[发明专利]一种基于被动测量的设备识别方法

权利要求书

1.一种基于被动测量的设备识别方法，其特征在于：

步骤1：不同设备之间通信产生的流量数据转化成图结构，将设备作为节点，刻画每个节点在图中的重要程度，以此进行聚类分析，找出服务器设备；

步骤2：针对上述服务器设备，分别得到与其通联的终端列表，并使用明确数字刻画终端与服务器通联的流量级别，以此进行聚类分析，分离同属于终端的主机和网络地址转换设备，即NAT设备；

步骤3：对已经确定的NAT设备运行验证分析方法，判断其后面是否存在服务器；具体包括：

(31)对流量数据提取三元组，分别为源IP、目的IP和通信协议；

(32)若通信双方均为终端，那么通信双方至少有一方为NAT设备，并且该NAT设备后面隐藏着服务器；

(33)若源IP为服务器，目的IP为NAT设备且使用协议有TCP，那么该NAT设备后面的服务器与该服务器发生了通联；

(34)若源IP为服务器，目的IP为NAT设备，使用协议有UDP且联接模式为query而不是answer，说明该NAT设备后面的服务器向该 服务器发送了query消息，证明该NAT设备后面的服务器与该服务器发生了通联。

2.根据权利要求1所述的一种基于被动测量的设备识别方法，其特征在于：

所述步骤1具体包括：

(11)计算出每个节点的邻域平均度，将节点从小到大排序；选取节点的邻域平均度小于阈值α的设备用来确定服务器设备，所述阈值α的取值范围为0α1,确定服务器设备的待选节点集；

(12)以服务器设备待选节点集中所有节点的二维特征作为待聚类数据，其中一个维度是每个节点的关联度，另一个维度是每个节点的要塞指数；

(13)基于密度的聚类算法对待聚类数据进行聚类分析，聚类结果中，离群点属于服务器，簇内点属于终端。

3.根据权利要求1所述的一种基于被动测量的设备识别方法，其特征在于：

所述步骤2具体包括：

(21)针对每台服务器，找到与其通联的终端列表；

(22)收集每台服务器对应的终端列表中所有节点的三维特征作为待聚类数据，三维特征分别是通联次数、通联数据包数量以及通联数据总量；

(23)基于密度的聚类算法进行聚类分析，离群点属于NAT设备，簇内点属于主机。

4.根据权利要求1所述的一种基于被动测量的设备识别方法，其特征在于：

所述步骤1中，将不同设备之间通信产生的流量数据转化成图结构，具体包括：

所述流量数据是四元组，即源IP，目的IP，流量大小，数据包数，每条记录表示此IP对之间的一次通信；将流量数据转化成图结构，即将设备IP地址作为节点，流量数据的通联行为作为边，边承载的信息将是一个三元组，即通联次数、通联数据包数量以及通联数据总量。

5.根据权利要求4所述的一种基于被动测量的设备识别方法，其特征在于：

节点度是指与该节点相关联的边的条数，又称作关联度。

6.根据权利要求5所述的一种基于被动测量的设备识别方法，其特征在于：

节点i的节点度k_i为：

k_i＝|{e_ij|j∈V}|

其中，V为图的节点集，e_ij表示节点i和节点j之间存在边。

7.根据权利要求4所述的一种基于被动测量的设备识别方法，其特征在于：

节点邻域平均度是指该节点邻域中节点的平均关联度；

节点i的节点邻域平均度h_i为：

其中，N(i)表示节点i的邻域节点集，k_j表示属于邻域N(i)的节点j的关联度。

8.根据权利要求4所述的一种基于被动测量的设备识别方法，其特征在于：

节点要塞指数是指遍历连通图中节点，依次遍历该节点为出发点所有的长度为2的路径，将每条路径的中间节点记录，最终每个节点出现次数定义为节点要塞指数。

9.根据权利要求8所述的一种基于被动测量的设备识别方法，其特征在于：

节点i的节点要塞指数f_i为：

f_i＝|Mid_{{path＝2|m，n∈V}}(i)|

其中，V为图的节点集，m和n表示图内任意两节点，{path＝2|m，n∈V}表示图中所有长度为2的路径，Mid(i)表示节点i恰好是该路径的中间节点。