CN111200600A - 一种物联网设备流量序列指纹特征提取方法 - Google Patents

一种物联网设备流量序列指纹特征提取方法 Download PDF

Info

Publication number
CN111200600A
CN111200600A CN201911385226.7A CN201911385226A CN111200600A CN 111200600 A CN111200600 A CN 111200600A CN 201911385226 A CN201911385226 A CN 201911385226A CN 111200600 A CN111200600 A CN 111200600A
Authority
CN
China
Prior art keywords
sequence
extracting
internet
data packet
distance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911385226.7A
Other languages
English (en)
Other versions
CN111200600B (zh
Inventor
马小博
瞿建
刘东锦
梁绍一
刘兆丽
李剑锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN201911385226.7A priority Critical patent/CN111200600B/zh
Publication of CN111200600A publication Critical patent/CN111200600A/zh
Application granted granted Critical
Publication of CN111200600B publication Critical patent/CN111200600B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

本发明公开了一种物联网设备流量序列指纹特征提取方法。提取物联网设备的流量指纹特征,将其应用于物联网设备的识别,是物联网设备接入监管和安全监控的首要关键技术。通过分析物联网设备流量样本,本发明根据数据包之间时序关系,提取出最有价值的流量序列指纹特征,为物联网设备的分类模型提供特征输入。本发明充分挖掘给定物联网设备的数据包序列指纹特征,适用于自动提取物联网设备流量指纹特征。

Description

一种物联网设备流量序列指纹特征提取方法
技术领域
本发明属于网络安全与用户隐私领域,特别涉及一种物联网设备流量序列指纹特征提取方法。
背景技术
随着物联网时代的到来,物联网设备种类日益丰富,数量急剧增加。物联网带来了机遇,也带来了危险,现在网络上存在很多有着明显漏洞,却还在工作的物联网设备。这些设备对于攻击者来说有着很强的吸引力,攻击者可以通过漏洞获取这些设备的控制权,从而侵犯用户的个人隐私。攻击者也可以通过物联网设备构建僵尸网络,进行更大规模的攻击。监管物联网设备的接入行为并监控其安全,是网络管理与安全监控的一项重要任务。然而,网络的开放性及物联网设备无线接入的便捷性和动态性,导致运营商难以识别所管辖的网络中存在的物联网设备。
国内外关于物联网设备的识别主要集中在内网的被动探测,内网与外网的区别在于,设备的流量是否经过了网络地址转换(NAT),在经过NAT之后,物理层和链路层信息丢失,将会使主动探测变得异常困难。
由此可见,在实际网络环境中,关于物联网设备流量的特征提取问题尚未被广泛深入研究,相关技术也尚未被广泛应用。
发明内容
本发明的目的在于提供一种物联网设备流量序列指纹特征提取方法,以解决上述问题。
为实现上述目的,本发明采用以下技术方案:
一种物联网设备流量序列指纹特征提取方法,包括以下步骤:
步骤1:给定目标物联网设备,捕获在没有用户操作行为干预下而自发产生的网络流量,形成流量样本集<(t0,p0),(),…>,其中t0代表数据包到达时刻,p0代表t0时刻的数据包;
步骤2:对流量样本集的每一个数据包,分别从网络层、传输层和应用层的数据包包头中提取特征;所提取的特征组成一个向量,用以描述对应的数据包;
步骤3:将流量样本集中的数据包按照其所到达的时间顺序进行分组,每一个分组形成一个突发流量序列;每一个突发流量序列是由步骤2所提取的数据包特征向量组成的序列;
步骤4:对于任意两个突发流量序列,提取其最长公共子序列作为目标物联网设备的一个备选序列指纹特征;
步骤5:对步骤4中提取出的每一个备选序列指纹特征,通过计算价值函数,选择有价值的序列指纹特征,作为目标物联网设备流量的序列指纹特征集合。
进一步的,步骤2中,对于使用不同协议类型的数据包,在向量化过程中使用不同的特征;对于TCP协议数据包,从网络层提取服务器IP地址、TTL和有效负载长度特征,从传输层提取方向、服务器端口、TCP标志、TCP窗口大小和TCP选项特征,从应用层提取应用层协议类型特征;对于UDP协议且非DNS数据包,从网络层提取服务器IP地址、TTL和有效负载长度特征,从传输层提取方向和服务器端口特征,从应用层提取应用层协议类型特征;对于DNS数据包,从网络层提取服务器IP地址和TTL特征,从应用层提取应用层协议类型和域名特征;对于其他数据包,从网络层提取服务器IP地址、TTL和有效负载长特征,从传输层提取方向特征,从应用层提取应用层协议类型特征。
进一步的,步骤3中,流量样本集中的数据包分组:任一数据包距离下一个数据包的时间间隔超过设定的阈值,则该数据包标记为截断数据包;截断数据包将作为分组的最后一个数据包,与前序未被标记为截断数据包的所有数据包,按照原始顺序组成一个突发流量序列。
进一步的,步骤4中,在计算突发流量序列的最长公共子序列时,使用动态规划方法,该方法定义数据包之间的距离的计算方法为:若两个数据包协议类型不同,则距离为无穷远;若两个数据包协议类型相同,则距离等于对数据包向量化后每个特征的距离之和。
进一步的,动态规划方法具体为:假设i和j分别表示两个突发流量序列的前i个元素和前j个元素,L(i,j)是突发流量序列i和j的最长公共子序列,其计算公式如下:
Figure BDA0002343407120000031
其中,L(i-1,j-1)|I(vi,vj)表示序列I(vi,vj)被加入到序列L(i-1,j-1)的最后;d是一个阈值,用来控制距离;I(vi,vj)是一个用来提取两个相似数据包向量公共输出的函数,计算方法如下:
Figure BDA0002343407120000032
D(X,Y)表示数据包X和数据包Y之间的距离,若两个数据包协议类型不同,则距离为无穷远;若两个数据包协议类型相同,则距离等于数据包向量化后每个特征的距离之和;假设va和vb是两个数据包的特征向量,下标i表示了特征向量中的某一个特征值,那么va和vb之间的距离D(va,vb)的计算公式如下:
Figure BDA0002343407120000033
其中,wi是第i个元素的权重,mi为限定的最大值,wi和mi均根据实际场景灵活设置。
Figure BDA0002343407120000034
表示va和vb两个数据包第i个元素
Figure BDA0002343407120000035
Figure BDA0002343407120000036
的距离;
对于每两个突发流量序列,提取一个最长公共子序列,作为该物联网设备的一个备选序列指纹特征,假设突发流量的个数有n个,那么最终会生成
Figure BDA0002343407120000037
个备选序列指纹特征。
进一步的,每个特征的距离,不同特征类型使用不同的计算方法,针对数据包中不同的特征,采用3种不同的距离算法来计算特征之间的距离:a完全匹配距离;b数字距离;c莱文斯坦Levenshtein距离;对于数据包方向、服务器IP地址、TCP选项、TCP标志、服务器端口和有效负载长度,使用距离算法a;对于TCP窗口大小和TTL,使用距离算法b;对于域名,使用距离算法c。
进一步的,定义价值函数V(s),以选择更好的序列指纹特征,V(s)的定义如下:
Figure BDA0002343407120000041
在上式中,s是一个备选序列指纹特征,N(s)是s在备选序列指纹特征集合中所出现的次数;vj是s中的第j个向量,总计有len(s)个向量;
Figure BDA0002343407120000042
是向量vj中的第i个属性,总计有len(vj)个属性;若
Figure BDA0002343407120000043
的值为Any,则
Figure BDA0002343407120000044
否则
Figure BDA0002343407120000045
对步骤4得到的所有备选序列指纹特征按照价值函数计算出的价值进行排序,选取价值高的一部分序列指纹特征,作为物联网设备流量的序列指纹特征。
与现有技术相比,本发明有以下技术效果:
本发明通过分析物联网设备流量样本,根据数据包之间时序关系,提取出最有价值的流量序列指纹特征,为物联网设备的分类模型提供流量序列指纹特征。
1.与现有的其他特征选择的策略相比,本发明根据数据包使用的传输层协议的不同,灵活选择特征,并在特征提取过程中,针对不同的特征使用不同的算法,并赋予不同的权重,从而提高提取出的序列指纹特征的高覆盖率。
2.在对物联网设备流量提取出的备选序列指纹特征集十分庞大的情况下,此方法能够在保证最高特征覆盖范围的前提下最大化的缩小特征集,节省分类模型构建期间的训练成本,提高识别的准确率。
具体实施方式
以下对本发明进一步说明:
一种物联网设备流量序列指纹特征提取方法,包括以下步骤:
步骤1:给定目标物联网设备,捕获在没有用户操作行为干预下而自发产生的网络流量,形成流量样本集<(t0,p0),(),…>,其中t0代表数据包到达时刻,p0代表t0时刻的数据包;
步骤2:对流量样本集的每一个数据包,分别从网络层、传输层和应用层的数据包包头中提取特征;所提取的特征组成一个向量,用以描述对应的数据包;
步骤3:将流量样本集中的数据包按照其所到达的时间顺序进行分组,每一个分组形成一个突发流量序列;每一个突发流量序列是由步骤2所提取的数据包特征向量组成的序列;
步骤4:对于任意两个突发流量序列,提取其最长公共子序列作为目标物联网设备的一个备选序列指纹特征;
步骤5:对步骤4中提取出的每一个备选序列指纹特征,通过计算价值函数,选择有价值的序列指纹特征,作为目标物联网设备流量的序列指纹特征集合。
步骤2中,对于使用不同协议类型的数据包,在向量化过程中使用不同的特征;对于TCP协议数据包,从网络层提取服务器IP地址、TTL和有效负载长度特征,从传输层提取方向、服务器端口、TCP标志、TCP窗口大小和TCP选项特征,从应用层提取应用层协议类型特征;对于UDP协议且非DNS数据包,从网络层提取服务器IP地址、TTL和有效负载长度特征,从传输层提取方向和服务器端口特征,从应用层提取应用层协议类型特征;对于DNS数据包,从网络层提取服务器IP地址和TTL特征,从应用层提取应用层协议类型和域名特征;对于其他数据包,从网络层提取服务器IP地址、TTL和有效负载长特征,从传输层提取方向特征,从应用层提取应用层协议类型特征。
步骤3中,流量样本集中的数据包分组:任一数据包距离下一个数据包的时间间隔超过设定的阈值,则该数据包标记为截断数据包;截断数据包将作为分组的最后一个数据包,与前序未被标记为截断数据包的所有数据包,按照原始顺序组成一个突发流量序列。
步骤4中,在计算突发流量序列的最长公共子序列时,使用动态规划方法,该方法定义数据包之间的距离的计算方法为:若两个数据包协议类型不同,则距离为无穷远;若两个数据包协议类型相同,则距离等于对数据包向量化后每个特征的距离之和。
动态规划方法具体为:假设i和j分别表示两个突发流量序列的前i个元素和前j个元素,L(i,j)是突发流量序列i和j的最长公共子序列,其计算公式如下:
Figure BDA0002343407120000061
其中,L(i-1,j-1)|I(vi,vj)表示序列I(vi,vj)被加入到序列L(i-1,j-1)的最后;d是一个阈值,用来控制距离;I(vi,vj)是一个用来提取两个相似数据包向量公共输出的函数,计算方法如下:
Figure BDA0002343407120000062
D(X,Y)表示数据包X和数据包Y之间的距离,若两个数据包协议类型不同,则距离为无穷远;若两个数据包协议类型相同,则距离等于数据包向量化后每个特征的距离之和;假设va和vb是两个数据包的特征向量,下标i表示了特征向量中的某一个特征值,那么va和vb之间的距离D(va,vb)的计算公式如下:
Figure BDA0002343407120000063
其中,wi是第i个元素的权重,mi为限定的最大值,wi和mi均根据实际场景灵活设置。
Figure BDA0002343407120000064
表示va和vb两个数据包第i个元素
Figure BDA0002343407120000065
Figure BDA0002343407120000066
的距离;
对于每两个突发流量序列,提取一个最长公共子序列,作为该物联网设备的一个备选序列指纹特征,假设突发流量的个数有n个,那么最终会生成
Figure BDA0002343407120000067
个备选序列指纹特征。
每个特征的距离,不同特征类型使用不同的计算方法,针对数据包中不同的特征,采用3种不同的距离算法来计算特征之间的距离:a完全匹配距离;b数字距离;c莱文斯坦Levenshtein距离;对于数据包方向、服务器IP地址、TCP选项、TCP标志、服务器端口和有效负载长度,使用距离算法a;对于TCP窗口大小和TTL,使用距离算法b;对于域名,使用距离算法c。
定义价值函数V(s),以选择更好的序列指纹特征,V(s)的定义如下:
Figure BDA0002343407120000068
在上式中,s是一个备选序列指纹特征,N(s)是s在备选序列指纹特征集合中所出现的次数;vj是s中的第j个向量,总计有len(s)个向量;
Figure BDA0002343407120000069
是向量vj中的第i个属性,总计有len(vj)个属性;若
Figure BDA0002343407120000071
的值为Any,则
Figure BDA0002343407120000072
否则
Figure BDA0002343407120000073
对步骤4得到的所有备选序列指纹特征按照价值函数计算出的价值进行排序,选取价值高的一部分序列指纹特征,作为物联网设备流量的序列指纹特征。
实施例:
步骤1:捕获物联网设备Mijia Plug在没有用户操作行为干预下而自发产生的一个小时的网络流量,形成流量样本集<(t0,p0),(),…>,其中t0代表时间,p0代表t0时刻的数据包。
步骤2:对流量样本集每一个数据包,分别从网络层、传输层和应用层的数据包包头中提取特征。所提取的特征组成一个向量,用以描述对应的数据包。一个TCP数据包向量化的结果如下:<1551848149.6554,'TCP',-1,'101.124.12.78',64,897,80,'PA',913,'none'>。
步骤3:将流量样本集中的数据包按照其所到达的时间顺序进行分组,每一个分组形成一个突发流量序列。流量样本集中在第32秒有3个数据包,第64秒也有3个数据包,根据设定的时间间隔阈值,可以确定第32秒的3个数据包为一个突发流量组,第64秒也是如此。分别将3个流量包的向量组合成一个突发流量序列,得到两个突发流量序列A和B。以此类推,组合得到其他突发流量序列。
步骤4:对于任意两个突发流量序列,提取其最长公共子序列作为目标物联网设备的一个备选序列指纹特征。使用动态规划的方法,计算任意两个各个突发流量序列的最长公共子序列,距离计算公式如下:
Figure BDA0002343407120000074
其中,特征距离D(vi,vj)的计算方法如下:
Figure BDA0002343407120000075
物联网设备Mijia Plug的特征距离参数如下表:
Figure BDA0002343407120000081
通过计算,可以得到多个Mijia Plug的备选序列指纹特征。例如:[['TCP',-1,'101.124.12.78',64,897,80,'PA',913,'Any'],['TCP',-1,'101.124.12.78',64,0,80,'A',913,'Any']]。
步骤5:通过本发明的价值函数V(s)来选取有价值的序列指纹特征,V(s)的计算公式如下:
Figure BDA0002343407120000082
最终,按照价值函数计算出的价值,对所有的序列指纹特征进行排序,选择排名前5的序列指纹特征作为物联网设备Mijia Plug的序列指纹特征。

Claims (7)

1.一种物联网设备流量序列指纹特征提取方法,其特征在于,包括以下步骤:
步骤1:给定目标物联网设备,捕获在没有用户操作行为干预下而自发产生的网络流量,形成流量样本集<(t0,p0),(),…>,其中t0代表数据包到达时刻,p0代表t0时刻的数据包;
步骤2:对流量样本集的每一个数据包,分别从网络层、传输层和应用层的数据包包头中提取特征;所提取的特征组成一个向量,用以描述对应的数据包;
步骤3:将流量样本集中的数据包按照其所到达的时间顺序进行分组,每一个分组形成一个突发流量序列;每一个突发流量序列是由步骤2所提取的数据包特征向量组成的序列;
步骤4:对于任意两个突发流量序列,提取其最长公共子序列作为目标物联网设备的一个备选序列指纹特征;
步骤5:对步骤4中提取出的每一个备选序列指纹特征,通过计算价值函数,选择有价值的序列指纹特征,作为目标物联网设备流量的序列指纹特征集合。
2.根据权利要求1所述的一种物联网设备流量序列指纹特征提取方法,其特征在于,步骤2中,对于使用不同协议类型的数据包,在向量化过程中使用不同的特征;对于TCP协议数据包,从网络层提取服务器IP地址、TTL和有效负载长度特征,从传输层提取方向、服务器端口、TCP标志、TCP窗口大小和TCP选项特征,从应用层提取应用层协议类型特征;对于UDP协议且非DNS数据包,从网络层提取服务器IP地址、TTL和有效负载长度特征,从传输层提取方向和服务器端口特征,从应用层提取应用层协议类型特征;对于DNS数据包,从网络层提取服务器IP地址和TTL特征,从应用层提取应用层协议类型和域名特征;对于其他数据包,从网络层提取服务器IP地址、TTL和有效负载长特征,从传输层提取方向特征,从应用层提取应用层协议类型特征。
3.根据权利要求1所述的一种物联网设备流量序列指纹特征提取方法,其特征在于,步骤3中,流量样本集中的数据包分组:任一数据包距离下一个数据包的时间间隔超过设定的阈值,则该数据包标记为截断数据包;截断数据包将作为分组的最后一个数据包,与前序未被标记为截断数据包的所有数据包,按照原始顺序组成一个突发流量序列。
4.根据权利要求2所述的一种物联网设备流量序列指纹特征提取方法,其特征在于,步骤4中,在计算突发流量序列的最长公共子序列时,使用动态规划方法,该方法定义数据包之间的距离的计算方法为:若两个数据包协议类型不同,则距离为无穷远;若两个数据包协议类型相同,则距离等于对数据包向量化后每个特征的距离之和。
5.根据权利要求4所述的一种物联网设备流量序列指纹特征提取方法,其特征在于,动态规划方法具体为:假设i和j分别表示两个突发流量序列的前i个元素和前j个元素,L(i,j)是突发流量序列i和j的最长公共子序列,其计算公式如下:
Figure FDA0002343407110000021
其中,L(i-1,j-1)|I(vi,vj)表示序列I(vi,vj)被加入到序列L(i-1,j-1)的最后;d是一个阈值,用来控制距离;I(vi,vj)是一个用来提取两个相似数据包向量公共输出的函数,计算方法如下:
Figure FDA0002343407110000022
D(X,Y)表示数据包X和数据包Y之间的距离,若两个数据包协议类型不同,则距离为无穷远;若两个数据包协议类型相同,则距离等于数据包向量化后每个特征的距离之和;假设va和vb是两个数据包的特征向量,下标i表示了特征向量中的某一个特征值,那么va和vb之间的距离D(va,vb)的计算公式如下:
Figure FDA0002343407110000023
其中,wi是第i个元素的权重,mi为限定的最大值,wi和mi均根据实际场景灵活设置;
Figure FDA0002343407110000024
表示va和vb两个数据包第i个元素
Figure FDA0002343407110000025
Figure FDA0002343407110000026
的距离;
对于每两个突发流量序列,提取一个最长公共子序列,作为该物联网设备的一个备选序列指纹特征,假设突发流量的个数有n个,那么最终会生成
Figure FDA0002343407110000027
个备选序列指纹特征。
6.根据权利要求4所述的一种物联网设备流量序列指纹特征提取方法,其特征在于,每个特征的距离,不同特征类型使用不同的计算方法,针对数据包中不同的特征,采用3种不同的距离算法来计算特征之间的距离:a完全匹配距离;b数字距离;c莱文斯坦Levenshtein距离;对于数据包方向、服务器IP地址、TCP选项、TCP标志、服务器端口和有效负载长度,使用距离算法a;对于TCP窗口大小和TTL,使用距离算法b;对于域名,使用距离算法c。
7.根据权利要求1所述的一种物联网设备流量序列指纹特征提取方法,其特征在于,定义价值函数V(s),以选择更好的序列指纹特征,V(s)的定义如下:
Figure FDA0002343407110000031
在上式中,s是一个备选序列指纹特征,N(s)是s在备选序列指纹特征集合中所出现的次数;vj是s中的第j个向量,总计有len(s)个向量;
Figure FDA0002343407110000032
是向量vj中的第i个属性,总计有len(vj)个属性;若
Figure FDA0002343407110000033
的值为Any,则
Figure FDA0002343407110000034
否则
Figure FDA0002343407110000035
对步骤4得到的所有备选序列指纹特征按照价值函数计算出的价值进行排序,选取价值高的一部分序列指纹特征,作为物联网设备流量的序列指纹特征。
CN201911385226.7A 2019-12-28 2019-12-28 一种物联网设备流量序列指纹特征提取方法 Active CN111200600B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911385226.7A CN111200600B (zh) 2019-12-28 2019-12-28 一种物联网设备流量序列指纹特征提取方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911385226.7A CN111200600B (zh) 2019-12-28 2019-12-28 一种物联网设备流量序列指纹特征提取方法

Publications (2)

Publication Number Publication Date
CN111200600A true CN111200600A (zh) 2020-05-26
CN111200600B CN111200600B (zh) 2021-03-16

Family

ID=70747650

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911385226.7A Active CN111200600B (zh) 2019-12-28 2019-12-28 一种物联网设备流量序列指纹特征提取方法

Country Status (1)

Country Link
CN (1) CN111200600B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112019575A (zh) * 2020-10-22 2020-12-01 腾讯科技(深圳)有限公司 数据包处理方法、装置、计算机设备以及存储介质
CN112491663A (zh) * 2020-12-13 2021-03-12 北京哈工信息产业股份有限公司 一种探测、识别物联网终端的系统及方法
CN112600793A (zh) * 2020-11-23 2021-04-02 国网山东省电力公司青岛供电公司 一种基于机器学习的物联网设备分类识别方法及系统
CN113194043A (zh) * 2021-03-18 2021-07-30 成都深思科技有限公司 一种nat环境下的网络流量分类方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101976318A (zh) * 2010-11-15 2011-02-16 北京理工大学 一种基于数字指纹的代码相似度检测方法
CN106809172A (zh) * 2017-02-23 2017-06-09 福建强闽信息科技有限公司 基于窄带物联网的车辆外借可控装置及方法
CN110380989A (zh) * 2019-07-26 2019-10-25 东南大学 网络流量指纹特征二阶段多分类的物联网设备识别方法
CN110445689A (zh) * 2019-08-15 2019-11-12 平安科技(深圳)有限公司 识别物联网设备类型的方法、装置及计算机设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101976318A (zh) * 2010-11-15 2011-02-16 北京理工大学 一种基于数字指纹的代码相似度检测方法
CN106809172A (zh) * 2017-02-23 2017-06-09 福建强闽信息科技有限公司 基于窄带物联网的车辆外借可控装置及方法
CN110380989A (zh) * 2019-07-26 2019-10-25 东南大学 网络流量指纹特征二阶段多分类的物联网设备识别方法
CN110445689A (zh) * 2019-08-15 2019-11-12 平安科技(深圳)有限公司 识别物联网设备类型的方法、装置及计算机设备

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
ARUNAN SIVANATHAN.ET: ""Characterizing and classifying IoT traffic in smart cities and campuses"", 《2017 IEEE CONFERENCE ON COMPUTER COMMUNICATIONS WORKSHOPS》 *
ARUNAN SIVANATHAN.ET: ""Classifying IoT Devices in Smart Environments Using Network Traffic Characteristics"", 《IEEETRANSACTIONS ON MOBILE COMPUTING》 *
CHINMAY BEPERY.ET: ""Computing a Longest Common Subsequence for Multiple Sequences"", 《PROCEEDINGS OF INTERNATIONAL CONFERENCE ON ELECTRICAL INFORMATION AND COMMUNICATION TECHNOLOGY》 *
I-HSUAN YANG.ET: ""A fast algorithm for computing a longest common increasing subsequence"", 《WWW.SCIENCEDIRECT.COM》 *
张明洋等: ""基于滑动窗日最长公共子序列WICI指纹定位算法"", 《东北大学学报》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112019575A (zh) * 2020-10-22 2020-12-01 腾讯科技(深圳)有限公司 数据包处理方法、装置、计算机设备以及存储介质
CN112600793A (zh) * 2020-11-23 2021-04-02 国网山东省电力公司青岛供电公司 一种基于机器学习的物联网设备分类识别方法及系统
CN112491663A (zh) * 2020-12-13 2021-03-12 北京哈工信息产业股份有限公司 一种探测、识别物联网终端的系统及方法
CN112491663B (zh) * 2020-12-13 2021-07-27 北京哈工信息产业股份有限公司 一种探测、识别物联网终端的系统及方法
CN113194043A (zh) * 2021-03-18 2021-07-30 成都深思科技有限公司 一种nat环境下的网络流量分类方法
CN113194043B (zh) * 2021-03-18 2022-09-02 成都深思科技有限公司 一种nat环境下的网络流量分类方法

Also Published As

Publication number Publication date
CN111200600B (zh) 2021-03-16

Similar Documents

Publication Publication Date Title
CN111200600B (zh) 一种物联网设备流量序列指纹特征提取方法
Homayoun et al. BoTShark: A deep learning approach for botnet traffic detection
CN105491060B (zh) 防御分布式拒绝服务攻击的方法、装置、客户端及设备
CN109600363A (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN108289088A (zh) 基于业务模型的异常流量检测系统及方法
TW202019127A (zh) 異常流量偵測裝置及其異常流量偵測方法
CN107370752B (zh) 一种高效的远控木马检测方法
CN102271068A (zh) 一种dos/ddos攻击检测方法
Ye et al. An anomalous behavior detection model in cloud computing
CN104618377A (zh) 基于NetFlow的僵尸网络检测系统与检测方法
CN112003869B (zh) 一种基于流量的漏洞识别方法
CN109257393A (zh) 基于机器学习的xss攻击防御方法及装置
CN114257428B (zh) 一种基于深度学习的加密网络流量识别及分类方法
Zhao Network intrusion detection system model based on data mining
KR101210622B1 (ko) Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템
CN108667804B (zh) 一种基于SDN架构的DDoS攻击检测及防护方法和系统
CN111181969B (zh) 一种基于自发流量的物联网设备识别方法
CN113726809B (zh) 基于流量数据的物联网设备识别方法
CN105404797A (zh) 一种基于双重冗余的主动网络流数字水印方法
Hao et al. IoTTFID: An Incremental IoT device identification model based on traffic fingerprint
CN111835720B (zh) 基于特征增强的vpn流量web指纹识别方法
CN110912906B (zh) 一种边缘计算恶意节点识别方法
CN110611636B (zh) 一种基于大数据算法的失陷主机检测方法
Shen et al. Passive fingerprinting for wireless devices: A multi-level decision approach
Zhao et al. DDoS attack detection based on one-class SVM in SDN

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant