CN116192525A - 一种设备识别方法、装置、电子设备及可读存储介质 - Google Patents

一种设备识别方法、装置、电子设备及可读存储介质 Download PDF

Info

Publication number
CN116192525A
CN116192525A CN202310205799.7A CN202310205799A CN116192525A CN 116192525 A CN116192525 A CN 116192525A CN 202310205799 A CN202310205799 A CN 202310205799A CN 116192525 A CN116192525 A CN 116192525A
Authority
CN
China
Prior art keywords
equipment
sample
analyzed
determining
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310205799.7A
Other languages
English (en)
Inventor
王裕
郑慧梅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing QIYI Century Science and Technology Co Ltd
Original Assignee
Beijing QIYI Century Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing QIYI Century Science and Technology Co Ltd filed Critical Beijing QIYI Century Science and Technology Co Ltd
Priority to CN202310205799.7A priority Critical patent/CN116192525A/zh
Publication of CN116192525A publication Critical patent/CN116192525A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Image Analysis (AREA)
  • Collating Specific Patterns (AREA)
  • Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)

Abstract

本申请提供了一种设备识别方法、装置、电子设备及可读存储介质,属于设备识别技术领域。本申请通过,获取样本设备集合中每个样本设备对应的样本设备数据;针对每个样本设备,将所述样本设备对应的样本设备数据输入至预先训练好的设备指纹评分模型,以使所述设备指纹评分模型输出对应的设备评分;基于所述设备评分,在所述样本设备集合中确定待分析设备集合;基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征;基于所述设备特征在待检测设备中识别目标设备。从而提高对黑产设备进行识别的准确率。

Description

一种设备识别方法、装置、电子设备及可读存储介质
技术领域
本申请涉及设备识别技术领域,尤其涉及一种设备识别方法、装置、电子设备及可读存储介质。
背景技术
黑产指以互联网为媒介,以网络技术为主要手段,为计算机信息系统安全和网络空间管理秩序,带来潜在威胁(重大安全隐患)的非法行为,例如,“黑客攻击”、“盗取账号”等。黑产设备,则指用于执行黑产行为的电子设备,通过识别这些黑产设备可以方便维护网络安全。
目前的黑产设备识别方案一般是:预先通过离线部署的设备指纹评分模型,对每个历史访问过的设备进行评分,评分的高低代表该设备风险性概率的大小,即,该设备为黑产设备的概率大小,由此,识别出黑产设备的设备id,然后,利用该设备id对待检测的设备进行实时识别,在这个设备以相同的设备id再次访问时进行一些阻断拦截的风控措施。
然而,通过上述方式实时识别黑产设备时,若黑产采用模拟器、改机工具等技术手段伪造新的设备指纹时,则无法成功识别黑产设备,导致对黑产设备的识别准确率较低。
发明内容
为了解决上述通过设备指纹评分的方式识别黑产设备,识别准确率较低的技术问题,本申请提供了一种设备识别方法、装置、电子设备及可读存储介质。
第一方面,本申请实施例提供一种设备识别方法,包括:
获取样本设备集合中每个样本设备对应的样本设备数据;
针对每个样本设备,将所述样本设备对应的样本设备数据输入至预先训练好的设备指纹评分模型,以使所述设备指纹评分模型输出对应的设备评分;
基于所述设备评分,在所述样本设备集合中确定待分析设备集合;
基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征;
基于所述设备特征在待检测设备中识别目标设备。
在一个可能的实施方式中,所述基于所述设备评分,在所述样本设备集合中确定待分析设备集合,包括:
将所述样本设备集合中对应设备评分符合预设条件的样本设备,确定为待分析设备,并基于所有所述待分析设备构建所述待分析设备集合;
其中,所述预设条件为设备评分大于预设评分阈值,且,所述设备评分在所有设备评分中出现次数超过预设次数阈值。
在一个可能的实施方式中,所述基于所述设备评分,在所述样本设备集合中确定待分析设备集合,包括:
将所述样本设备集合中对应设备评分大于预设评分阈值的样本设备,确定为待分析设备;
基于所有所述待分析设备构建所述待分析设备集合。
在一个可能的实施方式中,所述待分析设备集合包括:至少一个待分析设备子集合,其中,所述待分析设备子集合中每个待分析设备对应的设备评分相同;
所述基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征,包括:
针对每个待分析设备子集合,基于所述待分析设备子集合中每个待分析设备对应的样本设备数据,确定特征值集合;
在所述特征值集合中确定至少一个候选特征值,以及每个所述候选特征值在所述特征值集合中的出现次数;
基于每个候选特征值对应的出现次数,在至少一个所述候选特征值中确定目标特征值;
在所述目标特征值中确定所述设备特征。
在一个可能的实施方式中,所述基于每个候选特征值对应的出现次数,在至少一个所述候选特征值中确定目标特征值,包括:
按照对应出现次数由高到低的顺序对至少一个所述候选特征值进行排序,并将排序靠前的、预设数量的候选特征值确定为所述目标特征值。
在一个可能的实施方式中,所述在所述目标特征值中确定所述设备特征,包括:
针对每个目标特征值,在测试设备集合中匹配符合所述目标特征值的目标测试设备,确定所述目标测试设备对应的设备标签,并基于所述设备标签确定所述目标特征值对应的匹配准确率;
将对应匹配准确率高于预设准确率阈值的目标特征值,确定为所述设备特征。
在一个可能的实施方式中,所述设备特征包括至少一个维度的维度特征,所述基于所述设备特征在待检测设备中识别目标设备之后,还包括:
在至少一个维度特征中,确定所述目标设备对应的目标维度特征;
基于所述目标维度特征生成对所述目标设备的评价信息。
第二方面,本申请实施例提供一种设备识别装置,包括
获取模块,用于获取样本设备集合中每个样本设备对应的样本设备数据;
输入模块,用于针对每个样本设备,将所述样本设备对应的样本设备数据输入至预先训练好的设备指纹评分模型,以使所述设备指纹评分模型输出对应的设备评分;
第一确定模块,用于基于所述设备评分,在所述样本设备集合中确定待分析设备集合;
第二确定模块,用于基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征;
识别模块,用于基于所述设备特征在待检测设备中识别目标设备。
在一个可能的实施方式中,所述第一确定模块,具体用于:
将所述样本设备集合中对应设备评分符合预设条件的样本设备,确定为待分析设备,并基于所有所述待分析设备构建所述待分析设备集合;
其中,所述预设条件为设备评分大于预设评分阈值,且,所述设备评分在所有设备评分中出现次数超过预设次数阈值。
在一个可能的实施方式中,所述第一确定模块,还用于:
将所述样本设备集合中对应设备评分大于预设评分阈值的样本设备,确定为待分析设备;
基于所有所述待分析设备构建所述待分析设备集合。
在一个可能的实施方式中,所述待分析设备集合包括:至少一个待分析设备子集合,其中,所述待分析设备子集合中每个待分析设备对应的设备评分相同;
所述第二确定模块,具体用于:
针对每个待分析设备子集合,基于所述待分析设备子集合中每个待分析设备对应的样本设备数据,确定特征值集合;
在所述特征值集合中确定至少一个候选特征值,以及每个所述候选特征值在所述特征值集合中的出现次数;
基于每个候选特征值对应的出现次数,在至少一个所述候选特征值中确定目标特征值;
在所述目标特征值中确定所述设备特征。
在一个可能的实施方式中,所述第二确定模块,还用于:
按照对应出现次数由高到低的顺序对至少一个所述候选特征值进行排序,并将排序靠前的、预设数量的候选特征值确定为所述目标特征值。
在一个可能的实施方式中,所述第二确定模块,还用于:
针对每个目标特征值,在测试设备集合中匹配符合所述目标特征值的目标测试设备,确定所述目标测试设备对应的设备标签,并基于所述设备标签确定所述目标特征值对应的匹配准确率;
将对应匹配准确率高于预设准确率阈值的目标特征值,确定为所述设备特征。
在一个可能的实施方式中,所述装置还包括生成模块,用于:
在至少一个维度特征中,确定所述目标设备对应的目标维度特征;
基于所述目标维度特征生成对所述目标设备的评价信息。
第三方面,提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面任一所述的方法步骤。
第四方面,提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面任一所述的方法步骤。
第五方面,提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的设备识别方法。
本申请实施例有益效果:
本申请实施例提供了一种设备识别方法、装置、电子设备及可读存储介质,本申请通过,首先,获取样本设备集合中每个样本设备对应的样本设备数据,然后,针对每个样本设备,将所述样本设备对应的样本设备数据输入至预先训练好的设备指纹评分模型,以使所述设备指纹评分模型输出对应的设备评分,之后,基于所述设备评分,在所述样本设备集合中确定待分析设备集合,并基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征,最后,基于所述设备特征在待检测设备中识别目标设备。通过本申请,可以对设备指纹评分模型筛选出的黑产设备(即待分析设备)进行进一步分析,由此分析出黑产设备的设备特征,进而,利用设备特征在待检测设备中识别黑产设备,由于设备特征难以更改,如此,即使黑产伪造新的设备指纹,也可以准确识别出黑产设备,从而提高对黑产设备进行识别的准确率。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种设备识别方法的流程图;
图2为本申请实施例提供的另一种设备识别方法的流程图;
图3为本申请实施例提供的一种设备识别装置的结构示意图;
图4为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
由于,目前的黑产设备识别方案一般是:预先通过离线部署的设备指纹评分模型,对每个历史访问过的设备进行评分,评分的高低代表该设备风险性概率的大小,即,该设备为黑产设备的概率大小,由此,识别出黑产设备的设备id,然后,利用该设备id对待检测的设备进行实时识别,在这个设备以相同的设备id再次访问时进行一些阻断拦截的风控措施。然而,通过上述方式实时识别黑产设备时,若黑产采用模拟器、改机工具等技术手段伪造新的设备指纹时,则无法成功识别黑产设备,导致对黑产设备的识别准确率较低。为此,本申请实施例提供了一种设备识别方法,可以用于识别黑产设备。
下面结合附图以具体实施例对本申请提供的设备识别方法做出解释说明,实施例并不构成对本申请实施例的限定。
参见图1,为本申请实施例提供的一种设备识别方法的实施例流程图。如图1所示,该流程可包括以下步骤:
S101,获取样本设备集合中每个样本设备对应的样本设备数据。
本申请实施例提供的一种设备识别方法用于在待检测设备中识别目标设备(如黑产设备)。
上述样本设备集合中包含多个样本设备,其中,样本设备如电脑、手机等电子设备。
样本设备数据,指样本数据对应的多个维度的维度信息,其中,维度如设备id、设备类型、设备启动时间、设备电池电量、设备内存以及设备分辨率等,维度信息指每个维度上具体的数值。
例如,对于设备a,其对应的样本设备数据为:设备id为a,设备类型为手机,设备启动时间为8:00,设备电池电量为80%,设备内存为60%等。
S102,针对每个样本设备,将所述样本设备对应的样本设备数据输入至预先训练好的设备指纹评分模型,以使所述设备指纹评分模型输出对应的设备评分。
上述设备指纹评分模型,为预先利用训练数据(如标记了是否为黑产设备的设备数据)训练至收敛的模型,用于根据设备数据对设备进行评分,其中,评分的高低代表该设备风险性概率的大小,即,该设备为黑产设备的概率大小。
基于此,本申请实施例中,可以分别将每个样本设备对应的样本设备数据,输入至该设备指纹评分模型,由该设备指纹评分模型输出每个样本设备对应的设备评分。
S103,基于所述设备评分,在所述样本设备集合中确定待分析设备集合。
