CN111757327A - 无线网络中假冒dhcp服务器或网关的识别方法及装置 - Google Patents

无线网络中假冒dhcp服务器或网关的识别方法及装置 Download PDF

Info

Publication number
CN111757327A
CN111757327A CN202010494790.9A CN202010494790A CN111757327A CN 111757327 A CN111757327 A CN 111757327A CN 202010494790 A CN202010494790 A CN 202010494790A CN 111757327 A CN111757327 A CN 111757327A
Authority
CN
China
Prior art keywords
identified
equipment
protocol
information
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202010494790.9A
Other languages
English (en)
Inventor
马君
喻灵婧
周钊宇
郭威
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Meifang Science And Technology Beijing Co ltd
Original Assignee
Meifang Science And Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Meifang Science And Technology Beijing Co ltd filed Critical Meifang Science And Technology Beijing Co ltd
Priority to CN202010494790.9A priority Critical patent/CN111757327A/zh
Publication of CN111757327A publication Critical patent/CN111757327A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明实施例提供一种无线网络中假冒DHCP服务器或网关的识别方法及装置。所述方法包括获取无线网络中待识别设备发送的待识别流量;所述待识别流量为广播和多播流量;根据预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;若判定所述待识别设备的为异常设备,则根据与DHCP协议对应的数据包,确定是否为假冒DHCP服务器或网关,本发明实施例通过采集无线网络中各待识别设备的广播和多播流量,并提取各预设特征类型的特征信息,输入到设备识别模型,若判定为异常设备,则进一步根据DHCP协议对应的数据包来简单快速得从无线网络中识别假冒的DHCP服务器或者网关。

Description

无线网络中假冒DHCP服务器或网关的识别方法及装置
技术领域
本发明涉及无线通信技术领域,尤其涉及一种无线网络中假冒DHCP服务器或网关的识别方法及装置。
背景技术
无线设备和物联网设备已经被广泛应用于社会的各个领域中,随着无线通信技术的发展以及其带来的便利,越来越多的传统(有线)设备通过无线的方式连入网络。与此同时,越来越多的设备开始支持接入WiFi网络,为了保证网络中各个设备的正常运行,并防止被攻击,需要能够正确识别网络中的各种设备。
针对DHCP服务器的设备识别技术主要基于密码学技术对DHCP数据包进行认证用以确保DHCP数据包的真实性。主要包括:第一类工作通过物理信号相关信息完成对假冒网关的检测,例如,Jana等通过收集信标帧来计算网络中网关的时钟偏移,当发现时钟偏移异常时完成对假冒网关的判定。Air-Magnet在网络中部署多个传感器收集物理层以及链路层的信息进而完成对假冒网关的检测。Kim等(T.Kim,H.Park,H.Jung,and H.Lee.OnlineDetection of Fake Access Points Using Received Signal Strengths.In75th IEEEVehicular Technology Conference(VTC Spring 2012),2012)通过对收集到信号强度的差异性分析完成对假冒网关的检测。第二类工作通过网络数据包相关特征进行探测完成对假冒网关的检测,例如,Han等(Hao Han;Bo Sheng;Tan,C.C.;Qun Li;Sanglu Lu,"ATimingBased Scheme for Rogue AP Detection,"Parallel and Distributed Systems,IEEE Transactions on,vol.22,no.11,pp.1912,1925,Nov.2011.)利用假冒网关可能依赖合法网关进行DNS请求这一特性,根据向网关发送探针包并计算RTT值完成对网关异常与否的判定。Bratus等(S.Bratus,C.Cornelius,D.Kotz,and D.Peebles.Active BehavioralFingerprinting of Wireless Devices.In Proceedings of the First ACM Conferenceon Wireless Network Security(WiSec'08),2008)使用主动探测的方式对待测设备发送探针包,并通过待测设备返回结果完成对假冒网关的判定。Neumann等(C.Neumann,O.Heen,and S.Onno,“An empirical study of passive 802.11device fingerprinting,”inDistributed Computing Systems Workshops(ICDCSW),2012 32nd InternationalConference on,june 2012,pp.593–602)被动监听数据包,通过计算接收到的两个有序数据包之间的时间间隔完成对假冒网关的检测。第三类工作试图通过对802.11标准或协议进行修改完成对网关的验证工作。例如,Cross等(T.Cross and T.Takahashi.Secure OpenWireless Access.In Black Hat USA 2011)尝试引入SSL协议,为每个网关颁发证书完成对网关的认证。
对于使用密码学技术进行DHCP服务器识别的方法,部分工作的实现需要具有网络管理员权限已完成前期的密钥下发等工作,且DHCP报文承载证书或密钥会增加网络负载。而目前使用网络流量完成假冒网关检测的方法对于使用物理信号特征识别假冒网关相关工作而言,当攻击者通过精细化调整同步假冒网关与真实网关时,通过使用时钟偏移异常的方法漏报率较高,同时,这类方法通常需要额外专业设备完成对信号进行采集。可见,现有技术的复杂度较高,且容易增加网络负担。
发明内容
由于现有方法存在上述问题,本发明实施例提供一种无线网络中假冒DHCP服务器或网关的识别方法及装置。
第一方面,本发明实施例提供了一种无线网络中假冒DHCP服务器或网关的识别方法,包括:
获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
若所述设备识别模型判定所述待识别设备的为异常设备,则根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关。
进一步地,所述根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型,具体包括:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为所述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
进一步地,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
进一步地,所述设备识别模型具体为包括深度融合和广度融合的神经网络。
进一步地,所述若所述设备识别模型判定所述待识别设备的为异常设备,则根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关,具体包括:
若所述设备识别模型若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备;
根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关。
进一步地,所述根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关,具体包括:
若根据设备识别模型的广度融合的神经网络,得到与DHCP类对应的识别结果为所述待识别设备为DHCP服务器或网关,而其它特征类型对应的识别结果存在非DHCP服务器或网关时,则对所述待识别流量中的与DHCP协议对应的数据包进行解析;
根据解析结果,确定所述待识别设备是否为假冒DHCP服务器或网关。
第二方面,本发明实施例提供了一种无线网络中假冒DHCP服务器或网关的识别装置,包括:
流量采集单元,用于获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
数据处理单元,用于根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
设备识别单元,用于若所述设备识别模型判定所述待识别设备的为异常设备,则根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关。
进一步地,所述数据处理单元,具体用于:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为所述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
第三方面,本发明实施例还提供了一种电子设备,包括:
处理器、存储器、通信接口和通信总线;其中,
所述处理器、存储器、通信接口通过所述通信总线完成相互间的通信;
所述通信接口用于该电子设备的通信设备之间的信息传输;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述程序指令能够执行如下方法:
获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
若所述设备识别模型判定所述待识别设备的为异常设备,则根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如下方法:
获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
若所述设备识别模型判定所述待识别设备的为异常设备,则根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关。
本发明实施例提供的无线网络中假冒DHCP服务器或网关的识别方法及装置,通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,若根据输出判定为异常设备,则进一步根据DHCP协议对应的数据包来简单快速得从无线网络中识别假冒的DHCP服务器或者网关。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的无线网络中假冒DHCP服务器或网关的识别方法流程图;
图2为本发明实施例的设备识别模型的结构示意图;
图3为本发是实施例的无线网络中假冒DHCP服务器或网关的识别装置结构示意图;
图4示例了一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例的无线网络中假冒DHCP服务器或网关的识别方法流程图,如图1所示,所述方法包括:
步骤S01、获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量。
在无线网络中部署设备识别装置,所述设备识别装置具体可以为无线网络中任意一台能接收流量的智能设备,例如,个人电脑、手机、网关服务器等。通过在所述设备识别装置上预先安装的监听工具,例如,tcpdump,wireshark等,监听所述设备识别装置的无线网卡所收到的流量,并采集其中的广播和多播流量作为待识别流量。
所采集到的待识别流量根据其包含的源MAC地址,分别对应于不同的待识别装置。
步骤S02、根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的。
所述待识别装置在发送广播和多播流量时,根据实际的需要将使用不同的数据传输协议,例如:ARP协议、ICMPv6协议、mDNS协议、DHCP协议、IGMP协议、SSDP协议、LLC协议、LLMNR协议、UDP协议、ETHERTYPE协议等等。不同的数据传输协议存在不同的数据格式、包含不同的数据内容,因此,可预先选定部分数据传输协议,从与选定的数据传输协议对应的待识别流量中分别提取出各数据传输协议的特征信息。例如:对于DHCP协议,其对应的待识别流量的数据包包括:DHCP discover数据包、DHCP offer数据包等,各数据包所包含的数据内容由多个选项组成,提取出预设选项对应的数据内容作为所述DHCP协议对应的特征信息。
在提取特征信息时,对于部分不存在区别特性的特征信息可以采用简单替换的方式来简化后续的数据处理,例如,若特征信息为IPv4或IPv6地址,则可用字符串“IPv4”或“IPv6”进行替换。
根据各数据传输协议的数据特性,将各数据传输协议的特征信息分为多个预设的特征类型,从而得到各特征类型的特征信息,并将得到的各特征类型的特征信息输入到预先构建并训练的设备识别模型中。
所述设备识别模型为预先构建的神经网络模型,并通过预先采集训练样本集对所述设备识别模型进行训练,所述训练样本集包括大量预先经过标注的特征信息训练样本。所述特征信息训练样本源于各类无线网络中已识别设备的广播和多播流量,通过特征提取,得到的已识别设备的各特征类型的特征信息。
步骤S03、若所述设备识别模型判定所述待识别设备的为异常设备,则根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关。
将得到的待识别设备的各特征类型的特征信息输入到训练后的设备识别模型中,再根据所述设备识别模型的输出,得到所述待识别设备的识别结果。
若根据所述设备识别模型的输出判定所述待识别设备为某一已知设备,则给出所述待识别模型的设备信息;否则,则判定所述待识别模型为异常设备。
所述待识别设备的设备信息具体包括:所述待识别设备的制造商、设备类型和设备型号。
所述设备信息可根据实际的需要对具体的粒度进行设定,本发明实施例仅给出了其中的一种举例说明,所述设备信息具体包括三个标识,分别为:{制造商Manufacturer、设备类型Type、设备型号Model}。
所述制造商具体可以使用各设备制造商的公司命名。
所述设备类型可以根据实际的需要进行分类并命名:例如:phone、computer、pad、router、camera、smart-plug、smart-switch、virtual-machine、game-console、tv、lightbulb、printer、kettle、watersensor、watch等。
所述设备型号可使用各设备制造商的设备型号。
若判定所述待识别模型为异常设备,则进一步地解析所述待识别流量中的DHCP协议对应的数据包,根据解析得到的特征信息,来判定所述待识别模块是否为假冒的DHCP服务器或者网关。
本发明实施例通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,若根据输出判定为异常设备,则进一步根据DHCP协议对应的数据包来简单快速得从无线网络中识别假冒的DHCP服务器或者网关。
基于上述实施例,进一步地,所述步骤S02具体包括:
步骤S021、根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息。
所述设备识别装置上安装的监听工具将采集到的待识别流量的数据包进行格式化,转换成预设的Json格式,例如,wireshark工具利用所支持的网络协议分析器tshark可将采集到的广播和多播流量的数据包转换成预设的Json元素。将具有相同源MAC地址的所有Json元素合并到一个以源MAC地址作为键的Json元素中,该源MAC地址对应于所述待识别设备。对于内容相同的Json元素,去重后,只保留一个元素的内容。每个Json元素中的内容即为所述待识别设备发送的待识别流量的有效负载内容。
然后根据各待识别流量的数据传输协议,对所述Json格式数据执行特征提取,从与各数据传输协议对应的Json元素中提取出所述待识别设备的各数据传输协议的特征信息。
步骤S022、根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型。
进一步地,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
根据各数据传输协议的数据特性,例如数据结构和数据内容,将各数据传输协议对应的特征信息进行分类。本发明实施例给出了其中的一种举例说明,具体分为以下六种特征类型:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类。
将从所述DHCP协议和DHCPv6对应的Json元素提取得到的特征信息,归为DHCP类的特征信息。
将从mDNS协议对应的Json元素提取得到的特征信息作为mDNS类的特征信息。
将从SSDP协议对应的Json元素提取得到的特征信息作为SSDP类的特征信息。
将从LLMNR协议、BROWSER协议、和NBNS协议对应的Json元素提取得到的特征信息作为LBN类的特征信息
将从部分UDP协议对应的Json元素提取得到的特征信息作为UDP类的特征信息。
另外,将所述待识别设备的所有数据传输协议的协议序列,以及所述待识别设备的源MAC地址前缀作为所述protseq类的特征信息。
通过对特征信息进行分类,将每一种特征类型的特征信息作为所述设备识别模型的一种特征视图,采用多视图学习的思想,通过不同视图相互补充的方式来共同进行设备识别。
步骤S023、根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息。
在将各数据类型的特征信息输入到设备识别模型前,还需要对特征信息进行向量化。由于各数据传输协议的数据结构的不同,提取到的特征信息也存在不同的数据特征,例如,所述DHCP、DHCPv6、SSDP、LLMNR、BROWSER、NBNS协议的特征信息具有键值对类型,而mDNS协议的特征信息具有伪自然语言类型。因此,在进行向量化时将采用预设的与各数据传输协议对应的数据处理方法。例如,对于键值对类型的特征信息,按onehot编码形式将其向量化,而对于伪自然语言类型的特征信息,使用word2vec和LDA将其向量化。
步骤S024、根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为所述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
根据预设的拼接规则,将经过向量化后得到的各特征信息的向量信息横向拼接,形成所述待识别设备的指纹信息。
将所述待识别设备的指纹信息输入到训练后的设备识别模型中,得到待识别设备的设备信息。
同样的,在对所述待识别设备模型进行训练的过程中,需要先对各已知设备的特征信息训练样本进行向量化,得到各已知设备的指纹信息,再用于训练。
由于所述设备识别装置持续采集待识别流量,因此,所述待识别设备的指纹信息可能会根据采集到广播和多播流量的增加而持续更新。具体地,可以根据预设的间隔周期,例如30秒或1分钟等,对得到的待识别设备的指纹信息进行识别。
本发明实施例通过对采集到的待识别流量进行格式化,再根据各数据传输协议进行特征提取、向量化和拼接,得到各待识别设备的指纹信息作为所述设备识别模型的输入,从而能够对无线网络中的待识别设备进行更加准确的识别。
图2为本发明实施例的设备识别模型的结构示意图,如图2所示,所述设备识别模型具体为包括深度融合和广度融合的神经网络。
本发明实施例设备识别模型为一种基于混合融合方式的多视图神经网络,命名为多视图广度和深度学习模型(multi-view wide and deep learning,MvWDL)。通过将上述实施例中预先分类的6个独立互补的特征视图F={v1,v2,v3,v4,v5,v6}的密集嵌入表征
Figure BDA0002522424140000111
融合到以下两个结构中:(a)一个是用于进行早期融合的深度融合deep fusion的神经网络,以最大化所述设备识别模型的泛化性能,(b)另一个是用于后期融合的广度融合wide fusion的神经网络,以提升各设备信息与各特征视图之间的交互记忆,即每个特征视图如何响应制造商、设备类型和设备型号。
所述设备识别模型的输出分为由设备类别识别分类器Device classification根据输出的最终条件概率得到的设备信息和由异常设备监测器Abnormal devicedetectionl输出的是否为异常设备的判定结果。
所述最终条件概率由下式得到:
Figure BDA0002522424140000121
其中,所述
Figure BDA0002522424140000122
为广度融合的神经网络得到的分类判断概率,
Figure BDA0002522424140000123
为深度融合的神经网络得到的分类判断概率,所述tc为某一种设备信息,即制造商、设备类型或设备型号。
在MvWDL模型训练阶段,为了平衡训练样本集中的不同已知设备的特征信息训练样本,对于数量较少的已知设备,可复制多份该已知设备的特征信息训练样本放入训练样本集中一起进行训练。
本发明实施例通过基于多视图广度和深度学习模型构建设备识别模型,从而能够更加准确得对无线网络的中假冒DHCP服务器或者网关进行识别。
基于上述实施例,进一步地,所述步骤S03具体包括:
步骤S031、若所述设备识别模型若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备。
由上述实施例,可知,若根据所述设备识别模型的输出判定所述待识别设备为某一已知设备,则给出所述待识别模型的设备信息。
而若根据所述设备识别模型的输出判定所述待识别模型并非已知设备,则认为所述待识别设备可能为一种未知的良性设备或异常设备。所述良性设备是指所述设备识别模型在训练过程中未被标注的一种正常设备,而所述异常设备是指假冒设备或恶意设备。
设备识别装置预先设置了用于判定异常设备的不一致判定条件,当所述设备识别模型的输出满足所述不一致判定条件时判定所述待识别设备为异常设备。
如图2所示,所述设备识别模型的广度融合的神经网络根据各个特征视图输入的特征信息,分别得到与各特征视图i的识别结果pi,即得到了与各特征类型分别对应的识别结果。
判断各特征视图的识别结果的差异性,若差异性较大,则确定所述待识别设备为异常设备。
具体的判断方法可以根据各特征视图的识别结果,通过预设的不一致判定算法,计算不一致量化值。所述不一致判定算法如下:
Figure BDA0002522424140000131
其中,所述A运算是以pk中的最大概率返回其对应的索引。η是预设的折衷参数,其聚会在[0,1]范围内,它平衡了
Figure BDA0002522424140000132
在类型识别上不一对待的可能性。其中,
Figure BDA0002522424140000133
Figure BDA0002522424140000134
分别为广度融合的神经网络输出的特征视图u和v对于特定信息k的识别概率。
若计算得到的不一致量化值超过了预设的阈值∈,则判定所述待识别模型为异常设备。
步骤S032、根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关。
若判定所述待识别模型为异常设备,则进一步地判断所述异常设备是否可能为DHCP服务器或者网关,若是,则解析所述待识别流量中的DHCP协议对应的数据包,根据解析得到的特征信息,来判定所述待识别模块是否为假冒的DHCP服务器或者网关。
本发明实施例通过将预设的不一致判定算法,根据各特征视图的识别结果,计算得到不一致量化值,若所述不一致量化值超过了预设的阈值,则判定所述待识别设备为异常设备,从而能够更加准确得识别无线网络中的异常设备。
基于上述实施例,进一步地,所述步骤S032具体包括:
若根据设备识别模型的广度融合的神经网络,得到与DHCP类对应的识别结果为所述待识别设备为DHCP服务器或网关,而其它特征类型对应的识别结果存在非DHCP服务器或网关时,则对所述待识别流量中的与DHCP协议对应的数据包进行解析;
根据解析结果,确定所述待识别设备是否为假冒DHCP服务器或网关。
由上述实施例可知,所述设备识别模型的广度融合的神经网络可以得到各特征视图对应的识别结果。其中,若所述与DHCP类对应的识别结果为所述待识别设备DHCP服务器或网关,而同时,其它特征视图对应的识别结果为所述待识别设备为非DHCP服务器或网关,则判定所述待识别设备可能为假冒的DHCP服务器或网关。例如,与DHCP类对应的识别结果为DHCP服务器的可信度高于95%。而有4个其它特征视图对应的识别结果为90%及以上的可信度将该设备预测为非DHCP服务器,例如,电脑。
为了进一步得进行验证,可以提取之前采集的待识别设备的待识别流量中的DHCP数据包,包括:DHCP offer数据包或DHCP ACK数据包,从中获取其中存放网关IP地址的选项内容Router Option,以此来判断当前的无线网络中是否存在假冒的DHCP服务器或网关。
本发明实施例通过对各特征视图对应的识别结果的比较,并进一步解待识别流量的DHCP数据包,从而能够更加快速得识别无线网络中的假冒DHCP服务器或者网关。
图3为本发是实施例的无线网络中假冒DHCP服务器或网关的识别装置结构示意图,如图3所示,所述装置包括:流量采集单元10、数据处理单元11和设备识别单元12;其中,
所述流量采集单元10用于获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;所述数据处理单元11用于根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;所述设备识别单元12用于若所述设备识别模型判定所述待识别设备的为异常设备,则根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关。具体地:
在无线网络中部署设备识别装置,所述设备识别装置具体可以为无线网络中任意一台能接收流量的智能设备,例如,个人电脑、手机、网关服务器等。通过所述设备识别装置的流量采集单元10监听所述设备识别装置的无线网卡所收到的流量,并采集其中的广播和多播流量作为待识别流量,并发送给数据处理单元11。
所采集到的待识别流量根据其包含的源MAC地址,分别对应于不同的待识别装置。
所述待识别装置在发送广播和多播流量时,根据实际的需要将使用不同的数据传输协议。不同的数据传输协议存在不同的数据格式、包含不同的数据内容,因此,可预先选定部分数据传输协议,由所述数据处理单元11从与选定的数据传输协议对应的待识别流量中分别提取出各数据传输协议的特征信息。
数据处理单元11在提取特征信息时,对于部分不存在区别特性的特征信息可以采用简单替换的方式来简化后续的数据处理,例如,若特征信息为IPv4或IPv6地址,则可用字符串“IPv4”或“IPv6”进行替换。
数据处理单元11根据各数据传输协议的数据特性,将各数据传输协议的特征信息分为多个预设的特征类型,从而得到各特征类型的特征信息,并发送给设备识别单元12。
设备识别单元12预先构建设备识别模型,并通过预先采集训练样本集对所述设备识别模型进行训练,所述训练样本集包括大量预先经过标注的特征信息训练样本。所述特征信息训练样本源于各类无线网络中已识别设备的广播和多播流量,通过特征提取,得到的已识别设备的各特征类型的特征信息。
设备识别单元12将得到的待识别设备的各特征类型的特征信息输入到训练后的设备识别模型中,再根据所述设备识别模型的输出,得到所述待识别设备的识别结果。
若设备识别单元12根据所述设备识别模型的输出判定所述待识别设备为某一已知设备,则给出所述待识别模型的设备信息。
所述待识别设备的设备信息具体包括:所述待识别设备的制造商、设备类型和设备型号。
所述设备信息可根据实际的需要对具体的粒度进行设定,本发明实施例仅给出了其中的一种举例说明,所述设备信息具体包括三个标识,分别为:{制造商Manufacturer、设备类型Type、设备型号Model}。
所述制造商具体可以使用各设备制造商的公司命名。
所述设备类型可以根据实际的需要进行分类并命名:例如:phone、computer、pad、router、camera、smart-plug、smart-switch、virtual-machine、game-console、tv、lightbulb、printer、kettle、watersensor、watch等。
所述设备型号可使用各设备制造商的设备型号。
而若设备识别单元12根据所述设备识别模型的输出判定所述待识别模型为异常设备,则进一步地解析所述待识别流量中的DHCP协议对应的数据包,根据解析得到的特征信息,来判定所述待识别模块是否为假冒的DHCP服务器或者网关。
本发明实施例提供的装置用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,根据输出得到所述待识别设备的设备信息,从而简单快速得实现对无线网络中的设备进行识别。
基于上述实施例,进一步地,所述数据处理单元,具体用于:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为所述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
所述流量采集单元将采集到的待识别流量的数据包进行格式化,转换成预设的Json格式,例如,wireshark工具利用所支持的网络协议分析器tshark可将采集到的广播和多播流量的数据包转换成预设的Json元素。将具有相同源MAC地址的所有Json元素合并到一个以源MAC地址作为键的Json元素中,该源MAC地址对应于所述待识别设备。对于内容相同的Json元素,去重后,只保留一个元素的内容。每个Json元素中的内容即为所述待识别设备发送的待识别流量的有效负载内容。
然后数据处理单元根据各待识别流量的数据传输协议,对所述Json格式数据执行特征提取,从与各数据传输协议对应的Json元素中提取出所述待识别设备的各数据传输协议的特征信息。
进一步地,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
根据各数据传输协议的数据特性,将各数据传输协议对应的特征信息进行分类。本发明实施例给出了其中的一种举例说明,具体分为以下六种特征类型:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类。
将从所述DHCP协议和DHCPv6对应的Json元素提取得到的特征信息,归为DHCP类的特征信息。
将从mDNS协议对应的Json元素提取得到的特征信息作为mDNS类的特征信息。
将从SSDP协议对应的Json元素提取得到的特征信息作为SSDP类的特征信息。
将从LLMNR协议、BROWSER协议、和NBNS协议对应的Json元素提取得到的特征信息作为LBN类的特征信息
将从部分UDP协议对应的Json元素提取得到的特征信息作为UDP类的特征信息。
另外,将所述待识别设备的所有数据传输协议的协议序列,以及所述待识别设备的源MAC地址前缀作为所述protseq类的特征信息。
数据处理单元通过对特征信息进行分类,将每一种特征类型的特征信息作为所述设备识别模型的一种特征视图,采用多视图学习的思想,通过不同视图相互补充的方式来共同进行设备识别。
在将各数据类型的特征信息输入到设备识别模型前,数据处理单元还需要对特征信息进行向量化,在进行向量化时将采用预设的与各数据传输协议对应的数据处理方法,得到各特征类型的向量信息。
数据处理单元根据预设的拼接规则,将经过向量化后得到的各特征信息的向量信息横向拼接,形成所述待识别设备的指纹信息,并发送给设备识别单元。
设备识别单元将所述待识别设备的指纹信息输入到训练后的设备识别模型中,得到待识别设备的设备信息。
同样的,在对所述待识别设备模型进行训练的过程中,需要先对各已知设备的特征信息训练样本进行向量化,得到各已知设备的指纹信息,再用于训练。
由于所述设备识别装置持续采集待识别流量,因此,所述待识别设备的指纹信息可能会根据采集到广播和多播流量的增加而持续更新。具体地,可以根据预设的间隔周期,例如30秒或1分钟等,对得到的待识别设备的指纹信息进行识别。
本发明实施例提供的装置用于执行上述方法,其功能具体参考上述方法实施例,其具体方法流程在此处不再赘述。
本发明实施例通过对采集到的待识别流量进行格式化,再根据各数据传输协议进行特征提取、向量化和拼接,得到各待识别设备的指纹信息作为所述设备识别模型的输入,从而能够对无线网络中的待识别设备进行更加准确的识别。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)401、通信接口(Communications Interface)403、存储器(memory)402和通信总线404,其中,处理器401,通信接口403,存储器402通过通信总线404完成相互间的通信。处理器401可以调用存储器402中的逻辑指令,以执行上述方法。
进一步地,本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法。
进一步地,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。
本领域普通技术人员可以理解:此外,上述的存储器402中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种无线网络中假冒DHCP服务器或网关的识别方法,其特征在于,包括:
获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
若所述设备识别模型判定所述待识别设备的为异常设备,则根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关。
2.根据权利要求1所述的无线网络中假冒DHCP服务器或网关的识别方法,其特征在于,所述根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型,具体包括:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为所述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
3.根据权利要求2所述的无线网络中假冒DHCP服务器或网关的识别方法,其特征在于,所述预设的特征类型具体包括:DHCP类、mDNS类、SSDP类、LBN类、UDP类和protseq类;相应地,所述DHCP类的特征信息包括DHCP协议和DHCPv6协议的特征信息,所述mDNS类的特征信息包括mDNS协议的特征信息,所述SSDP类的特征信息包括SSDP协议的特征信息,所述LBN类的特征信息包括LLMNR协议、BROWSER协议和NBNS协议的特征信息,所述UDP类的特征信息包括UDP协议的特征信息,所述protseq类的特征信息包括预设数据传输协议的协议序列和源MAC地址前缀。
4.根据权利要求3所述的无线网络中假冒DHCP服务器或网关的识别方法,其特征在于,所述设备识别模型具体为包括深度融合和广度融合的神经网络。
5.根据权利要求4所述的无线网络中假冒DHCP服务器或网关的识别方法,其特征在于,所述若所述设备识别模型判定所述待识别设备的为异常设备,则根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关,具体包括:
若所述设备识别模型若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备;
根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关。
6.根据权利要求5所述的无线网络中假冒DHCP服务器或网关的识别方法,其特征在于,所述根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关,具体包括:
若根据设备识别模型的广度融合的神经网络,得到与DHCP类对应的识别结果为所述待识别设备为DHCP服务器或网关,而其它特征类型对应的识别结果存在非DHCP服务器或网关时,则对所述待识别流量中的与DHCP协议对应的数据包进行解析;
根据解析结果,确定所述待识别设备是否为假冒DHCP服务器或网关。
7.一种无线网络中假冒DHCP服务器或网关的识别装置,其特征在于,包括:
流量采集单元,用于获取无线网络中待识别设备发送的待识别流量;其中,所述待识别流量为所述待识别设备发送的广播和多播流量;
数据处理单元,用于根据各待识别流量的数据传输协议,以及预设的特征类型与各数据传输协议的对应关系,得到各特征类型的特征信息,并输入到预设的设备识别模型;其中,所述设备识别模型为由标注了对应的设备信息的特征信息训练样本训练后得到的;
设备识别单元,用于若所述设备识别模型判定所述待识别设备的为异常设备,则根据所述待识别流量中与DHCP协议对应的数据包,确定所述待识别设备是否为假冒DHCP服务器或网关。
8.根据权利要求7所述的无线网络中假冒DHCP服务器或网关的识别装置,其特征在于,所述数据处理单元,具体用于:
根据各待识别流量的数据传输协议,分别提取各数据传输协议的特征信息;
根据所述预设的特征类型与各数据传输协议的对应关系,将各数据传输协议的特征信息划归各特征类型;
根据预设的与各数据传输协议对应的数据处理方法,将各特征类型的特征信息向量化,得到各特征类型的向量信息;
根据预设的拼接规则,将各特征类型的向量信息进行拼接,作为所述待识别设备的指纹信息,并输入到所述预设的设备识别模型。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述的无线网络中假冒DHCP服务器或网关的识别方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6任一项所述的无线网络中假冒DHCP服务器或网关的识别方法的步骤。
CN202010494790.9A 2020-06-03 2020-06-03 无线网络中假冒dhcp服务器或网关的识别方法及装置 Withdrawn CN111757327A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010494790.9A CN111757327A (zh) 2020-06-03 2020-06-03 无线网络中假冒dhcp服务器或网关的识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010494790.9A CN111757327A (zh) 2020-06-03 2020-06-03 无线网络中假冒dhcp服务器或网关的识别方法及装置

Publications (1)

Publication Number Publication Date
CN111757327A true CN111757327A (zh) 2020-10-09

Family

ID=72674027

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010494790.9A Withdrawn CN111757327A (zh) 2020-06-03 2020-06-03 无线网络中假冒dhcp服务器或网关的识别方法及装置

Country Status (1)

Country Link
CN (1) CN111757327A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073988A (zh) * 2020-07-31 2020-12-11 中国科学院信息工程研究所 一种局域网内隐藏摄像头的探测方法
CN112068926A (zh) * 2020-07-31 2020-12-11 中国科学院信息工程研究所 一种局域网内虚拟机的识别方法
CN112437022A (zh) * 2020-11-11 2021-03-02 中国科学技术大学先进技术研究院 网络流量识别方法、设备及计算机存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073988A (zh) * 2020-07-31 2020-12-11 中国科学院信息工程研究所 一种局域网内隐藏摄像头的探测方法
CN112068926A (zh) * 2020-07-31 2020-12-11 中国科学院信息工程研究所 一种局域网内虚拟机的识别方法
CN112437022A (zh) * 2020-11-11 2021-03-02 中国科学技术大学先进技术研究院 网络流量识别方法、设备及计算机存储介质
CN112437022B (zh) * 2020-11-11 2023-05-19 中国科学技术大学先进技术研究院 网络流量识别方法、设备及计算机存储介质

Similar Documents

Publication Publication Date Title
CN111757327A (zh) 无线网络中假冒dhcp服务器或网关的识别方法及装置
CN110213227B (zh) 一种网络数据流检测方法及装置
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
US11399288B2 (en) Method for HTTP-based access point fingerprint and classification using machine learning
CN107046468B (zh) 一种物理层认证门限确定方法及***
CN111757365A (zh) 一种无线网络中异常设备识别方法及装置
CN111757378B (zh) 一种无线网络中设备识别方法及装置
KR102088299B1 (ko) 분산 반사 서비스 거부 공격 탐지 장치 및 방법
CN106815511B (zh) 信息处理装置和方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
US20220263823A1 (en) Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium
CN110868404B (zh) 一种基于tcp/ip指纹的工控设备自动识别方法
Yan et al. Identifying wechat red packets and fund transfers via analyzing encrypted network traffic
Bhatt et al. HADS: Hybrid anomaly detection system for IoT environments
BR102019020060A2 (pt) método para detecção de características de pontos de acesso, usando aprendizagem de máquina
CN111818049B (zh) 一种基于马尔可夫模型的僵尸网络流量检测方法及***
CN116546501A (zh) 一种5g专网核心网信令安全检测方法及装置
CN112073988A (zh) 一种局域网内隐藏摄像头的探测方法
Fenil et al. Towards a secure software defined network with adaptive mitigation of dDoS attacks by machine learning approaches
CN101888296A (zh) 一种影子用户检测方法、装置、设备和***
KR20110140063A (ko) Ip 공유기를 검출하는 방법 및 이를 수행하는 시스템
CN117938413A (zh) 一种设备入网控制方法、装置、设备及介质
CN111756874A (zh) 一种dns隧道上层协议的类型的识别方法和装置
BR102020003105A2 (pt) Método para detecção de servidores dns falsificados usando técnicas de aprendizado de máquina
Oujezsky et al. Botnet C&C traffic and flow lifespans using survival analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20201009

WW01 Invention patent application withdrawn after publication