[发明专利]一种物联网设备流量序列指纹特征提取方法

说明书

本发明公开了一种物联网设备流量序列指纹特征提取方法。提取物联网设备的流量指纹特征，将其应用于物联网设备的识别，是物联网设备接入监管和安全监控的首要关键技术。通过分析物联网设备流量样本，本发明根据数据包之间时序关系，提取出最有价值的流量序列指纹特征，为物联网设备的分类模型提供特征输入。本发明充分挖掘给定物联网设备的数据包序列指纹特征，适用于自动提取物联网设备流量指纹特征。

技术领域

本发明属于网络安全与用户隐私领域，特别涉及一种物联网设备流量序列指纹特征提取方法。

背景技术

随着物联网时代的到来，物联网设备种类日益丰富，数量急剧增加。物联网带来了机遇，也带来了危险，现在网络上存在很多有着明显漏洞，却还在工作的物联网设备。这些设备对于攻击者来说有着很强的吸引力，攻击者可以通过漏洞获取这些设备的控制权，从而侵犯用户的个人隐私。攻击者也可以通过物联网设备构建僵尸网络，进行更大规模的攻击。监管物联网设备的接入行为并监控其安全，是网络管理与安全监控的一项重要任务。然而，网络的开放性及物联网设备无线接入的便捷性和动态性，导致运营商难以识别所管辖的网络中存在的物联网设备。

国内外关于物联网设备的识别主要集中在内网的被动探测，内网与外网的区别在于，设备的流量是否经过了网络地址转换(NAT)，在经过NAT之后，物理层和链路层信息丢失，将会使主动探测变得异常困难。

由此可见，在实际网络环境中，关于物联网设备流量的特征提取问题尚未被广泛深入研究，相关技术也尚未被广泛应用。

发明内容

本发明的目的在于提供一种物联网设备流量序列指纹特征提取方法，以解决上述问题。

为实现上述目的，本发明采用以下技术方案：

一种物联网设备流量序列指纹特征提取方法，包括以下步骤：

步骤1：给定目标物联网设备，捕获在没有用户操作行为干预下而自发产生的网络流量，形成流量样本集(t₀,p₀),(),…，其中t₀代表数据包到达时刻，p₀代表t₀时刻的数据包；

步骤2：对流量样本集的每一个数据包，分别从网络层、传输层和应用层的数据包包头中提取特征；所提取的特征组成一个向量，用以描述对应的数据包；

步骤3：将流量样本集中的数据包按照其所到达的时间顺序进行分组，每一个分组形成一个突发流量序列；每一个突发流量序列是由步骤2所提取的数据包特征向量组成的序列；

步骤4：对于任意两个突发流量序列，提取其最长公共子序列作为目标物联网设备的一个备选序列指纹特征；

步骤5：对步骤4中提取出的每一个备选序列指纹特征，通过计算价值函数，选择有价值的序列指纹特征，作为目标物联网设备流量的序列指纹特征集合。

进一步的，步骤2中，对于使用不同协议类型的数据包，在向量化过程中使用不同的特征；对于TCP协议数据包，从网络层提取服务器IP地址、TTL和有效负载长度特征，从传输层提取方向、服务器端口、TCP标志、TCP窗口大小和TCP选项特征，从应用层提取应用层协议类型特征；对于UDP协议且非DNS数据包，从网络层提取服务器IP地址、TTL和有效负载长度特征，从传输层提取方向和服务器端口特征，从应用层提取应用层协议类型特征；对于DNS数据包，从网络层提取服务器IP地址和TTL特征，从应用层提取应用层协议类型和域名特征；对于其他数据包，从网络层提取服务器IP地址、TTL和有效负载长特征，从传输层提取方向特征，从应用层提取应用层协议类型特征。

进一步的，步骤3中，流量样本集中的数据包分组：任一数据包距离下一个数据包的时间间隔超过设定的阈值，则该数据包标记为截断数据包；截断数据包将作为分组的最后一个数据包，与前序未被标记为截断数据包的所有数据包，按照原始顺序组成一个突发流量序列。