上述待分析设备集合中,包含由设备指纹评分模型预测的所有黑产设备或者部分黑产设备。
在一实施例中,所述基于所述设备评分,在所述样本设备集合中确定待分析设备集合的具体实现可包括:将所述样本设备集合中对应设备评分大于预设评分阈值的样本设备,确定为待分析设备,基于所有所述待分析设备构建所述待分析设备集合。
该实施例中,预设评分阈值用于判定设备是否为黑产设备,即,设备评分大于该阈值的设备为模型预测的黑产设备,设备评分小于或等于该阈值的,为模型预测的非黑产设备。也就是说,将样本设备集合中由设备指纹评分模型预测的所有黑产设备,确定为待分析设备。
实际应用中,由于黑产的特点,黑产设备常出现聚集性的特点,即,同一时间会有大量的黑产设备同时登录,并且,这些设备中往往会出现一些相似的设备维度信息(如设备启动时间、设备内存以及设备分辨率等),也将导致设备评分模型给出的评分中会出现一定的得分聚集性。
基于此,在另一实施例中,所述基于所述设备评分,在所述样本设备集合中确定待分析设备集合的具体实现可包括:
将所述样本设备集合中对应设备评分符合预设条件的样本设备,确定为待分析设备,并基于所有所述待分析设备构建所述待分析设备集合;其中,所述预设条件为设备评分大于预设评分阈值,且,所述设备评分在所有设备评分中出现次数超过预设次数阈值。
该实施例中,通过设置两条筛选条件来筛选待分析设备,即,设备评分大于预设评分阈值,且,设备评分出现聚集性(即在所有设备评分中出现次数超过预设次数阈值)的设备。其中,预设评分阈值和预设次数阈值可以由用户根据实际情况设置。
例如,条件一为:设备评分>0.5,即,设备指纹评分模型认为该设备为黑产设备的概率大于0.5;条件二为:设备评分聚集性>2000,也就是说,通过设备指纹评分模型对样本设备集合中每个样本设备进行评分,得到超过2000条设备评分为相同分数(如0.6)的设备。
也就是说,在由设备指纹评分模型预测的所有黑产设备中,进一步将设备评分出现聚集性的设备,确定为待分析设备。由此,可以提高待分析设备为黑产设备的概率,进而,提高后续利用待分析设备确定设备特征的准确率。
S104,基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征。
S105,基于所述设备特征在待检测设备中识别目标设备。
以下对S104和S105进行统一说明:
本申请实施例中,在确定所有待分析设备(即,待分析设备集合)之后,基于每个待分析设备对应的样本设备数据,分析可以用于表征待分析设备集合中大部分待分析设备的设备特征。
进而,通过该设备特征实时对待检测设备是否为目标设备(即黑产设备)进行识别。其中,设备特征包含至少一个维度的维度特征。
具体的,基于所述设备特征在待检测设备中识别目标设备的实现可包括以下步骤:获取待检测设备的设备数据,所述设备数据中包含至少一个维度的维度信息,针对设备特征包含的每个维度的维度特征,比较该维度特征与设备数据中相应维度的维度信息是否一致,在任一维度特征匹配到一致的维度信息时,确定该待检测设备为目标设备。
例如,设备特征包括:设备启动时间为8:00,设备电池电量为80%,设备内存为60%,待检测设备的设备数据包括:设备id为a,设备类型为手机,设备启动时间为9:00,设备电池电量为80%,设备内存为90%等。则依次对设备启动时间、设备电池电量、设备内存三个维度上的维度特征和维度信息进行比较。经比较,设备特征中设备电池电量为80%,待检测设备的设备数据中设备电池电量也为80%,二者一致,因此,确定该待检测设备为目标设备。
至于具体如何基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征,将通过下文实施例进行详细的解释说明,这里先不详述。
在另一实施例中,所述设备特征包括至少一个维度的维度特征,所述基于所述设备特征在待检测设备中识别目标设备之后,还可以包括以下步骤:在至少一个维度特征中,确定所述目标设备对应的目标维度特征,基于所述目标维度特征生成对所述目标设备的评价信息。
其中,目标设备对应的目标维度特征,即,与目标设备的设备数据中相应维度信息一致的维度特征,如上述示例中的“设备电池电量为80%”。
评价信息,指通过目标维度特征生成的用于解释为何识别待检测设备为目标设备的信息。例如,目标维度特征为“设备电池电量为80%”,对应的评价信息可以是:将该设备识别为目标设备的原因为该设备的设备电池电量为80%。
由于现有技术中通过设备指纹识别模型识别黑产设备,模型只会给出一个对于判断是否为黑产设备的评分,对于模型具体根据哪些特征判定待检测设备是否为黑产设备并不清楚。而本实施例中,可以通过判定待检测设备为目标设备的维度特征,生成对应的评价信息,由此可以方便用户了解判断待检测设备为目标设备的原因。
本申请实施例中,首先,获取样本设备集合中每个样本设备对应的样本设备数据,然后,针对每个样本设备,将所述样本设备对应的样本设备数据输入至预先训练好的设备指纹评分模型,以使所述设备指纹评分模型输出对应的设备评分,之后,基于所述设备评分,在所述样本设备集合中确定待分析设备集合,并基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征,最后,基于所述设备特征在待检测设备中识别目标设备。通过本申请,可以对设备指纹评分模型筛选出的黑产设备(即待分析设备)进行进一步分析,由此分析出黑产设备的设备特征,进而,利用设备特征在待检测设备中识别黑产设备,由于设备特征难以更改,如此,即使黑产伪造新的设备指纹,也可以准确识别出黑产设备,从而提高对黑产设备进行识别的准确率。
参见图2,为本申请实施例提供的另一种设备识别方法的实施例流程图。该图2所示流程在上述图1所示流程的基础上,描述如何基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征。如图2所示,该流程可包括以下步骤:
S201,针对每个待分析设备子集合,基于所述待分析设备子集合中每个待分析设备对应的样本设备数据,确定特征值集合。
上述待分析设备集合包括:至少一个待分析设备子集合,其中,待分析设备子集合中每个待分析设备对应的设备评分相同。例如,通过设备指纹评分模型输出得分0.6的超过2000条数据,得分0.7的也超过2000条数据,则将得分0.6的所有待分析设备构建为一个待分析设备子集合,将得分0.7的所有待分析设备构建为另一个待分析设备子集合。
本申请实施例中,针对每个待分析设备子集合进行进一步的特征挖掘。具体为,针对每个待分析设备子集合,对于该待分析设备子集合中每个待分析设备的样本设备数据,将该样本设备数据中每个维度及该维度对应的维度信息作为一个特征值,由所有特征值构建特征值集合。
例如,设备1的样本设备数据为:设备id为a,设备类型为手机,设备启动时间为8:00;设备2的样本设备数据为:设备id为b,设备类型为手机,设备启动时间为8:00。
则特征值集合中包括:设备id为a,设备id为b,设备类型为手机,设备类型为手机,设备启动时间为8:00,设备启动时间为8:00,也即,不论相同维度上维度信息是否相同,在特征值集合中均对应有一个特征值。
S202,在所述特征值集合中确定至少一个候选特征值,以及每个所述候选特征值在所述特征值集合中的出现次数。
本申请实施例中,候选特征值,指从内容角度统计的特征值,相同的特征值对应同一个候选特征值。
候选特征值在特征值集合中的出现次数,即,特征值集合中与候选特征值一致的特征值的数量。
例如,特征值集合中包括:设备id为a,设备id为b,设备类型为手机,设备类型为手机,设备启动时间为8:00,设备启动时间为8:00。
则可以确定特征值集合对应的候选特征值为:设备id为a,设备id为b,设备类型为手机,设备启动时间为8:00。
对于候选特征值“设备id为a”而言,特征值集合中仅对应一个与其一致的特征值,因此,该候选特征值对应的出现次数为“1”;对于候选特征值“设备类型为手机”而言,特征值集合中对应两个与其一致的特征值,因此,该候选特征值对应的出现次数为“2”。
S203,基于每个候选特征值对应的出现次数,在至少一个所述候选特征值中确定目标特征值。
在一申请实施例中,所述基于每个候选特征值对应的出现次数,在至少一个所述候选特征值中确定目标特征值的具体实现可包括:按照对应出现次数由高到低的顺序对至少一个所述候选特征值进行排序,并将排序靠前的、预设数量的候选特征值确定为所述目标特征值。由此,可以筛选出出现次数最多的一些候选特征值作为目标特征值,使筛选出的目标特征值更能代表所有待分析设备中大部分设备的共同特征,从而提高后续确定设备特征的准确性。
在另一申请实施例中,所述基于每个候选特征值对应的出现次数,在至少一个所述候选特征值中确定目标特征值的具体实现可包括:将对应出现次数大于预设次数阈值的候选特征值,确定为目标特征值。该方案计算过程简单,由此,可以快速筛选出符合条件的候选特征值作为目标特征值。
S204,在所述目标特征值中确定所述设备特征。
在一实施例中,所述在所述目标特征值中确定所述设备特征的具体实现可包括:将所有目标特征值确定为所述设备特征,其中,每个目标特征值作为所述设备特征所包括的一个维度特征。由此实现对设备特征的确定。
在另一实施例中,所述在所述目标特征值中确定所述设备特征的具体实现可包括:针对每个目标特征值,在测试设备集合中匹配符合所述目标特征值的目标测试设备,确定所述目标测试设备对应的设备标签,并基于所述设备标签确定所述目标特征值对应的匹配准确率,将对应匹配准确率高于预设准确率阈值的目标特征值,确定为所述设备特征。
上述测试设备集合中包含多个测试设备。设备标签包括黑产设备和非黑产设备,其中,设备标签可以是预先人工设置的,也可以是通过预设模型检测得到的。
该实施例中,在利用目标特征值匹配得到目标测试设备后,若目标测试设备的设备标签为黑产设备,则意味着目标特征值的匹配结果正确,否则,匹配结果错误。通过统计匹配正确的次数和匹配的总次数,确定相应的匹配准确率,即,匹配正确率=匹配正确的次数/匹配的总次数。进而,将匹配准确率高于预设准确率阈值的目标特征值,确定为设备特征。由此,提高设备特征的准确率,进而,提高后续识别目标设备的准确率。
基于相同的技术构思,本申请实施例还提供了一种设备识别装置,如图3所示,该装置包括:
获取模块301,用于获取样本设备集合中每个样本设备对应的样本设备数据;
输入模块302,用于针对每个样本设备,将所述样本设备对应的样本设备数据输入至预先训练好的设备指纹评分模型,以使所述设备指纹评分模型输出对应的设备评分;
第一确定模块303,用于基于所述设备评分,在所述样本设备集合中确定待分析设备集合;
第二确定模块304,用于基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征;
识别模块305,用于基于所述设备特征在待检测设备中识别目标设备。
在一个可能的实施方式中,所述第一确定模块,具体用于:
将所述样本设备集合中对应设备评分符合预设条件的样本设备,确定为待分析设备,并基于所有所述待分析设备构建所述待分析设备集合;
其中,所述预设条件为设备评分大于预设评分阈值,且,所述设备评分在所有设备评分中出现次数超过预设次数阈值。
在一个可能的实施方式中,所述第一确定模块,还用于:
将所述样本设备集合中对应设备评分大于预设评分阈值的样本设备,确定为待分析设备;
基于所有所述待分析设备构建所述待分析设备集合。
在一个可能的实施方式中,所述待分析设备集合包括:至少一个待分析设备子集合,其中,所述待分析设备子集合中每个待分析设备对应的设备评分相同;
所述第二确定模块,具体用于:
针对每个待分析设备子集合,基于所述待分析设备子集合中每个待分析设备对应的样本设备数据,确定特征值集合;
在所述特征值集合中确定至少一个候选特征值,以及每个所述候选特征值在所述特征值集合中的出现次数;
基于每个候选特征值对应的出现次数,在至少一个所述候选特征值中确定目标特征值;
在所述目标特征值中确定所述设备特征。
在一个可能的实施方式中,所述第二确定模块,还用于:
按照对应出现次数由高到低的顺序对至少一个所述候选特征值进行排序,并将排序靠前的、预设数量的候选特征值确定为所述目标特征值。
在一个可能的实施方式中,所述第二确定模块,还用于:
针对每个目标特征值,在测试设备集合中匹配符合所述目标特征值的目标测试设备,确定所述目标测试设备对应的设备标签,并基于所述设备标签确定所述目标特征值对应的匹配准确率;
将对应匹配准确率高于预设准确率阈值的目标特征值,确定为所述设备特征。
在一个可能的实施方式中,所述装置还包括生成模块,用于:
在至少一个维度特征中,确定所述目标设备对应的目标维度特征;
基于所述目标维度特征生成对所述目标设备的评价信息。
本申请实施例中,首先,获取样本设备集合中每个样本设备对应的样本设备数据,然后,针对每个样本设备,将所述样本设备对应的样本设备数据输入至预先训练好的设备指纹评分模型,以使所述设备指纹评分模型输出对应的设备评分,之后,基于所述设备评分,在所述样本设备集合中确定待分析设备集合,并基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征,最后,基于所述设备特征在待检测设备中识别目标设备。通过本申请,可以对设备指纹评分模型筛选出的黑产设备(即待分析设备)进行进一步分析,由此分析出黑产设备的设备特征,进而,利用设备特征在待检测设备中识别黑产设备,由于设备特征难以更改,如此,即使黑产伪造新的设备指纹,也可以准确识别出黑产设备,从而提高对黑产设备进行识别的准确率。
基于相同的技术构思,本申请实施例还提供了一种电子设备,如图4所示,包括处理器111、通信接口112、存储器113和通信总线114,其中,处理器111,通信接口112,存储器113通过通信总线114完成相互间的通信,
存储器113,用于存放计算机程序;
处理器111,用于执行存储器113上所存放的程序时,实现如下步骤:
获取样本设备集合中每个样本设备对应的样本设备数据;
针对每个样本设备,将所述样本设备对应的样本设备数据输入至预先训练好的设备指纹评分模型,以使所述设备指纹评分模型输出对应的设备评分;
基于所述设备评分,在所述样本设备集合中确定待分析设备集合;
基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征;
基于所述设备特征在待检测设备中识别目标设备。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一设备识别方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一设备识别方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种设备识别方法,其特征在于,所述方法包括:
获取样本设备集合中每个样本设备对应的样本设备数据;
针对每个样本设备,将所述样本设备对应的样本设备数据输入至预先训练好的设备指纹评分模型,以使所述设备指纹评分模型输出对应的设备评分;
基于所述设备评分,在所述样本设备集合中确定待分析设备集合;
基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征;
基于所述设备特征在待检测设备中识别目标设备。
2.根据权利要求1所述的方法,其特征在于,所述基于所述设备评分,在所述样本设备集合中确定待分析设备集合,包括:
将所述样本设备集合中对应设备评分符合预设条件的样本设备,确定为待分析设备,并基于所有所述待分析设备构建所述待分析设备集合;
其中,所述预设条件为设备评分大于预设评分阈值,且,所述设备评分在所有设备评分中出现次数超过预设次数阈值。
3.根据权利要求1所述的方法,其特征在于,所述基于所述设备评分,在所述样本设备集合中确定待分析设备集合,包括:
将所述样本设备集合中对应设备评分大于预设评分阈值的样本设备,确定为待分析设备;
基于所有所述待分析设备构建所述待分析设备集合。
4.根据权利要求1所述的方法,其特征在于,所述待分析设备集合包括:至少一个待分析设备子集合,其中,所述待分析设备子集合中每个待分析设备对应的设备评分相同;
所述基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征,包括:
针对每个待分析设备子集合,基于所述待分析设备子集合中每个待分析设备对应的样本设备数据,确定特征值集合;
在所述特征值集合中确定至少一个候选特征值,以及每个所述候选特征值在所述特征值集合中的出现次数;
基于每个候选特征值对应的出现次数,在至少一个所述候选特征值中确定目标特征值;
在所述目标特征值中确定所述设备特征。
5.根据权利要求4所述的方法,其特征在于,所述基于每个候选特征值对应的出现次数,在至少一个所述候选特征值中确定目标特征值,包括:
按照对应出现次数由高到低的顺序对至少一个所述候选特征值进行排序,并将排序靠前的、预设数量的候选特征值确定为所述目标特征值。
6.根据权利要求4所述的方法,其特征在于,所述在所述目标特征值中确定所述设备特征,包括:
针对每个目标特征值,在测试设备集合中匹配符合所述目标特征值的目标测试设备,确定所述目标测试设备对应的设备标签,并基于所述设备标签确定所述目标特征值对应的匹配准确率;
将对应匹配准确率高于预设准确率阈值的目标特征值,确定为所述设备特征。
7.根据权利要求1所述的方法,其特征在于,所述设备特征包括至少一个维度的维度特征,所述基于所述设备特征在待检测设备中识别目标设备之后,还包括:
在至少一个维度特征中,确定所述目标设备对应的目标维度特征;
基于所述目标维度特征生成对所述目标设备的评价信息。
8.一种设备识别装置,其特征在于,所述装置包括:
获取模块,用于获取样本设备集合中每个样本设备对应的样本设备数据;
输入模块,用于针对每个样本设备,将所述样本设备对应的样本设备数据输入至预先训练好的设备指纹评分模型,以使所述设备指纹评分模型输出对应的设备评分;
第一确定模块,用于基于所述设备评分,在所述样本设备集合中确定待分析设备集合;
第二确定模块,用于基于所述待分析设备集合中每个待分析设备对应的样本设备数据,确定对应的设备特征;
