CN111757365A - 一种无线网络中异常设备识别方法及装置 - Google Patents

一种无线网络中异常设备识别方法及装置 Download PDF

Info

Publication number
CN111757365A
CN111757365A CN202010495550.0A CN202010495550A CN111757365A CN 111757365 A CN111757365 A CN 111757365A CN 202010495550 A CN202010495550 A CN 202010495550A CN 111757365 A CN111757365 A CN 111757365A
Authority
CN
China
Prior art keywords
identified
equipment
information
protocol
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202010495550.0A
Other languages
English (en)
Inventor
马君
喻灵婧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Meifang Science And Technology Beijing Co ltd
Original Assignee
Meifang Science And Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Meifang Science And Technology Beijing Co ltd filed Critical Meifang Science And Technology Beijing Co ltd
Priority to CN202010495550.0A priority Critical patent/CN111757365A/zh
Publication of CN111757365A publication Critical patent/CN111757365A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例提供一种无线网络中异常设备识别方法及装置。所述方法包括获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备,本发明实施例通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,从而确定输出满足预设的不一致判定条件时,简单快速得从无线网络中识别异常设备。

Description

一种无线网络中异常设备识别方法及装置
技术领域
本发明涉及无线通信技术领域,尤其涉及一种无线网络中异常设备识别方法及装置。
背景技术
无线设备和物联网设备已经被广泛应用于社会的各个领域中,随着无线通信技术的发展以及其带来的便利,越来越多的传统(有线)设备通过无线的方式连入网络。与此同时,越来越多的设备开始支持接入WiFi网络,为了保证网络中各个设备的正常运行,并防止被攻击,需要能够正确识别网络中的各种设备。
现有的物联网IOT系统在不需要人工干预、也不需要对数据做任何标记的情况下,通过构建一个对应于不同设备类型的设备通信画像,将该设备通信画像用于联合学习方法上以检测由于攻击者的控制而造成的IoT设备异常的通信行为。
现有技术对于异常设备的识别工作主要是检测被攻击者控制而做出异常的通信动作的设备,无法在异常设备未发起攻击前对异常设备进行快速锁定。
发明内容
由于现有方法存在上述问题,本发明实施例提供一种无线网络中异常设备识别方法及装置。
第一方面,本发明实施例提供了一种无线网络中异常设备识别方法,包括:
获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备。
进一步地,所述根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型,具体包括:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
进一步地,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
进一步地,所述设备识别模型具体为包括深度融合和广度融合的神经网络。
进一步地,所述若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备,具体包括:
所述设备识别模型的广度融合的神经网络得到与各特征类型对应的识别结果,并根据预设的不一致判定算法得到不一致量化值;
若所述不一致程序值超过预设的阈值,则确定所述待识别模型为异常模型。
第二方面,本发明实施例提供了一种无线网络中异常设备识别装置,包括:
流量采集单元,用于获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
数据处理单元,用于数据根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
设备识别单元,用于若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备。
进一步地,所述数据处理单元,具体用于:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
进一步地,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
第三方面,本发明实施例还提供了一种电子设备,包括:
处理器、存储器、通信接口和通信总线;其中,
所述处理器、存储器、通信接口通过所述通信总线完成相互间的通信;
所述通信接口用于该电子设备的通信设备之间的信息传输;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述程序指令能够执行如下方法:
获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如下方法:
获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备。
本发明实施例提供的无线网络中异常设备识别方法及装置,通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,从而确定输出满足预设的不一致判定条件时,简单快速得从无线网络中识别异常设备。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的无线网络中异常设备识别方法流程图;
图2为本发明实施例的设备识别模型的结构示意图;
图3为本发明实施例的无线网络中异常设备识别装置结构示意图;
图4示例了一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例的无线网络中异常设备识别方法流程图,如图1所示,所述方法包括:
步骤S01、获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量。
在无线网络中部署设备识别装置,所述设备识别装置具体可以为无线网络中任意一台能接收流量的智能设备,例如,个人电脑、手机、网关服务器等。通过在所述设备识别装置上预先安装的监听工具,例如,tcpdump,wireshark等,监听所述设备识别装置的无线网卡所收到的流量,并采集其中的广播和多播流量作为待识别流量。
所采集到的待识别流量根据其包含的源MAC地址,分别对应于不同的待识别装置。
步骤S02、根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的。
所述待识别装置在发送广播和多播流量时,根据实际的需要将使用不同的数据传输协议,例如:ARP协议、ICMPv6协议、mDNS协议、DHCP协议、IGMP协议、SSDP协议、LLC协议、LLMNR协议、UDP协议、ETHERTYPE协议等等。不同的数据传输协议存在不同的数据格式、包含不同的数据内容,因此,可预先选定部分数据传输协议,从与选定的数据传输协议对应的待识别流量中分别提取出各数据传输协议的特征信息。例如:对于DHCP协议,其对应的待识别流量的数据包包括:DHCPdiscover数据包、DHCP offer数据包等,各数据包所包含的数据内容由多个选项组成,提取出预设选项对应的数据内容作为所述DHCP协议对应的特征信息。
在提取特征信息时,对于部分不存在区别特性的特征信息可以采用简单替换的方式来简化后续的数据处理,例如,若特征信息为IPv4或IPv6地址,则可用字符串“IPv4”或“IPv6”进行替换。
根据各数据传输协议的数据特性,将各数据传输协议的特征信息分为多个预设的特征类型,从而得到各特征类型的特征信息,并将得到的各特征类型的特征信息输入到预先构建并训练的设备识别模型中。
所述设备识别模型为预先构建的神经网络模型,并通过预先采集训练样本集对所述设备识别模型进行训练,所述训练样本集包括大量预先经过标注的特征信息训练样本。所述特征信息训练样本源于各类无线网络中已识别设备的广播和多播流量,通过特征提取,得到的已识别设备的各特征类型的特征信息。
步骤S03、若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备。
将得到的待识别设备的各特征类型的特征信息输入到训练后的设备识别模型中,再根据所述设备识别模型的输出,得到所述待识别设备的识别结果。
若根据所述设备识别模型的输出判定所述待识别设备为某一已知设备,则给出所述待识别模型的设备信息。
所述待识别设备的设备信息具体包括:所述待识别设备的制造商、设备类型和设备型号。
所述设备信息可根据实际的需要对具体的粒度进行设定,本发明实施例仅给出了其中的一种举例说明,所述设备信息具体包括三个标识,分别为:{制造商Manufacturer、设备类型Type、设备型号Model}。
所述制造商具体可以使用各设备制造商的公司命名。
所述设备类型可以根据实际的需要进行分类并命名:例如:phone、computer、pad、router、camera、smart-plug、smart-switch、virtual-machine、game-console、tv、lightbulb、printer、kettle、watersensor、watch等。
所述设备型号可使用各设备制造商的设备型号。
而若根据所述设备识别模型的输出判定所述待识别模型并非已知设备,则认为所述待识别设备可能为一种未知的良性设备或异常设备。所述良性设备是指所述设备识别模型在训练过程中未被标注的一种正常设备,而所述异常设备是指假冒设备或恶意设备。
设备识别装置预先设置了用于判定异常设备的不一致判定条件,当所述设备识别模型的输出满足所述不一致判定条件时判定所述待识别设备为异常设备。
本发明实施例通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,从而确定输出满足预设的不一致判定条件时,简单快速得从无线网络中识别异常设备。
基于上述实施例,进一步地,所述步骤S02具体包括:
步骤S021、根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息。
所述设备识别装置上安装的监听工具将采集到的待识别流量的数据包进行格式化,转换成预设的Json格式,例如,wireshark工具利用所支持的网络协议分析器tshark可将采集到的广播和多播流量的数据包转换成预设的Json元素。将具有相同源MAC地址的所有Json元素合并到一个以源MAC地址作为键的Json元素中,该源MAC地址对应于所述待识别设备。对于内容相同的Json元素,去重后,只保留一个元素的内容。每个Json元素中的内容即为所述待识别设备发送的待识别流量的有效负载内容。
然后根据各待识别流量的数据传输协议,对所述Json格式数据执行特征提取,从与各数据传输协议对应的Json元素中提取出所述待识别设备的各数据传输协议的特征信息。
步骤S022、根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型。
进一步地,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
根据各数据传输协议的数据特性,例如数据结构和数据内容,将各数据传输协议对应的特征信息进行分类。本发明实施例给出了其中的一种举例说明,具体分为以下六种特征类型:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类。
将从所述DHCP协议和DHCPv6对应的Json元素提取得到的特征信息,归为DHCP类的特征信息。
将从mDNS协议对应的Json元素提取得到的特征信息作为mDNS类的特征信息。
将从SSDP协议对应的Json元素提取得到的特征信息作为SSDP类的特征信息。
将从LLMNR协议、BROWSER协议、和NBNS协议对应的Json元素提取得到的特征信息作为LBN类的特征信息
将从部分UDP协议对应的Json元素提取得到的特征信息作为UDP类的特征信息。
另外,将所述待识别设备的所有数据传输协议的协议序列,以及所述待识别设备的源MAC地址前缀作为所述protseq类的特征信息。
通过对特征信息进行分类,将每一种特征类型的特征信息作为所述设备识别模型的一种特征视图,采用多视图学习的思想,通过不同视图相互补充的方式来共同进行设备识别。
步骤S023、根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息。
在将各数据类型的特征信息输入到设备识别模型前,还需要对特征信息进行向量化。由于各数据传输协议的数据结构的不同,提取到的特征信息也存在不同的数据特征,例如,所述DHCP、DHCPv6、SSDP、LLMNR、BROWSER、NBNS协议的特征信息具有键值对类型,而mDNS协议的特征信息具有伪自然语言类型。因此,在进行向量化时将采用预设的与各数据传输协议对应的数据处理方法。例如,对于键值对类型的特征信息,按onehot编码形式将其向量化,而对于伪自然语言类型的特征信息,使用word2vec和LDA将其向量化。
步骤S024、根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
根据预设的拼接规则,将经过向量化后得到的各特征信息的向量信息横向拼接,形成所述待识别设备的指纹信息。
将所述待识别设备的指纹信息输入到训练后的设备识别模型中,得到待识别设备的设备信息。
同样的,在对所述待识别设备模型进行训练的过程中,需要先对各已知设备的特征信息训练样本进行向量化,得到各已知设备的指纹信息,再用于训练。
由于所述设备识别装置持续采集待识别流量,因此,所述待识别设备的指纹信息可能会根据采集到广播和多播流量的增加而持续更新。具体地,可以根据预设的间隔周期,例如30秒或1分钟等,对得到的待识别设备的指纹信息进行识别。
本发明实施例通过对采集到的待识别流量进行格式化,再根据各数据传输协议进行特征提取、向量化和拼接,得到各待识别设备的指纹信息作为所述设备识别模型的输入,从而能够对无线网络中的待识别设备进行更加准确的识别。
图2为本发明实施例的设备识别模型的结构示意图,如图2所示,所述设备识别模型具体为包括深度融合和广度融合的神经网络。
本发明实施例设备识别模型为一种基于混合融合方式的多视图神经网络,命名为多视图广度和深度学习模型(multi-view wide and deep learning,MvWDL)。通过将上述实施例中预先分类的6个独立互补的特征视图F={v1,v2,v3,v4,v5,v6}的密集嵌入表征
Figure BDA0002522703620000101
融合到以下两个结构中:(a)一个是用于进行早期融合的深度融合deep fusion的神经网络,以最大化所述设备识别模型的泛化性能,(b)另一个是用于后期融合的广度融合wide fusion的神经网络,以提升各设备信息与各特征视图之间的交互记忆,即每个特征视图如何响应制造商、设备类型和设备型号。
所述设备识别模型的输出分为由设备类别识别分类器Device classification根据输出的最终条件概率得到的设备信息和由异常设备监测器Abnormal devicedetectionl输出的是否为异常设备的判定结果。
所述最终条件概率由下式得到:
Figure BDA0002522703620000102
其中,所述
Figure BDA0002522703620000103
为广度融合的神经网络得到的分类判断概率,
Figure BDA0002522703620000104
为深度融合的神经网络得到的分类判断概率,所述tc为某一种设备信息,即制造商、设备类型或设备型号。
在MvWDL模型训练阶段,为了平衡训练样本集中的不同已知设备的特征信息训练样本,对于数量较少的已知设备,可复制多份该已知设备的特征信息训练样本放入训练样本集中一起进行训练。
本发明实施例通过基于多视图广度和深度学习模型构建设备识别模型,从而能够更加准确得对无线网络的中异常设备进行识别。
基于上述实施例,进一步地,所述步骤S03具体包括:
所述设备识别模型的广度融合的神经网络得到与各特征类型对应的识别结果,并根据预设的不一致判定算法得到不一致量化值;
若所述不一致程序值超过预设的阈值,则确定所述待识别模型为异常模型。
如图2所示,所述设备识别模型的广度融合的神经网络根据各个特征视图输入的特征信息,分别得到与各特征视图i的识别结果pi,即得到了与各特征类型分别对应的识别结果。
判断各特征视图的识别结果的差异性,若差异性较大,则确定所述待识别设备为异常设备。
具体的判断方法可以根据各特征视图的识别结果,通过预设的不一致判定算法,计算不一致量化值。所述不一致判定算法如下:
Figure BDA0002522703620000111
其中,所述A运算是以pk中的最大概率返回其对应的索引。η是预设的折衷参数,其聚会在[0,1]范围内,它平衡了
Figure BDA0002522703620000112
在类型识别上不一对待的可能性。其中,
Figure BDA0002522703620000113
Figure BDA0002522703620000114
分别为广度融合的神经网络输出的特征视图u和v对于特定信息k的识别概率。
若计算得到的不一致量化值超过了预设的阈值∈,则判定所述待识别模型为异常设备。
本发明实施例通过将预设的不一致判定算法,根据各特征视图的识别结果,计算得到不一致量化值,若所述不一致量量化值超过了预设的阈值,则判定所述待识别设备为异常设备,从而能够更加准确得识别无线网络中的异常设备。
图3为本发明实施例的无线网络中异常设备识别装置结构示意图,如图3所示,所述装置包括:流量采集单元10、数据处理单元11和设备识别单元12;其中,
所述流量采集单元10用于获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;所述数据处理单元11用于数据根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;所述设备识别单元12用于若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备。具体地:
在无线网络中部署设备识别装置,所述设备识别装置具体可以为无线网络中任意一台能接收流量的智能设备,例如,个人电脑、手机、网关服务器等。通过所述设备识别装置的流量采集单元10监听所述设备识别装置的无线网卡所收到的流量,并采集其中的广播和多播流量作为待识别流量,并发送给数据处理单元11。
所采集到的待识别流量根据其包含的源MAC地址,分别对应于不同的待识别装置。
所述待识别装置在发送广播和多播流量时,根据实际的需要将使用不同的数据传输协议。不同的数据传输协议存在不同的数据格式、包含不同的数据内容,因此,可预先选定部分数据传输协议,由所述数据处理单元11从与选定的数据传输协议对应的待识别流量中分别提取出各数据传输协议的特征信息。
数据处理单元11在提取特征信息时,对于部分不存在区别特性的特征信息可以采用简单替换的方式来简化后续的数据处理,例如,若特征信息为IPv4或IPv6地址,则可用字符串“IPv4”或“IPv6”进行替换。
数据处理单元11根据各数据传输协议的数据特性,将各数据传输协议的特征信息分为多个预设的特征类型,从而得到各特征类型的特征信息,并发送给设备识别单元12。
设备识别单元12预先构建设备识别模型,并通过预先采集训练样本集对所述设备识别模型进行训练,所述训练样本集包括大量预先经过标注的特征信息训练样本。所述特征信息训练样本源于各类无线网络中已识别设备的广播和多播流量,通过特征提取,得到的已识别设备的各特征类型的特征信息。
设备识别单元12将得到的待识别设备的各特征类型的特征信息输入到训练后的设备识别模型中,再根据所述设备识别模型的输出,得到所述待识别设备的识别结果。
若根据所述设备识别模型的输出判定所述待识别设备为某一已知设备,则给出所述待识别模型的设备信息。
所述待识别设备的设备信息具体包括:所述待识别设备的制造商、设备类型和设备型号。
所述设备信息可根据实际的需要对具体的粒度进行设定,本发明实施例仅给出了其中的一种举例说明,所述设备信息具体包括三个标识,分别为:{制造商Manufacturer、设备类型Type、设备型号Model}。
所述制造商具体可以使用各设备制造商的公司命名。
所述设备类型可以根据实际的需要进行分类并命名:例如:phone、computer、pad、router、camera、smart-plug、smart-switch、virtual-machine、game-console、tv、lightbulb、printer、kettle、watersensor、watch等。
所述设备型号可使用各设备制造商的设备型号。
而若设备识别单元12根据所述设备识别模型的输出判定所述待识别模型并非已知设备,则认为所述待识别设备可能为一种未知的良性设备或异常设备。所述良性设备是指所述设备识别模型在训练过程中未被标注的一种正常设备,而所述异常设备是指假冒设备或恶意设备。
设备识别单元12预先设置了用于判定异常设备的不一致判定条件,当所述设备识别模型的输出满足所述不一致判定条件时判定所述待识别设备为异常设备。
本发明实施例提供的装置用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,根据输出得到所述待识别设备的设备信息,从而简单快速得实现对无线网络中的设备进行识别。
基于上述实施例,进一步地,所述数据处理单元,具体用于:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
所述流量采集单元将采集到的待识别流量的数据包进行格式化,转换成预设的Json格式,例如,wireshark工具利用所支持的网络协议分析器tshark可将采集到的广播和多播流量的数据包转换成预设的Json元素。将具有相同源MAC地址的所有Json元素合并到一个以源MAC地址作为键的Json元素中,该源MAC地址对应于所述待识别设备。对于内容相同的Json元素,去重后,只保留一个元素的内容。每个Json元素中的内容即为所述待识别设备发送的待识别流量的有效负载内容。
然后数据处理单元根据各待识别流量的数据传输协议,对所述Json格式数据执行特征提取,从与各数据传输协议对应的Json元素中提取出所述待识别设备的各数据传输协议的特征信息。
进一步地,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
根据各数据传输协议的数据特性,将各数据传输协议对应的特征信息进行分类。本发明实施例给出了其中的一种举例说明,具体分为以下六种特征类型:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类。
将从所述DHCP协议和DHCPv6对应的Json元素提取得到的特征信息,归为DHCP类的特征信息。
将从mDNS协议对应的Json元素提取得到的特征信息作为mDNS类的特征信息。
将从SSDP协议对应的Json元素提取得到的特征信息作为SSDP类的特征信息。
将从LLMNR协议、BROWSER协议、和NBNS协议对应的Json元素提取得到的特征信息作为LBN类的特征信息
将从部分UDP协议对应的Json元素提取得到的特征信息作为UDP类的特征信息。
另外,将所述待识别设备的所有数据传输协议的协议序列,以及所述待识别设备的源MAC地址前缀作为所述protseq类的特征信息。
数据处理单元通过对特征信息进行分类,将每一种特征类型的特征信息作为所述设备识别模型的一种特征视图,采用多视图学习的思想,通过不同视图相互补充的方式来共同进行设备识别。
在将各数据类型的特征信息输入到设备识别模型前,数据处理单元还需要对特征信息进行向量化,在进行向量化时将采用预设的与各数据传输协议对应的数据处理方法,得到各特征类型的向量信息。
数据处理单元根据预设的拼接规则,将经过向量化后得到的各特征信息的向量信息横向拼接,形成所述待识别设备的指纹信息,并发送给设备识别单元。
设备识别单元将所述待识别设备的指纹信息输入到训练后的设备识别模型中,得到待识别设备的设备信息。
同样的,在对所述待识别设备模型进行训练的过程中,需要先对各已知设备的特征信息训练样本进行向量化,得到各已知设备的指纹信息,再用于训练。
由于所述设备识别装置持续采集待识别流量,因此,所述待识别设备的指纹信息可能会根据采集到广播和多播流量的增加而持续更新。具体地,可以根据预设的间隔周期,例如30秒或1分钟等,对得到的待识别设备的指纹信息进行识别。
本发明实施例提供的装置用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过对采集到的待识别流量进行格式化,再根据各数据传输协议进行特征提取、向量化和拼接,得到各待识别设备的指纹信息作为所述设备识别模型的输入,从而能够对无线网络中的待识别设备进行更加准确的识别。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)401、通信接口(Communications Interface)403、存储器(memory)402和通信总线404,其中,处理器401,通信接口403,存储器402通过通信总线404完成相互间的通信。处理器401可以调用存储器402中的逻辑指令,以执行上述方法。
进一步地,本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法。
进一步地,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。
本领域普通技术人员可以理解:此外,上述的存储器402中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种无线网络中异常设备识别方法,其特征在于,包括:
获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备。
2.根据权利要求1所述的无线网络中异常设备识别方法,其特征在于,所述根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型,具体包括:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
3.根据权利要求2所述的无线网络中异常设备识别方法,其特征在于,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
4.根据权利要求3所述的无线网络中异常设备识别方法,其特征在于,所述设备识别模型具体为包括深度融合和广度融合的神经网络。
5.根据权利要求4所述的无线网络中异常设备识别方法,其特征在于,所述若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备,具体包括:
所述设备识别模型的广度融合的神经网络得到与各特征类型对应的识别结果,并根据预设的不一致判定算法得到不一致量化值;
若所述不一致程序值超过预设的阈值,则确定所述待识别模型为异常模型。
6.一种无线网络中异常设备识别装置,其特征在于,包括:
流量采集单元,用于获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
数据处理单元,用于数据根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
设备识别单元,用于若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备。
7.根据权利要求6所述的无线网络中异常设备识别装置,其特征在于,所述数据处理单元,具体用于:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
8.根据权利要求7所述的无线网络中异常设备识别装置,其特征在于,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述的无线网络中异常设备识别方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5任一项所述的无线网络中异常设备识别方法的步骤。
CN202010495550.0A 2020-06-03 2020-06-03 一种无线网络中异常设备识别方法及装置 Withdrawn CN111757365A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010495550.0A CN111757365A (zh) 2020-06-03 2020-06-03 一种无线网络中异常设备识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010495550.0A CN111757365A (zh) 2020-06-03 2020-06-03 一种无线网络中异常设备识别方法及装置

Publications (1)

Publication Number Publication Date
CN111757365A true CN111757365A (zh) 2020-10-09

Family

ID=72674528

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010495550.0A Withdrawn CN111757365A (zh) 2020-06-03 2020-06-03 一种无线网络中异常设备识别方法及装置

Country Status (1)

Country Link
CN (1) CN111757365A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073988A (zh) * 2020-07-31 2020-12-11 中国科学院信息工程研究所 一种局域网内隐藏摄像头的探测方法
CN112068926A (zh) * 2020-07-31 2020-12-11 中国科学院信息工程研究所 一种局域网内虚拟机的识别方法
CN112396135A (zh) * 2021-01-21 2021-02-23 北京电信易通信息技术股份有限公司 一种融合通信网络流量异常检测方法及系统
CN112769623A (zh) * 2021-01-19 2021-05-07 河北大学 边缘环境下的物联网设备识别方法
WO2022083345A1 (zh) * 2020-10-20 2022-04-28 华为技术有限公司 一种用于检测视频监控设备的方法和电子设备

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073988A (zh) * 2020-07-31 2020-12-11 中国科学院信息工程研究所 一种局域网内隐藏摄像头的探测方法
CN112068926A (zh) * 2020-07-31 2020-12-11 中国科学院信息工程研究所 一种局域网内虚拟机的识别方法
CN112068926B (zh) * 2020-07-31 2024-08-09 中国科学院信息工程研究所 一种局域网内虚拟机的识别方法
WO2022083345A1 (zh) * 2020-10-20 2022-04-28 华为技术有限公司 一种用于检测视频监控设备的方法和电子设备
CN112769623A (zh) * 2021-01-19 2021-05-07 河北大学 边缘环境下的物联网设备识别方法
CN112396135A (zh) * 2021-01-21 2021-02-23 北京电信易通信息技术股份有限公司 一种融合通信网络流量异常检测方法及系统

Similar Documents

Publication Publication Date Title
CN111757365A (zh) 一种无线网络中异常设备识别方法及装置
CN111757378B (zh) 一种无线网络中设备识别方法及装置
CN109063745B (zh) 一种基于决策树的网络设备类型识别方法及系统
US11303652B2 (en) System and method for generating data sets for learning to identify user actions
CN110445653B (zh) 网络状态预测方法、装置、设备及介质
CN111478920A (zh) 一种隐蔽信道通信检测方法、装置及设备
CN110868404B (zh) 一种基于tcp/ip指纹的工控设备自动识别方法
CN111757327A (zh) 无线网络中假冒dhcp服务器或网关的识别方法及装置
US20210092610A1 (en) Method for detecting access point characteristics using machine learning
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN109547466B (zh) 基于机器学习提高风险感知能力的方法及装置、计算机设备和存储介质
CN106411644A (zh) 基于dpi技术的网络共享设备检测方法及系统
CN112600793A (zh) 一种基于机器学习的物联网设备分类识别方法及系统
CN112073988A (zh) 一种局域网内隐藏摄像头的探测方法
EP3905084A1 (en) Method and device for detecting malware
CN112270346A (zh) 基于半监督学习的物联网设备识别方法及装置
CN112769623A (zh) 边缘环境下的物联网设备识别方法
CN110472410B (zh) 识别数据的方法、设备和数据处理方法
CN113765891B (zh) 一种设备指纹识别方法以及装置
CN105516200B (zh) 云系统安全处理方法和装置
CN110532756A (zh) 一种系统指纹识别方法、装置、电子设备及存储介质
CN113037748A (zh) 一种c&c信道混合检测方法及系统
CN112235242A (zh) 一种c&c信道检测方法及系统
CN111565196A (zh) 一种KNXnet/IP协议入侵检测方法、装置、设备及介质
CN116260613A (zh) 光电融合网络中基于光谱物理特征的dos攻击检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20201009