CN114221992A

CN114221992A - 一种基于跨层指纹的细粒度设备识别方法

Info

Publication number: CN114221992A
Application number: CN202111341216.0A
Authority: CN
Inventors: 周自强; 吴明锋; 杨姝; 柴雯; 王少博
Original assignee: State Grid Electric Power Research Institute Of Sepc
Current assignee: State Grid Electric Power Research Institute Of Sepc
Priority date: 2021-11-12
Filing date: 2021-11-12
Publication date: 2022-03-22

Abstract

本发明属于设备指纹识别技术领域，涉及一种基于跨层指纹的细粒度设备识别方法；具体包含以下步骤：S1：网关与待测设备建立连接，获取所述待测设备的传输数据和断开连接时的通信报文；S2：选取步骤S1中的特定通信报文，对其内容进行预处理生成字符矩阵；S3：采用卷积神经网络，提取所述字符矩阵中的内容特征，生成特征矢量V_i；S4：通过LSTM编码特征矢量V_i，编码后的输出结果h_i作为设备指纹；S5：使用SoftMax函数实现设备指纹分类并完成识别。

Description

一种基于跨层指纹的细粒度设备识别方法

技术领域

本发明属于设备指纹识别技术领域，涉及网络协议响应报文内容与数据包分析方法，尤其涉及一种基于跨层指纹的细粒度设备识别方法。

背景技术

目前常见的实现设备识别的方法主要基于应用层协议标识，应用层协议标识中包含大量设备描述信息，然而在实际运用过程中，由于网络环境的复杂性以及网络波动，可能会造成描述信息的丢失，从而降低设备识别粒度和准确率。Miettinen等人提出了物联网设备哨兵(IoT SENTINEL)这一概念，它通过捕获设备在加入网络的过程中，发送的数据报文包含特定的设备或者供应商的特征，将这些特征作为设备指纹用于设备识别，需要使用16种协议内容但识别粒度仅达到设备类型(M.Miettinen,S.Marchal,I.Hafeez,N.Asokan,A.-R.Sadeghi,and S.Tarkoma,“Iot sentinel:Automated device-type identificationfor security enforcement in iot”)。Antoio等人提出了一种使用设备流量数据报文内包的长度进行设备识别的方法，该方法利用包的平均长度、标准偏差和设备窗口在一秒内传输的字节数作为识别特征，虽然仅使用三种流量属性，在识别过程中产生的网络流量负荷较小，但其前提是待识别的物联网设备产生的流量必须具有用于描述数据源特征的包长度模式(Antoio J.Pinheiro,Jeandro de M.BezerraCaio A.P.Burgardt,DivanilsonR.Campelo Identifying IoT devices and events based on packet length fromencrypted traffic)。Brik等人针对位于数据链路层中的MAC层特征相对容易提取且不需要专门的硬件这一优点，且由于不同厂商对MAC层标准中未指定的细节实现不同，导致不同设备可能有不同的特征，使用这些特征生成无线设备的指纹信息(V.Brik,S.Banerjee,M.Gruteser,and S.Oh,“Wireless device identif-ication with radiometricsignatures”)。在主动设备识别技术中，Nmap在识别起始阶段向待测设备发送20组报文，然后根据返回的数据报文中Win、TTL等字段的特征来完成识别功能，由于需要发送大量请求报文，占用了网络资源，在一定概率上会被设备误认为是网络攻击而拒绝响应。上述实现的设备识别方法中，一些方法需要使用多种协议内容作为设备识别特征，发送的大量探测报文占用大量网络资源，易造成网络拥挤。而另一些方法只利用单一协议，虽然识别准确率较高，但由于该种协议的使用率较低，导致设备识别的召回率较低，也即仅能够识别出少量支持该协议的设备类型，厂商以及型号。

发明内容

本发明克服了现有技术需要发送大量探测报文而被设备拒绝响应，不适用于包含大量设备的网络中，识别粒度不能满足需求，识别准确率较低等问题，提出了一种基于跨层指纹的细粒度设备识别方法。

为了解决上述技术问题，本发明采用的技术方案为：一种基于跨层指纹的细粒度设备识别方法，具体包含以下步骤：

S1：网关与待测设备建立连接，获取所述待测设备的传输数据和断开连接时的通信报文；

S2：选取步骤S1中的特定通信报文，对其内容进行预处理生成字符矩阵；

S3：采用卷积神经网络，提取所述字符矩阵中的内容特征，生成特征矢量V_i；

S4：通过LSTM编码特征矢量V_i，编码后的输出结果h_i作为设备指纹；

S5：使用SoftMax函数实现设备指纹分类并完成识别。

所述步骤S1，具体包含以下步骤：

S101：网关与待测设备主动建立连接，收到返回的TCP报文；

S102：网关发送HTTP的Get请求，所述待测设备收到该请求后，向网关返回带数据的TCP响应报文和HTTP响应报文；

所述TCP响应报文和HTTP响应报文包括K+4个响应数据包，所述K+4个响应数据包构成所述特定通信报文。

所述步骤S2对特定通信报文进行预处理时，具体包含以下步骤：

S201：针对TCP响应报文提取TCP分段大小和窗口字段对应的内容，求得两者的平均值；

S202：针对HTTP响应报文中提取Web服务器版本信息、响应长度、响应类型、响应缓存控制字段对应的内容；

S203：针对设备通信报文提取多个数据包；

S204：针对步骤201-S203所取得的数据信息，根据二进制表示嵌入八维向量中，生成字符矩阵。

所述步骤S3通过卷积神经网络提取字符矩阵的内容特征，所采用的特征提取器为：卷积层1-池化层-卷积层2-池化层-卷积层3-池化层-卷积层4-全连接层-全连接层。

所述步骤S3，具体包含以下步骤：

S301：针对各层网络进行线性运算，将各卷积层的输出使用渗漏整流线性单元(LReLU)进行激活；

S302：针对卷积层4输出的最终结果进行平坦化处理，以50％概率的Dropout来避免过拟合；

S303：将各卷积层和池化层提取的特征输入至全连接层，生成特征矢量V_i。

所述步骤S5具体包含以下步骤：

S501：将步骤S4中的输出结果h_i输入至全连接层c进行转化，后将转化后的结果传输至SoftMax函数中得到P_i，完成设备识别过程，P_i的计算方法：

其中，P_i为设备类型概率。

本发明与现有技术相比具有的有益效果是：

1、本发明相比传统基于单一协议的设备识别方法，识别准确率更高，识别粒度更细，具有更强的稳定性；

2、本发明通过向待测设备发送请求报文，在只占用少量网络带宽的情况下，获取设备的HTTP和TCP响应报文，并结合机器学习方法，提取数据特征生成设备指纹，节省了网络资源且提高了识别效率；

3、本发明使用卷积神经网络提取数据特征，将特征矢量输入至LSTM中进行编码，最后利用SoftMax函数实现设备分类，相较于其他机器学习分类模型，本发明的模型训练时间更短，模型时间开销更少，进一步提高了设备识别效率。

附图说明

下面结合附图对本发明做进一步的说明。

图1为本发明的部署示意图；

图2为本发明数据获取规则图；

图3为本发明特征提取器模型图；

图4为本发明设备识别模型。

具体实施方式

如图所示，一种基于跨层指纹的细粒度设备识别方法，具体包含以下步骤：

S101：网关与待测设备主动建立连接，在建立连接的三次握手中收到待测设备返回的TCP报文；

优选的，如图2所示，所述特定通信报文(K+4个数据包)包括：1、在TCP三次握手阶段带有SYN+ACK标志的TCP数据包；2、K个用于传输数据的TCP响应数据包(K仅保留最后一个数据，因此K为1个数据包)；3、HTTP响应数据包；4、带有ACK标志的TCP数据包；5、带有FIN标志的TCP程序包。

S2：选取步骤S1中的特定通信报文(K+4个响应数据包)，对其内容进行预处理生成字符矩阵；

S202：针对HTTP响应报文中提取Web服务器版本信息、响应长度、响应类型、响应缓存控制字段对应的内容，提取出获取的响应报文信息，去除该报文内容中时间、状态码等无用信息；

S203：针对设备通信报文提取多个数据包，多个所述数据包为上述所提到的K+4个数据包，附图2中体现K+4个数据包；

优选的，所述步骤S3通过卷积神经网络提取字符矩阵的内容特征，所采用的特征提取器为：卷积层1-池化层-卷积层2-池化层-卷积层3-池化层-卷积层4-全连接层-全连接层；4个卷积层用于提取输入数据的深层次特征，池化层的作用是降低卷积层输出数据体的尺寸大小，在卷积层之间加入池化层可以达到减少计算量的目的。

优选的，如图3所示为特征提取器模型图，其中4层卷积层分别由256、128、128、256个尺寸大小为3×3的卷积核完成卷积运算，步长为1，池化层窗口大小为2×2并选择最大池化层，步长为1，每层全连接层都包含256个神经元；每一台设备的响应报文都有一个特征矢量与之对应。

S4：通过LSTM编码特征矢量V_i，编码后的输出结果h_i作为设备指纹；编码过程中，通过调整遗忘门来减弱一些对于设备识别作用不大的特征的影响，使用记忆门留下新的与识别过程关联性较强的信息；

LSTM相较于一般循环神经网络很好的解决了梯度消失的问题，通过遗忘门、输入门、输出门结构删除了无用信息，门结构的取值范围为[0，1]，当取值为0时表示删除信息，当取值为1时表示保留信息，能够更好的分析输入信息的整体特征，从而实现细粒度的设备识别。优选的，LSTM是一种特殊的循环神经网络，计算过程如下：

f_t＝σ(W_f·[h_t-1，x_t]+b_f) (1-1)

i_t＝σ(W_i·[h_t-1，x_t]+b_i) (1-2)

O_t＝σ(w_o[h_t-1，x_t]+b_o (1-5)

h_t＝o_t*tanh(C_t) (1-6)

其中，f表示忘记门、i表示输入、c表示细胞状态、

表示即时细胞状态、o表示输出、h表示隐层状态、tanh表示激活函数、σ表示激活函数sigmoid、t表示时刻、W_f表示忘记门权重、W_i表示输入门权重、W_c表示单元状态权重、W表示输出门权重、X表示当前的输入、b表示偏执值。

上述(1-1)式：在遗忘门中使用W_f来减弱一些与设备识别关联较弱特征的影响力；

(1-2)式：对于一些与设备识别关联性较强的特征，通过记忆门将其作为需要记忆的特征；

(1-3)式：使用tanh得到新的备选信息；

(1-4)式：信息更新过程；

(1-5)式：使用sigmoid函数决定将哪些部分输出；

(1-6)式:隐层的输出，也为最终输出结果。

h_t为t时刻隐层的输出、对于每一台设备的特征矢量v_i、在经过LSTM编码后都生成一个设备指纹h_i与之对应。

S5：使用SoftMax函数实现设备指纹分类并完成识别；

其中，P_i为设备类型概率。

上述实施方式仅示例性说明本发明的原理及其效果，而非用于限制本发明。对于熟悉此技术的人皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改进。因此，凡举所述技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。