CN115001810A - 基于网络协议交互行为的设备特征提取系统及提取方法 - Google Patents

基于网络协议交互行为的设备特征提取系统及提取方法 Download PDF

Info

Publication number
CN115001810A
CN115001810A CN202210608970.4A CN202210608970A CN115001810A CN 115001810 A CN115001810 A CN 115001810A CN 202210608970 A CN202210608970 A CN 202210608970A CN 115001810 A CN115001810 A CN 115001810A
Authority
CN
China
Prior art keywords
frame
sequence
response
polling
response frame
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210608970.4A
Other languages
English (en)
Other versions
CN115001810B (zh
Inventor
蔡义涵
宋宇波
陈烨
陈琪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN202210608970.4A priority Critical patent/CN115001810B/zh
Publication of CN115001810A publication Critical patent/CN115001810A/zh
Application granted granted Critical
Publication of CN115001810B publication Critical patent/CN115001810B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Communication Control (AREA)

Abstract

本发明公开了一种基于网络协议交互行为的设备特征提取系统及提取方法。该方法通过构造一串长短不一无状态业务协议生成的探询帧序列,由发送器将序列依次快速发送至待识别的未知设备,通过接收待识别设备回复的响应帧序列来完成与未知设备的交互。接收器、发送器和分析器需要记录响应帧的接收时间时间戳、响应帧的响应内容以及对应探询帧的发送前后的时间戳,并将结果发送给特征提取器。特征提取器对探询帧序列和响应帧序列进行处理,最终提取出待识别设备的多个特征,从而辨别待识别未知设备的身份。本发明将网络通信的无状态业务协议交互与设备特征提取相结合,实现了大量设备应用场景下未知设备特征的主动高效采集。

