[发明专利]设备类型指纹的生成方法及识别方法、设备及介质

说明书

本发明公开了一种设备类型指纹的生成方法及识别方法、设备及介质，属于网络空间资产探测领域，包括：提取原始通信流量中的包字段，根据五元组创建流；将信息从原始通信流量提取到流中；在流中的包头共享相同的字段，或在流中的包头的字段以能够预测的方式更改；生成流特征，包括直接提取的流的基本信息，以及需要计算生成的衍生信息，五元组中的源IP地址信息不计入流的特征字段；将流作为基本元素，一个流对应一个标签，生成流特征，将所有带标签的流特征集合作为数据集；流基本元素按照设备类型使用决策树进行分类；根据决策树的每一条判定路径得到设备类型指纹。本发明具有兼顾准确性、可解释性和灵活性，易读易用性和场景适应性较强的优点。

技术领域

本发明涉及网络空间资产探测领域，更为具体的，涉及一种设备类型指纹的生成方法及识别方法、设备及介质。

背景技术

在过去的几十年里，网络地址转换(Network Address Translation，NAT)技术的使用呈指数级增长。它允许局域网中的多个设备共享有限数量的公网IP(InternetProtocol)地址。比如在家庭网络中，大多数ISP(Internet Service provider)为用户提供支持WI-FI的NAT家庭网关。当用户将他们的设备通过NAT网关接入互联网时，这些设备的私有IP地址是隐藏的，因为当数据报文在通过NAT设备向外发送时，会被映射到统一的公网IP地址。这种技术不仅为解决IPv4公网地址的短缺提供了一种廉价的解决方案，而且出于安全和隐私的原因大受欢迎，因为NAT设备为其内侧的一组计算机提供了匿名性。然而，同样的原因也吸引了那些想要隐藏真实身份的恶意用户，使得NAT的使用在合法和恶意环境中都大为增加。因此，对NAT内侧的设备进行资产探测识别有助于正确地理解场景中互联网设备的性质，掌握网络的负载情况，有利于指导互联网安全配置和管控。

网络空间资产探测根据探测方式主要分为主动探测、被动探测和基于搜索引擎的非侵入式探测。主动探测是指主动向目标主机发送数据包，目标主机收到数据后返回响应数据包，通过分析响应数据包获取目标主机信息的探测方式；被动探测是指利用网络嗅探工具获取目标网络的数据报文，通过分析报文数据得到网络资产信息；基于搜索引擎的非侵入式探测是指利用Shodan、Censys、ZoomEye等专用的网络安全搜索引擎获取网络资产信息。其中，主动探测和基于搜索引擎的非侵入式探测需要输入主机的IP地址作为探测目标，而NAT内侧设备的私有IP地址是被隐藏的，且NAT设备不会向内转发由外侧设备主动发起的数据包，因此这两种探测方式对NAT环境下的设备无效，对NAT内侧设备的探测方式主要采用被动探测。

被动探测的主要操作流程是流量监测设备放置、流量获取、特征提取和设备识别。

在典型场景中，流量监测设备被放置于NAT设备的外侧，探测目标位于NAT设备内侧，对被NAT覆盖的设备的探测方法同样适用于外网设备，因此场景中局域网设备和外网设备能够同时存在，如图1所示。

流量获取一般使用Wireshark、Zeek等现有网络流量数据采集工具，这些工具能够将采集的通信流量以流为单位进行分组，并具备一定的流量分析功能。

特征提取和设备识别是资产探测工作的核心部分，其中设备类型作为主要的识别对象之一受到广泛关注。近年来，研究人员针对设备类型识别提出了各种各样的解决方案，它们的普遍共性特点是在通信流量中提取流量报文特征，通过特征选择以及对特征数据进行数据建模从而形成固定格式的设备指纹，将设备指纹输入机器学习判别模型，进行指纹识别进而输出设备类型或其他判定信息，如图2所示。

现有这种指纹生成和识别方式无法满足如下方面的现实需求：1. 由取自具体时刻的通信流量特征计算生成设备指纹，指纹无法刻画一类设备的共性特征。2. 同一设备在不同时刻生成的设备指纹数据不同，指纹之间难以比对。3. 指纹格式固定，所有被选择的特征字段都会被计算生成和存储，无论它在后期匹配时是否实际用到，造成计算时间和存储空间的浪费。4. 部分设备指纹识别算法可读性弱、或不具备可解释性。

发明内容