徐 超 王紀(jì)軍 吳小虎 張明遠(yuǎn)

(江蘇電力信息技術(shù)有限公司 南京 江蘇 210009)

據(jù)Gartner[1]報(bào)告，截至2016年，全球有超過(guò)64億個(gè)物聯(lián)網(wǎng)設(shè)備在線，并且估計(jì)到2020年全球物聯(lián)網(wǎng)設(shè)備的數(shù)量將超過(guò)200億.根據(jù)IoT Ana-lytics[2]的報(bào)告，預(yù)測(cè)從2019—2025年，全球設(shè)備的互聯(lián)網(wǎng)連接數(shù)量將保持17%的年均增長(zhǎng)率，而連接到尖端5G網(wǎng)絡(luò)的設(shè)備數(shù)量將保持113%的復(fù)合年增長(zhǎng)率.我們發(fā)現(xiàn)，盡管成千上萬(wàn)的公司正在積極地為各種類型的用戶提供物聯(lián)網(wǎng)，但是由于許多傳統(tǒng)設(shè)備制造商在生產(chǎn)設(shè)備時(shí)并未考慮到計(jì)算機(jī)網(wǎng)絡(luò)安全性的因素.安全性導(dǎo)致當(dāng)前在各種家庭環(huán)境中傳播，工業(yè)生產(chǎn)環(huán)境中的物聯(lián)網(wǎng)設(shè)備具有極大的潛在安全問(wèn)題，此類設(shè)備容易受到黑客和其他犯罪分子實(shí)施網(wǎng)絡(luò)攻擊，從而對(duì)整個(gè)網(wǎng)絡(luò)空間造成危害.

近年來(lái)，網(wǎng)絡(luò)安全的形式日益嚴(yán)峻，犯罪分子利用網(wǎng)絡(luò)終端發(fā)起的網(wǎng)絡(luò)攻擊時(shí)間也很頻繁，并且攻擊造成的破壞和影響范圍有明顯的擴(kuò)大趨勢(shì).2016年10月，Dyn遭受了分布式拒絕服務(wù)(DDoS)攻擊.攻擊者使用Mirai病毒和大量初始用戶密碼來(lái)非法訪問(wèn)網(wǎng)絡(luò)中發(fā)現(xiàn)的IoT設(shè)備，然后繼續(xù)對(duì)遭到破壞后發(fā)現(xiàn)的其他設(shè)備發(fā)起類似攻擊.攻擊者使用Mirai病毒非法控制了超過(guò)100萬(wàn)個(gè)網(wǎng)絡(luò)攝像頭、DVRS和其他終端設(shè)備，從而導(dǎo)致大量使用Dyn DNS服務(wù)的網(wǎng)站無(wú)法正常訪問(wèn)，包括Twitter，GitHub，Airbnb，PayPal和其他知名互聯(lián)網(wǎng)服務(wù)崩潰，導(dǎo)致美國(guó)大規(guī)模的網(wǎng)絡(luò)混亂.這類攻擊又將“僵尸網(wǎng)絡(luò)”(botnets)再次推向人們的視線，僵尸網(wǎng)絡(luò)是指由網(wǎng)絡(luò)組成的一些惡意病毒軟件IoT設(shè)備，因此網(wǎng)絡(luò)可以讓黑客遠(yuǎn)程進(jìn)行DDoS攻擊，將各種網(wǎng)絡(luò)設(shè)備用于垃圾郵件轟炸，竊取敏感密鑰或勒索軟件.近年來(lái)，物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展為這些黑客提供了機(jī)會(huì).基于物聯(lián)網(wǎng)的僵尸網(wǎng)絡(luò)不同于在Windows平臺(tái)上傳播的普通僵尸病毒.個(gè)人計(jì)算機(jī)和服務(wù)器之間的連接將受到各種防病毒軟件和防火墻的保護(hù)，而大多數(shù)物聯(lián)網(wǎng)設(shè)備沒有這種安全性機(jī)制，并且設(shè)備的數(shù)量非常大.物聯(lián)網(wǎng)設(shè)備一旦受到黑客的控制，不僅可以在短時(shí)間內(nèi)更快地傳播僵尸病毒，而且還會(huì)對(duì)社會(huì)秩序造成許多不利影響.某些物聯(lián)網(wǎng)病毒可以入侵交通信號(hào)燈系統(tǒng)，破壞城市的各種基礎(chǔ)設(shè)施，并引起社會(huì)動(dòng)蕩.這些案例表明，當(dāng)今世界的網(wǎng)絡(luò)攻擊正在擴(kuò)展到物聯(lián)網(wǎng)設(shè)備，并且物聯(lián)網(wǎng)終端安全已成為網(wǎng)絡(luò)安全領(lǐng)域不可或缺的一部分.

建立和完善這些設(shè)備的安全保護(hù)機(jī)制迫在眉睫.本文提出了一種用于在線物聯(lián)網(wǎng)設(shè)備的實(shí)時(shí)自動(dòng)檢測(cè)和指紋識(shí)別方法，該方法首先檢測(cè)物聯(lián)網(wǎng)設(shè)備的實(shí)時(shí)數(shù)據(jù)，捕獲設(shè)備的網(wǎng)絡(luò)協(xié)議數(shù)據(jù)，然后提取與終端相關(guān)的網(wǎng)絡(luò)協(xié)議信息和業(yè)務(wù)信息.在此基礎(chǔ)上，實(shí)時(shí)發(fā)現(xiàn)新的物聯(lián)網(wǎng)設(shè)備.其次，根據(jù)收集到的信息，使用設(shè)備指紋來(lái)識(shí)別所連接的物聯(lián)網(wǎng)終端設(shè)備的類型.我們使用機(jī)器學(xué)習(xí)的多分類識(shí)別方法來(lái)識(shí)別物聯(lián)網(wǎng)設(shè)備.

仿真實(shí)驗(yàn)表明，該方案可以達(dá)到93.75%的平均預(yù)測(cè)精度.

1 相關(guān)工作

Medaglia等人[3]提出，隨著智能設(shè)備數(shù)量的爆炸性增長(zhǎng)，物聯(lián)網(wǎng)的隱私保護(hù)機(jī)制將成為信息安全領(lǐng)域的一個(gè)主要問(wèn)題，尤其是移動(dòng)物聯(lián)網(wǎng)設(shè)備的安全性.為了實(shí)現(xiàn)互聯(lián)智能設(shè)備的安全保護(hù)，最重要的工作就是完善其身份認(rèn)證和管理系統(tǒng).Weber[4]提出，為了保護(hù)物聯(lián)網(wǎng)的安全，應(yīng)考慮4個(gè)方面：防止網(wǎng)絡(luò)攻擊、數(shù)據(jù)認(rèn)證、訪問(wèn)控制和保護(hù)用戶(自然人和法人)的隱私.由于硬件資源有限，物聯(lián)網(wǎng)的傳感器層無(wú)法添加高級(jí)加密保護(hù)算法.

