一种基于TCP重传报文的电力物联网设备识别方法与流程

一种基于tcp重传报文的电力物联网设备识别方法
技术领域
1.本发明属于物联网技术领域，涉及物联网设备识别方法，尤其涉及一种基于tcp重传报文的电力物联网设备识别方法。


背景技术：

2.随着物联网设备数量的不断增大，为了解决设备难以管理、安全性无法保障等问题，已经有许多种识别物联网设备的方法被提出，本专利将从物联网设备被动识别技术和主动识别技术两个方面介绍相关研究工作。
3.在被动识别技术中，主要是针对设备的流量特征和无线设备的信号特征进行分析，通过这些特征反映出设备的差异性，从而对设备属性信息进行准确识别。glatz等人利用网络空间中4个处于未使用的子空间，监控发往这四个子网络空间的数据包，分析网络空间的背景流量特性，在对背景流量的分析中发现它们存在普遍性，而背景流量可以按照识别目标不同进行分类。(glatz e,dimitropoulos x.classifying internet one-way traffic[c]//proceedings of the 2012 acm conference on internet measurement conference.acm,2012:37-50.)通过被动侦听监控网络中的单向流量，利用其检测和分析网络故障产生的影响，并依照这些影响对流量进行分类。在被动识别中，基于射频信号变化特征的识别也是常见的一种识别方法，不同于流量信息，射频信号反映的是设备的物理状态，可以更加清晰的展现设备间差异。但是它也只能反映设备硬件的不同，无法区分设备的固件版本。(patel h j,temple m,baldwin r o.improving zigbee device network authentication using ensemble decision tree classifiers with radio frequency distinct native attribute fingerprinting[j].ieee transactions on reliability,2015,64(1):221-233.)patel等人提出了一种基于时钟同步抽样的测量方式，很大程度上减少了时间戳量化误差。在无线通信领域，针对zigbee ad-hoc分散式架构中网络入侵检测和预防的安全挑战，利用设备之间射频的独特原始属性作为指纹，以此来实现设备识别。然而，被动识别技术需要部署探针或者专有设备来探侧流量等信息，不适用于大规模的电力通信设备的识别检测。为此，主动识别技术通过将探测数据包发送到目标设备，利用返回的响应报文特征来辨识目标设备的差异性，以实现物联网设备识别。现有的物联网设备主动识别技术主要分为基于标语的设备识别和基于字段特征的设备识别。物联网设备信息包括了设备类型、品牌、型号和固件版本等设备的专有属性。物联网设备识别是一个较新的研究领域，与传统的操作系统识别不同，物联网设备识别主流方法是基于应用层协议内容来区分设备差异性，应用层协议报文所反馈的显性信息被称为标语(banner)，标语的抓取方式是先由探测主机向目标设备发送针对特定服务和端口的协议探测报文，如果目标设备开启着该服务和端口，目标设备便会返回包含设备标语信息的响应报文(邹宇驰,刘松,于楠等，基于搜索的物联网设备识别框架[j].信息安全学报,2018,3(4):25-40.)。目前商用化比较好的设备识别系统shodan，zoomeye和censys等，就是通过应用层协议中的标语来识别设备属性信息。
[0004]
然而，基于标语识别技术的缺点在于标语中往往缺少设备型号和固件版本等细粒度信息，无法对物联网设备进行细粒度识别。基于字段特征的识别技术是通过有目的发送一些探测报文到物联网设备中，获取特定协议的响应报文字段，再利用响应报文字段作为特征生成设备指纹，这也是一种较为成熟的设备识别方法。传统基于字段特征的识别方法多针对操作系统进行识别。最经典的tcp/ip操作系统识别技术是由俄罗斯安全专家gordon fyodor lyon开发实现的nmap，通过发送15个探测包组合到目标设备获取响应包，解析和提取15个响应包中的特征字段内容，作为识别操作系统类型的指纹。(lyon g f.nmap network scanning:the official nmap project guide to network discovery and security scanning[m].insecure,2009.)但是对于海量异构的电力物联网设备识别，nmap的指纹特征还远远不够，为此，本发明将进一步挖掘tcp重传报文特征，增大现有字段的指纹特征，提高电力物联网设备识别的精度。


技术实现要素：

[0005]
本发明克服了现有技术中存在的方法识别粒度不足和适用范围小的问题，提供了一种基于tcp重传报文的电力物联网设备识别方法。
[0006]
为了解决上述技术问题，本发明采用的技术方案为：一种基于tcp重传报文的电力物联网设备识别方法，具体包含以下步骤：
[0007]
s1：设置电力物联网设备探侧节点，向终端设备收发网络报文；
[0008]
s2：步骤s1中的探侧节点使用广播方式探测某一网段电力网络中的终端设备是否为存活设备，并对所述存活设备发送tcp重传请求报文；
[0009]
s3：获取收集重传响应报文，对所述重传响应报文进行筛选，保存响应完整的报文信息，形成响应报文数据集；
[0010]
s4：对步骤s3中的响应报文数据集进行预处理，提取特征字段；
[0011]
s5：根据一致性和差异性的量化标准，对各字段进行评价，选定用于设备识别的特征集，即设备指纹；
[0012]
s6：根据所述设备指纹，对未知设备进行步骤s1-s2操作，并采集对应报头字段；
[0013]
s7：采用投票机制判断未知设备指纹与预存指纹的相似程度，实现设备信息识别。
[0014]
所述步骤s4在对响应报文数据集进行预处理时，具体包含以下步骤：
[0015]
s401：提取各报文中的ip和tcp报头；
[0016]
s402：生成ip地址和tcp报头对应的键值对。
[0017]
所述步骤s4中使用wireshark工具对pcap包中的数据进行拆分提取。(提取特征字段)
[0018]
所述步骤s5，具体包含以下步骤：
[0019]
s501：一致性量化标准采用信息熵来计算字段的离散情况：
[0020][0021][0022]
其中，y表示一个设备字段的取值，包括{y1、y1…
ym}，yi出现的概率为pi；
[0023]
s502：差异性量化标准采用优化的欧式距离表示这一字段的差异性优劣，计算出不同设备间字段取值相同的点在全部结果结合中所占用的比例：
[0024][0025]
其中，x
same
表示不同设备取值相同的点的数量；x
all
表示全部点的数量；
[0026]
s503：计算字段中不同设备取值的欧式距离，形成欧式距离集，求所述欧式距离集的均值：
[0027][0028][0029]
其中，d表示欧式距离集，xi和yi表示对应两个设备的这一字段的取值；d’表示近似设备距离；
[0030]
s504：当u≤2.31，随着特征的加入相同设备的欧式距离开始变小，相同设备更容易被聚类；当u≤4.52，虽然欧式距离仍在变小，但变化的量相较于前几个特征，有明显的减弱；当u＞4.52，加入特征欧式距离开始变大；当d’≤0.014，不同设备的欧式距离开始变小；当d’＞0.014后，欧式距离开始逐渐增大；同样，在d’＞0.064后，欧式距离的变化也开始变小；
[0031]
s505：对不同的集合进行分类测试后，最终的选择结果如表1所示：
[0032][0033]
表1报文字段一致性及差异性量化结果
[0034]
1)在识别设备类型时:0《u《4.52,0《d’《0.06(g2)；
[0035]
2)在识别设备品牌时:0《u《2.31,0.02《d’《0.07(g4)；
[0036]
3)在识别设备型号时:0《u《8,0.02《d’《0.098(g5)。
[0037]
所述步骤s7使用g2、g4和g5对应的报头字段按照五种机器学习的方法输出对应的匹配结果，按照投票的方法选择出最终的设备信息。
[0038]
本发明与现有技术相比具有的有益效果是：
[0039]
1、本发明使用了tcp协议作为识别的信息来源，tcp协议极高的通用性也提高了设备识别的适用性；
[0040]
2、本发明针对tcp重传机制设计了一套轻量级的探测规则，降低了探测的时间和代价；
[0041]
3、使用tcp中的重传报头字段进行设备识别，结合投票机制检测的准确率和召回率具有显著提高。
附图说明
[0042]
下面结合附图对本发明做进一步的说明。
[0043]
图1为本发明的探侧过程示意图；
[0044]
图2为本发明有连接的重传检测规则图；
[0045]
图3为本发明无连接的重传检测规则图；
[0046]
图4为本发明方法特征匹配模型。
具体实施方式
[0047]
如图所示，一种基于tcp重传报文的电力物联网设备识别方法，具体包含以下步骤：
[0048]
s1：设置电力物联网设备探侧节点，向终端设备收发网络报文。
[0049]
s2：步骤s1中的探侧节点使用广播方式探测某一网段电力网络中的终端设备是否为存活设备，并对所述存活设备发送tcp重传请求报文。
[0050]
s3：获取收集重传响应报文，对所述重传响应报文进行筛选，保存响应完整的报文信息，形成响应报文数据集。
[0051]
s4：对步骤s3中的响应报文数据集进行预处理，提取特征字段；
[0052]
所述步骤s4在对响应报文数据集进行预处理时，具体包含以下步骤：
[0053]
s401：提取各报文中的ip和tcp报头；
[0054]
s402：生成ip地址和tcp报头对应的键值对；
[0055]
所述步骤s4中使用wireshark工具对pcap包中的数据进行拆分提取(提取特征字段)。
[0056]
s5：根据一致性和差异性的量化标准，对各字段进行评价，选定用于设备识别的特征集，即设备指纹；
[0057]
所述步骤s5，具体包含以下步骤：
[0058]
s501：一致性量化标准采用信息熵来计算字段的离散情况：
[0059]
[0060][0061]
其中，y表示一个设备字段的取值，包括{y1、y1…
ym}，yi出现的概率为pi；
[0062]
s502：差异性量化标准采用优化的欧式距离表示这一字段的差异性优劣，计算出不同设备间字段取值相同的点在全部结果结合中所占用的比例：
[0063][0064]
其中，x
same
表示不同设备取值相同的点的数量；x
all
表示全部点的数量；
[0065]
s503：计算字段中不同设备取值的欧式距离，形成欧式距离集，求所述欧式距离集的均值：
[0066][0067][0068]
其中，d表示欧式距离集，xi和yi表示对应两个设备的这一字段的取值；d’表示近似设备距离；为了减少数据随机性的影响，若重复的点越多这个字段探侧不同设备出相同值的情况越高，不同设备间计算得出的实际距离应该更小，使用1-w(非重合比例)与欧式距离d相乘得到了近似设备距离d’；
[0069]
s504：当u≤2.31，随着特征的加入相同设备的欧式距离开始变小，相同设备更容易被聚类；当u≤4.52，虽然欧式距离仍在变小，但变化的量相较于前几个特征，有明显的减弱；当u＞4.52，加入特征欧式距离开始变大；当d’≤0.014，不同设备的欧式距离开始变小；当d’＞0.014后，欧式距离开始逐渐增大；同样，在d’＞0.064后，欧式距离的变化也开始变小；
[0070]
s505：对不同的集合进行分类测试后，最终的选择结果如表1所示：
[0071][0072]
表1报文字段一致性及差异性量化结果
[0073]
1)在识别设备类型时:0《u《4.52,0《d’《0.06(g2)；
[0074]
2)在识别设备品牌时:0《u《2.31,0.02《d’《0.07(g4)；
[0075]
3)在识别设备型号时:0《u《8,0.02《d’《0.098(g5)。
[0076]
s6：根据所述设备指纹，对未知设备进行步骤s1-s2操作，并采集对应报头字段。
[0077]
s7：采用投票机制判断未知设备指纹与预存指纹的相似程度，实现设备信息识别；
[0078]
所述步骤s7使用g2、g4和g5对应的报头字段按照五种机器学习的方法输出对应的匹配结果，按照投票的方法选择出最终的设备信息。
[0079]
实施例一：
[0080]
将使用本方法对电力物联网设备(霍尔传感器)进行探测，具体的探测过程如图所示：
[0081]
1、首先对霍尔传感器发送预先设定好的重传报文如图2所示，图2为有连接的重传探测方式，该方式在与探测设备的交互过程中建立并保持连接，这样探测稳定性可得到保证，但若探测时间过长，且有的设备不易建立连接，因此对该规则进行了优化，优化的结果为图3所示，图3为无连接的探侧方式，不需要多次握手建立连接，可以降低检测的时间代价，提高系统效率；
[0082]
2、在获得报文后，使用wireshark工具提取出其中重传报文的报头字段；
[0083]
3、在获得数据后，使用五种检测方法(支持向量机、决策树、分类器ldc、k-近邻算法和分类器lstm)分别计算该字段组与各个设备指纹的相似度，并使用投票机制最终输出检测结果，如图4所示。
[0084]
上述实施方式仅示例性说明本发明的原理及其效果，而非用于限制本发明。对于熟悉此技术的人皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改进。因此，凡举所述技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完
成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。