Description

基于网络协议交互行为的设备特征提取系统及提取方法
技术领域
本申请涉及系统安全技术领域,尤其涉及一种基于网络协议交互行为的设备特征提取系统及提取方法。
背景技术
近年来,随着新一轮科技革命和产业变革,工业互联网也迎来了快速发展。设备是工业互联网的重要组成,是自动化控制系统正常运作的根本。目前,全球已拥有超过500亿工业互联网设备,至少有100亿活跃于企业网络。在工业互联网环境下,工作的设备越多,产业的生产值越高,经济效益越好。但随着设备数量的增多,设备安全管理的难度却越来越大。
然而,对于蓬勃发展的工业互联网产业,其设备安全问题却仍然处于起步阶段,面向工业互联网设备的攻击手段仍在不断更新。传统的基于口令的认证方法可以实现设备认证,但无法排除攻击者窃取口令伪造合法设备的可能。攻击者不仅可以伪造设备IP地址、MAC地址、设备序列号等等,甚至可以复制目标工业互联网的通信协议。攻击者不仅可以监视其他设备的运行情况,还可能与合法设备进行通信,向其他设备传输错误的指令或数据等,造成严重后果。如果工业互联网内的合法设备存在其他漏洞,还有可能被传输恶意代码或木马病毒,造成大面积的设备宕机等等。因此,单单从口令来认证合法设备的方法并不能保护工业互联网。这是因为口令属于可复制的特征,不具有唯一性和抗伪造性。还有一些工业互联网中会使用提取流量特征的方法对设备进行辅助认证,这一方法不具有稳定性,且认证时间较长。非法设备完全可以伪装成某一合法设备正常通信来骗过监视器。
即便工业互联网管理员很快意识到非法设备的存在,也无法快速将它们分辨出来。一方面,传统的认证方法认证形式单一,获取到的信息量极少,管理员很难找到足够多的特征信息来区分它们。另一方面,攻击者将非法设备伪装成合法设备的成本极低,只需要复制合法设备的部分信息和交互协议便可以实现伪装,而管理员辨别非法设备的难度相对较大。
因此,目前急需一种方法,能够提取出每个设备的唯一特征。这一方法应当能够体现设备的硬件特性,且具有一定的稳定性,抗伪造性,和不可篡改性。
发明内容
发明目的:本发明的目的是针对传统设备认证方法所提取的特征不足以抵抗假冒攻击的问题,提出了一种基于网络协议交互行为的设备特征提取系统及提取方法。该方法主要利用构造长短不一的无状态业务协议探询帧序列,并将其依次快速地发送给待识别的未知设备,通过接收待识别设备回复的响应帧序列来完成与未知设备的交互。根据交互过程中未知设备的响应内容和探询帧、响应帧的时间戳信息,来提取未知设备的帧序列脉冲响应能量、帧往返时间、帧抖动等特征。
上述的目的通过以下技术方案实现:
基于网络协议交互行为的设备特征提取系统,包括探询帧构造器,发送器,接收器,响应帧分析器,特征提取器;
所述探询帧构造器用于构造本发明需要的探询帧序列,同时设置不同的帧负载长度来控制每个探询帧的帧长度,并在探询帧中添加探询帧的唯一标识信息;
所述发送器负责将生成的探询帧序列发送给待识别的未知设备,并记录开始发送和完成发送的时间戳信息;
所述接收器负责监听网络中的通信,同时接收来自目标待识别设备的响应帧消息。接收器需要记录响应帧的抵达时间,保存响应帧的内容;
所述响应帧分析器需要对接收器保存的响应帧的内容进行分析,整理出本发明所需要使用的响应内容;
所述特征提取器需要对来自探询帧构造器、发送器、接收器、响应帧分析器的特征信息进行提取和处理,最终提取出待识别设备的帧序列脉冲响应能量、帧往返时间、帧抖动等特征,从而辨别待识别未知设备的身份。
一种基于网络协议交互行为的设备特征提取方法,该方法包括以下步骤:
步骤1:设待识别的未知设备为D,设探询帧序列为s={s1,s2,...,sn},其元素值si为第i个探询帧,探询帧序列总大小为n;
步骤2:探询帧构造器设置每个探询帧si的长度L(si),生成探询帧长度序列L(s)={L(s1),L(s2),…,L(sn)};
步骤3:探询帧构造器根据帧协议类型、L(s)的结果和设备D的IP地址,构造探询帧序列s,并在探询帧中添加探询帧的唯一标识信息;
步骤4:发送器依次向目标待识别未知设备发送帧序列s中的探询帧si,共发送n次;同时,发送器需要记录探询帧si的开始发送的时间戳T1(si),以及完成发送的时间戳T2(si),生成序列T1(s)={T1(s1),T1(s2),...,T1(sn)},T2(s)={T2(s1),T2(s2),...,T2(sn)};
步骤5:接收器根据帧协议类型、帧序列总大小n以及设备D的IP地址,开始接收来自设备D的响应帧序列;设接收到的响应帧序列为r={r1,r2,...,rn},其元素值ri为第i个响应帧;接收器同时记录响应帧ri的接收时间戳T(ri),生成序列T(r)={T(r1),T(r2),...,T(rn)};若接收到的响应帧序列大小不足n个,则从步骤1重新开始;
步骤6:响应帧分析器根据响应帧中的唯一标识信息对响应帧序列r以及接收器记录的响应帧接收时间戳序列T(r)进行重新排序,根据响应帧序列r分析出响应帧ri的长度L(ri),生成序列L(r)={L(r1),L(r2),…,L(rn)};
步骤7:将响应帧序列r与探询帧序列s进行一一比对,若响应帧序列r不能与探询帧序列s一一对应,则从步骤1重新开始;若能够一一对应,则继续下一步的操作;
步骤8:特征提取器根据探询帧序列s={s1,s2,...,sn},响应帧序列r={r1,r2,...,rn},探询帧长度序列L(s)={L(s1),L(s2),...,L(sn)},响应帧长度序列L(r)={L(r1),L(r2),...,L(rn)},探询帧开始发送的时间戳序列T1(s)={T1(s1),T1(s2),...,T1(sn)},探询帧完成发送的时间戳序列T2(s)={T2(s1),T2(s2),...,T2(sn)},响应帧接收时间戳序列T(r)={T(r1),T(r2),...,T(rn)},提取出设备D的特征向量
Figure BDA0003672619750000031
Figure BDA0003672619750000032
并与预先生成的特征向量V′(D)进行比对;其中,
Figure BDA0003672619750000033
Figure BDA0003672619750000034
为1514字节帧往返时间特征序列,J00、J01、J10、J11为响应帧抖动特征序列,Eh为帧序列脉冲响应能量;
步骤9:将设备D的特征向量V(D)与预先生成的特征向量V′(D)计算相似度值s,从而判别设备D的身份。
进一步地,步骤8的具体过程如下:
步骤8.1:根据探询帧长度序列的取值将所有探询帧分为两类,若L(si)=60字节,则i∈I0,若L(si)=1514字节,则i∈I1,最终生成I0和I1两个集合;设I0={i01,i02,...,i0p},I1={i11,i12,...,i1q},其中p为集合I0中的元素个数,q为集合I1中的元素个数,且满足p+q=n;
步骤8.2:对于所有的i∈I1,计算
Figure BDA0003672619750000035
Figure BDA0003672619750000036
得到1514字节帧往返时间特征序列;
步骤8.3:对于所有的j∈[2,3,...,n],计算T(rj)-T(rj-1)={T(r2)-T(r1),T(r3)-T(r2),...,T(rn)-T(rn-1)};将T(rj)-T(rj-1)序列所有元素分为四类;若j-1,j∈I0,则T(rj)-T(rj-1)∈J00;若j-1∈I0,j∈I1,则T(rj)-T(rj-1)∈J01;若j-1∈I1,j∈I0,则T(rj)-T(rj-1)∈J10;若j-1,j∈I1,则T(rj)-T(rj-1)∈J11;最终得到响应帧抖动特征序列J00、J01、J10、J11
步骤8.4:对于所有的si∈s={s1,s2,...,sn},计算Tr(si)=T2(si)-T1(si),得到每个探询帧发送花费的时间,生成序列Tr(s)={Tr(s1),Tr(s2),...,Tr(sn)};对于所有的i∈[1,n],计算T(ri)-T1(si),得到每个帧从发送器发送开始,到接收器接收结束的往返时间,生成序列T(r)-T1(s)={T(r1)-T1(s1),T(r2)-T1(s2),...,T(rn)-T1(sn)};
步骤8.5:在网络链路中以发送探询帧花费的时间序列为系统输入x=Tr(s),以帧的往返时间序列为输出y=T(r)-T1(s),分别计算x和y的傅里叶变换X[k]~DFT(x[t])和Y[k]~DFT(y[t]),利用Parseval定理,根据公式
Figure BDA0003672619750000041
计算得到帧序列的脉冲响应能量特征Eh
步骤8.6:生成设备D的特征向量
Figure BDA0003672619750000042
本发明技术方案,具有以下优点:
通过网络协议交互行为来提取设备的特征,能够以合理的方式,实现无感知地探测未知设备。由于工业互联网环境下,网络通信频繁,因此本发明需要发送的响应帧序列可以完美隐匿于大规模的流量之下,从而避开攻击者的警觉。
本发明采用了主动的探询方法,采集到的特征具有即时性的特点,不需要长时间的采集过程。相较于被动的探询方法而言,本方法更具有稳定性和高效性,可推广性。
本发明创新性地使用了信号领域的脉冲响应能量方法来计算帧序列的脉冲响应能量。当网络链路中存在攻击者窃听时,脉冲响应能量特征会有明显变化,能够有效保障链路的安全性。
本发明采集了探询帧开始发送时间戳和响应帧接收时间戳信息,这二者的差值也就是帧的往返时间信息,呈现的是目标设备的极限报文处理能力。而攻击者只能单向地增加非法设备的往返时间,而不能提高设备的报文处理能力,一定程度上保证了设备特征的不可篡改性。
本发明提取到的探询帧发送时间戳和响应帧接收时间戳信息也包含了发送器和接收器自身的指纹信息,用本发明提取到的特征信息本身就具有发送器和接收器独特性。而攻击者无法获得本发明使用的发送器和接收器的指纹信息,因此也无法伪造任何设备的特征信息,保证了本方法的抗伪造性。
附图说明
图1是本发明的系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本实施例的基于网络协议交互行为的设备特征提取系统,包括探询帧构造器,发送器,接收器,响应帧分析器,特征提取器;
所述探询帧构造器用于构造本发明需要的探询帧序列,同时设置不同的帧负载长度来控制每个探询帧的帧长度,并在探询帧中添加探询帧的唯一标识信息;
所述发送器负责将生成的探询帧序列发送给待识别的未知设备,并记录开始发送和完成发送的时间戳信息;
所述接收器负责监听网络中的通信,同时接收来自目标待识别设备的响应帧消息。接收器需要记录响应帧的抵达时间,保存响应帧的内容;
所述响应帧分析器需要对接收器保存的响应帧的内容进行分析,整理出本发明所需要使用的响应内容;
所述特征提取器需要对来自探询帧构造器、发送器、接收器、响应帧分析器的特征信息进行提取和处理,最终提取出待识别设备的帧序列脉冲响应能量、帧往返时间、帧抖动等特征,从而辨别待识别未知设备的身份。
本发明还提供一种基于网络协议交互行为的设备特征提取方法,方法具体使用ICMP协议,利用ICMPEchoRequest/Reply数据帧为探询帧/响应帧。该方法包括如下步骤:
步骤1:设待识别的未知设备为D,设探询帧序列为s={s1,s2,...,sn},其元素值si为第i个探询帧,探询帧序列总大小为n。
步骤2:探询帧构造器设置每个探询帧si的长度L(si),其中L(si)取1514字节或60字节,由伪随机生成器等概率随机生成。最终生成探询帧长度序列L(s)={L(s1),L(s2),...,L(sn)}。
步骤3:探询帧构造器根据L(s)和设备D的IP地址等,借助原始套接字工具构造ICMPEchoRequest探询帧序列s,改写探询帧中ICMP报文序列号为帧序号i,从而添加探询帧的唯一标识信息,并计算ICMP报文校验和。
步骤4:发送器借助原始套接字工具依次向目标待识别未知设备发送帧序列s中的探询帧si,共发送n次。同时,发送器需要记录探询帧si的开始发送的时间戳T1(si),以及完成发送的时间戳T2(si),生成序列T1(s)={T1(s1),T1(s2),...,T1(sn)},T2(s)={T2(s1),T2(s2),...,T2(sn)}。时间戳T1(si)和T2(si)需要精确到0.001ms,在python环境下可以使用time.perf_counter()函数得到当前计算机系统时间。
步骤5:接收器根据帧序列总大小n以及设备D的IP地址等信息,开始接收来自设备D的ICMPEchoReply响应帧序列。设接收到的响应帧序列为r={r1,r2,...,rn},其元素值ri为第i个响应帧。接收器同时记录响应帧ri的接收时间戳T(ri),生成序列T(r)={T(r1),T(r2),...,T(rn)}。时间戳T(ri)也需要精确到0.001ms,在python环境下可以使用time.perf_counter()函数得到当前计算机系统时间。若接收到的响应帧序列大小不足n个,则从步骤1重新开始。
步骤6:响应帧分析器根据响应帧中的ICMP报文序列号对响应帧序列r以及接收器记录的响应帧接收时间戳序列T(r)进行重新排序,根据响应帧序列r分析出响应帧ri的长度L(ri),生成序列L(r)={L(r1),L(r2),…,L(rn)}。
步骤7:将响应帧序列r与探询帧序列s进行一一比对,若响应帧序列r不能与探询帧序列s一一对应,则从步骤1重新开始;若能够一一对应,则继续下一步的操作。
步骤8:特征提取器采集探询帧序列s={s1,s2,...,sn},响应帧序列r={r1,r2,...,rn},探询帧长度序列L(s)={L(s1),L(s2),...,L(sn)},响应帧长度序列L(r)={L(r1),L(r2),...,L(rn)},探询帧开始发送的时间戳序列T1(s)={T1(s1),T1(s2),...,T1(sn)},探询帧完成发送的时间戳序列T2(s)={T2(s1),T2(s2),...,T2(sn)},响应帧接收时间戳序列T(r)={T(r1),T(r2),...,T(rn)}等信息,生成特征值
Figure BDA0003672619750000061
并与预先生成的特征向量V′(D)进行比对。其中,
Figure BDA0003672619750000062
为1514字节帧往返时间特征序列,J00、J01、J10、J11为响应帧抖动特征序列,Eh为帧序列脉冲响应能量。具体过程如下:
步骤8.1:根据探询帧长度序列的取值将所有探询帧分为两类,若L(si)=60字节,则i∈I0,若L(si)=1514字节,则i∈I1,最终生成I0和I1两个集合。设I0={i01,i02,...,i0p},I1={i11,i12,...,i1q},满足p+q=n。
步骤8.2:对于所有的i∈I1,计算
Figure BDA0003672619750000063
Figure BDA0003672619750000064
得到1514字节帧往返时间特征序列。
步骤8.3:对于所有的j∈[2,3,...,n],计算T(rj)-T(rj-1)={T(r2)-T(r1),T(r3)-T(r2),...,T(rn)-T(rn-1)}。将以上序列所有元素分为四类。若j-1,j∈I0,则T(rj)-T(rj-1)∈J00;若j-1∈I0,j∈I1,则T(rj)-T(rj-1)∈J01;若j-1∈I1,j∈I0,则T(rj)-T(rj-1)∈J10;若j-1,j∈I1,则T(rj)-T(rj-1)∈J11。最终得到响应帧抖动特征序列J00、J01、J10、J11
步骤8.4:对于所有的si∈s={s1,s2,...,sn},计算Tr(si)=T2(si)-T1(si),得到每个探询帧发送花费的时间,生成序列Tr(s)={Tr(s1),Tr(s2),...,Tr(sn)}。对于所有的i∈[1,n],计算T(ri)-T1(si),得到每个帧从发送器发送开始,到接收器接收结束的往返时间,生成序列T(r)-T1(s)={T(r1)-T1(s1),T(r2)-T1(s2),...,T(rn)-T1(sn)}。
步骤8.5:借用信号领域的方法,在网络链路中以发送探询帧花费的时间序列为系统输入x=Tr(s),以帧的往返时间序列为输出y=T(r)-T1(s)。分别计算x和y的傅里叶变换X[k]~DFT(x[t])和Y[k]~DFT(y[t])。利用Parseval定理,根据公式
Figure BDA0003672619750000071
计算得到帧序列的脉冲响应能量特征Eh
步骤8.6:生成设备D的特征向量
Figure BDA0003672619750000072
步骤9:将设备D的特征向量V(D)与预先生成的特征向量V′(D)计算相似度s,例如计算余弦相似度
Figure BDA0003672619750000073
从而判别设备D的身份。

Claims (3)

1.一种基于网络协议交互行为的设备特征提取系统,其特征在于,该系统包括探询帧构造器,发送器,接收器,响应帧分析器,特征提取器;
所述探询帧构造器用于构造本发明需要的探询帧序列,同时设置不同的帧负载长度来控制每个探询帧的帧长度,并在探询帧中添加探询帧的唯一标识信息;
所述发送器负责将生成的探询帧序列发送给待识别的未知设备,并记录开始发送和完成发送的时间戳信息;
所述接收器负责监听网络中的通信,同时接收来自目标待识别设备的响应帧消息。接收器需要记录响应帧的抵达时间,保存响应帧的内容;
所述响应帧分析器需要对接收器保存的响应帧的内容进行分析,整理出本发明所需要使用的响应内容;
所述特征提取器需要对来自探询帧构造器、发送器、接收器、响应帧分析器的特征信息进行提取和处理,最终提取出待识别设备的帧序列脉冲响应能量、帧往返时间、帧抖动等特征,从而辨别待识别未知设备的身份。
2.一种基于网络协议交互行为的设备特征提取方法,其特征在于,该方法包括以下步骤:
步骤1:设待识别的未知设备为D,设探询帧序列为s={s1,s2,...,sn},其元素值si为第i个探询帧,探询帧序列总大小为n;
步骤2:探询帧构造器设置每个探询帧si的长度L(si),生成探询帧长度序列L(s)={L(s1),L(s2),...,L(sn)};
步骤3:探询帧构造器根据帧协议类型、L(s)的结果和设备D的IP地址,构造探询帧序列s,并在探询帧中添加探询帧的唯一标识信息;
步骤4:发送器依次向目标待识别未知设备发送帧序列s中的探询帧si,共发送n次;同时,发送器需要记录探询帧si的开始发送的时间戳T1(si),以及完成发送的时间戳T2(si),生成序列T1(s)={T1(s1),T1(s2),...,T1(sn)},T2(s)={T2(s1),T2(s2),...,T2(sn)};
步骤5:接收器根据帧协议类型、帧序列总大小n以及设备D的IP地址,开始接收来自设备D的响应帧序列;设接收到的响应帧序列为r={r1,r2,...,rn},其元素值ri为第i个响应帧;接收器同时记录响应帧ri的接收时间戳T(ri),生成序列T(r)={T(r1),T(r2),...,T(rn)};若接收到的响应帧序列大小不足n个,则从步骤1重新开始;
步骤6:响应帧分析器根据响应帧中的唯一标识信息对响应帧序列r以及接收器记录的响应帧接收时间戳序列T(r)进行重新排序,根据响应帧序列r分析出响应帧ri的长度L(ri),生成序列L(r)={L(r1),L(r2),...,L(rn)};
步骤7:将响应帧序列r与探询帧序列s进行一一比对,若响应帧序列r不能与探询帧序列s一一对应,则从步骤1重新开始;若能够一一对应,则继续下一步的操作;
步骤8:特征提取器根据探询帧序列s={s1,s2,...,sn},响应帧序列r={r1,r2,...,rn},探询帧长度序列L(s)={L(s1),L(s2),...,L(sn)},响应帧长度序列L(r)={L(r1),L(r2),...,L(rn)},探询帧开始发送的时间戳序列T1(s)={T1(s1),T1(s2),...,T1(sn)},探询帧完成发送的时间戳序列T2(s)={T2(s1),T2(s2),...,T2(sn)},响应帧接收时间戳序列T(r)={T(r1),T(r2),...,T(rn)},提取出设备D的特征向量
Figure FDA0003672619740000021
Figure FDA0003672619740000022
并与预先生成的特征向量V′(D)进行比对;其中,
Figure FDA0003672619740000023
Figure FDA0003672619740000024
为1514字节帧往返时间特征序列,J00、J01、J10、J11为响应帧抖动特征序列,Eh为帧序列脉冲响应能量;
步骤9:将设备D的特征向量V(D)与预先生成的特征向量V′(D)计算相似度值s,从而判别设备D的身份。
3.根据权利要求2所述的基于网络协议交互行为的设备特征提取方法,其特征在于,步骤8的具体过程如下:
步骤8.1:根据探询帧长度序列的取值将所有探询帧分为两类,若L(si)=60字节,则i∈I0,若L(si)=1514字节,则i∈I1,最终生成I0和I1两个集合;设I0={i01,i02,...,i0p},I1={i11,i12,...,i1q},其中p为集合I0中的元素个数,q为集合I1中的元素个数,且满足p+q=n;
步骤8.2:对于所有的i∈I1,计算
Figure FDA0003672619740000025
Figure FDA0003672619740000026
得到1514字节帧往返时间特征序列;
步骤8.3:对于所有的j∈[2,3,...,n],计算T(rj)-T(rj-1)={T(r2)-T(r1),T(r3)-T(r2),...,T(rn)-T(rn-1)};将T(rj)-T(rj-1)序列所有元素分为四类;若j-1,j∈I0,则T(rj)-T(rj-1)∈J00;若j-1∈I0,j∈I1,则T(rj)-T(rj-1)∈J01;若j-1∈I1,j∈I0,则T(rj)-T(rj-1)∈J10;若j-1,j∈I1,则T(rj)-T(rj-1)∈J11;最终得到响应帧抖动特征序列J00、J01、J10、J11
步骤8.4:对于所有的si∈s={s1,s2,...,sn},计算Tr(si)=T2(si)-T1(si),得到每个探询帧发送花费的时间,生成序列Tr(s)={Tr(s1),Tr(s2),...,Tr(sn)};对于所有的i∈[1,n],计算T(ri)-T1(si),得到每个帧从发送器发送开始,到接收器接收结束的往返时间,生成序列T(r)-T1(s)={T(r1)-T1(s1),T(r2)-T1(s2),...,T(rn)-T1(sn)};
步骤8.5:在网络链路中以发送探询帧花费的时间序列为系统输入x=Tr(s),以帧的往返时间序列为输出y=T(r)-T1(s),分别计算x和y的傅里叶变换X[k]~DFT(x[t])和Y[k]~DFT(y[t]),利用Parseval定理,根据公式
Figure FDA0003672619740000031
计算得到帧序列的脉冲响应能量特征Eh
步骤8.6:生成设备D的特征向量
Figure FDA0003672619740000032
CN202210608970.4A 2022-05-31 2022-05-31 基于网络协议交互行为的设备特征提取系统及提取方法 Active CN115001810B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210608970.4A CN115001810B (zh) 2022-05-31 2022-05-31 基于网络协议交互行为的设备特征提取系统及提取方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210608970.4A CN115001810B (zh) 2022-05-31 2022-05-31 基于网络协议交互行为的设备特征提取系统及提取方法

Publications (2)

Publication Number Publication Date
CN115001810A true CN115001810A (zh) 2022-09-02
CN115001810B CN115001810B (zh) 2024-01-09

Family

ID=83030571

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210608970.4A Active CN115001810B (zh) 2022-05-31 2022-05-31 基于网络协议交互行为的设备特征提取系统及提取方法

Country Status (1)

Country Link
CN (1) CN115001810B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111262849A (zh) * 2020-01-13 2020-06-09 东南大学 一种基于流表信息的网络异常流量行为识别阻断的方法
CN111343163A (zh) * 2020-02-14 2020-06-26 东南大学 基于网络流量特征融合的物联网设备身份凭证生成方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111262849A (zh) * 2020-01-13 2020-06-09 东南大学 一种基于流表信息的网络异常流量行为识别阻断的方法
CN111343163A (zh) * 2020-02-14 2020-06-26 东南大学 基于网络流量特征融合的物联网设备身份凭证生成方法

Also Published As

Publication number Publication date
CN115001810B (zh) 2024-01-09

Similar Documents

Publication Publication Date Title
CN109194680B (zh) 一种网络攻击识别方法、装置及设备
CN107018084B (zh) 基于sdn架构的ddos攻击防御网络安全方法
US11606385B2 (en) Behavioral DNS tunneling identification
KR20000054538A (ko) 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
US20110030059A1 (en) Method for testing the security posture of a system
CN110266650B (zh) Conpot工控蜜罐的识别方法
CN103281336A (zh) 网络入侵检测方法
CN110943840A (zh) 一种签名验证方法及系统
CN115134250A (zh) 一种网络攻击溯源取证方法
CN110061998B (zh) 一种攻击防御方法及装置
CN115865526A (zh) 一种基于云边协同的工业互联网安全检测方法及系统
CN113242233B (zh) 一种多分类的僵尸网络检测装置
CN112583789B (zh) 被非法登录的登录接口确定方法、装置及设备
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
CN112788039A (zh) 一种DDoS攻击识别方法、装置及存储介质
CN109729084B (zh) 一种基于区块链技术的网络安全事件检测方法
CN112367315A (zh) 一种内生安全waf蜜罐部署方法
CN115001810B (zh) 基于网络协议交互行为的设备特征提取系统及提取方法
JP2010250607A (ja) 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム
CN115022034B (zh) 攻击报文识别方法、装置、设备和介质
CN113938312B (zh) 一种暴力破解流量的检测方法及装置
Nie et al. Intrusion detection using a graphical fingerprint model
CN112261004B (zh) 一种Domain Flux数据流的检测方法及装置
CN114928452A (zh) 访问请求验证方法、装置、存储介质及服务器
Tanemo et al. A Method of Creating Data for Device-information Extraction by Efficient Wide-area-network Scanning of IoT Devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant