CN116383794A - 设备识别方法、装置、电子设备及存储介质 - Google Patents

设备识别方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN116383794A
CN116383794A CN202310484427.2A CN202310484427A CN116383794A CN 116383794 A CN116383794 A CN 116383794A CN 202310484427 A CN202310484427 A CN 202310484427A CN 116383794 A CN116383794 A CN 116383794A
Authority
CN
China
Prior art keywords
parameter
parameters
fingerprint
target
device fingerprint
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310484427.2A
Other languages
English (en)
Inventor
程元鸿
程佩哲
王雪霏
许啸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202310484427.2A priority Critical patent/CN116383794A/zh
Publication of CN116383794A publication Critical patent/CN116383794A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Medical Informatics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

本公开提供了一种设备识别方法、装置、电子设备及存储介质,可以应用于信息安全技术领域和金融技术领域。该方法包括:按照至少一个参数维度,从待识别设备的设备指纹参数中确定与至少一个参数维度对应的目标设备指纹参数,其中,至少一个参数维度是根据参数修改耗时和参数修改次数确定的;根据目标设备指纹参数,确定待识别设备的异常概率;基于异常概率和第一预设条件,对待识别设备进行异常识别。

Description

设备识别方法、装置、电子设备及存储介质
技术领域
本公开涉及信息安全技术领域和金融技术领域,尤其涉及一种设备识别方法、装置、电子设备和存储介质。
背景技术
随着信息技术的发展,信息安全逐渐成为一个较为重要的问题。存在通过对设备进行修改,来规避安全识别验证,进而获取对象信息的异常状况。
在实现本公开构思的过程中,发明人发现,识别存在异常状况的设备,准确性较低。
发明内容
鉴于上述问题,本公开提供了一种设备识别方法、设备识别装置、电子设备、计算机可读存储介质和计算机程序产品。
根据本公开的第一个方面,提供了一种设备识别方法,包括:按照至少一个参数维度,从待识别设备的设备指纹参数中确定与至少一个参数维度对应的目标设备指纹参数,其中,至少一个参数维度是根据参数修改耗时和参数修改次数确定的;根据目标设备指纹参数,确定待识别设备的异常概率;基于异常概率和第一预设条件,对待识别设备进行异常识别。
根据本公开的实施例,上述设备识别方法,还包括:根据参数修改耗时和参数修改次数,得到第一候选参数维度集合;根据重要程度,得到第二候选参数维度集合;基于第一候选参数维度集合和第二候选参数维度集合,得到参数维度。
根据本公开的实施例,目标设备指纹参数为多个;根据目标设备指纹参数,确定待识别设备的异常概率,包括:根据多个目标设备指纹参数,得到与多个目标设备指纹参数对应的多个特征向量,其中,多个特征向量包括第一特征向量和第二特征向量,在样本设备指纹信息中,存在与第一特征向量所对应的目标设备指纹参数一致的参数,不存在与第二特征向量所对应的目标设备指纹参数一致的参数,样本设备指纹信息用于训练初始模型得到目标模型;在第一特征向量和第二特征向量之间的相似度满足预设相似度阈值的情况下,利用目标模型处理第一特征向量,得到与第一特征向量对应的第一异常概率;根据第一异常概率,确定与第二特征向量对应的第二异常概率;根据第一异常概率和第二异常概率,确定异常概率。
根据本公开的实施例,目标设备指纹参数为多个;根据目标设备指纹参数,确定待识别设备的异常概率,包括:对多个目标设备指纹参数进行数组编码处理,得到设备指纹数组集;基于设备指纹数组集,确定待识别设备的异常概率。
根据本公开的实施例,上述设备识别方法还包括:在设备指纹数组集满足第二预设条件的情况下,从待识别设备的设备指纹参数中,确定补充设备指纹参数,其中,补充设备指纹参数用于对设备指纹数组集进行补充;根据补充设备指纹参数和多个目标设备指纹参数,得到目标设备指纹数组集。
根据本公开的实施例,设备指纹数组集包括多个数组特征;上述设备识别方法还包括:根据多个数组特征彼此之间的相似度,确定相似数组特征组,其中,相似数组特征组包括至少两个相似度满足预设相似度阈值的数组特征;在相似数组特征组的数组特征数量信息大于预设值的情况下,确定设备指纹数组集满足第二预设条件。
根据本公开的实施例,基于设备指纹数组集,确定待识别设备的异常概率,包括:利用目标模型处理设备指纹数组集,得到待识别设备的异常概率,其中,目标模型是基于样本设备指纹信息和目标损失函数训练初始模型得到的,目标损失函数是基于权重信息和初始损失函数得到的,权重信息用于在训练过程中,调整目标损失函数对初始模型的模型参数进行优化的优化方向。
根据本公开的实施例,样本设备指纹信息是基于样本设备标识信息和样本设备属性信息得到的,其中,样本设备属性信息包括对象标识信息和样本硬件参数,样本设备标识信息是根据对象标识信息和样本硬件参数生成的。
根据本公开的实施例,目标设备指纹参数包括硬件参数、网络参数、应用参数和历史操作参数。
根据本公开的实施例,硬件参数包括以下至少一种:设备内核版本参数和设备只读硬件参数;网络参数包括以下至少一种:网卡状态参数、网关标识参数和网关接入地址参数;应用参数包括以下至少一种:应用框架参数和应用版本参数;历史操作参数包括异常操作参数。
本公开的第二方面提供了一种设备识别装置,包括:第一确定模块,用于按照至少一个参数维度,从待识别设备的设备指纹参数中确定与至少一个参数维度对应的目标设备指纹参数,其中,至少一个参数维度是根据参数修改耗时和参数修改次数确定的;第二确定模块,用于根据目标设备指纹参数,确定待识别设备的异常概率;识别模块,用于基于异常概率和第一预设条件,对待识别设备进行异常识别。
本公开的第三方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行上述方法。
本公开的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述方法。
本公开的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述方法。
根据本公开提供的设备识别方法、装置、电子设备和存储介质,通过根据参数修改耗时和参数修改次数,可以确定设备指纹参数的修改难度,由此,可以确定修改难度满足需求的参数维度,进而可以按照该参数维度,从待识别设备的设备指纹参数中,确定修改难度满足需求的目标设备指纹参数,进而可以根据该修改难度满足需求的目标设备指纹参数确定异常概率,有效避免了由于设备指纹参数被修改,而降低异常概率的准确性,进而提高了对待识别设备进行异常识别的准确性。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的设备识别方法的应用场景图。
图2示意性示出了根据本公开实施例的设备识别方法的流程图。
图3示意性示出了根据本公开实施例的获取目标设备指纹参数的示意图。
图4示意性示出了根据本公开实施例的数组编码的示意图。
图5示意性示出了根据本公开实施例的训练得到目标模型的示意图。
