现有的物联网设备通过互联网实现远程接入,存在着设备假冒以及被远程控制的安全风险,因此对物联网设备身份进行合法性判别成为物联网安全的研究热点之一。但在实现物联网设备身份合法性判别上存在诸多挑战:1)现有物联网设备厂家繁多,涉及的应用领域有智能家居、工业4.0以及能源交通等各方面,各领域的设备硬件结构和功能实现差异性极大;2)考虑设备部署时的成本问题,大部分的物联网设备计算能力和存储资源有限,结构简单,难以实现复杂的身份认证功能;3)对于缺乏可靠身份认证机制的已部署设备,无法通过远程固件更新的方式去进行安全功能升级。针对上述挑战,本文开展网络流量指纹的研究,在不改变现有物联网软硬件结构的基础上通过从网络流量中提取与设备类型相关的指纹信息,实现统一的、跨平台以及无侵入式的身份识别和异常监测。由于网络协议的分层设计,无法直接从网络流量中获取底层物联网设备的物理信息,因此如何从网络层以上的报文内容中获取与硬件相关的特征作为设备指纹是本文的要解决的难点。针对该难点,本文从三个方面展开工作:特征提取、设备识别和异常检测。本文的主要工作和创新点如下:（1）在特征提取方面,针对相似设备流量特征难以区分的问题,本文提出一种基于主动指纹和被动指纹相结合的设备类型识别方法。在主动指纹提取方面,本文将被测设备抽象为一线性时不变信号响应系统,将探询帧及应答帧视为激励信号和响应信号,提出一种基于响应信号时域信息的设备硬件指纹提取方法,以提高相似设备的识别率。进一步,针对在大跨度时间范围下设备行为模式漂移导致识别准确率降低的问题,提出一种基于信息熵特征偏移的特征选择算法,选择出时间跨度不敏感的特征集合,以提高识别模型的鲁棒性。经实验表明,分类模型对于相似设备的识别率由83%提升至90.9%,稳定性也提高了将近60%。（2）在分类识别方面,针对添加新设备需要重新训练分类模型导致计算量增大的问题,本文提出一种基于局部敏感哈希优化的聚类模块化分类模型,该模型可单独为每类物联网设备的属性进行聚类学习,从而保证各分类模型相互独立,在类型发生变更时无需对所有样本数据进行重新学习。本文所提算法基于k-prototypes聚类算法,在簇心初始化阶段使用局部敏感算法将相似数据聚类到同一集群,解决了因为随机选择初始簇心而造成聚类结果不稳定的问题;利用局部敏感哈希保证初始化集群之间的差异性,在集群更新迭代阶段采用局部搜索策略搜索最近邻域内集群的簇心,实现数据对象的重新分配达到提高算法的迭代更新速度的目的。经实验表明,经过局部敏感哈希优化的聚类模块化分类模型,聚类速度提高26.7%,设备识别平均准确率达到94.14%。（3）在异常监测方面,针对现有异常监测方法无法有效区分偶发事件异常和网络攻击异常的问题,本文提出一种基于分类结果一致性判别的物联网设备行为异常检测方法。为了实现长时间跨度下对设备的持续行为监测,提出一种面向设备分类识别结果的一致性得分指标。在该指标中会根据设备分类模型输出结果动态调节,从而达到对设备行为异常的动态监控。经实验表明,该指标能够有效区分出偶发性异常和网络攻击异常。