基于指纹相似度的设备分类方法与流程
本发明涉及数据处理技术领域,尤其涉及一种基于指纹相似度的设备分类方法。
背景技术:
随着对网络安全的日渐深入,对于网络资产的梳理变得越来越重要,其中,包括网络设备的操作系统类型、开放的服务、banner信息、证书信息、使用的中间件、http响应头信息等多个维度的综合信息描述,对设备进行分类和识别。但是随着网络设备、软件的不断更新,应用层协议指纹更新更是层出不穷,传统的指纹识别大多采用单条件逐个匹配,如果中间某一个信息发生变化,则会导致指纹识别失败,采用基于相似度的分类算法则可解决此问题。
技术实现要素:
本发明的一个目的是解决至少上述问题,并提供至少后面将说明的优点。
本发明还有一个目的是提供一种基于指纹相似度的设备分类方法,提高了设备分类的效率和准确性,并避免了因信息发送变化,导致的指纹识别失败的问题。
为了实现根据本发明的这些目的和其它优点,提供了一种基于指纹相似度的设备分类方法,包括:
步骤1、通过建立已知的同一类型设备的样本集,并提取所述样本集对应的指纹信息,以得到所述指纹信息的平均相似度和中心点样本指纹集。
步骤2、通过获取所述样本集内的每个设备与步骤1所得中心点样本指纹集的相似度,计算每个已知类型设备指纹信息所述相似度到所述中心点样本指纹集的相似距离,并确定最大相似距离。
步骤3、通过计算未知类型设备集内每个样本与所述中心点样本指纹集所在的中心点样本的空间距离,与所述最大相似距离进行比较,若大于所述最大相似距离,则所述样本属于所述中心点样本集所在的样本类型,否则,所述样本不属于所述样本类型,若出现未正确识别的样本,则进入步骤4。
步骤4、通过将未正确识别的样本重新加入所述样本集,以重新计算所述中心点样本,重复步骤1-3,以完成自动分类。
优选的是,步骤1中,所述指纹信息的平均相似度和中心点样本指纹集的具体方法主要包括以下步骤:
步骤2.1、通过多个已知的同一类型的设备建立样本集n,提取所述样本集n内每个设备对应的指纹信息。
步骤2.2、通过计算所述样本集n内每个设备指纹信息对应属性的相似度,取所述相似度的平均值作为平均相似度。
步骤2.3、获取所述相似度中与所述平均值接近的多个相似度作为所述中心点样本指纹集。
优选的是,步骤2中,获取所述相似度的具体方法主要包括以下步骤:
步骤3.1、获取所述样本集内设备对应的多个维度信息,计算与所述中心点样本指纹集的相似度。
步骤3.2、对所述样本集内处所述中心点样本之外的所述设备重复步骤3.1,直至得到除所述中心点样本之外的所有的每个所述设备的相似度。
优选的是,步骤2中,获取所述相似距离的计算方法依据公式1:
公式1
其中,x(i)为样本对应的多个维度信息与所述中心点样本指纹集的相似度;
k(i)为一类型设备的k个指纹与该类型设备中心点样本指纹集的所述平均相似度;
d为样本集n内除所述中心点样本之外的所述样本与所述中心点样本的最大相似距离。
优选的是,步骤3中所述空间距离的计算方法依据公式2:
公式2
其中,a(i)为未知类型的样本集a中样本对应的多个维度信息与所述中心点样本指纹集的相似度;d为所述空间距离。
优选的是,所述未正确识别的样本加入所述样本集的前提是,所述未正确识别的样本类型设定为与所述样本集内样本类型相同。
本发明至少包括以下有益效果:
通过建立样本集,样本集内的每个设备均已知其类型,提取每个已知类型的设备对应的指纹信息,以作为相似度对比的依据,每个设备对应的指纹信息具有唯一性,使实现自动分类的有效基础,同时便于求得平均相似度和中心点样本指纹集;中心点样本指纹集是样本集内每个设备参照的依据,通过获取每个设备的多维度信息与中心点样本指纹集的相似度,从而再以平均相似度为参照,计算得每个相似度到平均相似度的相似距离,并比较所述相似距离,以得到最大相似距离作为阈值,作为未知类型设备样本判断其类型的主要依据,落入所述最大相似距离内的空间距离,可判定该未知类型的样本与样本集类型相同,未落入所述最大相似距离内的空间距离,可判定该未知类型的样本与样本集类型不同;还包括未正确识别的样本,指的是设定相似度值大于样本集内设定的最小相似度,导致判定不精确,此时,需要通过人为干预的方式,设定未正确识别的样本类型与样本集内已知设备的类型相同,从而将其加入到样本集内,建立新的样本集,并重新计算中心点样本,以实现往复循环的自动分类,直至自动分类结束。所述基于指纹相似度的设备分类方法可有效解决因应用层协议指纹更新导致的指纹识别失败的问题,提高了设备分类的效率和准确性。
本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
附图说明
图1为本发明所述基于指纹相似度的设备分类方法的流程图。
具体实施方式
下面结合附图对本发明做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
应当理解,本文所使用的诸如“具有”、“包含”以及“包括”术语并不排除一个或多个其它元件或其组合的存在或添加。
如图1所示,本发明提供一种基于指纹相似度的设备分类方法,包括:
步骤1、通过建立已知的同一类型设备的样本集,并提取所述样本集对应的指纹信息,以得到所述指纹信息的平均相似度和中心点样本指纹集。
步骤2、通过获取所述样本集内的每个设备与步骤1所得中心点样本指纹集的相似度,计算每个已知类型设备指纹信息所述相似度到所述中心点样本指纹集的相似距离,并确定最大相似距离。
步骤3、通过计算未知类型设备集内每个样本与所述中心点样本指纹集所在的中心点样本的空间距离,与所述最大相似距离进行比较,若大于所述最大相似距离,则所述样本属于所述中心点样本集所在的样本类型,否则,所述样本不属于所述样本类型,若出现未正确识别的样本,则进入步骤4。
步骤4、通过将未正确识别的样本重新加入所述样本集,以重新计算所述中心点样本,重复步骤1-3,以完成自动分类。
在上述方案中,通过建立样本集,样本集内的每个设备均已知其类型,提取每个已知类型的设备对应的指纹信息,以作为相似度对比的依据,每个设备对应的指纹信息具有唯一性,使实现自动分类的有效基础,同时便于求得平均相似度和中心点样本指纹集;中心点样本指纹集是样本集内每个设备参照的依据,通过获取每个设备的多维度信息与中心点样本指纹集的相似度,从而再以平均相似度为参照,计算得每个相似度到平均相似度的相似距离,并比较所述相似距离,以得到最大相似距离作为阈值,作为未知类型设备样本判断其类型的主要依据,落入所述最大相似距离内的空间距离,可判定该未知类型的样本与样本集类型相同,未落入所述最大相似距离内的空间距离,可判定该未知类型的样本与样本集类型不同;还包括未正确识别的样本,指的是设定相似度值大于样本集内设定的最小相似度,导致判定不精确,此时,需要通过人为干预的方式,设定未正确识别的样本类型与样本集内已知设备的类型相同,从而将其加入到样本集内,建立新的样本集,并重新计算中心点样本,以实现往复循环的自动分类,直至自动分类结束。所述基于指纹相似度的设备分类方法可有效解决因应用层协议指纹更新导致的指纹识别失败的问题,提高了设备分类的效率和准确性。
一个优选方案中,步骤1中,所述指纹信息的平均相似度和中心点样本指纹集的具体方法主要包括以下步骤:
步骤2.1、通过多个已知的同一类型的设备建立样本集n,提取所述样本集n内每个设备对应的指纹信息。
步骤2.2、通过计算所述样本集n内每个设备指纹信息对应属性的相似度,取所述相似度的平均值作为平均相似度。
步骤2.3、获取所述相似度中与所述平均值接近的多个相似度作为所述中心点样本指纹集。
在上述方案中,对已知的属于某类型的n个设备提取相关的n个指纹信息,计算样本集n的n个属性的平均相似度,保存n个属性相似度的平均值和与平均值最接近的相似度对应的k个指纹,做为平均相似值和中心点样本指纹,计算方法依据公式3:
公式3
其中,x(i,j)中样本i—特征最长匹配字符数;
样本j—指特征字符串长度。
一个优选方案中,步骤2中,获取所述相似度的具体方法主要包括以下步骤:
步骤3.1、获取所述样本集内设备对应的多个维度信息,计算与所述中心点样本指纹集的相似度。
步骤3.2、对所述样本集内处所述中心点样本之外的所述设备重复步骤3.1,直至得到除所述中心点样本之外的所有的每个所述设备的相似度。
在上述方案中,通过取每个设备对应的多个维度信息,并以数组的方式呈现,与中心点样本指纹集进行相似度的计算。
一个优选方案中,步骤2中,获取所述相似距离的计算方法依据公式1:
公式1
其中,x(i)为样本对应的多个维度信息与所述中心点样本指纹集的相似度;
k(i)为一类型设备的k个指纹与该类型设备中心点样本指纹集的所述平均相似度;
d为样本集n内除所述中心点样本之外的所述样本与所述中心点样本的最大相似距离。
一个优选方案中,步骤3中所述空间距离的计算方法依据公式2:
公式2
其中,a(i)为未知类型的样本集a中样本对应的多个维度信息与所述中心点样本指纹集的相似度;d为所述空间距离。
在上述方案中,样本集a为未知类型,通过空间距离以判定样本集a的类型。
一个优选方案中,所述未正确识别的样本加入所述样本集的前提是,所述未正确识别的样本类型设定为与所述样本集内样本类型相同。
在上述方案中,通过人为干预的方式,设定未正确识别的样本的类型,以便进入下一自动分类的循环,将其加入样本集n内,重新建立新的样本集,以进行自动分类循环。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。
- 还没有人留言评论。精彩留言会获得点赞!