一种无线网络中异常设备识别方法及装置
文献发布时间:2024-04-18 19:58:53
技术领域
本发明涉及网络安全技术领域,具体为一种无线网络中异常设备识别方法及装置。
背景技术
无线设备和物联网设备已经被广泛应用于社会的各个领域中,随着无线通信技术的发展以及其带来的便利,越来越多的传统有线设备通过无线的方式连入网络,与此同时,越来越多的设备开始支持接入WiFi网络,为了保证网络中各个设备的正常运行,并防止被攻击,需要能够正确识别网络中的各种设备,互联网上的网站,是商户用来向普通用户提供信息展示或者交换的地方,用户正常访问网络链接的时候会获取到服务提供商展示的网页。
现有的异常设备数据有限,仅基于单一的识别条件的识别异常设备的方法至少存在缺陷:存在错误识别、未识别的情况或者绕过规则的情况,特别是识别条件覆盖不到或者识别条件过于苛刻的情况,识别准确度低、识别率低;此外,现有的异常设备识别技术识别不够灵活,需要不断更新规则,工作量大,成本高,被黑客远程控制的设备就被称为异常设备,如何从众多的访问者中识别出异常设备,是网络安全需要解决的重要问题之一。
发明内容
针对现有技术的不足,本发明提供了一种无线网络中异常设备识别方法及装置,解决了存在错误识别、未识别的情况或者绕过规则的情况,不便于从众多的访问者中识别出异常设备的问题。
为实现以上目的,本发明通过以下技术方案予以实现:一种无线网络中异常设备识别方法,具体包括以下步骤:
S1、记录用户设备在预设的观察时间内的访问数据:每间隔预设的时间获取待识别设备的多个维度的数据信息;
S2、将所述设备硬件数据输入到判别模型中:所述判别模型通过对抗生成网络训练得到,根据各个用户设备的访问数据,从中筛选出异常设备;
S3、通过聚类算法对所有用户设备的特征向量进行分类;
S4、若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备。
优选的,所述多个维度的数据信息包括:设备信息、设备网络信息、设备位置信息和设备对应的app行为数据中的至少两种,其中,所述设备信息包括设备id,设备网络信息包括ip信息和wifimac信息,设备位置信息包括坐标信息和/或网格信息,app行为数据包括app安装数据和app活跃数据。
优选的,所述S2中,判别模型,通过如下方式训练得到:初始化对抗网络;所述对抗网络包括生成模型和判别模型;获取真样本集;所述真实样本集包括历史上报的正常设备的硬件数据;将所述真样本集输入所述生成模型,得到所述生成模型输出的假样本集;所述假样本集包括异常设备的硬件数据;将所述真样本集和假样本集输入到所述判别模型,得到所述判别模型输出的全部样本的判别结果;判断所述全部样本的判别结果是否都正确;在所述全部样本的判别结果都正确的情况下,将所述判别模型确定为最终的判别模型。
优选的,所述S2中,筛选出异常设备包括:预先存储一张黑名单,其中列举已被确知为是异常设备的互联网协议IP地址;以及若发送访问请求的用户设备的IP地址在此黑名单中,则认定所述用户设备为异常设备,筛选出异常设备包括:判断所接收的访问请求是否满足预设的规则,如果是,则认定发送所述访问请求的用户设备是异常设备,筛选出异常设备包括:分析用户设备的历史访问轨迹,将行为异常的用户设备认定为异常设备。
优选的,所述S3中,所述对所有用户设备的特征向量进行分类包括:A、针对设置的目标类别数K,从所有用户设备的特征向量中任意选择K个特征向量作为K个簇的中心;B、计算每个特征向量到上述K个簇的中心的距离;C、根据每个特征向量到上述K个簇的中心的距离,分别将每个特征向量分别划分到距离自身最近的簇中,得到K个簇,并分别计算上述K个簇中所有特征向量的均值,得到每个簇的中心;D、判断当前K个簇包含的特征向量和之前生成的K个簇包含的特征向量是否相同,如果不同,则返回B,重新划分K个簇;如果相同,则结束。
优选的,所述S4中,具体包括:所述设备识别模型的广度融合的神经网络得到与各特征类型对应的识别结果,并根据预设的不一致判定算法得到不一致量化值;若所述不一致程序值超过预设的阈值,则确定所述待识别模型为异常模型。
本发明还公开了一种无线网络中异常设备识别装置,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令。
有益效果
本发明提供了一种无线网络中异常设备识别方法及装置。与现有技术相比具备以下有益效果:该无线网络中异常设备识别方法及装置,具体包括以下步骤:S1、记录用户设备在预设的观察时间内的访问数据:每间隔预设的时间获取待识别设备的多个维度的数据信息;S2、将所述设备硬件数据输入到判别模型中:所述判别模型通过对抗生成网络训练得到,根据各个用户设备的访问数据,从中筛选出异常设备;S3、通过聚类算法对所有用户设备的特征向量进行分类;S4、若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备;通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,从而确定输出满足预设的不一致判定条件时,简单快速得从无线网络中识别异常设备,能够主动地、全面地识别异常设备,提高了识别异常设备的准确度和识别率,可以完成对异常设备以及疑似异常设备的识别,可以有效避免来自异常设备的网络攻击。
附图说明
图1为本发明的步骤流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供两种技术方案:具体包括以下实施例:
实施例一
一种无线网络中异常设备识别方法,具体包括以下步骤:
S1、记录用户设备在预设的观察时间内的访问数据:每间隔预设的时间获取待识别设备的多个维度的数据信息;
S2、将所述设备硬件数据输入到判别模型中:所述判别模型通过对抗生成网络训练得到,根据各个用户设备的访问数据,从中筛选出异常设备;
S3、通过聚类算法对所有用户设备的特征向量进行分类;
S4、若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备。
实施例二
一种无线网络中异常设备识别方法,具体包括以下步骤:
S1、记录用户设备在预设的观察时间内的访问数据:每间隔预设的时间获取待识别设备的多个维度的数据信息;
S2、将所述设备硬件数据输入到判别模型中:所述判别模型通过对抗生成网络训练得到,根据各个用户设备的访问数据,从中筛选出异常设备;
S3、通过聚类算法对所有用户设备的特征向量进行分类;
S4、若所述设备识别模型的输出满足预设的不一致判定条件,则确定所述待识别设备的为异常设备。
本发明中,多个维度的数据信息包括:设备信息、设备网络信息、设备位置信息和设备对应的app行为数据中的至少两种,其中,所述设备信息包括设备id,设备网络信息包括ip信息和wifimac信息,设备位置信息包括坐标信息和/或网格信息,app行为数据包括app安装数据和app活跃数据。
本发明中,S2中,判别模型,通过如下方式训练得到:初始化对抗网络;所述对抗网络包括生成模型和判别模型;获取真样本集;所述真实样本集包括历史上报的正常设备的硬件数据;将所述真样本集输入所述生成模型,得到所述生成模型输出的假样本集;所述假样本集包括异常设备的硬件数据;将所述真样本集和假样本集输入到所述判别模型,得到所述判别模型输出的全部样本的判别结果;判断所述全部样本的判别结果是否都正确;在所述全部样本的判别结果都正确的情况下,将所述判别模型确定为最终的判别模型。
本发明中,S2中,筛选出异常设备包括:预先存储一张黑名单,其中列举已被确知为是异常设备的互联网协议IP地址;以及若发送访问请求的用户设备的IP地址在此黑名单中,则认定所述用户设备为异常设备,筛选出异常设备包括:判断所接收的访问请求是否满足预设的规则,如果是,则认定发送所述访问请求的用户设备是异常设备,筛选出异常设备包括:分析用户设备的历史访问轨迹,将行为异常的用户设备认定为异常设备。
本发明中,S3中,所述对所有用户设备的特征向量进行分类包括:A、针对设置的目标类别数K,从所有用户设备的特征向量中任意选择K个特征向量作为K个簇的中心;B、计算每个特征向量到上述K个簇的中心的距离;C、根据每个特征向量到上述K个簇的中心的距离,分别将每个特征向量分别划分到距离自身最近的簇中,得到K个簇,并分别计算上述K个簇中所有特征向量的均值,得到每个簇的中心;D、判断当前K个簇包含的特征向量和之前生成的K个簇包含的特征向量是否相同,如果不同,则返回B,重新划分K个簇;如果相同,则结束。
本发明中,S4中,具体包括:所述设备识别模型的广度融合的神经网络得到与各特征类型对应的识别结果,并根据预设的不一致判定算法得到不一致量化值;若所述不一致程序值超过预设的阈值,则确定所述待识别模型为异常模型。
本发明还公开了一种无线网络中异常设备识别装置,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令。
综上所述,结合实施例一和实施例二,通过采集无线网络中各待识别设备的广播和多播流量,并根据数据传输协议提取各预设特征类型的特征信息,输入到预先训练的设备识别模型,从而确定输出满足预设的不一致判定条件时,简单快速得从无线网络中识别异常设备,能够主动地、全面地识别异常设备,提高了识别异常设备的准确度和识别率,可以完成对异常设备以及疑似异常设备的识别,可以有效避免来自异常设备的网络攻击。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。