本發明提供了一種基于網絡流量特征融合的物聯網設備憑證生成方法，屬于物聯網設備身份識別技術領域。該方法首先從設備網絡協議棧指紋特征、設備網絡數據序列特征、以及設備網絡數據協議特征三個維度構建與設備身份識別相關的指紋特征集合；接著利用特征和終端間的相關特性對特征進行篩選得到最優特征集；最后采用主成分分析法對特征子集進行降維處理，消除特征數據的冗余特性，生成終端指紋憑證。本發明可以從物聯網設備的網絡流量數據中提取到設備識別時所需的準入憑證所需憑據，該憑證與物聯網設備的物理特性相關，可以有效識別假冒設備。

技術領域

本發明屬于物聯網設備接入控制技術領域，尤其涉及基于網絡流量特征融合的物聯網設備憑證生成方法。

背景技術

現有的物聯網終端設備存在設備接入時身份認證和訪問控制等安全問題。傳統的身份認證技術需要基于身份證書實現身份唯一識別和合法性判別，這就要求在所有合法終端設備上部署身份證書。由于大部分終端不能提供硬件或者證書形式的身份憑證實現身份識別功能，同時終端種類繁多，數量龐大，平臺不一，軟硬件環境封閉，在可預見的未來實現統一身份證書并不具備可行性。因此需要在不改動終端內部架構的基礎上實現無證書的身份自動識別。目前現場采用的MAC/IP地址識別技術并不能安全可靠的實現對終端設備的唯一識別，無法區分仿冒設備和連接。

基于網絡流量特征指紋識別是指通過提取物聯網設備網絡流量里與設備個體有關的數值作為設備特征進行設備識別的技術。依據流量數據的獲取方式為主動探測或者被動監控，設備指紋技術可分為主動和被動兩種方式。相比與依賴于強大的加密協議或復雜的認證機制的傳統設備認證方式，設備指紋技術實現簡單且可靠性較強，更適用于物理和計算資源均有限的物聯網設備。此外，許多傳統的物聯網設備由于系統封閉并且程序固化，無法通過后續軟件更新或補丁操作添加身份認證機制實現安全的設備接入控制，而特征指紋識別技術可彌補這方面的不足。

隨著人工智能領域的發展，機器學習方法已逐漸應用于設備指紋技術。所謂分類，簡單來說，就是根據文本的特征或屬性，劃分到已有的類別中。常用的分類算法包括：決策樹分類法，樸素的貝葉斯分類算法(native Bayesian classifier)、基于支持向量機(SVM)的分類器，神經網絡法，k-最近鄰法(k-nearestneighbor，knn)，模糊分類法等等。

目前，基于網絡流量特征的設備識別問題已經有了很大的發展，但是現有的機器學習方法往往存在識別精度不高的問題。因此，如何從硬件特征、網絡協議以及網絡行為等維度對終端設備進行多維度信息提取和融合，從而形成與設備類型唯一相關的終端分類標識信息和設備個體唯一相關的終端身份標識信息，是目前研究的難點之一。現有技術尚未能解決這個問題。

發明內容

為了克服現有物聯網終端設備接入時存在假冒設備偽裝身份的問題，本發明提供一種基于網絡流量特征融合的物聯網設備身份憑證生成方法，由于該憑證與物聯網設備的物理特性相關，因此可用于解決物聯網環境下假冒設備接入的情況。

為了達到上述目的，本發明提供如下技術方案：

基于網絡流量特征融合的物聯網設備身份憑證生成方法，具體包括以下步驟：

步驟1、構建與物聯網設備身份識別有關的網絡流量指紋特征集合：從設備網絡協議棧指紋特征、設備網絡數據序列特征、以及設備網絡數據協議特征三個維度提取特征，通過特征融合構建指紋特征集合。具體包括以下步驟：