017-12-15 CN CN201711351417.2A patent/CN108092976A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160127898A1 (en) * | 2014-10-30 | 2016-05-05 | The Western Union Company | Methods and systems for validating mobile devices of customers via third parties |
| CN106407768A (zh) * | 2015-07-29 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 一种设备指纹的确定、对目标设备进行识别的方法和设备 |
| CN106302397A (zh) * | 2016-07-29 | 2017-01-04 | 北京北信源软件股份有限公司 | 一种基于设备指纹的设备识别系统 |
| CN106254370A (zh) * | 2016-08-30 | 2016-12-21 | 成都源知信息技术有限公司 | 一种网络设备指纹生成方法及探测设备 |
| CN106487879A (zh) * | 2016-09-20 | 2017-03-08 | 北京知道未来信息技术有限公司 | 一种基于设备指纹库的网络设备识别方法和装置 |
| CN106453437A (zh) * | 2016-12-22 | 2017-02-22 | 中国银联股份有限公司 | 一种设备识别码获取方法及装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108923974A (zh) * | 2018-06-29 | 2018-11-30 | 杭州安恒信息技术股份有限公司 | 一种物联网资产指纹识别方法及系统 |
| CN109657447A (zh) * | 2018-11-28 | 2019-04-19 | 腾讯科技(深圳)有限公司 | 一种设备指纹生成方法及装置 |
| CN109657447B (zh) * | 2018-11-28 | 2023-03-14 | 腾讯科技(深圳)有限公司 | 一种设备指纹生成方法及装置 |
| CN109948650A (zh) * | 2019-02-13 | 2019-06-28 | 南京中一物联科技有限公司 | 一种基于报文特征的智能家居设备类型判定方法 |
| CN109948650B (zh) * | 2019-02-13 | 2023-08-11 | 南京中一物联科技有限公司 | 一种基于报文特征的智能家居设备类型判定方法 |
| CN111028085A (zh) * | 2019-03-29 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于主被动结合的网络靶场资产信息采集方法及装置 |
| CN110113335A (zh) * | 2019-05-06 | 2019-08-09 | 杭州齐安科技有限公司 | 一种工控设备指纹归一化方法 |
| CN110336896A (zh) * | 2019-07-17 | 2019-10-15 | 山东中网云安智能科技有限公司 | 一种局域网设备类型识别方法 |
| CN110336896B (zh) * | 2019-07-17 | 2022-04-01 | 山东中网云安智能科技有限公司 | 一种局域网设备类型识别方法 |
| CN112118256A (zh) * | 2020-09-17 | 2020-12-22 | 浙江齐安信息科技有限公司 | 工控设备指纹归一化方法、装置、计算机设备及存储介质 |
| CN112118256B (zh) * | 2020-09-17 | 2023-03-24 | 浙江齐安信息科技有限公司 | 工控设备指纹归一化方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108092976A (zh) | 设备指纹构造方法及装置 | |
| CN101123583B (zh) | 网络节点设备及其方法 | |
| US7890752B2 (en) | Methods, systems, and computer program products for associating an originator of a network packet with the network packet using biometric information | |
| JP4596275B2 (ja) | リレー通信を検知する方法、システム及びソフトウェア | |
| CN102724317B (zh) | 一种网络数据流量分类方法和装置 | |
| US7483972B2 (en) | Network security monitoring system | |
| CN112995151B (zh) | 访问行为处理方法和装置、存储介质及电子设备 | |
| CN104811462B (zh) | 一种接入网关重定向方法及接入网关 | |
| Bowen et al. | Automating the injection of believable decoys to detect snooping | |
| CN107733581A (zh) | 基于全网环境下的快速互联网资产特征探测方法及装置 | |
| Osanaiye et al. | TCP/IP header classification for detecting spoofed DDoS attack in Cloud environment | |
| CN101707608A (zh) | 应用层协议自动化测试方法及装置 | |
| CN108063714A (zh) | 一种网络请求的处理方法及装置 | |
| CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
| CN115208678B (zh) | 一种智能网络安全防护方法、系统、设备及介质 | |
| CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
| CN109067622A (zh) | 状态探测方法、装置及网络服务器 | |
| CN112751861A (zh) | 一种基于密网和网络大数据的恶意邮件检测方法及系统 | |
| CN108965309B (zh) | 一种数据传输处理方法、装置、系统及设备 | |
| CN105991370B (zh) | 一种udp通道探测方法及装置 | |
| CN114244788B (zh) | 数据的响应方法、装置以及系统 | |
| CN114760216A (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
| CN108123955A (zh) | 安全表项的管理方法、装置、设备及机器可读存储介质 | |
| CN102957581A (zh) | 网络接入检测系统和网络接入检测方法 | |
| CN106027571B (zh) | 一种应用于集群中的网络安全方法及网络安全服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 311501, Unit 1, Building 5, Courtyard 1, Futong East Street, Chaoyang District, Beijing Applicant after: Beijing Zhichuangyu Information Technology Co., Ltd. Address before: Room 803, Jinwei Building, 55 Lanindichang South Road, Haidian District, Beijing Applicant before: Beijing Knows Chuangyu Information Technology Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180529 |
|
| RJ01 | Rejection of invention patent application after publication |