CN109063745B - 一种基于决策树的网络设备类型识别方法及*** - Google Patents

一种基于决策树的网络设备类型识别方法及*** Download PDF

Info

Publication number
CN109063745B
CN109063745B CN201810756175.3A CN201810756175A CN109063745B CN 109063745 B CN109063745 B CN 109063745B CN 201810756175 A CN201810756175 A CN 201810756175A CN 109063745 B CN109063745 B CN 109063745B
Authority
CN
China
Prior art keywords
equipment
decision tree
data
network
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810756175.3A
Other languages
English (en)
Other versions
CN109063745A (zh
Inventor
陈丹伟
刘翔元
刘尚东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing University of Posts and Telecommunications
Original Assignee
Nanjing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing University of Posts and Telecommunications filed Critical Nanjing University of Posts and Telecommunications
Priority to CN201810756175.3A priority Critical patent/CN109063745B/zh
Publication of CN109063745A publication Critical patent/CN109063745A/zh
Application granted granted Critical
Publication of CN109063745B publication Critical patent/CN109063745B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于决策树的网络设备类型识别方法及***,属于网络安全技术领域。所述方法包括采集网络设备数据流量,对网络流量进行预处理,提取流量中的HTTP数据包,将文本类型的特征数据向量化,利用特征向量进行决策树‑C45分类,最终识别出设备的类型;本发明能够基于网络流量采用决策树‑C45算法识别网络设备类型。该方法是基于被动方法去探测未知设备的类型,不会被入侵检测***捕获,同时对于未知设备的类型也能识别,并能把未知设备的类型补充到***中,提高泛化能力。

Description

一种基于决策树的网络设备类型识别方法及***
技术领域
本发明涉及网络安全与机器学习技术领域,更具体地说,涉及一种基于决策树的网络设备类型识别方法及***。
背景技术
随着大数据、物联网、IoT(InternetofThings)技术以及各设备间通信协议的发展,网络空间中的终端设备已越来越多。大量无线路由器、网络打印机、VoIP网络电话、网络数字视频摄像机和部分工控设备等都具有了公网IP地址,这些设备和传统的主机、服务器和路由器共同构成了当前的网络环境。据统计,除普通网站和主机外,接入网络空间的终端设备数量已超过500万,大类超过20种。当前网络空间中终端设备的规模十分庞大、类型十分复杂,同时带来的安全隐患也是前所未有的。
已有的许多识别方法所针对的识别对象仅为传统的Web服务器软件,如Apache、IIS、Nginx等,而如今网络空间中的终端设备数量繁多、种类复杂多样,无线路由器、网络打印机、VoIP网络电话、网络数字视频摄像机等终端设备***实现各不相同,传统的识别方法并不能很好的适用于当前的网络环境。因此,需要对传统识别方法进行改进,以扩展适用识别对象范围,达到利用传统识别方法来对新型终端设备的识别。
此外,网络空间中的各种终端设备在日常生活、办公中扮演了重要角色,网络指纹探测的同时需要保证终端设备的稳定运行。然而,传统的识别方法在探测网络指纹时往往需要发送许多无意义的探测报文,或者使用非正常的畸形请求来试探识别对象,此类识别方法容易对识别对象造成缓冲区溢出,形成拒绝服务,结果导致终端设备无法正常运行。因此,识别终端设备时所使用的探测报文,应尽可能的与正常请求相似,确保探测过程安全可靠,同时不会引发防火墙等设备的异常流量报警,或者直接被动的探测数据流量完成对设备类型的识别。
发明内容
针对现有技术中存在的新出现的各种各样的设备待识别和已存的识别方法容易被探测入侵行为,本发明提供了一种基于决策树的网络设备类型识别方法。它基于被动的探测未知设备的类型,不会被入侵检测***捕获,同时对于未知设备的类型也能识别,并能把未知设备的类型补充到***中,提高泛化能力。
本发明的目的通过以下技术方案实现:
一种基于决策树的网络设备类型识别方法,包括:
S1样本采集步骤:抓取未知设备的网络流量,获得未知设备的网络协议的响应报文信息;
S2数据预处理步骤:对响应报文信息进行预处理,提取出未知设备的HTTP数据包;
S3特征提取步骤:提取HTTP数据包中能够反映终端设备特征的信息作为样本特征,将文本类型的特征数据向量化;提取过滤得到的HTTP数据包中能够反映终端设备特性的信息作为样本特征,去除冗余信息,以便降低计算复杂度,提到识别效率;对提取后的样本特征进行预处理,通过统计分析的方法将文本类型的特征数据向量化;对于特征的向量化过程包括使用TF-IDF方法建立单词向量空间,以及通过潜语义分析方法LSA挖掘协议报文内部潜在的语义特征。
所述S3特征提取步骤还包括:
S31未知设备特征数据向量化:提取未知设备的HTTP数据包中的特征信息,将文本类型的特征数据向量化;
S32已知设备特征数据向量化:得到已知设备的HTTP数据包,将HTTP数据包特征信息向量化;向已知的设备类型的网络设备分别发送HTTP-GET请求,得到HTTP数据包,重复步骤3,提取HTTP数据包中的特征信息,将文本类型的特征数据向量化。这些类型已知的设备可以通过oshada去探测,oshada是一款收费的网络设备搜索***。
S4模型生成步骤:将S32步骤中已知设备向量化后的特征信息,通过决策树算法生成决策树;
S5分类步骤:将S31步骤中得到的未知设备向量化后的特征信息,通过S4模型生成步骤中生成的决策树进行分类,所述分类包括树的遍历以及树节点的匹配过程。首先判断决策树某节点是否为叶子节点,若为叶子节点说明当前节点为类型信息,将该类型判定为设备对应的类型,若不是叶子节点,获取设备的相应的属性项,然后对比两属性项的属性值,根据对比结果可以决定选择决策树节点的哪条分支,然后通过相应分支进入到下一节点继续上面的步骤,直到匹配结束。
优选地,S1样本采集步骤中使用WINPCAP直接从物理接口抓取数据包,数据包保存为cap文件格式。首先用WINPCAP直接从物理接口抓取数据包,数据包保存为cap文件格式;然后使用WINPCAP从脱机堆中读取数据包,即用WINPCAP的函数pcap_open_offline()打开存储的文件。
优选地,S2数据预处理步骤中所述预处理包括使用WINPCAP处理捕获的cap文件和设置过滤规则。WINPCAP提供pcap_compile()和 pcap_setfilter()这两个函数来过滤数据包,设置好精确的过滤表达式后,再配合这两个函数使用可以高效地实现过滤数据包的功能,本发明中只关心 HTTP 数据包,只要捕捉 HTTP数据包即可,所以将过滤器规则设置成“http”的表达式即可。
优选地,S4模型生成步骤中通过决策树-c45算法训练HTTP数据包特征信息,生成决策树。
一种基于决策树的网络设备类型识别***,包括:
样本采集模块,用于对已知和未知的网络物理端口抓取网络数据包,获得网络协议的响应报文信息;
数据预处理模块,用于分析抓取的网络数据包,通过设置过滤规则,得到HTTP数据包;
特征提取模块,用于提取HTTP数据包中能够反映终端设备特征的信息作为样本特征,将文本类型的特征数据向量化;
所述特征提取模块包括:
未知设备特征数据向量化单元,用于提取未知设备的HTTP数据包中的特征信息,将文本类型的特征数据向量化;
已知设备特征数据向量化单元,用于得到已知设备的HTTP数据包,将HTTP数据包特征信息向量化;
模型生成模块,用于生成决策树;
分类模块,用于对未知设备进行分类。
优选地,所述样本采集模块包括:
数据抓取单元,用于使用WINPCAP直接从物理接口抓取数据包,数据包保存为cap文件格式。
优选地,所述数据预处理模块包括:
预处理单元,用于使用WINPCAP直接从物理接口抓取数据包,数据包保存为cap文件格式。
优选地,所述模型生成模块包括:
决策树生成单元,用于通过决策树-c45算法训练HTTP数据包特征信息,生成决策树。
相比于现有技术,本发明的优点在于:
(1)现有的网络设备识别技术大多依赖于主动的方法扫描网络、人工提取设备指纹并通过正则匹配的方式进行设备识别过程,这样的识别方式不仅费时费力,识别正确率得不到保证,同时对于发现和识别未知设备也无能为力,还容易被发现。
(2)本发明是基于被动的方法识别网络设备的类型,只是单纯的通过网络流量数据包去识别网络设备的类型,不会被入侵检测***捕获。
(3)本发明通过自动机器学习的方法,学习已知设备的特征信息生成决策树,再用决策树去判断未知设备的类型,增加了可识别设备的种类,并能把未知设备的类型补充到***中,提高泛化能力。
附图说明
图1为本发明的整体过程流程图;
图2为本发明的***架构图。
具体实施方式
下面结合说明书附图和具体的实施例,对本发明作详细描述。
实施例1
根据图1给出的整体过程流程图,本实施例的具体实施方式如下:
1.已知设备数据包处理
(1)样本采集:通过一款收费的网络设备搜索***oshada在网络中探测网络设备的类型以及IP地址,分别向已知设备发送HTTP-GET请求,得到HTTP数据包。
(2)数据处理:提取过滤得到的HTTP数据包中能够反映终端设备特性的信息作为样本特征,即统计HTTP响应包中头字段总数,选择出现频率最高的30个字段作为特征1至特征30,通过TF-IDF算法将文本类型的特征数据向量化;
(3)数据应用:通过决策树-c45算法训练HTTP数据包特征向量化后的数据,生成决策树。输入为已知设备的HTTP数据包的特征数据输出为决策树。生成决策树的过程是一个生成树函数的递归过程,递归停止条件为当前子集中只有一种***类型了或者当前的属性已全部考虑完毕但仍未分尽,前一条件由函数 AllTheSameLabel()判定,该函数依次判断当前样本是否都属于某一类型,若是则将此类型记录返回,后一条件通过当前属性项大小是否为零判定,若为零则由函数 MostCommonLable()函数选择当前类型最多的类型判定为当前类型并返回。计算各项的信息增益率由函数ComputeGainRatio()完成,函数中又包含两个步骤分别是计算信息熵和划分信息熵从而得到信息增益,然后算得***信息从而通过相比从而得出信息增益率,分别由函数ComputeEntropy()、ComputeSplit()完成。当计算完各选项的信息增益率后,通过对比选择最大的属性项并通过该属性项的取值划分剩余样本为各个子集,此时需要更新剩下的属性项以及属性值,针对各个子集分别继续运行生成树函数即递归生成树函数,重复上面的步骤直到满足递归条件后逐层返回节点,最终生成树函数返回决策树的根节点root地址,通过决策树节点的数据结构可以得到节点的属性、属性值以及所有的孩子,至此决策树模型已经形成。
2.未知设备数据包处理
(1)样本采集:用WINPCAP直接从物理接口抓取数据包,数据包保存为cap文件格式;然后使用WINPCAP从脱机堆中读取数据包,即用的WINPCAP的函数pcap_open_offline()打开存储的文件;WINPCAP提供pcap_compile()和 pcap_setfilter()这两个函数来过滤数据包,设置好精确的过滤表达式后,再配合这两个函数使用可以高效地实现过滤数据包的功能,本发明中只关心 HTTP 数据包,只要捕捉 HTTP数据包即可,所以将过滤器规则设置成“http”的表达式即可;
(2)数据处理:提取过滤得到的HTTP数据包中能够反映终端设备特性的信息作为样本特征,即统计HTTP响应包中头字段总数,选择出现频率最高的30个字段作为特征1至特征30,通过TF-IDF算法将文本类型的特征数据向量化;
3分类器分类
用已知设备特征向量化后的数据生成的决策树通过对未知设备特征向量化后的数据进行算法匹配,从而对未知设备进行分类。分类的过程实质是树的遍历以及树节点的匹配过程;首先判断决策树某节点是否为叶子节点,若为叶子节点说明当前节点为类型信息,将该类型判定为设备对应的类型,若不是叶子节点,获取设备的相应的属性项,然后对比两属性项的属性值,根据对比结果可以决定选择决策树节点的哪条分支,然后通过相应分支进入到下一节点继续上面的步骤,直到匹配结束。
图2为本发明的具体实施方式中的***架构图,主要包括:
样本采集过程
1.使用网络设备搜索***oshada尽可能多收集网络设备的种类和每个种类的数目,提高识别的准确率和增加识别的种类。
2. 分别向已知设备发送HTTP-GET请求,得到HTTP数据包
3. 使用WINPCAP直接从物理接口抓取数据包,设置过滤规则,得到HTTP数据包
数据预处理过程
1. 提取过滤得到的HTTP数据包中能够反映终端设备特性的信息作为样本特征,即统计HTTP响应包中头字段总数,选择出现频率最高的30个字段(不含“content-length”字段)作为特征1至特征30;若HTTP响应包头部中存在特征1至特征30中的头字段,则相应位置的数值为1,若不存在,数值为0
2. 选取HTTP返回状态码作为特征31,返回的HTTP状态码根据状态码集 S 中的索引,特征31数值标记为1-36中某值。状态码集 S 为:
S={ 200, 202, 203, 204, 205, 301, 302, 307, 400,
401, 402, 403, 404, 405, 406, 407, 408, 410,
412, 416, 451, 456, 461, 479, 500, 501, 502,
503, 504, 508, 510, 520, 534, 535, 550, 596}
3.选取“ content-length”字段值作为特征 32,若HTTP响应包头部中存在头字段“content-length”,则特征32数值为“content-length”字段具体数值,若不存在,数值为0。
4.最终,将原始样本 HTTP 响应包文本特征转换为 32 维特征向量
分类过程
1. 通过决策树-c45算法训练已知设备HTTP 响应包的文本特征转换为 32 维特征向量后的数据,生成决策树。输入为已知设备的HTTP数据包的特征数据输出为决策树。
2. 用已知设备特征向量化后的数据生成的决策树通过对未知设备特征向量化后的数据进行算法匹配,从而对未知设备进行分类。
以上示意性地对本发明创造及其实施方式进行了描述,该描述没有限制性,附图中所示的也只是本发明创造的实施方式之一,实际的结构并不局限于此。所以,如果本领域的普通技术人员受其启示,在不脱离本创造宗旨的情况下,不经创造性的设计出与该技术方案相似的结构方式及实施例,均应属于本专利的保护范围。

Claims (4)

1.一种基于决策树的网络设备类型识别方法,其特征在于,其步骤包括:
S1样本采集步骤:抓取未知设备的网络流量,获得未知设备的网络协议的响应报文信息;
S2数据预处理步骤:对响应报文信息进行预处理,提取出未知设备的HTTP数据包;
所述预处理包括使用WINPCAP处理捕获的cap文件和设置过滤规则;
S3特征提取步骤:提取HTTP数据包中能够反映终端设备特征的信息作为样本特征,将文本类型的特征数据向量化;
所述S3特征提取步骤还包括:
S31未知设备特征数据向量化:提取未知设备的HTTP数据包中的特征信息,将文本类型的特征数据向量化;
S32已知设备特征数据向量化:得到已知设备的HTTP数据包,将HTTP数据包特征信息向量化;
S4模型生成步骤:将S32步骤中已知设备向量化后的特征信息,通过决策树算法生成决策树;
所述S4模型生成步骤中通过决策树-c45算法训练HTTP数据包特征信息,生成决策树;
S5分类步骤:将S31步骤中得到的未知设备向量化后的特征信息,通过S4模型生成步骤中生成的决策树进行分类,所述分类包括树的遍历以及树节点的匹配过程。
2.根据权利要求1所述的基于决策树的网络设备类型识别方法,其特在于:S1样本采集步骤中使用WINPCAP直接从物理接口抓取数据包,数据包保存为cap文件格式。
3.一种基于决策树的网络设备类型识别***,其特征在于,包括:
样本采集模块,用于对已知和未知的网络物理端口抓取网络数据包,获得网络协议的响应报文信息;
数据预处理模块,用于分析抓取的网络数据包,通过设置过滤规则,得到HTTP数据包;
所述数据预处理模块包括:预处理单元,用于使用WINPCAP直接从物理接口抓取数据包,数据包保存为cap文件格式;
特征提取模块,用于提取HTTP数据包中能够反映终端设备特征的信息作为样本特征,将文本类型的特征数据向量化;
所述特征提取模块包括:
未知设备特征数据向量化单元,用于提取未知设备的HTTP数据包中的特征信息,将文本类型的特征数据向量化;
已知设备特征数据向量化单元,用于得到已知设备的HTTP数据包,将HTTP数据包特征信息向量化;
模型生成模块,用于生成决策树;
所述模型生成模块包括:决策树生成单元,用于通过决策树-c45算法训练HTTP数据包特征信息,生成决策树;
分类模块,用于对未知设备进行分类。
4.根据权利要求3所述的基于决策树的网络设备类型识别***,其特征在于,所述样本采集模块包括:
数据抓取单元,用于使用WINPCAP直接从物理接口抓取数据包,数据包保存为cap文件格式。
CN201810756175.3A 2018-07-11 2018-07-11 一种基于决策树的网络设备类型识别方法及*** Active CN109063745B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810756175.3A CN109063745B (zh) 2018-07-11 2018-07-11 一种基于决策树的网络设备类型识别方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810756175.3A CN109063745B (zh) 2018-07-11 2018-07-11 一种基于决策树的网络设备类型识别方法及***

Publications (2)

Publication Number Publication Date
CN109063745A CN109063745A (zh) 2018-12-21
CN109063745B true CN109063745B (zh) 2023-06-09

Family

ID=64815825

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810756175.3A Active CN109063745B (zh) 2018-07-11 2018-07-11 一种基于决策树的网络设备类型识别方法及***

Country Status (1)

Country Link
CN (1) CN109063745B (zh)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109948650B (zh) * 2019-02-13 2023-08-11 南京中一物联科技有限公司 一种基于报文特征的智能家居设备类型判定方法
CN110022308B (zh) * 2019-03-11 2020-05-29 中国科学院信息工程研究所 一种物联网设备识别方法、***、电子设备及存储介质
CN111931797B (zh) * 2019-05-13 2023-09-08 ***通信集团湖南有限公司 业务所属网络的识别方法、装置及设备
CN110096013A (zh) * 2019-05-24 2019-08-06 广东工业大学 一种工业控制***的入侵检测方法及装置
CN110062013A (zh) * 2019-06-04 2019-07-26 电子科技大学 一种针对恶意软件http流量的检测***及其方法
CN110348526B (zh) * 2019-07-15 2021-05-07 武汉绿色网络信息服务有限责任公司 一种基于半监督聚类算法的设备类型识别方法和装置
CN110602041A (zh) * 2019-08-05 2019-12-20 中国人民解放军战略支援部队信息工程大学 基于白名单的物联网设备识别方法、装置及网络架构
CN110445689B (zh) * 2019-08-15 2022-03-18 平安科技(深圳)有限公司 识别物联网设备类型的方法、装置及计算机设备
CN113098832B (zh) * 2019-12-23 2022-09-27 四川大学 一种基于机器学习的远程缓冲区溢出攻击检测方法
US11983611B2 (en) * 2019-12-30 2024-05-14 Armis Security Ltd. System and method for determining device attributes using a classifier hierarchy
CN111367874B (zh) * 2020-02-28 2023-11-14 绿盟科技集团股份有限公司 一种日志处理方法、装置、介质和设备
CN112118259B (zh) * 2020-09-17 2022-04-15 四川长虹电器股份有限公司 一种基于提升树的分类模型的越权漏洞检测方法
CN112115917B (zh) * 2020-09-29 2024-05-28 深圳市汇顶科技股份有限公司 指纹识别方法、指纹识别装置、电子设备及存储介质
CN114338064B (zh) * 2020-09-30 2023-07-07 腾讯科技(深圳)有限公司 识别网络流量类型的方法、装置、***、设备和存储介质
EP4224364A4 (en) * 2020-10-23 2024-04-03 Huawei Technologies Co., Ltd. DEVICE IDENTIFICATION METHOD, APPARATUS AND SYSTEM
CN112600793A (zh) * 2020-11-23 2021-04-02 国网山东省电力公司青岛供电公司 一种基于机器学习的物联网设备分类识别方法及***
CN114785708A (zh) * 2021-01-20 2022-07-22 华为技术有限公司 判断终端设备类型的方法和相关设备
CN113328985B (zh) * 2021-04-07 2022-12-09 西安交通大学 一种被动物联网设备识别方法、***、介质及设备
CN112989256B (zh) * 2021-05-08 2021-09-24 北京华云安信息技术有限公司 识别响应信息中web指纹的方法和装置
CN113625073A (zh) * 2021-06-23 2021-11-09 国网浙江省电力有限公司营销服务中心 一种非侵入式负荷监测***的特征库更替方法和监测方法
WO2023004707A1 (zh) * 2021-07-29 2023-02-02 西门子股份公司 设备类型识别的方法和装置
CN114615020B (zh) * 2022-02-15 2023-05-26 中国人民解放军战略支援部队信息工程大学 基于特征约减和动态加权的网络设备快速识别方法及***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106572486A (zh) * 2016-10-17 2017-04-19 湖北大学 一种基于机器学习的手持终端流量识别方法和***
CN106850333A (zh) * 2016-12-23 2017-06-13 中国科学院信息工程研究所 一种基于反馈聚类的网络设备识别方法及***
CN108259637A (zh) * 2017-11-30 2018-07-06 湖北大学 一种基于决策树的nat设备识别方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106572486A (zh) * 2016-10-17 2017-04-19 湖北大学 一种基于机器学习的手持终端流量识别方法和***
CN106850333A (zh) * 2016-12-23 2017-06-13 中国科学院信息工程研究所 一种基于反馈聚类的网络设备识别方法及***
CN108259637A (zh) * 2017-11-30 2018-07-06 湖北大学 一种基于决策树的nat设备识别方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于C5.0决策树的NAT设备检测方法;石志凯等;《计算机科学》;20180615;第45卷(第6A期);第323-326页 *

Also Published As

Publication number Publication date
CN109063745A (zh) 2018-12-21

Similar Documents

Publication Publication Date Title
CN109063745B (zh) 一种基于决策树的网络设备类型识别方法及***
CN109960729B (zh) Http恶意流量的检测方法及***
Shapira et al. FlowPic: A generic representation for encrypted traffic classification and applications identification
CN112398779B (zh) 一种网络流量数据分析方法及***
Homayoun et al. BoTShark: A deep learning approach for botnet traffic detection
CN109450842B (zh) 一种基于神经网络的网络恶意行为识别方法
CN111385297B (zh) 无线设备指纹识别方法、***、设备及可读存储介质
CN113206860B (zh) 一种基于机器学习和特征选择的DRDoS攻击检测方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN111600919A (zh) 基于人工智能的web检测方法和装置
CN111131260A (zh) 一种海量网络恶意域名识别和分类方法及***
CN113328985B (zh) 一种被动物联网设备识别方法、***、介质及设备
CN110768875A (zh) 一种基于dns学习的应用识别方法及***
CN112565308B (zh) 基于网络流量的恶意应用检测方法、装置、设备及介质
CN110868404A (zh) 一种基于tcp/ip指纹的工控设备自动识别方法
Khandait et al. IoTHunter: IoT network traffic classification using device specific keywords
CN112003869A (zh) 一种基于流量的漏洞识别方法
CN111464510B (zh) 基于快速梯度提升树分类模型的网络实时入侵检测方法
US11477225B2 (en) Pre-emptive computer security
CN111431872B (zh) 一种基于tcp/ip协议特征的两阶段物联网设备识别方法
Wan et al. DevTag: A benchmark for fingerprinting IoT devices
CN116170227A (zh) 一种流量异常的检测方法、装置、电子设备及存储介质
CN116405261A (zh) 基于深度学习的恶意流量检测方法、***及存储介质
CN113382003B (zh) 一种基于两级过滤器的rtsp混合入侵检测方法
CN110574348B (zh) 数据处理装置和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant