CN111200600B - 一种物联网设备流量序列指纹特征提取方法 - Google Patents

一种物联网设备流量序列指纹特征提取方法 Download PDF

Info

Publication number
CN111200600B
CN111200600B CN201911385226.7A CN201911385226A CN111200600B CN 111200600 B CN111200600 B CN 111200600B CN 201911385226 A CN201911385226 A CN 201911385226A CN 111200600 B CN111200600 B CN 111200600B
Authority
CN
China
Prior art keywords
sequence
data packet
extracting
internet
distance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911385226.7A
Other languages
English (en)
Other versions
CN111200600A (zh
Inventor
马小博
瞿建
刘东锦
梁绍一
刘兆丽
李剑锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian Jiaotong University
Original Assignee
Xian Jiaotong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian Jiaotong University filed Critical Xian Jiaotong University
Priority to CN201911385226.7A priority Critical patent/CN111200600B/zh
Publication of CN111200600A publication Critical patent/CN111200600A/zh
Application granted granted Critical
Publication of CN111200600B publication Critical patent/CN111200600B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Biology (AREA)
  • Computer Hardware Design (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种物联网设备流量序列指纹特征提取方法。提取物联网设备的流量指纹特征,将其应用于物联网设备的识别,是物联网设备接入监管和安全监控的首要关键技术。通过分析物联网设备流量样本,本发明根据数据包之间时序关系,提取出最有价值的流量序列指纹特征,为物联网设备的分类模型提供特征输入。本发明充分挖掘给定物联网设备的数据包序列指纹特征,适用于自动提取物联网设备流量指纹特征。

