CN113313156A - 一种基于时序负载流量指纹的物联网设备识别方法及系统 - Google Patents

Abstract

本发明公开了一种基于时序负载流量指纹的物联网设备流量识别方法及系统，本方法的具体工作流程可以分为训练阶段和分类阶段。在训练阶段，根据已标记类别的物联网设备流量的报文长度序列信息和报文字节序列信息，训练神经网络中的可学习参数，从而实现自动化的物联网设备流量指纹提取和物联网设备识别。在分类阶段，基于已训练完成的神经网络模型，对待识别物联网设备流量进行物联网设备流量指纹构建，并完成不同物联网设备的流量识别。本发明从不同的特征维度对于任何物联网设备产生的网络流量进行准确刻画，从而形成更具表达能力的物联网设备流量指纹，在物联网设备流量识别过程中具有高准确率、高度泛化能力和鲁棒性。

Description

一种基于时序负载流量指纹的物联网设备识别方法及系统

技术领域

本发明属于物联网和物联网安全领域，涉及物联网设备识别技术，特别涉及一种基于时序负载流量指纹的物联网设备识别方法及系统。

背景技术

近年来，物联网技术的蓬勃发展使得现实世界中物联网设备的种类和数量都在不断膨胀，目前物联网设备已经融入社会的各个角落之中。然而，随着物联网技术的不断发展以及物联网中设备数量的不断激增，物联网领域同样面临着重要的问题与挑战。当前物联网领域中的热点与难点问题之一就是对不同物联网设备产生流量的准确分类，对于物联网设备的准确分类有助于为网络服务提供商提供更好的网络管理和网络安全保障。第一，对于网络管理而言，由于物联网设备具有较高的异构性，不同的物联网设备对于服务质量(QoS)有着不同的实际需求。因此，网络服务提供商需要为不同的物联网设备所产生的网络流量提供差异化的服务。第二，对于网络安全而言，物联网设备的识别与分类是异常检测、网络防火墙和过滤不需要的流量等活动的第一步。对于网络运营服务提供商来说，及时获得物联网设备的相关信息可以帮助他们对未正常工作或者已经遭受攻击的物联网设备所产生的网络流量进行及时、积极地处理或者屏蔽隔离。因此，在实践中，准确的物联网设备识别方法将有利于提高物联网网络的可靠性和安全性。

物联网设备识别方法可以分为两大类，基于物联网设备唯一标识的识别方法和基于物联网设备流量指纹的识别方法。基于物联网设备唯一标识的识别方法主要通过：(1)MAC地址信息(2)DHCP信息，两种信息作为设备标识。其中基于MAC地址信息方法，由于MAC地址特性，只有当设备与运营商处于同一广播域时MAC地址才可能有效，然而当设备与运营商之间跨越多个网段时，运营商无法检测到设备MAC地址，难以作为物联网设备分类的依据。基于DHCP信息的方法，由于近年许多物联网设备在DHCP请求中没有设置主机名,而且还有许多主机名没有意义，因此也难以作为准确分类的依据。当前基于物联网设备流量指纹的识别方法，通过对物联网设备流量进行特征工程得到物联网设备流量指纹，并结合机器学习等人工智能方法进行分类，得到了较好的分类准确率。本发明针对物联网设备流量指纹识别工作展开相关讨论。

目前，现有的基于物联网设备流量指纹的识别方法虽在一定的场景下取得了较好的实验效果，但此类方法在设计与提取网络流量指纹信息时都需要研究人员对所分析的网络流量数据具有一定程度的先验知识。具体地说，目前的指纹提取工作对于网络流量是否为加密的，传输层协议是可靠传输协议(TCP)还是不可靠传输协议(UDP)，以及网络流具体使用了哪些应用层流量等因素过于敏感，这就导致在进行指纹提取的过程中，工作人员在面对多样化的物联网设备流量时，需要对于网络流量有更加具体的了解，并设计更有针对性的指纹信息。然而这对于物联网服务提供商而言，这无疑是一项需要大量人力资源且十分繁琐的工作。同时在当今物联网设备不断增加的大背景下，每一次物联网设备的更新，对于指纹提取工作的工作量可能是几何倍的增长。因此在物联网设备识别领域，如何设计一种具有高度泛化能和鲁棒性的物联网设备网络流量指纹，并进行准确的物联网设备识别是当今的研究热点。

附图说明

图1是基于时序负载流量指纹的物联网设备识别方法的总体流程图。

图2是基于时序负载流量指纹的物联网设备识别方法训练阶段流程图。

图3是物联网设备流量分类模型所构建的神经网络结构图。

图4是多分支结构卷积示意图。

图5是基于时序负载流量指纹的物联网设备识别方法识别阶段流程图。

图6是基于时序负载流量指纹的物联网设备识别系统架构图。

图7是物联网设备流量在验证集上的分类实验结果图。

图8是物联网设备流量在测试集上的分类实验结果图。

发明内容

本发明的目的在于设计并实现一种基于时序负载流量指纹的物联网设备识别方法及系统，从而有效地降低构建物联网设备流量指纹过程中所需要的先验知识，进而能够从复杂多样的物联网环境中识别各种物联网设备。

为实现上述目的，本发明采用的技术方案如下：

一种基于时序负载流量指纹的物联网设备流量识别方法，本方法的具体工作流程如图1所示，可以分为训练阶段和分类阶段。

所述训练阶段包括如下步骤：

1)将IP数据包组装为TCP/UDP单向流，提取每条单向流中每个带负载数据包的负载长度，并将其组合成为一个负载长度序列，从而获得一个单向流的报文长度序列信息；提取每一条单向流中第一个负载数据包的负载数据，获得每一个单向流的报文字节序列信息。分别将报文长度序列信息和报文字节序列信息限制为固定的长度。

2)以步骤1)得到的报文长度序列信息和报文字节序列信息作为输入，形成离线训练数据集，采用有监督学习的方式，构建设备流量识别模型；

所述分类阶段包括如下步骤：

3)以物联网设备流量数据为输入，获取待识别物联网设备流量单向流，并将待测单向流转换为与步骤1)相同的定长报文长度序列信息和报文字节序列信息；

4)判断此时是否有已训练完成的设备流量识别模型，若没有训练好的模型，则先返回训练阶段进行设备流量识别模型训练。若有已经训练好的设备流量识别模型，则使用该模型进行设备识别。

5)根据训练阶段中步骤2)得到的设备流量识别模型，对目标流量数据的物联网设备流量类别进行识别，并输出识别结果。

一种基于时序负载流量指纹的物联网设备识别系统，包括用于训练阶段的物联网设备流量采集处理模块、设备流量识别模型构建模块，以及用于分类阶段的物联网设备流量采集处理模块、物联网设备流量识别模块；其中，

物联网设备流量采集处理模块负责从输入的原始网络流量数据中，提取报文长度序列信息和报文字节序列信息，并将这两部分分别地处理为等长的序列信息；

训练阶段的设备流量识别模型构建模块，负责构建设备流量识别模型所使用的神经网络，并使用已标记类别的、包含有不同物联网设备流量的报文长度序列信息和报文字节序列信息集合对神经网络中的网络参数进行调整，使设备流量识别模型满足训练终止条件，以供分类阶段使用；

分类阶段的物联网设备流量识别模块负责根据训练阶段生成的设备流量识别模型，对物联网设备流量采集处理模块获取的待识别物联网设备报文长度序列信息和报文字节序列信息的物联网设备流量类别属性进行判别，并输出判别结果。

本发明的关键技术点在于：

1.采用基于自注意力机制的方式处理报文长度序列信息，得到可以刻画物联网设备流量报文状态转移关系的时序特征；采用基于独热编码与卷积相结合的方式处理报文字节序列信息，得到可以刻画物联网设备流量应用协议格式信息的流量负载特征。

2.设计了具有时间卷积和负载卷积两个分支的卷积神经网络结构构建类别敏感指纹，该结构可以将时序特征和流量负载特征分别地构建为时序指纹和负载指纹，从而形成可以从两个方面准确地刻画物联网设备流量指纹。

3.设计了基于全局平均池化的指纹融合结构,该结构能够将时序指纹和负载指纹进行融合，形成包含有时序和负载两个方面信息的物联网设备流量指纹，从而形成物联网设备流量的鲁棒表示。

本发明公开了一种基于时序负载流量指纹的物联网设备识别方法及系统。与已公开的相关技术相比，该方法及系统主要有如下优点：

1)该物联网设备流量识别方法具有高度泛化能力和鲁棒性。本发明不事先假定物联网设备产生的网络流量是明文流量或者是密文流量。该发明可适用于传输层协议使用了TCP协议或UDP协议的物联网设备流量，且对于应用层所使用的具体协议类型不敏感；

2)本发明使用自注意力机制提取流量时序指纹，并使用独热编码和带分支的卷积神经网络提取流量负载指纹，将两种指纹融合后得到物联网设备流量指纹，从而可以从不同的特征维度对于任何物联网设备产生的网络流量进行准确刻画。

具体实施方式

本方法的具体工作流程可以分为训练阶段和分类阶段。在训练阶段，根据已标记类别的物联网设备流量的报文长度序列信息和报文字节序列信息，训练神经网络中的可学习参数，从而实现自动化的物联网设备流量指纹提取和物联网设备识别。在分类阶段，基于已训练完成的神经网络模型，对待识别的物联网设备流量进行物联网设备流量指纹构建，并完成不同物联网设备的流量识别。

训练阶段中，本方法的关键技术部分在于对物联网设备流量识别模型的构建。整体的流程如图2所示，训练阶段的输入是总体流程中提到的报文长度序列信息和报文字节序列信息。物联网设备流量分类模型所构建的神经网络结构如图3所示，训练阶段的结束条件为E。物联网设备流量识别模型构建过程的输出为满足物联网设备流量分类需求的物联网设备流量指纹提取模型和物联网设备流量识别模型。

本方法的设备流量识别模型基于深度神经网络模型的训练方法来构建，其具体实施步骤如下：

1.将IP数据包组装为TCP/UDP单向流，数据包组装单向流操作是利用网络五元组作为一个TCP/UDP流的唯一标识，将符合五元组标识的数据包构成一个网络单向流。

本发明所述的五元组是指数据包的源IP地址(ip.src)、目的IP地址(ip.dst)、源端口(port.src)、目的端口(port.dst)、第四层通信协议(protocol)，即(ip.src,ip.dst,port.src,port.dst,protocol)。

提取每条TCP/UDP单向流中所有带负载的数据包的负载长度，并将其组合成为一个负载长度序列，从而获得一个单向流的报文长度序列信息

(训练集合中包含N条物联网设备流量单向流，l_i表示每一条单向流的报文长度序列信息)。提取每一条单向流中第一个负载数据包的负载数据，获得该单向流的报文字节序列信息

(集合包含N条物联网设备流量单向流，p_i表示每一条单向流的报文字节序列信息)。将单向流提取出来的两部分信息合并得到物联网设备的单向流信息集合

将物联网设备流量信息中的报文长度序列信息和报文字节序列信息分别进行长度一致化操作。对长度小于长度基准的信息进行补“0”填充操作，长度大于基准的信息进行截断操作。将报文长度序列信息L处理为定长报文长度序列信息

每条流的报文长度序列信息l'_i长度设为N_L。将报文字节序列信息P处理为定长报文字节序列信息

每条流的报文字节序列信息p'_i长度设为N_P，其中N_L、N_P两个参数是可以根据物联网设备流量指纹生成模型需要进行调节、设置的。

2.在开始神经网络结构训练前，需要根据超参数设置，对神经网络中的可训练参数进行初始化。神经网络参数初始化可以使用加载现有模型参数、随机初始化、自定义初始化等方法进行，在本方法中，使用随机初始化的方法为神经网络中的所有可训练参数赋予初始值。若使用后需要对本方法中神经网络的可学习参数进行微调，也可跳过此步骤，不进行参数初始化，而是直接加载原有参数，在原有参数基础上调整模型效果。

3.通过时序特征提取器对定长报文序列信息L'进行处理，得到可以刻画物联网设备流量报文状态转移关系的时序特征，基于时序特征利用时间卷积模块得到时序指纹,Ft。接下来，为了便于说明，将以其中一条流的报文长度序列信息l'为例，具体步骤如下：

3.1.此步骤是嵌入编码(Embedding)。嵌入编码中包含一个可训练的参数矩阵w^E，其维度为(N_L×d_e)。将l'作为输入的嵌入编码操作可以看成一个查找操作，对给定l'中任一个元素l_j'(j∈[1,N_L])，可以在w^E中查找到其对应的d_e维度嵌入向量

因此l'可以被转换为嵌入矩阵

其中嵌入向量的维度d_e可以根据模型需要而改变，本发明实例实验中d_e＝1024。

3.2.此步骤是位置编码操作。进行添加位置编码(Positional Encoding)操作，将位置编码张量PE与嵌入编码计算后得到的张量X相结合得到位置敏感的张量X'，PE维度为(N_L×d_e)与嵌入编码得到的张量X相同。具体步骤如下所示，

X'＝X+PE

带有位置编码的张量X'的维度为(N_L×d_e)。本步骤中所使用的位置编码的构造方法是基于不同频率的正弦和余弦函数计算,位置编码矩阵PE的具体计算公式如下：

在以上公式中，pos表示嵌入向量在报文长度序列中的出现的位置；d_e表示嵌入向量的维度；j表示嵌入向量的某一个维度。

3.3.此步骤是自注意力机制模型，该部分将上一步骤计算得到的X'输入给时序特征提取器中的自注意力机制模型，进而形成时序特征。自注意力机制模型是由N_D个相同层堆叠所组成，N_D可以根据需要进行自行设置，本发明的验证实验中N_D＝1。每个层是由两个子层所构成，第一个子层是多头自注意力机制(multi-head self-attention mechanism)模型；第二个子层是一个全连接前馈网络(fully connected feed-forward network)。每一个子层之后都会有残差连接(residual connection)和层标准化操作(layernormalization)。流量时序特征提取的具体步骤如下所示：

3.3.1.此步骤进行多头自注意力机制操作的第一个子层操作，多头注意力机制是h个并行的不同自注意力机制结构，并行数量可以进行自行设置，本方法中h＝8，多头自注意力机制又可分为3个子步骤：分别是

1).首先，将数据X'分别输入到h个自注意力机制结构中，得到h个自注意力机制运算之后的特征矩阵Z_i,i∈{1,2,...,h}。这里本发明以一个自注意力机制为例，来介绍自注意力机制的计算方法，具体步骤如下：以X'作为输入,首先对X'分别进行三个不同的线性变换操作(Linear)(注意本部分的线性变换在多头自注意力机制中的各个头中所使用的权重参数不共享)，即分别与三个权值矩阵W^Q,W^K,W^V进行矩阵乘法运算，矩阵维度分别为(d_e×d_q)，(d_e×d_k)，(d_e×d_v)，从而将X'转换为三个不同的张量,Query张量(Q)维度为(N_L×d_q)、Key张量(K)维度为(N_L×d_k)和Value张量(V)维度为(N_L×d_v)，具体表示如下：

在本发明实例验证实验中，d_q＝d_k＝d_v＝64。接下来对于Q和K进行矩阵乘法计算得到得分张量S，S的维度为(N_L×N_L)，为了梯度稳定对S进行归一化处理，即除以

得到S'，之后对于S'使用归一化指数函数(softmax)得到S”，再用S”矩阵乘V，得到自注意力机制的输出张量Z_i，维度为(N_L×d_h)。单个自注意力机制的具体的计算过程如下公式所示。

2)其次，将得到的h个Z_i进行拼接操作形成一个表达能力更强的特征矩阵，具体的操作步骤是在第二个维度(即d_v所在维度)进行拼接，得到一个(N_L×(h×d_v))维度的张量。

3)最后，将特征矩阵输入给一个全连接层(fully connected layer)进行线性变换操作，即与权重矩阵W^O进行矩阵乘法运算，W^O的维度为((h×d_v)×d_e),经线性变换后得到最后的输出Z维度为(N_L×d_e)，计算公式如下。

Z＝MultiHead(Q,K,V)＝Concat(Z₁,...,Z_i)W^O,i∈{1,2,...,h}

将得到的输出进行残差连接操作和层标准化操作得到最终的输出Z'，其维度为(N_L×d_e)。

Z'＝LayerNorm(X'+Z)

3.3.2.此步骤是全连接前馈网络部分，具体操作如下。首先进行第一个线性变换操作(Linear)，即与一个权重矩阵W₁进行矩阵乘法运算并添加偏置值b₁，W₁的维度为(d_e×d_hh)；然后，执行一个线性整流函数(ReLU)操作；再进行第二个线性变换操作(Linear)，即与一个权重矩阵W₂进行矩阵乘法运算并添加偏置值b₂，W₂的维度为(d_hh×d_e)，其中隐藏层维度可以根据需要自行进行修改，计算公式如下所示。

y＝FFN(Z')＝max(0,Z'W₁+b₁)W₂+b₂

并将得到的结果进行残差连接和层标准化操作得到最终一个编码器层输出结果y，维度

为(N_L×d_e)：

y'＝LayerNorm(X'+y)

3.3.3.从第二个自注意力机制层开始每一层的输入是上一个层的输出y'。重复步骤3.3.1和3.3.2步骤N_D次，得到最终结果Y。此时，得到的最终结果Y的维度为(N_L×d_e)。

3.3.4.由于自注意力机制得到的输出结果Y的特征维度过高，因此本发明通过两步2D卷积操作对输出结果Y进行降维操作，使得输出更容易处理。首先将得到的Y增加一个通道维度，维度变换为(1×N_L×d_e)。之后对于Y进行第一步2D卷积操作，卷积的维度变

换计算方法如下：

f(d)＝(d-kernel size+2×padding)/2+1

卷积核数量为C₁，卷积核大小为(3,3)，步长为2，卷积核数量可以自行设置，本方法中C₁＝32得到维度为(C₁×N_L'×d_e')的张量Y',其中N_L'＝f(N_L),d_e'＝f(d_e)。对Y'进行第二步2D卷积操作，卷积核数量为1，卷积核大小为(3,3)，步长为2，得到最终维度为(1×N_L”×d_e”)的张量Y”，其中N_L”＝f(N_L'),d_e”＝f(d_e')。本步骤中两步卷积的参数可以根据需要自行设置。

3.4此步骤为时间卷积，首先将Y”的第一维度进行压缩维度操作，再在第二维度进行增加维度操作，使Y”变为维度为((N_L”×d_e”)×1)的二维张量，在这一部分使用一个1D卷积操作，卷积核数量为d_class，卷积核大小为1，步长为1，得到一个维度为(d_class×1)的二维张量，再进行维度压缩操作得到输出维度为d_class的张量。本方法中d_class是物联网设备类别的数目。本步骤的输出的每一个维度与物联网类别一一对应，最终得到一个维度为d_class的类敏感流量时序指纹

i表示第i条单向流，j表示输出指纹中第j类的维度。

4.以处理后的定长报文负载信息P'作为输入，通过基于独热编码和卷积神经网络的神经网络模型处理报文的负载信息，并基于负载特征利用负载卷积模块得到负载指纹，Fp。下面的部分中为了便于说明，将以其中一条流的报文序列信息p'为例，具体操作步骤如下：

4.1.首先对p'进行独热编码(One-Hot Encoding)操作，独热编码的具体操作流程如下，本发明将p'中的每个字节，均转换为维度为256的独热向量w_g。对于集合中p'的第g个字节p'_g，假设其字节取值为u,u∈[0,255]，且u∈N(因为数据包原始报文负载信息中字节的十进制取值范围是在0～255之间),则其对应的256维度独热向量w_g表示为u维度元素取值为1、除第u位以外其余元素取值为0的向量，形如w_g＝{0,0,…,1,…,0}，其中元素1在向量w_g中的坐标为w_(g,u)。经过独热编码变换后，维度为(N_P×1)的张量p'转换为维度为(N_P×256)的张量W。

4.2.对得到的二维矩阵向量W，首先进行添加维度操作得到维度为(1×N_P×256)的张量，并进行2D卷积操作，卷积核数量为H₁，卷积核大小为(1×256),步长为1，本发明验证实验中设H₁＝32。2D卷积后得到的输出结果为R₁,R₁的维度为(H₁×N_P×1)。

4.3.对上一步骤2D卷积得到的输出结果进行分支卷积，图4展示了分支卷积操作的示意图。首先，对R₁最后一个维度进行维度压缩操作得到维度为(H₁×N_P)的张量，并以其作为输入，分别输入给三个并行1D卷积，卷积核数量都为H₂，卷积核大小分别为1,3,5，步长都为1，填充大小分别为0、1和2，使每个分支卷积后特征图的长度不变。经过三个并行1D卷积操作后，得到三个维度为(H₂×N_P)的张量，本发明验证实验中设H₂＝150。将三个并行卷积得到的张量分别输入同一个1D卷积层，卷积核数量为H₃，卷积核大小为1，步长为1，得到三个维度为(H₃×N_P)的张量，分别表示为R_1.1,R_1.2,R_1.3。本方法中H₃＝32。分支卷积结构中各个分支卷积的卷积核数量和卷积核大小可以根据需求调节。将得到的三个张量R_1.1,R_1.2,R_1.3进行矩阵加法操作得到最终并行卷积的输出结果R₂，R₂的维度为(H₃×N_P)。

4.4.R₂与R₁进行残差融合并进行批标准化操作(batch normalization)得到R₃。

R₃＝BatchNorm(R₁+R₂)

4.5.此步骤将使用两个线性变换操作(Linear)对特征R₃进行维度压缩操作。第一步使用维度变换操作将R₃展平；第二部进入丢弃层(dropout layer)进行随机特征选取操作；第三步进入一个全连接层，输出维度为H₄,本方法中H₄＝256，得到维度为的H₄张量；

第四步对H₄执行线性整流函数(ReLU)；第五步进入第二个全连接层，输出维度为H₅，本方法中H₅＝128。得到最终维度为H₅的一维张量R₄。

4.6.此步骤为负载卷积，首先将上一步骤得到的张量R₄进行添加维度操作，得到一个维度为(H₅×1)的张量。并对该张量进行一个1D卷积操作，卷积核数量为d_class，卷积核大小为1，卷积步长为1，卷积得到维度为(d_class×1)的张量。然后，再进行维度压缩操作，得到维度为d_class的类别敏感的流量负载指纹

其中i表示第i条单向流，j表示输出指纹中第j类的维度。

5.将得到的流量时序指纹Ft_i和流量负载指纹Fp_i进行指纹融合操作，即对Ft_i和Fp_i在对应的维度j处进行拼接操作，得到一个维度为(d_class×2)的类别敏感的物联网设备流量指纹

这样就得到了包含有流量时序指纹信息和流量负载指纹信息的物联网设备流量指纹。

6.该步骤对物联网设备流量指纹F_i进行不同类型特征的融合。具体地说，在每一个维度j上(j∈[1,λ])使用全局平均池化(global average pooling)操作融合流量时序指纹和流量负载指纹，从而得到一个维度为d_class的张量，并使用归一化指数函数(softmax)给出每个类别的置信度，取置信度值最大的维度作为本次运算对于该物联网设备流量类别的推断，使用网络得到的物联网设备流量推断类别计算损失函数，以评估当前计算结果与实际数据的拟合程度。本方法所使用的损失函数为交叉熵函数(Cross Entropy)。

7.判断此时训练状况是否满足终止条件E,若满足终止条件，则停止神经网络训练过程，将包含训练后神经网络参数值的物联网设备流量指纹提取模型和物联网设备流量识别模型作为训练阶段最终的结果输出，以供分类阶段进行物联网设备流量识别；若不满足条件，则根据网络计算的损失函数值，使用反向传播更新神经网络参数，并重复步骤3-6。结束条件E的设置，可包括但不局限于下述条件：达到最大迭代周期、达到期望损失函数值、达到期望统计评价指标等。

分类阶段的工作流程如图5所示，该阶段以训练阶段所得到的物联网设备流量指纹提取模型和物联网设备流量识别模型参数为基础、以物联网设备流量为输入，对待识别的物联网设备类别进行识别。

1.本方法的首先将待识别物联网设备流量按照上述训练阶段步骤1所述方法，得到待识别物联网设备流量的定长报文长度序列信息和报文字节序列信息。

2.物联网设备识别模块依据训练阶段生成的物联网设备流量识别模型，以经过预处理的格式化数据作为输入，进行物联网设备流量指纹的提取并最终得到输入的物联网设备流量所代表的物联网设备类别。

本方法在实际应用过程中，可根据方法在不同数据集上的识别效果、识别物联网设备类型的变动等因素，重新启动训练阶段，对神经网络进行调整、重新训练。通过训练阶段与分类阶段的多次迭代，对本方法所使用的神经网络参数进行更新，保证本方法性能满足应用协议分类的需求。

结合上述基于时序负载流量指纹的物联网设备识别方法，本专利同时公开了一种基于时序负载流量指纹的物联网设备识别系统。本系统主要由训练阶段和分类阶段两个阶段构成，系统图架构如图6所示。

1.训练阶段。首先，以已知物联网设备流量为输入，由(1)组合单向流数据预处理模块形成单向流的两部分信息，报文长度序列信息和报文字节序列信息；(1)组合单向流数据预处理模块将所有报文长度序列信息和报文字节序列信息执行截断或补零操作，使同一种信息的长度相同，将报文序列信息进行嵌入操作，将报文负载信息进行独热编码操作，作为目标物联网设备流量数据集。本方法设计的物联网设备流量识别模型，需要事先进行训练方可进行目标物联网设备识别工作。由(2)物联网设备流量识别模型构建训练模块使用目标物联网设备流量数据集，对本方法设计的物联网设备流量识别模型进行训练，使物联网设备流量识别模型的性能满足分类需求。(2)物联网设备流量识别模型构建模块的输出结果是完成构建的设备识别模型。

2.分类阶段。分类阶段以待识别物联网设备流量数据为输入，由(1)组合单向流数据预处理模块对待识别物联网设备流量数据进行处理，形成单向流的两部分信息，包括报文长度序列信息和报文字节序列信息，分别统一序列的长度并转化为嵌入张量和独热编码形式，作为待测数据集。(3)物联网设备流量识别模块以待测数据集为输入，使用(2)物联网设备流量识别模型构建模块所生成的设备识别模型，对待测数据集中的各个样本所属的物联网设备类型进行判别。分类阶段的输出结果为待识别物联网设备流量所对应的物联网设备类型的具体判断结果。

在验证实验中，本发明对18种不同类型的物联网设备产生的网络流量开展实例验证。实验中所使用的每种物联网设备产生的网络流量的具体信息如表1所示。其中，对于每个设备类别，本发明随机地选择了3千条网络流，如果某一类别的流数不足3000，则选择全部的数据。此外，在实验数据集上开展了5折交叉验证，其中训练集，验证集和测试集的划分比例为3：1：1。

表格1：验证实验中所使用的公共数据集中的物联网设备名称及各个设备的网络流量相关信息，其中M代表10⁶,K代表10³，G代表10⁶。

物联网设备流量的分类模型设计完成以后，为了评估其分类性能，必须定义合适的分类评估指标。对于正在分析的特定应用程序r，定义如下指标来评估分类器的分类性能：

(1)物联网设备r的真阳率(True Positive Rate,TPR)：

(2)物联网设备r的假阳率(False Positive Rate,FPR)：

(3)TPR_r和FPR_r分别反映了整个系统的两方面的分类表现，FTF_r指标则是TPR_r与FPR_r指标之间的折衷,其具体定义如下：

(4)本发明是针对混杂物联网设备流量的多类别分类，多种物联网设备的系统整体分类表现采用准确率指标(Accuracy)来评估，ACC指标的具体定义如下：

其中，λ表示需要分类的物联网设备类别数。

在验证实验中，有以下三个重要参数，分别是(1)N_L，代表用于分类的网络数据流的前多少个数据报文的个数；(2)d_e，代表嵌入编码层的嵌入向量维度；(3)N_P，代表网络流第一个报文中用于分类的报文长度的不同取值。在以下针对本发明的评估实验中，具体的参数选择范围是N_L∈{8,16,32},d_e＝1024，N_P∈{16,32,64}。接下来，介绍具体的物联网设备流量分类的实验结果。

图7绘制了当参数N_P和N_L为不同取值时，18种物联网设备流量在实验数据集的验证集上的Accuracy数值的变化情况。对于不同的参数设置，ACC数值在97.505％–98.423％的范围内变化。验证数据集上的最佳参数值为N_L＝32，d＝1024和N_P＝64，相应的ACC数值为98.423％。图7可以清楚地注意到，对于较低的N_P值，Accuracy数值都会降低。此外，还可以注意到，对于较低的N_L值，本发明的Accuracy数值通常下降不大。

图8绘制了当参数N_P和N_L为不同取值时，18种物联网设备流量在实验数据集的测试集上的Accuracy数值的变化情况。值得注意的是在验证集上分类表现最好的参数设置(N_L＝32，d＝1024和N_P＝64)，其在测试集上的分类准确率为98.320％。

表格2：与现有流量分类方法对比实验结果

表格2展示了本发明与现有最先进的流量分类方法(BSNN方法是面向负载的流量分类方法，FS-Net是面向报文长度序列的流量分类方法)的实验对比结果。表格2详细地展示了每种设备的TPR、FPR，平均TPR、平均FPR以及FTF几种评价指标下的实验结果值。从表格2中，可以明显地观察到，本发明在实验数据集上的FTF数值是98.23；现有流量分类方法BSNN和FS-Net的FTF数值分别是94.203和82.264。因此，本发明的实验效果优于BSNN和FS-Net方法。

Claims (8)

1.一种基于时序负载流量指纹的物联网设备识别方法，其特征在于，包括训练阶段和分类阶段；

所述训练阶段包括如下步骤：

1)以已知物联网设备流量类型的网络数据包集合为输入，将IP数据包重组为TCP/UDP单向流，提取每条单向流中每个带负载数据包的负载长度，并将其组合成为一个负载长度序列，从而获得一个单向流的报文长度序列信息；提取每一条单向流中第一个负载数据包的负载数据，获得每一个单向流的报文字节序列信息；分别将报文长度序列信息和报文字节序列信息转换为固定长度；

2)以步骤1)得到的报文长度序列信息和报文字节序列信息作为输入，形成离线训练数据集，采用有监督学习的方式，构建设备流量识别模型；

所述分类阶段包括如下步骤：

3)以物联网设备流量数据为输入，获取待识别物联网设备流量网络单向流，并将待测单向流转换为与步骤1)相同的定长报文长度序列信息和报文字节序列信息；

4)根据训练阶段中步骤2)得到的设备流量识别模型，对目标流量数据的物联网设备流量类别进行识别，并输出识别结果。

2.如权利要求1所述的一种基于时序负载流量指纹的物联网设备识别方法，其特征在于，步骤1)进行字节流序列转换的具体操作方法是：

1-1)利用网络五元组将数据包组合为网络单向流,提取每条单向流中每个带负载数据包的负载长度，并将其组合成为一个负载长度序列，从而获得一个单向流的报文长度序列信息；提取每一条单向流中第一个负载数据包的负载数据，获得每一个单向流的报文字节序列信息；

1-2)将物联网设备流量信息中的报文长度序列信息和报文字节序列信息分别进行长度一致化操作；对长度小于长度基准的信息进行补“0”填充操作，长度大于基准的信息进行截断操作。

3.如权利要求1所述的一种基于时序负载流量指纹的物联网设备识别方法，其特征在于，步骤2)构建所述特征提取网络模型和应用协议分类模型的方法是：

2-1)以步骤1)得到的定长报文长度序列信息作为输入，通过时序特征提取器对定长报文序列信息进行时序特征提取操作，得到刻画物联网设备流量报文状态转移关系的时序特征，基于时序特征利用时间卷积模块得到流量时序指纹；

2-2)以步骤1)得到的定长报文负载信息为输入，通过基于独热编码和卷积神经网络的神经网络模型处理报文负载信息进行流量负载特征提取操作，得到可以刻画物联网设备流量应用协议格式信息的负载特征，基于负载特征利用负载卷积模块得到流量负载指纹；

2-3)以步骤2-1)得到的流量时序指纹和步骤2-2)得到的流量负载指纹为输入，进行指纹融合操作，得到包含有流量时序指纹信息和流量负载指纹信息两部分信息的物联网设备流量指纹；并使用归一化指数函数，进行物联网设备流量识别操作，得到物联网设备流量所属的物联网设备流量类别；

2-4)以步骤2-3)得到的物联网设备流量类别与步骤1)中的物联网设备流量的真实物联网设备类型为输入，计算模型分类准确率、损失函数值等指标，若指标满足终止条件E，则停止神经网络训练过程，将包含训练后神经网络参数值的物联网设备流量指纹提取模型和物联网设备流量识别模型作为训练阶段最终的结果输出，以供分类阶段进行物联网设备流量识别；若指标不满足终止条件，则根据网络计算的损失函数值，使用反向传播更新神经网络参数，并重复步骤2-1)～步骤2-3)。

4.如权利要求3所述的一种基于时序负载流量指纹的物联网设备识别方法，其特征在于，步骤2-1)所述的时序特征提取操作的具体操作方法是：

2-1-1)嵌入编码层，以1-2)中得到的定长报文长度序列信息作为输入进行嵌入编码操作；嵌入操作是在一个可训练的参数矩阵中，对输入向量中的每一个元素进行查找，并得到查找后的嵌入编码张量；

2-1-2)位置编码层，对嵌入编码张量进行添加位置编码操作，将嵌入编码张量与位置编码进行张量加法操作，得到有位置信息的嵌入编码张量；其中位置编码的构造方法是基于不同频率的正弦和余弦函数计算；

2-1-3)将有位置信息的嵌入编码张量作为时序特征提取器中的自注意力机制模型的输入，进行自注意力时序特征提取操作，进而形成高维度的时序特征张量；

2-1-4)以高维度的时序特征张量作为输入，使用两个2D卷积进行特征降维操作，得到时序特征；其中第一个卷积的卷积核数量为C₁，卷积核大小为b，步长为s；第二个卷积的卷积核数量为1，卷积核大小为b,步长为s；

2-1-5)将时序特征作为输入，使用1D卷积进行时间卷积操作，得到类别敏感的流量时序指纹；1D卷积的卷积核数量为已知物联网设备类型总数λ，卷积核大小为1，步长为1。

5.如权利要求3所述的一种基于时序负载流量指纹的物联网设备识别方法，其特征在于，步骤2-2)所述的流量负载特征提取操作的具体操作方法是：

2-2-1)对1-2)中得到的定长报文负载信息进行独热编码操作，得到独热编码张量；具体地说，将其每个字节转换为十进制表示的取值范围为[0,255]之间的整数；将所有字节转换为256维的独热向量，其特征在于，除代表该字节实际取值的一位为1之外，向量其余各位取值为0；

2-2-2)以独热编码张量作为输入，使用卷积核数量为H₁，卷积核大小为(1×k)的2D卷积层进行卷积操作，得到定长报文负载信息的初始特征表征张量；

2-2-3)以初始特征表征张量为输入，使用3个并行的卷积神经网络分支对初始特征表征张量进行处理，得到各分支特征张量；其中，每个分支包括两层1D卷积神经网络层，设分支第一层1D卷积层的卷积核数都为H₂，卷积核尺寸分别为1、3、5，步长都为1，填充大小分别为0、1、2；第二层1D卷积层的卷积核数为H₃,卷积核尺寸为1，步长为1，各分支共享该层参数，变换上层获取的特征，生成分支特征张量；对各分支得到的分支特征张量执行加法操作得到分支融合特征张量；

2-2-4)将初始特征表征张量与分支融合特征张量相加，进行残差融合操作，并进行批标准化操作，得到标准化后的分支融合特征张量；

2-2-5)以标准化后的分支融合特征张量作为输入，使用不少一层全连接层，逐层进行降低维度操作，得到负载特征；其中全连接层之间使用线性整流函数；

2-2-6)以负载特征作为输入，使用1D卷积进行负载卷积操作，得到类别敏感的流量负载指纹；1D卷积的卷积核数量为已知物联网设备类型总数λ，卷积核大小为1，步长为1。

6.如权利要求3所述的一种基于时序负载流量指纹的物联网设备识别方法，其特征在于，步骤2-3)所述的指纹融合操作的具体操作方法是：

2-3-1)将步骤2-1)得到的流量时序指纹和步骤2-2)得到的流量负载指纹按特征维度进行拼接操作得到拼接张量；以拼接张量作为输入，使用全局平均池化操作(globalaveragepooling)进行计算得到物联网设备流量指纹；

2-3-2)以物联网设备流量指纹作为输入，使用归一化指数函数，得到每个类别的置信度，取置信度值最大的类别作为本次运算对于该物联网设备流量类别的推断。

7.如权利要求4所述的一种基于时序负载流量指纹的物联网设备识别方法，其特征在于，步骤2-1-3)所述的自注意力时序特征提取操作的具体操作方法是：

2-1-3-1)以步骤2-1-2)有位置信息的嵌入编码张量作为输入使用不少于一个的并行自注意力机制，进行多头自注意力机制操作子层操作，得到多个加权后的特征矩阵；

2-1-3-2)执行全连接前馈网络操作；全连接前馈网络是由两个全连接层构成，并在两个全连接层之中引用了线性整流函数；以多个加权后特征矩阵作为输入，得到全连接前馈网络的输出张量；并将该输出张量加权后特征矩阵相加，进行残差融合，并进行层标准化，得到高维度的时序特征张量。

8.一种利用权利要求1-4任一所述方法进行的基于时序负载流量指纹的物联网设备识别系统，包括用于训练阶段的物联网设备流量采集处理模块、设备流量识别模型构建模块，以及用于分类阶段的物联网设备流量采集处理模块、物联网设备流量识别模块；其中，

物联网设备流量采集处理模块负责从输入的原始网络流量数据中，提取报文长度序列信息和报文字节序列信息，将两部分分别处理为等长序列信息；

训练阶段的设备流量识别模型构建模块，负责构建设备流量识别模型所使用的神经网络，并使用已标记的、包含有不同物联网设备流量的报文长度序列信息和报文字节序列信息集合对神经网络中的网络参数进行调整，使设备流量识别模型满足训练终止条件，以供分类阶段使用；

分类阶段的物联网设备流量识别模块负责根据训练阶段生成的设备流量识别模型，对物联网设备流量采集处理模块获取的待识别物联网设备报文长度序列信息和报文字节序列信息的物联网设备流量类别属性进行，并输出判别结果。

Images