WO2023004707A1

WO2023004707A1 - 设备类型识别的方法和装置

Info

Publication number: WO2023004707A1
Application number: PCT/CN2021/109352
Authority: WO
Inventors: 马工速; 宋杰; 吴洪峰
Original assignee: 西门子股份公司; 西门子（中国）有限公司
Priority date: 2021-07-29
Filing date: 2021-07-29
Publication date: 2023-02-02

Abstract

本申请实施例提供了一种设备类型识别的方法。该方法包括：获取未知设备的流量数据；从所述未知设备的流量数据中提取识别特征，所述识别特征包括所述未知设备的流量数据的加密协议特征；根据所述识别特征和设备类型识别模型确定所述未知设备的设备类型，所述设备类型识别模型是基于已知设备的样本特征训练得到的，所述样本特征包括所述已知设备的流量数据的加密协议特征。本申请实施例的设备类型识别的方法和装置，能够提升设备类型识别的准确性。

Description

设备类型识别的方法和装置

技术领域

本申请涉及网络安全技术领域，并且更具体地，涉及一种设备类型识别的方法和装置。

背景技术

当前网络环境中，存在着大量各种类型的设备，比如现场设备、控制设备和连接到其他硬件的设备，给设备的安全管理带来了挑战。网络中设备类型的识别是监控设备安全的重要组成部分，确定设备类型后，可以使用不同的策略监控和保护不同的设备，提高效率，节省人力资源，进而清晰地掌握网络环境的全貌，保证整个网络环境的稳定性。

但现有的设备类型识别方法由于一般倾向于在网络层分析流量数据，往往存在识别精度不高的问题。因此，如何提高设备类型识别的准确性是亟需解决的技术问题。

发明内容

本申请实施例提供了一种设备类型识别的方法和系统，能够提高设备类型识别的准确性。

第一方面，提供了一种设备类型识别方法，该方法包括：获取未知设备的流量数据；从所述未知设备的流量数据中提取识别特征，该识别特征包括未知设备的流量数据的加密协议特征；根据该识别特征和设备类型识别模型确定所述未知设备的设备类型，该设备类型识别模型是基于已知设备的样本特征训练得到的，该样本特征包括已知设备的流量数据的加密协议特征。

第二方面，提供了一种设备类型识别的装置，包括：获取单元，用于获取未知设备的流量数据；处理单元，用于从所述未知设备的流量数据中提取识别特征，所述识别特征包括所述未知设备的流量数据的加密协议特征；所述处理单元还用于根据所述识别特征和设备类型识别模型确定所述未知设备的设备类型，所述设备类型识别模型是基于已知设备的样本特征训练得到的，所述样本特征包括所述已知设备的流量数据的加密协议特征。

第三方面，提供了一种设备类型识别的装置，包括：存储器，用于存储程序；处理器，用于执行所述存储器存储的程序，当所述存储器存储的程序被执行时，所述处理器用于执行上述设备类型识别的方法。

第四方面，本申请还提供了一种计算机可读存储介质，存储用于设备执行的程序代码，所述程序代码包括用于执行上述设备类型识别的方法中的步骤的指令。

第五方面，本申请还提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述的设备类型识别的方法。

通过上述技术方案，本申请通过加入对应用层的流量数据分析，即利用已知设备的流量数据的加密协议特征，训练得到推理准确度更高的设备类型识别模型，然后将提取到的未知设备的流量数据的加密协议特征输入至该设备类型识别模型，进一步提高对未知设备的设备类型识别的准确性。

在一些可能的实现方式中，所述加密协议特征包括：所述流量数据的加密协议、使用所述加密协议加密的所述流量数据的长度和使用所述加密协议加密的所述流量数据的分片数量中至少一项。

通过该技术方案，本申请可以通过设备类型识别模型分析加密协议特征中的多种信息，能够进一步提高设备类型识别的准确性。

在一些可能的实现方式中，还基于多个已知设备的样本特征训练所述设备类型识别模型。

通过上述分析多个已知设备的样本特征，不仅可以使得样本数据库更丰富化，还可以使训练得到的设备类型识别模型的推理准确性更高。

在一些可能的实现方式中，识别特征还包括未知设备的流量数据的数据包大小特征、协议栈特征。

通过该实施方式，本申请除了在应用层分析流量数据，即加密协议特征，还可以分析在传输层的流量数据(数据包大小特征)以及各层协议的总和(协议栈特征)，进一步提高设备类型识别的准确性。

在一些可能的实现方式中，在根据所述识别特征和设备类型识别模型确定未知设备的设备类型之前，还将所述识别特征记录在特征数据库中。

在获取到设备的流量数据后，分别以数据包大小特征、协议栈特征、加密协议特征等多个维度对流量数据进行提取，然后将提取的特征存储或记录在特征数据库中，可以提高流量数据的管理效率。

在一些可能的实现方式中，在获取未知设备的流量数据时，可通过主动方式获取未知设备的流量数据和/或通过被动方式获取未知设备的流量数据。

采用上述主动和被动结合获取未知设备的流量数据的方式，使得获取流量数据的途径更加灵活，同时可以降低只采用主动方式对当前网络环境造成的影响或可以减少只采用被动方式造成获得的流量数据不够详细的问题。

在一些可能的实现方式中，在通过主动方式获取未知设备的流量数据时，可发送所需流量数据的加密协议特征有关的检测指令；接收响应于该检测指令的流量数据。

在一些可能的实现方式中，在通过被动方式获取未知设备的流量数据时，可实时捕捉未知设备的流量数据或通过数据包重放未知设备的流量数据。

需要说明的是，在本申请中，“重放”是指通过某种技术手段模拟指定类型的设备的在线状态，数据包重放可以理解为利用“情景再现”的方式获取某个设备的流量数据。

附图说明

图1是本申请实施例的一种系统架构的示意图。

图2是本申请实施例的设备类型识别方法的示意性流程图。

图3是本申请实施例的设备类型识别的装置的示意性框图。

图4是本申请实施例的设备类型识别的装置的结构示意图。

附图标记列表：

110，处理装置；

111，处理模块；

112，通信接口；

113，存储系统；

114，预处理模块；

115，模型；

120，未知设备；

130，训练设备；

140，数据库；

150，样本数据库；

210，获取未知设备的流量数据；

220，从所述未知设备的流量数据中提取识别特征，所述识别特征包括所述未知设备的流量数据的加密协议特征；

230，根据所述识别特征和设备类型识别模型确定所述未知设备的设备类型，所述设备类型识别模型是基于已知设备的样本特征训练得到的，所述样本特征包括所述已知设备的流量数据的加密协议特征；

300，设备类型识别的装置；

310，获取单元；

320，处理单元；

330，发送单元；

400，设备类型识别的装置；

401，存储器；

402，处理器；

403，通信接口；

404，总线。

具体实施方式

下面结合附图，对本申请实施例中的技术方案进行描述。应理解，本说明书中的具体的例子只是为了帮助本领域技术人员更好地理解本申请实施例，而非限制本申请实施例的范围。

应理解，在本申请的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

还应理解，本说明书中描述的各种实施方式，既可以单独实施，也可以组合实施，本申请实施例对此不作限定。

除非另有说明，本申请实施例所使用的所有技术和科学术语与本申请的技术领域的技术人员通常理解的含义相同。本申请中所使用的术语只是为了描述具体的实施例的目的，不是旨在限制本申请的范围。

图1是本申请实施例的一种系统架构的示意图。

在图1所示的系统架构中，未知设备120为接入当前网络且设备类型未知的设备，该设备可以通过与网络的信息交互产生流量数据。未知设备120可以有多个。未知设备120产生的流量数据可以直接传输给处理装置110，也可以先存储到数据库140中，再由处理装置110从数据库140中获取。以被动获取未知设备的流量数据为例，未知设备120新产生的流量数据可以实时被处理装置110捕捉，也可以先存储于数据库140中，再由处理装置110从数据库140中获取该流量数据。

处理装置110与未知设备120通信连接。具体地，处理装置110可以包括通信接口112，以实现与其他设备的通信连接。该通信连接可以是有线方式，也可以是无线方式。

处理装置110可以是具有数据处理能力的电子设备或系统，例如计算机。处理装置110可以包括处理模块111，用于实现未知设备的设备类型识别。处理模块111具体可以为一个或多个处理器。处理器可以为任意种类的处理器，本申请实施例对此不作限定。

处理装置110还可以包括存储系统113。存储系统113可用于存储数据和指令，例如，实现本申请实施例的技术方案的计算机可执行指令。处理装置110可以调用存储系统113中的数据、指令等，也可以将数据、指令等存入存储系统113中。存储系统113具体可以为一个或多个存储器。该存储器可以为任意种类的存储器，本申请实施例对此也不作限定。

存储系统113可以设置于处理装置110内，也可以设置于处理装置110外。在存储系统113设置于处理装置110外的情况下，处理装置110可通过数据接口实现对存储系统113的访问。

处理装置110还可以包括其他通用的设备，例如，输出设备，用于输出设备类型识别结果。

处理装置110还包括预处理模块114，用于对获取的流量数据进行预处理。例如，提取流量数据的相关特征。例如，采用下述的本申请实施例的技术方案进行特征提取。

处理装置110中还配置训练后的模型115。在这种情况下，处理模块111可以采用模型115进行相应的处理。其中，在本申请中该模型115可以通过本申请实施例的技术方案进行训练。

例如，模型115可以为用于识别未知设备的设备类型的模型。训练设备130可以基于样本数据库150中的训练数据训练得到设备类型识别模型。这样，处理模块111可以采用该设备类型识别模型得到未知设备的设备类型。

对于获取未知设备的流量数据，可先通过预处理模块114进行特征提取，得到多个特征；再将其输入模型115，得到未知设备的设备类型。

应理解，图1仅是本申请实施例提供的一种系统架构的示意图，图中所示设备、器件、模块等之间的位置关系不构成任何限制。

在一些可能的实现方式中，训练设备130训练得到模型115，可以是基于机器学习得到的模型，例如，可以是基于神经网络搭建的模型，这里的神经网络可以是卷积神经网络(convolutional neural networks，CNN)、循环神经网络(recurrent neural network，RNN)、深度卷积神经网络(deep convolutional neural networks，DCNN)等等。

下面结合图2，对本申请实施例的设备类型识别方法的主要过程进行介绍。

图2示出了本申请实施例的设备类型识别的过程的示意图。具体包括以下步骤210-230。

210，获取未知设备的流量数据。

网络设备的通信信息通常包括时间，信息传递源与目的，使用的网络通信协议，数据包长以及包负载等信息，每种信息对于网络设备而言都可以体现一定的特征，这类信息的获取需要分析设备在一段时间内的流量数据。因此，得到与设备类型相关的特征前首先需要获取未知设备的流量数据。

作为一种可选的实施方式，流量数据可以通过主动的方式获取或通过被动的方式获取。一般地，通过主动方式获取未知设备的流量数据包括：发送所需流量数据有关的检测指令或嗅探包，然后接收响应于该检测指令或嗅探包的流量数据。通过被动方式获取未知设备的流量数据可以包括：实时捕捉或通过数据包重放获取未知设备的流量数据。

本申请实施例主要通过主动与被动结合的方式来获取未知设备的流量数据。示例性的，首先用WINCAP直接从物理接口抓取数据包，数据包保存为CAP文件格式，然后使用WINCAP从脱机堆中读取数据包，即使用WINCAP的函数pcap_open_offline()打开存储的文件。本申请主要关心该流量数据的加密协议特征，即当发现在该文件中包括有关加密协议特征的内容则获取步骤完成，当不包括时，向未知设备发送获取包括加密协议特征的流量数据的请求或检测指令然后接收未知设备的响应数据。

采用上述主动和被动结合获取未知设备的流量数据的方式，使得获取流量数据的途径更加灵活，同时可以降低只采用主动方式时对当前网络环境造成的影响或可以减少只采用被动方式造成获得的流量数据不够详细的问题。

220，从未知设备的流量数据中提取识别特征，该识别特征中包括未知设备的流量数据的加密协议特征。

本申请实施例中，识别特征是指能够反映未知设备的设备类型的特征，也可以为其他名称，本申请对此不作限定。

本申请实施例中，未知设备的流量数据的加密协议特征包括该流量数据的加密协议、使用该加密协议加密的流量数据的长度和使用该加密协议加密的流量数据的分片数量中至少一项。

其中，当使用同一加密协议对数据进行加密时，不同的设备使用的加密算法不同；不同的设备加密数据的长度不同；不同的设备对加密后的数据进行分片时，分片数量不同，因此可以通过提取加密协议特征以及加密协议特征中的各种信息对未知设备的设备类型进行推理。

针对当前一般仅在网络层分析流量数据的情况，本申请对应用层上的流量数据，即有关加密协议的内容，也可以进行提取分析，可以提高对未知设备的设备类型推断的准确性。

在本申请的实施例中，该识别特征中还包括未知设备的流量数据的数据包大小特征和协议栈特征。

需要说明的是，识别特征中还可以包括其他特征，本申请对此不作限定。

作为一种可选的实施方式，将流量数据分解为多个维度：数据包大小特征、协议栈特征和加密协议特征，然后以多种维度的形式将流量数据记录在特征数据库中，以在后续步骤中利用多种特征对设备类型进行识别时方便取用，也能够提高对多个设备的流量数据的管理效率。

需要说明的是，数据包大小特征、协议栈特征和加密协议特征等都是人为主观划分的特征，对上述实施方式不构成限定。例如，还可以将流量数据分解为通用特征、特定特征和属性特征等。

230，根据识别特征和设备类型识别模型确定未知设备的设备类型，该设备类型识别模型是基于已知设备的样本特征训练得到的，样本特征包括已知设备的流量数据的加密协议特征。

在一种可选的实施方式中，训练设备类型识别模型时，可以包括以下步骤S1-S3。

S1：获取已知设备的流量数据。

作为一种可选的实施方式，可以通过被动监控方式和/或主动方式结合获取已知设备的流量数据。其中，被动方式包括实时捕捉或数据包重放获取该已知设备的流量数据，主动方式包括构建所需流量数据有关的检测指令或发送嗅探包生成流量数据。

例如，主动监测时向已知设备发送流量数据请求，然后使用WINCAP从物理接口抓取已知设备响应的数据包，得到已知设备的流量数据。

需要说明的是，对于已知设备要尽可能多收集网络设备的种类和每个种类的数目，以提高识别的准确率和增加识别的种类。

在获取到已知设备的流量数据后，分别以数据包大小特征、协议栈特征、加密协议特征等多个维度对流量数据进行提取，然后将提取的特征存储或记录在特征数据库中，以提高已知设备的流量数据的管理效率。

示例性的，从流量数据中提取的TCP/IP协议栈特征，包括TCP报文头中的初始化窗口值、初始序列号(initial sequence number，ISN)、时间戳字段(timestamp)、最大报文长度(maximum segment size，MSS)、窗口扩大因子(window scaling，WS)、选择性确认标志位(selective acknowledgment permitted,SACK permitted)、响应缺省值(ACK number)、建立连接标志位(synchronous，SYN)、关闭连接标志位(finish，FIN)、响应标志位(ACK)、有数据传输标志位(push，PSH)，紧急标志位(urgent，URG)，连接重置标志位(reset，RST)；IP报文头中的版本号(version)、首部长度(internet header length，IHL)、存活时间(time to live，TTL)、协议字段值(protocol)，选项值(option)和协议端口号(port)等。

可选地，该流量数据还可以包括设备的基础信息，例如，IP地址、MAC地址、设备厂商、设备型号、设备开放端口等，本申请对此不作限定。

S2：从已知数据的流量数据中提取样本特征，样本特征包括已知设备的流量数据的加密协议特征。

其中，未知设备的流量数据的加密协议特征包括已知设备的流量数据的加密协议、使用该加密协议加密的流量数据的长度和使用该加密协议加密的流量数据的分片数量中至少一项。

在本申请的实施例中，该样本特征中还包括已知设备的流量数据的数据包大小特征和协议栈特征。当然，样本特征中还可以包括其他特征，本申请对此不作限定。

作为一种可选的实施方式，将已知设备的流量数据分解为多个维度：数据包大小特征、协议栈特征和加密协议特征，然后以多种维度的形式将该流量数据记录在特征数据库中，从而提高对多种设备的流量数据的管理效率。

S3：根据已知设备的样本特征和对应的设备类型训练设备类型识别模型。即，将样本特征(判断依据)通过机器学习算法得出能够输出该样本特征对应的设备类型(输出结果)的模型。

可选地，该机器学习算法可以为分类算法，其中常用的分类算法包括：决策树分类法，朴素的贝叶斯分类算法(native Bayesian classifier，NBC)、神经网络法、k-最近邻法(k-nearest neighbor，KNN)、模糊分类法等等，本申请对比不作限定。

具体地，在本申请实施例的模型训练过程中，对样本特征的分析至少包括以下三部分。

(1)数据包大小特征分析

对于不同的设备，上行数据包的大小与下行数据包的大小不同。例如，服务器的上行流量往往大于下行流量的大小，请求服务的终端的下行流量往往大于上行流量的大小。因此至少可以通过数据包大小特征将设备分为服务方和请求方两类。

(2)协议栈特征分析

不同的设备在通信时使用不同的协议栈，每个协议栈的特性也不同。例如，不同的可编程逻辑控制器(programmable logic controller，PLC)设备使用不同的协议栈进行通信。因此通过协议栈特征可以进一步对设备进行分类。

(3)加密协议特征分析

作为一种可选的实施方式，使用加密协议进行通信时，不同的加密协议会根据不同的操作系统和浏览器支持不同的加密算法。也就是说，不同的设备上会搭载不同的操作系统，当不同操作系统上的浏览器利用同一协议与其他设备进行通信时，得到的结果不同。可以根据该结果判断设备的设备类型。例如，Windows操作系统上的Chrome浏览器和MAC操作系统上的Chrome浏览器均利用安全传输层(transport layer security，TLS)协议与其它设备通信时，得到的结果不同。

另外，被访问的设备也会根据所支持的加密协议进行响应，不同的设备响应结果不同。也就是说，当搭载不同的操作系统的设备面对某一请求时，响应结果不同。例如，搭载Linux与Windows操作系统的设备对同一请求的响应结果不同。

本申请的实施例中，可以根据设备利用加密协议与其他设备通信的通信结果或被访问设备的响应结果确定设备搭载的系统类型，从而得出设备的设备类型。

作为另一种可选的实施方式，对于不同的设备，使用加密协议加密的流量数据的长度不同。也就是说，使用同一加密协议进行通信时，搭载不同操作系统的设备加密数据的长度不同。

作为另一种可选的实施方式，对于不同的设备，对使用加密协议加密的流量数据进行数据分片时，不同操作系统的分片数量也不同。也就是说，使用同一加密协议进行通信时，搭载不同操作系统的设备加密数据的数据分片的数量不同。

本申请的实施例中，可以根据使用加密协议加密的数据长度或数据分片的数量确定设备搭载的系统类型，从而得出设备的设备类型。

通过上述对已知设备的流量数据的分析分类，设备类型识别模型已经形成。

作为一种可选的实施方式，当设备类型识别模型训练完后进行验证探测。例如，输入新的已知设备的流量数据检验该模型输出的结果是否正确，若不正确，将该新的已知设备的样本特征记录在特征库数据内，并对模型进行进一步训练及验证，从而提高设备类型识别模型的准确性。

上述230步骤中根据识别特征和设备类型识别模型确定未知设备的设备类型可以理解为利用训练形成的设备类型识别模型对未知设备的识别特征进行算法匹配，从而对未知设备进行分类。分类的过程实质是识别特征与分类结果的匹配过程。即按依次对未知设备识别特征中的数据包大小特征、协议栈特征、加密协议特征进行分析，然后得出与未知设备的匹配的设备类型。具体分析过程可参考上述模型训练过程中，对样本特征的分析过程。

上文详细地描述了本申请实施例的方法实施例，下面描述本申请实施例的装置实施例，装置实施例与方法实施例相互对应，因此未详细描述的部分可参见前面方法实施例，装置可以实现上述方法中任意可能实现的方式。

图3示出了本申请一个实施例的设备类型识别的装置300的示意性框图。该装置300可以执行上述本申请实施例的设备类型识别的方法，例如，该装置300可以为前述处理装置110。

如图3所示，该装置包括：

获取模块310，用于获取未知设备的流量数据；

处理模块320，用于从所述未知设备的流量数据中提取识别特征，所述识别特征包括所述未知设备的流量数据的加密协议特征；还用于根据所述识别特征和设备类型识别模型确定所述未知设备的设备类型，所述设备类型识别模型是基于已知设备的样本特征训练得到的，所述样本特征包括所述已知设备的流量数据的加密协议特征。

可选地，在本申请一个实施例中，所述加密协议特征包括：所述流量数据的加密协议、使用所述加密协议加密的所述流量数据的长度和使用所述加密协议加密的所述流量数据的分片数量中至少一项。

可选地，在本申请一个实施例中，所述处理单元320还用于基于多个已知设备的样本特征训练所述设备类型识别模型。

可选地，在本申请一个实施例中，所述识别特征还包括所述未知设备的流量数据的数据包大小特征、协议栈特征。

可选地，在本申请一个实施例中，所述处理单元320还用于将所述识别特征记录在特征数据库中。

可选地，在本申请一个实施例中，所述获取单元310具体用于通过主动方式获取所述未知设备的流量数据和/或通过被动方式获取所述未知设备的流量数据。

可选地，在本申请一个实施例中，所述装置还包括发送单元330，所述发送单元330用于发送所需流量数据的加密协议特征有关的检测指令；所述获取单元310具体用于接收响应于所述检测指令的所述流量数据。

可选地，在本申请一个实施例中，所述获取单元310具体用于实时捕捉所述未知设备的流量数据或通过数据包重放所述未知设备的流量数据。

图4是本申请实施例的设备类型识别的装置的硬件结构示意图。图4所示的设备类型识别的装置400包括存储器401、处理器402、通信接口403以及总线404。其中，存储器401、处理器402、通信接口403通过总线404实现彼此之间的通信连接。

存储器401可以是只读存储器(read-only memory，ROM)，静态存储设备和随机存取存储器(random access memory，RAM)。存储器401可以存储程序，当存储器401中存储的程序被处理器402执行时，处理器402和通信接口403用于执行本申请实施例的设备类型识别的方法的各个步骤。

处理器402可以采用通用的中央处理器(central processing unit，CPU)，微处理器，应用专用集成电路(application specific integrated circuit，ASIC)，图形处理器(graphics processing unit，GPU)或者一个或多个集成电路，用于执行相关程序，以实现本申请实施例的设备类型识别的装置中的单元所需执行的功能，或者执行本申请实施例的设备类型识别的方法。

处理器402还可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，本申请实施例的设备类型识别的方法的各个步骤可以通过处理器402中的硬件的集成逻辑电路或者软件形式的指令完成。

上述处理器402还可以是通用处理器、数字信号处理器(digital signal processing，DSP)、ASIC、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器401，处理器402读取存储器401中的信息，结合其硬件完成本申请实施例的设备类型识别的装置中包括的单元所需执行的功能，或者执行本申请实施例的设备类型识别的方法。

通信接口403使用例如但不限于收发器一类的收发装置，来实现装置400与其他设备或通信网络之间的通信。例如，可以通过通信接口403获取未知设备的流量数据。

总线404可包括在装置400各个部件(例如，存储器401、处理器402、通信接口403)之间传送信息的通路。

应注意，尽管上述装置400仅仅示出了存储器、处理器、通信接口，但是在具体实现过程中，本领域的技术人员应当理解，装置400还可以包括实现正常运行所必须的其他器件。同时，根据具体需要，本领域的技术人员应当理解，装置400还可包括实现其他附加功能的硬件器件。此外，本领域的技术人员应当理解，装置400也可仅仅包括实现本申请实施例所必须的器件，而不必包括图4中所示的全部器件。

本申请实施例还提供了一种计算机可读存储介质，存储用于设备执行的程序代码，所述程序代码包括用于执行上述设备类型识别的方法中的步骤的指令。

本申请实施例还提供了一种计算机程序产品，所述计算机程序产品包括存储在计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述设备类型识别的方法。

上述的计算机可读存储介质可以是暂态计算机可读存储介质，也可以是非暂态计算机可读存储介质。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

本申请中使用的用词仅用于描述实施例并且不用于限制权利要求。如在实施例以及权利要求的描述中使用的，除非上下文清楚地表明，否则单数形式的“一个”和“所述”旨在同样包括复数形式。类似地，如在本申请中所使用的术语“和/或”是指包含一个或一个以上相关联的列出的任何以及所有可能的组合。另外，当用于本申请中时，术语“包括”指陈述的特征、整体、步骤、操作、元素，和/或组件的存在，但不排除一个或一个以上其它特征、整体、步骤、操作、元素、组件和/或这些的分组的存在或添加。

所描述的实施例中的各方面、实施方式、实现或特征能够单独使用或以任意组合的方式使用。所描述的实施例中的各方面可由软件、硬件或软硬件的结合实现。所描述的实施例也可以由存储有计算机可读代码的计算机可读介质体现，该计算机可读代码包括可由至少一个计算装置执行的指令。所述计算机可读介质可与任何能够存储数据的数据存储装置相关联，该数据可由计算机系统读取。用于举例的计算机可读介质可以包括只读存储器、随机存取存储器、紧凑型光盘只读储存器(Compact Disc Read-Only Memory，CD-ROM)、硬盘驱动器(Hard Disk Drive，HDD)、数字视频光盘(Digital Video Disc，DVD)、磁带以及光数据存储装置等。所述计算机可读介质还可以分布于通过网络联接的计算机系统中，这样计算机可读代码就可以分布式存储并执行。

上述技术描述可参照附图，这些附图形成了本申请的一部分，并且通过描述在附图中示出了依照所描述的实施例的实施方式。虽然这些实施例描述的足够详细以使本领域技术人员能够实现这些实施例，但这些实施例是非限制性的；这样就可以使用其它的实施例，并且在不脱离所描述的实施例的范围的情况下还可以做出变化。比如，流程图中所描述的操作顺序是非限制性的，因此在流程图中阐释并且根据流程图描述的两个或两个以上操作的顺序可以根据若干实施例进行改变。作为另一个例子，在若干实施例中，在流程图中阐释并且根据流程图描述的一个或一个以上操作是可选的，或是可删除的。另外，某些步骤或功能可以添加到所公开的实施例中，或两个以上的步骤顺序被置换。所有这些变化被认为包含在所公开的实施例以及权利要求中。

另外，上述技术描述中使用术语以提供所描述的实施例的透彻理解。然而，并不需要过于详细的细节以实现所描述的实施例。因此，实施例的上述描述是为了阐释和描述而呈现的。上述描述中所呈现的实施例以及根据这些实施例所公开的例子是单独提供的，以添加上下文并有助于理解所描述的实施例。上述说明书不用于做到无遗漏或将所描述的实施例限制到本申请的精确形式。根据上述教导，若干修改、选择适用以及变化是可行的。在某些情况下，没有详细描述为人所熟知的处理步骤以避免不必要地影响所描述的实施例。

以上所述，仅为本申请实施例的具体实施方式，但本申请实施例的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请实施例揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请实施例的保护范围之内。因此，本申请实施例的保护范围应以所述权利要求的保护范围为准。

Claims

一种设备类型识别的方法，其特征在于，包括：

获取未知设备的流量数据；

从所述未知设备的流量数据中提取识别特征，所述识别特征包括所述未知设备的流量数据的加密协议特征；

根据所述识别特征和设备类型识别模型确定所述未知设备的设备类型，所述设备类型识别模型是基于已知设备的样本特征训练得到的，所述样本特征包括所述已知设备的流量数据的加密协议特征。
根据权利要求1所述的方法，其特征在于，所述加密协议特征包括：

所述流量数据的加密协议、使用所述加密协议加密的所述流量数据的长度和使用所述加密协议加密的所述流量数据的分片数量中至少一项。
根据权利要求1或2所述的方法，其特征在于，所述识别特征还包括所述未知设备的流量数据的数据包大小特征、协议栈特征。
根据权利要求1至3中任一项所述的方法，其特征在于，所述获取未知设备的流量数据包括：

通过主动方式获取所述未知设备的流量数据和/或通过被动方式获取所述未知设备的流量数据；

其中，所述通过主动方式获取所述未知设备的流量数据包括：

发送所需流量数据的加密协议特征有关的检测指令；

接收响应于所述检测指令的所述流量数据。
一种设备类型识别的装置，其特征在于，包括：

获取单元(310)，用于获取未知设备的流量数据；

处理单元(320)，用于从所述未知设备的流量数据中提取识别特征，所述识别特征包括所述未知设备的流量数据的加密协议特征；

所述处理单元(320)还用于根据所述识别特征和设备类型识别模型确定所述未知设备的设备类型，所述设备类型识别模型是基于已知设备的样本特征训练得到的，所述样本特征包括所述已知设备的流量数据的加密协议特征。
根据权利要求5所述的装置，其特征在于，所述加密协议特征包括：

所述流量数据的加密协议、使用所述加密协议加密的所述流量数据的长度和使用所述加密协议加密的所述流量数据的分片数量中至少一项。
根据权利要求5或6所述的装置，其特征在于，所述识别特征还包括所述未知设备的流量数据的数据包大小特征、协议栈特征。
根据权利要5至7中任一项所述的装置，其特征在于，所述获取单元(310)具体用于：

通过主动方式获取所述未知设备的流量数据和/或通过被动方式获取所述未知设备的流量数据；

所述装置还包括发送单元(330)；

所述发送单元(330)用于发送所需流量数据的加密协议特征有关的检测指令；

所述获取单元(310)还具体用于接收响应于所述检测指令的所述流量数据。
一种设备类型识别的装置，其特征在于，包括：

存储器(401)，用于存储程序；

处理器(402)，用于执行所述存储器(401)存储的程序，当所述存储器(401)存储的程序被执行时，所述处理器(402)用于执行根据权利要求1至4中任一项所述的设备类型识别的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读介质存储用于设备执行的程序代码，所述程序代码包括用于执行根据权利要求1至4中任一项所述的设备类型识别的方法中的步骤的指令。