图6示意性示出了根据本公开实施例的确定目标设备指纹参数的示意图。
图7示意性示出了根据本公开实施例的确定样本目标设备指纹参数的示意图。
图8示意性示出了根据本公开实施例的设备识别装置的结构框图。
图9示意性示出了根据本公开实施例的适于实现设备识别方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
在本公开的技术方案中,所涉及的数据(如包括但不限于用户个人信息)的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
设备在安全验证过程中,可能由于异常状况,而导致安全验证失效。避免安全验证的方式,可以为“基于定制ROM(Read-Only Memory,只读存储器)来规避安全验证”。
定制ROM可以指技术人员通过定制化开发对设备操作系统的内存镜像文件进行修改。异常定制ROM可以指通过修改设备的操作系统的底层代码,实现修改图像采集装置的驱动函数。由此,在调用图像采集装置进行进行安全验证的情况下,可以将采集的图像替换为设备本地存储的图像,进而可以达到规避安全验证的目的。基于此,在设备存在异常状况的情况下,安全验证可能会失效。
有鉴于此,本公开的实施例提供了一种设备识别方法,包括:按照至少一个参数维度,从待识别设备的设备指纹参数中确定与至少一个参数维度对应的目标设备指纹参数,其中,至少一个参数维度是根据参数修改耗时和参数修改次数确定的。根据目标设备指纹参数,确定待识别设备的异常概率。基于异常概率和第一预设条件,对待识别设备进行异常识别。
图1示意性示出了根据本公开实施例的设备识别方法的应用场景图。
如图1所示,根据该实施例的应用场景100可以包括第一终端设备101、第二终端设备102、第三终端设备103、网络104和服务器105。网络104用以在第一终端设备101、第二终端设备102、第三终端设备103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用第一终端设备101、第二终端设备102、第三终端设备103中的至少一个通过网络104与服务器105交互,以接收或发送消息等。第一终端设备101、第二终端设备102、第三终端设备103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
第一终端设备101、第二终端设备102、第三终端设备103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用第一终端设备101、第二终端设备102、第三终端设备103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的设备识别方法一般可以由服务器105执行。相应地,本公开实施例所提供的设备识别装置一般可以设置于服务器105中。本公开实施例所提供的设备识别方法也可以由不同于服务器105且能够与第一终端设备101、第二终端设备102、第三终端设备103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的设备识别装置也可以设置于不同于服务器105且能够与第一终端设备101、第二终端设备102、第三终端设备103和/或服务器105通信的服务器或服务器集群中。
应该理解,根据实现需要,可以具有任意数目的第一终端设备、第二终端设备、第三终端设备、网络和服务器。
以下将基于图1描述的场景,通过图2~图7对本公开实施例的设备识别方法进行详细描述。
图2示意性示出了根据本公开实施例的设备识别方法的流程图。
如图2所示,该实施例的设备识别方法包括操作S210~操作S230。
在操作S210,按照至少一个参数维度,从待识别设备的设备指纹参数中确定与至少一个参数维度对应的目标设备指纹参数,其中,至少一个参数维度是根据参数修改耗时和参数修改次数确定的。
在操作S220,根据目标设备指纹参数,确定待识别设备的异常概率。
在操作S230,基于异常概率和第一预设条件,对待识别设备进行异常识别。
根据本公开的实施例,指纹可以指硬件参数和网络参数等参数中存在差异的数据形成的特征参数集合,可以根据指纹区分不同的实体或缩小实体的范围。设备指纹参数可以包括硬件参数、网络参数、历史操作参数、应用参数、字体参数中的至少一项,但不限于此。硬件参数可以包括运行平台参数、CPU类型参数和屏幕分辨率参数中的至少一项,但不限于此。历史操作参数可以包括语言设置参数、Cookies参数、时区参数和屏幕参数中的至少一项,但不限于此。应用参数可以包括应用版本参数,但不限于此。
基于此,设备指纹参数可以理解为待识别设备中存在差异的数据形成的特征参数集合,但不限于此。设备指纹参数可以包括多个维度的参数信息,例如,可以包括硬件参数、网络参数、应用参数、历史操作参数和字体参数等。
至少一个参数维度可以包括硬件参数所对应的参数维度、网络参数硬件参数所对应的参数维度、应用参数硬件参数所对应的参数维度和历史操作参数硬件参数所对应的参数维度。
目标设备指纹参数可以是按照上述至少一个参数维度,从待识别设备的设备指纹参数中所确定的,用于确定异常概率的设备指纹参数。
例如:在上述至少一个参数维度包括网络参数的情况下,参数维度可以与网络参数对应,由此,所提取的目标设备指纹参数可以包括网络参数,但不限于此。
根据本公开的实施例,参数维度可以包括硬件参数所对应的参数维度、网络参数所对应的参数维度、应用参数所对应的参数维度和历史操作参数所对应的参数维度等,但不限于此。用于识别设备是否异常的参数维度,可以是参数修改耗时较长以及参数修改次数较少的设备指纹参数,所对应的参数维度。
根据本公开的实施例,与参数维度对应的目标设备指纹参数,可以包括硬件参数、网络参数、应用参数和历史操作参数等。例如,硬件参数可以包括设备内核版本参数等,网络参数可以包括网关接入地址参数等。其中,网关接入地址参数可以用于确定待识别设备接入的网关的所在地址。
根据本公开的实施例,参数修改耗时可以表征设备指纹参数被修改所需消耗的时长。例如,在多个第一设备对第二设备的某一设备指纹参数进行修改的情况下,参数修改耗时可以是根据该多个第一设备对第二设备的设备指纹参数修改的平均参数修改耗时确定的;还可以是根据该多个第一设备中修改耗时最长的第一设备的参数修改耗时确定的;还可以是根据该多个第一设备中耗时最短的第一设备的参数修改耗时确定的。
参数修改次数可以表征设备指纹参数被修改的次数。例如,在多个第一设备对第二设备的多个设备指纹参数进行修改的情况下,设备指纹参数被修改的次数越高,则可以部分地说明该设备指纹参数更容易被修改。
其中,上述第一设备可以是指对影响安全验证的终端设备。上述第二设备可以是需要进行安全验证的终端设备。
根据本公开的实施例,第一预设条件可以是第一预设异常概率,在异常概率大于等于第一预设异常概率的情况下,可以将待识别设备识别为异常设备;在异常概率小于第一预设异常概率的情况下,可以将待识别设备识别为正常设备。第一预设异常概率可以为70%,80%或90%等。
根据本公开的实施例,可以根据历史设备指纹参数,确定历史参数维度,然后根据参数修改次数和参数修改耗时,从历史参数维度中,确定上述参数维度。
根据本公开的实施例,可以通过参数修改次数和参数修改耗时,确定较难修改的历史设备指纹参数,进而根据该较难修改的历史设备指纹参数,确定与该较难修改的历史设备指纹参数对应的上述参数维度。例如,可以在历史设备指纹参数的参数修改次数小于等于预设次数阈值以及参数修改耗时大于等于预设耗时阈值的情况下,根据该历史设备指纹参数,确定参数维度。
例如:设备A可以具有历史设备指纹参数A1、历史设备指纹参数A2、历史设备指纹参数A3和历史设备指纹参数A4,在有10个客户端分别对历史设备指纹参数A1、历史设备指纹参数A2、历史设备指纹参数A3和历史设备指纹参数A4进行修改的情况下,历史设备指纹参数A1的平均参数修改耗时为1小时,参数修改次数为8;历史设备指纹参数A2的平均参数修改耗时为1.5小时,参数修改次数为5;历史设备指纹参数A3的平均参数修改耗时为5小时,参数修改次数为1;历史设备指纹参数A4的平均参数修改耗时为0.5小时,参数修改次数为10。由此,可以设置参数修改耗时的耗时阈值为1.2小时,以及参数修改次数的次数阈值为6次,基于此,可以确定参数修改耗时大于等于耗时阈值且参数修改次数小于等于次数阈值的历史设备指纹参数A2和历史设备指纹参数A3为较难修改的设备指纹参数。
可以根据历史设备指纹参数A2所对应的参数维度和历史设备指纹参数A3所对应的参数维度,来确定上述参数维度。
通过使用参数修改次数和参数修改耗时,相比于如参数复杂程度等其他数据,可以更为准确地确定修改难度满足需求的设备指纹参数,提高了确定设备参数的准确性。其中,参数复杂程度可以是参数修改的复杂程度,可以是根据参数修改所需要的操作次数确定的,由于有些设备指纹参数仅需要多次简单操作即可进行修改,因此,通过参数复杂程度确定参数维度,进而基于该参数维度来识别待识别设备,准确性可能较难满足需求。
根据本公开的实施例,可以利用应用来按照参数维度,从待识别设备的设备指纹参数中确定与参数维度对应的目标设备指纹参数,例如,可以利用构建的DFinger_FEATURE特征表,该表可以是一种基于python语言的二进制函数符号识别引擎所构建的特征表,使用Pandas读取待识别设备的设备指纹参数,来确定目标设备指纹参数,其中,该Pandas可以是一种基于Python语言的一个扩展程序库,可以用于数据分析;也可以利用神经网络模型来按照所确定的参数维度,从待识别设备的设备指纹参数中确定与参数维度对应的目标设备指纹参数。
需要强调的是,本公开所获取的所有数据,例如设备指纹参数,均是在对象许可的情况下所获取的,获取的过程符合相关法律规定。
根据本公开的实施例,可以对目标设备指纹参数进行识别,确定目标设备指纹参数本身的存在异常状况。例如:在硬件参数中的硬件版本标识与实际版本标识不一致的情况下,可以确定该硬件版本标识存在异常状况。存在异常状况的目标设备指纹参数越多,异常概率则越高。例如:存在异常状况的目标设备指纹参数在所确定的目标设备指纹参数中的占比为80%,则可以确定待识别设备的异常概率对应为80%。
根据本公开的实施例,可以通过经训练的模型来根据目标设备指纹参数,确定待识别设备的异常概率,以提高确定效率。该模型可以包括Boosting(即梯度增强)算法模型和Bagging(Bootstrap aggregating,引导聚集)算法模型等。
根据本公开的实施例,通过根据参数修改耗时和参数修改次数,可以确定设备指纹参数的修改难度,由此,可以确定修改难度满足需求的参数维度,进而可以按照该参数维度,从待识别设备的设备指纹参数中,确定修改难度满足需求的目标设备指纹参数,进而可以根据该修改难度满足需求的目标设备指纹参数确定异常概率,有效避免了由于设备指纹参数被修改,而降低异常概率的准确性,进而提高了对待识别设备进行异常识别的准确性。
根据本公开的实施例,还可以设置第二预设异常概率和第三预设异常概率,第二异常概率可以为20%,但不限于此,第三异常概率可以为80%,但不限于此,由此,在上述确定的异常概率为0~20%的情况下,可以将待识别设备识别为正常设备;在上述确定的异常概率为20~80%的情况下,可以重新从上述设备指纹参数中重新确定目标设备指纹参数,并重新确定异常概率;在上述确定的异常概率为20~80%的情况下,可以将待识别设备识别为异常设备。
根据本公开的实施例,通过执行本公开的方法,可以在进行安全验证之前,获取待识别设备的实时的设备指纹参数,然后对待识别设备进行安全识别,由此,避免对象信息被异常获取,提高了安全性。
根据本公开的实施例,由于获取设备指纹参数的权限问题,在一些情况下,所获取的设备指纹参数可能难以满足用于确定设备是否异常的参数维度的需求,由此,需要通过预设数值来对未能获取得到的设备指纹参数进行填充,以保证在利用目标模型确定异常概率的情况下,目标模型不会由于输入数据而导致所输出的异常概率的准确性降低。其中,预设数值可以为-1,但不限于此。
图3示意性示出了根据本公开实施例的获取目标设备指纹参数的示意图。
如图3所示,以应用登录流程为例,在应用登录过程中,当具有权限的情况下,可以利用设备指纹SDK(Software Development Kit,软件开发工具包),获取待识别设备310的设备指纹参数320。然后可以按照参数维度,从设备指纹参数320中确定目标设备指纹参数330。
根据本公开的实施例,设备指纹参数可以包括IMEI(International MobileEquipment Identity,国际移动设备识别码)和硬件参数,可以根据该IMEI和硬件参数,生成设备标识信息。可以根据该设备标识信息,对待识别设备的异常状况进行记录。
根据本公开的实施例,由于可能存在权限不足或者设备改装等状况,可以对从设备指纹参数中确定的目标设备指纹参数进行数据清洗。例如,对于按照参数维度确定的目标设备指纹参数,可能会由于上述可能存在权限不足或者设备改装等状况而存在空白参数,可以使用-1填充该类空白参数,以保证在将设备指纹参数输入模型的情况下,表达不受影响。
根据本公开的实施例,上述设备识别方法,还包括:根据参数修改耗时和参数修改次数,得到第一候选参数维度集合。根据重要程度,得到第二候选参数维度集合。基于第一候选参数维度集合和第二候选参数维度集合,得到参数维度。
根据本公开的实施例,重要程度可以是根据参数之间的关联程度确定的。在多个参数与一个参数之间的关联程度满足需求的情况下,可以确定该一个参数的重要程度满足需求。例如:可以通过聚类算法,对设备指纹参数进行聚类,得到多个聚类簇;然后再根据每个聚类簇中最接近聚类中心的设备指纹参数,确定候选参数维度。其中,聚类算法可以为K-means(即K均值)聚类算法。由此,可以确定多个重要程度满足需求的参数维度。
重要程度还可以是根据参数对模型效果的影响所确定的。在参数对模型的效果影响越大的情况下,可以确定该参数的重要程度越高。由此,可以确定多个重要程度满足需求的参数维度。并且,在利用经训练的目标模型确定异常概率的情况下,可以提高所确定的异常概率的准确性。例如:基于LightGBM(Light Gradient Boosting Machine,基于决策树算法的分布式梯度提升框架),训练得到经训练模型,再将目标设备指纹参数输入经训练的模型,得到模型的输出结果;再将输出结果融合SHAP(ShapleyAdditive exPlanations,沙普利加和解释)值,即通过计算每个目标设备指纹参数的Shapley值(即沙普利加值),来确定所输入的各个目标设备指纹参数对模型效果的影响程度,进而基于该影响程度的大小,得到多个目标设备指纹参数各自的重要程度。
可以根据上述两种方法中的至少一种确定重要程度,但不限于此。
根据本公开的实施例,第一候选参数维度集合和第二候选参数维度集合可以包括待确定为上述用于识别设备是否异常的候选参数维度。
根据本公开的实施例,根据参数修改耗时和参数修改次数,确定第一候选维度集合。例如,可以根据参数修改耗时和参数修改次数,对多个历史参数维度进行排序,然后根据排序结果,从多个历史参数维度中确定参数修改耗时和参数修改次数满足需求的多个第一候选参数维度,可以根据该多个第一候选参数维度,得到第一候选维度集合。
根据本公开的实施例,根据重要程度,确定第二候选维度集合。例如,可以根据重要程度,对多个历史参数维度进行排序,然后根据排序结果,从多个历史参数维度中,确定多个第二候选参数维度,可以根据该多个第二候选参数维度,得到第二候选维度集合。
其中,上述多个历史参数维度可以是基于历史设备指纹参数得到的。
根据本公开的实施例,基于第一候选参数维度集合和第二候选参数维度集合,得到参数维度。例如,可以是根据第一候选参数维度集合和第二候选参数维度集合之间的交集,来得到用于识别待识别设备的参数维度。
根据本公开的实施例,上述设备识别方法,还包括:根据参数修改耗时和参数修改次数,得到第一候选参数维度集合。根据重要程度,从第一候选参数维度集合中确定参数维度。
根据本公开的实施例,上述设备识别方法,还包括:根据重要程度,得到第二候选参数维度集合。根据参数修改耗时和参数修改次数,从第二候选参数维度集合中确定参数维度。
根据本公开的实施例,通过根据参数修改耗时和参数修改次数,可以得到包含修改难度满足需求的第一候选参数维度的第一候选参数维度集合,以及根据重要程度,得到包含重要程度满足需求的第二候选参数维度的第二候选参数维度集合,由此,基于第一候选参数维度集合和第二候选参数维度集合,得到修改难度和重要程度均满足需求的参数维度,由此,可以根据修改难度和重要程度均满足需求的参数维度来确定目标设备指纹特征,提高了确定目标设备指纹特征的效率,进而提高了对待识别设备进行异常识别的效率。
根据本公开的实施例,目标设备指纹参数为多个。根据目标设备指纹参数,确定待识别设备的异常概率,包括:根据多个目标设备指纹参数,得到与多个目标设备指纹参数对应的多个特征向量,其中,多个特征向量包括第一特征向量和第二特征向量,在样本设备指纹信息中,存在与第一特征向量所对应的目标设备指纹参数一致的参数,不存在与第二特征向量所对应的目标设备指纹参数一致的参数,样本设备指纹信息用于训练初始模型得到目标模型。在第一特征向量和第二特征向量之间的相似度满足预设相似度阈值的情况下,利用目标模型处理第一特征向量,得到与第一特征向量对应的第一异常概率。根据第一异常概率,确定与第二特征向量对应的第二异常概率。根据第一异常概率和第二异常概率,确定异常概率。
根据本公开的实施例,在样本设备指纹信息中,存在与第一特征向量所对应的目标设备指纹参数一致的参数,不存在与第二特征向量所对应的目标设备指纹参数一致的参数。例如:样本指纹信息包括参数B1、参数B2和参数B3。第一特征向量所对应的目标设备指纹参数可以为参数B1,第二特征向量所对应的目标设备指纹参数可以为参数B4。由此,可以确定在样本设备指纹信息中,存在与第一特征向量所对应的目标设备指纹参数一致的参数B1,不存在与第二特征向量所对应的目标设备指纹参数一致的参数B4。
根据本公开的实施例,可以利用预训练模型,得到第一特征向量和第二特征向量之间的相似度。该预训练模型可以是经训练的神经网络模型,但不限于此。该神经网络模型可以包括Word2vec模型,该Word2vec模型可以是用来产生词向量的模型。预设相似度阈值可以为70%、80%或者90%等。
根据本公开的实施例,根据第一异常概率,确定与第二特征向量对应的第二异常概率。例如:第一特征向量对应的第一异常概率可以为80%,由此,可以确定第二异常概率也对应为81%,但不限于此。在第一特征向量和第二特征向量之间的相似度越高的情况下,第一异常概率和第二异常概率可以越接近。
根据本公开的实施例,根据第一异常概率和第二异常概率,确定异常概率。例如:可以利用目标模型按照预设计算方法处理第一异常概率和第二异常概率,来得到异常概率。
根据本公开的实施例,根据相似度满足预设相似度阈值的特征向量的第一异常概率,来确定与该新的特征向量对应的第二异常概率,由此,可以避免样本设备指纹信息中不存在的目标设备指纹参数,影响异常概率的准确性。
根据本公开的实施例,用于处理上述第一特征向量的目标模型,可以是基于样本设备指纹信息和目标损失函数训练初始模型得到的,目标损失函数是基于权重信息和初始损失函数得到的,权重信息用于在训练过程中,调整目标损失函数对初始模型的模型参数进行优化的优化方向。其中,样本设备指纹信息可以为数组编码形式。由于样本设备指纹信息的参数维度可能较高,因此,通过使用数组编码形式的样本设备指纹信息,可以避免使用独热编码等方式导致编码维度过高,由此,可以提高训练模型的效率。
根据本公开的实施例,在利用数组编码形式的样本设备指纹信息训练得到目标模型的情况下,目标模型可以识别通过预训练模型输出的第一特征向量,由此,可以实现通过目标模型来根据第一特征向量得到第一异常概率。在一些实施例中,可以将第一特征向量和第二特征向量输入目标模型,输出异常概率。
由于数组编码形式的样本设备指纹信息的数组维度相对固定,由此,在利用目标模型处理目标设备指纹参数的情况下,可以将目标设备指纹参数进行数组编码处理,得到设备指纹数组集。再利用目标模型处理设备指纹数组集,得到异常概率。其中,为保证模型表达较少受到影响,设备指纹数组集的数组维度可以与样本设备指纹信息一致。
如果利用预训练模型根据目标设备指纹信息,输出第一特征向量和第二特征向量,则可以不对第一特征向量和第二特征向量进行数组编码,直接利用目标模型处理第一特征向量和第二特征向量,得到异常概率。
可以利用经训练的模型,根据目标设备指纹参数的第一特征向量和第二特征向量,得到与目标设备指纹参数对应的数组特征。也可以利用经训练的模型,根据目标设备指纹参数的数组特征,得到与该目标设备指纹参数对应的特征向量。
根据本公开的实施例,目标设备指纹参数为多个。根据目标设备指纹参数,确定待识别设备的异常概率,包括:对多个目标设备指纹参数进行数组编码处理,得到设备指纹数组集。基于设备指纹数组集,确定待识别设备的异常概率。根据本公开的实施例,设备指纹数组集可以包括对多个目标设备指纹参数进行数组编码得到的数组特征。数组编码可以是将该目标设备指纹参数通过数组进行编码,得到设备指纹数组集。该设备指纹数组集可以包括多个数组特征。例如,该设备指纹数组集所包括的数组特征可以为64维或32维等,为了更全面地对待识别设备进行异常识别,设备指纹数组集所包括的数组特征可以为64维。例如,在目标设备指纹参数为4种的情况下,可以分别根据每类目标设备指纹参数得到16维的数组特征,由此可以得到64维的数组特征。
例如:可以根据硬件参数对应的16维数组特征、网络参数对应的16维数组特征、应用参数对应的16维数组特征和历史操作参数对应的16维数组特征,由此,可以得到的设备指纹数组集中所包括64维的数组特征。
根据本公开的实施例,由于多个目标设备指纹参数所包括的参数维度可能较高,因此使用独热编码方式进行编码,可能会导致编码维度过高,而影响确定异常概率的效率。由此,通过使用数组编码,可以避免编码维度过高,提高确定异常概率的效率。
根据本公开的实施例,通过对多个目标设备指纹参数进行数组编码处理,得到设备指纹数组集,由此可以根据设备指纹数组集来确定异常概率,避免了直接根据数据较多的多个目标设备指纹参数来确定异常概率,提高了确定异常概率的效率。
图4示意性示出了根据本公开实施例的数组编码的示意图。
如图4所示,可以对目标设备指纹参数410进行数组编码,该目标设备指纹参数410可以包括硬件参数411、网络参数412、应用参数413和历史操作参数414。由此,可以得到与该硬件参数411、网络参数412、应用参数413和历史操作参数414对应的设备指纹数组集420。需要说明的是图中数组特征仅为示例。
根据本公开的实施例,设备指纹数组集包括多个数组特征。上述设备识别方法还包括:根据多个数组特征彼此之间的相似度,确定相似数组特征组,其中,相似数组特征组包括至少两个相似度满足预设相似度阈值的数组特征。在相似数组特征组的数组特征数量信息大于预设值的情况下,确定设备指纹数组集满足第二预设条件。
根据本公开的实施例,设备指纹数组集满足第二预设条件,可以是设备指纹数组集中,所包含的相似度满足预设相似度阈值的数组特征的数量信息大于预设值;还可以是设备指纹数组集所对应的多个目标设备指纹参数中,所包含的相似度满足预设相似度阈值的目标设备指纹参数的数量信息大于预设值。该预设相似度阈值可以为70%、80%或者90%等。该预设值可以为70%、80%或者90%等。
根据本公开的实施例,在未能获取得到的设备指纹参数较多的情况下,可能会在多个目标设备指纹参数中填充较多的预设数值,由此,基于该填充较多预设数值的多个目标设备指纹参数,所得到的异常概率的准确性可能较难满足需求。
并且,在所获取到的设备指纹参数中相似参数较多的情况下,基于该相似参数较多的目标设备指纹参数,所得到的异常概率的准确性可能也会较难满足需求。
例如,针对应用参数中的应用版本标识参数,在客户端中存在同一应用的两个安装包的情况下,可能根据该两个安装包,得到版本标识为1.0.12和版本标识为1.0.13的两个目标设备指纹参数,而该目标设备指纹参数之间的不同,可能仅仅是由于一些对象在不影响该应用使用的情况下,未及时安装新版本的应用而导致的。
由此,在相似数组特征组的数组特征数量信息大于预设值的情况下,可以确定设备指纹特征数组集中的数组特征区分度较难满足需求。进而可以对设备指纹特征数组集进行处理,来使设备指纹特征数组集满足需求。该处理可以使对设备指纹特征数组集中的数组特征进行替换或者补充,但不限于此。例如,可以从待识别设备的设备指纹参数中确定补充设备指纹参数,来对设备指纹数组集中的数组特征进行补充或者替换。
根据本公开的实施例,在确定设备指纹数组集满足第二预设条件的情况下,可以在设备指纹数组集中,仅保留相似度满足预设相似度阈值的至少两个数组特征中的一个,可以去除该至少两个数组特征中的未被保留的数组特征,补充设备指纹参数的数量,可以与该未被保留的数组特征一致;还可以是在设备指纹数组集中,仅保留相似度满足预设相似度阈值的至少两个目标设备指纹参数各自对应的数组中的一个,可以去除该至少两个目标设备指纹参数各自对应的数组中的未被保留的数组特征,补充设备指纹参数的数量,可以与该未被保留的数组特征一致。
根据本公开的实施例,通过上述确定相似度满足预设相似度阈值的数组特征或者设备指纹参数的方法,可以将预设数值所对应的数组特征进行替换或者补充,以及可以将类似由于更新问题而导致差异的目标设备指纹参数进行替换或者补充,由此得到满足需求的设备指纹数组集,可以提高所得到的异常概率的准确性。
并且,目标设备指纹参数是根据多个参数维度所确定的,因此,保证了确定异常概率的准确性。即使由于将相似度较高的目标设备指纹参数进行替换或补充,使修改过的设备指纹参数被替换,降低了异常概率的准确性,但是由于根据区分度更大的补充设备指纹参数和目标设备指纹参数来确定异常概率,由此,整体上还是提高了异常概率的准确性。
根据本公开的实施例,通过根据多个数组特征彼此之间的相似度,来确定设备指纹数组集满足第二预设条件,可以对设备指纹数组集进行补充,来增加设备指纹数组集中的有效的数组特征,进而可以提高异常概率的准确性。
根据本公开的实施例,上述设备识别方法还包括:在设备指纹数组集满足第二预设条件的情况下,从待识别设备的设备指纹参数中,确定补充设备指纹参数,其中,补充设备指纹参数用于对设备指纹数组集进行补充。根据补充设备指纹参数和多个目标设备指纹参数,得到目标设备指纹数组集。
根据本公开的实施例,在设备指纹数组集满足第二预设条件的情况下,可以确定设备指纹数组集较难满足需求,进而可以从设备指纹参数中再确定补充设备指纹参数,来对设备指纹数组集进行补充,以提高对待识别设备识别的准确性。
由此,可以将补充设备指纹参数和所确定的多个目标设备指纹参数进行数组编码,得到目标设备指纹数组集。
根据本公开的实施例,需要注意的是,如果直接对补充设备指纹参数进行数组编码,得到补充设备指纹参数所对应的数组特征,再将该数组特征添加至设备指纹数组集中,可能会造成所得到的设备指纹数组集中的数组维度不对应的问题。由此,需要将补充设备指纹参数和上述多个目标设备指纹参数一起进行数组编码,得到目标设备指纹数组集。
例如:可以在所选取的参数维度为4个的情况下,设备指纹数组集中的数组特征可以为4个,可以从设备指纹参数中重新确定1个补充设备指纹参数,并将该补充设备指纹参数和该4个目标设备指纹参数一起进行数组编码,得到目标设备指纹数组集。
还例如:在所选取的参数维度为4个的状况下,设备指纹数组集中的数组特征可以为4个,但是如果要对数组特征进行上述补充,需要从该4个数组特征对应的4个目标设备指纹参数中去除1个目标设备指纹参数,然后再将补充设备指纹参数和剩下的3个目标设备指纹参数一起进行数组编码,来得到目标设备指纹数组集。并且,所去除的设备指纹参数与补充设备指纹参数的数量需要对应。
根据本公开的实施例,通过在设备指纹数组集满足第二预设条件的情况下,从待识别设备的设备指纹参数中,确定补充设备指纹参数,进而可以利用补充设备指纹参数来对设备指纹数组集的补充,来增加设备指纹数组集中有效的数组特征,得到目标设备指纹数组集,由此,再基于该目标设备指纹数组集,来得到异常概率,可以提高所确定的异常概率的准确性。
根据本公开的实施例,基于设备指纹数组集,确定待识别设备的异常概率,包括:利用目标模型处理设备指纹数组集,得到待识别设备的异常概率,其中,目标模型是基于样本设备指纹信息和目标损失函数训练初始模型得到的,目标损失函数是基于权重信息和初始损失函数得到的,权重信息用于在训练过程中,调整目标损失函数对初始模型的模型参数进行优化的优化方向。
根据本公开的实施例,目标模型可以是Boosting算法模型,该算法模型的框架可以是LightGBM或者XGBoost(eXtreme Gradient Boosting,极度梯度提升框架)等。
根据本公开的实施例,基于权重信息和初始损失函数得到目标损失函数,例如,可以是基于Boosting算法模型的框架,通过预设的权重信息,来对初始损失函数进行调整,得到目标损失函数。可以是按照权重信息,设置初始损失函数的权重。例如,可以是将权重信息与初始损失函相乘,得到目标损失函数,但不限于此。
由于通过仅通过初始损失函数来对初始模型进行反向梯度优化,可能会使训练得到的模型参数,使模型更易识别正常设备,由此,识别的准确性较难满足需求。基于此,通过使用目标损失函数,可以在模型训练过程中,将初始模型的模型参数向识别异常设备的方向进行梯度优化,由此,可以提高对待识别设备进行异常识别的准确性。
根据本公开的实施例,由于通过使用目标损失函数,在训练过程中,调整目标损失函数对初始模型的模型参数进行优化的优化方向,由此,可以使目标模型向对待识别设备进行异常识别的方向进行优化,提高了识别的准确性。
根据本公开的实施例,可以先对多个样本设备指纹信息进行划分,得到训练集和验证集,其中,训练集用于对初始模型进行训练,来得到中间模型,验证集用于测试中间模型的效果。
以基于XGBoost框架的Boosting算法模型为例,XGBoost是boosting算法的一种实现方式,它是采用多个基学习器,为避免过拟合,下一级基学习器所学习的是前一级基学习器的预测值和实际值的差值,由此,通过多个基学习器的学习,可以不断降低模型值和实际值的差,进而可以降低模型输出结果的误差。
并且,XGBoost可以自定义损失函数,由于在真实环境下,正常设备多于异常设备,为解决中间模型的优化方向趋向于将所有设备判断为正常设备,该模型使用了自定义的目标损失函数,该目标损失函数可以是通过对带权重信息的交叉熵算法改进得到的,由此,可以避免初始损失函数趋向准确率的优化方向,使初始模型的模型参数的优化方向更倾向于识别异常设备。
可以使用验证集对中间模型进行测试,并利用五折交叉验证方法调整中间模型的模型参数,来提升模型效果,由此可以得到目标模型。
图5示意性示出了根据本公开实施例的训练得到目标模型的示意图。
如图5所示,可以根据样本设备指纹信息510,得到训练集520和测试集530,再利用训练集520和测试集530来训练初始模型,可以得到目标模型540。
根据本公开的实施例,样本设备指纹信息可以是基于样本设备标识信息和样本设备属性信息得到的,其中,样本设备属性信息包括对象标识信息和样本硬件参数,样本设备标识信息是根据对象标识信息和样本硬件参数生成的。
根据本公开的实施例,样本设备指纹信息,可以包括样本设备标识信息和样本设备属性信息等信息。样本设备属性信息可以包括样本设备指纹参数等属性信息。样本设备指纹参数可以包括样本硬件参数、样本网络参数、样本应用参数和样本历史操作参数等参数。
根据本公开的实施例,通过根据样本设备属性信息所包括的对象标识信息和样本硬件参数,来生成样本设备标识信息,再基于样本设备标识信息和样本设备属性信息得到样本设备指纹信息,由此实现了对样本设备指纹信息的样本设备标识信息的生成,完成了样本设备指纹信息的预处理,有助于对初始模型的训练过程。
根据本公开的实施例,上述有助于对初始模型的训练过程,可以是指根据该样本设备标识信息,生成与样本设备指纹信息对应的标签,但不限于此。
根据本公开的实施例,在样本设备标识信息表征正常设备的情况下,可以生成正常设备样本标签;在样本设备标识信息表征异常设备的情况下,可以生成异常设备样本标签。由此,可以通过该包含正常设备样本标签或者异常设备样本标签的样本设备指纹信息对初始模型进行训练,得到目标模型。
根据本公开的实施例,目标设备指纹参数包括硬件参数、网络参数、应用参数和历史操作参数。
根据本公开的实施例,由于存在集中使用特定工具包给设备批量重装系统的状况,因此,在设备为运行状态下,硬件参数相对固定。基于此,可以基于硬件参数来得到异常概率,进而对待识别设备进行异常识别。硬件参数可以包括设备内核版本参数、设备只读硬件参数等较难被修改的设备参数。
根据本公开的实施例,具有即时性的网络参数不易被作为需要修改的参数,并且由于被用作规避安全验证的设备,所能利用的网络设备和IP资源有限,因此,该设备的网络地址和Wi-Fi(即无线网络通信技术)接入点具有聚集性。基于此,如果对网络参数进行异常识别,可以提高异常识别的准确性。
由此,可以基于网络参数来确定异常概率。该网络参数包括网卡状态参数、网关标识参数和网关接入地址参数等。该网卡状态参数可以包括SIM(Subscriber IdentityModule,对象识别模块)卡状态参数等;该网关标识参数可以包括设备所接入网关的标识参数和APN(Access Point Name,接入点名称)等;网关接入地址参数可以包括设备所接入网络的地址参数等。
根据本公开的实施例,定制ROM在打包ROM文件的情况下,可能会封装特定版本的常用应用以及第三方hook(钩子)框架,其中,第三方hook框架可以用于找到应用关键逻辑,并进行修改。这些常用APP版本大部分保持常用常新,但对定制ROM设备来说,为保证软件到手可用,版本标识通常会集中在某一特定版本。应用参数可以包括应用框架参数和应用版本参数等。应用框架参数可以用于确定待识别设备是否存在第三方hook框架,以及是否存在模拟器框架等。
根据本公开的实施例,在使用定制ROM设备的情况下,可能会存在一些异常操作,如使用VPN(Virtual Private Network,虚拟专用网络)隐藏真实地址信息,启用ADB(Android Debug Bridge,安卓调试桥)调试功能并连接终端设备等。由此,可以根据历史操作参数来确定异常概率,提高异常概率的准确性。历史操作参数可以包括异常操作参数,该异常操作参数可以用于确定待识别设备是否使用过ADB连接调试,是否正在运行危险应用以及是否通过VPN代理连接等。
根据本公开的实施例,通过硬件参数、网络参数、应用参数和历史操作参数来多维度地确定异常概率,有效保证了异常概率的准确性,进而提高了识别的准确性。
根据本公开的实施例,硬件参数包括以下至少一种:设备内核版本参数和设备只读硬件参数。网络参数包括以下至少一种:网卡状态参数、网关标识参数和网关接入地址参数。应用参数包括以下至少一种:应用框架参数和应用版本参数;历史操作参数包括异常操作参数。
根据本公开的实施例,通过根据上述目标设备指纹参数来得到异常概率,有效保证了异常概率的准确性,进而提高了识别的准确性。
图6示意性示出了根据本公开实施例的确定目标设备指纹参数的示意图。
如图6所示,可以从设备指纹参数610中确定目标设备指纹参数620,该目标设备指纹参数620可以包括硬件参数621、网络参数622、应用参数623和历史操作参数624。
根据本公开的实施例,还可以在根据对象的交易数据和上述目标设备指纹参数一起确定异常概率,进而对待识别设备进行异常识别。
根据本公开的实施例,用于训练初始模型的样本参数维度,可以与上述用于识别设备是否异常的参数维度一致,即根据该样本参数维度所确定的样本目标设备指纹参数,也可以包括样本硬件参数、样本网络参数、样本应用参数和样本历史操作参数。
根据本公开的实施例,样本硬件参数可以包括以下至少一种:样本设备内核版本参数和样本设备只读硬件参数,但不限于此。样本网络参数可以包括以下至少一种:样本网卡状态参数、样本网关标识参数和样本网关接入地址参数,但不限于此。应用参数可以包括以下至少一种:样本应用框架参数和样本应用版本参数,但不限于此;样本历史操作参数可以包括样本异常操作参数,但不限于此。
根据本公开的实施例,由于所选取的目标设备指纹参数的参数维度可能较高,因此,先对目标设备指纹参数进行数组编码,得到设备指纹数组集,避免使用独热编码等方式导致编码维度过高,再将设备指纹数组集输入目标模型,得到异常概率,提高了确定异常概率的效率。
例如,在设备指纹数组集包括硬件参数对应的数组特征、网络参数对应的数组特征、应用参数对应的数组特征和历史操作参数对应的数组特征的情况下,数组编码形式的样本设备指纹信息可以对应包括样本硬件参数对应的数组特征、样本网络参数对应的数组特征、样本应用参数对应的数组特征和样本历史操作参数对应的数组特征。
图7示意性示出了根据本公开实施例的确定样本目标设备指纹参数的示意图。
如图7所示,以应用登录流程为例,在应用登录过程中,当具有权限的情况下,利用设备指纹SDK(Software Development Kit,软件开发工具包),获取样本设备指纹信息720。然后可以按照样本参数维度,从样本设备指纹信息720中确定样本目标设备指纹参数730。
根据本公开的实施例,样本设备指纹信息可以包括IMEI(International MobileEquipment Identity,国际移动设备识别码)和样本硬件参数,可以根据该IMEI和样本硬件参数,生成样本设备标识信息。
根据本公开的实施例,由于可能存在权限不足或者设备改装等状况,可以对从样本设备指纹信息中确定的样本目标设备指纹参数进行数据清洗。例如,对于按照样本参数维度确定的样本目标设备指纹参数,可能会由于上述状况而存在空白参数,可以使用预设数值填充该类空白参数,以保证在将样本设备指纹信息输入模型的情况下,表达不受影响,该预设数值可以为-1等。
基于上述设备识别方法,本公开还提供了一种设备识别装置。以下将结合图8对该装置进行详细描述。
图8示意性示出了根据本公开实施例的设备识别装置的结构框图。
如图8所示,该实施例的设备识别装置800包括第一确定模块810、第二确定模块820和识别模块830。
第一确定模块810用于按照至少一个参数维度,从待识别设备的设备指纹参数中确定与至少一个参数维度对应的目标设备指纹参数,其中,至少一个参数维度是根据参数修改耗时和参数修改次数确定的。在一实施例中,第一确定模块810可以用于执行前文描述的操作S210,在此不再赘述。
第二确定模块820用于根据目标设备指纹参数,确定待识别设备的异常概率。在一实施例中,第二确定模块820可以用于执行前文描述的操作S220,在此不再赘述。
识别模块830用于基于异常概率和第一预设条件,对待识别设备进行异常识别。在一实施例中,识别模块830可以用于执行前文描述的操作S230,在此不再赘述。
根据本公开的实施例,上述设备识别装置还包括第一获取模块和第二获取模块和第三获取模块。其中,第一获取模块用于根据参数修改耗时和参数修改次数,得到第一候选参数维度集合;第二获取模块用于根据重要程度,得到第二候选参数维度集合;第三获取模块用于基于第一候选参数维度集合和第二候选参数维度集合,得到参数维度。
根据本公开的实施例,第二确定模块820包括第一获取子模块、处理子模块、第一确定子模块和第二确定子模块。其中,第一获取子模块用于根据多个目标设备指纹参数,得到与多个目标设备指纹参数对应的多个特征向量,其中,多个特征向量包括第一特征向量和第二特征向量,在样本设备指纹信息中,存在与第一特征向量所对应的目标设备指纹参数一致的参数,不存在与第二特征向量所对应的目标设备指纹参数一致的参数,样本设备指纹信息用于训练初始模型得到目标模型;处理子模块用于在第一特征向量和第二特征向量之间的相似度满足预设相似度阈值的情况下,利用目标模型处理第一特征向量,得到与第一特征向量对应的第一异常概率;确定子模块用于根据第一异常概率,确定与第二特征向量对应的第二异常概率;确定子模块用于根据第一异常概率和第二异常概率,确定异常概率。根据本公开的实施例,第二确定模块820包括第二获取子模块和第三确定子模块。其中,第二获取子模块用于对多个目标设备指纹参数进行数组编码处理,得到设备指纹数组集;第三确定子模块用于基于设备指纹数组集,确定待识别设备的异常概率。
根据本公开的实施例,上述设备识别装置还包括第三确定模块和第四获取模块。其中,第三确定模块用于在设备指纹数组集满足第二预设条件的情况下,从待识别设备的设备指纹参数中,确定补充设备指纹参数,其中,补充设备指纹参数用于对设备指纹数组集进行补充;第四获取模块用于根据补充设备指纹参数和多个目标设备指纹参数,得到目标设备指纹数组集。
根据本公开的实施例,上述设备识别模块还包括第四确定模块和第五确定模块。其中,第四确定模块用于根据多个数组特征彼此之间的相似度,确定相似数组特征组,其中,相似数组特征组包括至少两个相似度满足预设相似度阈值的数组特征;第五确定模块用于在相似数组特征组的数组特征数量信息大于预设值的情况下,确定设备指纹数组集满足第二预设条件。
根据本公开的实施例,第一确定子模块包括获取单元。其中,获取单元用于利用目标模型处理设备指纹数组集,得到待识别设备的异常概率,其中,目标模型是基于样本设备指纹信息和目标损失函数训练初始模型得到的,目标损失函数是基于权重信息和初始损失函数得到的,权重信息用于在训练过程中,调整目标损失函数对初始模型的模型参数进行优化的优化方向。
根据本公开的实施例,获取单元还用于获取样本设备指纹信息,样本设备指纹信息是基于设备标识信息和样本设备属性信息得到的,其中,样本设备属性信息包括对象标识信息和样本硬件参数,设备标识信息是根据对象标识信息和样本硬件参数生成的。
根据本公开的实施例,第二确定模块820还用于处理硬件参数、网络参数、应用参数和历史操作参数。
根据本公开的实施例,第二确定模块820还用于处理以下至少一种硬件参数:设备内核版本参数和设备只读硬件参数。第二确定模块820还用于处理以下至少一种网络参数:网卡状态参数、网关标识参数和网关接入地址参数;第三确定模块830还用于处理以下至少一种应用参数:应用框架参数和应用版本参数;第二确定模块820还用于处理异常操作参数。
根据本公开的实施例,第一确定模块810、第二确定模块820和识别模块830中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一确定模块810、第二确定模块820和识别模块830中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一确定模块810、第二确定模块820和识别模块830中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图9示意性示出了根据本公开实施例的适于实现设备识别方法的电子设备的方框图。
如图9所示,根据本公开实施例的电子设备900包括处理器901,其可以根据存储在只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。处理器901例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器901还可以包括用于缓存用途的板载存储器。处理器901可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 903中,存储有电子设备900操作所需的各种程序和数据。处理器901、ROM902以及RAM 903通过总线904彼此相连。处理器901通过执行ROM 902和/或RAM 903中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 902和RAM 903以外的一个或多个存储器中。处理器901也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备900还可以包括输入/输出(I/O)接口905,输入/输出(I/O)接口905也连接至总线904。电子设备900还可以包括连接至输入/输出(I/O)接口905的以下部件中的一项或多项:包括键盘、鼠标等的输入部分906;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分907;包括硬盘等的存储部分908;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至输入/输出(I/O)接口905。可拆卸介质911,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器910上,以便于从其上读出的计算机程序根据需要被安装入存储部分908。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 902和/或RAM 903和/或ROM 902和RAM 903以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的设备识别方法。
在该计算机程序被处理器901执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分909被下载和安装,和/或从可拆卸介质911被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分909从网络上被下载和安装,和/或从可拆卸介质911被安装。在该计算机程序被处理器901执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在对象计算设备上执行、部分地在对象设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到对象计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改IB231653
都应落在本公开的范围之内。

Claims (14)

1.一种设备识别方法,包括:
按照至少一个参数维度,从待识别设备的设备指纹参数中确定与所述至少一个参数维度对应的目标设备指纹参数,其中,所述至少一个参数维度是根据参数修改耗时和参数修改次数确定的;
根据所述目标设备指纹参数,确定所述待识别设备的异常概率;
基于所述异常概率和第一预设条件,对所述待识别设备进行异常识别。
2.根据权利要求1所述的方法,还包括:
根据所述参数修改耗时和所述参数修改次数,得到第一候选参数维度集合;
根据重要程度,得到第二候选参数维度集合;
基于所述第一候选参数维度集合和所述第二候选参数维度集合,得到所述参数维度。
3.根据权利要求1或2所述的方法,其中,所述目标设备指纹参数为多个;
所述根据所述目标设备指纹参数,确定所述待识别设备的异常概率,包括:
根据所述多个目标设备指纹参数,得到与所述多个目标设备指纹参数对应的多个特征向量,其中,所述多个特征向量包括第一特征向量和第二特征向量,在样本设备指纹信息中,存在与所述第一特征向量所对应的目标设备指纹参数一致的参数,不存在与所述第二特征向量所对应的目标设备指纹参数一致的参数,所述样本设备指纹信息用于训练初始模型得到目标模型;
在所述第一特征向量和所述第二特征向量之间的相似度满足预设相似度阈值的情况下,利用所述目标模型处理所述第一特征向量,得到与所述第一特征向量对应的第一异常概率;
根据所述第一异常概率,确定与所述第二特征向量对应的第二异常概率;
根据所述第一异常概率和所述第二异常概率,确定所述异常概率。
4.根据权利要求1或2所述的方法,其中,所述目标设备指纹参数为多个;
所述根据所述目标设备指纹参数,确定所述待识别设备的异常概率,包括:
对所述多个目标设备指纹参数进行数组编码处理,得到设备指纹数组集;
基于所述设备指纹数组集,确定所述待识别设备的异常概率。
5.根据权利要求4所述的方法,还包括:
在所述设备指纹数组集满足第二预设条件的情况下,从所述待识别设备的设备指纹参数中,确定补充设备指纹参数,其中,所述补充设备指纹用于对所述设备指纹数组集进行补充;
根据所述补充设备指纹参数和所述多个目标设备指纹参数,得到目标设备指纹数组集。
6.根据权利要求5所述的方法,其中,所述设备指纹数组集包括多个数组特征;
所述方法还包括:
根据所述多个数组特征彼此之间的相似度,确定相似数组特征组,其中,所述相似数组特征组包括至少两个相似度满足预设相似度阈值的数组特征;
在所述相似数组特征组的数组特征数量信息大于预设值的情况下,确定所述设备指纹数组集满足所述第二预设条件。
7.根据权利要求6所述的方法,其中,所述基于所述设备指纹数组集,确定所述待识别设备的异常概率,包括:
利用目标模型处理所述设备指纹数组集,得到所述待识别设备的异常概率,其中,所述目标模型是基于样本设备指纹信息和目标损失函数训练初始模型得到的,所述目标损失函数是基于权重信息和初始损失函数得到的,所述权重信息用于在训练过程中,调整所述目标损失函数对所述初始模型的模型参数进行优化的优化方向。
8.根据权利要求7所述的方法,其中,所述样本设备指纹信息是基于样本设备标识信息和样本设备属性信息得到的,其中,所述样本设备属性信息包括对象标识信息和样本硬件参数,所述样本设备标识信息是根据所述对象标识信息和所述样本硬件参数生成的。
9.根据权利要求1所述的方法,其中,所述目标设备指纹参数包括硬件参数、网络参数、应用参数和历史操作参数。
10.根据权利要求9所述的方法,其中,
所述硬件参数包括以下至少一种:设备内核版本参数和设备只读硬件参数;
所述网络参数包括以下至少一种:网卡状态参数、网关标识参数和网关接入地址参数;
所述应用参数包括以下至少一种:应用框架参数和应用版本参数;
所述历史操作参数包括异常操作参数。
11.一种设备识别装置,包括:
第一确定模块,用于按照至少一个参数维度,从待识别设备的设备指纹参数中确定与所述至少一个参数维度对应的目标设备指纹参数,其中,所述至少一个参数维度是根据参数修改耗时和参数修改次数确定的;
第二确定模块,用于根据所述目标设备指纹参数,确定所述待识别设备的异常概率;
识别模块,用于基于所述异常概率和第一预设条件,对所述待识别设备进行异常识别。
12.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~10中任一项所述的方法。
13.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~10中任一项所述的方法。
14.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~10中任一项所述的方法。
CN202310484427.2A 2023-04-28 2023-04-28 设备识别方法、装置、电子设备及存储介质 Pending CN116383794A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310484427.2A CN116383794A (zh) 2023-04-28 2023-04-28 设备识别方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310484427.2A CN116383794A (zh) 2023-04-28 2023-04-28 设备识别方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN116383794A true CN116383794A (zh) 2023-07-04

Family

ID=86965740

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310484427.2A Pending CN116383794A (zh) 2023-04-28 2023-04-28 设备识别方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116383794A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117675755A (zh) * 2024-01-31 2024-03-08 浙江省电子信息产品检验研究院(浙江省信息化和工业化融合促进中心) 智能网联设备管理方法与装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117675755A (zh) * 2024-01-31 2024-03-08 浙江省电子信息产品检验研究院(浙江省信息化和工业化融合促进中心) 智能网联设备管理方法与装置
CN117675755B (zh) * 2024-01-31 2024-04-19 浙江省电子信息产品检验研究院(浙江省信息化和工业化融合促进中心) 智能网联设备管理方法与装置

Similar Documents

Publication Publication Date Title
US11004012B2 (en) Assessment of machine learning performance with limited test data
CN111782660A (zh) 基于键值存储的数据压缩的方法和系统
CN116383794A (zh) 设备识别方法、装置、电子设备及存储介质
CN114462532A (zh) 模型训练方法、预测交易风险的方法、装置、设备及介质
CN111582645B (zh) 基于因子分解机的app风险评估方法、装置和电子设备
CN111191677B (zh) 用户特征数据生成方法、装置及电子设备
CN111178687A (zh) 金融风险分类方法、装置及电子设备
CN111582647A (zh) 用户数据处理方法、装置及电子设备
US11860727B2 (en) Data quality-based computations for KPIs derived from time-series data
CN115292187A (zh) 无编码的页面自动测试方法、装置、电子设备和介质
US20220092452A1 (en) Automated machine learning tool for explaining the effects of complex text on predictive results
US11704222B2 (en) Event log processing
CN111582649B (zh) 基于用户app独热编码的风险评估方法、装置和电子设备
CN114301713A (zh) 风险访问检测模型的训练方法、风险访问检测方法及装置
CN114580399A (zh) 文本纠错方法、装置、电子设备及存储介质
CN113609018A (zh) 测试方法、训练方法、装置、设备、介质和程序产品
CN114461499A (zh) 异常信息检测模型的构建方法和灰度环境异常检测方法
CN113568739A (zh) 用户资源额度分配方法、装置及电子设备
CN113641823A (zh) 文本分类模型训练、文本分类方法、装置、设备及介质
CN113626605A (zh) 信息分类方法、装置、电子设备及可读存储介质
CN113612777A (zh) 训练方法、流量分级方法、装置、电子设备以及存储介质
CN111210109A (zh) 基于关联用户预测用户风险的方法、装置和电子设备
CN115409510B (zh) 一种在线交易安全系统及方法
US20220247780A1 (en) Information processing apparatus, information processing method, and computer readable medium
CN113110984A (zh) 报告处理方法、装置、计算机系统及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination