基于SVM的物联网设备识别和指纹降维方法技术

本发明专利技术涉及一种基于SVM的物联网设备识别和指纹降维方法。首先向网络空间中的设备进行SYN扫描，当得到至少一个开放端口和一个关闭端口停止扫描。然后发送构建好的16个探测包，将每个探测包的响应数据包整理，选择其中包含的字段，构建特征空间。接着，使用基于互信息的特征选择算法，计算每个特征分数，实现对特征的选择。接下来将选择好的特征和数据构建SVM模型，使用构建好的模型对网络空间中的设备进行分类，找出网络空间中的物联网设备。本发明专利技术能够减少设备指纹所占用的空间，同时保证设备指纹的唯一性。指纹的唯一性。指纹的唯一性。

【技术实现步骤摘要】
基于SVM的物联网设备识别和指纹降维方法


[0001]本专利技术属于信息安全
，尤其适用于设备指纹技术，具体涉及一种基于SVM的物联网设备识别和指纹降维方法。

技术介绍

[0002]物联网设备指纹在身份验证领域发挥着重要作用，随着物联网的发展，越来越多的设备联网，使得设备指纹提取越来越难，存储空间越来越大。设备指纹是指可以用于唯一标识该设备特征或者独特的设备标识。设备指纹包括一些固有的、难以篡改的、唯一的设备标识，比如设备的硬件ID、MAC地址，或者独特的响应信息。这些设备的特征综合起来就可以当作设备指纹。设备指纹是身份验证的关键技术。设备指纹分为被动提取和主动提取两种。被动指纹提取是通过设备与外界交流的信息中提取指纹。主动指纹提取是在设备能容忍的程度上扫描设备以获得响应信息，从响应信息中提取指纹。目前，主动设备指纹提取是常用的方法。主动提取分为扫描、识别和存储三个部分，扫描是通过设计探测包向目标设备发送的过程，识别是从响应包中提取设备指纹和关键标识，通过这些标识获得设备的信息，如型号等，存储是将收集到的响应信息与对应的IP存储在数据库中。目前针对设备指纹提取技术的研究，主要文献包括：Zakir等人提出全网半连接扫描工具Zmap；Xuan提出了ARE原型系统，在Zmap搜索的结果上，自动生产物联网信息。这些问题主要解决了扫描和识别等问题，但对于之前提出的识别技术，由于花费了大量的人工成本，使得识别的可扩展性非常差，并且没有特用于区分物联网设备和非物联网设备的方法。同时对于存储问题，目前还没有有效的解决方案，随着物联网设备的大量增加，响应数据越来越大，然而设备指纹仅仅用于作为设备的唯一标识，如果将全部响应数据作为指纹存储，会浪费大量的存储资源。

技术实现思路

[0003]本专利技术的目的在于提供一种基于SVM的物联网设备识别和指纹降维方法，用基于SVM的物联网设备识别方法识别网络空间中的物联网设备，利用SVD的降维方法，使设备指纹提取的存储模块消耗资源更少。
[0004]为实现上述目的，本专利技术的技术方案是：一种基于SVM的物联网设备识别和指纹降维方法，首先使用基于SVM的物联网设备识别方法识别出网络空间中的物联网设备，然后提取物联网设备每个端口的响应数据构建物联网设备指纹，使用基于SVD的设备指纹降维方法对物联网设备指纹进行降维，得到降维后的物联网设备指纹。
[0005]相较于现有技术，本专利技术具有以下有益效果：
[0006](1)本专利技术使用了基于SVM的物联网设备识别方法识别网络空间中的物联网设备，首先向网络空间中的设备进行SYN扫描，当得到至少一个开放端口和一个关闭端口停止扫描。然后发送构建好的16个探测包，将每个探测包的响应数据包整理，选择其中包含的字段，构建特征空间。接着，使用基于互信息的特征选择算法，计算每个特征分数，实现对特征的选择。接下来将选择好的特征和数据构建SVM模型，使用构建好的模型对网络空间中的设
备进行分类，找出网络空间中的物联网设备。
[0007](2)本专利技术基于SVD对设备的指纹进行了降维处理，通过将设备指纹转换成特别的特征空间，然后计算空间中字符串的哈希索引作为其对应的数值，对包含数值的特征空间使用SVD进行降维，减少指纹所占用的空间，同时保证设备指纹的唯一性。
附图说明
[0008]图1为本专利技术基于SVM的物联网设备识别方法流程图。
[0009]图2为本专利技术基于SVD的设备指纹降维方法流程图。
[0010]图3为本专利技术一实例的物联网设备进行扫描示意图。
[0011]图4为本专利技术方法得到的检测结果图。
[0012]图5为SVD数据降维时间图。
具体实施方式
[0013]下面结合附图，对本专利技术的技术方案进行具体说明。
[0014]本专利技术一种基于SVM的物联网设备识别和指纹降维方法，首先使用基于SVM的物联网设备识别方法识别出网络空间中的物联网设备，然后提取物联网设备每个端口的响应数据构建设备指纹，使用基于SVD的设备指纹降维方法对设备指纹进行降维，得到降维后的设备指纹。
[0015]1、基于SVM的物联网设备识别方法
[0016]本方法的过程描述：首先向网络空间中的设备的每个端口发送TCP的SYN数据包扫描，如果返回SYN+ACK数据包，代表此端口开放，如果返回RST数据包，代表此端口关闭，如果1s内未收到返回，则认为此端口被防火墙过滤，在扫描过程中，如果收到至少一个SYN+ACK数据包和至少一个RST数据包则停止扫描，第一步扫描结束，从结果中选择一个开放端口和一个关闭端口。然后构建10个TCP数据包发送至开放端口、3个TCP数据包至关闭端口、2个ICMP至目标设备、1个UDP数据包至关闭端口，将每个数据包的响应数据包整理，选择其中包含的字段，构建特征空间，共344个特征。接着，由于特征空间中有许多的关联特征，所以需要对特征进行过滤，通过使用特征选择算法，计算特征与类别的互信息，以及特征之间的互信息，利用算法得出的分数，删除不符合阈值的特征，实现对特征的选择。接下来将选择好的特征和数据构建机器学习模型，本方法使用SVM模型，使用构建好的模型对网络空间中的设备进行分类，找出网络空间中的物联网设备。算法流程如图1所示。
[0017](1)构建特征空间
[0018]发送10个TCP数据包至开放端口、3个TCP数据包至关闭端口、2个ICMP至目标设备、1个UDP数据包至关闭端口，数据包构成如下：
[0019]相关变量定义：需要设置基础的数据变量，一个空闲状态的源端口sport，一个开放的目的端口open_port，一个关闭的目的端口closed_port，TCP数据包的Sequence number字段seq_number，TCP数据包的Acknowledgment number字段ack_number，ICMP数据包的Identifier字段icmp_identifier。
[0020]TCP:
[0021]a)TCP的flags字段为S(SYN),Sequence number字段为seq_number，
Acknowledgment number字段为ack_number，开放窗口window字段为1，options字段为[("WScale",10),("NOP",0),("MSS",1460),("Timestamp",(4294967295,0)),("SAckOK","")]，源端口为sport，发送至开放端口open_port。
[0022]b)TCP的flags字段为S(SYN),Sequence number字段为seq_number+1，Acknowledgment number字段为ack_number，开放窗口window字段为63，options字段为[("MSS",1400),("WScale",0),("SAckOK",""),("Timestamp",(4294967295,0)),("EOL",0)]，源本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于SVM的物联网设备识别和指纹降维方法，其特征在于，首先使用基于SVM的物联网设备识别方法识别出网络空间中的物联网设备，然后提取物联网设备每个端口的响应数据构建物联网设备指纹，使用基于SVD的设备指纹降维方法对物联网设备指纹进行降维，得到降维后的物联网设备指纹。2.根据权利要求1所述的基于SVM的物联网设备识别和指纹降维方法，其特征在于，所述基于SVM的物联网设备识别方法实现如下：首先向网络空间中的设备的每个端口发送TCP的SYN数据包扫描，如果返回SYN+ACK数据包，代表此端口开放，如果返回RST数据包，代表此端口关闭，如果1s内未收到返回，则认为此端口被防火墙过滤，在扫描过程中，如果收到至少一个SYN+ACK数据包和至少一个RST数据包则停止扫描，第一步扫描结束，从结果中选择一个开放端口和一个关闭端口；然后构建10个TCP数据包发送至开放端口，3个TCP数据包至关闭端口，2个ICMP至目标设备，1个UDP数据包至关闭端口，将每个数据包的响应数据包整理，选择响应数据包中包含的字段，构建特征空间；接着，对特征进行过滤，通过使用基于互信息的特征选择算法，计算特征与类别的互信息，以及特征之间的互信息，利用算法得出的分数，删除不符合阈值的特征，实现对特征的选择；最后将选择好的特征构建机器学习模型，并对网络空间中的设备进行分类，找出网络空间中的物联网设备。3.根据权利要求2所述的基于SVM的物联网设备识别和指纹降维方法，其特征在于，所述机器学习模型为SVM模型。4.根据权利要求2所述的基于SVM的物联网设备识别和指纹降维方法，其特征在于，所述基于互信息的特征选择算法实现如下：第一步，计算F
M
中每个特征与类别的互信息，选择得分最高并且大于阈值的特征，放入过滤后的特征空间F
S
，同时把这个特征从F
M
中删除；第二步，计算F
M
中每个特征与类别的互信息；第三步，同时计算F
M
中每个特征与F
S
中每个特征的互信息，并将这些互信息相加取平均，乘参数β；第四步，第二步得分减去第三步得分就是最终这些特征的得分，选择得分最高并且大于阈值的特征，放入过滤后的特征空间F
S
，同时把这个特征从F
M
中删除；第五步，重复第二至四步，直到最高得分小于阈值，停止。5.根据权利要求4所述的基于SVM的物联网设备识别和指纹降维方法，其特征在于，所述基于互信息的特征选择算法的具体计算公式如下：F
M
是表示原始的特征空间，C表示类别，F
S
表示过滤后的特征空间，β是参数；表示F
M
中第i个特征与类别的互信息，表示F
M
中第i个特征与F
S
的第j个特征互信...

【专利技术属性】
技术研发人员：傅仕琛，张坤三，黄柳苹，卓俊彦，傅昱，胡志杰，赖宝鹏，傅炜婷，何智杰，陈铮，姚历毅，李晓勇，方世烟，
申请(专利权)人：国网福建省电力有限公司漳州供电公司，
类型：发明
国别省市：