[发明专利]一种基于聚类分析的自动化指纹特征提取方法

说明书

本发明公开了一种基于聚类分析的自动化指纹特征提取方法。本方法为：1)向网络空间发送HTTP请求探测包，然后接收网络空间中各设备返回的响应包；2)将收到的所述响应包按照包头的域进行分簇；3)对步骤2)所得每一簇的响应包的内容进行聚类；4)根据步骤3)所得聚类结果对设备进行标记，生成设备的指纹；其中，属于同一聚类结果的响应包对应的设备具有相同的指纹。本发明提出了基于带阈值的层次聚类的设备指纹自动提取技术，解决了设备更新速度快，手动生收集更新过慢的问题。

技术领域

本发明涉及一种基于聚类的设备指纹自动化指纹提取方法，属于计算机网络和物联网领域。

背景技术

物联网是我国战略性新兴产业的重要组成部分，引领了继计算机、互联网和移动通信之后的新一轮信息技术革命，是未来科技竞争的制高点和产业升级的重要驱动力，是加速推进工业化、信息化融合的催化剂。物联网不仅和国民经济建设、社会发展息息相关，对提高人民生活质量和水平也密不可分，是我国创新驱动发展战略的重要体现。保证物联网安全，也就是保障国家基础设施的安全建设。

物理实体设备出现在网络空间，包括网络摄像头，工业控制设备，智能家电，智能手机，路由器，打印机等等设备。网络空间的物理设备将自身暴露在公共区域，既推动了社会的发展，工业4.0，智能楼宇，普适计算，办公自动化等等，也带来了安全与隐私问题。物理实体设备，自身存在的漏洞，易被黑客攻击，那么依赖于这些物理设备的控制结果将会出现灾难性的问题，如工厂停产或出现错误的操控结果，从而造成实体设施的毁坏，引起社会危机和经济损失。物理实体设备获取、处理、传输的隐私数据，如果没有防范措施则会导致隐私的泄露，也会引起社会危机和经济损失。网络空间上的物联网设备的搜索，可以帮助相关业务企业系统提高安全审计的效率，物联网系统安全防御的科研工作提供技术支持，为国家安全部门提供安全态势分析。

现有的网络空间工业控制设备搜索主要存在以下几个缺陷。首先，整个IPv4的网络空间包括40亿的地址空间，在如此巨大的空间内搜索工业控制设备，会消耗数年的时间，这对于国家基础设施的安全保障来说是不现实的。其次，工业控制设备种类繁多，现有的方法无法知道当前的设备具体是哪一种工业控制设备。

发明内容

针对已有工作的不足，本发明的目的在于提供一种基于聚类分析算法的自动化指纹特征提取方法。本方法分为三个阶段，在第一阶段，将HTTP的响应包按照头部信息的域进行分簇，生成一个小的集合；第二阶段，利用设定阈值的层次聚类算法对HTTP响应包的内容进行聚类，特征相似或者相同的不同类别；第三阶段对不同的类别进行标记，生成不同设备的指纹。

本发明的技术方案为：

一种基于聚类分析的自动化指纹特征提取方法，其步骤为：

1)向网络空间发送HTTP请求探测包，然后接收网络空间中各设备返回的响应包；

2)将收到的所述响应包按照包头的域进行分簇；

3)对步骤2)所得每一簇的响应包的内容进行聚类；

4)根据步骤3)所得聚类结果对设备进行标记，生成设备的指纹；其中，属于同一聚类结果的响应包对应的设备具有相同的指纹。

进一步的，利用带参数的层次聚类算法对每一簇的响应包的内容进行聚类。

进一步的，所述参数可调。

进一步的，步骤3)中，首先初始化一参数a对步骤2)所得每一簇的响应包的内容进行聚类，得到聚类结果；然后根据聚类结果的类别数目，调节参数a改变聚类结果的数目，最终达到收敛。

进一步的，判断收敛的条件为：如果当前得到的聚类结果的类别数目与上一次聚类得到的类别数目相比，变化小于设定阈值，则判断为收敛。

进一步的，根据响应包的内容的结构和文本特征，对响应包进行聚类。