[发明专利]一种物联网和非物联网设备识别方法、系统、终端及可读存储介质

说明书

本发明公开了一种物联网和非物联网设备识别方法、系统、终端及可读存储介质，本发明通过特征提取、代表性设备选择、模型更新和特征约简的多重改进实现了物联网和非物联网设备的识别；其中，从网络流量中提取流量特征和协议特征进而建立初始的随机森林模型；再对新加入设备进行特征提取以及从中选择代表性设备进行标记验证，并用于模型更新，在模型更新过程中基于特征约简判断模型重要性，从而删除不重要的特征，进一步提升模型的识别精度。本发明所述方法具有模型自动更新的功能，针对新加入的设备能够得到更高的设备识别精度。

技术领域

本发明属于物联网识别技术领域，具体涉及一种物联网和非物联网设备识别方法、系统、终端及可读存储介质。

背景技术

目前物联网技术的飞速发展为日常生活和工业生产带来了各种便利，也为设备制造商、因特网服务提供商和应用开发者提供了广阔的市场空间。但是，物联网技术的发展也为网络管理和网络安全带来各种挑战。从网络管理的角度，网络管理员通常需要知道网络中物联网设备的数量和种类，以方便管理，但大量的物联网设备难以管理，有些设备还处于远离企业中心设施的偏远位置。另一方面，由于物联网设备软硬件资源有限，难以部署传统的防御措施，导致它们正在成为攻击者攻击的目标。识别物联网设备并监控它们的状态对资产管理和安全管理具有重要意义。

目前，从被动流量中识别物联网设备的方法主要分为基于设备信息、基于静态规则和基于机器学习三类方法。

基于设备信息的识别方法，是从MAC OUI(Organizationally UniqueIdentifier)中识别设备制造商信息，从HTTP请求的user-agent字段或从DHCP协商报文中的主机名识别设备信息。但由于物联网设备的NIC(Network Interface Controller)通常由第三方提供，因此大多数MAC OUI中不含设备制造商信息；HTTP请求通常被加密，难以从user-agent字段中识别设备信息；很多设备的DHCP请求中不设置主机名，因此通常情况下也难以从DHCP请求中识别设备。

基于静态规则的识别方法，是利用规则的方法即从已知设备连接的服务器IP地址或DNS请求中的域名来识别被动流量中相同的设备，但此方法难以扩展且难以区分同一设备制造商的不同设备。

基于机器学习的识别方法，主要是利用有监督学习，是目前研究的热点，能够达到超过99％的分类精度。但是，针对新加入的设备，以上三类识别方法都无法有效识别新加入的设备是物联网设备还是非物联网设备。

发明内容

本发明的目的是提供一种物联网和非物联网设备识别方法、系统、终端及可读存储介质，本发明所述方法是基于随机森林模型来实现物联网设备和非物联网设备的识别，并利用新设备的数据更新随机森林模型，从而使得本发明利用随机森林模型进行识别时，能够更为准确的识别出物联网设备和非物联网设备，尤其是针对新设备，由于模型保持更新状态，相较于现有模型，能够有效改善新设备的识别精度。

一方面，本发明提供的一种物联网和非物联网设备识别方法，其包括以下步骤：

基于提取的特征以及设备标签构建基于随机森林模型的物联网和非物联网设备的识别模型；所述设备标签是设备为物联网设备或非物联网设备的分类标签，所述特征至少包括流量特征；

对新加入的设备进行特征提取，并基于所述识别模型识别为物联网设备或非物联网设备；

利用新设备的流量特征更新所述随机森林模型。

从上述内容可知，本发明利用新设备的数据动态更新基于随机森林模型的识别模型，从而使得所述识别模型能够实现持续性更新，进而针对新设备，可以更准确识别出是物联网设备或非物联网设备。同时，还可以应对新设备不断加入产生的概念漂移问题。

进一步可选地，模型更新过程包括：在线采样以及树销毁检测；