CN114679318B - 一种高速网络中轻量级的物联网设备识别方法 - Google Patents

一种高速网络中轻量级的物联网设备识别方法 Download PDF

Info

Publication number
CN114679318B
CN114679318B CN202210302232.7A CN202210302232A CN114679318B CN 114679318 B CN114679318 B CN 114679318B CN 202210302232 A CN202210302232 A CN 202210302232A CN 114679318 B CN114679318 B CN 114679318B
Authority
CN
China
Prior art keywords
internet
things
time
flow
time granularity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210302232.7A
Other languages
English (en)
Other versions
CN114679318A (zh
Inventor
吴桦
樊星萌
程光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN202210302232.7A priority Critical patent/CN114679318B/zh
Publication of CN114679318A publication Critical patent/CN114679318A/zh
Application granted granted Critical
Publication of CN114679318B publication Critical patent/CN114679318B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Molecular Biology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Medical Informatics (AREA)

Abstract

本发明公开了一种高速网络中轻量级的物联网设备识别方法,首先采集物联网设备正常工作时的流量,进行处理,根据数据包的到达时间间隔计算出物联网设备在数据传输时的周期时长。然后,基于各物联网设备的周期时长,为每个物联网设备选择能够精准表征流量周期性的特征提取时间粒度,并将相同时间粒度的物联网设备归于一类。随后,根据不同类别的时间粒度和周期时长,对每个物联网设备类别分别进行特征提取,得到单一特征序列。最后,利用有监督的深度学习方法分别训练每个类别对应的的轻量级神经网络模型,得到针对不同特征提取时间粒度的分类模型。本发明可在合理的时间内实现对海量高速流量中物联网设备流量的识别,用于网络流量分析和网络管理。

Description

一种高速网络中轻量级的物联网设备识别方法
技术领域
本发明涉及一种高速网络中轻量级的物联网设备识别方法,属于网络安全技术领域。
背景技术
物联网(IoT)是一种通过互联网连接各种物体并提供服务的机制,能够实时采集指定对象的属性和变化信息,实现了对物品和过程的智能化感知、识别、监控和管理。如今,随着硬件与数据分析能力的共同发展、网络性能的大幅提高,物联网解决方案的发展正进行着实质性加速。然而,由于物联网覆盖行业和应用的多样,接入终端所使用协议和标准的不统一,用户安全意识的缺乏,物联网具有异构性、碎片化以及缺乏可视性的特点,面临着僵尸网络、恶意软件攻击等一系列安全威胁,给网络性能造成不良影响。
因此,互联网服务提供商(ISP)有必要在充分考虑消费者隐私的前提下,了解物联网设备的状态,提高设备的可视性,从而实现精准管理,尽早发现异常。物联网设备识别是将物联网设备产生的信息进行提取和分析、标定设备的相关属性信息的过程,是实现定制化网络管理、进行异常检测的基础。
目前,研究者们已经提出了一系列物联网设备识别方法,根据所依据特征的来源的不同,物联网设备识别方法主要分为基于协议标语的识别方法和基于流量特征的识别方法。但是这些方法仍存在一些局限性。
(1)基于协议标语的识别方法
基于协议标语的识别方法通过提取应用层协议的响应数据中的字段来获取物联网设备的属性信息进而识别设备,然而,此类方法依赖于协议响应数据中的关键字信息。此外,提取协议标语的文本特征会造成更大的存储开销和时间开销,不便于面向高速网络流量识别其中的物联网设备流量。
(2)基于流量特征的识别方法
基于流量特征的识别方法从流量的内容、模式和元数据中提取有效特征构建流量分类模型。该类方法需要预先在近百个流量特征中选择最重要的多个特征,分类准确率取决于所使用特征是否准确概括流量特征。并且,面对具有海量流量数据的高速网络,提取多个特征需要耗费大量资源。
发明内容
为解决上述问题,本发明公开了一种高速网络中轻量级的物联网设备识别方法,该方法首先采集物联网设备正常工作时的流量,对流量进行处理,根据数据包的到达时间间隔计算出物联网设备在数据传输时的周期时长。然后,基于各物联网设备的周期时长,为每个物联网设备选择能够精准表征流量周期性的特征提取时间粒度,并将相同时间粒度的物联网设备归于一类。随后,根据不同类别的时间粒度和周期时长,对每个物联网设备类别分别进行特征提取,得到单一特征序列。最后,利用有监督的深度学习方法分别训练每个类别对应的轻量级神经网络模型,得到针对不同特征提取时间粒度的分类模型。该分类模型可以用于识别高速网络中的物联网设备流量。本发明可在合理的时间内实现对海量高速流量中物联网设备流量的识别,可用于网络流量分析和网络管理。
为了实现本发明的目的,本方案具体技术步骤如下:
步骤(1)通过数据采集设备进行物联网设备流量采集;
步骤(2)对物联网设备流量进行处理,计算每个物联网设备的周期时长;
步骤(3)根据步骤(2)得到的周期时长,为每个物联网设备选择特征提取的时间粒度,并将相同时间粒度的物联网设备归为一类;
步骤(4)根据步骤(3)得到的物联网设备类别以及各个类别中物联网设备的周期时长,为每个类别设定时间窗口,基于时间粒度和时间窗口进行特征提取,得到单一特征序列;
步骤(5)使用一段公开数据集数据作为背景流量,根据步骤(4)中的时间粒度和时间窗口进行特征提取,与相同时间粒度和时间窗口的物联网设备特征序列共同构成训练集,使用有监督深度学习算法对不同训练集分别进行模型训练,得到对应分类模型;
步骤(6)分别使用步骤(4)中的不同类别的时间粒度和时间窗口,对高速网络中的流量进行特征提取,使用步骤(5)得到的各时间粒度下的分类模型对高速网络流量中的物联网设备流量进行识别。
进一步的,所述步骤(1)中,获取物联网设备流量的方法如下:
(1.1)配置流量采集环境,依次接入物联网设备,使用tcpdump采集物联网设备流量;
(1.2)流量采集时,保持物联网设备工作状态处于空闲状态或者活动状态。
