[发明专利]一种物联网设备流量序列指纹特征提取方法

权利要求书

1.一种物联网设备流量序列指纹特征提取方法，其特征在于，包括以下步骤：

步骤1：给定目标物联网设备，捕获在没有用户操作行为干预下而自发产生的网络流量，形成流量样本集(t₀,p₀),(),…，其中t₀代表数据包到达时刻，p₀代表t₀时刻的数据包；

步骤2：对流量样本集的每一个数据包，分别从网络层、传输层和应用层的数据包包头中提取特征；所提取的特征组成一个向量，用以描述对应的数据包；

步骤3：将流量样本集中的数据包按照其所到达的时间顺序进行分组，每一个分组形成一个突发流量序列；每一个突发流量序列是由步骤2所提取的数据包特征向量组成的序列；

步骤4：对于任意两个突发流量序列，提取其最长公共子序列作为目标物联网设备的一个备选序列指纹特征；

步骤5：对步骤4中提取出的每一个备选序列指纹特征，通过计算价值函数，选择有价值的序列指纹特征，作为目标物联网设备流量的序列指纹特征集合；

突发流量序列的含义：任一数据包距离下一个数据包的时间间隔超过设定的阈值，则该数据包标记为截断数据包；截断数据包将作为分组的最后一个数据包，与前序未被标记为截断数据包的所有数据包，按照原始顺序组成一个突发流量序列；价值函数是用来衡量提取的特征价值大小。

2.根据权利要求1所述的一种物联网设备流量序列指纹特征提取方法，其特征在于，步骤2中，对于使用不同协议类型的数据包，在向量化过程中使用不同的特征；对于TCP协议数据包，从网络层提取服务器IP地址、TTL和有效负载长度特征，从传输层提取方向、服务器端口、TCP标志、TCP窗口大小和TCP选项特征，从应用层提取应用层协议类型特征；对于UDP协议且非DNS数据包，从网络层提取服务器IP地址、TTL和有效负载长度特征，从传输层提取方向和服务器端口特征，从应用层提取应用层协议类型特征；对于DNS数据包，从网络层提取服务器IP地址和TTL特征，从应用层提取应用层协议类型和域名特征；对于其他数据包，从网络层提取服务器IP地址、TTL和有效负载长特征，从传输层提取方向特征，从应用层提取应用层协议类型特征。

3.根据权利要求1所述的一种物联网设备流量序列指纹特征提取方法，其特征在于，步骤3中，流量样本集中的数据包分组：任一数据包距离下一个数据包的时间间隔超过设定的阈值，则该数据包标记为截断数据包；截断数据包将作为分组的最后一个数据包，与前序未被标记为截断数据包的所有数据包，按照原始顺序组成一个突发流量序列。

4.根据权利要求2所述的一种物联网设备流量序列指纹特征提取方法，其特征在于，步骤4中，在计算突发流量序列的最长公共子序列时，使用动态规划方法，该方法定义数据包之间的距离的计算方法为：若两个数据包协议类型不同，则距离为无穷远；若两个数据包协议类型相同，则距离等于对数据包向量化后每个特征的距离之和。