设备识别的方法、装置和系统与流程

设备识别的方法、装置和系统
1.本技术要求于2021年07月15日提交的申请号为202110798343.7、发明名称为“设备识别的方法、装置和系统”的中国专利申请的优先权，其全部内容通过引用结合在本技术中。
技术领域
2.本技术涉及通信技术领域，特别涉及设备识别的方法、装置和系统。


背景技术：

3.智慧园区、教育、制造、金融和医疗等行业存在大量的物联网(internet ofthings，iot)设备。这些iot设备由于自身防护能力差，容易成为攻击者发动大规模分布式拒绝服务攻击(distributed denial-of-service attack，ddos)的目标，也存在被恶意仿冒以实现非法目的的风险。对网络中的iot设备进行设备识别以确定iot设备的设备类型，有助于根据设备类型为不同类型的iot设备部署相应的安全防护策略，从而提升网络中iot设备的安全性。


技术实现要素：

4.本技术提供了一种设备识别的方法、设备和系统，有助于识别终端设备的设备类型，并降低设备识别对网络资源的消耗。
5.第一方面，提供了一种设备识别方法，由为终端设备转发报文的网络设备执行。该网络设备获取终端设备的数据流统计信息，并且当满足条件时，发送所述终端设备的数据流统计信息给分析器，以使得所述分析器识别所述终端设备的设备类型。
6.其中，所述条件包括：所述终端设备的设备类型未知，或者，所述终端设备是重新上线的终端设备。
7.本技术中，网络设备在终端设备的设备类型未知或终端设备为重新上线的终端设备时，向分析器发送该终端设备的数据流统计信息，使得分析器识别所述终端设备的设备类型，进而能够针对该终端设备的设备类型执行相应的安全防护策略。
8.进一步地，若终端设备的设备类型已知且终端设备一直在线，则该终端设备的设备类型发生变化的概率很小。若终端设备是重新上线的终端设备，则该终端设备的设备类型有可能发生了变化。本技术中，网络设备仅发送设备类型未知或重新上线的终端设备的数据流统计信息给分析器。这避免了那些设备类型已知且一直在线的终端设备的数据流统计信息对带宽的消耗。降低了设备识别对网络资源的消耗。
9.另外，分析器可以获取大量未知设备类型的终端设备的数据流统计信息，并基于该大量未知设备类型的终端设备的数据流统计信息获取高精度的设备识别模型。该方法不会降低设备识别的精度。
10.可选地，所述网络设备根据已知设备类型对应的终端设备的标识确定所述终端设备的设备类型是否为未知。
11.例如，网络设备中可以存储已知设备类型对应的终端设备的标识。若已知设备类型对应的终端设备的标识不包括该终端设备的标识，则网络设备确定该终端设备的设备类型为未知。
12.可选地，所述网络设备根据资产库确定所述终端设备的设备类型是否为未知。
13.其中，所述资产库用于记录设备类型和所述设备类型对应的终端设备的标识。
14.若该终端设备的标识不存在于该资产库，则网络设备判断该终端设备的设备类型为未知。
15.可选地，所述网络设备根据所述终端设备的历史流量大小判断所述终端设备是否为重新上线的终端设备。
16.可选地，若所述终端设备在第一时间窗口内的流量大小为零，所述终端设备为重新上线的终端设备。
17.可选地，所述网络设备从所述分析器接收消息，并基于所述消息更新所述已知设备类型对应的终端设备的标识。其中，所述消息包括所述终端设备的标识。
18.分析器识别出该终端设备的设备类型后，发送消息以告知网络设备该终端设备的设备类型已知，网络设备存储该终端设备的设备标识。若该终端设备不下线，则网络设备将不再发送该终端设备的数据流统计信息给分析器。即，伴随着越来越多的终端设备的类型被识别，设备识别消耗的网络资源将越来越少。
19.可选地，所述网络设备从所述分析器接收消息，并基于所述消息更新所述资产库。其中，所述消息包括所述终端设备的设备类型和所述终端设备的标识。
20.分析器识别出该终端设备的设备类型后，发送消息以告知网络设备该终端设备的设备类型。网络设备将该终端设备的设备类型和标识添加到资产库。若该终端设备不下线，则网络设备将不再发送给终端设备的数据流统计信息给分析器。即，伴随着越来越多的终端设备的类型被识别，设备识别消耗的网络资源将越来越少。
21.可选地，所述终端设备的数据流统计信息包括所述终端设备的至少一个数据流的源互联网协议(internet protocol，ip)地址或者目的ip地址。
22.可选地，所述终端设备的数据流统计信息还包括以下一种或多种信息：所述终端设备的至少一个数据流在第二时间窗口内的流量大小、所述终端设备的至少一个数据流在所述第二时间窗口内的数据包数量、所述终端设备的至少一个数据流在所述第二时间窗口内的每个数据包的大小。
23.可选地，所述终端设备的标识包括所述终端设备的ip地址。
24.可选地，所述终端设备包括物联网iot设备。
25.本技术第一方面的上述各实施方式可以在不产生冲突的情况下互相组合，其组合均属于本技术的保护范围。
26.第二方面，提供一种设备识别装置。所述装置包括多个功能模块，该多个功能模块可以全部是软件模块或硬件模块，还可以是软件模块和硬件模块的组合，该多个功能模块可以根据实现做不同划分，以能实现上述第一方面及其各实施方式中的方法为准则。
27.第三方面，提供一种设备识别装置。所述装置包括处理器和存储器。所述存储器中存储有程序，所述处理器用于执行所述存储器中存储的程序以实现上述第一方面或第一方面的任意一种可能的实现方式所提供的设备识别方法。
28.第四方面，提供一种设备识别系统。所述系统包括设备识别装置和分析器。所述设备识别装置用于实现上述第一方面或第一方面的任意一种可能的实现方式所提供的设备识别方法。所述分析器用于接收所述设备识别装置发送的终端设备的数据流统计信息，根据所述终端设备的数据流统计信息识别所述终端设备的设备类型。
29.可选地，所述分析器还用于发送消息给所述设备识别装置，所述消息包括所述终端设备的标识。
30.可选地，所述分析器还用于发送消息给所述设备识别装置，所述消息包括所述终端设备的标识和所述终端设备的设备类型。
31.第五方面，提供一种计算机可读存储介质。所述计算机可读存储介质包括指令，当其在计算机上运行时，使得计算机执行如上述第一方面或第一方面的任意一种可能的实现方式所提供的设备识别方法。
32.第六方面，提供一种包含指令的计算机程序产品。当其在计算机上运行时，使得计算机执行如上述第一方面或第一方面的任意一种可能的实现方式所提供的设备识别方法。
附图说明
33.图1是本技术实施例涉及的一种实施环境示意图；
34.图2是本技术实施例提供的一种设备识别方法的流程图；
35.图3是本技术实施例提供的一种资产库的示意图；
36.图4是本技术实施例提供的一种设备识别装置的逻辑结构示意图；
37.图5是本技术实施例提供的一种设备识别装置的硬件结构示意图；
38.图6是本技术实施例提供的一种设备识别系统示意图。
具体实施方式
39.为使本技术的原理、技术方案和优点更加清楚，下面将结合附图对本技术实施方式作进一步地详细描述。
40.请参考图1，其示出了本技术实施例涉及的一种实施环境的示意图。如图1 所示，该实施环境包括通信网络100。该通信网络100包括多个终端设备和多个网络设备，多个终端设备通过相应的网络设备接入互联网(internet)或内联网 (intranet)以访问业务服务器提供的业务。例如，终端设备101～102连接网络设备111，终端设备103～104连接网络设备112，终端设备105连接网络设备113。其中，网络设备111通过网络设备121将终端设备101～102接入互联网或内联网，以使得终端设备101～102能够访问相关的业务，例如，由业务服务器131提供的业务。其中，网络设备112通过网络设备121将终端设备103～104接入互联网/ 内联网，以使得终端设备103～104能够访问相关的业务，例如，由业务服务器 131提供的业务。其中，网络设备113将终端设备105接入互联网/内联网，以使得终端设备105能够访问相关的业务，例如，由业务服务器131提供的业务。
41.其中，可选地，终端设备为iot设备。终端设备可以是多种类型的设备。例如，在金融系统中，终端设备可以是自动柜员机(automated teller machine，atm)、自助查询终端、发卡机、智能柜台或摄像头等。例如，终端设备101和终端设备103可以是atm，终端设备102和终端设备104可以是摄像头，终端设备105 可以是发卡机。
42.其中，网络设备可以是多种类型的设备。例如，网络设备可以是交换机、路由器、无线接入点、基站等。例如，网络设备111可以是无线接入点，终端设备 101～102通过无线局域网接入网络设备111。又例如，网络设备112可以是交换机，终端设备103～104通过有线接入方式接入网络设备112。又例如，网络设备 113可以是基站，终端设备105通过蜂窝网络接入网络设备113。又例如，网络设备121可以是路由器。其中，网络设备111～113直接连接终端设备，因此网络设备111～113又可以称为接入设备。其中，网络设备121不直接连接终端设备，而是转发接入设备发送的终端设备的报文，网络设备121又可以称为汇聚设备。
43.其中，业务服务器131可以是多种类型的设备。例如，业务服务器131可以是一台物理服务器、物理服务器集群、虚拟机或虚拟机集群等。业务服务器131 可以部署于公有云、私有云，或企业的数据中心。业务服务器可以提供多种业务，例如，视频业务、存取款业务等。
44.为了防止终端设备被攻击或者被恶意仿冒，通信网络100需要识别终端设备的设备类型，以根据设备类型为不同类型的终端设备执行相应的安全防护策略。识别终端设备的设备类型也称为资产盘点。即，通过识别终端设备的设备类型以盘点设备资产的种类。
45.鉴于此，通信网络100还可以包括分析器141。分析器141可以接收网络设备发送的终端设备的数据流统计信息，并根据数据流统计信息识别终端设备的设备类型。该网络设备可以是接入设备或汇聚设备。该分析器141可以部署于公有云、私有云、企业的数据中心或企业的总部园区网。该分析器141可以是服务器、服务器集群、虚拟机或虚拟机集群等。该分析器141还可以是具有计算能力的网络设备。该具有计算能力的网络设备部署于企业的数据中心或企业的总部园区网。
46.本技术实施例提供一种设备识别的方法。在该方法中，靠近终端设备的网络设备获取终端设备的数据流统计信息，当终端设备的类型未知或者终端设备是重新上线的终端设备时，该网络设备发送该终端设备的数据流统计信息给分析器，分析器基于该终端设备的数据流统计信息识别该终端设备的设备类型。识别出终端设备的设备类型后，分析器发送该终端设备的标识，或终端设备的标识和设备类型给网络设备。该靠近终端设备的网络设备可以是接入设备或汇聚设备。终端设备的数据流统计信息由靠近终端设备的网络设备获取，所以该数据流统计信息能够反映该终端设备的所有访问行为。当终端设备的设备类型未知时或终端设备的设备类型可能发生了变化时，网络设备会发送该终端设备的数据流统计信息给分析器。即，分析器可以获取到大量未知类型的终端设备的数据流统计信息，且这些数据流统计信息能够反映终端设备的所有访问行为。因此，分析器还可以据此训练或更新设备识别模型以提升设备识别的精度。网络设备不会发送未下线的已知设备类型的终端设备的数据流统计信息给分析器。这避免了大量的已知设备类型且一直在线的终端设备的数据流统计信息对网络资源的消耗。所以，该方法还可以降低设备识别对网络资源的消耗。本技术实施例的详细方案请参考下述描述。
47.请参考图2，其示出了本技术实施例提供的一种设备识别方法的流程图。包括如下步骤：
48.步骤201、网络设备获取终端设备的数据流统计信息。
49.网络设备包括接入设备或汇聚设备。接入设备为连接终端设备的网络设备。汇聚设备为不与终端设备直接相连，但终端设备的数据流必经的网络设备。例如，以图1所示的
网络100为例，终端设备可以是终端设备101，接入设备可以是网络设备111，汇聚设备可以是网络设备121。终端设备101通过网络设备111接入网络，所以网络设备111必然可以获取到终端设备101的数据流统计信息。网络设备121虽然不与终端设备101直接相连，但终端设备101的报文必然经由网络设备121转发，所以网络设备121也必然可以获取到终端设备101的数据流统计信息。
50.不同类型的终端设备的数据流具有不同的特征。例如，摄像头几乎没有下行流量，但上行流量持续存在且流量较大，但atm的数据流不定时的发生，且流量非常小。分析器根据终端设备的数据流统计信息区分不同的终端设备。因此，数据流统计信息包括能反映终端设备的业务特征的统计信息。例如，数据流统计信息包括以下一种或多种信息：终端设备在一个时间窗口内的数据流的个数、终端设备在该时间窗口内的数据流量的大小、终端设备在该时间窗口内的数据报文的数量、终端设备在该时间窗口内的每个数据报文的大小、终端设备在该时间窗口内的每个数据流的报头信息、终端设备在该时间窗口内的每个数据流的流量大小、终端设备在该时间窗口内的每个数据流的报文数量、终端设备在该时间窗口内的每个数据流的每个报文的大小。其中，数据流的报头信息包括数据流的元组。数据流的元组可以是数据流的五元组。数据流的五元组包括数据流的源ip地址、目的ip地址、源端口、目的端口、协议类型。数据流统计信息还可以包括数据流的方向性信息，例如，上行或下行。网络设备从靠近终端设备侧的端口接收到的数据流为上行数据流，反之，为下行数据流。
51.网络设备获取终端设备的数据流统计信息。例如，网络设备采集经由该网络设备传输的数据流，并获取在时间窗口内的数据流统计信息。网络设备可以基于终端设备的标识区分在该时间窗口内的不同终端设备的数据流。终端设备的标识包括终端设备的ip地址。网络设备可以基于上行数据流的源ip地址或下行数据流的目的ip地址区分一个时间窗口内的不同终端设备的数据流。拥有相同的源 ip地址的上行数据流或拥有相同的目的ip地址的下行数据流是属于同一个终端设备的数据流。例如，该时间窗口可以是5分钟。网络设备计算各个终端设备在每个5分钟内的数据流统计信息以获取各个终端设备在时间窗口内的数据流统计信息。网络设备可以一直获取终端设备的数据流统计信息。例如，网络设备从指定时刻(例如，网络设备开始运行时，或者，管理员配置的一个时刻)开始，获取每个时间窗口内的各个终端设备的数据流统计信息。例如，网络设备从开始运行时，每5分钟获取一次数据流统计信息，该数据流统计信息包括在该5分钟内存在数据流的各个终端设备的数据流统计信息。网络设备也可以按照预定要求获取终端设备的数据流统计信息。例如，网络设备按照管理员的配置，每隔半小时获取1次数据流统计信息，每次获取的数据流统计信息包括在一个时间窗口 (例如，5分钟)内的存在数据流的各个终端设备的数据流统计信息。
52.终端设备的数据流统计信息也可以由其他设备获取。例如，由旁挂在网络设备侧的网络探针获取终端设备的数据流统计。例如，图1中的接入设备111可以旁挂一个网络探针，该网络探针具备计算能力。接入设备111可以将数据流镜像到该网络探针，该网络探针根据镜像的数据流计算各个终端设备在时间窗口内的数据流统计信息。
53.步骤202、当满足条件时，网络设备发送所述终端设备的数据流统计信息给分析器。所述条件包括：所述终端设备的设备类型未知，或者，所述终端设备是重新上线的终端
设备。
54.当终端设备满足条件时，网络设备发送该终端设备的数据流统计信息给分析器。所述条件包括：终端设备的设备类型未知，或者，终端设备是重新上线的终端设备。
55.当终端设备的设备类型未知时，网络设备发送该终端设备的数据流统计信息给分析器，以触发分析器识别该终端设备的设备类型。网络设备可以基于多种方式判断终端设备是否为已知设备类型的终端设备。例如，网络设备上记录了已知设备类型的终端设备的标识(例如，该标识包括终端设备的ip地址，网络设备记录了多个ip地址，表示该多个ip地址关联的终端设备的设备类型已知)，若该多个ip地址中存在该终端设备的数据流统计信息关联的ip地址(例如，数据流的源ip地址或目的ip地址)，则网络设备判断该数据流关联的终端设备为已知设备类型的终端设备。又例如，网络设备还可以存储资产库，该资产库中记录了设备类型和每个设备类型对应的一个或多个终端设备的ip地址。网络设备提取数据流统计信息中的ip地址，并根据该ip地址查询该资产库，若该ip地址存在于该资产库，则网络设备判断该数据流关联的终端设备为已知设备类型的终端设备。该已知设备类型对应的终端设备的标识或资产库可以由管理员配置，或者，分析器识别出终端设备的设备类型后，发送该设备类型和/或该设备类型对应的设备标识给网络设备。相应地，网络设备在采集终端设备的数据流时，还可以将已知设备类型的终端设备的ip地址作为过滤条件，以不采集已知设备类型的终端设备的数据流。如此，可进一步的减少网络设备的开销。
56.当终端设备是重新上线的终端设备时，其设备类型可能已经发生变化，因此网络设备也发送其数据流统计信息给分析器，以触发分析器重新识别该终端设备的设备类型。例如，一台查询机的ip地址为ip a，但某天该查询机损坏了，则 ip a有可能被其他设备使用，此时若网络设备使用ip地址区分终端设备，则需要发送包含ip a的数据流统计信息给分析器以触发分析器重新识别该ip a绑定的终端设备的设备类型。
57.网络设备可以通过多种方法判断终端设备是否是重新上线的终端设备。例如，若网络设备111为无线接入点设备，当发现终端设备101断联时，网络设备111 判断该终端设备101已下线，当终端设备101再次关联到网络设备111时，网络设备判断该终端101为重新上线的终端设备。又例如，若网络设备112为交换机，当检测到连接终端设备104的端口断开时，网络设备112判断该终端设备104 已下线，当检测到该端口再次连接时，网络设备112判断该终端设备104为重新上线的终端设备。又例如，网络设备还可以根据终端设备的历史流量大小判断终端设备是否为重新上线的终端设备。例如，若网络设备在指定的时间窗口内未检测到一个终端设备的数据流，则判断该终端设备已下线，当网络设备再次检测到该终端设备的数据流时，判断该终端设备为重新上线的终端设备。该指定的时间窗口可以与网络设备在步骤201中获取数据流统计信息的窗口成倍数关系。例如，若网络设备每5分钟获取一次终端设备的数据流统计信息，则当网络设备在一个或多个5分钟内没有检测到一个终端设备的数据流时，网络设备判断该终端设备已下线。当网络设备再次检测到该终端设备的数据流时，网络设备判断该终端设备为重新上线的终端设备。该指定的时间窗口也可以是其他值。例如，当获取终端设备数据流统计信息的时间窗口为5分钟时，该判断终端设备是否是重新上线的时间窗口也可以是18分钟。当网络设备在18分钟内未检测到终端设备的数据流时，判断该终端设备已下线，当再次检测到终端设备的数据流时，网络设备判断该终端设备为重新上线的终端设备。
58.步骤203、分析器识别所述终端设备的设备类型。
59.分析器基于网络设备发送的终端设备的数据流统计信息识别该终端设备的设备类型。例如，分析器将终端设备的数据流统计信息作为设备识别模型的输入，以从该设备识别模型的输出获取该终端设备的设备类型。
60.该设备识别模型可以由管理员配置。该设备识别模型也可以由分析器训练获得。分析器可以基于各个网络设备发送的多个未知设备类型的终端设备的数据流统计信息和多个已知设备类型的终端设备的数据流统计信息训练获得该设备识别模型。该设备识别模型可以是多种机器学习模型，例如，随机森林或卷积神经网络。初始时，该多个已知设备类型的终端设备的设备类型可以由管理员标注。例如，网络设备发送1000个终端设备的数据流统计信息，管理员随机地为100个终端设备标注正确的设备类型。又例如，管理员在分析器的输入界面输入20个ip 地址及与该20个ip地址关联的设备类型，分析器接收到的与该20个ip地址关联的数据流统计信息即为已知设备类型的终端设备的数据流统计信息。
61.管理员还可以在分析器的输入界面上输入指令以指示分析器开始训练设备识别模型。接收到管理员的输入指令后，分析器可以发送采集指令给各个网络设备。该采集指令指示网络设备获取终端设备的数据流统计信息，以使得分析器获得训练设备识别模型的数据集。该采集指令可以包括采集时长、采集频率、采集信息种类等信息。例如，采集时长可以是1天，采集频率可以是5分钟，采集信息种类可以是步骤201中所述的数据流统计信息包括的一种或多种信息。接收到采集指令后，网络设备在1天内每5分钟计算一次数据流统计信息。每5分钟内的数据流统计信息包括网络设备在该5分钟内存在数据流量的各个终端设备的数据流统计信息。网络设备可以定时获取数据流统计信息，例如，网络设备每5分钟采集一次数据流并计算该5分钟内的数据流统计信息。网络设备也可以一次获取多个时间窗口内的数据流统计信息。例如，网络设备保存一天的数据流文件，然后一次性的获取该一天内的288(24小时*60/5分钟＝288)个每5分钟内的数据流统计信息。网络设备可以定时发送数据流统计信息，例如，网络设备每5分钟获取一次数据流统计信息并立即发送数据流统计信息给分析器。网络设备也可以一次发送多个时间窗口内的数据流统计信息，例如，网络设备获取到一天内的288个每5分钟的数据流统计信息后，一次性的发送给288个时间窗口的数据流统计信息给分析器。
62.当分析器根据终端设备的数据流统计信息识别出该终端设备的设备类型后，分析器将该终端设备的标识关联到该设备类型，并将该终端设备的标识添加到资产库中该设备类型对应的资产信息条目中。例如，该资产库可以如图3所示。图 3所示的资产库记录了多个资产信息条目，每个资产信息条目包括一个设备类型以及该设备类型对应的一个或多个终端设备的标识。设备的标识包括终端设备的 ip地址。例如，如图3所示，atm包括ip地址192.168.7.2和192.168.8.2关联的终端设备，摄像头包括ip地址192.168.11.11和192.168.22.22关联的终端设备，发卡机包括ip地址192.168.33.55关联的终端设备。资产库还可以记录非关注设备的标识。例如，分析器可以将具备较强防护能力的终端设备，例如，个人电脑(personal computer,pc)，标注为非关注设备，分析器或其他管理设备不需要为这些非关注设备设置特殊的防护策略。若这些非关注设备未重新上线，网络设备无需采集这些非关注设备的数据流。
63.分析器识别出终端设备的设备类型后，可以发送终端设备的标识或终端设备的标
识和该终端设备的设备类型给网络设备。例如，初始训练时，分析器识别出大量未知设备类型的终端设备，则分析器可以发送每个设备类型对应的一个或多个终端设备的标识给网络设备。又例如，训练完成后，分析器每次收到网络设备发送的数据流统计信息后，均可基于该数据流统计信息获取该数据流统计信息关联的终端设备的设备类型。分析器可将该数据流统计信息关联的终端设备的标识或终端设备的标识和该终端设备的设备类型发送给网络设备。网络设备基于分析器的消息记录已知设备类型的设备标识，或更新资产库以记录已知设备类型和已知设备类型关联的设备标识。随着越来越多的终端设备的类型被识别，网络设备需要发送的数据流统计信息会越来越少，设备识别消耗的网络资源将越来越少。
64.模型训练完成后，分析器还可以基于网络设备后续发送的未知设备类型的终端设备的数据流统计信息更新设备识别模型。
65.本技术实施例提供的设备识别方法，网络设备发送的设备类型未知或设备类型可能发生变化的终端设备的数据流统计信息给分析器，且这些数据流统计信息由靠近终端设备的网络设备获取，能够反映终端设备的所有访问行为。因此，该方法使得分析器能够识别未知设备类型或设备类型可能发生变化的终端设备的设备类型，并根据大量设备类型未知或设备类型可能发生变化的终端设备的数据流统计信息更新设备识别模型以提升设备识别的精度。另外，网络设备仅向分析器发送未知设备类型的终端设备或者重新上线的终端设备的数据流统计信息，避免了设备类型已知且一直在线的终端设备的数据流统计信息对带宽的消耗。这降低了设备识别对网络资源的消耗。
66.图4是本技术实施例提供的设备识别装置的逻辑结构示意图。请参考图4，设备识别装置400包括获取模块410和发送模块420。其中，获取模块410用于执行图2所示实施例中的步骤201，发送模块420用于执行图2所示实施例中的步骤202。
67.其中，所述获取模块410用于获取终端设备的数据流统计信息。该设备识别装置400是连接该终端设备的接入设备或者该终端设备的数据流必经的汇聚设备。该终端设备的数据流经由该设备识别装置400转发。
68.其中，所述发送模块420用于当满足条件时，发送所述终端设备的数据流统计信息给分析器，以使得所述分析器识别所述终端设备的设备类型。
69.其中，所述条件包括：所述终端设备的设备类型未知，或者，所述终端设备是重新上线的终端设备。
70.可选地，所述发送模块用于根据已知设备类型的终端设备的标识确定所述终端设备的设备类型已知或未知。当所述终端设备的标识存在于已知设备类型的终端设备的标识中，所述发送模块判断所述终端设备的设备类型已知，否则为未知。
71.可选地，所述发送模块用于根据资产库确定所述终端设备的设备类型为已知或未知。所述资产库用于记录设备类型和所述设备类型对应的终端设备的标识。当所述终端设备的标识存在于所述资产库中，所述发送模块判断所述终端设备的设备类型已知，否则为未知。
72.可选地，所述发送模块用于根据所述终端设备的历史流量大小判断所述终端设备是否为重新上线的终端设备。若所述终端设备在第一时间窗口内的流量大小为零，所述发送模块判断所述终端设备为重新上线的终端设备。
73.可选地，所述设备识别装置还包括接收模块和更新模块。所述接收模块用于接收
消息。可选地，所述消息包括所述终端设备的标识，所述更新模块用于基于所述消息更新所述已知设备类型的终端设备的标识。可选地，所述消息还包括所述终端设备的设备类型，所述更新模块用于基于所述消息更新所述资产库。
74.本实施例提供的设备识别装置400，用于执行图2所示方法实施例的技术方案，其实现原理和技术效果类似。各个设备识别装置400发送设备类型未知或重新上线的终端设备的数据流统计信息给分析器，使得分析器能够识别这些终端设备的设备类型。分析器还可以基于大量设备类型未知或重新上线的终端设备的数据流统计信息训练或更新设备识别模型以提升设备识别的精度。另外，设备识别装置400向分析器选择性的发送终端设备的数据流统计信息给分析器：仅发送设备类型未知或设备类型可能发生变化的终端设备的数据流统计信息给分析器。这避免了设备类型已知且一直在线的终端设备的数据流统计信息对带宽的消耗，降低了设备识别消耗的网络资源。
75.需要说明的是，图4所示实施例提供的设备识别装置在执行设备识别方法时，仅以上述各功能模块的划分举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的设备识别装置与设备识别方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
76.图5是本技术实施例提供的一种设备识别装置500的硬件结构示意图。参见图5，该设备识别装置500包括处理器520、存储器540、通信接口560和总线 580，处理器520、存储器540和通信接口560通过总线580彼此连接。处理器 520、存储器540和通信接口560也可以采用除了总线580之外的其他连接方式连接。
77.其中，存储器540可以是各种类型的存储介质，例如随机存取存储器(randomaccess memory，ram)、只读存储器(read-only memory，rom)、非易失性ram (non-volatile ram，nvram)、可编程rom(programmable rom，prom)、可擦除prom(erasable prom，eprom)、电可擦除prom(electrically erasable prom， eeprom)、闪存、光存储器、硬盘等。
78.其中，处理器520可以是通用处理器，通用处理器可以是通过读取并执行存储器(例如存储器540)中存储的内容来执行特定步骤和/或操作的处理器。例如，通用处理器可以是中央处理器(central processing unit，cpu)。处理器520可以包括至少一个电路，以执行图2所示实施例提供的设备识别方法的全部或部分步骤。
79.其中，通信接口560包括输入/输出(input/output，i/o)接口、物理接口和逻辑接口等用于实现设备识别装置500内部的器件互连的接口，以及用于实现设备识别装置500与其他设备(例如分析器或终端设备)互连的接口。物理接口可以是以太网接口，光纤接口，atm接口等。
80.其中，总线580可以是任何类型的，用于实现处理器520、存储器540和通信接口560互连的通信总线，例如系统总线。
81.上述器件可以分别设置在彼此独立的芯片上，也可以至少部分的或者全部的设置在同一块芯片上。将各个器件独立设置在不同的芯片上，还是整合设置在一个或者多个芯片上，往往取决于产品设计的需要。本技术实施例对上述器件的具体实现形式不做限定。
82.图5所示的设备识别装置500仅仅是示例性的，在实现过程中，设备识别装置500还可以包括其他组件，本文不再一一列举。另外，上述实施例提供的设备识别装置500与设备
识别方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
83.图6是本技术实施例提供的一种设备识别系统示意图。请参考图6，设备识别系统600包括分析器610和一个或多个设备识别装置。例如，该一个或多个设备识别装置包括设备识别装置620和/或设备识别装置630。设备识别装置包括连接终端设备的接入设备或终端设备的数据流必经的汇聚设备。设备识别装置和分析器通过互联网或内联网连接。所述分析器610用于执行图2所示设备识别方法实施例中的步骤203。所述设备识别装置620或设备识别装置630用于执行图 2所示设备识别方法实施例中的步骤201和步骤202。在一种可能的实现方式中，所述设备识别装置620或设备识别装置630包括图4所示的设备识别装置400。在另一种可能的实现方式中，所述设备识别装置620或设备识别装置630包括图 5所示的设备识别装置500。
84.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl)) 或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如，固态硬盘(solid state disk,ssd))等。
85.应理解，在本技术实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，不应对本技术实施例的实施过程构成任何限定。
86.以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。