Description

一种物联网设备流量序列指纹特征提取方法
技术领域
本发明属于网络安全与用户隐私领域,特别涉及一种物联网设备流量序列指纹特征提取方法。
背景技术
随着物联网时代的到来,物联网设备种类日益丰富,数量急剧增加。物联网带来了机遇,也带来了危险,现在网络上存在很多有着明显漏洞,却还在工作的物联网设备。这些设备对于攻击者来说有着很强的吸引力,攻击者可以通过漏洞获取这些设备的控制权,从而侵犯用户的个人隐私。攻击者也可以通过物联网设备构建僵尸网络,进行更大规模的攻击。监管物联网设备的接入行为并监控其安全,是网络管理与安全监控的一项重要任务。然而,网络的开放性及物联网设备无线接入的便捷性和动态性,导致运营商难以识别所管辖的网络中存在的物联网设备。
国内外关于物联网设备的识别主要集中在内网的被动探测,内网与外网的区别在于,设备的流量是否经过了网络地址转换(NAT),在经过NAT之后,物理层和链路层信息丢失,将会使主动探测变得异常困难。
由此可见,在实际网络环境中,关于物联网设备流量的特征提取问题尚未被广泛深入研究,相关技术也尚未被广泛应用。
发明内容
本发明的目的在于提供一种物联网设备流量序列指纹特征提取方法,以解决上述问题。
为实现上述目的,本发明采用以下技术方案:
一种物联网设备流量序列指纹特征提取方法,包括以下步骤:
步骤1:给定目标物联网设备,捕获在没有用户操作行为干预下而自发产生的网络流量,形成流量样本集<(t0,p0),(),…>,其中t0代表数据包到达时刻,p0代表t0时刻的数据包;
步骤2:对流量样本集的每一个数据包,分别从网络层、传输层和应用层的数据包包头中提取特征;所提取的特征组成一个向量,用以描述对应的数据包;
步骤3:将流量样本集中的数据包按照其所到达的时间顺序进行分组,每一个分组形成一个突发流量序列;每一个突发流量序列是由步骤2所提取的数据包特征向量组成的序列;
步骤4:对于任意两个突发流量序列,提取其最长公共子序列作为目标物联网设备的一个备选序列指纹特征;
步骤5:对步骤4中提取出的每一个备选序列指纹特征,通过计算价值函数,选择有价值的序列指纹特征,作为目标物联网设备流量的序列指纹特征集合。
进一步的,步骤2中,对于使用不同协议类型的数据包,在向量化过程中使用不同的特征;对于TCP协议数据包,从网络层提取服务器IP地址、TTL和有效负载长度特征,从传输层提取方向、服务器端口、TCP标志、TCP窗口大小和TCP选项特征,从应用层提取应用层协议类型特征;对于UDP协议且非DNS数据包,从网络层提取服务器IP地址、TTL和有效负载长度特征,从传输层提取方向和服务器端口特征,从应用层提取应用层协议类型特征;对于DNS数据包,从网络层提取服务器IP地址和TTL特征,从应用层提取应用层协议类型和域名特征;对于其他数据包,从网络层提取服务器IP地址、TTL和有效负载长特征,从传输层提取方向特征,从应用层提取应用层协议类型特征。
进一步的,步骤3中,流量样本集中的数据包分组:任一数据包距离下一个数据包的时间间隔超过设定的阈值,则该数据包标记为截断数据包;截断数据包将作为分组的最后一个数据包,与前序未被标记为截断数据包的所有数据包,按照原始顺序组成一个突发流量序列。
进一步的,步骤4中,在计算突发流量序列的最长公共子序列时,使用动态规划方法,该方法定义数据包之间的距离的计算方法为:若两个数据包协议类型不同,则距离为无穷远;若两个数据包协议类型相同,则距离等于对数据包向量化后每个特征的距离之和。
进一步的,动态规划方法具体为:假设i和j分别表示两个突发流量序列的前i个元素和前j个元素,L(i,j)是突发流量序列i和j的最长公共子序列,其计算公式如下:
Figure BDA0002343407120000031
其中,L(i-1,j-1)|I(vi,vj)表示序列I(vi,vj)被加入到序列L(i-1,j-1)的最后;d是一个阈值,用来控制距离;I(vi,vj)是一个用来提取两个相似数据包向量公共输出的函数,计算方法如下:
Figure BDA0002343407120000032
D(X,Y)表示数据包X和数据包Y之间的距离,若两个数据包协议类型不同,则距离为无穷远;若两个数据包协议类型相同,则距离等于数据包向量化后每个特征的距离之和;假设va和vb是两个数据包的特征向量,下标i表示了特征向量中的某一个特征值,那么va和vb之间的距离D(va,vb)的计算公式如下:
Figure BDA0002343407120000033
其中,wi是第i个元素的权重,mi为限定的最大值,wi和mi均根据实际场景灵活设置。
Figure BDA0002343407120000034
表示va和vb两个数据包第i个元素
Figure BDA0002343407120000035
Figure BDA0002343407120000036
的距离;
对于每两个突发流量序列,提取一个最长公共子序列,作为该物联网设备的一个备选序列指纹特征,假设突发流量的个数有n个,那么最终会生成
Figure BDA0002343407120000037
个备选序列指纹特征。
进一步的,每个特征的距离,不同特征类型使用不同的计算方法,针对数据包中不同的特征,采用3种不同的距离算法来计算特征之间的距离:a完全匹配距离;b数字距离;c莱文斯坦Levenshtein距离;对于数据包方向、服务器IP地址、TCP选项、TCP标志、服务器端口和有效负载长度,使用距离算法a;对于TCP窗口大小和TTL,使用距离算法b;对于域名,使用距离算法c。
进一步的,定义价值函数V(s),以选择更好的序列指纹特征,V(s)的定义如下:
Figure BDA0002343407120000041
在上式中,s是一个备选序列指纹特征,N(s)是s在备选序列指纹特征集合中所出现的次数;vj是s中的第j个向量,总计有len(s)个向量;
Figure BDA0002343407120000042
是向量vj中的第i个属性,总计有len(vj)个属性;若
Figure BDA0002343407120000043
的值为Any,则
Figure BDA0002343407120000044
否则
Figure BDA0002343407120000045
对步骤4得到的所有备选序列指纹特征按照价值函数计算出的价值进行排序,选取价值高的一部分序列指纹特征,作为物联网设备流量的序列指纹特征。
与现有技术相比,本发明有以下技术效果:
本发明通过分析物联网设备流量样本,根据数据包之间时序关系,提取出最有价值的流量序列指纹特征,为物联网设备的分类模型提供流量序列指纹特征。
1.与现有的其他特征选择的策略相比,本发明根据数据包使用的传输层协议的不同,灵活选择特征,并在特征提取过程中,针对不同的特征使用不同的算法,并赋予不同的权重,从而提高提取出的序列指纹特征的高覆盖率。
2.在对物联网设备流量提取出的备选序列指纹特征集十分庞大的情况下,此方法能够在保证最高特征覆盖范围的前提下最大化的缩小特征集,节省分类模型构建期间的训练成本,提高识别的准确率。
具体实施方式
以下对本发明进一步说明:
一种物联网设备流量序列指纹特征提取方法,包括以下步骤:
步骤1:给定目标物联网设备,捕获在没有用户操作行为干预下而自发产生的网络流量,形成流量样本集<(t0,p0),(),…>,其中t0代表数据包到达时刻,p0代表t0时刻的数据包;
步骤2:对流量样本集的每一个数据包,分别从网络层、传输层和应用层的数据包包头中提取特征;所提取的特征组成一个向量,用以描述对应的数据包;
步骤3:将流量样本集中的数据包按照其所到达的时间顺序进行分组,每一个分组形成一个突发流量序列;每一个突发流量序列是由步骤2所提取的数据包特征向量组成的序列;
步骤4:对于任意两个突发流量序列,提取其最长公共子序列作为目标物联网设备的一个备选序列指纹特征;
步骤5:对步骤4中提取出的每一个备选序列指纹特征,通过计算价值函数,选择有价值的序列指纹特征,作为目标物联网设备流量的序列指纹特征集合。
步骤2中,对于使用不同协议类型的数据包,在向量化过程中使用不同的特征;对于TCP协议数据包,从网络层提取服务器IP地址、TTL和有效负载长度特征,从传输层提取方向、服务器端口、TCP标志、TCP窗口大小和TCP选项特征,从应用层提取应用层协议类型特征;对于UDP协议且非DNS数据包,从网络层提取服务器IP地址、TTL和有效负载长度特征,从传输层提取方向和服务器端口特征,从应用层提取应用层协议类型特征;对于DNS数据包,从网络层提取服务器IP地址和TTL特征,从应用层提取应用层协议类型和域名特征;对于其他数据包,从网络层提取服务器IP地址、TTL和有效负载长特征,从传输层提取方向特征,从应用层提取应用层协议类型特征。
步骤3中,流量样本集中的数据包分组:任一数据包距离下一个数据包的时间间隔超过设定的阈值,则该数据包标记为截断数据包;截断数据包将作为分组的最后一个数据包,与前序未被标记为截断数据包的所有数据包,按照原始顺序组成一个突发流量序列。
步骤4中,在计算突发流量序列的最长公共子序列时,使用动态规划方法,该方法定义数据包之间的距离的计算方法为:若两个数据包协议类型不同,则距离为无穷远;若两个数据包协议类型相同,则距离等于对数据包向量化后每个特征的距离之和。
动态规划方法具体为:假设i和j分别表示两个突发流量序列的前i个元素和前j个元素,L(i,j)是突发流量序列i和j的最长公共子序列,其计算公式如下:
Figure BDA0002343407120000061
其中,L(i-1,j-1)|I(vi,vj)表示序列I(vi,vj)被加入到序列L(i-1,j-1)的最后;d是一个阈值,用来控制距离;I(vi,vj)是一个用来提取两个相似数据包向量公共输出的函数,计算方法如下:
Figure BDA0002343407120000062
D(X,Y)表示数据包X和数据包Y之间的距离,若两个数据包协议类型不同,则距离为无穷远;若两个数据包协议类型相同,则距离等于数据包向量化后每个特征的距离之和;假设va和vb是两个数据包的特征向量,下标i表示了特征向量中的某一个特征值,那么va和vb之间的距离D(va,vb)的计算公式如下:
Figure BDA0002343407120000063
其中,wi是第i个元素的权重,mi为限定的最大值,wi和mi均根据实际场景灵活设置。
Figure BDA0002343407120000064
表示va和vb两个数据包第i个元素
Figure BDA0002343407120000065
Figure BDA0002343407120000066
的距离;
对于每两个突发流量序列,提取一个最长公共子序列,作为该物联网设备的一个备选序列指纹特征,假设突发流量的个数有n个,那么最终会生成
Figure BDA0002343407120000067
个备选序列指纹特征。
每个特征的距离,不同特征类型使用不同的计算方法,针对数据包中不同的特征,采用3种不同的距离算法来计算特征之间的距离:a完全匹配距离;b数字距离;c莱文斯坦Levenshtein距离;对于数据包方向、服务器IP地址、TCP选项、TCP标志、服务器端口和有效负载长度,使用距离算法a;对于TCP窗口大小和TTL,使用距离算法b;对于域名,使用距离算法c。
定义价值函数V(s),以选择更好的序列指纹特征,V(s)的定义如下:
Figure BDA0002343407120000068
在上式中,s是一个备选序列指纹特征,N(s)是s在备选序列指纹特征集合中所出现的次数;vj是s中的第j个向量,总计有len(s)个向量;
Figure BDA0002343407120000069
是向量vj中的第i个属性,总计有len(vj)个属性;若
Figure BDA0002343407120000071
的值为Any,则
Figure BDA0002343407120000072
否则
Figure BDA0002343407120000073
对步骤4得到的所有备选序列指纹特征按照价值函数计算出的价值进行排序,选取价值高的一部分序列指纹特征,作为物联网设备流量的序列指纹特征。
实施例:
步骤1:捕获物联网设备Mijia Plug在没有用户操作行为干预下而自发产生的一个小时的网络流量,形成流量样本集<(t0,p0),(),…>,其中t0代表时间,p0代表t0时刻的数据包。
步骤2:对流量样本集每一个数据包,分别从网络层、传输层和应用层的数据包包头中提取特征。所提取的特征组成一个向量,用以描述对应的数据包。一个TCP数据包向量化的结果如下:<1551848149.6554,'TCP',-1,'101.124.12.78',64,897,80,'PA',913,'none'>。
步骤3:将流量样本集中的数据包按照其所到达的时间顺序进行分组,每一个分组形成一个突发流量序列。流量样本集中在第32秒有3个数据包,第64秒也有3个数据包,根据设定的时间间隔阈值,可以确定第32秒的3个数据包为一个突发流量组,第64秒也是如此。分别将3个流量包的向量组合成一个突发流量序列,得到两个突发流量序列A和B。以此类推,组合得到其他突发流量序列。
步骤4:对于任意两个突发流量序列,提取其最长公共子序列作为目标物联网设备的一个备选序列指纹特征。使用动态规划的方法,计算任意两个各个突发流量序列的最长公共子序列,距离计算公式如下:
Figure BDA0002343407120000074
其中,特征距离D(vi,vj)的计算方法如下:
Figure BDA0002343407120000075
物联网设备Mijia Plug的特征距离参数如下表:
Figure BDA0002343407120000081
通过计算,可以得到多个Mijia Plug的备选序列指纹特征。例如:[['TCP',-1,'101.124.12.78',64,897,80,'PA',913,'Any'],['TCP',-1,'101.124.12.78',64,0,80,'A',913,'Any']]。
步骤5:通过本发明的价值函数V(s)来选取有价值的序列指纹特征,V(s)的计算公式如下:
Figure BDA0002343407120000082
最终,按照价值函数计算出的价值,对所有的序列指纹特征进行排序,选择排名前5的序列指纹特征作为物联网设备Mijia Plug的序列指纹特征。

Claims (7)

1.一种物联网设备流量序列指纹特征提取方法,其特征在于,包括以下步骤:
步骤1:给定目标物联网设备,捕获在没有用户操作行为干预下而自发产生的网络流量,形成流量样本集<(t0,p0),(),…>,其中t0代表数据包到达时刻,p0代表t0时刻的数据包;
步骤2:对流量样本集的每一个数据包,分别从网络层、传输层和应用层的数据包包头中提取特征;所提取的特征组成一个向量,用以描述对应的数据包;
步骤3:将流量样本集中的数据包按照其所到达的时间顺序进行分组,每一个分组形成一个突发流量序列;每一个突发流量序列是由步骤2所提取的数据包特征向量组成的序列;
步骤4:对于任意两个突发流量序列,提取其最长公共子序列作为目标物联网设备的一个备选序列指纹特征;
步骤5:对步骤4中提取出的每一个备选序列指纹特征,通过计算价值函数,选择有价值的序列指纹特征,作为目标物联网设备流量的序列指纹特征集合;
突发流量序列的含义:任一数据包距离下一个数据包的时间间隔超过设定的阈值,则该数据包标记为截断数据包;截断数据包将作为分组的最后一个数据包,与前序未被标记为截断数据包的所有数据包,按照原始顺序组成一个突发流量序列;价值函数是用来衡量提取的特征价值大小。
2.根据权利要求1所述的一种物联网设备流量序列指纹特征提取方法,其特征在于,步骤2中,对于使用不同协议类型的数据包,在向量化过程中使用不同的特征;对于TCP协议数据包,从网络层提取服务器IP地址、TTL和有效负载长度特征,从传输层提取方向、服务器端口、TCP标志、TCP窗口大小和TCP选项特征,从应用层提取应用层协议类型特征;对于UDP协议且非DNS数据包,从网络层提取服务器IP地址、TTL和有效负载长度特征,从传输层提取方向和服务器端口特征,从应用层提取应用层协议类型特征;对于DNS数据包,从网络层提取服务器IP地址和TTL特征,从应用层提取应用层协议类型和域名特征;对于其他数据包,从网络层提取服务器IP地址、TTL和有效负载长特征,从传输层提取方向特征,从应用层提取应用层协议类型特征。
3.根据权利要求1所述的一种物联网设备流量序列指纹特征提取方法,其特征在于,步骤3中,流量样本集中的数据包分组:任一数据包距离下一个数据包的时间间隔超过设定的阈值,则该数据包标记为截断数据包;截断数据包将作为分组的最后一个数据包,与前序未被标记为截断数据包的所有数据包,按照原始顺序组成一个突发流量序列。
4.根据权利要求2所述的一种物联网设备流量序列指纹特征提取方法,其特征在于,步骤4中,在计算突发流量序列的最长公共子序列时,使用动态规划方法,该方法定义数据包之间的距离的计算方法为:若两个数据包协议类型不同,则距离为无穷远;若两个数据包协议类型相同,则距离等于对数据包向量化后每个特征的距离之和。
5.根据权利要求4所述的一种物联网设备流量序列指纹特征提取方法,其特征在于,动态规划方法具体为:假设i和j分别表示两个突发流量序列的下标,vi表示第一个突发流量序列的第i个向量,vj表示第二个突发流量序列的第j个向量,L(i,j)是两个突发流量序列的前i个向量和前j个向量的最长公共子序列,其计算公式如下:
Figure FDA0002919302610000021
其中,L(i-1,j-1)|I(vi,vj)表示序列I(vi,vj)被加入到序列L(i-1,j-1)的最后;d是一个阈值,用来控制距离;I(vi,vj)是一个用来提取两个相似数据包向量公共输出的函数,计算方法如下:
Figure FDA0002919302610000022
其中,k是向量的下标,
Figure FDA0002919302610000023
表示第i个数据包向量的第k个元素,
Figure FDA0002919302610000024
表示第j个数据包向量的第k个元素,Any是元素不同的标识符;
D(X,Y)表示数据包X和数据包Y之间的距离,若两个数据包协议类型不同,则距离为无穷远;若两个数据包协议类型相同,则距离等于数据包向量化后每个特征的距离之和;vi和vj分别是上述两个突发流量序列的第i个和第j个特征向量,那么vi和vj之间的距离D(vi,vj)的计算公式如下:
Figure FDA0002919302610000031
其中,wk是第k个元素的权重,mk为限定的最大值,wk和mk均根据实际场景灵活设置;
Figure FDA0002919302610000032
表示元素
Figure FDA0002919302610000033
Figure FDA0002919302610000034
的距离,len(vi)表示向量vi的长度;
对于每两个突发流量序列,提取一个最长公共子序列,作为所述目标物联网设备的一个备选序列指纹特征,假设突发流量的个数有n个,那么最终会生成
Figure FDA0002919302610000035
个备选序列指纹特征。
6.根据权利要求4所述的一种物联网设备流量序列指纹特征提取方法,其特征在于,每个特征的距离,不同特征类型使用不同的计算方法,针对数据包中不同的特征,采用3种不同的距离算法来计算特征之间的距离:a完全匹配距离;b数字距离;c莱文斯坦Levenshtein距离;对于数据包方向、服务器IP地址、TCP选项、TCP标志、服务器端口和有效负载长度,使用距离算法a;对于TCP窗口大小和TTL,使用距离算法b;对于域名,使用距离算法c。
7.根据权利要求1所述的一种物联网设备流量序列指纹特征提取方法,其特征在于,定义价值函数V(s),以选择更好的序列指纹特征,V(s)的定义如下:
Figure FDA0002919302610000036
在上式中,s是一个备选序列指纹特征,N(s)是s在备选序列指纹特征集合中所出现的次数;vj是s中的第j个向量,总计有len(s)个向量;
Figure FDA0002919302610000037
是向量vj中的第k个属性,总计有len(vi)个属性;若
Figure FDA0002919302610000038
的值为Any,则
Figure FDA0002919302610000039
否则
Figure FDA00029193026100000310
对步骤4得到的所有备选序列指纹特征按照价值函数计算出的价值进行从大到小排序,选取排序结果的前X个序列指纹特征,作为物联网设备流量的序列指纹特征,其中X根据实际计算能力灵活设置。
CN201911385226.7A 2019-12-28 2019-12-28 一种物联网设备流量序列指纹特征提取方法 Active CN111200600B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911385226.7A CN111200600B (zh) 2019-12-28 2019-12-28 一种物联网设备流量序列指纹特征提取方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911385226.7A CN111200600B (zh) 2019-12-28 2019-12-28 一种物联网设备流量序列指纹特征提取方法

Publications (2)

Publication Number Publication Date
CN111200600A CN111200600A (zh) 2020-05-26
CN111200600B true CN111200600B (zh) 2021-03-16

Family

ID=70747650

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911385226.7A Active CN111200600B (zh) 2019-12-28 2019-12-28 一种物联网设备流量序列指纹特征提取方法

Country Status (1)

Country Link
CN (1) CN111200600B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112019575B (zh) * 2020-10-22 2021-01-29 腾讯科技(深圳)有限公司 数据包处理方法、装置、计算机设备以及存储介质
CN112600793A (zh) * 2020-11-23 2021-04-02 国网山东省电力公司青岛供电公司 一种基于机器学习的物联网设备分类识别方法及系统
CN112491663B (zh) * 2020-12-13 2021-07-27 北京哈工信息产业股份有限公司 一种探测、识别物联网终端的系统及方法
CN113194043B (zh) * 2021-03-18 2022-09-02 成都深思科技有限公司 一种nat环境下的网络流量分类方法
CN118035853B (zh) * 2024-04-12 2024-07-26 中国移动紫金(江苏)创新研究院有限公司 基于流量指纹的工控设备识别方法、相关设备及产品

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101976318A (zh) * 2010-11-15 2011-02-16 北京理工大学 一种基于数字指纹的代码相似度检测方法
CN106809172A (zh) * 2017-02-23 2017-06-09 福建强闽信息科技有限公司 基于窄带物联网的车辆外借可控装置及方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110380989B (zh) * 2019-07-26 2022-09-02 东南大学 网络流量指纹特征二阶段多分类的物联网设备识别方法
CN110445689B (zh) * 2019-08-15 2022-03-18 平安科技(深圳)有限公司 识别物联网设备类型的方法、装置及计算机设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101976318A (zh) * 2010-11-15 2011-02-16 北京理工大学 一种基于数字指纹的代码相似度检测方法
CN106809172A (zh) * 2017-02-23 2017-06-09 福建强闽信息科技有限公司 基于窄带物联网的车辆外借可控装置及方法

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
"A fast algorithm for computing a longest common increasing subsequence";I-Hsuan Yang.et;《www.sciencedirect.com》;20041202;全文 *
"Characterizing and classifying IoT traffic in smart cities and campuses";Arunan Sivanathan.et;《2017 IEEE Conference on Computer Communications Workshops》;20171123;全文 *
"Classifying IoT Devices in Smart Environments Using Network Traffic Characteristics";Arunan Sivanathan.et;《IEEETransactions on Mobile Computing》;20180820;全文 *
"Computing a Longest Common Subsequence for Multiple Sequences";Chinmay Bepery.et;《Proceedings of International Conference on Electrical Information and Communication Technology》;20160128;全文 *
"基于滑动窗日最长公共子序列WICI指纹定位算法";张明洋等;《东北大学学报》;20141015;全文 *

Also Published As

Publication number Publication date
CN111200600A (zh) 2020-05-26

Similar Documents

Publication Publication Date Title
CN111200600B (zh) 一种物联网设备流量序列指纹特征提取方法
CN110380989B (zh) 网络流量指纹特征二阶段多分类的物联网设备识别方法
CN109600363A (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
CN107370752B (zh) 一种高效的远控木马检测方法
CN112003869B (zh) 一种基于流量的漏洞识别方法
CN114257428B (zh) 一种基于深度学习的加密网络流量识别及分类方法
Ye et al. An anomalous behavior detection model in cloud computing
CN109299742A (zh) 自动发现未知网络流的方法、装置、设备及存储介质
CN106375157A (zh) 一种基于相空间重构的网络流关联方法
Kong et al. Identification of abnormal network traffic using support vector machine
Zhao Network intrusion detection system model based on data mining
CN111181969B (zh) 一种基于自发流量的物联网设备识别方法
US12039422B2 (en) Method and apparatus for generating application identification model
Hao et al. IoTTFID: an incremental IoT device identification model based on traffic fingerprint
CN110944002B (zh) 一种基于指数平均数据增强的物理层认证方法
CN113726809B (zh) 基于流量数据的物联网设备识别方法
Kang et al. Accurately Identifying New QoS Violation Driven by High‐Distributed Low‐Rate Denial of Service Attacks Based on Multiple Observed Features
CN105404797A (zh) 一种基于双重冗余的主动网络流数字水印方法
CN109257384A (zh) 基于访问节奏矩阵的应用层DDoS攻击识别方法
CN111835720B (zh) 基于特征增强的vpn流量web指纹识别方法
CN110912906B (zh) 一种边缘计算恶意节点识别方法
CN110611636B (zh) 一种基于大数据算法的失陷主机检测方法
Zhao et al. DDoS attack detection based on one-class SVM in SDN
CN112565177A (zh) 一种源网荷系统安全防护方法
Liu et al. Autonomous Anti-interference Identification of $\text {IoT} $ Device Traffic based on Convolutional Neural Network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant