CN111343163A - 基于网络流量特征融合的物联网设备身份凭证生成方法 - Google Patents

Abstract

本发明提供了一种基于网络流量特征融合的物联网设备凭证生成方法，属于物联网设备身份识别技术领域。该方法首先从设备网络协议栈指纹特征、设备网络数据序列特征、以及设备网络数据协议特征三个维度构建与设备身份识别相关的指纹特征集合；接着利用特征和终端间的相关特性对特征进行筛选得到最优特征集；最后采用主成分分析法对特征子集进行降维处理，消除特征数据的冗余特性，生成终端指纹凭证。本发明可以从物联网设备的网络流量数据中提取到设备识别时所需的准入凭证所需凭据，该凭证与物联网设备的物理特性相关，可以有效识别假冒设备。

Description

基于网络流量特征融合的物联网设备身份凭证生成方法

技术领域

本发明属于物联网设备接入控制技术领域，尤其涉及基于网络流量特征融合的物联网设备凭证生成方法。

背景技术

现有的物联网终端设备存在设备接入时身份认证和访问控制等安全问题。传统的身份认证技术需要基于身份证书实现身份唯一识别和合法性判别，这就要求在所有合法终端设备上部署身份证书。由于大部分终端不能提供硬件或者证书形式的身份凭证实现身份识别功能，同时终端种类繁多，数量庞大，平台不一，软硬件环境封闭，在可预见的未来实现统一身份证书并不具备可行性。因此需要在不改动终端内部架构的基础上实现无证书的身份自动识别。目前现场采用的MAC/IP地址识别技术并不能安全可靠的实现对终端设备的唯一识别，无法区分仿冒设备和连接。

基于网络流量特征指纹识别是指通过提取物联网设备网络流量里与设备个体有关的数值作为设备特征进行设备识别的技术。依据流量数据的获取方式为主动探测或者被动监控，设备指纹技术可分为主动和被动两种方式。相比与依赖于强大的加密协议或复杂的认证机制的传统设备认证方式，设备指纹技术实现简单且可靠性较强，更适用于物理和计算资源均有限的物联网设备。此外，许多传统的物联网设备由于系统封闭并且程序固化，无法通过后续软件更新或补丁操作添加身份认证机制实现安全的设备接入控制，而特征指纹识别技术可弥补这方面的不足。

随着人工智能领域的发展，机器学习方法已逐渐应用于设备指纹技术。所谓分类，简单来说，就是根据文本的特征或属性，划分到已有的类别中。常用的分类算法包括：决策树分类法，朴素的贝叶斯分类算法(native Bayesian classifier)、基于支持向量机(SVM)的分类器，神经网络法，k-最近邻法(k-nearestneighbor，knn)，模糊分类法等等。

目前，基于网络流量特征的设备识别问题已经有了很大的发展，但是现有的机器学习方法往往存在识别精度不高的问题。因此，如何从硬件特征、网络协议以及网络行为等维度对终端设备进行多维度信息提取和融合，从而形成与设备类型唯一相关的终端分类标识信息和设备个体唯一相关的终端身份标识信息，是目前研究的难点之一。现有技术尚未能解决这个问题。

发明内容

为了克服现有物联网终端设备接入时存在假冒设备伪装身份的问题，本发明提供一种基于网络流量特征融合的物联网设备身份凭证生成方法，由于该凭证与物联网设备的物理特性相关，因此可用于解决物联网环境下假冒设备接入的情况。

为了达到上述目的，本发明提供如下技术方案：

基于网络流量特征融合的物联网设备身份凭证生成方法，具体包括以下步骤：

步骤1、构建与物联网设备身份识别有关的网络流量指纹特征集合：从设备网络协议栈指纹特征、设备网络数据序列特征、以及设备网络数据协议特征三个维度提取特征，通过特征融合构建指纹特征集合。具体包括以下步骤：

步骤1.1、提取设备网络协议栈指纹特征：从设备网络流量数据中提取TCP/IP协议栈指纹特征，包括TCP报文头中的初始化窗口值、初始序列号(ISN)、时间戳字段(Timestamp)、最大报文长度(MSS)、窗口扩大因子(WS)、选择性确认标志位(SACKPermitted)、响应缺省值(ACKNumber)、建立连接标志位(SYN)、关闭连接标志位(FIN)、响应标志位(ACK)、有数据传输标志位(PSH)，紧急标志位(URG),连接重置标志位(RST)；IP报文头中的版本号(Version)、首部长度(IHL)、存活时间(TTL)、分段标志位(DF)、协议字段值(Protocol)，选项值(Option)和协议端口号(Port)等；

设每个报文的特征值数量为m，从n个网络流量数据报文中可构建一个m×n的二维特征矩阵。

步骤1.2、提取设备网络数据序列特征：将n个网络流量数据报文看成一个与时间相关的序列集合，并提取与时间序列有关的时间统计特征，所选择的统计特征为TCP报文取样特征、相邻数据报文到达间隔统计特征、数据报文长度的统计特征。

TCP报文取样特征包括：初始序列号(ISN)值的总和、最大值、最小值、平均值、方差、标准差；时间戳字段(Timestamp)值的差值的总和、最大值、最小值、平均值、方差、标准差。

相邻数据报文到达间隔统计特征包括：相邻数据报文到达间隔值的总和、最大值、最小值、平均值、方差、标准差。

数据报文长度的统计特征统计特征包括：数据报文长度的统计特征值的总和、最大值、最小值、平均值、方差、标准差。

并将这些统计特征构成一个一维特征向量。

步骤1.3、提取设备网络数据协议特征：从n个网络流量数据报文里取各网络数据报文的应用层协议类型作为特征值，所选择的应用层协议类型为基于TCP的http协议、https协议、ssh协议、ftp协议、rtsp协议、telnet协议以及无协议(raw)，基于UDP的snmp协议、onvif协议、dns协议、nfs协议、dhcp协议、tftp协议、pop协议，共计14个特征值；若物联网设备的网络流量数据中某报文为上述所列的某种协议，则标为数值1，否则记为0。则从n个网络流量数据报文中可构建一个14×n的二维特征矩阵。

步骤1.4、对上述三个步骤所提取的特征向量进行最小-最大归一化处理，再合并构成向量集合作为该物联网设备的设备指纹特征数据集合。

步骤2、在步骤1构建的指纹特征集合中进行最优特征选择：利用特征和终端间的相关特性对特征进行筛选排序，采用最大相关最小冗余特性实现与终端设备类型识别有关的最优特征选择。其具体步骤如下：

步骤2.1：采集物联网设备的网络流量数据作为原始数据集D、按照步骤1的设备指纹特征数据集合提取方法从原始数据集D中得到原始特征集F，将物联网设备标识作为标签集C，将最终生成的最优特征集定义为S。

步骤2.2：初始化最优特征集S：首先将S设为空集，计算原始特征集F里每一个特征的互信息

p(fc)为联合概率密度函数，p(f)和p(c)为边缘概率密度函数。

选择和标签集C相关性最大的特征变量记为f_max，存入S集合；同时将f_max从集合F中去除。

步骤2.3：使用贪婪搜索方法寻找符合要求的下一个特征：

1)遍历集合F中的所有特征，计算该特征与标签集C的相关性，以及与集合F内其他特征之间两两间冗余性，得到f_max。

f_max表示与标签集合C相关性最大，同时与F集合内其他元素的冗余性最小的特征；其中H(f_j)＝-p(f_j)lbp(f_j)定义为变量f_j的信息熵，

为变量f_j在集合C下的条件熵；

2)将f_max加入到集合S中，并将其从集合F中剔除。

3)遍历步骤1)-2)直到集合F为空，输出子集S。

步骤3、对步骤2所提取的最优特征集进行进一步降维处理，生成最终的物联网设备身份凭证：采用主成分分析法对特征子集进行降维处理，消除特征数据的冗余特性，生成低维度数据集合作为物联网终端的身份凭证。其具体步骤如下：

步骤3.1：从原始数据集D中根据步骤2得到的最优特征集S进行特征提取得到训练样本子集合X；

步骤3.2：求出训练样本的均值：

m表示样本的个数。

步骤3.3：计算协方差矩阵C：

求出协方差矩阵C的特征值和特征向量，[λ₁,λ₂,…,λ_n]是将特征值数值按从大到小的顺序排列，V＝[v₁,v₂,…,v_n]是不同特征值对应的特征向量，则协方差矩阵C可表示为：

步骤3.4：获取特征主成分：选取前d个最大的特征值对应的特征向量，构成新的特征向量矩阵U_n×d＝[u₁,u₂…,u_d]，它的各列称为特征矢量，结合数据阵X可得到P＝U^TX，我们把P的各行称作数据X的主分量，其中P₁为第一主分量，P₂为第二主分量，以此类推。

步骤3.5：对样本进行白化处理，白化矩阵

其中∧为特征值的降序排列。为了求训练样本零均值矩阵的白化，我们将矩阵E扩展为方阵，将数据阵X右乘白化矩阵，最终得到的白化后的矩阵为：

Z是白化后的数据阵，消除了数据特征的二阶相关性，使得后续的操作在高阶统计量上。

步骤3.6：生成最终的低维度数据集合作为物联网终端的身份凭证Y，公式如下：

在设备验证阶段，将生成的凭证Y送入机器学习算法中进行分类识别，从而识别出设备的身份。

与现有技术相比，本发明具有如下优点和有益效果：

1.本发明提供的基于网络流量特征融合的物联网设备身份凭证生成方法从设备网络协议栈指纹特征、设备网络数据序列特征、以及设备网络数据协议特征三个维度提取特征，通过特征融合、最优特征选择以及降维处理生成与设备个体相关的终端准入凭证，用于解决物联网设备接入时假冒设备非法接入问题。

2.基于网络流量特征融合的物联网设备凭证生成方法，可以解决现有多分类机器学习识别方法中的分类识别重叠，分类精度不高的问题。

3.本发明向后兼容性好，仅需增加物联网设备启动接入阶段时网络流量数据的特征即可支持后续物联网设备，无需在设备本身添加额外的软件程序即可实现接入访问控制，对物联网终端设备尤其是已经部署的物联网终端设备的网络访问控制、网络系统安全防护等有着现实指导意义。

附图说明

图1为本发明提供的基于网络流量特征融合的物联网设备身份凭证生成方法的整体框图。

具体实施方式

以下将结合具体实施例对本发明提供的技术方案进行详细说明，应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。

本发明提供的基于网络流量特征融合的物联网设备身份凭证生成方法，其整体框图如图1所示，具体包括以下步骤：

101、构建与物联网设备身份识别有关的网络流量指纹特征集合：从设备网络协议栈指纹特征、设备网络数据序列特征、以及设备网络数据协议特征三个维度提取特征，通过特征融合构建指纹特征集合。具体包括以下步骤：

1011、提取设备网络协议栈指纹特征：从设备网络流量数据中提取TCP/IP协议栈指纹特征，包括TCP报文头中的初始化窗口值、初始序列号(ISN)、时间戳字段(Timestamp)、最大报文长度(MSS)、窗口扩大因子(WS)、选择性确认标志位(SACK Permitted)、响应缺省值(ACK Number)、建立连接标志位(SYN)、关闭连接标志位(FIN)、响应标志位(ACK)、有数据传输标志位(PSH)，紧急标志位(URG),连接重置标志位(RST)；IP报文头中的版本号(Version)、首部长度(IHL)、存活时间(TTL)、分段标志位(DF)、协议字段值(Protocol)，选项值(Option)和协议端口号(Port)等；

设每个报文的特征值数量为m，从n个网络流量数据报文中可构建一个m×n的二维特征矩阵。

1012、提取设备网络数据序列特征：将n个网络流量数据报文看成一个与时间相关的序列集合，并提取与时间序列有关的时间统计特征，所选择的统计特征为TCP报文取样特征、相邻数据报文到达间隔统计特征、数据报文长度的统计特征。

TCP报文取样特征包括：初始序列号(ISN)值的总和、最大值、最小值、平均值、方差、标准差；时间戳字段(Timestamp)值的差值的总和、最大值、最小值、平均值、方差、标准差。

相邻数据报文到达间隔统计特征包括：相邻数据报文到达间隔值的总和、最大值、最小值、平均值、方差、标准差。

数据报文长度的统计特征统计特征包括：数据报文长度的统计特征值的总和、最大值、最小值、平均值、方差、标准差。

统计特征的计算方法如表1所示：

表1

并将这些统计特征构成一个一维特征向量。

1013、提取设备网络数据协议特征：从n个网络流量数据报文里取各网络数据报文的应用层协议类型作为特征值，所选择的应用层协议类型为基于TCP的http协议、https协议、ssh协议、ftp协议、rtsp协议、telnet协议以及无协议(raw)，基于UDP的snmp协议、onvif协议、dns协议、nfs协议、dhcp协议、tftp协议、pop协议，共计14个特征值；若物联网设备的网络流量数据中某报文为上述所列的某种协议，则标为数值1，否则记为0。则从n个网络流量数据报文中可构建一个14×n的二维特征矩阵。

设备网络数据协议特征的编码规则为：若物联网设备接入启动阶段的头20个网络数据报文中存在上述所列的某种协议，则标为数值1，否则记为0，从而可从网络数据报文中提取出14维的特征向量。例如，网络摄像头除了运行ONVIF协议外，为了方便管理，产商还会为其部署SNMP，SSH，TELNET等协议。因此，对于此类型设备，其特征向量F2＝(0,0,1,0,0,1,0,1,1,0,0,0,0,0)。

1014、对上述三个步骤所提取的特征向量进行最小-最大归一化处理，再合并构成向量集合作为该物联网设备的设备指纹特征数据集合。其最小-最大归一化公式如下：

其中X_norm为归一化后的数值，X为原始数据，X_max为数据集合里的最大值，X_min为数据集合里的最小值。

102、在步骤101构建的指纹特征集合中进行最优特征选择：利用特征和终端间的相关特性对特征进行筛选排序，采用最大相关最小冗余特性实现与终端设备类型识别有关的最优特征选择。其具体步骤如下：

1021、采集物联网设备的网络流量数据作为原始数据集D、按照步骤101的设备指纹特征数据集合提取方法从原始数据集D中得到原始特征集F，将物联网设备标识作为标签集C，将最终生成的最优特征集定义为S。

1022、初始化最优特征集S：首先将S设为空集，计算原始特征集F里每一个特征的互信息

p(fc)为联合概率密度函数，p(f)和p(c)为边缘概率密度函数。

选择和标签集C相关性最大的特征变量记为f_max，存入S集合；同时将f_max从集合F中去除。

1023、使用贪婪搜索方法寻找符合要求的下一个特征：

1)遍历集合F中的所有特征，计算该特征与标签集C的相关性，以及与集合F内其他特征之间两两间冗余性，得到f_max。

f_max表示与标签集合C相关性最大，同时与F集合内其他元素的冗余性最小的特征。其中H(f_j)＝-p(f_j)lbp(f_j)定义为变量f_j的信息熵，

为变量f_j在集合C下的条件熵。

2)将f_max加入到集合S中，并将其从集合F中剔除。

3)遍历步骤1)-2)直到集合F为空，输出子集S。

103、对步骤102所提取的最优特征集进行进一步降维处理，生成最终的物联网设备身份凭证：采用主成分分析法对特征子集进行降维处理，消除特征数据的冗余特性，生成低维度数据集合作为物联网终端的身份凭证。其具体步骤如下：

1031、从原始数据集D中根据步骤102得到的最优特征集S进行特征提取得到训练样本子集合X；

1032、求出训练样本的均值：

m表示样本的个数。

1033、计算协方差矩阵C：

求出协方差矩阵C的特征值和特征向量，[λ₁,λ₂,…,λ_n]是将特征值数值按从大到小的顺序排列，V＝[v₁,v₂,…,v_n]是不同特征值对应的特征向量，则协方差矩阵C可表示为：

1034、获取特征主成分：选取前d个最大的特征值对应的特征向量，构成新的特征向量矩阵U_n×d＝[u₁,u₂…,u_d]，它的各列称为特征矢量，结合数据阵X可得到P＝U^TX，我们把P的各行称作数据X的主分量，其中P₁为第一主分量，P₂为第二主分量，以此类推。

1035、对样本进行白化处理，白化矩阵

其中∧为特征值的降序排列。为了求训练样本零均值矩阵的白化，我们将矩阵E扩展为方阵，将数据阵X右乘白化矩阵，最终得到的白化后的矩阵为：

Z是白化后的数据阵，消除了数据特征的二阶相关性，使得后续的操作在高阶统计量上。

1036、生成最终的低维度数据集合作为物联网终端的身份凭证Y，公式如下：

在设备验证阶段，将生成的凭证Y送入机器学习算法中进行分类识别，从而识别出设备的身份。

本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段，还包括由以上技术特征任意组合所组成的技术方案。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。

Claims (7)

1.基于网络流量特征融合的物联网设备凭证生成方法，其特征在于：具体包括以下步骤：

步骤1、构建与物联网设备身份识别有关的网络流量指纹特征集合：从设备网络协议栈指纹特征、设备网络数据序列特征、以及设备网络数据协议特征三个维度提取特征，通过特征融合构建指纹特征集合；

步骤2、在步骤1构建的指纹特征集合中进行最优特征选择：利用特征和终端间的相关特性对特征进行筛选排序，采用最大相关最小冗余特性实现与终端设备类型识别有关的最优特征选择；

步骤3、对步骤2所提取的最优特征集进行进一步降维处理，生成最终的物联网设备身份凭证：采用主成分分析法对特征子集进行降维处理，消除特征数据的冗余特性，生成低维度数据集合作为物联网终端的身份凭证。

2.根据权利要求1所述的基于网络流量特征融合的物联网设备凭证生成方法，其特征在于：在步骤1中所述的设备网络协议栈指纹特征提取方法为：从设备网络流量数据中提取TCP/IP协议栈指纹特征，包括TCP报文头中的初始化窗口值、初始序列号、时间戳字段、最大报文长度、窗口扩大因子、选择性确认标志位、响应缺省值、建立连接标志位、关闭连接标志位、响应标志位、有数据传输标志位，紧急标志位，连接重置标志位；IP报文头中的版本号、首部长度、存活时间分段标志位、协议字段值，选项值和协议端口号；设每个报文的特征值数量为m，从n个网络流量数据报文中构建一个m×n的二维特征矩阵。

3.根据权利要求1所述的基于网络流量特征融合的物联网设备凭证生成方法，其特征在于：在步骤1中所述的设备网络数据序列特征提取方法为：将n个网络流量数据报文看成一个与时间相关的序列集合，并提取与时间序列有关的时间统计特征，所选择的统计特征为TCP报文取样特征、相邻数据报文到达间隔统计特征、数据报文长度的统计特征；

所述TCP报文取样特征包括：初始序列号值的总和、最大值、最小值、平均值、方差、标准差；时间戳字段值的差值的总和、最大值、最小值、平均值、方差、标准差；

所述相邻数据报文到达间隔统计特征包括：相邻数据报文到达间隔值的总和、最大值、最小值、平均值、方差、标准差；

所述数据报文长度的统计特征统计特征包括：数据报文长度的统计特征值的总和、最大值、最小值、平均值、方差、标准差；

并将这些统计特征构成一个一维特征向量。

4.根据权利要求1所述的基于网络流量特征融合的物联网设备凭证生成方法，其特征在于：在步骤1中所述的设备网络数据协议特征提取方法为：从n个网络流量数据报文里取各网络数据报文的应用层协议类型作为特征值，所选择的应用层协议类型为基于TCP的http协议、https协议、ssh协议、ftp协议、rtsp协议、telnet协议以及无协议，基于UDP的snmp协议、onvif协议、dns协议、nfs协议、dhcp协议、tftp协议、pop协议，共计14个特征值；若物联网设备的网络流量数据中某报文为上述所列的某种协议，则标为数值1，否则记为0；从n个网络流量数据报文中构建一个14×n的二维特征矩阵。

5.根据权利要求1所述的基于网络流量特征融合的物联网设备凭证生成方法，其特征在于：在步骤1中所述的特征融合构建指纹特征集合，其方法为：对设备网络协议栈指纹特征、设备网络数据序列特征、以及设备网络数据协议特征三个维度提取的特征进行最小-最大归一化处理，再合并构成向量集合作为该物联网设备的设备指纹特征数据集合。

6.根据权利要求1所述的基于网络流量特征融合的物联网设备凭证生成方法，其特征在于：在步骤2具体包括如下子步骤：

步骤2.1：采集物联网设备的网络流量数据作为原始数据集D、按照步骤1的设备指纹特征数据集合提取方法从原始数据集D中得到原始特征集F，将物联网设备标识作为标签集C，将最终生成的最优特征集定义为S；

步骤2.2：初始化最优特征集S：首先将S设为空集，计算原始特征集F里每一个特征的互信息

p(fc)为联合概率密度函数，p(f)和p(c)为边缘概率密度函数；

选择和标签集C相关性最大的特征变量记为f_max，存入S集合；同时将f_max从集合F中去除；

步骤2.3：使用贪婪搜索方法寻找符合要求的下一个特征：

1)遍历集合F中的所有特征，计算该特征与标签集C的相关性，以及与集合F内其他特征之间两两间冗余性，得到f_max；

f_max表示与标签集合C相关性最大，同时与F集合内其他元素的冗余性最小的特征；其中H(f_j)＝-p(f_j)lbp(f_j)定义为变量f_j的信息熵，

为变量f_j在集合C下的条件熵；

2)将f_max加入到集合S中，并将其从集合F中剔除；

3)遍历步骤1)-2)直到集合F为空，输出子集S。

7.根据权利要求1所述的基于网络流量特征融合的物联网设备凭证生成方法，其特征在于：在步骤3具体包括如下子步骤：

步骤3.1：从原始数据集D中根据步骤2得到的最优特征集S进行特征提取得到训练样本子集合X；

步骤3.2：求出训练样本的均值：

m表示样本的个数；

步骤3.3：计算协方差矩阵C：

求出协方差矩阵C的特征值和特征向量，[λ₁,λ₂,…,λ_n]是将特征值数值按从大到小的顺序排列，V＝[v₁,v₂,…,v_n]是不同特征值对应的特征向量，则协方差矩阵C表示为：

步骤3.4：获取特征主成分：选取前d个最大的特征值对应的特征向量，构成新的特征向量矩阵U_n×d＝[u₁,u₂…,u_d]，它的各列称为特征矢量，结合数据阵X得到P＝U^TX，我们把P的各行称作数据X的主分量，其中P₁为第一主分量，P₂为第二主分量，以此类推；

步骤3.5：对样本进行白化处理，白化矩阵

其中∧为特征值的降序排列，将矩阵E扩展为方阵，将数据阵X右乘白化矩阵，最终得到的白化后的矩阵为：

Z是白化后的数据阵；

步骤3.6：生成最终的低维度数据集合作为物联网终端的身份凭证Y，公式如下：

在设备验证阶段，将生成的凭证Y送入机器学习算法中进行分类识别，从而识别出设备的身份。

Images