进一步的,所述步骤(2)中,计算物联网设备周期时长的具体过程如下:
(2.1)对步骤(1)中获取的各物联网设备流量进行组流,获得五元组相同的单向流;使用wireshark初步观察流量的变化情况,得到粗略的活跃时间长度和空闲时间长度,设定一个略小于观察所得空闲时间长度的值作为间隔阈值Gap;
(2.2)依次读取构成单向流的数据包(源IP、源端口、目的IP、目的端口和传输层协议相同),记录当前数据包的时间戳;
(2.3)判断周期开始时间是否为0,若为0,则返回进行(2.2);若不为0,则计算当前数据包与上一个数据包时间戳的差值;
(2.4)判断差值是否大于间隔阈值Gap,若差值小于间隔阈值,则返回进行(2.2);若差值大于间隔阈值,则记录此差值为空闲时间Tidle,并计算上一个数据包时间戳与周期开始时间的差值,记录此差值为活跃时间Tactive;输出此周期的Tactive和Tidle,令周期开始时间为当前数据包的时间戳,进行(2.2),直至该流结束;
(2.5)当读取完单向流的全部数据包,计算Tactive和Tidle的平均值;将二者的平均值求和,得到该物联网设备数据传输过程中一个周期的平均时长。
进一步的,所述步骤(3)中,选择特征提取的时间粒度的具体步骤如下:
(3.1)基于步骤(2)中获取的周期时长,根据原则确定对物联网设备流量进行特征提取时的时间粒度,原则如下:时间粒度的数量级应该小于周期时长的数量级,时间粒度的长度不应小于周期时长的一千分之一,时间粒度的长度应该为10的n次方;
(3.2)将相同时间粒度的物联网设备归为同一类别。
进一步的,所述步骤(4)中,进行特征提取获得单一特征序列具体包含以下子步骤:
(4.1)对于步骤(3)中获得的不同时间粒度的物联网设备类别,根据原则确定该物联网设备类别的时间窗口,原则如下:时间窗口至少包含类别内每个物联网设备的两个周期;
(4.2)对同一个类别的物联网设备逐一进行特征提取:读取时间窗口内构成单向流的数据包,依次计算时间粒度长度内的单一流量特征,得到单一流量特征序列。
进一步的,所述步骤(5)中,训练分类模型具体包含以下子步骤:
(5.1)获取一段公开数据集数据作为训练集背景流量,使用步骤(4)的各时间粒度和时间窗口提取背景流量的单一特征序列,与相同时间粒度的物联网设备流量的单一特征序列共同构成该时间粒度下的训练集;
(5.2)对于每一个物联网设备类别,使用有监督的深度学习算法训练其对应的轻量级分类模型。
进一步的,所述步骤(6)中,高速网络中物联网设备的识别具体包含以下子步骤:
(6.1)采集高速网络中的流量;
(6.2)使用步骤(4)的各类别的时间粒度和时间窗口,分别提取高速网络流量的单一特征序列;
(6.3)将各时间粒度和时间窗口的高速网络流量特征序列作为模型的输入样本,使用步骤(5)训练得到的相同时间粒度和时间窗口的分类模型识别其中的物联网设备流量。
与现有技术相比,本发明的技术方案具有以下优点:
(1)本发明提出了一种高速网络中轻量级的物联网设备识别方法,以单向流作为分析对象,适用于非对称路由场景,并且仅提取一个流量特征,减少了特征提取过程的资源消耗,通过训练轻量级神经网络模型实现了在高速网络流量中对物联网设备流量的实时识别,具有较强的实用性。
(2)本发明提出了一种计算物联网设备周期长度的算法,该算法使周期时长精确到0.1毫秒,能够在物联网设备的空闲状态和活动状态下计算数据传输时的周期时长,具有较强的鲁棒性。
(3)本发明基于物联网设备在数据传输时周期性的差异,提出了多时间粒度的单一特征提取算法,放大了物联网设备的流量特征,精准表征物联网设备数据传输过程中的周期性,细化了特征提取的时间粒度,适应于物联网设备工作状态多样的高速网络环境。
附图说明
图1为本发明的的总体架构图;
图2为本发明的一个实例中的周期性;
图3为本发明的特征提取示意图;
图4为不同神经网络模型的分类性能。
具体实施方式
