[发明专利]设备类型指纹的生成方法及识别方法、设备及介质

权利要求书

1.一种设备类型指纹的生成方法，其特征在于，包括步骤：

提取原始通信流量中的包字段，然后根据五元组创建流；将信息从原始通信流量提取到所述流中；在流中的包头共享相同的字段，或者在流中的包头的字段以能够预测的方式更改；生成流特征，流的特征字段包括直接提取的流的基本信息，以及需要计算生成的衍生信息，五元组中的源IP地址信息不计入所述流的特征字段；将流作为基本元素，一个流对应一个标签，所有带标签的流特征集合作为数据集；

所有流基本元素按照设备类型使用决策树进行分类；

将决策树的每一条判定路径进行输出，得到字符串，该字符串即为设备类型指纹。

2.根据权利要求1所述的设备类型指纹的生成方法，其特征在于，在提取原始通信流量中的包字段之前，包括步骤：搭建目标设备已知的数据真值采集环境，将一部分目标设备通过NAT设备接入互联网，另一部分目标设备直接接入互联网，将流量监测采集设备置于NAT外侧的互联网端。

3.根据权利要求1所述的设备类型指纹的生成方法，其特征在于，在提取原始通信流量中的包字段之前，包括步骤：使用网络流量数据采集工具通过流量监听的方式获取原始通信数据报文，并进行存储以作为原始通信流量数据。

4.根据权利要求1所述的设备类型指纹的生成方法，其特征在于，所述所有流基本元素按照设备类型使用决策树进行分类，包括步骤：以有放回抽样的方式取样N次，N为正整数，形成训练集，并用未抽到的用例做测试，评估其误差，将误差控制在设定阈值以内，从而得到分类模型。

5.根据权利要求1所述的设备类型指纹的生成方法，其特征在于，所述通信流量包括加密通信流量。

6.一种设备类型指纹的识别方法，其特征在于，包括：

步骤一，按照如权利要求1~5中任一项所述设备类型指纹的生成方法生成设备类型指纹；

步骤二，将流作为用于比对设备类型指纹的单位元素，具体包括步骤：

S1，提取一条待识别的所述流；

S2，对所有设备类型指纹进行排序；在设备类型指纹比对时，只有在待比对的当前设备类型指纹中所需流特征还不具备时，才会计算这些特征；一条流信息按顺序逐一比对设备类型指纹集中的设备类型指纹元素，一旦比对成功，则无需计算排序靠后的设备类型指纹元素中需要的更多更复杂的特征信息；

S3，取一条待比对的设备类型指纹；

S4，增量生成设备类型指纹比对到的下一项特征，流特征生成过程中，只有在待比对的当前设备类型指纹的待比对的当前特征还不具备时，才会计算这项流特征，已经计算的特征将保存至该流比对完毕；

S5，将计算出的流特征与设备类型指纹特征比对，若不成功，则回到步骤S3；若成功，则进入步骤S6；

S6，获得该流的设备类型比对结果，判断是否已经比对成功当前设备类型指纹的所有特征，如果是，则获得该设备类型指纹对应的设备类型作为比对结果，如果否，则回到步骤S4执行该设备类型指纹下一项特征的比对；

S7，重复回到步骤S1直到所有流匹配完成，判断待识别数据集中的流是否都匹配完毕，若尚未完成，则回到步骤S1，执行下一条流的指纹匹配，若完成，则结束整个匹配过程。

7.根据权利要求6所述的设备类型指纹的识别方法，其特征在于，在步骤S2中，当设备类型指纹集不变时，使用固定排序。

8.根据权利要求6所述的设备类型指纹的识别方法，其特征在于，在步骤S5中若不成功的情形下，在执行所述回到步骤S3之前，包括子步骤：标记指纹集中的具有相同特征要求的设备类型指纹元素，用于在流的匹配过程中，不再比对这些指纹。

9.一种计算机设备，其特征在于，包括程序指令运行单元和程序指令存储单元，当程序指令由程序指令运行单元加载运行时执行如权利要求1~5任一所述的设备类型指纹的生成方法。

10.一种可读存储介质，其特征在于，在可读存储介质中存储有计算机程序，所述计算机程序被处理器加载并执行如权利要求1~5任一项所述的方法。