[发明专利]一种基于SVM的被动操作系统识别方法、存储介质及设备

权利要求书

1.一种基于SVM的被动操作系统识别方法，其特征在于，包括以下步骤：

S1、分析p0f指纹库规则，确定训练数据集和测试数据集；

S2、对步骤S1确定的训练数据集和测试数据集进行预处理；

S3、将步骤S2预处理后的训练数据集和测试数据集由数值变量转换为类别变量，再进行OneHot编码；

S4、采用Gauss核函数，以步骤S3中OneHot编码后的训练数据集构建最优超平面，输入SVM算法模型，采用RBF核函数训映射指纹数据至高维空间，通过计算最优超平面构建SVM分类器，构造特征空间的分类超平面；

S5、取步骤S3中OneHot编码后中的测试数据集，经数据预处理后通过SVM算法模型得出预测结果，计算真实流量的测试精度；

S6、采集步骤S5的真实流量数据，然后经步骤S2和S3处理后，筛选其中p0f指纹库中缺失的数据，将缺失数据加入训练数据集，经步骤S4重新训练后，得到真实流量增量训练后的SVM分类器，通过SVM分类器完成识别。

2.根据权利要求1所述的基于SVM的被动操作系统识别方法，其特征在于，步骤S1中，选取指纹库的特定字段N维并筛选适用现阶段网络环境的指纹数据，加上操作系统类别标记后作为训练数据集；通过流量采集工具在互联网网关分时段采集真实流量数据包，存储为.pcap格式作为测试数据集。

3.根据权利要求1所述的基于SVM的被动操作系统识别方法，其特征在于，步骤S2具体为：

S201、将步骤S1得到的N维数据进行量化操作，将每一维度去重后取出，按照数字顺序排列，将排序后的数据按照其总量n量化成从0-n维数据；

S202、将pcap数据包采用python解析提取对应指纹字段，采用量化方式将所有解析后的指纹量化。

4.根据权利要求1所述的基于SVM的被动操作系统识别方法，其特征在于，步骤S4中，采用Gauss核函数构建最优超平面如下：

其中，X为N维输入空间的向量，X^p为除X外的任意其他样本，σ为样本方差。

5.根据权利要求1所述的基于SVM的被动操作系统识别方法，其特征在于，步骤S5中，采用同一IP多条预测结果少数服从多数的原则进行最终预测结果判定。

6.一种存储一个或多个程序的计算机可读存储介质，其特征在于，所述一个或多个程序包括指令，所述指令当由计算设备执行时，使得所述计算设备执行根据权利要求1至5所述的方法中的任一方法。

7.一种计算设备，其特征在于，包括：

一个或多个处理器、存储器及一个或多个程序，其中一个或多个程序存储在所述存储器中并被配置为所述一个或多个处理器执行，所述一个或多个程序包括用于执行根据权利要求1至5所述的方法中的任一方法的指令。