以下将结合具体实施例对本发明提供的技术方案进行详细说明,应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。
具体实施例:本发明提供的一种高速网络中轻量级的物联网设备识别方法,其总体架构如图1所示,包括如下步骤:
步骤(1)通过数据采集设备进行物联网设备流量采集;
步骤(2)对物联网设备流量进行处理,计算每个物联网设备的周期时长;
步骤(3)根据步骤(2)得到的周期时长,为每个物联网设备选择特征提取的时间粒度,并将相同时间粒度的物联网设备归为一类;
步骤(4)根据步骤(3)得到的物联网设备类别以及各个类别中物联网设备的周期时长,为每个类别设定时间窗口,基于时间粒度和时间窗口进行特征提取,得到单一特征序列;
步骤(5)使用一段公开数据集数据作为背景流量,根据步骤(4)中的时间粒度和时间窗口进行特征提取,与相同时间粒度和时间窗口的物联网设备特征序列共同构成训练集,使用有监督深度学习算法对不同训练集分别进行模型训练,得到对应分类模型;
步骤(6)分别使用步骤(4)中的不同类别的时间粒度和时间窗口,对高速网络中的流量进行特征提取,使用步骤(5)得到的各时间粒度下的分类模型对高速网络流量中的物联网设备流量进行识别。
本发明的一个实施例中,步骤(1)中,采集物联网设备流量的具体步骤如下:
(1.1)构建由国内电商平台销量最高的9款品牌的无线监控摄像头和3款品牌的智能音箱构成的物联网环境,步骤如下:使用安装OpenWrt固件的软路由充当网关,其Wan接口连接校园网,Lan口连接到PC、TP-LINK路由器;物联网设备连接到TP-LINK路由器,通过安装在手机上的设备制造商推荐的APP进行配置;使用运行在OpenWrt上的tcpdump来捕获流量。
(1.2)对每个物联网设备进行采集时,保持其工作状态不变,工作状态包括空闲状态和活动状态,采集时长尽可能长。
本发明的一个实施例中,步骤(2)中,计算物联网设备周期时长的具体步骤如下:
(2.1)所附图2展示了一个所选物联网设备的周期性流量模式;对步骤(1)中获取的各物联网设备流量进行组流,获得五元组相同的单向流;使用wireshark初步观察流量的变化情况,得到粗略的活跃时间长度和空闲时间长度,设定一个略小于观察所得空闲时间长度的值作为间隔阈值Gap;
(2.2)依次读取构成单向流的数据包(源IP、源端口、目的IP、目的端口和传输层协议相同),记录当前数据包的时间戳;
(2.3)判断周期开始时间是否为0,若为0,则返回进行(2.2);若不为0,则计算当前数据包与上一个数据包时间戳的差值;
(2.4)判断差值是否大于间隔阈值Gap,若差值小于间隔阈值,则返回进行(2.2);若差值大于间隔阈值,则记录此差值为空闲时间Tidle,并计算上一个数据包时间戳与周期开始时间的差值,记录此差值为活跃时间Tactive;输出此周期的Tactive和Tidle,令周期开始时间为当前数据包的时间戳,进行(2.2),直至该流结束;
(2.5)当读取完单向流的全部数据包,计算Tactive和Tidle的平均值;将二者的平均值求和,得到该物联网设备数据传输过程中一个周期的平均时长。表1总结了所选物联网设备的周期时长。
表1物联网设备及周期时长
物联网设备品牌及型号 周期时长(秒)
小度智能音箱大金刚 0.0284
天猫精灵IN糖智能音箱 0.0402
大华乐橙TP2监控摄像头 0.0455
360智能摄像机云台7C 0.0462
小米AI音箱第二代 0.0501
小蚁智能摄像机Y4 0.6464
小白监控摄像头Y2 2.8955
小米智能摄像机云台2K 3.0006
霸天安家用云台摄像头 4.0527
TP-LINK IPC44AW 4.1992
萤石C6CN 4.9983
华为智选海雀智能摄像头HQ8 6.7398
本发明的一个实施例中,步骤(3)中,选择特征提取的时间粒度的具体步骤如下:
(3.1)基于步骤(2)中获取的周期时长,根据原则确定对物联网设备流量进行特征提取时的时间粒度,原则如下:为了能够精准表征周期性,时间粒度的数量级应该小于周期时长的数量级;为了不造成计算资源不必要消耗,时间粒度的长度不应小于周期时长的一千分之一;为了便于计算和缩放流量模式,时间粒度的长度应该为10的n次方。基于以上原则,可选择的特征提取的时间粒度为1毫秒、10毫秒、100毫秒、1秒、10秒、100秒。
(3.2)将相同时间粒度的物联网设备归为同一类别,本实例中所有物联网设备均选择10毫秒作为特征提取的时间粒度,设为类别1。
本发明的一个实施例中,步骤(4)中,进行特征提取获得单一特征序列,具体包括如下过程:
(4.1)对于步骤(3)中获得的类别1,根据原则确定该物联网设备类别的时间窗口,原则如下:为了使分类模型充分学习到物联网设备类别内全部设备的周期性,时间窗口至少包含类别内每个物联网设备的两个周期;本实例中的类别1选择10秒为特征提取的时间窗口。
(4.2)本实例中,对类别1的12台物联网设备逐一进行特征提取:读取10秒时间窗口内构成单向流的数据包,依次计算10毫秒时间粒度长度内的单一流量特征,得到由1000个单一流量特征组成的序列。所附图3展示了本发明特征提取的示意图。
本发明的一个实施例中,所选取的单一特征为速率,通过计算流量的空间特征在时间上的变化来表征流量的周期性模式。速率采用以下公式进行计算:
其中,r为速率,ΔB为时间粒度内物联网设备所发送或接收的字节数,Δt为时间粒度。
本发明的一个实施例中,步骤(5)中,训练分类模型,具体包括如下过程:
(5.1)获取MAWI工作组于2020年6月3日收集的公开数据集,此公开数据集包含了在高速网络上持续收集900秒得到的70,856,552个数据包,设为数据A。使用步骤(4)的10毫秒的时间粒度和10秒的时间窗口提取数据A的单一特征序列,与类别1中的全部物联网设备流量的单一特征序列共同构成10毫秒时间粒度下的训练集。该训练集共包含129,901条训练样本。
(5.2)对于本实例中的类别1,使用有监督的深度学习算法训练其对应的分类模型。本实例使用一维卷积神经网络(1D CNN)和长短期记忆网络(LSTM)构建分类模型。表2总结了本实例中所构建的轻量级神经网络模型的结构。
表2神经网络结构
本发明的一个实施例中,步骤(6)中,高速网络中物联网设备的识别,具体包括如下过程:
(6.1)本实例中,获取另外一段在高速网络上持续采集的MAWI公开数据集流量,该流量捕获于2020年6月10日,持续时间为900秒,设为数据B;分别采集类别1中全部物联网设备600秒的流量,工作状态与训练集中的工作状态保持一致,与数据B混合得到数据C;使用类别1的10毫秒的时间粒度和10秒的时间窗口提取数据C的单一特征序列,得到77,871条测试样本。
(6.2)使用步骤(5)中训练的分类模型对样本中的物联网设备进行识别。图4展示了步骤(5)中三个神经网络模型的分类准确率。
本发明的一个实施例中,通过实验分析在高速网络流量中识别物联网设备所需要的时间,以证明本发明具有较强的实用性。本发明实现在高速网络流量中识别物联网设备流量所需要的时间包括特征提取时间和模型测试时间。对于本实施例中的数据A,特征提取阶段仅消耗140,783毫秒,得到87,792条训练样本。表3展示了三个神经网络模型的时间消耗。对于本实施例中的数据C,1D CNN模型完成识别仅消耗9.71秒。综上,对于在带宽为10Gbps的真实高速网络中的900秒数据,本发明最少仅需要150.493秒即可完成对物联网识别流量的识别,证明了本发明能够用于高速网络流量的实时分类。
表3神经网络模型的时间消耗
神经网络模型 训练一个epoch的时间(秒) 总测试时间(秒)
1D CNN 45.814 9.71
LSTM 168.727 32.83
CNN-LSTM 110.115 16.29
本发明方案所公开的技术手段不仅限于上述实施方式所公开的技术手段,还包括由以上技术特征任意组合所组成的技术方案。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (4)

1.一种高速网络中轻量级的物联网设备识别方法,其特征在于,该方法包括以下步骤:
步骤(1)通过数据采集设备进行物联网设备流量采集;
步骤(2)对物联网设备流量进行处理,计算每个物联网设备的周期时长;
步骤(3)根据步骤(2)得到的周期时长,为每个物联网设备选择特征提取的时间粒度,并将相同时间粒度的物联网设备归为一类;
步骤(4)根据步骤(3)得到的物联网设备类别以及各个类别中物联网设备的周期时长,为每个类别设定时间窗口,基于时间粒度和时间窗口进行特征提取,得到单一特征序列;
步骤(5)使用一段公开数据集数据作为背景流量,根据步骤(4)中的时间粒度和时间窗口进行特征提取,与相同时间粒度和时间窗口的物联网设备特征序列共同构成训练集,使用有监督深度学习算法对不同训练集分别进行模型训练,得到对应分类模型;
步骤(6)分别使用步骤(4)中的不同类别的时间粒度和时间窗口,对高速网络中的流量进行特征提取,使用步骤(5)得到的各时间粒度下的分类模型对高速网络流量中的物联网设备流量进行识别,
其中,所述步骤(1)中,获取物联网设备流量的方法如下:
(1.1)配置流量采集环境,依次接入物联网设备,使用tcpdump采集物联网设备流量;
(1.2)流量采集时,保持物联网设备工作状态处于空闲状态或者活动状态,
其中,所述步骤(2)中,计算物联网设备周期时长的具体过程如下:
(2.1)对步骤(1)中获取的各物联网设备流量进行组流,获得五元组相同的单向流;使用wireshark初步观察流量的变化情况,得到粗略的活跃时间长度和空闲时间长度,设定一个略小于观察所得空闲时间长度的值作为间隔阈值Gap;
(2.2)依次读取构成单向流的数据包,记录当前数据包的时间戳;
(2.3)判断周期开始时间是否为0,若为0,则进行(2.2);若不为0,则计算当前数据包与上一个数据包时间戳的差值;
(2.4)判断差值是否大于间隔阈值Gap,若差值小于间隔阈值,则进行(2.2);若差值大于间隔阈值,则记录此差值为空闲时间Tidle,并计算上一个数据包时间戳与周期开始时间的差值,记录此差值为活跃时间Tactive;输出此周期的Tactive和Tidle,令周期开始时间为当前数据包的时间戳,进行(2.2),直至(2.2)中的单向流结束;
(2.5)当读取完单向流的全部数据包,计算Tactive和Tidle的平均值;将二者的平均值求和,得到该物联网设备数据传输过程中一个周期的平均时长;
所述步骤(3)中,选择特征提取的时间粒度的具体步骤如下:
(3.1)基于步骤(2)中获取的周期时长,根据原则确定对物联网设备流量进行特征提取时的时间粒度,原则如下:时间粒度的数量级小于周期时长的数量级,时间粒度的长度不小于周期时长的一千分之一,时间粒度的长度为10的n次方;
(3.2)将相同时间粒度的物联网设备归为同一类别。
2.根据权利要求1所述的一种高速网络中轻量级的物联网设备识别方法,其特征在于,所述步骤(4)中,进行特征提取获得单一特征序列具体包含以下子步骤:
(4.1)对于步骤(3)中获得的不同时间粒度的物联网设备类别,根据原则确定该物联网设备类别的时间窗口,原则如下:时间窗口至少包含类别内每个物联网设备的两个周期;
(4.2)对同一个类别的物联网设备逐一进行特征提取:读取时间窗口内构成单向流的数据包,依次计算时间粒度长度内的单一流量特征,得到单一流量特征序列。
3.根据权利要求1所述的一种高速网络中轻量级的物联网设备识别方法,其特征在于,所述步骤(5)中,训练分类模型具体包含以下子步骤:
(5.1)获取一段公开数据集数据作为训练集背景流量,使用步骤(4)的各时间粒度和时间窗口提取背景流量的单一特征序列,与相同时间粒度的物联网设备流量的单一特征序列共同构成该时间粒度下的训练集;
(5.2)对于每一个物联网设备类别,使用有监督的深度学习算法训练其对应的轻量级分类模型。
4.根据权利要求1所述的一种高速网络中轻量级的物联网设备识别方法,其特征在于,所述步骤(6)中,高速网络中物联网设备的识别具体包含以下子步骤:
(6.1)采集高速网络中的流量;
(6.2)使用步骤(4)的各类别的时间粒度和时间窗口,分别提取高速网络流量的单一特征序列;
(6.3)将各时间粒度和时间窗口的高速网络流量特征序列作为模型的输入样本,使用步骤(5)训练得到的相同时间粒度和时间窗口的分类模型识别其中的物联网设备流量。
CN202210302232.7A 2022-03-25 2022-03-25 一种高速网络中轻量级的物联网设备识别方法 Active CN114679318B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210302232.7A CN114679318B (zh) 2022-03-25 2022-03-25 一种高速网络中轻量级的物联网设备识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210302232.7A CN114679318B (zh) 2022-03-25 2022-03-25 一种高速网络中轻量级的物联网设备识别方法

Publications (2)

Publication Number Publication Date
CN114679318A CN114679318A (zh) 2022-06-28
CN114679318B true CN114679318B (zh) 2024-04-23

Family

ID=82075953

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210302232.7A Active CN114679318B (zh) 2022-03-25 2022-03-25 一种高速网络中轻量级的物联网设备识别方法

Country Status (1)

Country Link
CN (1) CN114679318B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116545927B (zh) * 2023-05-04 2024-02-06 北京中科通量科技有限公司 一种窄带宽网络下物联网设备的流量控制方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110380989A (zh) * 2019-07-26 2019-10-25 东南大学 网络流量指纹特征二阶段多分类的物联网设备识别方法
CN112769623A (zh) * 2021-01-19 2021-05-07 河北大学 边缘环境下的物联网设备识别方法
CN113313156A (zh) * 2021-05-21 2021-08-27 北京工业大学 一种基于时序负载流量指纹的物联网设备识别方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020118376A1 (en) * 2018-12-14 2020-06-18 Newsouth Innovations Pty Limited A network device classification apparatus and process

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110380989A (zh) * 2019-07-26 2019-10-25 东南大学 网络流量指纹特征二阶段多分类的物联网设备识别方法
CN112769623A (zh) * 2021-01-19 2021-05-07 河北大学 边缘环境下的物联网设备识别方法
CN113313156A (zh) * 2021-05-21 2021-08-27 北京工业大学 一种基于时序负载流量指纹的物联网设备识别方法及系统

Also Published As

Publication number Publication date
CN114679318A (zh) 2022-06-28

Similar Documents

Publication Publication Date Title
Bai et al. Automatic device classification from network traffic streams of internet of things
Fu et al. Service usage classification with encrypted internet traffic in mobile messaging apps
CN106921637A (zh) 网络流量中的应用信息的识别方法和装置
CN109873726B (zh) Sdn中基于深度学习的鲁棒服务质量预测与保障方法
Shen et al. Webpage fingerprinting using only packet length information
CN111385297A (zh) 无线设备指纹识别方法、系统、设备及可读存储介质
CN109861957A (zh) 一种移动应用私有加密协议的用户行为精细化分类方法及系统
CN110048962A (zh) 一种网络流量分类的方法、系统及设备
CN113382039B (zh) 一种基于5g移动网络流量分析的应用识别方法和系统
CN112953961B (zh) 配电房物联网中设备类型识别方法
CN113283498A (zh) 一种面向高速网络的vpn流量快速识别方法
CN114679318B (zh) 一种高速网络中轻量级的物联网设备识别方法
Li et al. Activetracker: Uncovering the trajectory of app activities over encrypted internet traffic streams
Liu et al. Dynamic traffic classification algorithm and simulation of energy Internet of things based on machine learning
Fan et al. AutoIoT: Automatically updated IoT device identification with semi-supervised learning
Wan et al. DevTag: A benchmark for fingerprinting IoT devices
Redondi et al. Passive classification of Wi-Fi enabled devices
CN114125806A (zh) 基于无线网络流量的云存储模式的无线摄像头检测方法
CN111310796B (zh) 一种面向加密网络流的Web用户点击识别方法
Hu et al. Deep semantics inspection over big network data at wire speed
Cui et al. Semi-2DCAE: a semi-supervision 2D-CNN AutoEncoder model for feature representation and classification of encrypted traffic
CN116723313A (zh) 基于机器学习评测quic视频体验质量的方法、系统及介质
CN109429296B (zh) 用于终端与上网信息关联的方法、装置及存储介质
CN115174961B (zh) 一种面向高速网络的多平台视频流量早期识别方法
CN116074056A (zh) 智能物联终端操作系统和应用软件的精准识别方法和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant