CN116074051A - 一种设备指纹生成方法及设备 - Google Patents
一种设备指纹生成方法及设备 Download PDFInfo
- Publication number
- CN116074051A CN116074051A CN202211662148.2A CN202211662148A CN116074051A CN 116074051 A CN116074051 A CN 116074051A CN 202211662148 A CN202211662148 A CN 202211662148A CN 116074051 A CN116074051 A CN 116074051A
- Authority
- CN
- China
- Prior art keywords
- data
- watermark
- vector
- feature
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种设备指纹生成方法及设备,流量采集设备与至少一个前端设备连接,该方法包括:将数据流分为多个数据块集合;基于每个数据块内各个分组的数据特征、相似性度量函数和预设字符级别,确定每个数据块集合中每种数据特征对应的目标度量值;对目标度量值进行交叉熵运算,以量化每种数据特征用于区分各个前端设备的信息价值,以及对目标度量值进行均值计算,以量化每种数据特征在数据传输中的稳定性;并对量化值进行综合量化,得到综合向量;通过设置预设阈值筛选容易区分不同设备且在数据传输中稳定性高的数据特征,并对符合要求的数据特征进行编码生成设备指纹,上传至设备指纹库,以便于指纹识别时进行溯源,提高了数据流转的安全性。
Description
技术领域
本发明涉及数据安全技术领域,特别涉及一种设备指纹生成方法及设备。
背景技术
在数据产业中,由于数据生产者的分散性,数据集中度非常低。为了实现多方数据的充分利用,源数据一般都会经过多网络传输,在数据安全中,数据在传输过程中可能会经过某些恶意用户设备,存在攻击窃听、非法篡改、资源劫持、数据泄露、身份伪造等安全威胁。
为了对数据传输泄露进行追溯,在数据传输过程中的追溯方式一般都是通过流量分析实现,对数据包进行分析得到发送端的互联网协议地址,但互联网协议标识符可以通过使用网络或软件的专家知识进行更改或操纵,这可能会在设备标识扮演关键安全角色的情况下造成重大安全威胁,需要一种合理的机制去解决这类情况造成的问题。
因此,如何提高数据流转安全性是目前亟待解决的问题。
发明内容
本发明提供一种设备指纹生成方法及设备,用以解决数据流转安全性低的问题。
本发明包括:
第一方面,本发明实施例提供了一种设备指纹生成方法,应用于流量采集设备,所述流量采集设备与至少一个前端设备连接,所述方法包括:
将采集到的前端设备的数据流分为多个数据块集合;其中,每个数据块集合包括多个数据块,每个数据块包括第一预设数量的分组,每个分组包含数据特征;
基于每个数据块内各个分组的数据特征、预设的相似性度量函数和预设字符级别,确定每个数据块集合中每种数据特征对应的目标度量值;其中,所述数据块集合包括第二预设数量的数据块;
对所述目标度量值进行交叉熵运算,得到每种数据特征对应的第一向量;以及对所述目标度量值进行均值计算,得到每种数据特征对应的第二向量;其中,所述第一向量表征每种数据特征用于区分各个前端设备的信息价值;所述第二向量表征每种数据特征在数据传输中的稳定性;
基于所述第一向量和所述第二向量,确定每种数据特征对应的综合向量;
对所述综合向量高于预设阈值的数据特征进行编码,生成设备指纹,并将所述设备指纹和所述设备指纹对应的前端设备信息上传至预设的设备指纹库。
针对不同种类的数据特征,将其用于区别不同前端设备的价值进行量化,得到第一向量,比如,A类型数据特征适用于区别不同前端设备,B类型数据特征不适用于区别不同前端设备,则A类型数据特征对应的第一向量的向量值大于B类型数据特征对应的第一向量的向量值;
针对不同种类的数据特征,对其在数据传输中的稳定性进行量化,得到第二向量,比如,A类型数据特征在数据传输中的稳定性较高,B类型数据特征在数据传输中的稳定性较低,则A类型数据特征对应的第二向量的向量值大于B类型数据特征对应的第二向量的向量值。
基于上述技术方案,通过量化每种数据特征区分前端设备的信息价值和数据传输过程中的稳定性,并通过设置预设阈值筛选容易区分不同设备且在数据传输中稳定性高的数据特征,并对符合要求的数据特征进行组合编码生成设备指纹,上传至预设的设备指纹库,以便于指纹识别时进行比对。
首先,使用基于数据流的特征提取方法生成设备指纹,难以伪造指纹特征,即使设备地址从一个网络移动到另一个网络,本方案公开的设备指纹生成方法也可以保持稳定,能够抵抗网络中的节点伪造或伪装等漏洞,提高了数据流转的安全性;
其次,在传输加密数据时,由于必须保留设备的处理能力,因此进行数据加密可以调用的算力有限,本方案公开的设备指纹生成方法简便,不需要进行频繁的加解密操作即可对数据进行流量追溯;
再次,本方案通过一种更安全的方法来标识设备,不使用如互联网协议(InternetProtocol,IP)地址或(Media Access Control,MAC)地址等传统的标识符,本方案采用流量采集设备,比如网关,来标识数据流,进一步在实际应用中,可以经由控制中台来对流转路径进行展示。从而不局限于敏感数据流量的事后追溯,实现在事中就可以即时监控数据流转并溯源,进一步提高数据流转的安全性。
在一种可能的实施方式中,通过下述方法生成数据块:
对所述数据流进行划分,得到包含第一预设数量的分组的多个子数据流;
将每个子数据流中各个分组的数据特征进行编码,生成所述数据块。
在一种可能的实施方式中,所述基于每个数据块内各个分组的数据特征、预设的相似性度量函数和预设字符级别,确定每个数据块集合中每种数据特征对应的目标度量值,包括:
基于所述相似性度量函数对每个数据块的数据特征进行计算,得到第一度量值;其中,所述第一度量值为每个数据块中每种数据特征对应的度量值;
确定符合所述预设字符级别的第一度量值为第二度量值;
对每种数据特征在所述数据块集合中对应的多个第二度量值进行编码,得到所述目标度量值。
在一种可能的实施方式中,所述对所述目标度量值进行均值计算,得到每种数据特征对应的第二向量,包括:
对同一种数据特征在多个数据块集合中对应的多个目标度量值进行求和,得到所述同一种数据特征对应的度量总值;
基于所述数据块集合的数量和所述同一种数据特征对应的度量总值进行均值计算,得到所述同一种数据特征对应的第二向量。
在一种可能的实施方式中,在所述生成设备指纹之后,所述方法包括:
对每个前端设备的通信信道进行扩频;
对每个前端设备对应的设备指纹进行编码,分别生成每个前端设备对应的水印位,并将所述水印位嵌入所述水印位对应的前端设备输出的数据流中。
在实际应用中,可以使用基于速率的流水印嵌入方式,在攻击方改变基于流量内容的统计特征时,抵抗其破坏水印算法的鲁棒性和检测器识别水印的能力,使得追溯数据更安全。
在一种可能的实施方式中,在所述对每个前端设备对应的设备指纹进行编码,分别生成每个前端设备对应的水印位之前,所述方法还包括:
根据预设的敏感数据信息表对采集到的数据流进行过滤,得到目标数据流;
所述将每个水印位分别嵌入每个水印位对应的前端设备输出的数据流中,包括:
将每个水印位分别嵌入每个水印位对应的前端设备输出的目标数据流中。
在实际应用中,可以在数据流中嵌入比特位来标记是否是关于敏感数据的数据流,具体的,只需要在源头进行敏感数据关联分析,在流转中通过该标识比特位进行流量监测与比对,提高了识别效率,非常适合扩展在低能耗的物联设备中。
在一种可能的实施方式中,在所述将每个水印位分别嵌入每个水印位对应的前端设备输出的数据流之后,所述方法还包括:
提取待识别数据流中的水印位,并对所述水印位进行解码,得到待识别指纹;
基于所述设备指纹库中的设备指纹对所述待识别指纹进行识别,得到所述待识别数据流对应的前端设备信息;
将所述待识别数据流对应的前端设备信息上传至预设的数据流转记录库中。
第二方面,本发明实施例提供了一种流量采集设备,所述流量采集设备包括水印生成器、水印嵌入器、水印提取器和水印检测器,所述流量采集设备用于实现如第一方面中任一所述的方法。
本方案对于流量采集设备的构成也有改进,一般的流量采集设备,比如网关,不包括上述水印生成器、水印嵌入器、水印提取器和水印检测器,本方案可以在出入口网关增设水印嵌入器和水印检测器,在水印嵌入器处将设备指纹转换为具有特定属性的水印代码嵌入数据流中,在水印检测器处分析流量的特征,以便检测带水印的流并解码水印,从而达到在MAC篡改攻击和欺骗IP攻击下的数据多网关流转中的追踪作用,还可以实现实时的、周期性的数据追溯审计,对敏感数据全周期做到完全可视。
第三方面,本发明实施例提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器通过运行所述可执行指令以实现第一方面中任一所述方法的步骤。
第四方面,本发明实施例提供了一种计算机可读写存储介质,其上存储有计算机指令,该指令被处理器执行时实现第一方面中任一所述方法的步骤。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种设备指纹生成方法的流程示意图;
图2为本发明实施例提供的一种设备指纹生成方法的具体流程示意图;
图3为本发明实施例提供的一种流量采集设备的结构示意图;
图4为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
在目前的流量分析中,一般是通过分析流数据包的数据包长度、数据包间距、数据包方向等统计特征,并利用先进的机器学习算法预测用户位置,检测异常流量,但是在数据传输过程中的追溯方式一般都是通过流量分析实现,对数据包进行分析得到发送端的互联网协议地址,但互联网协议标识符可以通过使用网络或软件的专家知识进行更改或操纵,这可能会在设备标识扮演关键安全角色的情况下造成重大安全威胁,需要一种合理的机制去解决这类情况造成的问题,进一步提高数据流转的安全性。
基于上述问题,本发明实施例提供一种设备指纹生成方法及设备,用以解决数据流转过程中安全性低的问题。
下面结合上述描述的应用场景,参考附图来描述本申请示例性实施方式提供的设备指纹生成方法,需要注意的是,上述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此方面不受任何限制。
如图1所示,为本发明实施例提供的一种设备指纹生成方法的流程示意图,该方法应用于流量采集设备,流量采集设备与至少一个前端设备连接,方法包括:
步骤101,将采集到的前端设备的数据流分为多个数据块集合。
需要说明的是,每个数据块集合包括多个数据块,每个数据块包括第一预设数量的分组,每个分组包含数据特征。
另外,分组是在网络中传输的二进制格式的单元,为了提供通信性能和可靠性,每个用户发送的数据会被分成多个更小的部分,在每个部分的前面加上控制信息组成的首部以及尾部,就构成了一个分组。
步骤102,基于每个数据块内各个分组的数据特征、预设的相似性度量函数和预设字符级别,确定每个数据块集合中每种数据特征对应的目标度量值。
需要说明的是,数据块集合包括第二预设数量的数据块。
步骤103,对目标度量值进行交叉熵运算,得到每种数据特征对应的第一向量;以及对目标度量值进行均值计算,得到每种数据特征对应的第二向量。
需要说明的是,第一向量表征每种数据特征用于区分各个前端设备的信息价值;第二向量表征每种数据特征在数据传输中的稳定性;
步骤104,基于第一向量和第二向量,确定每种数据特征对应的综合向量。
步骤105,对综合向量高于预设阈值的数据特征进行编码,生成设备指纹,并将设备指纹和设备指纹对应的前端设备信息上传至预设的设备指纹库。
下面结合实施例对上述设备指纹生成方法进行详细说明:
图2为本申请实施例提供的一种设备指纹生成方法的具体流程示意图,如图2所示,该方法包括:
步骤201,对前端设备的数据流进行流量采集分析。
在一种可能的实施例中,流量采集分析是指在接入网关上被动地捕获所有类型的网络流量,流量采集分析可以包括预过滤和数据特征提取,其中,预过滤是指过滤掉无法使用的数据流。
另外,使用基于数据流的特征提取方法生成设备指纹,难以伪造指纹特征,即使设备地址从一个网络移动到另一个网络,本方案公开的设备指纹生成方法也可以保持稳定,能够抵抗网络中的节点伪造或伪装等漏洞,提高了数据流转的安全性。
步骤202,将采集到的前端设备的数据流分为多个数据块集合。
在一种可能的实施例中,可以通过下述方法生成数据块:
对数据流进行划分,得到包含第一预设数量的分组的多个子数据流,并将每个子数据流中各个分组的数据特征进行编码,生成数据块。
步骤203,基于每个数据块内各个分组的数据特征、预设的相似性度量函数和预设字符级别,确定每个数据块集合中每种数据特征对应的目标度量值。
在一种可能的实施例中,可以通过下述方法确定目标度量值:
首先,基于相似性度量函数对每个数据块的数据特征进行计算,得到第一度量值。
需要说明的是,第一度量值为每个数据块中每种数据特征对应的度量值。
然后,确定符合预设字符级别的第一度量值为第二度量值。
最后,对每种数据特征在数据块集合中对应的多个第二度量值进行编码,得到目标度量值。
步骤204,对目标度量值进行交叉熵运算,得到每种数据特征对应的第一向量。
具体的,可以基于从不同前端设备计算的数据特征的度量熵值来评估特征的可变性,比如根据多个级联的块的度量重心值计算特征度量的熵值,因此针对不同种类的数据特征,可以将其用于区别不同前端设备的价值进行量化,得到第一向量。
比如,A类型数据特征适用于区别不同前端设备,B类型数据特征不适用于区别不同前端设备,则A类型数据特征对应的第一向量的向量值大于B类型数据特征对应的第一向量的向量值。
步骤205,将对目标度量值进行均值计算,得到每种数据特征对应的第二向量。
在一种可能的实施例中,可以通过下述方法计算第二向量:
首先,对同一种数据特征在多个数据块集合中对应的多个目标度量值进行求和,得到同一种数据特征对应的度量总值。
然后,基于数据块集合的数量和同一种数据特征对应的度量总值进行均值计算,得到同一种数据特征对应的第二向量。
具体的,针对不同种类的数据特征,对其在数据传输中的稳定性进行量化,得到第二向量,比如,A类型数据特征在数据传输中的稳定性较高,B类型数据特征在数据传输中的稳定性较低,则A类型数据特征对应的第二向量的向量值大于B类型数据特征对应的第二向量的向量值。
步骤206,基于第一向量和第二向量,确定每种数据特征对应的综合向量。
在一种可能的实施例中,可以通过使用乘法运算来合并这两个向量,以获得每种数据特征对应的综合向量,综合向量可以表征特征区分不同设备的信息价值以及在数据传输中稳定性。
步骤207,对综合向量高于预设阈值的数据特征进行编码,生成设备指纹,并将设备指纹和设备指纹对应的前端设备信息上传至预设的设备指纹库。
本申请公开的设备指纹生成方法,通过量化每种数据特征区分前端设备的信息价值和数据传输过程中的稳定性,并通过设置预设阈值筛选容易区分不同设备且在数据传输中稳定性高的数据特征,并对符合要求的数据特征进行组合编码生成设备指纹,上传至预设的设备指纹库,以便于指纹识别时进行比对。
在传输加密数据时,由于必须保留设备的处理能力,因此进行数据加密可以调用的算力有限,本方案公开的设备指纹生成方法简便,不需要进行频繁的加解密操作即可对数据进行流量追溯。
进一步的,在生成设备指纹之后,需要对设备指纹进行嵌入操作,如图3所示,嵌入方法包括:
步骤208,根据预设的敏感数据信息表对采集到的数据流进行过滤,得到目标数据流。
在一种可能的实施例中,可以通过选择涉及到敏感数据的流进行嵌入,不涉及敏感数据的流将直接向网络发送。
步骤209,对每个前端设备的通信信道进行扩频。
与所有通信信道一样,携带水印比特的信道也可能有噪声,并且添加到载波信号的干扰可能会破坏水印,所以必须提高水印系统的鲁棒性和嵌入水印的可靠性。
在一种可能的实施例中,可以基于时间的扩频,比如当使用相同版本的载波信号多次复制单个比特位b时,使用稀疏化方法,将单个比特位b映射到M位的长序列,通过控制信号载波大小,进一步扩频。
在一种可能的实施例中,在涉及到直接扩频时,可以基于频率的扩频比如将伪噪声码用于在比原始信号带宽更宽的频谱上扩展载波信号。
步骤210,对每个前端设备对应的设备指纹进行编码,分别生成每个前端设备对应的水印位。
在一种可能的实施例中,出口网关在向网络发送敏感数据流时,可以根据数据流是否带有设备指纹编码映射成两个标识符b0、b1,比如,若接收到的数据流包含设备指纹,则生成标识符b0并嵌入到数据流中,若接收到的数据流不包含设备指纹,则生成标识符b1并嵌入到数据流中。
通过上述方法可以优化设备指纹的嵌入过程,进一步的通过标识符来判断是否需要指纹提取,另外,本方案不使用如互联网协议(Internet Protocol,IP)地址或(MediaAccess Control,MAC)地址等传统的标识符,而采用流量采集设备来标识数据流,并可以进一步的经由控制中台来对流转路径进行展示,从而实现对数据流转的即时监控并溯源,进一步提高数据流转的安全性。
步骤211,将每个水印位嵌入每个水印位对应的前端设备输出的数据流中。
在一种可能的实施例中,可以通过修改载波信号的一些特征,将水印位嵌入到目标数据流中。比如使用基于速率的方式嵌入:在网络的某一段中注入虚拟流量共同影响当时通过同一段的实际流量的速率,通过控制流量注入,在目标流上生成可识别的速率模式,在目标流中嵌入水印比特率序列。
通过上述方法,将数据流视为从源发送到目的地并流经网络的在同一时刻信息可以进行双向传输的双工有序消息序列,并将设备指纹作为水印主动嵌入数据流中,进而用于追溯数据源。
另外,源在应用层生成的消息在根据互联网协议套件封装在互联网协议包流中之前可以被分段和聚集并加密,由于加密无法在应用层读取消息,因此可以在网络层进行水印嵌入。
进一步的,在嵌入设备指纹之后,需要对设备指纹进行检测操作,如图3所示,检测方法包括:
步骤212,提取待识别数据流中的水印位,并对水印位进行解码,得到待识别指纹。
在一种可能的实施例中,当有流量进入流量采集设备时,水印提取器可以根据设置的载体特征提取可能传输水印位的流包特征。所选的载体特征可以是待识别数据流的描述符向量以及提取流包的到达时间戳。
进一步的,在提取特征之后,标识符计算提取的特征和先前与水印一起排列的参数的函数值。该值可以指示目前检测的流是否拥有水印,同时,解码流包特征,提取待识别指纹。
步骤213,基于设备指纹库中的设备指纹对待识别指纹进行识别,得到待识别数据流对应的前端设备信息。
在一种可能的实施例中,可以将待识别指纹与设备指纹库中的设备指纹进行对比,并对比对匹配的待识别指纹所在的数据流分配包含对应前端设备信息的设备标签。
步骤214,将待识别数据流对应的前端设备信息上传至预设的数据流转记录库中。
在一种可能的实施例中,可以在网关处同时开启数据上传服务,将识别出来的前端设备信息与数据流转记录上传到预设的数据流转记录库,中转平台会及时展示敏感数据流转时通过的关键设备,进一步的,可以对数据进行流量追溯。
综上,本申请公开的设备指纹生成方法通过量化每种数据特征区分前端设备的信息价值和数据传输过程中的稳定性,并通过设置预设阈值筛选容易区分不同设备且在数据传输中稳定性高的数据特征,并对符合要求的数据特征进行组合编码生成设备指纹,本方案公开的设备指纹生成与检测方法简便,不需要进行频繁的加解密操作即可对数据进行流量追溯,方便设备调用更多的算力的处理其他信息,另外,在数据流转过程中通过嵌入的水印位进行流量监测与比对,提高了识别效率,使得本方法适合应用在低能耗的物联设备中,最后,本方案可以实现实时的、周期性的数据追溯审计,对敏感数据全周期做到完全可视,使技术人员可以直接定位到局域网关,有助于跟踪从源头到攻击者的流量,识别威胁方,及时进行定位和封堵,并最终对其做出反应性决策。
比如,当前端设备被一个单一实体,例如僵尸主机,开发、管理和协调的恶意软件感染。根据攻击者的意图,僵尸程序可被利用来执行不同的非法行为,例如分布式拒绝服务(Distributed Denial of Service,DDoS)攻击、垃圾邮件和仿冒,并可被视为特定类型的基于网络的攻击。与任何其他类型的基于网络的攻击者一样,设备主人希望保持其身份未知。本方案中的设备指纹的流水印可以扩展应用在僵尸网络的分布式架构中,来定位、中和僵尸设备和设备主人的策略。
再比如,目前的网络服务的模块化组织具备功能性、安全性和可靠性,但当出现错误行为时,很难隔离问题的根源。互联网上可用的服务,例如域名系统(Domain NameSystem,DNS)、互联网服务器以及负载平衡等,和支持这些服务的基础设施之间的关系越来越复杂。因此,本方案可以通过流水印和设备指纹识别复杂平台中网络服务之间依赖关系的工具,用于检测相互交互的应用服务之间存在的依赖性。
基于同一技术构思,本申请实施例还提供一种流量采集设备,如图3所示,流量采集设备包括水印生成器301、水印嵌入器302、水印提取器303和水印检测器304,流量采集设备用于实现如图2中的任一方法。
传统的设备指纹识别方法通常是通过物联网服务器进行的,比如,通过物联网服务器对从物联网网关中接收的网络流量进行预处理;物联网服务器分多个捕获期间对预处理后的网络流量进行捕获,并在多个捕获期间中确定目标捕获期间,从目标捕获期间所捕获的网络流量中确定目标物联网设备的目标物理地址,再根据目标物理地址提取目标物联网设备的设备指纹,并对设备指纹进行识别。
本方案对于数据流的特征提取、设备指纹生成、嵌入以及检测都是在流量采集设备,比如网关中完成的,相比于上述使用物联网服务器进行指纹识别的方案,即使设备地址从一个网络移动到另一个网络,本方案公开的设备指纹生成方法也可以保持稳定,能够抵抗网络中的节点伪造或伪装等漏洞,提高了数据流转的安全性。
另外,一般的流量采集设备,比如网关,不包括上述水印生成器、水印嵌入器、水印提取器和水印检测器,本方案可以在出入口网关增设水印嵌入器和水印检测器,在水印嵌入器处将设备指纹转换为具有特定属性的水印代码嵌入数据流中,在水印检测器处分析流量的特征,以便检测带水印的流并解码水印,从而达到在MAC篡改攻击和欺骗IP攻击下的数据多网关流转中的追踪作用,还可以实现实时的、周期性的数据追溯审计,对敏感数据全周期做到完全可视,使技术人员可以直接定位到局域网关,有助于跟踪从源头到攻击者的流量,识别威胁方,及时进行定位和封堵,并最终对其做出反应性决策。
基于同一技术构思,本申请实施例还提供一种电子设备,如图4所示,包括:处理器401和用于存储处理器可执行指令的存储器402;其中,处理器401通过运行可执行指令以实现如图2中的任一方法。
示例性的,处理器401可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
应理解,本申请实施例中提及的存储器402可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read-only Memory,ROM)、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double DataEate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)。
需要说明的是,当处理器401为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时,存储器(存储模块)可以集成在处理器中。
应注意,本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
基于同一技术构思,本申请实施例还提供一种计算机存储介质,包括程序或指令,当所述程序或指令在计算机上运行时,使得如图2中的任一方法被执行。
应理解,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的保护范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种设备指纹生成方法,其特征在于,应用于流量采集设备,所述流量采集设备与至少一个前端设备连接,所述方法包括:
将采集到的前端设备的数据流分为多个数据块集合;其中,每个数据块集合包括多个数据块,每个数据块包括第一预设数量的分组,每个分组包含数据特征;
基于每个数据块内各个分组的数据特征、预设的相似性度量函数和预设字符级别,确定每个数据块集合中每种数据特征对应的目标度量值;其中,所述数据块集合包括第二预设数量的数据块;
对所述目标度量值进行交叉熵运算,得到每种数据特征对应的第一向量;以及对所述目标度量值进行均值计算,得到每种数据特征对应的第二向量;其中,所述第一向量表征每种数据特征用于区分各个前端设备的信息价值;所述第二向量表征每种数据特征在数据传输中的稳定性;
基于所述第一向量和所述第二向量,确定每种数据特征对应的综合向量;
对所述综合向量高于预设阈值的数据特征进行编码,生成设备指纹,并将所述设备指纹和所述设备指纹对应的前端设备信息上传至预设的设备指纹库。
2.如权利要求1所述的设备指纹生成方法,其特征在于,通过下述方法生成数据块:
对所述数据流进行划分,得到包含第一预设数量的分组的多个子数据流;
将每个子数据流中各个分组的数据特征进行编码,生成所述数据块。
3.如权利要求1所述的设备指纹生成方法,其特征在于,所述基于每个数据块内各个分组的数据特征、预设的相似性度量函数和预设字符级别,确定每个数据块集合中每种数据特征对应的目标度量值,包括:
基于所述相似性度量函数对每个数据块的数据特征进行计算,得到第一度量值;其中,所述第一度量值为每个数据块中每种数据特征对应的度量值;
确定符合所述预设字符级别的第一度量值为第二度量值;
对每种数据特征在所述数据块集合中对应的多个第二度量值进行编码,得到所述目标度量值。
4.如权利要求3所述的设备指纹生成方法,其特征在于,所述对所述目标度量值进行均值计算,得到每种数据特征对应的第二向量包括:
对同一种数据特征在多个数据块集合中对应的多个目标度量值进行求和,得到所述同一种数据特征对应的度量总值;
基于所述数据块集合的数量和所述同一种数据特征对应的度量总值进行均值计算,得到所述同一种数据特征对应的第二向量。
5.如权利要求1所述的设备指纹生成方法,其特征在于,在所述生成设备指纹之后,所述方法包括:
对每个前端设备的通信信道进行扩频;
对每个前端设备对应的设备指纹进行编码,分别生成每个前端设备对应的水印位,并将所述水印位嵌入所述水印位对应的前端设备输出的数据流中。
6.如权利要求5所述的设备指纹生成方法,其特征在于,在所述对每个前端设备对应的设备指纹进行编码,分别生成每个前端设备对应的水印位之前,所述方法还包括:
根据预设的敏感数据信息表对采集到的数据流进行过滤,得到目标数据流;
所述将每个水印位分别嵌入每个水印位对应的前端设备输出的数据流中,包括:
将每个水印位分别嵌入每个水印位对应的前端设备输出的目标数据流中。
7.如权利要求5所述的设备指纹生成方法,其特征在于,在所述将每个水印位分别嵌入每个水印位对应的前端设备输出的数据流之后,所述方法还包括:
提取待识别数据流中的水印位,并对所述水印位进行解码,得到待识别指纹;
基于所述设备指纹库中的设备指纹对所述待识别指纹进行识别,得到所述待识别数据流对应的前端设备信息;
将所述待识别数据流对应的前端设备信息上传至预设的数据流转记录库中。
8.一种流量采集设备,其特征在于,所述流量采集设备包括水印生成器、水印嵌入器、水印提取器和水印检测器,所述流量采集设备用于实现如权利要求1-7任一所述的方法。
9.一种电子设备,其特征在于,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器通过运行所述可执行指令以实现权利要求1-7任一所述方法的步骤。
10.一种计算机可读写存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现权利要求1-7任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211662148.2A CN116074051A (zh) | 2022-12-23 | 2022-12-23 | 一种设备指纹生成方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211662148.2A CN116074051A (zh) | 2022-12-23 | 2022-12-23 | 一种设备指纹生成方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116074051A true CN116074051A (zh) | 2023-05-05 |
Family
ID=86177918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211662148.2A Pending CN116074051A (zh) | 2022-12-23 | 2022-12-23 | 一种设备指纹生成方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116074051A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117675755A (zh) * | 2024-01-31 | 2024-03-08 | 浙江省电子信息产品检验研究院(浙江省信息化和工业化融合促进中心) | 智能网联设备管理方法与装置 |
-
2022
- 2022-12-23 CN CN202211662148.2A patent/CN116074051A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117675755A (zh) * | 2024-01-31 | 2024-03-08 | 浙江省电子信息产品检验研究院(浙江省信息化和工业化融合促进中心) | 智能网联设备管理方法与装置 |
| CN117675755B (zh) * | 2024-01-31 | 2024-04-19 | 浙江省电子信息产品检验研究院(浙江省信息化和工业化融合促进中心) | 智能网联设备管理方法与装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测系统 | |
| Wang et al. | Seeing through network-protocol obfuscation | |
| Iacovazzi et al. | Network flow watermarking: A survey | |
| Aiello et al. | DNS tunneling detection through statistical fingerprints of protocol messages and machine learning | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| Bordel et al. | Data authentication and anonymization in IoT scenarios and future 5G networks using chaotic digital watermarking | |
| US20090129288A1 (en) | Network traffic identification by waveform analysis | |
| Zeng et al. | Flow context and host behavior based shadowsocks’s traffic identification | |
| CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
| CN104852914B (zh) | 一种基于数据包间隔的水印跳变通信方法 | |
| CN105429940B (zh) | 一种利用信息熵和哈希函数进行网络数据流零水印提取的方法 | |
| CN116132989B (zh) | 一种工业互联网安全态势感知系统及方法 | |
| CN116074051A (zh) | 一种设备指纹生成方法及设备 | |
| CN110225009B (zh) | 一种基于通信行为画像的代理使用者检测方法 | |
| Koziak et al. | How to make an intrusion detection systemaware of steganographic transmission | |
| Moure-Garrido et al. | Detecting malicious use of DOH tunnels using statistical traffic analysis | |
| Moure-Garrido et al. | Real time detection of malicious DoH traffic using statistical analysis | |
| Cabaj et al. | Towards distributed network covert channels detection using data mining-based approach | |
| CN113839925A (zh) | 基于数据挖掘技术的IPv6网络入侵检测方法及系统 | |
| CN117354024A (zh) | 基于大数据的dns恶意域名检测系统及方法 | |
| CN107835168A (zh) | 一种基于端信息扩展序列矩阵转置相乘的认证方法 | |
| Rahmani et al. | Distributed denial‐of‐service attack detection scheme‐based joint‐entropy | |
| KR102119636B1 (ko) | 수동 핑거프린팅을 이용한 익명 네트워크 분석 시스템 및 방법 | |
| CN111371727A (zh) | 一种针对ntp协议隐蔽通信的检测方法 | |
| KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |