基于流量指纹蒸馏的设备入网行为检测方法和系统

本发明属于网络流量管理领域，涉及网络流量行为检测技术，具体涉及一种基于流量指纹蒸馏的设备入网行为检测方法和系统。

背景技术：

1、网络流量管理技术的目的是从授权的网络域中尽可能获取更多的有用信息。在企业网络的范畴内，尤其是那些受到严格机密协议约束的网络中，高度的网络监控是至关重要的。在这些复杂的网络配置中，由于固有的安全风险，包括隐私侵犯的潜在风险，未经授权的设备绝对禁止访问网络。未经官方授权的个人设备，包括手机和个人电脑，可以利用由授权设备和路由器提供的无线热点渗透到内部网络中。这种访问方法对网络管理员而言仍然是隐秘且难以察觉的。

2、传统上，网络运营商采用主动方法来识别网络访问行为，利用可轻松控制和部署在授权设备上的软件。这些方法在工业界和学术界都经过了广泛的研究。一个显著的例子是端点检测与响应(edr)系统的实施，以其能够在装有监控软件的设备连接到网络时立即识别访问行为的能力而闻名。尽管基于客户端/服务器的此类监控系统在精确检测网络访问方面表现出色，但对于这些方法的实际部署而言，对于开发和维护此类系统相关成本的低估提出了实际的挑战。一方面，由于在各种平台和操作系统(os)上开发监控软件的复杂性，普遍性差是一个问题。相关的维护工作，包括调试和版本更新，进一步增加了这些监控解决方案的成本。由于设备种类繁多，很难在所有潜在访问设备上部署监控软件，尤其是在采用自带设备(byod)政策的情况下。另一方面，由于隐私法规的存在，软件部署可能受到限制，从而阻碍对具有间歇性网络访问的移动设备的检测。

3、随着网络流量分析的发展，从网络流量推断访问行为为绕过基于端点的方法所施加的约束提供了一条途径。基于流量的分析器增强了对网络管理操作员的可访问性，尤其是在自带设备政策环境下，这些操作员无法直接控制设备。这些分析器部署在授权网络的网关上，可以有效地检测网络访问，提高了普遍性和覆盖范围，并能够辨识设备型号。

技术实现思路

1、本发明的目的在于提供一种基于流量指纹蒸馏的设备入网行为检测方法和系统，重点利用设计的设备入网流量指纹蒸馏算法，移动设备指纹构建算法与实时设备入网行为检测算法，分别构建每一类移动设备的入网行为流量指纹，并且蒸馏构建的每一类移动设备的指纹，经过优化的设备指纹用于在网络关口上审计通过的流量，实时检测移动设备入网行为产生的网络流量，以实现移动设备入网行为的识别与设备具体型号的分类。

2、本发明首先收集不同型号的移动设备入网时产生的纯净流量数据，以一定时间内的单次入网事件为单位分割入网流量；利用移动设备指纹构建算法提取每个入网事件中的域名特征，并且为每一类的移动设备构建初始的域名森林，初始化每一类移动设备的指纹；利用设备入网流量指纹蒸馏算法，提高每一类移动设备指纹中的型号相关的域名树，同时降低每一类移动设备指纹中的背景流量的域名树，从而优化指纹匹配准确度与误报率；然后，利用实时设备入网行为检测算法，配合优化后的设备指纹，审计经过的网络流量，识别移动设备入网行为与分类设备具体型号。

3、本发明采用的技术方案如下：

4、一种基于流量指纹蒸馏的设备入网行为检测方法，所述方法包括：

5、收集不同移动设备加入内部局域网时产生的流量数据，以一定时间内的单次入网事件为单位分割入网流量；

6、基于所述分割入网流量，提取每个入网事件中的域名特征，并通过为每一类移动设备构建初始的域名森林，得到每一类移动设备的初始指纹；

7、蒸馏与优化每一类移动设备的初始指纹；

8、基于优化后的移动设备指纹审计经过的网络流量，得到设备入网行为检测结果。

9、进一步地，所述通过为每一类移动设备构建初始的域名森林，得到每一类移动设备的初始指纹，包括：

10、依据所述域名特征，对每一类移动设备的所有入网事件的域名进行计数，并生成包含所述域名特征和域名计数结果的域名特征对集合；

11、对于每一类移动设备的域名特征对集合，基于具有相同顶级域名i的域名特征对构建对应的域名树其中，y是移动设备类别，表示结点集合，是基于两个具有一阶偏置关系的结点所构建的边集合，表示结点的属性集合；

12、生成每一类移动设备的初始的域名森林并将该初始的域名森林dnforesty作为移动设备类别y的初始指纹；其中，m表示设备类别y的移动设备对应的顶级域名数量。

13、进一步地，结点的属性包括：域名特征，域名计数和域名深度等级。

14、进一步地，所述蒸馏与优化每一类移动设备的初始指纹，包括：

15、计算每一域名树的域名树复杂度wy，i；

16、依据所述域名树复杂度wy，i对域名计数结果进行调整，得到域名树中叶子结点的调整后权重

17、根据所述初步调整后权重的idf值与tf值对所述初步调整后权重进行二次调整，得到优化后的移动设备指纹。

18、进一步地，所述计算每一域名树的域名树复杂度wy，i，包括：

19、获取所述域名树包含的所有的决策路径序列

20、通过累乘决策路径序列上相邻的两个结点的计数商值，获得该决策路径序列的贡献度

21、通过累加每一条决策路径序列的贡献度得到所述域名树的域名树复杂度wy，i。

22、进一步地，所述初步调整后权重的idf值其中，y是设备类别集合，并且设备类别y*属于y，是域名森林中的结点集合，a是判断条件。

23、进一步地，所述初步调整后权重的tf值vy表示y类移动设备对应的域名森林中的结点集合。

24、进一步地，所述基于优化后的移动设备指纹审计经过的网络流量，得到设备入网行为检测结果，包括：

25、以dns请求为检测起始标记，获取该dns请求之后t秒的网络流量；

26、提取该dns请求之后t秒的网络流量所对应的域名特征集合d′；

27、基于所述优化后的移动设备指纹对所述域名特征集合d′进行置信度匹配，得到置信度得分；其中，所述优化后的移动设备指纹部署在内网与互联网之间的网络关口处；

28、若任一指纹的置信度得分高于阈值，则识别为移动设备入网行为，并通过检索匹配的指纹，识别入网移动设备的具体型号；

29、若所有指纹的置信度得分均低于阈值，则判定为非设备入网行为。

30、进一步地，y类移动设备的所述置信度得分其中，vy表示y类移动设备对应的域名森林中的结点集合，fy代表y类移动设备对应的域名森林dnforesty，表示域名森林dnforesty中的域名树所对应的域名集合，是域名集合中的一个结点，表示结点优化后的指纹，dk表示所述域名特征集合d′中的第k个域名特征。

31、一种基于流量指纹蒸馏的设备入网行为检测系统，所述系统包括：

32、预处理模块，用于收集不同移动设备加入内部局域网时产生的流量数据，以一定时间内的单次入网事件为单位分割入网流量；

33、设备指纹初始化模块，用于基于所述分割入网流量，提取每个入网事件中的域名特征，并通过为每一类移动设备构建初始的域名森林，得到每一类移动设备的初始指纹；

34、流量指纹蒸馏优化模块，用于蒸馏与优化每一类移动设备的初始指纹；

35、实时设备入网行为检测与分类模块，用于基于优化后的移动设备指纹审计经过的网络流量，得到设备入网行为检测结果。

36、与现有技术相比，本发明可以使用已知的移动设备入网行为产生的流量构建对应的入网行为流量指纹，并且使用经过蒸馏优化的设备入网流量指纹，对经过部署结点的流量进行审计，从而检测与发现移动设备入网行为产生的流量，并且分类移动设备的具体型号：

37、1、本发明提出了一种移动设备入网行为网络流量指纹的构建方法，使用该方法可以将移动设备接入局域网时产生的网络流量数据构建为以域名树集合为单位的域名森林，从而构建初始的设备入网流量指纹。

38、2、本发明提出了一种移动设备入网流量指纹的蒸馏优化算法，该方法可以将初始的设备入网流量指纹中与对应类别强相关的域名树的权重提高，并且将与对应类别无关的背景流量产生的域名树的权重降低，从而蒸馏与优化指纹的纯度，提高了指纹匹配时的准确率，降低了对背景流量的误报率。

39、3、本发明提出了一种设备入网行为流量实时检测与分类方法，该方法根据蒸馏优化后的设备入网流量指纹，轻量化地实时审计经过的网络流量，检测与发现移动设备入网行为产生的流量，并且分类移动设备的具体型号。