[发明专利]一种基于反馈聚类的网络设备识别方法及系统

权利要求书

1.一种基于反馈聚类的网络设备识别方法，其特征在于，其步骤包括：

步骤1，对公网中存活的网络设备进行网络协议探测，获得网络协议的响应报文信息；

步骤2，从响应报文信息中选择若干对应的网络设备，对其进行人工标定；

步骤3，针对具体的网络协议类型，选择和提取响应报文信息中的特征信息，通过统计分析的方法将特征信息向量化；

步骤4，对向量化后的特征信息进行聚类；

步骤5，依照步骤2中人工标定的数据对聚类结果进行评估，得到聚类效用的评估结果；

步骤6，若聚类效用的评估结果满足给定的目标阈值，则聚类过程停止，否则调节步骤4中聚类方案的参数，并重复步骤5和步骤6，直到聚类效用的评估结果满足给定的目标阈值，从而实现网络设备的识别。

2.根据权利要求1所述的方法，其特在于，步骤1通过扫描器扫描存活的网络设备并探测设备的网络协议类型，包括使用Nmap工具、Zmap工具进行扫描；探测所用到的网络协议包括TCP协议，UDP协议，Telnet协议，HTTP协议以及RTSP协议。

3.根据权利要求1所述的方法，其特征在于，步骤1根据不同网络协议的类型，对获得的网络协议的响应报文信息进行预处理，然后进行步骤2。

4.根据权利要求3所述的方法，其特征在于，所述预处理包括筛除对于特定网络协议无意义的响应内容，以及对出现多次的协议响应内容的去重工作；对于网络设备的选择方法包括随机选择，以及根据先验知识选择各品牌各型号的经典响应报文。

5.根据权利要求1所述的方法，其特征在于，步骤3中对于响应报文信息提取的特征信息包括协议内容关键字；特征提取的方法包括使用主成分分析法或者Relief算法选择有效的特征；对于特征的向量化过程包括使用TF-IDF方法建立单词向量空间，以及通过潜语义分析方法LSA挖掘协议报文内部潜在的语义特征。

6.根据权利要求1所述的方法，其特征在于，步骤4中使用的聚类方法包括：K-means聚类方法，贝叶斯聚类方法，层次聚类算法，或者增量聚类方法。

7.根据权利要求1所述的方法，其特征在于，步骤5中对于聚类结果的评估手段包括：建立聚类效用评估模型，使用人工验证的方式验证聚类正确性，得到聚类效用的评估结果。

8.根据权利要求1所述的方法，其特征在于，步骤6中对于聚类方法的反馈调节的参数包括：调节K-mean聚类算法中聚类个数，调节层次聚类法中类间距大小，调节增量聚类中分类效用函数的度量值。

9.一种基于反馈聚类的网络设备识别系统，其特征在于，包括：

网络协议探测模块，用于对公网中存活的网络设备进行网络协议探测，获得网络协议的响应报文信息；

人工标定模块，用于从响应报文信息中选择若干对应的网络设备，对其进行人工标定；

特征提取模块，用于针对具体的网络协议类型，选择和提取响应报文信息中的特征信息，通过统计分析的方法将特征信息向量化；

聚类模块，用于对向量化后的特征信息进行聚类；

聚类效用评估模块，用于依照人工标定的数据对聚类结果进行评估，得到聚类效用的评估结果；

聚类反馈调节模块，用于在聚类效用的评估结果不满足给定的目标阈值时，调节聚类模块中聚类方案的参数，直到聚类效用的评估结果满足给定的目标阈值。