基于主被动扫描结合的物联网设备识别方法技术

本发明专利技术涉及一种基于主被动扫描结合的物联网设备识别方法，包括以下步骤：步骤S1:服务器接收网关的流量，获取被动扫描结果，并提取被动扫描特征集；步骤S2:通过扫描器主动扫描，并从响应中收集特征，获取主动扫描特征集；步骤S3：将被动扫描特征集与主动扫描特征集合并,得到特征集，并基于信息增益的特征选择算法对特征集进行特征选择，得到最终的特征集;步骤S4:基于最终的特征集分别集成学习模型；步骤S5:基于集成学习模型的输出结果，通过投票器最终决定识别结果。本发明专利技术将主动式和被动式的方法结合起来，摆脱web界面的局限性，使用主动扫描收集的特征，以及使用少量被动流量中的简单特征构建机器学习模型，提高普适性，降低识别的时间开销。低识别的时间开销。低识别的时间开销。

【技术实现步骤摘要】
基于主被动扫描结合的物联网设备识别方法


[0001]本专利技术涉及一种基于主被动扫描结合的物联网设备识别方法。

技术介绍

[0002]目前的物联网设备识别方法主要分为主动式扫描识别和被动式扫描识别。其中，主动式扫描识别方法是通过编写主动式扫描器，对目标设备的HTTP端口进行扫描，扫描出设备的web界面，提取web界面特征，通过构建正则表达式或者机器学习模型识别物联网设备，其中最为代表性的就是2020年Lavrovs等人提出的方法，基于主动式扫描的识别方法往往受到HTTP协议和web界面的限制，并不是每个物联网设备都使用HTTP协议以及web界面，并不适用于所有设备，所以这种方法的限制较大、普适性较差。

技术实现思路

[0003]有鉴于此，本专利技术的目的在于提供一种基于主被动扫描结合的物联网设备识别方法，旨在解决上述问题。
[0004]为实现上述目的，本专利技术采用如下技术方案：
[0005]一种基于主被动扫描结合的物联网设备识别方法，包括以下步骤：
[0006]步骤S1:服务器接收网关的流量，获取被动扫描结果，并提取被动扫描特征集；
[0007]步骤S2:通过扫描器主动扫描，并从响应中收集特征，获取主动扫描特征集；
[0008]步骤S3：将被动扫描特征集与主动扫描特征集合并,得到特征集，并基于信息增益的特征选择算法对特征集进行特征选择，得到最终的特征集；
[0009]步骤S4:基于最终的特征集分别集成学习模型；
[0010]步骤S5:基于集成学习模型的输出结果，通过投票器最终决定识别结果。
[0011]进一步的，所述基于信息增益的特征选择算法，具体为：
[0012]其中，FM是表示原始的特征空间，C表示类别，FS表示特征选择算法过滤后的特征空间，β是权重参数，具体流程如下：
[0013](1)计算每个特征与类别的信息增益，选择得分最高并且大于阈值的特征，放入过滤后的特征空间FS，同时把这个特征从特征集中删除；
[0014](2)计算特征集中每个特征与FS中每个特征的信息增益，并将这些信息增益相加取平均，乘参数β；
[0015](3)得分相减就是最终这些特征的得分，选择得分最高并且大于阈值的特征，放入过滤后的特征空间FS，同时把这个特征从特征集中删除，重复步骤(1)
‑
(3)直至所有特征选择完毕。
[0016]进一步的，所述集成机器学习模型包括XGBoost、RF和KNN模型。
[0017]一种基于主被动扫描结合的物联网设备识别系统，包括处理器、存储器以及存储在所述存储器上的计算机程序，所述处理器执行所述计算机程序时，具体执行如上所述的一种基于主被动扫描结合的物联网设备识别方法中的步骤。
[0018]一种基于主被动扫描结合的物联网设备识别装置，包括：
[0019]存储器，存储有程序或指令；
[0020]处理器，执行所述程序或指令；
[0021]其中，所述处理器在执行所述程序或指令时，实现如上所述的基于主被动扫描结合的物联网设备识别方法的步骤。
[0022]一种可读存储介质，所述可读存储介质上存储有程序或指令，所述程序或指令被处理器执行时，实现如上所述的基于主被动扫描结合的物联网设备识别方法的步骤。
[0023]本专利技术与现有技术相比具有以下有益效果：
[0024]本专利技术将主动式和被动式的方法结合起来，摆脱web界面的局限性，使用主动扫描收集的特征，以及使用少量被动流量中的简单特征构建机器学习模型，提高普适性，降低识别的时间开销。
附图说明
[0025]图1是本专利技术识别流程示意图；
[0026]图2是本专利技术一实施例中集成机器学习模型流程图。
具体实施方式
[0027]下面结合附图及实施例对本专利技术做进一步说明。
[0028]请参照图1，本专利技术提供一种基于主被动扫描结合的物联网设备识别方法，包括以下步骤：
[0029]步骤S1:服务器接收网关的流量，获取被动扫描结果，并提取被动扫描特征集；
[0030]步骤S2:通过扫描器主动扫描，并从响应中收集特征，获取主动扫描特征集；
[0031]步骤S3：将被动扫描特征集与主动扫描特征集合并,得到特征集，并基于信息增益的特征选择算法对特征集进行特征选择，得到最终的特征集；
[0032]步骤S4:基于最终的特征集分别集成学习模型；
[0033]步骤S5:基于集成学习模型的输出结果，通过投票器最终决定识别结果。
[0034]在本实施例中，被动收集的特征如下：
[0035][0036]主动收集的特征如下：
[0037][0038][0039]在本实施例中，针对收集到的23个主被动扫描特征，这些特征中可能存在与结果不相关的冗余特征，所以我们需要对其进行特征选择，为此，我们设计了一种基于信息增益的特征选择算法，信息增益在概率论和信息论中，用以度量两种概率分布P和Q的差异，我们
[0040][0041]用来区分每个特征对结果的影响程度，首先我们需要计算信息熵，熵的概念主要是指信息的混乱程度，变量的不确定性越大，熵的值也就越大，熵的公式可以表示为：
[0042]其中p为类别u在样本S中出现的概率。
[0043]信息增益指的是划分前后熵的变化，可以用下面的公式表示：
[0044][0045]其中，A表示样本的属性，Value(A)是属性A所有的取值集合。V是A的其中一个属性值。
[0046][0047]但是这种方法仅仅考虑了特征与类别之间的关系，没有考虑特征与特征之间的关系，所以为了同时考虑特征与特征之间的关系
[0048]优选的的，本专利技术提供了一种基于信息增益的特征选择算法，具体为：
[0049]其中，FM是表示原始的特征空间，C表示类别，FS表示特征选择算法过滤后的特征空间，β是权重参数，具体流程如下：
[0050](1)计算每个特征与类别的信息增益，选择得分最高并且大于阈值的特征，放入过滤后的特征空间FS，同时把这个特征从特征集中删除；
[0051](2)计算特征集中每个特征与FS中每个特征的信息增益，并将这些信息增益相加取平均，乘参数β；
[0052](3)得分相减就是最终这些特征的得分，选择得分最高并且大于阈值的特征，放入过滤后的特征空间FS，同时把这个特征从特征集中删除，重复步骤(1)
‑
(3)直至所有特征选择完毕。
[0053]优选的，参考图2，在本实施例中，集成机器学习模型包括XGBoost、RF和KNN模型。
[0054]本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD
‑...

【技术保护点】

【技术特征摘要】
1.一种基于主被动扫描结合的物联网设备识别方法，其特征在于，包括以下步骤：步骤S1:服务器接收网关的流量，获取被动扫描结果，并提取被动扫描特征集；步骤S2:通过扫描器主动扫描，并从响应中收集特征，获取主动扫描特征集；步骤S3：将被动扫描特征集与主动扫描特征集合并,得到特征集，并基于信息增益的特征选择算法对特征集进行特征选择，得到最终的特征集；步骤S4:基于最终的特征集分别集成学习模型；步骤S5:基于集成学习模型的输出结果，通过投票器最终决定识别结果。2.根据权利要求1所述的基于主被动扫描结合的物联网设备识别方法，其特征在于，所述基于信息增益的特征选择算法，具体为：其中，FM是表示原始的特征空间，C表示类别，FS表示特征选择算法过滤后的特征空间，β是权重参数，具体流程如下：(1)计算每个特征与类别的信息增益，选择得分最高并且大于阈值的特征，放入过滤后的特征空间FS，同时把这个特征从特征集中删除；(2)计算特征集中每个特征与FS中每个特征的信息增益，并将这些信息增益相加取平均，乘参数β；(3)得分相减就是最终这些特征的得分，选择得分最高并且大于阈值的特...

【专利技术属性】
技术研发人员：傅仕琛，张坤三，胡志杰，陈少伟，洪钰，卢恩庆，陈铮，傅昱，卓俊彦，吴浚弘，李铮，傅炜婷，陈丽莎，方世烟，李晓勇，戴骅巍，
申请(专利权)人：国网福建省电力有限公司漳州供电公司，
类型：发明
国别省市：