识别模块,用于基于所述设备特征在待检测设备中识别目标设备。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-7任一所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一所述的方法步骤。
CN202310205799.7A 2023-03-03 2023-03-03 一种设备识别方法、装置、电子设备及可读存储介质 Pending CN116192525A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310205799.7A CN116192525A (zh) 2023-03-03 2023-03-03 一种设备识别方法、装置、电子设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310205799.7A CN116192525A (zh) 2023-03-03 2023-03-03 一种设备识别方法、装置、电子设备及可读存储介质

Publications (1)

Publication Number Publication Date
CN116192525A true CN116192525A (zh) 2023-05-30

Family

ID=86444253

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310205799.7A Pending CN116192525A (zh) 2023-03-03 2023-03-03 一种设备识别方法、装置、电子设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN116192525A (zh)

Similar Documents

Publication Publication Date Title
CN108090567B (zh) 电力通信系统故障诊断方法及装置
CN107315954B (zh) 一种文件类型识别方法及服务器
US11467817B2 (en) Software component defect prediction using classification models that generate hierarchical component classifications
CN111581092B (zh) 仿真测试数据的生成方法、计算机设备及存储介质
CN111796957B (zh) 基于应用日志的交易异常根因分析方法及系统
CN107491536B (zh) 一种试题校验方法、试题校验装置及电子设备
CN111062036A (zh) 恶意软件识别模型构建、识别方法及介质和设备
CN111338692A (zh) 基于漏洞代码的漏洞分类方法、装置及电子设备
CN111931047B (zh) 基于人工智能的黑产账号检测方法及相关装置
CN111738290B (zh) 图像检测方法、模型构建和训练方法、装置、设备和介质
CN110704614B (zh) 对应用中的用户群类型进行预测的信息处理方法及装置
CN116192525A (zh) 一种设备识别方法、装置、电子设备及可读存储介质
CN115484048A (zh) 一种基于云环境的入侵行为检测方法及装置
CN115392787A (zh) 企业的风险评估方法、装置、设备、存储介质及程序产品
CN114943083A (zh) 一种智能终端漏洞代码样本挖掘方法、装置及电子设备
CN114692778A (zh) 用于智能巡检的多模态样本集生成方法、训练方法及装置
CN113656354A (zh) 日志分类方法、系统、计算机设备和可读存储介质
CN114417830A (zh) 风险评价方法、装置、设备及计算机可读存储介质
CN114020905A (zh) 一种文本分类外分布样本检测方法、装置、介质及设备
CN113807391A (zh) 任务模型的训练方法、装置、电子设备及存储介质
CN113052604A (zh) 一种对象检测方法、装置、设备及存储介质
CN112328787B (zh) 文本分类模型训练方法、装置、终端设备及存储介质
CN112801489B (zh) 诉讼案件风险检测方法、装置、设备和可读存储介质
CN113298185B (zh) 模型训练方法、异常文件检测方法、装置、设备及介质
CN117220915A (zh) 流量分析方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination