[发明专利]一种基于SVM的被动操作系统识别方法、存储介质及设备

说明书

本发明公开了一种基于SVM的被动操作系统识别方法、存储介质及设备，分析p0f指纹库规则，确定训练数据集和测试数据集并进行预处理；将训练数据集和测试数据集由数值变量转换为类别变量，进行OneHot编码；将OneHot编码后的训练数据集构建最优超平面，输入SVM算法模型，采用RBF核函数训映射指纹数据至高维空间，通过计算最优超平面构建SVM分类器，构造特征空间的分类超平面；取OneHot编码后中的测试数据集，经数据预处理后通过SVM算法模型得出预测结果，计算真实流量的测试精度；采集真实流量数据，筛选其中p0f指纹库中缺失的数据，将缺失数据加入训练数据集，重新训练后得到真实流量增量训练后的SVM分类器，完成识别。本发明优化了操作系统识别的性能，提高了分类精度。

技术领域

本发明属于计算机技术领域，具体涉及一种基于SVM的被动操作系统识别方法、存储介质及设备。

背景技术

网络信息安全问题在我国以及全球日趋严峻，并且有持续增长的趋势，已经威胁到人民和国家的利益。在网络安全领域，无论是互联网的攻击还是防护中，对信息的采集和分类都至关重要，这其中远程主机的系统类型通常是黑客们的首要出发点。这是由于某些类型的操作系统有着众所周知的漏洞可以被利用，因此绝大多数的漏洞都是从识别操作系统的类型出发。而网络安全的防护同样需要对主机操作系统类型的识别，以便进行伪造等防护来对用户进行保护。操作系统的类型及版本在其中扮演着举足轻重的地位。因此准确，快速的操作系统识别的研究对网络安全有着重大意义。

Medeiros提出利用TCP协议头部的初始序号来识别操作系统，利用了不同操作系统对建立连接时的初始序号生成和增长模式的不同，该方法需要观测大量的数据包(至少100k)，实用性受限，错误率较高。刘英等提出基于TCP/IP协议栈中的TCP选项的操作系统识别方法，分析了不同操作系统对TCP可选项响应顺序和响应数据的差异，但是该方法不能有效识别未知指纹，正确率有待提高。

现阶段的大多数操作系统识别方式，存在以下问题：大多数为主动操作系统识别方式，依赖于主动探测所得到的数据包，其缺点是容易被监测工具检测发现，致使探测结果不准确；现有的操作系统识别方式都是基于指纹库的识别方式，对指纹库中已有的操作系统指纹进行精确匹配，给出识别的操作系统类型，而无法对指纹库中不存在的未知的操作系统指纹给出识别。已有的将机器学习引入到未知操作系统识别中来的方法，虽然很好的解决了基于指纹库的难以识别未知指纹的问题，但在识别的准确率和速率上有待提升；当前被动操作系统识别所依赖的指纹库，存在更新迟滞的问题，缺乏对不断改变的互联网环境的同步更新。

发明内容

本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种基于SVM的被动操作系统识别方法、存储介质及设备，以构造隐蔽性强、识别效果好的被动操作系统识别模型。

本发明采用以下技术方案：

一种基于SVM的被动操作系统识别方法，包括以下步骤：

S1、分析p0f指纹库规则，确定训练数据集和测试数据集；

S2、对步骤S1确定的训练数据集和测试数据集进行预处理；

S3、将步骤S2预处理后的训练数据集和测试数据集由数值变量转换为类别变量，再进行OneHot编码；

S4、采用Gauss核函数，以步骤S3中OneHot编码后的训练数据集构建最优超平面，输入SVM算法模型，采用RBF核函数训映射指纹数据至高维空间，通过计算最优超平面构建SVM分类器，构造特征空间的分类超平面；

S5、取步骤S3中OneHot编码后中的测试数据集，经数据预处理后通过SVM算法模型得出预测结果，计算真实流量的测试精度；