CN110445689A - 识别物联网设备类型的方法、装置及计算机设备 - Google Patents

识别物联网设备类型的方法、装置及计算机设备 Download PDF

Info

Publication number
CN110445689A
CN110445689A CN201910755293.7A CN201910755293A CN110445689A CN 110445689 A CN110445689 A CN 110445689A CN 201910755293 A CN201910755293 A CN 201910755293A CN 110445689 A CN110445689 A CN 110445689A
Authority
CN
China
Prior art keywords
equipment
things
data
identified
decision tree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910755293.7A
Other languages
English (en)
Other versions
CN110445689B (zh
Inventor
刘利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN201910755293.7A priority Critical patent/CN110445689B/zh
Publication of CN110445689A publication Critical patent/CN110445689A/zh
Application granted granted Critical
Publication of CN110445689B publication Critical patent/CN110445689B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了识别物联网设备类型的方法,包括:获取待识别设备当前时刻对应的网络活动样本;从网络活动样本中选取第一预设数量的第一网络数据包;从静态行为数据中获取第一静态特征对应的第一赋值,从动态行为数据中获取第一动态特征对应的第一数据;将第一静态特征和第一赋值组成静态特征向量,将第一动态特征和第一数据组成动态特征向量;将预设数量的第一网络数据包,分别对应的所有静态特征向量以及所有动态特征向量进行组合,得到待识别设备对应的指纹数据;根据待识别设备对应的指纹数据,判断待识别设备是否包含于当前物联网对应的第一聚类簇中;若是,则判定待识别设备的设备类型,与第一聚类簇对应的设备类型一致。

Description

识别物联网设备类型的方法、装置及计算机设备
技术领域
本申请涉及到计算机领域,特别是涉及到识别物联网设备类型的方法、装置及计算机设备。
背景技术
现有技术中,物联网的设备识别的安全性问题没有得到足够的重视和很好的解决。当智能设备进入物联网网络或从中移除时,由于不同设备的协议和控制接口种类繁多,现有物联网识别设备借助加密协议实现认证,但是加密协议的计算复杂度和与密钥管理相关的问题,使得物联网不能够及时确定该智能设备的类型,而且大部分基于加密的身份验证协议都不适用于物联网。
发明内容
本申请的主要目的为提供识别物联网设备类型的方法,旨在解决现有人工地址匹配存在缺陷的技术问题。
本申请提出一种识别物联网设备类型的方法,包括:
获取待识别设备当前时刻对应的网络活动样本;
从所述网络活动样本中选取第一预设数量的第一网络数据包,其中,所述第一网络数据包中包括所述待识别设备分别对应的静态行为数据和动态行为数据;
从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据,其中,所述第一静态特征包含于所述第一网络数据包的包头特征中,所述第一动态特征包含于所述第一网络数据包的负载特征中;
将所述第一静态特征和所述第一赋值组成静态特征向量,将所述第一动态特征和所述第一数据组成动态特征向量;
将所述预设数量的第一网络数据包,分别对应的所有所述静态特征向量以及所有所述动态特征向量进行组合,得到所述待识别设备对应的指纹数据;
根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中,其中,所述第一聚类簇包含于所述当前物联网中所有设备类型分别对应的聚类簇;
若是,则判定所述待识别设备的设备类型,与所述第一聚类簇对应的设备类型一致。
优选地,所述根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中的步骤,包括:
确定所述第一聚类簇中包括的决策树信息,其中,所述决策树信息至少包括决策树数量和决策树序号,所述决策树序号为构建决策树时对应的构建次序;
根据所述决策树信息确定所述第一聚类簇对应的特征设备;
获取第一设备在第一时刻对应的第一指纹数据,其中,所述第一设备包含于所有所述特征设备中;
将指定时间段内的所有所述第一指纹数据,集合为所述第一设备的行为画像;
将所有所述特征设备分别对应的行为画像,集合为所述第一聚类簇对应设备类型的画像特征;
判断所述待识别设备对应的指纹数据是否包含于所述画像特征中;
若是,则判定所述待识别设备包含于当前物联网对应的第一聚类簇中,否则判定所述待识别设备不包含于当前物联网对应的第一聚类簇中。
优选地,所述确定所述第一聚类簇中包括的决策树信息的步骤,包括:
获取所述当前物联网包括的所有聚类簇;
根据计算所有所述聚类簇的质心之和,其中,S表示所有簇的质心之和,Pi是第i个聚类簇的平均准确率,M是聚类簇的总数量,所述第i个聚类簇包含于所有所述聚类簇中;
将所述质心之和代入公式中,得到各所述聚类簇分别对应的权重,其中,Wi是第i个聚类簇对应的权重;
根据Si=Wi*N,计算各所述聚类簇分别对应的决策树数量;
根据所述第一聚类簇对应的决策树数量,确定所述第一聚类簇对应的决策树序号。
优选地,所述静态行为数据至少包括网络属性、网络传输协议、网络配置和网络可选字段,所述动态行为数据至少包括负载的熵、传输控制协议的负载长度和传输控制协议的窗口大小,所述从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据的步骤,包括:
分别获取所述第一网络数据包中,各所述第一静态特征分别对应的存在状态,存在状态对应的赋值为二进制赋值0或1;
从所述第一网络数据包的传输控制协议的消息中获取携带的所述传输控制协议的负载长度以及所述传输控制协议的窗口大小;
根据所述计算所述第一网络数据包对应的负载的熵,其中,Pi表示字节值i在m字节上出现的概率,即m字节表示所述第一网络数据包对应的信息内容。
优选地,所述获取待识别设备当前时刻对应的网络活动样本的步骤之前,包括:
从数据库中提取指定物联网对应的数据集;
将所述数据集划分为第一指定数量的子集,其中,各所述子集为通过对所述数据集进行行采样得到的样本数据;
对所有所述样本数据的特征进行列采样,得到第二指定数量子样本;
通过随机抽样对各所述子样本分别构建决策树;
调用聚类算法对所有所述决策树进行聚类,得到所述指定物联网对应的聚类簇。
优选地,所述调用聚类算法对所有所述决策树进行聚类,得到所述指定物联网对应的聚类簇的步骤,包括:
计算第一决策树各层结构分别对应的第一准确率,其中,所述第一决策树包含于所有所述决策树中;
将各所述第一准确率按照与各所述层结构的一一对应关系,按照各所述层结构的排列次序形成第一序列;
将所述第一序列作为所述第一决策树的向量,并按照所述第一决策树的向量的获取过程,得到所述数据集中所有所述决策树分别对应的向量;
将各所述决策树分别对应的向量,调用聚类算法进行聚类计算,得到聚类簇。
本申请还提供了一种识别物联网设备类型的装置,包括:
第一获取模块,用于获取待识别设备当前时刻对应的网络活动样本;
选取模块,用于从所述网络活动样本中选取第一预设数量的第一网络数据包,其中,所述第一网络数据包中包括所述待识别设备分别对应的静态行为数据和动态行为数据;
第二获取模块,用于从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据,其中,所述第一静态特征包含于所述第一网络数据包的包头特征中,所述第一动态特征包含于所述第一网络数据包的负载特征中;
组成模块,用于将所述第一静态特征和所述第一赋值组成静态特征向量,将所述第一动态特征和所述第一数据组成动态特征向量;
组合模块,用于将所述预设数量的第一网络数据包,分别对应的所有所述静态特征向量以及所有所述动态特征向量进行组合,得到所述待识别设备对应的指纹数据;
判断模块,用于根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中,其中,所述第一聚类簇包含于所述当前物联网中所有设备类型分别对应的聚类簇;
判定模块,用于若所述待识别设备包含于当前物联网对应的第一聚类簇中,则判定所述待识别设备的设备类型,与所述第一聚类簇对应的设备类型一致。
优选地,所述判断模块,包括:
第一确定单元,用于确定所述第一聚类簇中包括的决策树信息,其中,所述决策树信息至少包括决策树数量和决策树序号,所述决策树序号为构建决策树时对应的构建次序;
第二确定单元,用于根据所述决策树信息确定所述第一聚类簇对应的特征设备;
获取单元,用于获取第一设备在第一时刻对应的第一指纹数据,其中,所述第一设备包含于所有所述特征设备中;
第一集合单元,用于将指定时间段内的所有所述第一指纹数据,集合为所述第一设备的行为画像;
第二集合单元,用于将所有所述特征设备分别对应的行为画像,集合为所述第一聚类簇对应设备类型的画像特征;
判断单元,用于判断所述待识别设备对应的指纹数据是否包含于所述画像特征中;
判定单元,用于若是,则判定所述待识别设备包含于当前物联网对应的第一聚类簇中,否则判定所述待识别设备不包含于当前物联网对应的第一聚类簇中。
本申请还提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法的步骤。
本申请通过将待识别设备对应网络数据包的包头特征和负载特征,组成待识别设备的指纹数据,并根据指纹数据与物联网包括的所有设备类型对应的聚类簇的匹配率,实现物联网中设备类型的识别,实现对进入物联网或从物联网移除的设备进行有效监控,防止黑客设备入侵物联网,提高物联网的安全性。通过存储物联网数据的数据库中,直接获取待识别设备的网络活动样本,并从网络活动样本中选取第一预设数量的网络数据包,并从网络数据包中提取对应的包头特征和负载特征,以形成指纹数据。无需通过加密设备协议的授权,直接通过访问设备获取设备的控制接口和控制协议,降低加密维护成本管理复杂度,提高物联网的安全性。通过选取部分决策树,获取聚类簇对应的特征信息,在保证可靠性的前提下,大大降低数据计算量,提高设备识别的实时性,以便及时发现可疑的黑客设备,及时报警并采取措施,最大限度保障物联网的安全性。
附图说明
图1本申请一实施例的识别物联网设备类型的方法流程示意图;
图2本申请一实施例的识别物联网设备类型的装置结构示意图;
图3本申请一实施例的计算机设备内部结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参照图1,本申请一实施例的识别物联网设备类型的方法,包括:
S1a:获取待识别设备当前时刻对应的网络活动样本。
S1b:从所述网络活动样本中选取第一预设数量的第一网络数据包,其中,所述第一网络数据包中包括所述待识别设备分别对应的静态行为数据和动态行为数据。
S1c:从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据,其中,所述第一静态特征包含于所述第一网络数据包的包头特征中,所述第一动态特征包含于所述第一网络数据包的负载特征中。
S1d:将所述第一静态特征和所述第一赋值组成静态特征向量,将所述第一动态特征和所述第一数据组成动态特征向量。
S1e:将所述预设数量的第一网络数据包,分别对应的所有所述静态特征向量以及所有所述动态特征向量进行组合,得到所述待识别设备对应的指纹数据。
S2:根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中,其中,所述第一聚类簇包含于所述当前物联网中所有设备类型分别对应的聚类簇。
S3:若是,则判定所述待识别设备的设备类型,与所述第一聚类簇对应的设备类型一致。
本实施例通过将待识别设备对应网络数据包的包头特征和负载特征,组成待识别设备的指纹数据,并根据指纹数据与物联网包括的所有设备类型对应的聚类簇的匹配率,实现物联网中设备类型的识别,实现对进入物联网或从物联网移除的设备进行有效监控,防止黑客设备入侵物联网,提高物联网的安全性。比如,本实施例通过将待识别设备的指纹数据,与各聚类簇对应的特征数据进行匹配,计算匹配率,与第一聚类簇的匹配率最高,则待识别设备与第一聚类簇对应的设备类型相同,则说明待识别设备属于物联网的授权管理范围,待识别设备对物联网安全可靠。本实施例通过从待识别设备对应网络数据包中,提取对应的特征实现对设备类型的判定,并进而判断该待是被设备是否属于物联网的授权范围,本实施例无需通过加密设备协议的授权,直接通过访问设备获取设备的控制接口和控制协议,降低加密维护成本管理复杂度,提高物联网的安全性。
本实施例通过存储物联网数据的数据库中,直接获取待识别设备的网络活动样本,并从网络活动样本中选取第一预设数量的网络数据包,并从网络数据包中提取对应的包头特征和负载特征,以形成指纹数据。设备根据不同的指令会生成对应的响应序列,指令与对应的响应序列组成一个会话,记录为网络活动样本,一个会话中包括多个网络数据包,上述第一预设数量能满足获取到代表待识别设备的所有特征量,比如第一预设数量为5个。本申请其他实施例中,当一个会话中包括的网络数据包的数量不足预设数量,比如不足5个,可通过添补网络数据包的方式满足,且将添补网络数据包内对应的特征赋值,均设为零。
进一步地,所述根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中的步骤S2,包括:
S21:确定所述第一聚类簇中包括的决策树信息,其中,所述决策树信息至少包括决策树数量和决策树序号,所述决策树序号为构建决策树时对应的构建次序。
S22:根据所述决策树信息确定所述第一聚类簇对应的特征设备。
S23:获取第一设备在第一时刻对应的第一指纹数据,其中,所述第一设备包含于所有所述特征设备中。
S24:将指定时间段内的所有所述第一指纹数据,集合为所述第一设备的行为画像。
S25;将所有所述特征设备分别对应的行为画像,集合为所述第一聚类簇对应设备类型的画像特征。
S26:判断所述待识别设备对应的指纹数据是否包含于所述画像特征中。
S27:若是,则判定所述待识别设备包含于当前物联网对应的第一聚类簇中,否则判定所述待识别设备不包含于当前物联网对应的第一聚类簇中。
本实施例通过分别对样本对应的特征,构建决策树,并通过对决策树进行聚类实现对物联网中的设备类型的区分。通过聚类簇中包括的决策树数量以及决策树序号,确定聚类簇对应的特征信息,上述特征信息为分类器识别待识别设备的设备类型的依据。从设备的网络活动样本中识别设备类型的过程如下,从设备Di的网络活动样本中获取其指纹Fi,设备Di的所有网络活动样本分别对应的指纹集合形成Bi,则该设备的行为画像为<Bi,Di>,给定n个设备历史记录好的行为特征B={<B1,D1>,<B2,D2>,...,<Bn,Dn>},和待识别设备Dt的指纹Ft,通过少数服从多数的选择方式,将待识别设备归类与匹配率高的聚类簇,以正确预测<B1,D1>,其中是Dt对应的行为特征。
进一步地,所述确定所述第一聚类簇中包括的决策树信息的步骤S21,包括:
S211:获取所述当前物联网包括的所有聚类簇。
S212:根据计算所有所述聚类簇的质心之和,其中,S表示所有簇的质心之和,Pi是第i个聚类簇的平均准确率,M是聚类簇的总数量,所述第i个聚类簇包含于所有所述聚类簇中。
S213:将所述质心之和代入公式中,得到各所述聚类簇分别对应的权重,其中,Wi是第i个聚类簇对应的权重。
S214:根据Si=Wi*N,计算各所述聚类簇分别对应的决策树数量。
S215:根据所述第一聚类簇对应的决策树数量,确定所述第一聚类簇对应的决策树序号。
本实施中,通过选取部分决策树,获取聚类簇对应的特征信息,在保证可靠性的前提下,大大降低数据计算量,提高设备识别的实时性,以便及时发现可疑的黑客设备,及时报警并采取措施,最大限度保障物联网的安全性。本实施例通过各聚类簇在物联网中所有聚类簇的占比权重,决定选取的决策树的数量,以保证数据的可靠性。
进一步地,所述静态行为数据至少包括网络属性、网络传输协议、网络配置和网络可选字段,所述动态行为数据至少包括负载的熵、TCP(Transmission Control Protocol传输控制协议)的负载长度和TCP的窗口大小,所述从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据的步骤S13,包括:
S131:分别获取所述第一网络数据包中,各所述第一静态特征分别对应的存在状态,存在状态对应的赋值为二进制赋值0或1;
S132:从所述第一网络数据包的TCP消息中获取携带的所述TCP负载长度以及所述TCP窗口大小;
S133:根据所述计算所述第一网络数据包对应的负载的熵,其中,Pi表示字节值i在m字节上出现的概率,即m字节表示所述第一网络数据包对应的信息内容。
本实施例中,通过使用网络数据包的两类特征数据即动态特征数据和静态特征数据,更全面地标识设备类型的特征,静态行为数据至少包括网络属性、网络传输协议、网络配置和网络可选字段,即静态行为数据来自包头数据;所述动态行为数据至少包括负载的熵、TCP负载长度和TCP窗口大小,即动态行为数据来自负载的特征数据。比如静态行为数据如下表,每个静态特征数据包括多个特征,网络属性network,对应IP、ICMP、ICMPv6以及EAPOL四个特征,每个特征对应的赋值是二值化的,即分别为0或1,表示某个特征的存在状态为不存在或存在。
Protocol Layer/Type Features
Network IP/ICMP/ICMPv6/EAPoL
Transport TCP/UDP
Application HTTP/HTTPS/DHCP/BOOTP/SSDP/DNS/MDNS/NTP
IP Options Padding/Router Alert
本实施例的基于负载的特征,包括三个,分别为:负载的熵、TCP负载长度和TCP窗口大小。负载的熵值基本上表示了网络数据包内的信息内容,比如果一个网络数据包携带的是纯文本,那么负载的熵就小,如果一个网络数据包携带音频数据,那么熵就高。TCP负载长度,即TCP消息中负载的长度,也即该设备发送的消息的长度。TCP负载长度依赖于设备的硬件参数,不同设备类型硬件参数不同,显示了不同设备类型之间的差异。设备从智能电话或局域网交换的大多数控制指令消息都是纯文本的,且对于设备的给定协议交互,TCP负载长度的可能改变的几率非常小,因此可作为设备行为的良好指示器。TCP窗口大小取决于物联网设备的内存大小和处理器处理速度,因此也是设备行为的良好指示器。本实施例通过从一个会话中选取5个网络数据包,每个数据包中通过16个包头特性和3个基于负载的特性,共19个特征,形成特征向量,共计95个特征向量形成待识别设备的指纹数据,提高识别设备类型的准确度。
进一步地,所述获取待识别设备当前时刻对应的网络活动样本的步骤S1a之前,包括:
S101:从数据库中提取指定物联网对应的数据集。
S102:将所述数据集划分为第一指定数量的子集,其中,各所述子集为通过对所述数据集进行行采样得到的样本数据。
S103:对所有所述样本数据的特征进行列采样,得到第二指定数量子样本。
S104:通过随机抽样对各所述子样本分别构建决策树。
S105:调用聚类算法对所有所述决策树进行聚类,得到所述指定物联网对应的聚类簇。
本实施例通过将数据集中包括的多个设备的指纹数据,作为训练样本,训练分类器,以准确识别待识别设备的设备类型。本实施例通过将数据集通过行采样和列采样,对训练样本进行预处理,通过在数据集上用bagging或bootstrapping方法,通过有换回抽样将数据集划分为不同子集,并通过随机抽样的方式,在每个特征对应的子样本上构建决策树,通过对决策树的聚类实现对训练样本的聚类训练。比如通过K-means聚类算法对决策树进行聚类。
进一步地,所述调用聚类算法对所有所述决策树进行聚类,得到所述指定物联网对应的聚类簇的步骤S105,包括:
S1051:计算第一决策树各层结构分别对应的第一准确率,其中所述第一决策树包含于所有所述决策树中;
S1052:将各所述第一准确率按照与各所述层结构的一一对应关系,按照各所述层结构的排列次序形成第一序列;
S1053:将所述第一序列作为所述第一决策树的向量,并按照所述第一决策树的向量的获取过程,得到所述数据集中所有所述决策树分别对应的向量;
S1054:将各所述决策树分别对应的向量,调用聚类算法进行聚类计算,得到聚类簇。
本实施例的决策树包括多层数据层结构,通过依次计算各层结构分别对应的准确率,得到各决策树分别对应的平均准确率。本实施例通过将各层结构分别对应的准确率,按照层结构的连接关系形成序列,比如从决策树的根节点对应的层结构为起点,依次到决策树叶子节点对应的层结构。
参照图2,本申请一实施例的识别物联网设备类型的的装置,包括:
第一获取模块1a,用于获取所述待识别设备当前时刻对应的网络活动样本。
选取模块1b,用于从所述网络活动样本中选取第一预设数量的第一网络数据包,其中,所述第一网络数据包中包括所述待识别设备分别对应的静态行为数据和动态行为数据。
第二获取模块1c,用于从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据,其中,所述第一静态特征包含于所述第一网络数据包的包头特征中,所述第一动态特征包含于所述第一网络数据包的负载特征中。
组成模块1d,用于将所述第一静态特征和所述第一赋值组成静态特征向量,将所述第一动态特征和所述第一数据组成动态特征向量。
组合模块1e,用于将所述预设数量的第一网络数据包,分别对应的所有所述静态特征向量以及所有所述动态特征向量进行组合,得到所述待识别设备对应的指纹数据。
判断模块2,用于根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中,其中所述第一聚类簇包含于所述当前物联网中所有设备类型分别对应的聚类簇。
判定模块3,用于若所述待识别设备包含于当前物联网对应的第一聚类簇中,则判定所述待识别设备的设备类型,与所述第一聚类簇对应的设备类型一致。
本实施例通过将待识别设备对应网络数据包的包头特征和负载特征,组成待识别设备的指纹数据,并根据指纹数据与物联网包括的所有设备类型对应的聚类簇的匹配率,实现物联网中设备类型的识别,实现对进入物联网或从物联网移除的设备进行有效监控,防止黑客设备入侵物联网,提高物联网的安全性。比如,本实施例通过将待识别设备的指纹数据,与各聚类簇对应的特征数据进行匹配,计算匹配率,与第一聚类簇的匹配率最高,则待识别设备与第一聚类簇对应的设备类型相同,则说明待识别设备属于物联网的授权管理范围,待识别设备对物联网安全可靠。本实施例通过从待识别设备对应网络数据包中,提取对应的特征实现对设备类型的判定,并进而判断该待是被设备是否属于物联网的授权范围,本实施例无需通过加密设备协议的授权,直接通过访问设备获取设备的控制接口和控制协议,降低加密维护成本管理复杂度,提高物联网的安全性。
本实施例通过存储物联网数据的数据库中,直接获取待识别设备的网络活动样本,并从网络活动样本中选取第一预设数量的网络数据包,并从网络数据包中提取对应的包头特征和负载特征,以形成指纹数据。设备根据不同的指令会生成对应的响应序列,指令与对应的响应序列组成一个会话,记录为网络活动样本,一个会话中包括多个网络数据包,上述第一预设数量能满足获取到代表待识别设备的所有特征量,比如第一预设数量为5个。本申请其他实施例中,当一个会话中包括的网络数据包的数量不足预设数量,比如不足5个,可通过添补网络数据包的方式满足,且将添补网络数据包内对应的特征赋值,均设为零。
进一步地,所述判断模块2,包括:
第一确定单元,用于确定所述第一聚类簇中包括的决策树信息,其中,所述决策树信息至少包括决策树数量和决策树序号,所述决策树序号为构建决策树时对应的构建次序。
第二确定单元,用于根据所述决策树信息确定所述第一聚类簇对应的特征设备。
获取单元,用于获取第一设备在第一时刻对应的第一指纹数据,其中,所述第一设备包含于所有所述特征设备中。
第一集合单元,用于将指定时间段内的所有所述第一指纹数据,集合为所述第一设备的行为画像。
第二集合单元,用于将所有所述特征设备分别对应的行为画像,集合为所述第一聚类簇对应设备类型的画像特征。
判断单元,用于判断所述待识别设备对应的指纹数据是否包含于所述画像特征中。
判定单元,用于若是,则判定所述待识别设备包含于当前物联网对应的第一聚类簇中,否则判定所述待识别设备不包含于当前物联网对应的第一聚类簇中。
本实施例通过分别对样本对应的特征,构建决策树,并通过对决策树进行聚类实现对物联网中的设备类型的区分。通过聚类簇中包括的决策树数量以及决策树序号,确定聚类簇对应的特征信息,上述特征信息为分类器识别待识别设备的设备类型的依据。从设备的网络活动样本中识别设备类型的过程如下,从设备Di的网络活动样本中获取其指纹Fi,设备Di的所有网络活动样本分别对应的指纹集合形成Bi,则该设备的行为画像为<Bi,Di>,给定n个设备历史记录好的行为特征B={<B1,D1>,<B2,D2>,...,<Bn,Dn>},和待识别设备Dt的指纹Ft,通过少数服从多数的选择方式,将待识别设备归类与匹配率高的聚类簇,以正确预测<B1,D1>,其中是Dt对应的行为特征。
进一步地,所述第一确定单元,包括:
第一获取子单元,用于获取所述当前物联网包括的所有聚类簇。
第一计算子单元,用于根据计算所有所述聚类簇的质心之和,其中,S表示所有簇的质心之和,Pi是第i个聚类簇的平均准确率,M是聚类簇的总数量,所述第i个聚类簇包含于所有所述聚类簇中。
得到子单元,用于将所述质心之和代入公式中,得到各所述聚类簇分别对应的权重,其中,Wi是第i个聚类簇对应的权重。
第二计算子单元,用于根据Si=Wi*N,计算各所述聚类簇分别对应的决策树数量。
确定子单元,用于根据所述第一聚类簇对应的决策树数量,确定所述第一聚类簇对应的决策树序号。
本实施中,通过选取部分决策树,获取聚类簇对应的特征信息,在保证可靠性的前提下,大大降低数据计算量,提高设备识别的实时性,以便及时发现可疑的黑客设备,及时报警并采取措施,最大限度保障物联网的安全性。本实施例通过各聚类簇在物联网中所有聚类簇的占比权重,决定选取的决策树的数量,以保证数据的可靠性。
进一步地,所述静态行为数据至少包括网络属性、网络传输协议、网络配置和网络可选字段,所述动态行为数据至少包括负载的熵、TCP(Transmission Control Protocol传输控制协议)的负载长度和TCP的窗口大小,所述第二获取模块1c,包括:
第一获取单元,用于分别获取所述第一网络数据包中,各所述第一静态特征分别对应的存在状态,存在状态对应的赋值为二进制赋值0或1;
第二获取单元,用于从所述第一网络数据包的TCP消息中获取携带的所述TCP负载长度以及所述TCP窗口大小;
第一计算单元,用于根据所述计算所述第一网络数据包对应的负载的熵,其中,Pi表示字节值i在m字节上出现的概率,即m字节表示所述第一网络数据包对应的信息内容。
本实施例中,通过使用网络数据包的两类特征数据即动态特征数据和静态特征数据,更全面地标识设备类型的特征,静态行为数据至少包括网络属性、网络传输协议、网络配置和网络可选字段,即静态行为数据来自包头数据;所述动态行为数据至少包括负载的熵、TCP负载长度和TCP窗口大小,即动态行为数据来自负载的特征数据。比如静态行为数据如下表,每个静态特征数据包括多个特征,网络属性network,对应IP、ICMP、ICMPv6以及EAPOL四个特征,每个特征对应的赋值是二值化的,即分别为0或1,表示某个特征的存在状态为不存在或存在。
Protocol Layer/Type Features
Network IP/ICMP/ICMPv6/EAPoL
Transport TCP/UDP
Application HTTP/HTTPS/DHCP/BOOTP/SSDP/DNS/MDNS/NTP
IP Options Padding/Router Alert
本实施例的基于负载的特征,包括三个,分别为:负载的熵、TCP负载长度和TCP窗口大小。负载的熵值基本上表示了网络数据包内的信息内容,比如果一个网络数据包携带的是纯文本,那么负载的熵就小,如果一个网络数据包携带音频数据,那么熵就高。TCP负载长度,即TCP消息中负载的长度,也即该设备发送的消息的长度。TCP负载长度依赖于设备的硬件参数,不同设备类型硬件参数不同,显示了不同设备类型之间的差异。设备从智能电话或局域网交换的大多数控制指令消息都是纯文本的,且对于设备的给定协议交互,TCP负载长度的可能改变的几率非常小,因此可作为设备行为的良好指示器。TCP窗口大小取决于物联网设备的内存大小和处理器处理速度,因此也是设备行为的良好指示器。本实施例通过从一个会话中选取5个网络数据包,每个数据包中通过16个包头特性和3个基于负载的特性,共19个特征,形成特征向量,共计95个特征向量形成待识别设备的指纹数据,提高识别设备类型的准确度。
进一步地,所述识别物联网设备类型的装置,包括:
提取模块,用于从数据库中提取指定物联网对应的数据集。
划分模块,用于将所述数据集划分为第一指定数量的子集,其中各所述子集为通过对所述数据集进行行采样得到的样本数据。
得到模块,用于对所有所述样本数据的特征进行列采样,得到第二指定数量子样本。
构建模块,用于通过随机抽样对各所述子样本分别构建决策树。
调用模块,用于调用聚类算法对所有所述决策树进行聚类,得到所述指定物联网对应的聚类簇。
本实施例通过将数据集中包括的多个设备的指纹数据,作为训练样本,训练分类器,以准确识别待识别设备的设备类型。本实施例通过将数据集通过行采样和列采样,对训练样本进行预处理,通过在数据集上用bagging或bootstrapping方法,通过有换回抽样将数据集划分为不同子集,并通过随机抽样的方式,在每个特征对应的子样本上构建决策树,通过对决策树的聚类实现对训练样本的聚类训练。比如通过K-means聚类算法对决策树进行聚类。
进一步地,所述调用模块,包括:
第二计算单元,用于计算第一决策树各层结构分别对应的第一准确率,其中所述第一决策树包含于所有所述决策树中;
形成单元,用于将各所述第一准确率按照与各所述层结构的一一对应关系,按照各所述层结构的排列次序形成第一序列;
得到单元,用于将所述第一序列作为所述第一决策树的向量,并按照所述第一决策树的向量的获取过程,得到所述数据集中所有所述决策树分别对应的向量;
调用单元,用于将各所述决策树分别对应的向量,调用聚类算法进行聚类计算,得到聚类簇。
本实施例的决策树包括多层数据层结构,通过依次计算各层结构分别对应的准确率,得到各决策树分别对应的平均准确率。本实施例通过将各层结构分别对应的准确率,按照层结构的连接关系形成序列,比如从决策树的根节点对应的层结构为起点,依次到决策树叶子节点对应的层结构。
参照图3,本申请实施例中还提供一种计算机设备,该计算机设备可以是服务器,其内部结构可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储识别物联网设备类型的过程需要的所有数据。该计算机设备的网络接口用于与外部的端通过网络连接通信。该计算机程序被处理器执行时以实现识别物联网设备类型的方法。
上述处理器执行上述识别物联网设备类型的方法,包括:获取所述待识别设备当前时刻对应的网络活动样本;从所述网络活动样本中选取第一预设数量的第一网络数据包,其中,所述第一网络数据包中包括所述待识别设备分别对应的静态行为数据和动态行为数据;从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据,其中,所述第一静态特征包含于所述第一网络数据包的包头特征中,所述第一动态特征包含于所述第一网络数据包的负载特征中;将所述第一静态特征和所述第一赋值组成静态特征向量,将所述第一动态特征和所述第一数据组成动态特征向量;将所述预设数量的第一网络数据包,分别对应的所有所述静态特征向量以及所有所述动态特征向量进行组合,得到所述待识别设备对应的指纹数据;根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中,其中所述第一聚类簇包含于所述当前物联网中所有设备类型分别对应的聚类簇;若是,则判定所述待识别设备的设备类型,与所述第一聚类簇对应的设备类型一致。
上述计算机设备,通过将待识别设备对应网络数据包的包头特征和负载特征,组成待识别设备的指纹数据,并根据指纹数据与物联网包括的所有设备类型对应的聚类簇的匹配率,实现物联网中设备类型的识别,实现对进入物联网或从物联网移除的设备进行有效监控,防止黑客设备入侵物联网,提高物联网的安全性。通过存储物联网数据的数据库中,直接获取待识别设备的网络活动样本,并从网络活动样本中选取第一预设数量的网络数据包,并从网络数据包中提取对应的包头特征和负载特征,以形成指纹数据。无需通过加密设备协议的授权,直接通过访问设备获取设备的控制接口和控制协议,降低加密维护成本管理复杂度,提高物联网的安全性。通过选取部分决策树,获取聚类簇对应的特征信息,在保证可靠性的前提下,大大降低数据计算量,提高设备识别的实时性,以便及时发现可疑的黑客设备,及时报警并采取措施,最大限度保障物联网的安全性。
在一个实施例中,上述处理器根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中的步骤,包括:确定所述第一聚类簇中包括的决策树信息,其中所述决策树信息至少包括决策树数量和决策树序号,所述决策树序号为构建决策树时对应的构建次序;根据所述决策树信息确定所述第一聚类簇对应的特征设备;获取第一设备在第一时刻对应的第一指纹数据,其中所述第一设备包含于所有所述特征设备中;将指定时间段内的所有所述第一指纹数据,集合为所述第一设备的行为画像;将所有所述特征设备分别对应的行为画像,集合为所述第一聚类簇对应设备类型的画像特征;判断所述待识别设备对应的指纹数据是否包含于所述画像特征中;若是,则判定所述待识别设备包含于当前物联网对应的第一聚类簇中,否则判定所述待识别设备不包含于当前物联网对应的第一聚类簇中。
在一个实施例中,上述处理器确定所述第一聚类簇中包括的决策树信息的步骤,包括:获取所述当前物联网包括的所有聚类簇;根据计算所有所述聚类簇的质心之和,其中,S表示所有簇的质心之和,Pi是第i个聚类簇的平均准确率,M是聚类簇的总数量,所述第i个聚类簇包含于所有所述聚类簇中;将所述质心之和代入公式中,得到各所述聚类簇分别对应的权重,其中,Wi是第i个聚类簇对应的权重;根据Si=Wi*N,计算各所述聚类簇分别对应的决策树数量;根据所述第一聚类簇对应的决策树数量,确定所述第一聚类簇对应的决策树序号。
在一个实施例中,所述静态行为数据至少包括网络属性、网络传输协议、网络配置和网络可选字段,所述动态行为数据至少包括负载的熵、传输控制协议的负载长度和传输控制协议的窗口大小,上述处理器从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据的步骤,包括:分别获取所述第一网络数据包中,各所述第一静态特征分别对应的存在状态,存在状态对应的赋值为二进制赋值0或1;从所述第一网络数据包的传输控制协议的消息中获取携带的所述传输控制协议的负载长度以及所述传输控制协议的窗口大小;根据所述计算所述第一网络数据包对应的负载的熵,其中,Pi表示字节值i在m字节上出现的概率,即m字节表示所述第一网络数据包对应的信息内容。
在一个实施例中,上述处理器获取待识别设备当前时刻对应的网络活动样本的步骤之前,包括:从数据库中提取指定物联网对应的数据集;将所述数据集划分为第一指定数量的子集,其中各所述子集为通过对所述数据集进行行采样得到的样本数据;对所有所述样本数据的特征进行列采样,得到第二指定数量子样本;通过随机抽样对各所述子样本分别构建决策树;调用聚类算法对所有所述决策树进行聚类,得到所述指定物联网对应的聚类簇。
在一个实施例中,上述处理器调用聚类算法对所有所述决策树进行聚类,得到所述指定物联网对应的聚类簇的步骤,包括:计算第一决策树各层结构分别对应的第一准确率,其中所述第一决策树包含于所有所述决策树中;将各所述第一准确率按照与各所述层结构的一一对应关系,按照各所述层结构的排列次序形成第一序列;将所述第一序列作为所述第一决策树的向量,并按照所述第一决策树的向量的获取过程,得到所述数据集中所有所述决策树分别对应的向量;将各所述决策树分别对应的向量,调用聚类算法进行聚类计算,得到聚类簇。
本领域技术人员可以理解,图3中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定。
本申请一实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现识别物联网设备类型的方法,包括:获取所述待识别设备当前时刻对应的网络活动样本;从所述网络活动样本中选取第一预设数量的第一网络数据包,其中,所述第一网络数据包中包括所述待识别设备分别对应的静态行为数据和动态行为数据;从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据,其中,所述第一静态特征包含于所述第一网络数据包的包头特征中,所述第一动态特征包含于所述第一网络数据包的负载特征中;将所述第一静态特征和所述第一赋值组成静态特征向量,将所述第一动态特征和所述第一数据组成动态特征向量;将所述预设数量的第一网络数据包,分别对应的所有所述静态特征向量以及所有所述动态特征向量进行组合,得到所述待识别设备对应的指纹数据;根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中,其中所述第一聚类簇包含于所述当前物联网中所有设备类型分别对应的聚类簇;若是,则判定所述待识别设备的设备类型,与所述第一聚类簇对应的设备类型一致。
上述计算机可读存储介质,通过将待识别设备对应网络数据包的包头特征和负载特征,组成待识别设备的指纹数据,并根据指纹数据与物联网包括的所有设备类型对应的聚类簇的匹配率,实现物联网中设备类型的识别,实现对进入物联网或从物联网移除的设备进行有效监控,防止黑客设备入侵物联网,提高物联网的安全性。通过存储物联网数据的数据库中,直接获取待识别设备的网络活动样本,并从网络活动样本中选取第一预设数量的网络数据包,并从网络数据包中提取对应的包头特征和负载特征,以形成指纹数据。无需通过加密设备协议的授权,直接通过访问设备获取设备的控制接口和控制协议,降低加密维护成本管理复杂度,提高物联网的安全性。通过选取部分决策树,获取聚类簇对应的特征信息,在保证可靠性的前提下,大大降低数据计算量,提高设备识别的实时性,以便及时发现可疑的黑客设备,及时报警并采取措施,最大限度保障物联网的安全性。
在一个实施例中,上述处理器根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中的步骤,包括:确定所述第一聚类簇中包括的决策树信息,其中所述决策树信息至少包括决策树数量和决策树序号,所述决策树序号为构建决策树时对应的构建次序;根据所述决策树信息确定所述第一聚类簇对应的特征设备;获取第一设备在第一时刻对应的第一指纹数据,其中所述第一设备包含于所有所述特征设备中;将指定时间段内的所有所述第一指纹数据,集合为所述第一设备的行为画像;将所有所述特征设备分别对应的行为画像,集合为所述第一聚类簇对应设备类型的画像特征;判断所述待识别设备对应的指纹数据是否包含于所述画像特征中;若是,则判定所述待识别设备包含于当前物联网对应的第一聚类簇中,否则判定所述待识别设备不包含于当前物联网对应的第一聚类簇中。
在一个实施例中,上述处理器确定所述第一聚类簇中包括的决策树信息的步骤,包括:获取所述当前物联网包括的所有聚类簇;根据计算所有所述聚类簇的质心之和,其中,S表示所有簇的质心之和,Pi是第i个聚类簇的平均准确率,M是聚类簇的总数量,所述第i个聚类簇包含于所有所述聚类簇中;将所述质心之和代入公式中,得到各所述聚类簇分别对应的权重,其中,Wi是第i个聚类簇对应的权重;根据Si=Wi*N,计算各所述聚类簇分别对应的决策树数量;根据所述第一聚类簇对应的决策树数量,确定所述第一聚类簇对应的决策树序号。
在一个实施例中,所述静态行为数据至少包括网络属性、网络传输协议、网络配置和网络可选字段,所述动态行为数据至少包括负载的熵、传输控制协议的负载长度和传输控制协议的窗口大小,上述处理器从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据的步骤,包括:分别获取所述第一网络数据包中,各所述第一静态特征分别对应的存在状态,存在状态对应的赋值为二进制赋值0或1;从所述第一网络数据包的传输控制协议的消息中获取携带的所述传输控制协议的负载长度以及所述传输控制协议的窗口大小;根据所述计算所述第一网络数据包对应的负载的熵,其中,Pi表示字节值i在m字节上出现的概率,即m字节表示所述第一网络数据包对应的信息内容。
在一个实施例中,上述处理器获取待识别设备当前时刻对应的网络活动样本的步骤之前,包括:从数据库中提取指定物联网对应的数据集;将所述数据集划分为第一指定数量的子集,其中各所述子集为通过对所述数据集进行行采样得到的样本数据;对所有所述样本数据的特征进行列采样,得到第二指定数量子样本;通过随机抽样对各所述子样本分别构建决策树;调用聚类算法对所有所述决策树进行聚类,得到所述指定物联网对应的聚类簇。
在一个实施例中,上述处理器调用聚类算法对所有所述决策树进行聚类,得到所述指定物联网对应的聚类簇的步骤,包括:计算第一决策树各层结构分别对应的第一准确率,其中所述第一决策树包含于所有所述决策树中;将各所述第一准确率按照与各所述层结构的一一对应关系,按照各所述层结构的排列次序形成第一序列;将所述第一序列作为所述第一决策树的向量,并按照所述第一决策树的向量的获取过程,得到所述数据集中所有所述决策树分别对应的向量;将各所述决策树分别对应的向量,调用聚类算法进行聚类计算,得到聚类簇。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双速据率SDRAM(SSRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (10)

1.一种识别物联网设备类型的方法,其特征在于,包括:
获取待识别设备当前时刻对应的网络活动样本;
从所述网络活动样本中选取第一预设数量的第一网络数据包,其中,所述第一网络数据包中包括所述待识别设备分别对应的静态行为数据和动态行为数据;
从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据,其中,所述第一静态特征包含于所述第一网络数据包的包头特征中,所述第一动态特征包含于所述第一网络数据包的负载特征中;
将所述第一静态特征和所述第一赋值组成静态特征向量,将所述第一动态特征和所述第一数据组成动态特征向量;
将所述预设数量的第一网络数据包,分别对应的所有所述静态特征向量以及所有所述动态特征向量进行组合,得到所述待识别设备对应的指纹数据;
根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中,其中,所述第一聚类簇包含于所述当前物联网中所有设备类型分别对应的聚类簇;
若是,则判定所述待识别设备的设备类型,与所述第一聚类簇对应的设备类型一致。
2.根据权利要求1所述的识别物联网设备类型的方法,其特征在于,所述根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中的步骤,包括:
确定所述第一聚类簇中包括的决策树信息,其中,所述决策树信息至少包括决策树数量和决策树序号,所述决策树序号为构建决策树时对应的构建次序;
根据所述决策树信息确定所述第一聚类簇对应的特征设备;
获取第一设备在第一时刻对应的第一指纹数据,其中,所述第一设备包含于所有所述特征设备中;
将指定时间段内的所有所述第一指纹数据,集合为所述第一设备的行为画像;
将所有所述特征设备分别对应的行为画像,集合为所述第一聚类簇对应设备类型的画像特征;
判断所述待识别设备对应的指纹数据是否包含于所述画像特征中;
若是,则判定所述待识别设备包含于当前物联网对应的第一聚类簇中,否则判定所述待识别设备不包含于当前物联网对应的第一聚类簇中。
3.根据权利要求2所述的识别物联网设备类型的方法,其特征在于,所述确定所述第一聚类簇中包括的决策树信息的步骤,包括:
获取所述当前物联网包括的所有聚类簇;
根据计算所有所述聚类簇的质心之和,其中,S表示所有簇的质心之和,Pi是第i个聚类簇的平均准确率,M是聚类簇的总数量,所述第i个聚类簇包含于所有所述聚类簇中;
将所述质心之和代入公式中,得到各所述聚类簇分别对应的权重,其中,Wi是第i个聚类簇对应的权重;
根据Si=Wi*N,计算各所述聚类簇分别对应的决策树数量;
根据所述第一聚类簇对应的决策树数量,确定所述第一聚类簇对应的决策树序号。
4.根据权利要求1所述的识别物联网设备类型的方法,其特征在于,所述静态行为数据至少包括网络属性、网络传输协议、网络配置和网络可选字段,所述动态行为数据至少包括负载的熵、传输控制协议的负载长度和传输控制协议的窗口大小,所述从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据的步骤,包括:
分别获取所述第一网络数据包中,各所述第一静态特征分别对应的存在状态,存在状态对应的赋值为二进制赋值0或1;
从所述第一网络数据包的传输控制协议的消息中获取携带的所述传输控制协议的负载长度以及所述传输控制协议的窗口大小;
根据所述计算所述第一网络数据包对应的负载的熵,其中,Pi表示字节值i在m字节上出现的概率,即m字节表示所述第一网络数据包对应的信息内容。
5.根据权利要求1所述的识别物联网设备类型的方法,其特征在于,所述获取待识别设备当前时刻对应的网络活动样本的步骤之前,包括:
从数据库中提取指定物联网对应的数据集;
将所述数据集划分为第一指定数量的子集,其中各所述子集为通过对所述数据集进行行采样得到的样本数据;
对所有所述样本数据的特征进行列采样,得到第二指定数量子样本;
通过随机抽样对各所述子样本分别构建决策树;
调用聚类算法对所有所述决策树进行聚类,得到所述指定物联网对应的聚类簇。
6.根据权利要求5所述的识别物联网设备类型的方法,其特征在于,所述调用聚类算法对所有所述决策树进行聚类,得到所述指定物联网对应的聚类簇的步骤,包括:
计算第一决策树各层结构分别对应的第一准确率,其中所述第一决策树包含于所有所述决策树中;
将各所述第一准确率按照与各所述层结构的一一对应关系,按照各所述层结构的排列次序形成第一序列;
将所述第一序列作为所述第一决策树的向量,并按照所述第一决策树的向量的获取过程,得到所述数据集中所有所述决策树分别对应的向量;
将各所述决策树分别对应的向量,调用聚类算法进行聚类计算,得到聚类簇。
7.一种识别物联网设备类型的装置,其特征在于,包括:
第一获取模块,用于获取待识别设备当前时刻对应的网络活动样本;
选取模块,用于从所述网络活动样本中选取第一预设数量的第一网络数据包,其中,所述第一网络数据包中包括所述待识别设备分别对应的静态行为数据和动态行为数据;
第二获取模块,用于从所述静态行为数据中获取第一静态特征对应的第一赋值,从所述动态行为数据中获取第一动态特征对应的第一数据,其中,所述第一静态特征包含于所述第一网络数据包的包头特征中,所述第一动态特征包含于所述第一网络数据包的负载特征中;
组成模块,用于将所述第一静态特征和所述第一赋值组成静态特征向量,将所述第一动态特征和所述第一数据组成动态特征向量;
组合模块,用于将所述预设数量的第一网络数据包,分别对应的所有所述静态特征向量以及所有所述动态特征向量进行组合,得到所述待识别设备对应的指纹数据;
判断模块,用于根据所述待识别设备对应的指纹数据,判断所述待识别设备是否包含于当前物联网对应的第一聚类簇中,其中,所述第一聚类簇包含于所述当前物联网中所有设备类型分别对应的聚类簇;
判定模块,用于若所述待识别设备包含于当前物联网对应的第一聚类簇中,则判定所述待识别设备的设备类型,与所述第一聚类簇对应的设备类型一致。
8.根据权利要求7所述的识别物联网设备类型的装置,其特征在于,所述判断模块,包括:
第一确定单元,用于确定所述第一聚类簇中包括的决策树信息,其中,所述决策树信息至少包括决策树数量和决策树序号,所述决策树序号为构建决策树时对应的构建次序;
第二确定单元,用于根据所述决策树信息确定所述第一聚类簇对应的特征设备;
第一获取单元,用于获取第一设备在第一时刻对应的第一指纹数据,其中,所述第一设备包含于所有所述特征设备中;
第一集合单元,用于将指定时间段内的所有所述第一指纹数据,集合为所述第一设备的行为画像;
第二集合单元,用于将所有所述特征设备分别对应的行为画像,集合为所述第一聚类簇对应设备类型的画像特征;
判断单元,用于判断所述待识别设备对应的指纹数据是否包含于所述画像特征中;
判定单元,用于若是,则判定所述待识别设备包含于当前物联网对应的第一聚类簇中,否则判定所述待识别设备不包含于当前物联网对应的第一聚类簇中。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN201910755293.7A 2019-08-15 2019-08-15 识别物联网设备类型的方法、装置及计算机设备 Active CN110445689B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910755293.7A CN110445689B (zh) 2019-08-15 2019-08-15 识别物联网设备类型的方法、装置及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910755293.7A CN110445689B (zh) 2019-08-15 2019-08-15 识别物联网设备类型的方法、装置及计算机设备

Publications (2)

Publication Number Publication Date
CN110445689A true CN110445689A (zh) 2019-11-12
CN110445689B CN110445689B (zh) 2022-03-18

Family

ID=68435814

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910755293.7A Active CN110445689B (zh) 2019-08-15 2019-08-15 识别物联网设备类型的方法、装置及计算机设备

Country Status (1)

Country Link
CN (1) CN110445689B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111200600A (zh) * 2019-12-28 2020-05-26 西安交通大学 一种物联网设备流量序列指纹特征提取方法
CN111680286A (zh) * 2020-02-27 2020-09-18 中国科学院信息工程研究所 物联网设备指纹库的精细化方法
CN112016635A (zh) * 2020-10-16 2020-12-01 腾讯科技(深圳)有限公司 设备类型的识别方法、装置、计算机设备和存储介质
CN112633353A (zh) * 2020-12-18 2021-04-09 清华大学 基于包长概率分布与k近邻算法的物联网设备识别方法
CN114500688A (zh) * 2022-01-28 2022-05-13 厦门科灿信息技术有限公司 设备协议识别的方法、装置、终端及存储介质
CN114679386A (zh) * 2022-05-25 2022-06-28 杭州海康威视数字技术股份有限公司 云边协同的物联网设备角色判定与管理方法、系统及装置
WO2023004707A1 (zh) * 2021-07-29 2023-02-02 西门子股份公司 设备类型识别的方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102523241A (zh) * 2012-01-09 2012-06-27 北京邮电大学 基于决策树高速并行处理的网络流量在线分类方法及装置
CN106789934A (zh) * 2016-11-29 2017-05-31 北京神州绿盟信息安全科技股份有限公司 一种网络设备识别方法及系统
CN106850333A (zh) * 2016-12-23 2017-06-13 中国科学院信息工程研究所 一种基于反馈聚类的网络设备识别方法及系统
CN109063745A (zh) * 2018-07-11 2018-12-21 南京邮电大学 一种基于决策树的网络设备类型识别方法及系统
CN109948650A (zh) * 2019-02-13 2019-06-28 南京中一物联科技有限公司 一种基于报文特征的智能家居设备类型判定方法
CN110009045A (zh) * 2019-04-09 2019-07-12 中国联合网络通信集团有限公司 物联网终端的识别方法和装置
CN110022308A (zh) * 2019-03-11 2019-07-16 中国科学院信息工程研究所 一种物联网设备识别方法及系统
CN110070048A (zh) * 2019-04-23 2019-07-30 山东建筑大学 基于双次K-means聚类的设备类型识别方法及系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102523241A (zh) * 2012-01-09 2012-06-27 北京邮电大学 基于决策树高速并行处理的网络流量在线分类方法及装置
CN106789934A (zh) * 2016-11-29 2017-05-31 北京神州绿盟信息安全科技股份有限公司 一种网络设备识别方法及系统
CN106850333A (zh) * 2016-12-23 2017-06-13 中国科学院信息工程研究所 一种基于反馈聚类的网络设备识别方法及系统
CN109063745A (zh) * 2018-07-11 2018-12-21 南京邮电大学 一种基于决策树的网络设备类型识别方法及系统
CN109948650A (zh) * 2019-02-13 2019-06-28 南京中一物联科技有限公司 一种基于报文特征的智能家居设备类型判定方法
CN110022308A (zh) * 2019-03-11 2019-07-16 中国科学院信息工程研究所 一种物联网设备识别方法及系统
CN110009045A (zh) * 2019-04-09 2019-07-12 中国联合网络通信集团有限公司 物联网终端的识别方法和装置
CN110070048A (zh) * 2019-04-23 2019-07-30 山东建筑大学 基于双次K-means聚类的设备类型识别方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
任春林等: "基于WEB信息的特定类型物联网终端识别方法", 《通信技术》 *
赵建军: "网络空间终端设备识别技术研究", 《CNKI 中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111200600A (zh) * 2019-12-28 2020-05-26 西安交通大学 一种物联网设备流量序列指纹特征提取方法
CN111680286A (zh) * 2020-02-27 2020-09-18 中国科学院信息工程研究所 物联网设备指纹库的精细化方法
CN112016635A (zh) * 2020-10-16 2020-12-01 腾讯科技(深圳)有限公司 设备类型的识别方法、装置、计算机设备和存储介质
CN112016635B (zh) * 2020-10-16 2021-02-19 腾讯科技(深圳)有限公司 设备类型的识别方法、装置、计算机设备和存储介质
WO2022078191A1 (zh) * 2020-10-16 2022-04-21 腾讯科技(深圳)有限公司 设备类型的识别方法、装置、计算机设备和存储介质
CN112633353A (zh) * 2020-12-18 2021-04-09 清华大学 基于包长概率分布与k近邻算法的物联网设备识别方法
CN112633353B (zh) * 2020-12-18 2022-06-24 清华大学 基于包长概率分布与k近邻算法的物联网设备识别方法
WO2023004707A1 (zh) * 2021-07-29 2023-02-02 西门子股份公司 设备类型识别的方法和装置
CN114500688A (zh) * 2022-01-28 2022-05-13 厦门科灿信息技术有限公司 设备协议识别的方法、装置、终端及存储介质
CN114500688B (zh) * 2022-01-28 2023-12-05 厦门科灿信息技术有限公司 设备协议识别的方法、装置、终端及存储介质
CN114679386A (zh) * 2022-05-25 2022-06-28 杭州海康威视数字技术股份有限公司 云边协同的物联网设备角色判定与管理方法、系统及装置
CN114679386B (zh) * 2022-05-25 2022-08-05 杭州海康威视数字技术股份有限公司 云边协同的物联网设备角色判定与管理方法、系统及装置

Also Published As

Publication number Publication date
CN110445689B (zh) 2022-03-18

Similar Documents

Publication Publication Date Title
CN110445689A (zh) 识别物联网设备类型的方法、装置及计算机设备
Yao et al. Hybrid intrusion detection system for edge-based IIoT relying on machine-learning-aided detection
CN109063745B (zh) 一种基于决策树的网络设备类型识别方法及系统
CN107819783A (zh) 一种基于威胁情报的网络安全检测方法及系统
CN105187392B (zh) 基于网络接入点的移动终端恶意软件检测方法及其系统
CN108366045A (zh) 一种风控评分卡的设置方法和装置
CN112235264A (zh) 一种基于深度迁移学习的网络流量识别方法及装置
CN111385297A (zh) 无线设备指纹识别方法、系统、设备及可读存储介质
CN110147657A (zh) 一种用户权限配置方法及装置
Hodo et al. Anomaly detection for simulated iec-60870-5-104 trafiic
CN113114618B (zh) 一种基于流量分类识别的物联网设备入侵检测的方法
CN113918526B (zh) 日志处理方法、装置、计算机设备和存储介质
CN111698241A (zh) 物联网云平台系统、验证方法和数据管理方法
CN109002765A (zh) 一种动态人脸识别数据处理方法及系统
CN113938524B (zh) 基于流量代理的物联网终端敏感信息泄露监测方法及系统
CN112738075A (zh) 基于云计算和智能设备交互的信息处理方法及系统
CN110034970A (zh) 网络设备区分判别方法及装置
CN113435517A (zh) 异常数据点输出方法、装置、计算机设备和存储介质
CN109598110A (zh) 一种用户身份的识别方法及装置
CN113762034A (zh) 视频分类方法和装置、存储介质及电子设备
Ashibani et al. Design and evaluation of a user authentication model for IoT networks based on app event patterns
CN112632513B (zh) 一种基于前后端分离的身份认证实现方法
CN113902039A (zh) 黑产用户识别方法、系统、电子设备及存储介质
Zhao et al. A classification and identification technology of tls encrypted traffic applications
CN107220262A (zh) 信息处理方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant