[发明专利]一种基于时序负载流量指纹的物联网设备识别方法及系统

权利要求书

1.一种基于时序负载流量指纹的物联网设备识别方法，其特征在于，包括训练阶段和分类阶段；

所述训练阶段包括如下步骤：

1)以已知物联网设备流量类型的网络数据包集合为输入，将IP数据包重组为TCP/UDP单向流，提取每条单向流中每个带负载数据包的负载长度，并将其组合成为一个负载长度序列，从而获得一个单向流的报文长度序列信息；提取每一条单向流中第一个负载数据包的负载数据，获得每一个单向流的报文字节序列信息；分别将报文长度序列信息和报文字节序列信息转换为固定长度；

2)以步骤1)得到的报文长度序列信息和报文字节序列信息作为输入，形成离线训练数据集，采用有监督学习的方式，构建设备流量识别模型；

所述分类阶段包括如下步骤：

3)以物联网设备流量数据为输入，获取待识别物联网设备流量网络单向流，并将待测单向流转换为与步骤1)相同的定长报文长度序列信息和报文字节序列信息；

4)根据训练阶段中步骤2)得到的设备流量识别模型，对目标流量数据的物联网设备流量类别进行识别，并输出识别结果。

2.如权利要求1所述的一种基于时序负载流量指纹的物联网设备识别方法，其特征在于，步骤1)进行字节流序列转换的具体操作方法是：

1-1)利用网络五元组将数据包组合为网络单向流,提取每条单向流中每个带负载数据包的负载长度，并将其组合成为一个负载长度序列，从而获得一个单向流的报文长度序列信息；提取每一条单向流中第一个负载数据包的负载数据，获得每一个单向流的报文字节序列信息；

1-2)将物联网设备流量信息中的报文长度序列信息和报文字节序列信息分别进行长度一致化操作；对长度小于长度基准的信息进行补“0”填充操作，长度大于基准的信息进行截断操作。

3.如权利要求1所述的一种基于时序负载流量指纹的物联网设备识别方法，其特征在于，步骤2)构建所述特征提取网络模型和应用协议分类模型的方法是：

2-1)以步骤1)得到的定长报文长度序列信息作为输入，通过时序特征提取器对定长报文序列信息进行时序特征提取操作，得到刻画物联网设备流量报文状态转移关系的时序特征，基于时序特征利用时间卷积模块得到流量时序指纹；

2-2)以步骤1)得到的定长报文负载信息为输入，通过基于独热编码和卷积神经网络的神经网络模型处理报文负载信息进行流量负载特征提取操作，得到可以刻画物联网设备流量应用协议格式信息的负载特征，基于负载特征利用负载卷积模块得到流量负载指纹；

2-3)以步骤2-1)得到的流量时序指纹和步骤2-2)得到的流量负载指纹为输入，进行指纹融合操作，得到包含有流量时序指纹信息和流量负载指纹信息两部分信息的物联网设备流量指纹；并使用归一化指数函数，进行物联网设备流量识别操作，得到物联网设备流量所属的物联网设备流量类别；

2-4)以步骤2-3)得到的物联网设备流量类别与步骤1)中的物联网设备流量的真实物联网设备类型为输入，计算模型分类准确率、损失函数值等指标，若指标满足终止条件E，则停止神经网络训练过程，将包含训练后神经网络参数值的物联网设备流量指纹提取模型和物联网设备流量识别模型作为训练阶段最终的结果输出，以供分类阶段进行物联网设备流量识别；若指标不满足终止条件，则根据网络计算的损失函数值，使用反向传播更新神经网络参数，并重复步骤2-1)～步骤2-3)。