CN111757378B - 一种无线网络中设备识别方法及装置 - Google Patents
一种无线网络中设备识别方法及装置 Download PDFInfo
- Publication number
- CN111757378B CN111757378B CN202010494798.5A CN202010494798A CN111757378B CN 111757378 B CN111757378 B CN 111757378B CN 202010494798 A CN202010494798 A CN 202010494798A CN 111757378 B CN111757378 B CN 111757378B
- Authority
- CN
- China
- Prior art keywords
- characteristic information
- identified
- data transmission
- information
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000005540 biological transmission Effects 0.000 claims abstract description 106
- 238000012549 training Methods 0.000 claims description 36
- 101000826116 Homo sapiens Single-stranded DNA-binding protein 3 Proteins 0.000 claims description 26
- 102100023008 Single-stranded DNA-binding protein 3 Human genes 0.000 claims description 26
- 238000012545 processing Methods 0.000 claims description 17
- 230000004927 fusion Effects 0.000 claims description 12
- 238000003672 processing method Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 7
- 238000013528 artificial neural network Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 description 15
- 238000000605 extraction Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 238000013136 deep learning model Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012512 characterization method Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- Artificial Intelligence (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供一种无线网络中设备识别方法及装置。所述方法包括获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;根据所述设备识别模型的输出,得到所述待识别设备的设备信息,本发明实施例通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,根据输出得到所述待识别设备的设备信息,从而简单快速得实现对无线网络中的设备进行识别。
Description
技术领域
本发明涉及无线通信技术领域,尤其涉及一种无线网络中设备识别方法及装置。
背景技术
无线设备和物联网设备已经被广泛应用于社会的各个领域中,随着无线通信技术的发展以及其带来的便利,越来越多的传统(有线)设备通过无线的方式连入网络。与此同时,越来越多的设备开始支持接入WiFi网络,为了保证网络中各个设备的正常运行,并防止被攻击,需要能够正确识别网络中的各种设备。
目前面向互联网范围的设备识别工具和方法,有的是基于设备发出的点对点流量中的内容标签,有的同时还需要通过主动扫描的方式获取设备流量内容信息。例如,IoTSentinel(IoT sentinel:Automated device-type identification for securityenforcement in IoT,IEEE ICDCS.2017)致力于研究连入互联网的IoT设备类型的识别。IoT Sentinel是部署在网关上被动获取设备启动时所产生的流量,并从这些流量中提取特征。然后IoT Sentinel会为每一种设备类型训练一个随机森林模型来识别是否是该模型对应的这种设备类型。如果一个设备的特征被多种类型对应的模型认识是正样本,IoTSentinel将直接使用设备特征的编辑距离来确定设备的类型,即判断为和设备特征的编辑距离最近的特征所属的设备类型。
但由于现在越来越多的流量会加密后再传输,因此基于点对点流量内容的方法的使用局限性会越来越大。而且监测设备点对点流量本身也对用户隐私很严重的侵犯。同时,现今越来越多设备在应对互联网上的主动扫描时会采用一些反抗的技术,例如:丢弃主动扫描包或者返回一些错误的信息。而且主动扫描本身也给网络增加了很大的负担。而基于局部范围的设备类型识别工作,有的也采用了主动的方式获取设备流量信息。可见,目前的方法都过于复杂,只适用于少量的设备上实验有效,很难适用于大量设备和设备类型的应用场景。
发明内容
由于现有方法存在上述问题,本发明实施例提供一种无线网络中设备识别方法及装置。
第一方面,本发明实施例提供了一种无线网络中设备识别方法,包括:
获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
根据所述设备识别模型的输出,得到所述待识别设备的设备信息。
进一步地,所述根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型,具体包括:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为所述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
进一步地,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
进一步地,所述设备识别模型具体为包括深度融合和广度融合的神经网络。
进一步地,所述待识别设备的设备信息具体包括:所述待识别设备的制造商、设备类型和设备型号。
第二方面,本发明实施例提供了一种无线网络中设备识别装置,包括:
流量采集单元,用于获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
数据处理单元,用于根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
设备识别单元,用于根据所述设备识别模型的输出,得到所述待识别设备的设备信息。
进一步地,所述数据处理单元,具体用于:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为所述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
进一步地,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
第三方面,本发明实施例还提供了一种电子设备,包括:
处理器、存储器、通信接口和通信总线;其中,
所述处理器、存储器、通信接口通过所述通信总线完成相互间的通信;
所述通信接口用于该电子设备的通信设备之间的信息传输;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述程序指令能够执行如下方法:
获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
根据所述设备识别模型的输出,得到所述待识别设备的设备信息。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如下方法:
获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
根据所述设备识别模型的输出,得到所述待识别设备的设备信息。
本发明实施例提供的无线网络中设备识别方法及装置,通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,根据输出得到所述待识别设备的设备信息,从而简单快速得实现对无线网络中的设备进行识别。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的无线网络中设备识别方法流程图;
图2为本发明实施例的无线网络中设备识别装置结构示意图;
图3示例了一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例的无线网络中设备识别方法流程图,如图1所示,所述方法包括:
步骤S01、获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量。
在无线网络中部署设备识别装置,所述设备识别装置具体可以为无线网络中任意一台能接收流量的智能设备,例如,个人电脑、手机、网关服务器等。通过在所述设备识别装置上预先安装的监听工具,例如,tcpdump,wireshark等,监听所述设备识别装置的无线网卡所收到的流量,并采集其中的广播和多播流量作为待识别流量。
所采集到的待识别流量根据其包含的源MAC地址,分别对应于不同的待识别装置。
步骤S02、根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的。
所述待识别装置在发送广播和多播流量时,根据实际的需要将使用不同的数据传输协议,例如:ARP协议、ICMPv6协议、mDNS协议、DHCP协议、IGMP协议、SSDP协议、LLC协议、LLMNR协议、UDP协议、ETHERTYPE协议等等。不同的数据传输协议存在不同的数据格式、包含不同的数据内容,因此,可预先选定部分数据传输协议,从与选定的数据传输协议对应的待识别流量中分别提取出各数据传输协议的特征信息。例如:对于DHCP协议,其对应的待识别流量的数据包包括:DHCPdiscover数据包、DHCP offer数据包等,各数据包所包含的数据内容由多个选项组成,提取出预设选项对应的数据内容作为所述DHCP协议对应的特征信息。
在提取特征信息时,对于部分不存在区别特性的特征信息可以采用简单替换的方式来简化后续的数据处理,例如,若特征信息为IPv4或IPv6地址,则可用字符串“IPv4”或“IPv6”进行替换。
根据各数据传输协议的数据特性,将各数据传输协议的特征信息分为多个预设的特征类型,从而得到各特征类型的特征信息,并将得到的各特征类型的特征信息输入到预先构建并训练的设备识别模型中。
所述设备识别模型为预先构建的神经网络模型,并通过预先采集训练样本集对所述设备识别模型进行训练,所述训练样本集包括大量预先经过标注的特征信息训练样本。所述特征信息训练样本源于各类无线网络中已识别设备的广播和多播流量,通过特征提取,得到的已识别设备的各特征类型的特征信息。
步骤S03、根据所述设备识别模型的输出,得到所述待识别设备的设备信息。
将得到的待识别设备的各特征类型的特征信息输入到训练后的设备识别模型中,所述设备识别模型将输出各设备信息的最终条件概率,从而确定所述待识别设备的设备信息,作为所述待识别设备的识别结果。
进一步地,所述待识别设备的设备信息具体包括:所述待识别设备的制造商、设备类型和设备型号。
所述设备信息可根据实际的需要对具体的粒度进行设定,本发明实施例仅给出了其中的一种举例说明,所述设备信息具体包括三个标识,分别为:{制造商Manufacturer、设备类型Type、设备型号Model}。
所述制造商具体可以使用各设备制造商的公司命名。
所述设备类型可以根据实际的需要进行分类并命名:例如:phone、computer、pad、router、camera、smart-plug、smart-switch、virtual-machine、game-console、tv、lightbulb、printer、kettle、watersensor、watch等。
所述设备型号可使用各设备制造商的设备型号。
本发明实施例通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,根据输出得到所述待识别设备的设备信息,从而简单快速得实现对无线网络中的设备进行识别。
基于上述实施例,进一步地的,所述步骤S02具体包括:
步骤S021、根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息。
所述设备识别装置上安装的监听工具将采集到的待识别流量的数据包进行格式化,转换成预设的Json格式,例如,wireshark工具利用所支持的网络协议分析器tshark可将采集到的广播和多播流量的数据包转换成预设的Json元素。将具有相同源MAC地址的所有Json元素合并到一个以源MAC地址作为键的Json元素中,该源MAC地址对应于所述待识别设备。对于内容相同的Json元素,去重后,只保留一个元素的内容。每个Json元素中的内容即为所述待识别设备发送的待识别流量的有效负载内容。
然后根据各待识别流量的数据传输协议,对所述Json格式数据执行特征提取,从与各数据传输协议对应的Json元素中提取出所述待识别设备的各数据传输协议的特征信息。
步骤S022、根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型。
进一步地,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
根据各数据传输协议的数据特性,例如数据结构和数据内容,将各数据传输协议对应的特征信息进行分类。本发明实施例给出了其中的一种举例说明,具体分为以下六种特征类型:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类。
将从所述DHCP协议和DHCPv6对应的Json元素提取得到的特征信息,归为DHCP类的特征信息。
将从mDNS协议对应的Json元素提取得到的特征信息作为mDNS类的特征信息。
将从SSDP协议对应的Json元素提取得到的特征信息作为SSDP类的特征信息。
将从LLMNR协议、BROWSER协议、和NBNS协议对应的Json元素提取得到的特征信息作为LBN类的特征信息
将从部分UDP协议对应的Json元素提取得到的特征信息作为UDP类的特征信息。
另外,将所述待识别设备的所有数据传输协议的协议序列,以及所述待识别设备的源MAC地址前缀作为所述protseq类的特征信息。
通过对特征信息进行分类,将每一种特征类型的特征信息作为所述设备识别模型的一种特征视图,采用多视图学习的思想,通过不同视图相互补充的方式来共同进行设备识别。
步骤S023、根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息。
在将各数据类型的特征信息输入到设备识别模型前,还需要对特征信息进行向量化。由于各数据传输协议的数据结构的不同,提取到的特征信息也存在不同的数据特征,例如,所述DHCP、DHCPv6、SSDP、LLMNR、BROWSER、NBNS协议的特征信息具有键值对类型,而mDNS协议的特征信息具有伪自然语言类型。因此,在进行向量化时将采用预设的与各数据传输协议对应的数据处理方法。例如,对于键值对类型的特征信息,按onehot编码形式将其向量化,而对于伪自然语言类型的特征信息,使用word2vec和LDA将其向量化。
步骤S024、根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为所述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
根据预设的拼接规则,将经过向量化后得到的各特征信息的向量信息横向拼接,形成所述待识别设备的指纹信息。所述拼接规则可以是一种预先设定的拼接顺序,在此不作具体地限定。
将所述待识别设备的指纹信息输入到训练后的设备识别模型中,得到待识别设备的设备信息。
同样的,在对所述待识别设备模型进行训练的过程中,需要先对各已知设备的特征信息训练样本进行向量化,得到各已知设备的指纹信息,再用于训练。
由于所述设备识别装置持续采集待识别流量,因此,所述待识别设备的指纹信息可能会根据采集到广播和多播流量的增加而持续更新。具体地,可以根据预设的间隔周期,例如30秒或1分钟等,对得到的待识别设备的指纹信息进行识别。
本发明实施例通过对采集到的待识别流量进行格式化,再根据各数据传输协议进行特征提取、向量化和拼接,得到各待识别设备的指纹信息作为所述设备识别模型的输入,从而能够对无线网络中的待识别设备进行更加准确的识别。
基于上述实施例,进一步地,所述设备识别模型具体为包括深度融合和广度融合的神经网络。
本发明实施例设备识别模型为一种基于混合融合方式的多视图神经网络,命名为多视图广度和深度学习模型(multi-view wide and deep learning,MvWDL)。通过将上述实施例中预先分类的6个独立互补的特征视图F={V1,v2,v3,v4,V5,v6}的密集嵌入表征融合到以下两个结构中:(a)一个是用于进行早期融合的深度融合deep fusion的神经网络,以最大化所述设备识别模型的泛化性能,(b)另一个是用于后期融合的广度融合wide fusion的神经网络,以提升各设备信息与各特征视图之间的交互记忆,即每个特征视图如何响应制造商、设备类型和设备型号。
在MvWDL模型训练阶段,为了平衡训练样本集中的不同已知设备的特征信息训练样本,对于数量较少的已知设备,可复制多份该已知设备的特征信息训练样本放入训练样本集中一起进行训练。
本发明实施例通过基于多视图广度和深度学习模型构建设备识别模型,从而能够更加准确得对无线网络的中设备进行识别。
图2为本发明实施例的无线网络中设备识别装置结构示意图,如图2所示,所述装置包括:流量采集单元10、数据处理单元11和设备识别单元12;其中,
所述流量采集单元10用于获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;所述数据处理单元11用于根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;所述设备识别单元12用于根据所述设备识别模型的输出,得到所述待识别设备的设备信息。具体地:
在无线网络中部署设备识别装置,所述设备识别装置具体可以为无线网络中任意一台能接收流量的智能设备,例如,个人电脑、手机、网关服务器等。通过所述设备识别装置的流量采集单元10监听所述设备识别装置的无线网卡所收到的流量,并采集其中的广播和多播流量作为待识别流量,并发送给数据处理单元11。
所采集到的待识别流量根据其包含的源MAC地址,分别对应于不同的待识别装置。
所述待识别装置在发送广播和多播流量时,根据实际的需要将使用不同的数据传输协议。不同的数据传输协议存在不同的数据格式、包含不同的数据内容,因此,可预先选定部分数据传输协议,由所述数据处理单元11从与选定的数据传输协议对应的待识别流量中分别提取出各数据传输协议的特征信息。
数据处理单元11在提取特征信息时,对于部分不存在区别特性的特征信息可以采用简单替换的方式来简化后续的数据处理,例如,若特征信息为IPv4或IPv6地址,则可用字符串“IPv4”或“IPv6”进行替换。
数据处理单元11根据各数据传输协议的数据特性,将各数据传输协议的特征信息分为多个预设的特征类型,从而得到各特征类型的特征信息,并发送给设备识别单元12。
设备识别单元12预先构建设备识别模型,并通过预先采集训练样本集对所述设备识别模型进行训练,所述训练样本集包括大量预先经过标注的特征信息训练样本。所述特征信息训练样本源于各类无线网络中已识别设备的广播和多播流量,通过特征提取,得到的已识别设备的各特征类型的特征信息。
设备识别单元12将得到的待识别设备的各特征类型的特征信息输入到训练后的设备识别模型中,所述设备识别模型将输出各设备信息的最终条件概率,从而确定所述待识别设备的设备信息,作为所述待识别设备的识别结果。
进一步地,所述待识别设备的设备信息具体包括:所述待识别设备的制造商、设备类型和设备型号。
所述设备信息可根据实际的需要对具体的粒度进行设定,本发明实施例仅给出了其中的一种举例说明,所述设备信息具体包括三个标识,分别为:{制造商Manufacturer、设备类型Type、设备型号Model}。
所述制造商具体可以使用各设备制造商的公司命名。
所述设备类型可以根据实际的需要进行分类并命名:例如:phone、computer、pad、router、camera、smart-plug、smart-switch、virtual-machine、game-console、tv、lightbulb、printer、kettle、watersensor、watch等。
所述设备型号可使用各设备制造商的设备型号。
本发明实施例提供的装置用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,根据输出得到所述待识别设备的设备信息,从而简单快速得实现对无线网络中的设备进行识别。
基于上述实施例,进一步地,所述数据处理单元,具体用于:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为所述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
所述流量采集单元将采集到的待识别流量的数据包进行格式化,转换成预设的Json格式,例如,wireshark工具利用所支持的网络协议分析器tshark可将采集到的广播和多播流量的数据包转换成预设的Json元素。将具有相同源MAC地址的所有Json元素合并到一个以源MAC地址作为键的Json元素中,该源MAC地址对应于所述待识别设备。对于内容相同的Json元素,去重后,只保留一个元素的内容。每个Json元素中的内容即为所述待识别设备发送的待识别流量的有效负载内容。
然后数据处理单元根据各待识别流量的数据传输协议,对所述Json格式数据执行特征提取,从与各数据传输协议对应的Json元素中提取出所述待识别设备的各数据传输协议的特征信息。
进一步地,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
根据各数据传输协议的数据特性,将各数据传输协议对应的特征信息进行分类。本发明实施例给出了其中的一种举例说明,具体分为以下六种特征类型:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类。
将从所述DHCP协议和DHCPv6对应的Json元素提取得到的特征信息,归为DHCP类的特征信息。
将从mDNS协议对应的Json元素提取得到的特征信息作为mDNS类的特征信息。
将从SSDP协议对应的Json元素提取得到的特征信息作为SSDP类的特征信息。
将从LLMNR协议、BROWSER协议、和NBNS协议对应的Json元素提取得到的特征信息作为LBN类的特征信息
将从部分UDP协议对应的Json元素提取得到的特征信息作为UDP类的特征信息。
另外,将所述待识别设备的所有数据传输协议的协议序列,以及所述待识别设备的源MAC地址前缀作为所述protseq类的特征信息。
数据处理单元通过对特征信息进行分类,将每一种特征类型的特征信息作为所述设备识别模型的一种特征视图,采用多视图学习的思想,通过不同视图相互补充的方式来共同进行设备识别。
在将各数据类型的特征信息输入到设备识别模型前,数据处理单元还需要对特征信息进行向量化,在进行向量化时将采用预设的与各数据传输协议对应的数据处理方法,得到各特征类型的向量信息。
数据处理单元根据预设的拼接规则,将经过向量化后得到的各特征信息的向量信息横向拼接,形成所述待识别设备的指纹信息,并发送给设备识别单元。
设备识别单元将所述待识别设备的指纹信息输入到训练后的设备识别模型中,得到待识别设备的设备信息。
同样的,在对所述待识别设备模型进行训练的过程中,需要先对各已知设备的特征信息训练样本进行向量化,得到各已知设备的指纹信息,再用于训练。
由于所述设备识别装置持续采集待识别流量,因此,所述待识别设备的指纹信息可能会根据采集到广播和多播流量的增加而持续更新。具体地,可以根据预设的间隔周期,例如30秒或1分钟等,对得到的待识别设备的指纹信息进行识别。
本发明实施例提供的装置用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过对采集到的待识别流量进行格式化,再根据各数据传输协议进行特征提取、向量化和拼接,得到各待识别设备的指纹信息作为所述设备识别模型的输入,从而能够对无线网络中的待识别设备进行更加准确的识别。
图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器(processor)301、通信接口(Communications Interface)303、存储器(memory)302和通信总线304,其中,处理器301,通信接口303,存储器302通过通信总线304完成相互间的通信。处理器301可以调用存储器302中的逻辑指令,以执行上述方法。
进一步地,本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法。
进一步地,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。
本领域普通技术人员可以理解:此外,上述的存储器302中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (6)
1.一种无线网络中设备识别方法,其特征在于,包括:
获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
根据所述设备识别模型的输出,得到所述待识别设备的设备信息;
所述根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型,具体包括:
将所述各待识别流量进行格式化,转换成预设的Json格式,并去重,
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将所述待识别设备的所有数据传输协议的协议序列,以及所述待识别设备的源MAC地址前缀作为所述protseq类的特征信息,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为所述待识别设备的指纹信息,并输入到所述预设的设备识别模型;
其中,所述根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型,包括:
根据各数据传输协议的数据结构和数据内容,将各数据传输协议的特征信息分为多个预设的特征类型,从而得到各特征类型的特征信息,并将得到的各特征类型的特征信息输入到预先构建并训练的设备识别模型中;
所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
2.根据权利要求1所述的无线网络中设备识别方法,其特征在于,所述设备识别模型具体为包括深度融合和广度融合的神经网络。
3.根据权利要求1-2任一所述的无线网络中设备识别方法,其特征在于,所述待识别设备的设备信息具体包括:所述待识别设备的制造商、设备类型和设备型号。
4.一种无线网络中设备识别装置,其特征在于,包括:
流量采集单元,用于获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
数据处理单元,用于根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
设备识别单元,用于根据所述设备识别模型的输出,得到所述待识别设备的设备信息;
所述数据处理单元,具体用于:
所述根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型,具体包括:
将所述各待识别流量进行格式化,转换成预设的Json格式,并去重;
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将所述待识别设备的所有数据传输协议的协议序列,以及所述待识别设备的源MAC地址前缀作为所述protseq类的特征信息,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为所述待识别设备的指纹信息,并输入到所述预设的设备识别模型;
其中,所述根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型,包括:
根据各数据传输协议的数据结构和数据内容,将各数据传输协议的特征信息分为多个预设的特征类型,从而得到各特征类型的特征信息,并将得到的各特征类型的特征信息输入到预先构建并训练的设备识别模型中;
所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
5.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至3任一项所述的无线网络中设备识别方法的步骤。
6.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至3任一项所述的无线网络中设备识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010494798.5A CN111757378B (zh) | 2020-06-03 | 2020-06-03 | 一种无线网络中设备识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010494798.5A CN111757378B (zh) | 2020-06-03 | 2020-06-03 | 一种无线网络中设备识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111757378A CN111757378A (zh) | 2020-10-09 |
| CN111757378B true CN111757378B (zh) | 2024-04-02 |
Family
ID=72674049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010494798.5A Active CN111757378B (zh) | 2020-06-03 | 2020-06-03 | 一种无线网络中设备识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111757378B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112073988A (zh) * | 2020-07-31 | 2020-12-11 | 中国科学院信息工程研究所 | 一种局域网内隐藏摄像头的探测方法 |
| CN112068926B (zh) * | 2020-07-31 | 2024-08-09 | 中国科学院信息工程研究所 | 一种局域网内虚拟机的识别方法 |
| WO2022083641A1 (zh) * | 2020-10-23 | 2022-04-28 | 华为技术有限公司 | 设备识别方法、装置及系统 |
| CN112437016B (zh) * | 2020-11-11 | 2023-09-26 | 中国科学技术大学先进技术研究院 | 网络流量识别方法、装置、设备及计算机存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010116243A1 (en) * | 2009-04-10 | 2010-10-14 | Nokia Corporation . | Methods and apparatus for efficient streaming of free view point video |
| CN102957561A (zh) * | 2011-08-31 | 2013-03-06 | 中兴通讯股份有限公司 | 一种支持多上行用户设备入网时自动识别的方法及装置 |
| WO2018188470A1 (zh) * | 2017-04-11 | 2018-10-18 | 腾讯科技(深圳)有限公司 | 一种上传接口识别方法、识别服务器及系统及存储介质 |
| CN109936578A (zh) * | 2019-03-21 | 2019-06-25 | 西安电子科技大学 | 一种面向网络中https隧道流量的检测方法 |
| CN110048962A (zh) * | 2019-04-24 | 2019-07-23 | 广东工业大学 | 一种网络流量分类的方法、系统及设备 |
| CN110087261A (zh) * | 2019-04-28 | 2019-08-02 | 电子科技大学 | 一种基于OpenWrt的企业级无线局域网流量控制方法 |
| CN110602041A (zh) * | 2019-08-05 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于白名单的物联网设备识别方法、装置及网络架构 |
| CN111224894A (zh) * | 2019-12-30 | 2020-06-02 | 中国人民解放军国防科技大学 | 一种针对iOS设备的流量采集标记方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11140180B2 (en) * | 2018-03-23 | 2021-10-05 | International Business Machines Corporation | Guard system for automatic network flow controls for internet of things (IoT) devices |
| US11025486B2 (en) * | 2018-10-19 | 2021-06-01 | Cisco Technology, Inc. | Cascade-based classification of network devices using multi-scale bags of network words |
-
2020
- 2020-06-03 CN CN202010494798.5A patent/CN111757378B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010116243A1 (en) * | 2009-04-10 | 2010-10-14 | Nokia Corporation . | Methods and apparatus for efficient streaming of free view point video |
| CN102957561A (zh) * | 2011-08-31 | 2013-03-06 | 中兴通讯股份有限公司 | 一种支持多上行用户设备入网时自动识别的方法及装置 |
| WO2018188470A1 (zh) * | 2017-04-11 | 2018-10-18 | 腾讯科技(深圳)有限公司 | 一种上传接口识别方法、识别服务器及系统及存储介质 |
| CN109936578A (zh) * | 2019-03-21 | 2019-06-25 | 西安电子科技大学 | 一种面向网络中https隧道流量的检测方法 |
| CN110048962A (zh) * | 2019-04-24 | 2019-07-23 | 广东工业大学 | 一种网络流量分类的方法、系统及设备 |
| CN110087261A (zh) * | 2019-04-28 | 2019-08-02 | 电子科技大学 | 一种基于OpenWrt的企业级无线局域网流量控制方法 |
| CN110602041A (zh) * | 2019-08-05 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 基于白名单的物联网设备识别方法、装置及网络架构 |
| CN111224894A (zh) * | 2019-12-30 | 2020-06-02 | 中国人民解放军国防科技大学 | 一种针对iOS设备的流量采集标记方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 艾塞明哥(Iseminger,D.).PRC结构.网络连接服务开发人员参考库,2001,3第二部分 PRC与WNET编程参考. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111757378A (zh) | 2020-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111757378B (zh) | 一种无线网络中设备识别方法及装置 | |
| CN110380989B (zh) | 网络流量指纹特征二阶段多分类的物联网设备识别方法 | |
| CN111865815B (zh) | 一种基于联邦学习的流量分类方法及系统 | |
| CN109063745B (zh) | 一种基于决策树的网络设备类型识别方法及系统 | |
| CN111757365A (zh) | 一种无线网络中异常设备识别方法及装置 | |
| CN110113345A (zh) | 一种基于物联网流量的资产自动发现的方法 | |
| CN111385297B (zh) | 无线设备指纹识别方法、系统、设备及可读存储介质 | |
| CN109936512B (zh) | 流量分析方法、公共服务流量归属方法及相应的计算机系统 | |
| CN109617762B (zh) | 一种利用网络流量识别移动应用的方法 | |
| CN110868404B (zh) | 一种基于tcp/ip指纹的工控设备自动识别方法 | |
| CN111478920A (zh) | 一种隐蔽信道通信检测方法、装置及设备 | |
| US20210092610A1 (en) | Method for detecting access point characteristics using machine learning | |
| CN110868409A (zh) | 一种基于tcp/ip协议栈指纹的操作系统被动识别方法及系统 | |
| US20160366040A1 (en) | Dynamic Control of Endpoint Profiling | |
| CN111757327A (zh) | 无线网络中假冒dhcp服务器或网关的识别方法及装置 | |
| CN106713351B (zh) | 一种基于串口服务器的安全通讯方法及装置 | |
| CN112073988A (zh) | 一种局域网内隐藏摄像头的探测方法 | |
| CN107222461B (zh) | 通信处理方法和装置 | |
| CN106533728B (zh) | 服务器信息收集方法和装置 | |
| CN110472410B (zh) | 识别数据的方法、设备和数据处理方法 | |
| CN112367215B (zh) | 基于机器学习的网络流量协议识别方法和装置 | |
| CN113765891A (zh) | 一种设备指纹识别方法以及装置 | |
| CN116723058B (zh) | 网络攻击检测和防护方法和装置 | |
| CN116260613A (zh) | 光电融合网络中基于光谱物理特征的dos攻击检测方法 | |
| CN112989315B (zh) | 物联网终端的指纹生成方法、装置、设备和可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230221 Address after: 518063 14th Floor, West Tower, Baidu International Building, No. 8, Haitian 1st Road, Binhai Community, Yuehai Street, Nanshan District, Shenzhen, Guangdong Applicant after: Ma Jun Address before: Unit 903b, 9th floor, block AB, Dongsheng building, 8 Zhongguancun East Road, Haidian District, Beijing 100083 Applicant before: Meifang Science and Technology (Beijing) Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230324 Address after: 518063 14th Floor, West Tower, Baidu International Building, No. 8, Haitian 1st Road, Binhai Community, Yuehai Street, Nanshan District, Shenzhen, Guangdong Applicant after: Zhongke Times (Shenzhen) Computer System Co.,Ltd. Address before: 518063 14th Floor, West Tower, Baidu International Building, No. 8, Haitian 1st Road, Binhai Community, Yuehai Street, Nanshan District, Shenzhen, Guangdong Applicant before: Ma Jun |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |