CN114880587A - 一种物联网设备的端口扫描路径推荐方法 - Google Patents

一种物联网设备的端口扫描路径推荐方法 Download PDF

Info

Publication number
CN114880587A
CN114880587A CN202210660719.2A CN202210660719A CN114880587A CN 114880587 A CN114880587 A CN 114880587A CN 202210660719 A CN202210660719 A CN 202210660719A CN 114880587 A CN114880587 A CN 114880587A
Authority
CN
China
Prior art keywords
port
scanning
internet
things equipment
syn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210660719.2A
Other languages
English (en)
Inventor
傅仕琛
张坤三
黄柳苹
卓俊彦
傅昱
胡志杰
赖宝鹏
傅炜婷
何智杰
陈铮
姚历毅
李晓勇
方世烟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Fujian Electric Power Co Ltd
Zhangzhou Power Supply Co of State Grid Fujian Electric Power Co Ltd
Original Assignee
State Grid Fujian Electric Power Co Ltd
Zhangzhou Power Supply Co of State Grid Fujian Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Fujian Electric Power Co Ltd, Zhangzhou Power Supply Co of State Grid Fujian Electric Power Co Ltd filed Critical State Grid Fujian Electric Power Co Ltd
Priority to CN202210660719.2A priority Critical patent/CN114880587A/zh
Publication of CN114880587A publication Critical patent/CN114880587A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9536Search customisation based on social or collaborative filtering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Artificial Intelligence (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及一种物联网设备的端口扫描路径推荐方法。该方法方法使用基于随机森林的物联网设备识别方法识别网络空间中的物联网设备,确定是物联网设备之后,使用基于协同过滤的端口扫描路径推荐算法,匹配数据库中最相似的设备,使其为待扫描设备提供扫描路径,同时每一次探测都更新路径。本发明可以减少对物联网设备的扫描次数,降低对其的损害,同时可以准确的识别出开放端口。

Description

一种物联网设备的端口扫描路径推荐方法
技术领域
本发明涉及一种物联网设备的端口扫描路径推荐方法。
背景技术
随着互联网技术的不断发展,物联网设备接入到互联网的门槛越来越低,并且由于物联网设备带来的便利性,越来越多用户将家用设备接入到互联网,由于物联网设备数量众多,所有需要对物联网设备进行网络安全检测,端口扫描技术是网络空间安全的基础技术,如Lyon等研究员提出了Nmap扫描工具,Nmap作为一款开源并一直更新迭代的网络设备扫描工具,不仅支持探测存活主机以及开放端口,同时支持针对设备操作系统、端口开放服务等相关信息的识别以及漏洞检测。Zakir等研究员为了更快的收集全网设备数据设计了Zmap扫描器,Zmap支持TCP SYN、UDP、ICMPecho等多种端口扫描方式,旨在对IPV4地址空间进行全面扫描。Zakir等人提出的半连接的扫描方案,以及通过地址分片算法使地址随机化使得Zmap可以在5分钟内完成对IPV4所有公开网段的完整扫描。
物联网设备是一种体积小、算力小的设备,目前已有的技术如Nmap、Zmap,都是对设备进行全端口、大量请求的扫描技术,这种扫描方式是对物联网设备有所损害的,所以需要一种新的扫描方案,降低每个设备扫描的次数,减少对物联网设备的损害。
发明内容
本发明的目的在于提供一种物联网设备的端口扫描路径推荐方法,该方法可以减少对物联网设备的扫描次数,降低对其的损害,同时可以准确的识别出开放端口。
为实现上述目的,本发明的技术方案是:一种物联网设备的端口扫描路径推荐方法,使用基于随机森林的物联网设备识别方法识别网络空间中的物联网设备,确定是物联网设备之后,使用基于协同过滤的端口扫描路径推荐算法,匹配数据库中最相似的设备,使其为待扫描设备提供扫描路径,同时每一次探测都更新路径。
相较于现有技术,本发明具有以下有益效果:
1.本发明基于随机森林的物联网设备识别方法,使用16个探测包收集数据特征,并且利用Gini指数筛选特征,最终识别出物联网设备。
2.本发明基于协同过滤的端口扫描路径推荐算法,利用基于用户的协同过滤去数据库中匹配最合适的IP,选择这个IP推荐的端口作为下一个扫描端口。
附图说明
图1为本发明方法流程图。
具体实施方式
下面结合附图,对本发明的技术方案进行具体说明。
本发明一种物联网设备的端口扫描路径推荐方法,使用基于随机森林的物联网设备识别方法识别网络空间中的物联网设备,确定是物联网设备之后,使用基于协同过滤的端口扫描路径推荐算法,匹配数据库中最相似的设备,使其为待扫描设备提供扫描路径,同时每一次探测都更新路径;本发明方法流程如图1所示。
1、基于随机森林的物联网设备识别方法
本方法的详细步骤如下:
步骤一:确定目标设备,向目标设备使用分布式TCP SYN扫描,如果返回SYN+ACK数据包,代表此端口开放,如果返回RST数据包,代表此端口关闭,如果1s内未收到返回,则认为此端口被防火墙过滤,直到确定至少一个开放端口和一个关闭端口。
步骤二:使用Nmap的操作系统识别模块向开放端口和关闭端口共发送16个探测包,等待响应。
步骤三:保存响应数据包的字段值,若字段值为字符串,则使用哈希散列变换成数值型,并使用Nmap计算操作系统识别的特征GCD、ISR、SP、TI、CI、II、SS、TS等,使用上诉的所有特征构建特征空间,若此设备是物联网设备,则标记为1,否则为0。
步骤四:收集多个设备的数据,形成数据集。
步骤五:利用随机森林算法,构建二分随机森林模型,本文使用如下的Gini指数作为分叉的依据,Gini指数是一种表示数据不纯度的算法,Gini指数越低越好,常在CART随机森林中划分子集使用,由于收集了很多特征,存在很大的冗余,所以我们利用Gini指数实现特征选择。
Figure BDA0003687963020000021
步骤六:选择前100个Gini指数最低的特征,使用这些特征重新训练二分随机森林模型,利用这个模式识别网络空间中的物联网设备。
2、基于协同过滤的端口扫描路径推荐算法
本算法过程描述:首先向目标主机的目标端口发送4个探测包,根据响应信息收集标语信息和构建特征空间,利用基于用户的协同过滤去数据库中匹配最合适的IP,选择这个IP推荐的端口作为下一个扫描端口。
(1)构建特征空间
我们向目标主机的目标端口发送4个探测包,分别是SYN扫描包、FIN扫描包、ACK扫描包和Xmas-Tree扫描包,收集这4个数据包的响应信息,提取每个响应数据包的字段,构建如下特征空间:
SYN(SYN+ACK,RST,NULL)
对于SYN扫描,目标主机通常会有三种情况,第一种返回SYN+ACK代表端口开放,则SYN+ACK为1其他全为0,第二种返回RST代表端口关闭,则RST为1其他全为0,还有一种是1s内不返回响应数据包,则NULL为1其他全为0.
FIN(NULL,RST,TYPE,CODE)
对于FIN扫描,与SYN扫描相似,但是对于不返回响应信息时,目标主机通常会返回一个ICMP数据包,TYPE为ICMP的类型字段,CODE为代码字段,这两个字段存储的是值,不再是0或1。
ACK(NULL,RST,TTL,WINDOW,TYPE,CODE)
ACK扫描,与上诉的SYN和FIN相似,但是增加了WINDOW字段,因为ACK扫描通常会根据WINDOW字段的值判断目标端口的开放情况,所以我们保留WINDOW的值。
Xmas-Tree(NULL,RST,TYPE,CODE)
Xmas-Tree扫描同上。
我们将4种扫描构建的特征空间合并成一个特征空间<open,SYN,FIN,ACK,Xmas-Tree>,同时我们将这个特征空间进行整合,将整合后的数据命名为Ff,接着收集响应包中的标语信息,存储格式为[<port1:banner>,<port2:banner>,....],将其命名为Fb,使用命名实体识别NER从标语信息中提取厂商、品牌和型号即<manu,bra,mod>.
同时引入了地址addr和信誉因子rep,最终全部数据在数据库中存储格式如下:
[index,1Ff,2Ff,…,65535Ff,Fb,manu,bra,mod,addr,rep]
其中的1,2,....,65535表示端口号。
(2)相似度计算
将需要探测的IP命名为X,在数据库中需要与其匹配的IP命名为Y。
第一步,计算两个IP在已知开放端口数量上的相似度,其中选取X已经探测的端口,而数据库中的Y则选取与X相同的端口,公式如下:
Figure BDA0003687963020000031
其中P表示的是端口的集合,分式的上部分计算的是X与Y共同开放的端口数量,分式下部分是统计了已知的X的探测过的全部端口数量。
第二步,计算两个IP在字段特征空间Ff上的相似度,公式如下:
Figure BDA0003687963020000041
Figure BDA0003687963020000042
Figure BDA0003687963020000043
其中,K表示X探测过的全部端口,
Figure BDA0003687963020000044
是指示函数,表示,如果这个端口X和Y都开放了,那么这个值为1,如果全部关闭了,那么这个值为0.1,如果一个开放一个关闭,那么为0,这么做的目的是提高对全部开放这种情况的关注度,因为往往全部开放这种情况所包含的信息更准确,而全部关闭则包含少部分信息,如果出现X和Y不一样,那么这个是没有意义的,
Figure BDA0003687963020000045
计算的是两个字段特征空间的余弦相似度,它可以反应两个特征空间的相似程度,取值在[0,1]之间,将全部端口计算余弦相似度,最后取平均,就是两个IP在字段特征空间Ff上的相似度。
第三步,计算两个IP在标语信息上Fb的相似度,公式如下:
Figure BDA0003687963020000046
Figure BDA0003687963020000047
Figure BDA0003687963020000048
其中,N是表示X中标语信息Fb的数量,通过指示函数I2匹配到同样此端口有标语信息的Y,然后计算两个标语信息的编辑距离,让编辑距离除最大长度,使其分布在[0,1]之间,由于编辑距离越小代表越相似,而我们认为大的值更相似,所以让1减去这个值,最终,计算每个端口的编辑距离,取平均,就是两个IP在标语信息上Fb的相似度。
第四步,将上诉的三个相似度按权重相加,得到最终X和Y的相似度。
Figure BDA0003687963020000049
Cn、Cf、Cl表示权重,三个相似度都在[0,1]之间,使三个权重相加为1,保证最终的相似度也在[0,1]之间,我们Cn、Cf、Cl取相同的权重1/3,认为三个的权重相同。
(3)习惯因子计算
在匹配过程中我们引入了习惯因子,认为两个IP的距离越近则它们的习惯越相似,因为距离越近地域的城市包含的厂商种类很大概率是重合的,而人们购买的设备也会具有很大概率的重合性,我们使用阿里云IP地理位置库获取这个IP的地址,然后使用百度地图计算两个地址的直线距离。
Figure BDA0003687963020000051
addr()是获得IP位置的函数,dist()是计算两个位置距离的函数,将两个距离除以最大距离,使其分布在[0,1]之间,但是往往越小代表越近,这不利于计算,我们使用1减去这个值,这样习惯因子越大,代表两个IP越接近,习惯也越相似。
(4)信誉因子计算
随着数据库中设备数量的增加,相同种类设备也会增加,但是物联网设备的端口是可以用户自定义的,这就导致相同设备具有不同的开放端口,所以我们需要选出一个通用性最强的同种类设备的开放端口作为首选,这种通用性最强往往就是出厂默认的开放端口情况,因为大多数人是不习惯修改端口的,所以我们所引入的信誉因子也可以说成是一种评估设备端口开放程度是不是默认的参数。对于数据库中的设备,当需要探测的设备X与数据库中设备Y匹配成功,则Y为X推荐下一个探测的端口,X开始探测,如果探测的端口开放,则表示推荐是成功的,那么X将返回给Y一个响应,表示成功,Y的rep变量会统计所有返回的成功的数量和失败的数量,使用如下公式计算rep:
Figure BDA0003687963020000052
corr表示成功的数量,total表示总数量,不难发现这种方法存在一个问题,即如果一个Y只与X匹配了一次,并且刚好成功,那么它的值就会是最大值1,而对于可能是默认的设备,它由于经常匹配成功,那么就会有失败的时候,所以默认的设备的rep反而没有只匹配一次的设备的大,于是我们引入了伪计数Cpseudo,Cpseudo通过<manu,bra,mod>统计了与此设备相同类型设备的数量,因此随着total越来越大,total+Cpseudo越接近真实的total,而如果之匹配了几次,那么其total+Cpseudo会比total大很多,rep也就小了。
(5)设备同源程度
我们计算了X和Y是同种设备的可能性,叫作同源程度,通过比较X和Y的<manu,bra,mod>是否相同,决定它们的同源程度。
matX,Y=0.1×I3(manuX,manuY)+0.3×(braX,bra)+0.6×(modX,modY),
Figure BDA0003687963020000061
对于厂商我们选择了权重0.1,品牌权重0.3,类型权重0.6,因为类型更加具有标志性。
(6)综合评估
将上诉的相似度、习惯因子、信誉因子和同源程度按照权重相加,得到最终评估两个设备X和Y的匹配程度evalX,Y,evalX,Y在[0,1]之间,公式如下:
evalX,Y=CS·SX,Y+Chib·hibX,Y+Crep·rep+Cmat·matX,Y
where CS+Chib+Crep+Cmat=1
在本文中,我们选择CS取0.3,Chib取0.1,Crep取0.2,Cmat取0.4.
(7)推荐探测端口
当确定了数据库中最相似的设备,对于这个设备,我们首选包含标语信息的开放端口,次选开放的端口,将其推荐给探测器。
以上是本发明的较佳实施例,凡依本发明技术方案所作的改变,所产生的功能作用未超出本发明技术方案的范围时,均属于本发明的保护范围。

Claims (6)

1.一种物联网设备的端口扫描路径推荐方法,其特征在于,使用基于随机森林的物联网设备识别方法识别网络空间中的物联网设备,确定是物联网设备之后,使用基于协同过滤的端口扫描路径推荐算法,匹配数据库中最相似的设备,使其为待扫描设备提供扫描路径,同时每一次探测都更新路径。
2.根据权利要求1所述的一种物联网设备的端口扫描路径推荐方法,其特征在于,所述基于随机森林的物联网设备识别方法实现如下:
S11、确定目标设备,向目标设备使用分布式TCP SYN扫描,如果返回SYN+ACK数据包,代表此端口开放,如果返回RST数据包,代表此端口关闭,如果1s内未收到返回,则认为此端口被防火墙过滤,直到确定至少一个开放端口和一个关闭端口;
S12、使用Nmap的操作系统识别模块向开放端口和关闭端口共发送16个探测包,等待响应;
S13、保存响应数据包的字段值,若字段值为字符串,则使用哈希散列变换成数值型,并使用Nmap的操作系统识别模块识别的包括GCD、ISR、SP、TI、CI、II、SS、TS的特征构建特征空间,若此设备是物联网设备,则标记为1,否则为0;
S14、收集多个设备的数据,形成数据集;
S15、利用随机森林算法,构建二分随机森林模型,即利用Gini指数实现特征选择:
Figure FDA0003687963010000011
S16、选择前100个Gini指数最低的特征,使用这些特征重新训练二分随机森林模型,实现网络空间中的物联网设备的识别。
3.根据权利要求1所述的一种物联网设备的端口扫描路径推荐方法,其特征在于,所述基于协同过滤的端口扫描路径推荐算法实现方式为:首先向目标主机的目标端口发送4个探测包,根据响应信息收集标语信息和构建特征空间,利用基于用户的协同过滤去数据库中匹配最合适的IP,选择这个IP推荐的端口作为下一个扫描端口。
4.根据权利要求1或3所述的一种物联网设备的端口扫描路径推荐方法,其特征在于,所述基于协同过滤的端口扫描路径推荐算法的具体实现过程如下:
S21、构建特征空间
向目标主机的目标端口发送4个探测包,分别是SYN扫描包、FIN扫描包、ACK扫描包和Xmas-Tree扫描包,收集这4个数据包的响应信息,提取每个响应数据包的字段,构建如下特征空间:
SYN(SYN+ACK,RST,NULL)
对于SYN扫描,目标主机会有三种情况,第一种返回SYN+ACK代表端口开放,则SYN+ACK为1其他全为0,第二种返回RST代表端口关闭,则RST为1其他全为0,还有一种是1s内不返回响应数据包,则NULL为1其他全为0;
FIN(NULL,RST,TYPE,CODE)
对于FIN扫描,与SYN扫描相似,但是对于不返回响应信息时,目标主机会返回一个ICMP数据包,TYPE为ICMP的类型字段,CODE为代码字段,这两个字段存储的是值,不再是0或1;
ACK(NULL,RST,TTL,WINDOW,TYPE,CODE)
ACK扫描,与SYN扫描和FIN扫描相似,但是增加WINDOW字段,ACK扫描会根据WINDOW字段的值判断目标端口的开放情况;
Xmas-Tree(NULL,RST,TYPE,CODE)
Xmas-Tree扫描,与FIN扫描相似;
将4种扫描构建的特征空间合并成一个特征空间<open,SYN,FIN,ACK,Xmas-Tree>,同时将这个特征空间进行整合,将整合后的数据命名为Ff,接着收集响应包中的标语信息,存储格式为[<port1:banner>,<port2:banner>,....],将其命名为Fb,使用命名实体识别NER从标语信息中提取厂商、品牌和型号即<manu,bra,mod>;
同时引入地址addr和信誉因子rep,最终全部数据在数据库中存储格式如下:
[index,1Ff,2Ff,...,65535Ff,Fb,manu,bra,mod,addr,rep]
其中的1,2,....,65535表示端口号;
S22、相似度计算
将需要探测的IP命名为X,在数据库中需要与其匹配的IP命名为Y;
第一步,计算两个IP在已知开放端口数量上的相似度,其中选取X已经探测的端口,而数据库中的Y则选取与X相同的端口,公式如下:
Figure FDA0003687963010000021
其中P表示的是端口的集合,分式的上部分计算的是X与Y共同开放的端口数量,分式下部分是统计已知的X的探测过的全部端口数量;
第二步,计算两个IP在字段特征空间Ff上的相似度,公式如下:
Figure FDA0003687963010000022
Figure FDA0003687963010000031
Figure FDA0003687963010000032
其中,K表示X探测过的全部端口,
Figure FDA0003687963010000033
是指示函数,表示,如果这个端口X和Y都开放了,那么这个值为1,如果全部关闭了,那么这个值为0.1,如果一个开放一个关闭,那么为0,
Figure FDA0003687963010000034
计算的是两个字段特征空间的余弦相似度,它反应两个特征空间的相似程度,取值在[0,1]之间,将全部端口计算余弦相似度,最后取平均,就是两个IP在字段特征空间Ff上的相似度;
第三步,计算两个IP在标语信息上Fb的相似度,公式如下:
Figure FDA0003687963010000035
Figure FDA0003687963010000036
Figure FDA0003687963010000037
其中,N是表示X中标语信息Fb的数量,通过指示函数I2匹配到同样此端口有标语信息的Y,然后计算两个标语信息的编辑距离,让编辑距离除最大长度,使其分布在[0,1]之间,由于编辑距离越小代表越相似,而认为大的值更相似,所以让1减去这个值,最终,计算每个端口的编辑距离,取平均,就是两个IP在标语信息上Fb的相似度;
第四步,将第一步至第三步计算得到的三个相似度按权重相加,得到最终X和Y的相似度:
Figure FDA0003687963010000038
where Cn+Cf+Cl=1
Cn、Cf、Cl表示权重,三个相似度都在[0,1]之间,使三个权重相加为1,保证最终的相似度也在[0,1]之间;
S23、习惯因子计算
在匹配过程中引入习惯因子,认为两个IP的距离越近则它们的习惯越相似,使用阿里云IP地理位置库获取这个IP的地址,然后使用百度地图计算两个地址的直线距离:
Figure FDA0003687963010000041
addr()是获得IP位置的函数,dist()是计算两个位置距离的函数,将两个距离除以最大距离,使其分布在[0,1]之间,使用1减去这个值,这样习惯因子越大,代表两个IP越接近,习惯也越相似;
S24、信誉因子计算
引入信誉因子评估设备端口开放程度是不是默认的参数;对于数据库中的设备,当需要探测的设备X与数据库中设备Y匹配成功,则Y为X推荐下一个探测的端口,X开始探测,如果探测的端口开放,则表示推荐是成功的,那么X将返回给Y一个响应,表示成功,Y的rep变量会统计所有返回的成功的数量和失败的数量,使用如下公式计算rep:
Figure FDA0003687963010000042
corr表示成功的数量,total表示总数量,如果一个Y只与X匹配了一次,并且刚好成功,那么它的值就会是最大值1,而对于可能是默认的设备,它由于经常匹配成功,那么就会有失败的时候,所以默认的设备的rep反而没有只匹配一次的设备的大,于是引入伪计数Cpseudo,Cpseudo通过厂商、品牌和型号即<manu,bra,mod>统计与此设备相同类型设备的数量,因此随着total越来越大,total+Cpseudo越接近真实的total,而如果之匹配了几次,那么其total+Cpseudo会比total大很多,rep也就小了;
S25、设备同源程度
计算X和Y是同种设备的可能性,叫作同源程度,通过比较X和Y的<manu,bra,mod>是否相同,决定它们的同源程度;
matX,Y=0.1×I3(manuX,manuY)+0.3×(braX,bra)+0.6×(modX,modY),
Figure FDA0003687963010000043
对于厂商选择权重0.1,品牌权重0.3,类型权重0.6;
S26、综合评估
将相似度、习惯因子、信誉因子和同源程度按照权重相加,得到最终评估两个设备X和Y的匹配程度evalX,Y,evalX,Y在[0,1]之间,公式如下:
evalX,Y=CS·SX,Y+Chib·hibX,Y+Crep·rep+Cmat·matX,Y
where CS+Chib+Crep+Cmat=1
S27、推荐探测端口
当确定数据库中最相似的设备,对于这个设备,首选包含标语信息的开放端口,次选开放的端口,将其推荐给探测器。
5.根据权利要求4所述的一种物联网设备的端口扫描路径推荐方法,其特征在于,Cn、Cf、Cl取相同的权重1/3。
6.根据权利要求4所述的一种物联网设备的端口扫描路径推荐方法,其特征在于,CS取0.3,Chib取0.1,Crep取0.2,Cmat取0.4。
CN202210660719.2A 2022-06-10 2022-06-10 一种物联网设备的端口扫描路径推荐方法 Pending CN114880587A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210660719.2A CN114880587A (zh) 2022-06-10 2022-06-10 一种物联网设备的端口扫描路径推荐方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210660719.2A CN114880587A (zh) 2022-06-10 2022-06-10 一种物联网设备的端口扫描路径推荐方法

Publications (1)

Publication Number Publication Date
CN114880587A true CN114880587A (zh) 2022-08-09

Family

ID=82680657

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210660719.2A Pending CN114880587A (zh) 2022-06-10 2022-06-10 一种物联网设备的端口扫描路径推荐方法

Country Status (1)

Country Link
CN (1) CN114880587A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115208800A (zh) * 2022-09-16 2022-10-18 清华大学 基于强化学习的全互联网端口扫描方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019232999A1 (zh) * 2018-06-07 2019-12-12 中国矿业大学 一种基于特征映射层以及增强层结构的随机森林集成方法
US20200059480A1 (en) * 2016-11-04 2020-02-20 Nagravision S.A. Port Scanning
US20200103894A1 (en) * 2018-05-07 2020-04-02 Strong Force Iot Portfolio 2016, Llc Methods and systems for data collection, learning, and streaming of machine signals for computerized maintenance management system using the industrial internet of things
CN112769623A (zh) * 2021-01-19 2021-05-07 河北大学 边缘环境下的物联网设备识别方法
US20220012236A1 (en) * 2020-07-10 2022-01-13 Salesforce.Com, Inc. Performing intelligent affinity-based field updates
CN114584522A (zh) * 2022-01-21 2022-06-03 中国人民解放军国防科技大学 一种物联网设备的识别方法、系统、介质及终端

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200059480A1 (en) * 2016-11-04 2020-02-20 Nagravision S.A. Port Scanning
US20200103894A1 (en) * 2018-05-07 2020-04-02 Strong Force Iot Portfolio 2016, Llc Methods and systems for data collection, learning, and streaming of machine signals for computerized maintenance management system using the industrial internet of things
WO2019232999A1 (zh) * 2018-06-07 2019-12-12 中国矿业大学 一种基于特征映射层以及增强层结构的随机森林集成方法
US20220012236A1 (en) * 2020-07-10 2022-01-13 Salesforce.Com, Inc. Performing intelligent affinity-based field updates
CN112769623A (zh) * 2021-01-19 2021-05-07 河北大学 边缘环境下的物联网设备识别方法
CN114584522A (zh) * 2022-01-21 2022-06-03 中国人民解放军国防科技大学 一种物联网设备的识别方法、系统、介质及终端

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115208800A (zh) * 2022-09-16 2022-10-18 清华大学 基于强化学习的全互联网端口扫描方法及装置
CN115208800B (zh) * 2022-09-16 2023-01-03 清华大学 基于强化学习的全互联网端口扫描方法及装置

Similar Documents

Publication Publication Date Title
CN112104677B (zh) 一种基于知识图谱的受控主机检测方法和装置
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
US10078743B1 (en) Cross identification of users in cyber space and physical world
CN108600200A (zh) 域名检测方法、装置、计算机设备及存储介质
CN111770047B (zh) 异常群体的检测方法、装置及设备
Rasti et al. Eyeball ASes: from geography to connectivity
CN109117275A (zh) 基于数据分片的对账方法、装置、计算机设备及存储介质
CN111835681B (zh) 一种大规模流量异常主机检测方法和装置
CN113328990B (zh) 基于多重过滤的网间路由劫持检测方法及电子设备
CN110071829A (zh) Dns隧道检测方法、装置及计算机可读存储介质
CN114880587A (zh) 一种物联网设备的端口扫描路径推荐方法
CN108712712A (zh) 无线保真WiFi网络关联信息显示方法及装置
CN116305168A (zh) 一种多维度信息安全风险评估方法、系统及存储介质
Li et al. Street-Level Landmarks Acquisition Based on SVM Classifiers.
CN110445772B (zh) 一种基于主机关系的互联网主机扫描方法及系统
Song et al. {AddrMiner}: A Comprehensive Global Active {IPv6} Address Discovery System
CN108199878B (zh) 高性能ip网络中个人标识信息识别系统及方法
CN114520799A (zh) 基于最小圆覆盖的城市内ip定位及误差估计方法及系统
CN112685272B (zh) 一种具备可解释性的用户行为异常检测方法
CN111651741B (zh) 用户身份识别方法、装置、计算机设备和存储介质
Ioulianou et al. Ml-based detection of rank and blackhole attacks in RPL networks
Zhao et al. Improving IP geolocation databases based on multi-method classification
CN109218184B (zh) 基于端口和结构信息的路由器归属as识别方法
CN108848203A (zh) 一种中国网络边界的识别方法及系统
Yuan et al. A multi-granularity backbone network extraction method based on the topology potential

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination