主机安全 - 601 - 端的类型，甚至无法发现终端 [6]。 统层面做了防嗅探配置，传统网络设备发现和 识别技术常常无法使用，或者出现扫描结果漂移情 况，终端识别准确率较低。 表 1 主流的网络终端设备主动发现和识别技术对比 序 号 技术 类别 技术特点 优点 缺点 1 协议栈 指纹识 别技术 根据协议栈特征确定操作 系统的版本 识别速度 快，识别 准确度较 高 仅适合 识别操 作系统 2 HTTP 指 纹识别 通过构造一系列 HTTP 报 文，识别 WEB 应用、设备 类型和操作系统类型等信 息，是网络空间中识别启 用 WEB 服务联网设备的有 效手段 简单高 效，识别 结果稳定 对终端 类型的 识别能 力较差 3 MAC OUI 识别 基于 IEEE 分配给不同厂 商的 MAC OUI 信息，识别 联网中的设备供应商信息 对于网络 设备，哑 终端的厂 商识别较 准确 仅能识 别厂商 信息 4 DHCP 指 纹识别 不同操作系统的 DHCP 请 求所携带的 OPTION 字段 值、顺序均不相同，建立 DHCP 指纹库， 实现终端设 备操作系统的识别 识别准确 度较高 必须是 DHCP 方 式获取 IP， 使用 场景少 5 SNMP 扫 描识别 可以通过 SNMP 协议进行 探测，获取设备的厂商、 类型、软件版本等信息 可以获取 详细的终 端信息， 识别准确 度很高 必须配 置 SNMP 参数， 使 用场景 少 6 端口扫 描识别 通过构造针对特定端口报 文请求，获取设备返回的 信息，在分析返回通信流 量的报文特征、内容信息 的基础上，达到识别终端 类型的目的 基于端口 服务探 测，识别 准确度较 高 探测速 度较慢， 依赖业 务端口 开放情 况 在泛电力网络中，由于大量使用嵌入式、专有 操作系统，广泛采用了 NAT 地址转换，并在操作系 针对泛电力网络终端设备的特征，本文提出一 种利用图片指纹、网络流量特征等设备指纹的识别 方法，以提高泛电力网络终端设备识别的准确度。 3.1 基于图片指纹的识别 不同厂商、类型的泛电力网络终端设备，在其 WEB 管理系统中是包含固定的 LOGO，根据截取的图 片指纹可以识别其厂商、类型等信息 [7]。 3.1.1 图片指纹库的组织 图片指纹库以 KEY-VALUE 的形式组织。一种简 单的组织方式是使用全局统一的图片指纹库，以图 片的 MD5 值作为 KEY， 这种形式组织的图片指纹库逻 辑简单，易于实现；另一种复杂一些的组织方式是， 每种类型的图片维护子指纹库，每个子指纹库以图 片的图像数据的 MD5 值作为 KEY， 这样避免前面提到 的问题，但是组织形式也更加复杂，需维护多个子 指纹库，且产生 KEY 时需要解析图片格式。 图片指纹库用于终端识别时，选择第一种组织 方式，原因是设备管理页面的图片被编辑的概率很 小，简单的设计容易实现且保证逻辑的正确性。 VALUE 部分则包含有该图片可确定的一些信息， Logo、版权信息图片可直接确定厂商，产品类型， 型号的图标都可以确定有价值的信息，这些信息可 以放在 VALUE 部分，以供后续图片指纹匹配时使用。 3.1.2 图片指纹库的生成 当前市场上主流终端识别工具的指纹库均为人 工分析添加，机器学习技术尚未广泛应用。终端识 别领域已经存在大量人工分析的指纹，这些指纹不 使用图片中的信息就可以识别出大量的终端。另外， 图片指纹库有简单统一的结构，这为机器学习图片 指纹提供了前提，可以利用已有指纹的识别信息， 反向生成图片指纹库中的指纹。 3.1.3 图片指纹库的使用 进行终端识别时，可以将常规指纹与图片指纹 向结合，提高终端识别的准确度，在使用图片指纹