物联网设备指纹库的精细化方法技术

本发明专利技术实施例提供一种物联网设备指纹库的精细化方法，该方法包括：验证由设备指纹库给网络数据包匹配的设备信息是否满足精准率要求，若否，则筛选其为非合格指纹，再判断非合格指纹的网络数据包的聚类结果是否达到可精细化的条件，若是则确定非合格设备指纹为待精细化指纹，然后对待精细化指纹的聚类结果进行指纹特征扩充，得到扩充后的指纹和扩充后的指纹对应的新的设备信息，再对扩充后的指纹对应的网络数据包匹配的设备信息进行是否满足精准率的判定，若满足，则将扩充后的指纹加入设备指纹库。本发明专利技术实施例提供的方法，实现了智能高效率的物联网设备指纹库的设备指纹的验证，降低了人工成本和对失效指纹的精细化处理。

【技术实现步骤摘要】
物联网设备指纹库的精细化方法
本专利技术涉及设备指纹
，尤其涉及一种物联网设备指纹库的精细化方法。
技术介绍
针对物联网设备的识别技术能够有效把握网络空间的安全态势，有效预防网络安全事件的发生。现有物联网设备的识别技术通过分析设备协议数据包的内容，提取设备指纹对设备进行识别。设备指纹是一组用于识别物联网设备的特征集合。由于物联网设备复杂多样且设备不断更新迭代，提取成功的设备指纹会存在指纹失效现象，造成识别精准率下降。研究设备指纹验证及精细化技术，能够快速有效地过滤失效指纹。从而提升设备识别精准率，更有效地把握网络空间安全态势。现有的物联网设备指纹的验证技术多采用人工验证的方式，人工进行设备指纹的验证和修改需要该领域的专业人员对指纹识别结果进行逐一校验，对失效指纹进行筛选过滤处理。人工的设备指纹验证和精细化方式需要验证人员有相关领域专业知识背景，且存在效率低、验证成本高的问题。此外，人工的设备指纹验证技术难以对失效指纹进行精细化处理，不能实现对失效指纹的实时更新，难以提升指纹识别的精准率。因此，如何避免现有的物联网设备指纹库的人工验证方式的低效率、验证成本高的问题，实现对失效设备指纹的精细化处理，仍然是本领域技术人员亟待解决的问题。
技术实现思路
本专利技术实施例提供一种网联网物联网设备指纹库的精细化方法，用以解决现有的物联网设备指纹库的人工验证方式的低效率、验证成本高且无法实现失效设备指纹的精细化的问题。第一方面，本专利技术实施例提供一种网联网物联网设备指纹库的精细化方法，包括：抓取预设范围内的网络节点的网络数据包放入网络数据库；基于物联网设备指纹库确定所述网络数据包对应的待检测设备指纹和对应的待检测设备信息，所述物联网设备指纹库用于存储设备指纹和设备信息的对应关系；验证所述待检测设备指纹对应的网络数据包对应的待检测设备信息是否满足第一精准率的要求，若不满足，则确定所述待检测设备指纹为非合格设备指纹并将所述待检测设备指纹与所述待检测设备信息从所述物联网设备指纹库中剔除；对所述非合格设备指纹对应的网络数据包的聚类结果进行抽样和人工标注设备信息，并根据人工标注的设备信息的分布判定所述非合格设备指纹是否满足可精细化的条件，若不满足，则将所述非合格设备指纹废弃，若满足，则确定所述非合格设备指纹为待精细化设备指纹；对所述待精细化设备指纹对应的网络数据包的聚类结果进行抽样和人工标注设备信息的结果采用自动特征提取方法进行指纹特征扩充，得到扩充后的设备指纹与所述扩充后的设备指纹对应的新的设备信息，确定所述扩充后的设备指纹在网络数据库中对应的新的网络数据包；验证所述扩充后的设备指纹对应的所述新的网络数据包对应的所述新的设备信息是否满足第二精准率的要求，若满足，则将所述扩充后的设备指纹与所述扩充后的设备指纹对应的设备信息存入物联网设备指纹库，若不满足，则将所述扩充后的设备指纹废弃。优选地，该方法中，所述抓取预设范围内的网络节点的网络数据包放入网络数据库，具体包括：向预设范围内的网络地址端口发送请求数据包，抓取对应的响应数据包，对所述响应数据包进行去重处理，得到网络数据包并存入网络数据库。优选地，该方法中，所述基于物联网设备指纹库确定所述网络数据包对应的待检测设备指纹和对应的待检测设备信息，具体包括：利用物联网设备指纹库中的设备指纹对所述网络数据包中的内容信息进行正则匹配或者关键字匹配识别，确定所述网络数据包对应的物联网设备指纹库中的待检测设备指纹，确定物联网设备指纹库中的待检测设备指纹对应的设备信息为所述网络数据包对应的待检测设备信息。优选地，该方法中，所述验证所述待检测设备指纹对应的网络数据包对应的待检测设备信息是否满足第一精准率的要求，具体包括：所述待检测设备指纹fp对应的网络数据包的总数为n，将n个网络数据包对应的待检测设备信息与为所述n个网络数据包预先标注的真实设备信息进行比对，得到待检测设备信息与真实设备信息一致的网络数据包数量为m，则输出第一验证结果res1＝m/n；采用k种辅助识别方法识别出的所述n个网络数据包中的第i个网络数据包的k个设备信息中与所述待检测设备信息一致的有mi个，则输出第二验证结果其中，i为整数且1≤i≤m，mi为整数且0≤mi≤k；对所述待检测设备指纹fp对应的n个网络数据包进行聚类分析，确定聚簇结果中最大簇中的网络数据包的个数为j，若j＞n×l，则第三验证结果res3＝j/n，若j≤n×l，则第三验证结果res3＝j×p/n，其中，l为第一聚类阈值系数，取值范围为[0,1]，p为第一惩罚因子，取值范围为[0,1]；若res1>th1，则所述待检测设备指纹对应的网络数据包对应的待检测设备信息满足第一精准率的要求；若res1≤th1且res2×ρ+res3×(1-ρ)>th2，则所述待检测设备指纹对应的网络数据包对应的待检测设备信息满足第一精准率的要求；若res1≤th1且res2×ρ+res3×(1-ρ)≤th2，则所述待检测设备指纹对应的网络数据包对应的待检测设备信息不满足第一精准率的要求；其中，th1为预设第一可靠性阈值系数，th2为预设第二可靠性阈值系数，ρ为第一权值系数，取值范围为[0,1]。优选地，该方法中，所述对所述非合格设备指纹对应的网络数据包的聚类结果进行抽样和人工标注设备信息，并根据人工标注的设备信息的分布判定所述非合格设备指纹是否满足可精细化的条件，具体包括：对所述非合格设备指纹对应的网络数据包的聚类分析得到的所有簇按照各簇包含网络数据包个数的比例进行随机抽样，对抽样出来的x个样本网络数据包进行人工标注设备信息，统计所述x个样本网络数据包中标注相同设备品牌的样本网络数据包的个数，所述个数的最大值为y，若y/x>th3，则所述非合格设备指纹满足可精细化的条件，若y/x≤th3，则所述非合格设备指纹不满足可精细化的条件，其中，th3为预设可精细化阈值，所述设备信息包括设备品牌。优选地，该方法中，所述对所述待精细化设备指纹对应的网络数据包的聚类结果进行抽样和人工标注设备信息的结果采用自动特征提取方法进行指纹特征扩充，得到扩充后的设备指纹与所述扩充后的设备指纹对应的设备信息，具体包括：确定所述待精细化设备指纹对应的网络数据包的聚类结果得到的第q簇中的样本网络数据包被标注相同设备信息的个数，所述个数中最大值对应的设备信息为Aq，则重新标注第q簇中所有网络数据包对应的设备信息为Aq，若第t簇为所述聚类结果中的最大簇，则扩充后的设备指纹对应的新的设备信息为At，其中，q为整数且1≤q≤z，z为所述待精细化设备指纹对应的网络数据包的聚类得到的簇的总数；所述待精细化设备指纹对应的网络数据包的个数为r，对待精细化设备指纹对应的r个网络数据包进行分词处理，去除停用词，对无效信息进行过滤，得到r个文本数据，所述无效信息包括MAC地址和时间戳；采用One-hot编码对所述r个文本数据进行二值化表示本文档来自技高网...

【技术保护点】
1.一种物联网设备指纹库的精细化方法，其特征在于，包括：/n抓取预设范围内的网络节点的网络数据包放入网络数据库；/n基于物联网设备指纹库确定所述网络数据包对应的待检测设备指纹和对应的待检测设备信息，所述物联网设备指纹库用于存储设备指纹和设备信息的对应关系；/n验证所述待检测设备指纹对应的网络数据包对应的待检测设备信息是否满足第一精准率的要求，若不满足，则确定所述待检测设备指纹为非合格设备指纹并将所述待检测设备指纹与所述待检测设备信息从所述物联网设备指纹库中剔除；/n对所述非合格设备指纹对应的网络数据包的聚类结果进行抽样和人工标注设备信息，并根据人工标注的设备信息的分布判定所述非合格设备指纹是否满足可精细化的条件，若不满足，则将所述非合格设备指纹废弃，若满足，则确定所述非合格设备指纹为待精细化设备指纹；/n对所述待精细化设备指纹对应的网络数据包的聚类结果进行抽样和人工标注设备信息的结果采用自动特征提取方法进行指纹特征扩充，得到扩充后的设备指纹与所述扩充后的设备指纹对应的新的设备信息，确定所述扩充后的设备指纹在网络数据库中对应的新的网络数据包；/n验证所述扩充后的设备指纹对应的所述新的网络数据包对应的所述新的设备信息是否满足第二精准率的要求，若满足，则将所述扩充后的设备指纹与所述扩充后的设备指纹对应的设备信息存入物联网设备指纹库，若不满足，则将所述扩充后的设备指纹废弃。/n...

【技术特征摘要】
1.一种物联网设备指纹库的精细化方法，其特征在于，包括：
抓取预设范围内的网络节点的网络数据包放入网络数据库；
基于物联网设备指纹库确定所述网络数据包对应的待检测设备指纹和对应的待检测设备信息，所述物联网设备指纹库用于存储设备指纹和设备信息的对应关系；
验证所述待检测设备指纹对应的网络数据包对应的待检测设备信息是否满足第一精准率的要求，若不满足，则确定所述待检测设备指纹为非合格设备指纹并将所述待检测设备指纹与所述待检测设备信息从所述物联网设备指纹库中剔除；
对所述非合格设备指纹对应的网络数据包的聚类结果进行抽样和人工标注设备信息，并根据人工标注的设备信息的分布判定所述非合格设备指纹是否满足可精细化的条件，若不满足，则将所述非合格设备指纹废弃，若满足，则确定所述非合格设备指纹为待精细化设备指纹；
对所述待精细化设备指纹对应的网络数据包的聚类结果进行抽样和人工标注设备信息的结果采用自动特征提取方法进行指纹特征扩充，得到扩充后的设备指纹与所述扩充后的设备指纹对应的新的设备信息，确定所述扩充后的设备指纹在网络数据库中对应的新的网络数据包；
验证所述扩充后的设备指纹对应的所述新的网络数据包对应的所述新的设备信息是否满足第二精准率的要求，若满足，则将所述扩充后的设备指纹与所述扩充后的设备指纹对应的设备信息存入物联网设备指纹库，若不满足，则将所述扩充后的设备指纹废弃。


2.根据权利要求1所述的物联网设备指纹库的精细化方法，其特征在于，所述抓取预设范围内的网络节点的网络数据包放入网络数据库，具体包括：
向预设范围内的网络地址端口发送请求数据包，抓取对应的响应数据包，对所述响应数据包进行去重处理，得到网络数据包并存入网络数据库。


3.根据权利要求1或2所述的物联网设备指纹库的精细化方法，其特征在于，所述基于物联网设备指纹库确定所述网络数据包对应的待检测设备指纹和对应的待检测设备信息，具体包括：
利用物联网设备指纹库中的设备指纹对所述网络数据包中的内容信息进行正则匹配或者关键字匹配识别，确定所述网络数据包对应的物联网设备指纹库中的待检测设备指纹，确定物联网设备指纹库中的待检测设备指纹对应的设备信息为所述网络数据包对应的待检测设备信息。


4.根据权利要求3所述的物联网设备指纹库的精细化方法，其特征在于，所述验证所述待检测设备指纹对应的网络数据包对应的待检测设备信息是否满足第一精准率的要求，具体包括：
所述待检测设备指纹fp对应的网络数据包的总数为n，将n个网络数据包对应的待检测设备信息与为所述n个网络数据包预先标注的真实设备信息进行比对，得到待检测设备信息与真实设备信息一致的网络数据包数量为m，则输出第一验证结果res1＝m/n；
采用k种辅助识别方法识别出的所述n个网络数据包中的第i个网络数据包的k个设备信息中与所述待检测设备信息一致的有mi个，则输出第二验证结果其中，i为整数且1≤i≤m，mi为整数且0≤mi≤k；
对所述待检测设备指纹fp对应的n个网络数据包进行聚类分析，确定聚簇结果中最大簇中的网络数据包的个数为j，若j＞n×l，则第三验证结果res3＝j/n，若j≤n×l，则第三验证结果res3＝j×p/n，其中，l为第一聚类阈值系数，取值范围为[0,1]，p为第一惩罚因子，取值范围为[0,1]；
若res1>th1，则所述待检测设备指纹对应的网络数据包对应的待检测设备信息满足第一精准率的要求；
若res1≤th1且res2×ρ+res3×(1-ρ)>th2，则所述待检测设备指纹对应的网络数据包对应的待检测设备信息满足第一精准率的要求；
若res1≤th1且res2×ρ+res3×(1-ρ)≤th2，则所述待检测设备指纹对应的网络数据包对应的待检测设备信息不满足第一精准率的要求；
其中，th1为预设第一可靠性阈值系数，th2为预设第二可靠性阈值系数，ρ为第一权值系数，取值范围为[0,1]。


5.根据权利要求1或2或4所述的物联网设备指纹库的精细化方法，其特征在于，所述对所述非合格设备指纹对应的网络数据包的聚类结果进行抽样和人工标注设备信息，并根据人工标注的设备信息的分布判定所述非合格设备指纹是否满足可精细化的条件，具体包括：
对所述非合格设备指纹对应的网络数据包的聚类分析得到的所有簇按照各簇包含网络数据包个数的比例进行随机抽样，对抽样出来的x个样本网络数据包进行人工标注设备信息，统计所述x个样本网络数据包中标注相同设备品牌的样本网络数据包的个数，所述个数的最大值为y，若y/x>th3，则所述非合格设备指纹满足可精细化的条件，若y/x≤th3，则所述非合格设备指纹不满足可精细化的条件，其中，...

【专利技术属性】
技术研发人员：朱红松，王旭，李红，李志，于楠，徐顺超，孙利民，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11