CN112115965A - 一种基于svm的被动操作系统识别方法、存储介质及设备 - Google Patents
一种基于svm的被动操作系统识别方法、存储介质及设备 Download PDFInfo
- Publication number
- CN112115965A CN112115965A CN202010773437.4A CN202010773437A CN112115965A CN 112115965 A CN112115965 A CN 112115965A CN 202010773437 A CN202010773437 A CN 202010773437A CN 112115965 A CN112115965 A CN 112115965A
- Authority
- CN
- China
- Prior art keywords
- data set
- data
- svm
- operating system
- training
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000003860 storage Methods 0.000 title claims abstract description 10
- 238000012549 training Methods 0.000 claims abstract description 45
- 238000012360 testing method Methods 0.000 claims abstract description 30
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 23
- 238000007781 pre-processing Methods 0.000 claims abstract description 12
- 238000012216 screening Methods 0.000 claims abstract description 6
- 230000006870 function Effects 0.000 claims description 15
- 238000013139 quantization Methods 0.000 claims description 10
- 238000013507 mapping Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 6
- 239000013598 vector Substances 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000012706 support-vector machine Methods 0.000 description 35
- 238000010586 diagram Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000005457 optimization Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000013480 data collection Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Complex Calculations (AREA)
Abstract
本发明公开了一种基于SVM的被动操作系统识别方法、存储介质及设备,分析p0f指纹库规则,确定训练数据集和测试数据集并进行预处理;将训练数据集和测试数据集由数值变量转换为类别变量,进行OneHot编码;将OneHot编码后的训练数据集构建最优超平面,输入SVM算法模型,采用RBF核函数训映射指纹数据至高维空间,通过计算最优超平面构建SVM分类器,构造特征空间的分类超平面;取OneHot编码后中的测试数据集,经数据预处理后通过SVM算法模型得出预测结果,计算真实流量的测试精度;采集真实流量数据,筛选其中p0f指纹库中缺失的数据,将缺失数据加入训练数据集,重新训练后得到真实流量增量训练后的SVM分类器,完成识别。本发明优化了操作系统识别的性能,提高了分类精度。
Description
技术领域
本发明属于计算机技术领域,具体涉及一种基于SVM的被动操作系统识别方法、存储介质及设备。
背景技术
网络信息安全问题在我国以及全球日趋严峻,并且有持续增长的趋势,已经威胁到人民和国家的利益。在网络安全领域,无论是互联网的攻击还是防护中,对信息的采集和分类都至关重要,这其中远程主机的系统类型通常是黑客们的首要出发点。这是由于某些类型的操作系统有着众所周知的漏洞可以被利用,因此绝大多数的漏洞都是从识别操作系统的类型出发。而网络安全的防护同样需要对主机操作系统类型的识别,以便进行伪造等防护来对用户进行保护。操作系统的类型及版本在其中扮演着举足轻重的地位。因此准确,快速的操作系统识别的研究对网络安全有着重大意义。
Medeiros提出利用TCP协议头部的初始序号来识别操作系统,利用了不同操作系统对建立连接时的初始序号生成和增长模式的不同,该方法需要观测大量的数据包(至少100k),实用性受限,错误率较高。刘英等提出基于TCP/IP协议栈中的TCP选项的操作系统识别方法,分析了不同操作系统对TCP可选项响应顺序和响应数据的差异,但是该方法不能有效识别未知指纹,正确率有待提高。
现阶段的大多数操作系统识别方式,存在以下问题:大多数为主动操作系统识别方式,依赖于主动探测所得到的数据包,其缺点是容易被监测工具检测发现,致使探测结果不准确;现有的操作系统识别方式都是基于指纹库的识别方式,对指纹库中已有的操作系统指纹进行精确匹配,给出识别的操作系统类型,而无法对指纹库中不存在的未知的操作系统指纹给出识别。已有的将机器学习引入到未知操作系统识别中来的方法,虽然很好的解决了基于指纹库的难以识别未知指纹的问题,但在识别的准确率和速率上有待提升;当前被动操作系统识别所依赖的指纹库,存在更新迟滞的问题,缺乏对不断改变的互联网环境的同步更新。
发明内容
本发明所要解决的技术问题在于针对上述现有技术中的不足,提供一种基于SVM的被动操作系统识别方法、存储介质及设备,以构造隐蔽性强、识别效果好的被动操作系统识别模型。
本发明采用以下技术方案:
一种基于SVM的被动操作系统识别方法,包括以下步骤:
S1、分析p0f指纹库规则,确定训练数据集和测试数据集;
S2、对步骤S1确定的训练数据集和测试数据集进行预处理;
S3、将步骤S2预处理后的训练数据集和测试数据集由数值变量转换为类别变量,再进行OneHot编码;
S4、采用Gauss核函数,以步骤S3中OneHot编码后的训练数据集构建最优超平面,输入SVM算法模型,采用RBF核函数训映射指纹数据至高维空间,通过计算最优超平面构建SVM分类器,构造特征空间的分类超平面;
S5、取步骤S3中OneHot编码后中的测试数据集,经数据预处理后通过SVM算法模型得出预测结果,计算真实流量的测试精度;
S6、采集步骤S5的真实流量数据,然后经步骤S2和S3处理后,筛选其中p0f指纹库中缺失的数据,将缺失数据加入训练数据集,经步骤S4重新训练后,得到真实流量增量训练后的SVM分类器,通过SVM分类器完成识别。
具体的,步骤S1中,选取指纹库的特定字段N维并筛选适用现阶段网络环境的指纹数据,加上操作系统类别标记后作为训练数据集;通过流量采集工具在互联网网关分时段采集真实流量数据包,存储为.pcap格式作为测试数据集。
具体的,步骤S2具体为:
S201、将步骤S1得到的N维数据进行量化操作,将每一维度去重后取出,按照数字顺序排列,将排序后的数据按照其总量n量化成从0-n维数据;
S202、将pcap数据包采用python解析提取对应指纹字段,采用量化方式将所有解析后的指纹量化。
具体的,步骤S4中,采用Gauss核函数构建最优超平面如下:
其中,X为N维输入空间的向量,Xp为除X外的任意其他样本,σ为样本方差。
具体的,步骤S5中,采用同一IP多条预测结果少数服从多数的原则进行最终预测结果判定。
本发明的另一个技术方案是,一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行所述的方法中的任一方法。
本发明的另一个技术方案是,一种计算设备,包括:
一个或多个处理器、存储器及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为所述一个或多个处理器执行,所述一个或多个程序包括用于执行所述的方法中的任一方法的指令。
与现有技术相比,本发明至少具有以下有益效果:
本发明提出一种基于SVM算法的操作系统识别方法,针对网络安全领域操作系统识别率低的问题,提出一种结合机器学习的方法,即SVM,通过提取p0f指纹库的指纹数据,训练操作系统模型,并通过真实环境采集的流量优化模型,达到提高操作系统识别准确率的目的,增量训练的方式解决了p0f指纹库长期未优化导致的指纹数据更新度不够的问题。
进一步的,p0f拥有丰富的操作系统指纹库,内部包含上千种已知的指纹特征,提取p0f指纹库可得到大量的操作系统匹配指纹,将其转化为向量,以便于算法的识别训练。
进一步的,SVM算法要求特征数据为数值化变量,而实际指纹中,特征数据基本都是类别变量,因此采取Onehot编码将类别变量转化为数值编码,方便SVM识别训练。
进一步的,SVM算法作为机器学习的十大算法之一,在许多领域已经表现了很好的分类效果,最重要的是,对于我们的数据来源,由于操作系统底层实现原理的区别,不同类别标签指纹样本数据差别不大,存在过拟合风险,而SVM算法具有良好的对抗过拟合的特性,使得SVM算法非常适合我们的数据特点,进而表现出较好的分类效果。
进一步的,由于模拟数据来源为p0f指纹库,且p0f长期未更新指纹库,通过对不含噪音的真实流量的增量学习,可以扩充现有网络环境中例如Windows10等重要操作系统。
综上所述,本发明采用SVM算法,极大的优化了操作系统识别的性能,提高了分类精度。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明的应用场景图;
图2为本发明实现框架图;
图3为本发明方法的流程图;
图4为本发明的识别精度图;
图5为通过增量训练优化精度对比图。
具体实施方式
请参阅图1,本发明提供了一种基于SVM的被动操作系统识别方法,结合SVM(Support Vector Machine)算法,通过对p0f指纹库以及扩充指纹的训练,提高了识别精度和效率的同时,具备较强的隐蔽性;此外,采集流量扩充指纹库的过程,扩充了大量Windows10系统指纹和部分Windows7系统指纹,更加适应真实网络环境。
请参阅图3,本发明一种基于SVM的被动操作系统识别方法,包括以下步骤:
S1、数据的收集阶段
通过分析p0f指纹库的具体规则,按照p0f的操作系统识别规则即字符匹配的方式,选取指纹库的特定字段N维,筛选其中适用现阶段网络环境的指纹,加上操作系统类别标记,作为训练数据集;通过流量采集工具在互联网网关分时段采集真实流量数据包,存储为.pcap格式,作为测试数据集。
S2、数据预处理阶段
S201、训练数据预处理
将得到的N维数据进行量化操作,将每一维度去重后取出,按照数字顺序排列,将排序后的数据按照其总量n量化成从0-n维数据。
S202、测试数据预处理
将pcap数据包采用python解析提取对应指纹字段,采用与S201过程相同的量化方式将所有解析后的指纹量化。
S3、OneHot编码阶段
one-hot编码,又称独热编码、一位有效编码。其方法是使用N位状态寄存器来对N个状态进行编码,每个状态都有它独立的寄存器位,并且在任意时候,其中只有一位有效。本发明使用Onehot编码解决SVM分类器不好处理属性特征的问题,在一定程度上起到扩充特征的作用。
例如,数据矩阵是4*3,即4个数据,3个特征维度:
第一列为第一个特征维度,有两种取值0、1,所以对应编码方式为10、01;同理,第二列为第二个特征维度,有三种取值0、1、2,所以对应编码方式为100、010、001;第三列为第三个特征维度,有四中取值0、1、2、3,所以对应编码方式为1000、0100、0010、0001。
假如要编码的参数[0,1,3],0作为第一个特征编码为10,1作为第二个特征编码为010,3作为第三个特征编码为0001。故此编码结果为1 0 0 1 0 0 0 0 1。
S4、训练阶段
将预处理过的训练数据集,输入SVM算法模型,采用RBF核函数训映射指纹数据至高维空间,通过计算最优超平面构建SVM分类器。
其中,ωj为将特征空间链接到输出空间的全职,b为偏置或者负阈值。
其中,φT(Xp)φ(X)表示第p个输入Xp在特征空间的映射φ(Xp)与输入向量X在特征空间的映射φ(X)的内积,用内积寻找到一个函数K(X,Xp)构建最优超平面,具体为:
采用Gauss核函数构建最优超平面,具体为:
S5、真实流量测试阶段
取步骤S202中的真实流量作为测试数据集,经过同样的数据预处理过程,通过SVM算法模型,得出预测结果,计算真实流量的测试精度;
针对测试数据包中多个IP的pcap包可能多次出现,从而导致每条数据包的预测结果存在不同,本发明采用同一IP多条预测结果少数服从多数的原则进行最终预测结果的判定。
S6、增量训练阶段
将采集到的真实流量进行筛选,选择其中没有噪声,且p0f指纹库中缺失的指纹,以增量学习的方式增量训练,修正原有的指纹模型,完成识别。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中的描述和所示的本发明实施例的组件可以通过各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图2,建模模块主要用于给算法模块提供数据,通过拆解p0f指纹库的指纹维度,根据维度种类数目量化数据,OneHot解决类别变量映射问题,为算法提供所需训练和测试数据,算法模块对于建模模块提供的流量数据进行高维映射,通过高斯核函数的最优超平面计算,得到最优SVM分类器;Windows10指纹扩充用于丰富训练集指纹数据,使其更加适应现阶段网络环境;最终,得到本发明提出的最终优化后的模型。
请参阅图3,本发明提出一种基于SVM的操作系统识别方案,包括以下步骤:
S1、数据的收集阶段
分析p0f指纹库中的指纹字段,提取其中适应现阶段网络环境的字段作为本发明的初始训练数据集;
如下为p0f指纹库的一条指纹:
label=s:unlx:Linux:3.1-3.10
sig=*:64:0:*:mss*10,4:mss,sok,ts,nop,ws:df,id+:0
sig=*:64:0:*:mss*10,5:mss,sok,ts,nop,ws:df,id+:0
sig=*:64:0:*:mss*10,6:mss,sok,ts,nop,ws:df,id+:0
sig=*:64:0:*:mss*10,7:mss,sok,ts,nop,ws:df,id+:0
提取后为:
label=s:unix:Linux:3.1-3.10
sig=*:64:*:mss*10:4:mss,sok,ts,nop,Ws:df,id+
sig=*:64:*:mss*10:5:mss,sok,ts,nop,Ws:df,id+
sig=*:64:*:mss*10:6:mss,sok,ts,nop,Ws:df,id+
sig=*:64:*:mss*10:7:mss,sok,ts,nop,Ws:df,id+
每一维度的对应信息为:
本方案测试数据集采集方式为:使用wireshark在网关截取每隔1小时截取网关流量数据集,按照1G为单位输出.pcap文件,以保证数据的采样均匀性。
S2、数据预处理阶段
S201、训练数据预处理
训练数据集所有指纹情况如下表所示:
例如lttl维度取值为:[6,64,128,192,255,*],其中*为通配符,量化后得到[0,1,2,3,4,5]。
S202、测试数据预处理
例如:一条pcap数据包如下所示:
b'|i\xf6\xc5\xda\xc7\x8c\xecKX\xbc\xe7\x08\x00E\x00\x00<\x13\x95@\x00\x80\x06\x17A\nA\x057JVv\x18\xde+\x01\xbb\xbd\x90e\x00\x00\x00\x00\xa0\x02\xfa\xf0\xf9z\x00\x00\x02\x04\x05\xb4\x01\x03\x03\x08\x04\x02\x08\n\x01\x91\x7fw\x00\x00\x00\x00'
解析后获得:
Ver | Ittl | Mss | Wsize | Scale | Olayout | Quirks |
4 | 128 | 1460 | 64240 | 8 | mss,nop,ws,sok,ts | df,id+ |
同S202一样,量化测试数据集的维度特征。
S3、OneHot编码阶段
OneHot编码旨在使用N位状态寄存器来对N个状态进行编码,每个状态都有它独立的寄存器位,并且在任意时候,其中只有一位有效。
以lttl维度为例,[6,64,128,192,255,*],其中*为通配符,量化后得到[0,1,2,3,4,5],则这一维度的OneHot编码值可以为100000,010000,001000,000100,000010,000001。
S4、训练阶段
将预处理过的训练数据,输入SVM算法模型,采用RBF核函数训映射指纹数据至高维空间,通过计算最优超平面构建SVM分类器。
S5、真实流量测试阶段
将S1采集的真实数据,经由S202、S3阶段后,输入训练好点SVM算法模型,进行结果预测,并计算测试精度。
S6、增量训练阶段
经过S5步骤后,提取原数据库中不存在或者普遍错误的指纹,将其指纹数据批量增加至现有指纹库中,重新训练。
例如Windows10指纹大量缺失,通过批量分析得到网络环境中的Windows10指纹主要有以下量化值情况,将其加入训练数据集优化训练模型。
请参考图4,分类得到的结果主要展示为正确率,其中类别+具体版本的形式,例如:Linux 3.10,Windows 7.1,将Linux,windows这样的结果称为类别,Linux 3,windows 7称为具体版本,计算精度。在早上8-10点,下午2-4点,晚上7-9点三个时间段采取样本测试得到测试结果。三个样本的目标总数分别为185,182,181。
请参考图5,通过增量训练优化后得到Windows下Windows 7和Windows 10版本精度对比。
综上所述,本发明一种基于SVM的被动操作系统识别方法,通过结合SVM(SupportVector Machine)算法的优秀的分类性能,利用p0f指纹库以及扩充指纹,搭建识别模型,实现了较高的识别精度和效率时,具备较强的隐蔽性;此外,采集流量扩充指纹库的过程,扩充了大量Windows10系统指纹和部分Windows7系统指纹,更加适应真实网络环境。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上内容仅为说明本发明的技术思想,不能以此限定本发明的保护范围,凡是按照本发明提出的技术思想,在技术方案基础上所做的任何改动,均落入本发明权利要求书的保护范围之内。
Claims (7)
1.一种基于SVM的被动操作系统识别方法,其特征在于,包括以下步骤:
S1、分析p0f指纹库规则,确定训练数据集和测试数据集;
S2、对步骤S1确定的训练数据集和测试数据集进行预处理;
S3、将步骤S2预处理后的训练数据集和测试数据集由数值变量转换为类别变量,再进行OneHot编码;
S4、采用Gauss核函数,以步骤S3中OneHot编码后的训练数据集构建最优超平面,输入SVM算法模型,采用RBF核函数训映射指纹数据至高维空间,通过计算最优超平面构建SVM分类器,构造特征空间的分类超平面;
S5、取步骤S3中OneHot编码后中的测试数据集,经数据预处理后通过SVM算法模型得出预测结果,计算真实流量的测试精度;
S6、采集步骤S5的真实流量数据,然后经步骤S2和S3处理后,筛选其中p0f指纹库中缺失的数据,将缺失数据加入训练数据集,经步骤S4重新训练后,得到真实流量增量训练后的SVM分类器,通过SVM分类器完成识别。
2.根据权利要求1所述的基于SVM的被动操作系统识别方法,其特征在于,步骤S1中,选取指纹库的特定字段N维并筛选适用现阶段网络环境的指纹数据,加上操作系统类别标记后作为训练数据集;通过流量采集工具在互联网网关分时段采集真实流量数据包,存储为.pcap格式作为测试数据集。
3.根据权利要求1所述的基于SVM的被动操作系统识别方法,其特征在于,步骤S2具体为:
S201、将步骤S1得到的N维数据进行量化操作,将每一维度去重后取出,按照数字顺序排列,将排序后的数据按照其总量n量化成从0-n维数据;
S202、将pcap数据包采用python解析提取对应指纹字段,采用量化方式将所有解析后的指纹量化。
5.根据权利要求1所述的基于SVM的被动操作系统识别方法,其特征在于,步骤S5中,采用同一IP多条预测结果少数服从多数的原则进行最终预测结果判定。
6.一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据权利要求1至5所述的方法中的任一方法。
7.一种计算设备,其特征在于,包括:
一个或多个处理器、存储器及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据权利要求1至5所述的方法中的任一方法的指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010773437.4A CN112115965A (zh) | 2020-08-04 | 2020-08-04 | 一种基于svm的被动操作系统识别方法、存储介质及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010773437.4A CN112115965A (zh) | 2020-08-04 | 2020-08-04 | 一种基于svm的被动操作系统识别方法、存储介质及设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112115965A true CN112115965A (zh) | 2020-12-22 |
Family
ID=73799568
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010773437.4A Pending CN112115965A (zh) | 2020-08-04 | 2020-08-04 | 一种基于svm的被动操作系统识别方法、存储介质及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112115965A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114189346A (zh) * | 2021-10-09 | 2022-03-15 | 安徽工业大学 | 操作系统识别方法和装置 |
CN114530025A (zh) * | 2021-12-31 | 2022-05-24 | 武汉烽理光电技术有限公司 | 一种基于阵列光栅的隧道火灾报警方法、装置及电子设备 |
CN115051977A (zh) * | 2022-06-24 | 2022-09-13 | 绿盟科技集团股份有限公司 | 一种Web机器人的识别方法、装置、设备和介质 |
CN116305148A (zh) * | 2023-02-28 | 2023-06-23 | 南京瀚海伏羲防务科技有限公司 | 一种基于指纹自动收集与增量模型训练的被动操作系统识别方法及系统 |
CN117395162A (zh) * | 2023-12-12 | 2024-01-12 | 中孚信息股份有限公司 | 利用加密流量识别操作系统的方法、系统、设备及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108846275A (zh) * | 2018-04-11 | 2018-11-20 | 哈尔滨工程大学 | 基于ripper算法的未知操作系统类型识别方法 |
CN110110085A (zh) * | 2019-04-24 | 2019-08-09 | 中电海康集团有限公司 | 基于字符级神经网络与svm的交通事故文本分类方法和系统 |
CN111027048A (zh) * | 2019-12-11 | 2020-04-17 | 北京天融信网络安全技术有限公司 | 一种操作系统识别方法、装置、电子设备及存储介质 |
WO2020107922A1 (zh) * | 2018-11-30 | 2020-06-04 | 深圳大学 | 一种基于3d指纹图像的性别识别方法及系统 |
-
2020
- 2020-08-04 CN CN202010773437.4A patent/CN112115965A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108846275A (zh) * | 2018-04-11 | 2018-11-20 | 哈尔滨工程大学 | 基于ripper算法的未知操作系统类型识别方法 |
WO2020107922A1 (zh) * | 2018-11-30 | 2020-06-04 | 深圳大学 | 一种基于3d指纹图像的性别识别方法及系统 |
CN110110085A (zh) * | 2019-04-24 | 2019-08-09 | 中电海康集团有限公司 | 基于字符级神经网络与svm的交通事故文本分类方法和系统 |
CN111027048A (zh) * | 2019-12-11 | 2020-04-17 | 北京天融信网络安全技术有限公司 | 一种操作系统识别方法、装置、电子设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
MARTIN LASTOVICKA ET AL: "Passive os fingerprinting methods in the jungle of wireless networks", 《NOMS 2018 - 2018 IEEE/IFIP NETWORK OPERATIONS AND MANAGEMENT SYMPOSIUM》 * |
赵家帅: "基于被动监测的主机操作系统识别技术研究", 《中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114189346A (zh) * | 2021-10-09 | 2022-03-15 | 安徽工业大学 | 操作系统识别方法和装置 |
CN114530025A (zh) * | 2021-12-31 | 2022-05-24 | 武汉烽理光电技术有限公司 | 一种基于阵列光栅的隧道火灾报警方法、装置及电子设备 |
CN114530025B (zh) * | 2021-12-31 | 2024-03-08 | 武汉烽理光电技术有限公司 | 一种基于阵列光栅的隧道火灾报警方法、装置及电子设备 |
CN115051977A (zh) * | 2022-06-24 | 2022-09-13 | 绿盟科技集团股份有限公司 | 一种Web机器人的识别方法、装置、设备和介质 |
CN115051977B (zh) * | 2022-06-24 | 2023-09-19 | 绿盟科技集团股份有限公司 | 一种Web机器人的识别方法、装置、设备和介质 |
CN116305148A (zh) * | 2023-02-28 | 2023-06-23 | 南京瀚海伏羲防务科技有限公司 | 一种基于指纹自动收集与增量模型训练的被动操作系统识别方法及系统 |
CN117395162A (zh) * | 2023-12-12 | 2024-01-12 | 中孚信息股份有限公司 | 利用加密流量识别操作系统的方法、系统、设备及介质 |
CN117395162B (zh) * | 2023-12-12 | 2024-02-23 | 中孚信息股份有限公司 | 利用加密流量识别操作系统的方法、系统、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110888849B (zh) | 一种在线日志解析方法、系统及其电子终端设备 | |
CN112115965A (zh) | 一种基于svm的被动操作系统识别方法、存储介质及设备 | |
CN110472090B (zh) | 基于语义标签的图像检索方法以及相关装置、存储介质 | |
US20240028571A1 (en) | Automatic entity resolution with rules detection and generation system | |
CN111783875A (zh) | 基于聚类分析的异常用户检测方法、装置、设备及介质 | |
CN111461164B (zh) | 样本数据集的扩容方法及模型的训练方法 | |
CN113705092B (zh) | 基于机器学习的疾病预测方法及装置 | |
CN113332729A (zh) | 基于深度学习的云游戏漏洞检测方法及人工智能服务器 | |
CN115905959B (zh) | 基于缺陷因子的电力断路器关联性故障分析方法及装置 | |
CN112199670A (zh) | 一种基于深度学习改进iforest对行为异常检测的日志监控方法 | |
CN112202718A (zh) | 一种基于XGBoost算法的操作系统识别方法、存储介质及设备 | |
CN115617614A (zh) | 基于时间间隔感知自注意力机制的日志序列异常检测方法 | |
CN113553577B (zh) | 基于超球面变分自动编码器的未知用户恶意行为检测方法及系统 | |
CN114897085A (zh) | 一种基于封闭子图链路预测的聚类方法及计算机设备 | |
CN117827508A (zh) | 一种基于系统日志数据的异常检测方法 | |
CN111290953B (zh) | 分析测试日志的方法与装置 | |
CN111091194B (zh) | 一种基于cavwnb_kl算法的操作系统识别方法 | |
CN111431872B (zh) | 一种基于tcp/ip协议特征的两阶段物联网设备识别方法 | |
Pan et al. | Unsupervised two-stage root-cause analysis for integrated systems | |
CN115221013B (zh) | 一种日志模式的确定方法、装置及设备 | |
CN117056842A (zh) | 构建设备异常监测模型的方法、装置、设备、介质及产品 | |
CN115296851B (zh) | 一种基于互信息与灰狼提升算法的网络入侵检测方法 | |
CN115545104A (zh) | 基于函数型数据分析的kpi异常检测方法、系统及介质 | |
CN115035463A (zh) | 行为识别方法、装置、设备和存储介质 | |
CN112733144B (zh) | 一种基于深度学习技术的恶意程序智能检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201222 |
|
RJ01 | Rejection of invention patent application after publication |