[發(fā)明專利]一種局域網(wǎng)內(nèi)虛擬機的識別方法在審
| 申請?zhí)枺?/td> | 202010759077.2 | 申請日: | 2020-07-31 |
| 公開(公告)號: | CN112068926A | 公開(公告)日: | 2020-12-11 |
| 發(fā)明(設(shè)計)人: | 喻靈婧;周釗宇;劉慶云 | 申請(專利權(quán))人: | 中國科學院信息工程研究所 |
| 主分類號: | G06F9/455 | 分類號: | G06F9/455;H04L29/06;H04L29/12 |
| 代理公司: | 北京君尚知識產(chǎn)權(quán)代理有限公司 11200 | 代理人: | 李文濤 |
| 地址: | 100093 *** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 局域網(wǎng) 虛擬機 識別 方法 | ||
1.一種局域網(wǎng)內(nèi)虛擬機的識別方法,其特征在于,包括以下步驟:
獲取局域網(wǎng)內(nèi)待識別設(shè)備的廣播和多播流量,將該流量作為待識別流量;
提取待識別流量的數(shù)據(jù)傳輸協(xié)議的特征信息,根據(jù)預(yù)設(shè)的特征類型與各數(shù)據(jù)傳輸協(xié)議的對應(yīng)關(guān)系,將所述特征信息劃歸各特征類型;
將各特征類型的特征信息進行向量化,再拼接得到指紋信息;
將所述指紋信息輸入到預(yù)先訓練好的設(shè)備識別模型中,輸出mDNS視圖與LBN視圖的預(yù)測結(jié)果,并判斷所述待識別設(shè)備是否為異常設(shè)備;
若所述待識別設(shè)備為異常設(shè)備,則比較mDNS視圖與LBN視圖的預(yù)測結(jié)果,如果該兩個預(yù)測結(jié)果存在差異時,則判定所述待識別設(shè)備為虛擬機。
2.如權(quán)利要求1所述的方法,其特征在于,在局域網(wǎng)內(nèi)部署裝有監(jiān)聽工具的設(shè)備識別裝置,利用該裝置監(jiān)聽流量并采集其中的待識別流量;所述設(shè)備識別裝置將采集到的待識別流量的數(shù)據(jù)包進行格式化,轉(zhuǎn)換成預(yù)設(shè)的Json格式;將具有相同源MAC地址的所有Json元素合并到一個以源MAC地址作為鍵的Json元素中,該源MAC地址對應(yīng)于所述待識別設(shè)備;對于內(nèi)容相同的Json元素,經(jīng)過去重,只保留一個元素的內(nèi)容,每個Json元素中的內(nèi)容即為所述待識別流量的有效負載內(nèi)容。
3.如權(quán)利要求1所述的方法,其特征在于,數(shù)據(jù)傳輸協(xié)議包括ARP協(xié)議、ICMPv6協(xié)議、mDNS協(xié)議、DHCP協(xié)議、IGMP協(xié)議、SSDP協(xié)議、LLC協(xié)議、LLMNR協(xié)議、UDP協(xié)議、ETHERTYPE協(xié)議。
4.如權(quán)利要求1所述的方法,其特征在于,特征類型包括DHCP類、mDNS類、SSDP類、LBN類、UDP類和protseq類;DHCP類的特征信息包括DHCP協(xié)議和DHCPv6協(xié)議的特征信息,mDNS類的特征信息包括mDNS協(xié)議的特征信息,SSDP類的特征信息包括SSDP協(xié)議的特征信息,LBN類的特征信息包括LLMNR協(xié)議、BROWSER協(xié)議和NBNS協(xié)議的特征信息,UDP類的特征信息包括UDP協(xié)議的特征信息,protseq類的特征信息包括預(yù)設(shè)數(shù)據(jù)傳輸協(xié)議的協(xié)議序列和源MAC地址前綴。
5.如權(quán)利要求1所述的方法,其特征在于,將各特征類型的特征信息根據(jù)數(shù)據(jù)特征進行向量化,包括:DHCP、DHCPv6、SSDP、LLMNR、BROWSER、NBNS協(xié)議的特征信息具有鍵值對類型,按照onehot編碼形式進行向量化;mDNS協(xié)議的特征信息具有偽自然語言類型,使用word2vec和LDA進行向量化。
6.如權(quán)利要求1所述的方法,其特征在于,在提取特征信息時,對于部分不存在區(qū)別特性的特征信息,將特征信息替換為統(tǒng)一設(shè)定的字符串來簡化后續(xù)數(shù)據(jù)處理。
7.如權(quán)利要求1所述的方法,其特征在于,在將所述指紋信息輸入到設(shè)備識別模型之前,先判斷待識別流量中含有的設(shè)備MAC地址前綴是否表示為虛擬機廠商,若是,則直接判斷所述待識別設(shè)備為虛擬機。
8.如權(quán)利要求1所述的方法,其特征在于,所述設(shè)備識別模型在訓練時,對已知設(shè)備的特征信息訓練樣本進行向量化,得到各已知設(shè)備的指紋信息,再用于訓練。
9.如權(quán)利要求1所述的方法,其特征在于,所述設(shè)備識別模型為多視圖廣度和深度學習模型MvWDL,利用各個特征類型的特征視圖的密集嵌入表征融合到基于深度融合的神經(jīng)網(wǎng)絡(luò)和基于廣度融合的神經(jīng)網(wǎng)絡(luò),基于這兩種神經(jīng)網(wǎng)絡(luò)構(gòu)建基于混合融合方式的多視圖神經(jīng)網(wǎng)絡(luò)模型,得到所述模型MvWDL;該模型的輸出端包括設(shè)備類別識別分類器和異常設(shè)備監(jiān)測器,該設(shè)備類別識別分類器用于根據(jù)輸出的最終條件概率得到的設(shè)備信息,該最終條件概率為廣度融合的神經(jīng)網(wǎng)絡(luò)得到的分類判斷概率與深度融合的神經(jīng)網(wǎng)絡(luò)得到的分類判斷概率之和,該異常設(shè)備監(jiān)測器用于輸出是否為異常設(shè)備的判定結(jié)果。
10.如權(quán)利要求1所述的方法,其特征在于,若所述設(shè)備識別模型的輸出滿足預(yù)設(shè)的不一致判定條件,則判定所述待識別設(shè)備為異常設(shè)備;所述不一致判定條件是指:由廣度融合的神經(jīng)網(wǎng)絡(luò)根據(jù)各個特征視圖輸入的特征信息得到的識別結(jié)構(gòu),通過不一致判定算法計算不一致量化值,若計算得到的不一致量化值超過了預(yù)設(shè)的閾值,則判定所述待識別設(shè)備為異常設(shè)備。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國科學院信息工程研究所,未經(jīng)中國科學院信息工程研究所許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010759077.2/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 一種無線局域網(wǎng)的發(fā)現(xiàn)方法、設(shè)備和系統(tǒng)
- 局域網(wǎng)終端的認證方法和裝置
- 一種確定無線局域網(wǎng)部署信息、終端定位方法及相關(guān)裝置
- 基于客戶端配置虛擬局域網(wǎng)的系統(tǒng)及方法
- 無線局域網(wǎng)連接方法及裝置
- 一種無線局域網(wǎng)的連接方法和裝置
- 公共無線局域網(wǎng)的挖掘方法及裝置
- 無線局域網(wǎng)連接方法、裝置、系統(tǒng)、設(shè)備及存儲介質(zhì)
- 無線局域網(wǎng)連接管理方法、裝置、軟件程序及存儲介質(zhì)
- 一種不同局域網(wǎng)之間數(shù)據(jù)安全共享的方法
