CN112311630A

CN112311630A - 网络设备的识别方法及装置

Info

Publication number: CN112311630A
Application number: CN202011219140.XA
Authority: CN
Inventors: 李群; 王小虎; 任天宇; 王超; 董佳涵; 郭广鑫; 师恩洁
Original assignee: State Grid Corp of China SGCC; State Grid Beijing Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; State Grid Beijing Electric Power Co Ltd
Priority date: 2020-11-04
Filing date: 2020-11-04
Publication date: 2021-02-02

Abstract

本发明公开了一种网络设备的识别方法及装置。其中，该方法包括：获取预设时间段内目标网络设备发送的目标数据流；提取目标数据流的原子时字段，得到目标网络设备的目标指纹；利用多个训练好的支持向量机对目标指纹进行分类，得到目标网络设备的目标分类结果，其中，目标分类结果包括：多位编码值，多位编码值与多个支持向量机一一对应；将目标分类结果与多个预设分类结果进行匹配，得到目标网络设备的识别结果，其中，多个预设分类结果与多个类别一一对应，每个预设分类结果包括：多位预设编码值。本发明解决了相关技术中识别网络设备的效率过低的技术问题。

Description

网络设备的识别方法及装置

技术领域

本发明涉及网络设备识别领域，具体而言，涉及一种网络设备的识别方法及装置。

背景技术

互联网已深入到人们生活的方方面面，大范围的网络覆盖必然需要数量众多的终端设备，为了避免被恶意破坏的设备非法接入网络造成严重后果，必须要对网络终端设备进行有效的识别，保障网络空间环境的安全可靠。

现有的设备识别方法是对设备的指纹进行识别，其中，设备指纹是可以用于唯一标识出该设备的设备特征或者独特的设备标识，因此，选取生成设备指纹的特征是非常重要的，需要兼顾稳定性、唯一性和安全性；现有生成设备指纹的过程中选取的特征字段通常需要多种不同特征的组合，例如协议特征、字段特征以及多种统计量的结合，通过上述过程来生成设备指纹是十分复杂的，降低了设备识别的效率。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种网络设备的识别方法及装置，以至少解决相关技术中识别网络设备的效率过低的技术问题。

根据本发明实施例的一个方面，提供了一种网络设备的识别方法，包括：获取预设时间段内目标网络设备发送的目标数据流；提取目标数据流的原子时字段，得到目标网络设备的目标指纹；利用多个训练好的支持向量机对目标指纹进行分类，得到目标网络设备的目标分类结果，其中，目标分类结果包括：多位编码值，多位编码值与多个支持向量机一一对应；将目标分类结果与多个预设分类结果进行匹配，得到目标网络设备的识别结果，其中，多个预设分类结果与多个类别一一对应，每个预设分类结果包括：多位预设编码值。

可选地，提取目标数据流的原子时字段，得到目标网络设备的目标指纹包括：提取目标数据流中多个数据包的到达时间；获取相邻数据包之间的到达时间的时间差，得到多个原子时字段；对预设时间段进行划分，得到多个时间段集合；统计每个时间段内的原子时字段的数量，得到目标指纹。

可选地，提取目标数据流中多个数据包的到达时间包括：对目标数据流进行解析，得到多个数据包的解析结果，其中，解析结果的输出格式为预设格式；基于多个数据包的解析结果，确定多个数据包的到达时间。

可选地，利用多个训练好的支持向量机对目标指纹进行分类，得到目标网络设备的目标分类结果包括：随机将目标指纹划分为多个指纹集合，其中，多个指纹集合与多个训练好的支持向量机一一对应；利用多个训练好的支持向量机分别对多个指纹集合进行分类，得到目标分类结果，其中，每个训练好的支持向量机输出一位编码值。

可选地，将目标分类结果与多个预设分类结果进行匹配，得到目标网络设备的识别结果包括：获取目标分类结果与每个预设分类结果的距离，得到多个距离；确定多个距离中最小距离对应的预设分类结果对应的类别，得到目标网络设备的识别结果。

可选地，在利用多个训练好的支持向量机对目标指纹进行分类，得到目标网络设备的目标分类结果之前，方法还包括：获取多个训练数据，其中，多个训练数据与多个类别一一对应，每个训练数据包括：预设指纹，以及预设指纹对应的类别；对多个训练数据进行多次划分，得到多个数据集合，其中，多个数据集合与多个支持向量机；利用多个数据集合分别对多个支持向量机进行训练，得到多个训练好的支持向量机，以及多个预设分类结果。

可选地，获取多个训练数据包括：获取预设时间段内多个类别的网络设备发送的数据流，得到多个数据流；提取每个数据流的原子时字段，得到每个类别的预设指纹；基于多个类别的预设指纹，得到多个训练数据。

可选地，获取预设时间段内多个类别的网络设备发送的数据流包括：在预设时间段内发送探测数据包至多个类别的网络设备；接收多个类别的网络设备发送的数据流。

根据本发明实施例中的另一方面，还提供了一种网络设备的识别装置，包括：获取模块，用于获取预设时间段内目标网络设备发送的目标数据流；提取模块，用于提取目标数据流的原子时字段，得到目标网络设备的目标指纹；分类模块，用于利用多个训练好的支持向量机对目标指纹进行分类，得到目标网络设备的目标分类结果，其中，目标分类结果包括：多位编码值，多位编码值与多个支持向量机一一对应；匹配模块，用于将目标分类结果与多个预设分类结果进行匹配，得到目标网络设备的识别结果，其中，多个预设分类结果与多个类别一一对应，每个预设分类结果包括：多位预设编码值。

根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，计算机可读存储介质包括存储的程序，其中，在程序运行时控制计算机可读存储介质所在设备执行上述的网络设备的识别方法。

根据本发明实施例的另一方面，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述的网络设备的识别方法。

在本发明实施例中，首先可以获取预设时间段内目标网络设备发送的目标数据流；提取目标数据流的原子时字段，得到目标网络设备的目标指纹；然后利用多个训练好的支持向量机对目标指纹进行分类，得到目标网络设备的目标分类结果，最后将目标分类结果与多个预设分类结果进行匹配，得到目标网络设备的识别结果，实现了在保证目标指纹唯一性和稳定性的同时降低了目标指纹计算的而复杂度，其中，目标数据流的原子时字段是基于目标网络设备的硬件特征得到的，因此，根据原子时字段生成的目标指纹是十分稳定的，不易被篡改，且具有唯一性；另外，通过多个训练好的支持向量机对目标指纹进行分类可以达到多分类的效果，当出现新的类别时通过计算目标分类结果中的多位编码值与预设分类结果中的多位预设编码值之间的距离值来确定出最接近的预设分类结果，避免了相关技术中在目标网络设备出现新的类别时需要重新训练多分类器，增加了分类的复杂性，从而实现了利用更简便且更有效的方法对目标网络设备进行识别，进而解决了相关技术中识别网络设备的效率过低的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种网络设备的识别方法的流程图；

图2是根据本发明实施例的一种分类算法的示意图；

图3是根据本发明实施例的另一种网络设备的识别方法的流程图；

图4是根据本发明实施例的一种网络设备的识别装置的示意图；

图5是根据本发明实施例的另一种网络设备的识别装置的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

根据本发明实施例，提供了一种网络设备的识别方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的网络设备的识别方法，如图1所示，该方法包括如下步骤：

步骤S102，获取预设时间段内目标网络设备发送的目标数据流。

上述步骤中的目标网络设备为待识别的网络设备，可以是计算机(个人电脑或者服务器)、中继器、集线器、路由器、交换机、防火墙、网桥、网关、网卡(NIC)、打印机、调制解调器、光纤收发器、光缆等。

上述步骤中的预设时间段可以是通过流量采集工具采集目标数据流的时间段，预设时间段可以由用户进行设置。

上述步骤中的目标数据流为一组有序、有起点和终点的字节的数据序列，可以包括输入流和输出流。

在一种可选的实施例中，流量采集工具可以是Tcpdump(dump the traffic on anetwork，网络数据采集分析工具)；可以先采用Ping(Packet Internet Groper，网络诊断工具)，向目标网络设备发送一个ICMP(Internet Control Message Protocal，因特网报文控制协议)来测试是否可以获取目标网络设备的目标数据流，当可以获取目标数据流时，可以启动Tcpdump采集目标网络设备发送的目标数据流，可以在2个小时之内不断采集目标网络设备发送的目标数据流，并在采集完成之后，获取此段时间目标网络设备发送的目标数据流。

在另一种可选的实施例中，可以在获取到目标数据流之后，将目标数据流保存为pcap文件(packet capture，抓包后存盘的文件)。还可以在获取到目标数据流之后，将目标数据流保存为pcap-ng文件，其中，pcap-ng文件可以允许多种接口类型和注释，并且可以存储解析该文件的解析块名称。

示例性的，可以在终端输入tcpdump src host 123-wx.pcap来将采集到的来自IP地址为123的目标网络设备的目标数据流保存为pcap文件。

步骤S104，提取目标数据流的原子时字段，得到目标网络设备的目标指纹。

上述步骤中原子时(international atomic time，IAT)是以物质的原子内部发射的电磁振荡频率为基准的时间计量系统。其中，IAT能够衡量目标网络设备的目标数据流的频率密度。

在一种可选的实施例中，目标数据流的IAT字段可以是目标数据流中每个数据包到达的时间，根据每个数据包到达的时间可以确定每个数据包之间的时间间隔，通过计算每个数据包之间的时间间隔可以得到目标网络设备的目标指纹。

需要说明的是，目标数据流的IAT对于N的数量即为敏感，也就是时间段的宽度十分敏感，如果时间段过于短，那么在每个时间段只能捕获到较少的IAT，无法确定看似有意义的代表特征是由于短时间内流量的随机变化还是真实的该设备流量所具备的特征；而太宽的时间段可能会忽略重要信息，因此需要将IAT聚合到适宜的时间段宽度内，根据研究人员研究得出，将2个小时之内获取的目标数据流的IAT的N设置为300，即每段时间长度为36s时可以有效的获取该设备的流量。

步骤S106，利用多个训练好的支持向量机对目标指纹进行分类，得到目标网络设备的目标分类结果。

其中，目标分类结果包括：多位编码值，多位编码值与多个支持向量机一一对应。

上述步骤中的支持向量机(support vector machines，SVM)是在分类与回归分析中分析数据的监督式学习模型与相关的学习算法。

需要说明的是，支持向量机对目标指纹进行分类的过程就是编码的过程，因此，通过支持向量机对目标指纹进行分类之后会得到多位编码值。

在一种可选的实施例中，可以利用多个训练好的支持向量机对目标指纹进行编码，以得到与多个支持向量机一一对应的多位编码值。

步骤S108，将目标分类结果与多个预设分类结果进行匹配，得到目标网络设备的识别结果。

其中，多个预设分类结果与多个类别一一对应，每个预设分类结果包括：多位预设编码值。

在一种可选的实施例中，可以通过训练多个SVM得到多个预设分类结果，其中，多位预设编码值可以是K位对照编码。

示例性的，可以先将所有的训练数据随机划分为K个集合，然后将K个训练数据中集的至少一类数据归为正类，其余的类型的数据归为反类，每个SVM针对一个训练数据集，共训练K个SVM。可以根据SMO算法(Sequential minimal optimization，序列最小优化算法)计算每个类型数据的参数，完成对K个SVM的训练，最终根据每个类型数据的参数对所有类型的训练数据都生成一个与SVM相对应的K位的对照编码。

上述步骤中，目标网络设备的识别结果可以是目标网络设备的类别。

在另一种可选的实施例中，当目标分类结果与预设分类结果无法匹配成功时，则说明目标网络设备为未知种类的网络设备，此时，可以比较目标分类结果中的多位编码值与预设分类结果中的多位预设编码值之间的距离值，根据距离值最短的预设编码值来确定出最接近的预设分类结果，即，可以在出现未知种类的网络设备时不需要重新训练SVM就可以识别出目标网络设备的类别，提高了识别目标网络设备的效率。

通过本发明上述实施例，首先可以获取预设时间段内目标网络设备发送的目标数据流；提取目标数据流的原子时字段，得到目标网络设备的目标指纹；然后利用多个训练好的支持向量机对目标指纹进行分类，得到目标网络设备的目标分类结果，最后将目标分类结果与多个预设分类结果进行匹配，得到目标网络设备的识别结果，实现了在保证目标指纹唯一性和稳定性的同时降低了目标指纹计算的而复杂度，其中，目标数据流的原子时字段是基于目标网络设备的硬件特征得到的，因此，根据原子时字段生成的目标指纹是十分稳定的，不易被篡改，且具有唯一性；另外，通过多个训练好的支持向量机对目标指纹进行分类可以达到多分类的效果，当出现新的类别时通过计算目标分类结果中的多位编码值与预设分类结果中的多位预设编码值之间的距离值来确定出最接近的预设分类结果，避免了相关技术中在目标网络设备出现新的类别时需要重新训练多分类器，增加了分类的复杂性，从而实现了利用更简便且更有效的方法对目标网络设备进行识别，进而解决了相关技术中识别网络设备的效率过低的技术问题。

在一种可选的实施例中，可以通过流量解析工具解析目标数据流文件中多个数据包到达的时间，其中，流量解析工具可以是WireShark，目标数据流文件的格式可以是pcap文件格式；然后计算所有相邻数据包之间到达时间的时间差IAT，对采集目标数据流的时间段均分为N段，可以得到N个时间段集合，可以统计这N个时间段集合内IAT的分布数量，根据IAT的分布情况生成目标指纹，并将生成的目标指纹保存在CSV(Comma-Separated Values，字符分隔值)文件中。

示例性的，计算多个相邻数据包之间的到达的时间差，即IAT，得到用于生成指纹的向量f＝{Δt1，Δt2，......，Δtn-1，Δtn}，其中，Δtn-1表示数据包n与数据包n-1之间的时间间隔。可以将N设置为300，最终为目标网络设备生成一个含300个元素的指纹向量fp＝{count1，count2，......，counti，......，count300}，其中counti表示第i个均等时间段内落下的IAT数量。

在一种可选的实施例中，可以采用WireShark对目标数据流进行解析，输出预设格式为序列号-时间-源主机IP地址-目标主机IP地址-协议类型-协议相关参数的多个解析结果，通过解析结果中的时间可以确定多个数据包的到达时间。

在一种可选的实施例中，可以随机的将目标指纹划分为M个指纹集合，将M个指纹集合分别输入到对应的支持向量机中进行分类，得到M个指纹集合对应的编码值，根据该编码值与预设的对照编码值可以确定出目标网络设备的类别，其中，每个训练好的支持向量机输出一位编码值。

在一种可选的实施例中，可以获取目标分类结果中得到的预测编码与每个预设分类结果中的对照编码中的距离，示例性的，可以计算预测编码与对照编码之间的欧式距离或海明距离。其中，海明距离的计算方法为求两个编码的异或值，即

其中，x₁为预测编码，x₂为对照编码；欧式距离的计算方法是求两个编码之间对应位编码的方差平方根，即

其中，x₁ x₂ x₃为预测编码的对应位，y₁ y₂ y₃为对照编码的对应位。可以将计算出的距离值最小的对照编码对应的类型作为目标网络设备的识别结果，以实现在出现新的网络设备类别时，不需要增加额外的二次分类步骤，只需要用现有的支持向量机就可以预测出目标网络设备的类型，更加方便的识别出目标网络设备的类型。

上述步骤中的SVM作为分类器使用时，通常可以将它抽象为求一个超平面W^Tx+b＝0的数学问题，其本质上就是解决一个凸二次优化问题，即

s.t.,y_i(W^Tx_i+b)＞＝1，其中，y_i表示类别标签，x_i表示指纹数据，再经过拉格朗日公式和KKT(Karush-Khn-Tucker，卡罗需-库恩-塔克)条件，将其等价转化为求解。只需要选择一种核函数代入K(x_i,x)即可，此时，可以采用SMO算法选取一对乘子α_i,α_j，然后在固定α_i,α_j的条件下确定W最大的α_i。

在一种可选的实施例中，可以获取多个预设指纹，以及多个预设指纹的标签，其中，多个预设指纹的标签可以区分该预设指纹对应的网络设备类型，然后对预设指纹进行多次划分，得到多个数据集合，将多个数据集合分别输入到多个SVM中进行训练，可以得到多个训练好的SVM以及每个预设指纹对应的对照编码。

训练分类器的步骤可以如下：

(1)将含有M个种类的训练数据集做K次划分，数据分别为x_i，对应的标签为y_i；

(2)对每个训练数据集分别标记一类或几类训练数据为正类，其余部分为反类；

(3)在训练分类器的过程中，实现SMO算法，其中，利用SMO算法更新拉格朗日乘子α_i,α_j，需要利用下列公式计算上下界L和H；

(4)计算Ls的二阶导数并更新Ls，其中，Ls表示某一次迭代的上界；

e_i＝g^old(x_i)-y_i

η＝2φ(x₁)^tφ(x₂)-φ(x₁)^tφ(x₁)-φ(x₂)^tφ(x₂)

(5)计算变量α₂；

(6)更新α₁。

(7)每一个类型的训练数据针对K个SVM分类器都有值为-1或1的输出，-1表示不匹配，1表示匹配，最终生成M个K位的对照编码。

如图2所示为分类算法的示意图，其中C1，C2，C3，...，表示所有网络设备的已知类别，f1，f2，f3，f4，f5代表五个SVM二分类器，右侧两列分别为预测编码与已知编码之间的海明距离及欧氏距离，其中1为海明距离，2为欧式距离，若该分类器能识别某类，则响应值为1，否则为-1。

上述步骤中的预设指纹可以是每个类别的网络设备对应的指纹数据。

在一种可选的实施例中，可以将多个类别的网络设备作为用作训练的网络设备，获取预设时间段内多个类别的网络设备发送的数据流，得到每个类别网络设备的多个数据流，提取每个数据流的原子时字段，得到每个类别网络设备的特征向量，根据各个类别网络设备的特征向量计算出每种类型的网络设备的预设指纹，利用每种类型的网络设备的预设指纹对训练数据进行区分，得到每个预设指纹相对应的训练数据。

上述步骤中的探测数据包可以是ICMP(Internet Control Message Protocal，因特网报文控制协议)，通过发送探测数据包可以及时的了解目标网络设备的状态。

在一种可选的实施例中，在预设时间段内可以通过Ping发送ICMP至多个类别的目标网络设备，以接收到多个类别网络设备发送的数据流。

下面结合图3至图4对本发明一种优选的实施例进行详细说明。如图3所示，该方法可以包括如下步骤：

步骤S301，从多种类型的网络终端设备中采集每种网络终端设备发送的数据流；

上述步骤中的数据流可以为网络终端设备所产生的网络流量。

步骤S302，计算每种网络终端设备的产生数据流的IAT值；

步骤S303，根据每种网络终端设备的IAT值生成各个类型网络终端设备对应的指纹数据，并将该指纹数据保存在文件夹中；

上述步骤中的可以将训练数据保存为pcap文件。

步骤S304，从指纹数据的文件夹中导出需要的训练数据，并将该训练数据随机分为n组；

步骤S305，将该n组训练数据分别输入至对应的二分类器中，得到n组训练数据对应的对照编码；

步骤S306，对目标网络设备得到的预测数据进行分类得到相应的预测编码；

步骤S307，计算该预测编码与所有对照编码之间的距离值；

步骤S308，确定与预测编码距离值最小的对照编码；

步骤S309，根据该对照编码对应的预设指纹确定目标网络设备的类型。

如图4所示为上述网络设备识别方法的整体框图，其中包含两个模块，下方模块进行设备指纹生产，上方模块实现设备类别识别。其中，图4中的3为多个类型网络终端设备，4为收集到的网络终端设备发送的数据流，5为计算出的IAT，6为生成的指纹数据，7为随机分成n组的训练数据，8为n个二分类器，9为n个二分类器得到对照编码，10为计算预测编码与对照编码之间距离，11为输出的识别结果。

实施例2

根据本发明实施例，还提供了一种网络设备的识别装置，该装置可以上述实施例中的网络设备的识别方法，具体实现方式和优选应用场景与上述实施例相同，在此不做赘述。

图5是根据本发明实施例的一种网络设备的识别装置的示意图，如图5所示，该装置包括：

获取模块52，用于获取预设时间段内目标网络设备发送的目标数据流；

提取模块54，用于提取目标数据流的原子时字段，得到目标网络设备的目标指纹；

分类模块56，用于利用多个训练好的支持向量机对目标指纹进行分类，得到目标网络设备的目标分类结果，其中，目标分类结果包括：多位编码值，多位编码值与多个支持向量机一一对应；

匹配模块58，用于将目标分类结果与多个预设分类结果进行匹配，得到目标网络设备的识别结果，其中，多个预设分类结果与多个类别一一对应，每个预设分类结果包括：多位预设编码值。

可选地，提取模块包括：第一提取单元，用于提取目标数据流中多个数据包的到达时间；第一获取单元，用于获取相邻数据包之间的到达时间的时间差，得到多个原子时字段；第一划分单元，用于对预设时间段进行划分，得到多个时间段集合；统计单元，用于统计每个时间段内的原子时字段的数量，得到目标指纹。

可选地，提取单元包括：解析子单元，用于对目标数据流进行解析，得到多个数据包的解析结果，其中，解析结果的输出格式为预设格式；确定子单元，用于基于多个数据包的解析结果，确定多个数据包的到达时间。

可选地，分类模块包括：第二划分单元，用于随机将目标指纹划分为多个指纹集合，其中，多个指纹集合与多个训练好的支持向量机一一对应；分类单元，用于利用多个训练好的支持向量机分别对多个指纹集合进行分类，得到目标分类结果，其中，每个训练好的支持向量机输出一位编码值。

可选地，匹配模块包括：第二获取单元，用于获取目标分类结果与每个预设分类结果的距离，得到多个距离；确定单元，用于确定多个距离中最小距离对应的预设分类结果对应的类别，得到目标网络设备的识别结果。

可选地，该装置还包括：获取模块还用于获取多个训练数据，其中，多个训练数据与多个类别一一对应，每个训练数据包括：预设指纹，以及预设指纹对应的类别；划分模块，用于对多个训练数据进行多次划分，得到多个数据集合，其中，多个数据集合与多个支持向量机；训练模块，用于利用多个数据集合分别对多个支持向量机进行训练，得到多个训练好的支持向量机，以及多个预设分类结果。

可选地，获取模块包括：第三获取单元，用于获取预设时间段内多个类别的网络设备发送的数据流，得到多个数据流；第二提取单元，用于提取每个数据流的原子时字段，得到每个类别的预设指纹；第三获取单元还用于基于多个类别的预设指纹，得到多个训练数据。

可选地，第三获取单元包括：发送子单元，用于在预设时间段内发送探测数据包至多个类别的网络设备，接收子单元，用于接收多个类别的网络设备发送的数据流。

实施例3

根据本发明实施例，还提供了一种计算机可读存储介质，计算机可读存储介质包括存储的程序，其中，在程序运行时控制计算机可读存储介质所在设备执行上述实施例1中的网络设备的识别方法。

实施例4

根据本发明实施例，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述实施例1中的网络设备的识别方法。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种网络设备的识别方法，其特征在于，包括：

获取预设时间段内目标网络设备发送的目标数据流；

提取所述目标数据流的原子时字段，得到所述目标网络设备的目标指纹；

利用多个训练好的支持向量机对所述目标指纹进行分类，得到所述目标网络设备的目标分类结果，其中，所述目标分类结果包括：多位编码值，所述多位编码值与多个所述支持向量机一一对应；

将所述目标分类结果与多个预设分类结果进行匹配，得到所述目标网络设备的识别结果，其中，所述多个预设分类结果与多个类别一一对应，每个预设分类结果包括：多位预设编码值。

2.根据权利要求1所述的方法，其特征在于，提取所述目标数据流的原子时字段，得到所述目标网络设备的目标指纹包括：

提取所述目标数据流中多个数据包的到达时间；

获取相邻数据包之间的到达时间的时间差，得到多个原子时字段；

对所述预设时间段进行划分，得到多个时间段集合；

统计每个时间段内的原子时字段的数量，得到所述目标指纹。

3.根据权利要求2所述的方法，其特征在于，提取所述目标数据流中多个数据包的到达时间包括：

对所述目标数据流进行解析，得到所述多个数据包的解析结果，其中，所述解析结果的输出格式为预设格式；

基于所述多个数据包的解析结果，确定所述多个数据包的到达时间。

4.根据权利要求1所述的方法，其特征在于，利用多个训练好的支持向量机对所述目标指纹进行分类，得到所述目标网络设备的目标分类结果包括：

随机将所述目标指纹划分为多个指纹集合，其中，所述多个指纹集合与所述多个训练好的支持向量机一一对应；

利用所述多个训练好的支持向量机分别对所述多个指纹集合进行分类，得到所述目标分类结果，其中，每个训练好的支持向量机输出一位编码值。

5.根据权利要求1所述的方法，其特征在于，将所述目标分类结果与多个预设分类结果进行匹配，得到所述目标网络设备的识别结果包括：

获取所述目标分类结果与每个预设分类结果的距离，得到多个距离；

确定所述多个距离中最小距离对应的预设分类结果对应的类别，得到所述目标网络设备的识别结果。

6.根据权利要求1至5中任意一项所述的方法，其特征在于，在利用多个训练好的支持向量机对所述目标指纹进行分类，得到所述目标网络设备的目标分类结果之前，所述方法还包括：

获取多个训练数据，其中，所述多个训练数据与所述多个类别一一对应，每个训练数据包括：预设指纹，以及所述预设指纹对应的类别；

对所述多个训练数据进行多次划分，得到多个数据集合，其中，所述多个数据集合与多个支持向量机；

利用所述多个数据集合分别对多个支持向量机进行训练，得到所述多个训练好的支持向量机，以及所述多个预设分类结果。

7.根据权利要求6所述的方法，其特征在于，获取多个训练数据包括：

获取所述预设时间段内所述多个类别的网络设备发送的数据流，得到多个数据流；

提取每个数据流的原子时字段，得到每个类别的预设指纹；

基于所述多个类别的预设指纹，得到所述多个训练数据。

8.根据权利要求7所述的方法，其特征在于，获取所述预设时间段内所述多个类别的网络设备发送的数据流包括：

在所述预设时间段内发送探测数据包至所述多个类别的网络设备；

接收所述多个类别的网络设备发送的数据流。

9.一种网络设备的识别装置，其特征在于，包括：

获取模块，用于获取预设时间段内目标网络设备发送的目标数据流；

提取模块，用于提取所述目标数据流的原子时字段，得到所述目标网络设备的目标指纹；

分类模块，用于利用多个训练好的支持向量机对所述目标指纹进行分类，得到所述目标网络设备的目标分类结果，其中，所述目标分类结果包括：多位编码值，所述多位编码值与多个所述支持向量机一一对应；

匹配模块，用于将所述目标分类结果与多个预设分类结果进行匹配，得到所述目标网络设备的识别结果，其中，所述多个预设分类结果与多个类别一一对应，每个预设分类结果包括：多位预设编码值。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括存储的程序，其中，在所述程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至8中任意一项所述的网络设备的识别方法。

11.一种处理器，其特征在于，所述处理器用于运行程序，其中，所述程序运行时执行权利要求1至8中任意一项所述的网络设备的识别方法。