近年來(lái)，在物聯(lián)網(wǎng)設(shè)備安全保護(hù)措施的研究中，設(shè)備識(shí)別和身份認(rèn)證一直是重點(diǎn).如何為物聯(lián)網(wǎng)設(shè)備生成高度可識(shí)別的設(shè)備指紋已逐漸成為研究熱點(diǎn).Kohno[5]在2005年提出了一種在沒有被檢測(cè)設(shè)備的主動(dòng)幫助情況為遠(yuǎn)程物理設(shè)備生成指紋的方案.他們通過(guò)使用部分設(shè)備硬件中的小時(shí)鐘偏移誤差來(lái)實(shí)現(xiàn)對(duì)設(shè)備的識(shí)別.2010年，Cui等人[6]設(shè)計(jì)了一種用于嵌入式網(wǎng)絡(luò)設(shè)備的掃描分析系統(tǒng)，對(duì)網(wǎng)絡(luò)空間中的公共可訪問(wèn)嵌入式網(wǎng)絡(luò)設(shè)備進(jìn)行了廣泛的掃描.結(jié)果表明，超過(guò)54萬(wàn)臺(tái)嵌入式設(shè)備仍在使用供應(yīng)商設(shè)置的初始密碼，存在很高的安全風(fēng)險(xiǎn).這些設(shè)備占所有可掃描設(shè)備的13%，其中包括企業(yè)使用的防火墻、路由器、網(wǎng)絡(luò)打印機(jī)以及家庭用戶使用的VoIP適配器和IPTV機(jī)頂盒等.使用Nmap進(jìn)行網(wǎng)絡(luò)端口掃描，并以Telnet和HTTP服務(wù)器的初始輸出為特征，實(shí)現(xiàn)了上述設(shè)備類型的識(shí)別.2015年，Radhakrishnan等人[7]設(shè)計(jì)了一種主動(dòng)和被動(dòng)2種方式可用于無(wú)線局域網(wǎng)設(shè)備的GTID設(shè)備類型識(shí)別系統(tǒng)，他們利用相同時(shí)鐘漂移的不同設(shè)備硬件模塊的差異，結(jié)合統(tǒng)計(jì)該技術(shù)使用網(wǎng)絡(luò)流量數(shù)據(jù)生成設(shè)備類型的指紋，加入人工神經(jīng)網(wǎng)絡(luò)分類器的訓(xùn)練，并使用所有常用的方法，在校園、平板電腦、智能手機(jī)等設(shè)備上進(jìn)行了大量的實(shí)驗(yàn)測(cè)試，結(jié)果表明準(zhǔn)確性很好.2016年，曹來(lái)成等人[8]提出一種方案：使用HTTP數(shù)據(jù)頭數(shù)據(jù)生成指紋，并使用k-means算法進(jìn)行智能儀器身份驗(yàn)證，并以高精度識(shí)別物聯(lián)網(wǎng)設(shè)備，例如網(wǎng)絡(luò)攝像頭、交換機(jī)和路由器.在另一項(xiàng)研究中，他們提出了一種使用HTTP數(shù)據(jù)標(biāo)頭的字段和HTML源Web服務(wù)中的部分信息來(lái)提取網(wǎng)絡(luò)終端設(shè)備的Web指紋的方法.2017年，任春林等人[9]提出了一種從大量物聯(lián)網(wǎng)設(shè)備的Web管理頁(yè)面中提取特定類型設(shè)備特征的方法，并使用正樣本反饋將PU算法(FE-PU)增強(qiáng)為過(guò)濾出符合要求的物聯(lián)網(wǎng)設(shè)備的類型.他們?cè)诰W(wǎng)絡(luò)空間中的100萬(wàn)個(gè)Web管理頁(yè)面上進(jìn)行了一項(xiàng)實(shí)驗(yàn)，以實(shí)現(xiàn)對(duì)視頻監(jiān)視設(shè)備類型的識(shí)別.同年，Meidan等人[10]應(yīng)用機(jī)器學(xué)習(xí)算法連接到物聯(lián)網(wǎng)設(shè)備識(shí)別，通過(guò)從不同互聯(lián)網(wǎng)設(shè)備中提取交通信息，使用多階段分類器的監(jiān)督學(xué)習(xí)進(jìn)行訓(xùn)練，不僅實(shí)現(xiàn)了物聯(lián)網(wǎng)設(shè)備的識(shí)別，并實(shí)現(xiàn)了對(duì)互聯(lián)網(wǎng)設(shè)備的分類，精度可以達(dá)到99.281%.在2018年，Bezawada等人[11]還使用了物聯(lián)網(wǎng)設(shè)備的流量數(shù)據(jù)來(lái)提取特征，實(shí)現(xiàn)了設(shè)備的行為指紋的生成，并以99%的準(zhǔn)確性實(shí)現(xiàn)了物聯(lián)網(wǎng)設(shè)備的識(shí)別.同年，Meidan等人[12]提出使用機(jī)器學(xué)習(xí)分類算法(例如隨機(jī)森林算法和梯度增強(qiáng)算法)來(lái)識(shí)別受感染的物聯(lián)網(wǎng)設(shè)備，從而為企業(yè)提供更好的工具來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)入侵.

2 基于GAN的圖像隱寫

本文所提的物聯(lián)網(wǎng)設(shè)備實(shí)時(shí)自動(dòng)檢測(cè)及識(shí)別方案設(shè)計(jì)包含2個(gè)主要組件：物聯(lián)網(wǎng)設(shè)備自動(dòng)檢測(cè)以及物聯(lián)網(wǎng)設(shè)備指紋識(shí)別.

2.1 自動(dòng)發(fā)現(xiàn)模塊

自動(dòng)檢測(cè)是一種基于設(shè)備發(fā)現(xiàn)模塊的余弦相似度匹配方法.在自動(dòng)檢測(cè)期間，我們提取特征以發(fā)現(xiàn)新的物聯(lián)網(wǎng)設(shè)備.特征可以分為兩大類：固有特征和協(xié)議特征.固有特征代表設(shè)備本身的特征，例如設(shè)備制造商、設(shè)備特定參數(shù)和其他信息.協(xié)議特征表示物聯(lián)網(wǎng)設(shè)備的協(xié)議特征，例如源IP地址、目標(biāo)IP地址、源端口ID、目標(biāo)端口ID、傳輸層協(xié)議有效負(fù)載中默認(rèn)特征值的出現(xiàn)次數(shù).我們用v1,v2,v3,…,vi表示固有特征.用vi+1,vi+2,vi+3,…,vn表示協(xié)議特征.未知物聯(lián)網(wǎng)設(shè)備表示為V=(v1,v2,v3,…,vn).樣本數(shù)據(jù)的特征向量表示為Sj=(sj1,sj2,sj3,…,sjn)，其中j表示第j個(gè)物聯(lián)網(wǎng)設(shè)備的已知特征.

RAFM檢測(cè)到未知設(shè)備后，將提取該設(shè)備的特征向量V，并使用余弦相似度來(lái)判斷該未知設(shè)備是否為新型物聯(lián)網(wǎng)設(shè)備：

(1)

如果計(jì)算出的相似度小于預(yù)設(shè)閾值，則將未知設(shè)備視為新設(shè)備，并將新設(shè)備的網(wǎng)絡(luò)流量特征存儲(chǔ)在數(shù)據(jù)庫(kù)中.

2.2 指紋識(shí)別

我們?cè)趩?dòng)時(shí)收集了物聯(lián)網(wǎng)設(shè)備的流程以進(jìn)行分析.在啟動(dòng)期間，設(shè)備需要從電源關(guān)閉狀態(tài)切換到正常工作狀態(tài)，其主要工作是加載相關(guān)的軟件和硬件配置.由于各個(gè)附加組件之間的依賴性，因此此過(guò)程的工作順序很嚴(yán)格.

物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)協(xié)議框架由應(yīng)用層、傳輸層和網(wǎng)絡(luò)層組成.但是，由于應(yīng)用層協(xié)議種類繁多且數(shù)據(jù)量相對(duì)混合，我們僅選擇傳輸層和網(wǎng)絡(luò)層進(jìn)行指紋識(shí)別：

在網(wǎng)絡(luò)層，我們主要研究其報(bào)文報(bào)頭的IP字段，調(diào)查不同的物聯(lián)網(wǎng)設(shè)備之間是否在IP字段存在差異.IP報(bào)頭的可用字段包括協(xié)議版本(version)、頭部長(zhǎng)度(header length)、區(qū)分服務(wù)(differentiated services feild)、報(bào)文長(zhǎng)度(total length)、標(biāo)志位(flags)、生存時(shí)間(time to live)、協(xié)議(protocol).我們發(fā)現(xiàn)其中的很多字段都與設(shè)備本身具有一定的相關(guān)度，因而在不同設(shè)備上采集的相同字段會(huì)具有明顯的差異.

1) 版本字段占4 b，它描述了報(bào)文的IP協(xié)議版本，版本為IPv4則字段值為0100 B，版本為IPv6則為0110.

2) 區(qū)分服務(wù)字段占8 b，前6 b為DSCP字段，后2 b為CU字段，DSCP即區(qū)分服務(wù)代碼點(diǎn)，也叫DS標(biāo)記值.這8 b結(jié)合不同的編碼實(shí)現(xiàn)對(duì)不同轉(zhuǎn)發(fā)方式的控制.低2 b的CU字段即顯示擁塞通知(explicit congestion notification, ECN)字段，使 BIG-IP 系統(tǒng)可以前瞻性地向同類設(shè)備發(fā)射調(diào)度路由器即將超載的信號(hào)，從而確保它們能夠及時(shí)采取避退措施.

3) 標(biāo)志位字段大小為3 b，只有后2 b是有效位.第2個(gè)bit是禁止分片標(biāo)志(Don’t fragment, DF)，如果這一標(biāo)志是1，那么路由器在接收到當(dāng)前報(bào)文后無(wú)法對(duì)報(bào)文實(shí)施分片工作；第3個(gè)bit是更多分段標(biāo)志(more fragments, MF)，如果1條報(bào)文長(zhǎng)度過(guò)長(zhǎng)需要進(jìn)行分片，那么在分成的多個(gè)片段中，我們令末尾片段的這一標(biāo)志為0，表示當(dāng)前報(bào)文為最后片段，其余片段的這一標(biāo)志均為1，接收方不斷接收MF為1的分段，直到遇到MF置0的分段停止.

4) 生存時(shí)間片段占8 b，表示數(shù)據(jù)報(bào)可以在不同設(shè)備間傳送的次數(shù)，是報(bào)文在被丟棄之前允許進(jìn)行的最大網(wǎng)絡(luò)躍點(diǎn)數(shù)，如果路由器收到的IP數(shù)據(jù)報(bào)的TTL值為0或1，路由器將不會(huì)轉(zhuǎn)發(fā)該報(bào)文，而是將數(shù)據(jù)報(bào)丟棄并且發(fā)送ICMP超時(shí)信息.

在傳輸層，我們將傳輸層協(xié)議分為3類分別進(jìn)行編碼，分為TCP，UDP和其他協(xié)議3種，可以用于提取特征的字段有PORT字段、最大分段大小(maximum segment size)、窗口大小(window size value)、可選項(xiàng)(options).

5) 對(duì)于PORT字段，我們根據(jù)IANA的劃分規(guī)則，將周知端口(0～1023)、注冊(cè)端口(1024～49151)、動(dòng)態(tài)端口(49152～65535)3種類別的端口分別編碼為0，1，2.

6) 最大分段長(zhǎng)度字段是報(bào)文一次能夠發(fā)送的信息的極限，發(fā)送數(shù)據(jù)方在和接收方進(jìn)行通信之前，TCP協(xié)議要求2邊要先確定各自單次能接收的數(shù)據(jù)量最大值，也就是MSS字段值.這個(gè)最大值確定后，發(fā)送方在發(fā)送數(shù)據(jù)時(shí)如果數(shù)據(jù)量超過(guò)了MSS的限制，就必須分成多個(gè)片段進(jìn)行發(fā)送.這個(gè)字段的值通常等于最大傳輸單元的長(zhǎng)度減掉網(wǎng)絡(luò)層報(bào)頭長(zhǎng)度以及TCP報(bào)頭的長(zhǎng)度.

對(duì)于網(wǎng)絡(luò)層和傳輸層這些字段在不同設(shè)備上的差異，文獻(xiàn)[12]作了大量研究.表1是部分物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)協(xié)議字段上的差異，這些設(shè)備包括物聯(lián)網(wǎng)的多個(gè)領(lǐng)域：PLC Schneider和PLC SIEMENS均為工業(yè)系統(tǒng)物聯(lián)網(wǎng)設(shè)備；而Printer Lexmark,DVR Dahua,Camera Linksys都是面向大眾消費(fèi)者的生活物聯(lián)網(wǎng)設(shè)備；Router Cisco屬于網(wǎng)絡(luò)傳輸類型的物聯(lián)網(wǎng)設(shè)備.從表1可以看出，不同類別的物聯(lián)網(wǎng)設(shè)備在這些字段都有著不同程度的差異，這也驗(yàn)證了這些字段作為特征的有效性.

表1 不同物聯(lián)網(wǎng)設(shè)備之間報(bào)文字段差異

根據(jù)以上分析，我們可以生成特征矩陣F1：

(2)

其中,n表示所采用特征的數(shù)量，m表示數(shù)據(jù)包的數(shù)量.然后我們把矩陣F1轉(zhuǎn)化為一個(gè)m×n的向量F2：

F2=(f1,1,f1,2,…,f1,n,…,fm,1,fm,2,…,fm,n).

(3)

基于以上特征提取過(guò)程，我們可以獲得最終特征向量F：

F=(F2,Y),

(4)

其中Y代表物聯(lián)網(wǎng)的設(shè)備類型標(biāo)簽.

然后應(yīng)用機(jī)器學(xué)習(xí)對(duì)設(shè)備指紋進(jìn)行分類.考慮到簡(jiǎn)單性和通用性，我們的系統(tǒng)首先采用了隨機(jī)森林.分類模型是一種離線學(xué)習(xí)架構(gòu).我們收集了一批準(zhǔn)備階段的流量樣本進(jìn)行學(xué)習(xí)，表2列出了設(shè)備列表.我們希望表1中的功能具有通用性，因此使用SVM和邏輯回歸算法進(jìn)行相同的實(shí)驗(yàn).詳細(xì)的性能報(bào)告在第3節(jié)中給出.

3 數(shù)據(jù)分析

3.1 數(shù)據(jù)采集

我們選取了網(wǎng)絡(luò)攝像頭、智能音響、門窗傳感器、交換機(jī)、網(wǎng)橋、網(wǎng)絡(luò)打印機(jī)等十幾種物聯(lián)網(wǎng)設(shè)備以及平板電腦、手機(jī)2種移動(dòng)終端設(shè)備進(jìn)行了數(shù)據(jù)采集.在采集流量數(shù)據(jù)時(shí)，數(shù)據(jù)的穩(wěn)定性是一個(gè)需要慎重考慮的問(wèn)題，通過(guò)我們的觀察，隨著設(shè)備開始工作后時(shí)間的變遷，設(shè)備的網(wǎng)絡(luò)行為會(huì)發(fā)生各種無(wú)法預(yù)知的改變，這表明設(shè)備的網(wǎng)絡(luò)行為具有很高的不確定和不穩(wěn)定性，這樣會(huì)在很大程度上降低指紋生成方案的可行性.

通過(guò)調(diào)查我們發(fā)現(xiàn)設(shè)備的工作過(guò)程可以劃分為2個(gè)時(shí)期：?jiǎn)?dòng)時(shí)期和服務(wù)時(shí)期.啟動(dòng)時(shí)期即設(shè)備從接通電源開始到完成各種固件配置和軟件設(shè)置的時(shí)期；而服務(wù)時(shí)期是設(shè)備在經(jīng)歷前面的啟動(dòng)時(shí)期后開始進(jìn)行正常工作任務(wù)并實(shí)現(xiàn)各項(xiàng)功能的時(shí)期.我們發(fā)現(xiàn)，在服務(wù)時(shí)期內(nèi)設(shè)備的網(wǎng)絡(luò)通信行為會(huì)受到很多環(huán)境因素的干擾和影響，比如所連接的網(wǎng)絡(luò)環(huán)境發(fā)生變化或者管理員更改網(wǎng)絡(luò)配置時(shí)，設(shè)備發(fā)送、接收的報(bào)文數(shù)量和間隔時(shí)間都會(huì)因此受到影響發(fā)生變化.雖然部分由網(wǎng)絡(luò)環(huán)境變化造成的設(shè)備網(wǎng)絡(luò)行為變化可以在一定長(zhǎng)度的時(shí)間內(nèi)表現(xiàn)出規(guī)律性，但是如果要實(shí)現(xiàn)一個(gè)可行的設(shè)備指紋生成方案，采集數(shù)據(jù)的時(shí)間要盡可能短.因此在設(shè)備的服務(wù)時(shí)期進(jìn)行數(shù)據(jù)采集會(huì)大大降低系統(tǒng)的可行性.

我們發(fā)現(xiàn)大部分物聯(lián)網(wǎng)設(shè)備由于其功能簡(jiǎn)單、資源受限，因此很多配置項(xiàng)會(huì)以很簡(jiǎn)單的方式固化到軟件和硬件中.這些粗糙的設(shè)計(jì)會(huì)從一定程度增加設(shè)備制造商維護(hù)、更新軟件和硬件的難度，但是這樣卻為我們生成設(shè)備指紋提供了一個(gè)網(wǎng)絡(luò)行為穩(wěn)定的時(shí)間窗口——設(shè)備啟動(dòng)時(shí)期.設(shè)備在啟動(dòng)時(shí)期時(shí)需要從斷電狀態(tài)轉(zhuǎn)換為正常工作狀態(tài)，其主要工作是加載相關(guān)的軟件和硬件配置.由于各個(gè)加載項(xiàng)之間存在的依賴關(guān)系，這個(gè)過(guò)程具有嚴(yán)格的工作順序.例如Linux操作系統(tǒng)復(fù)雜的啟動(dòng)過(guò)程，首先基本輸入輸出系統(tǒng)(BIOS)需要檢查硬件的狀態(tài)，之后文件系統(tǒng)中的引導(dǎo)記錄(MBR)進(jìn)行加載，然后MBR再加載Linux操作系統(tǒng)自舉程序，最后自舉程序?qū)崿F(xiàn)對(duì)整個(gè)操作系統(tǒng)的加載.而且，設(shè)備的啟動(dòng)時(shí)期經(jīng)歷的時(shí)間長(zhǎng)度具有良好的穩(wěn)定性，由于大部分物聯(lián)網(wǎng)設(shè)備均為輕量級(jí)系統(tǒng)，它們的啟動(dòng)時(shí)間非常短暫.基于以上原因，我們采用物聯(lián)網(wǎng)設(shè)備的啟動(dòng)時(shí)期進(jìn)行流量數(shù)據(jù)的采集.

基于上述的采集數(shù)據(jù)方案，我們采集了10個(gè)不同設(shè)備的流量數(shù)據(jù)，如表2所示:

表2 物聯(lián)網(wǎng)設(shè)備采集列表

我們對(duì)31臺(tái)設(shè)備均進(jìn)行了20次數(shù)據(jù)采集，每次采集40～60個(gè)左右的數(shù)據(jù)報(bào)文，每次采集單獨(dú)保存為1個(gè)pcap文件.我們將每個(gè)pcap文件作為1個(gè)收集樣本，提出來(lái)自10個(gè)設(shè)備的各個(gè)特征向量，并將特征矩陣組合為分類算法的輸入.我們使用BP神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)和k最近鄰算法來(lái)測(cè)試上述數(shù)據(jù).

3.2 數(shù)據(jù)測(cè)試

我們對(duì)3種分類模型的訓(xùn)練結(jié)果進(jìn)行了10次交叉驗(yàn)證，即將數(shù)據(jù)集隨機(jī)分為10個(gè)部分，其中9個(gè)作為訓(xùn)練集，其余1個(gè)作為測(cè)試集，分別在模型上執(zhí)行10次.對(duì)于測(cè)試，將10個(gè)分類的準(zhǔn)確度取平均值作為最終算法的準(zhǔn)確度估算值.結(jié)果如表3所示.

從以上結(jié)果可以看出，BP神經(jīng)網(wǎng)絡(luò)和SVM算法對(duì)于該系統(tǒng)采用的特征模式顯然具有良好的識(shí)別效果.與BP算法相比，SVM具有一些優(yōu)勢(shì).我們選擇在本文方案中使用SVM算法.

表3 交叉驗(yàn)證準(zhǔn)確率

我們?cè)赟VM上構(gòu)建了一個(gè)多分類器，并且使用二進(jìn)制分類器對(duì)每種設(shè)備類型進(jìn)行了訓(xùn)練.

SVM的識(shí)別精度如圖1所示，我們發(fā)現(xiàn)8臺(tái)設(shè)備的準(zhǔn)確率超過(guò)90%.而其他2個(gè)設(shè)備的準(zhǔn)確率僅為80%.這證明RAFM非常不穩(wěn)定.但是，當(dāng)我們進(jìn)入圖2所示的混淆矩陣時(shí)，其他2個(gè)設(shè)備的準(zhǔn)確度僅為80%的原因是它們是TP-Link的類似設(shè)備.這反過(guò)來(lái)證明了本文方案的準(zhǔn)確性.

圖1 物聯(lián)網(wǎng)設(shè)備的識(shí)別準(zhǔn)確率

圖2 物聯(lián)網(wǎng)設(shè)備的預(yù)測(cè)標(biāo)簽

4 結(jié) 論

在本文中我們提出了一種基于流量指紋的物聯(lián)網(wǎng)設(shè)備實(shí)時(shí)自動(dòng)檢測(cè)及識(shí)別方案，實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備的自動(dòng)發(fā)現(xiàn)和類型識(shí)別.實(shí)驗(yàn)結(jié)果表明，本文方案可以有效發(fā)現(xiàn)物聯(lián)網(wǎng)設(shè)備連接并進(jìn)行類型識(shí)別，其識(shí)別精度可達(dá)93.75%.在我們的工作中，因?qū)嶒?yàn)環(huán)境受限僅測(cè)試了10種類型的物聯(lián)網(wǎng)設(shè)備.在未來(lái)的工作中，我們將嘗試將本文方案應(yīng)用于更多的場(chǎng)景；同時(shí)，我們也將嘗試將更多的檢測(cè)方法[13-15]應(yīng)用到基于流量指紋的物聯(lián)網(wǎng)設(shè)備實(shí)時(shí)自動(dòng)檢測(cè)及識(shí)別應(yīng)用中.