本发明专利技术属于网络空间测绘领域,具体涉及基于聚类的网络实体指纹识别及网络漏洞态势感知方法,包括,首先提出一种基于聚类的新型网络应用指纹识别方法,构建已知网络节应用类型点信息库,通过聚类算法高效实现对采集的网络资产的分类和标签化处理,在此基础上通过自动化更新聚类特征的方法,实现了网络新实体、新应用的发现;最后,提出基于知识图谱的网络漏洞验证方法,构建基于网络实体信息库、漏洞信息库和漏洞验证知识原子单元,设计并实现漏洞验证路径生成算法,对采集的网络资产进行漏洞验证,实现基于知识图谱的漏洞自动化验证,最后,形成了一款可以高并发、多协议、快速、易于维护的网络空间资产探测系统。维护的网络空间资产探测系统。维护的网络空间资产探测系统。
【技术实现步骤摘要】
基于聚类的网络实体指纹识别及网络漏洞态势感知方法
[0001]本专利技术属于网络空间测绘领域,更具体地,涉及基于聚类的网络实体指纹识别及网络漏洞态势感知方法。
技术介绍
[0002]网络空间测绘通过对互联网中开放服务的网络实体节点进行主动或被动的探测,对探测结果进行存储和分析整理,从而实现对网络空间资产的快速检索,能够帮助相关研究人员或者企业快速实行网络资产匹配(包括协议,服务,版本甚至设备类型)、应用分布统计等工作,并对其中的关键信息基础设施进行管理。另一方面,当特定版本的网络服务上存在漏洞时,通过网络空间测绘技术,可以快速进行威胁态势感知,统计漏洞影响范围,并及时对存在漏洞的应用和服务进行补丁修补。
[0003]然而,网络空间测绘技术目前在具体实现上还存在一些较为致命的缺陷:首先是效率问题,目前的网络空间测绘系统基本上都需要部署大量探针节点进行大规模扫描分析任务来完成全网测绘,这需要花费巨额的运营以及维护成本;其次是扫描和分析的流量时常会被防火墙等防护措施误认为恶意攻击流量,从而导致扫描探测失败;再次是网络空间测绘系统在全网漏洞识别和验证上存在难度,且准确度一般不是很高,需要进一步的人工验证,效率低下且验证准确度不高;最后网络中出现的新类型实体难以及时发现,其类型和服务难以准确识别,导致空间测绘对网络新类型节点探测识别效率低下。因为这些缺陷的存在,让快速准确的网络实体指纹识别受到了一些限制。
技术实现思路
[0004]针对现有技术的缺陷和改进需求,本专利技术提供了基于聚类的网络实体指纹识别及网络漏洞态势感知方法,其目的在于提高网络实体指纹识别的效率。
[0005]为实现上述目的,按照本专利技术的一个方面,提供了一种基于聚类的网络实体指纹识别方法,包括:
[0006]对待测网络实体进行探测并解析,获取其响应信息并存储;
[0007]当已探测的待测网络实体数目达到预设数目时,将已知指纹标签类簇的网络实体响应信息样本库和所述存储的待测网络实体响应信息进行密度聚类,对落到已知指纹标签类簇的待测网络实体打指纹标签,实现指纹识别,其中,指纹包括应用类型信息,所述样本库采用以下方式预先构建:
[0008]对目标网络实体进行所述探测并解析,获得目标网络实体的响应信息;
[0009]根据指纹规则库,对目标网络实体的响应信息进行基于规则匹配的指纹识别,并对目标网络实体打上指纹标签;当已知指纹标签的目标网络实体达到预设数目时,对打好指纹标签的目标网络实体响应信息进行密度聚类,生成已知指纹标签类簇的网络实体响应信息样本库。
[0010]进一步,所述指纹还包括应用版本信息。
[0011]进一步,在将已知指纹标签类簇的网络实体响应信息样本库和所述存储的待测网络实体响应信息进行密度聚类时,方法还包括:
[0012]若形成新的没有指纹标签的类簇,则将该类簇存入无标签网络实体库,当所述无标签网络实体库中的网络实体数目达到预设数目时,将所述无标签网络实体库中的所有网络实体响应信息进行密度聚类,并通过查阅网络实体指纹信息的方式,获取各新实体的指纹,并对各类簇打上指纹标签,将各类簇更新到已知指纹标签类簇的网络实体响应信息样本库。
[0013]进一步,所述探测的实现方式为:
[0014]对单个IP地址或IP范围的网络实体,分别以多种协议规定发送探测数据包,并将探测流量分发到各网络实体上进行同步信息探测,探测得到各网络实体的响应结果并解析得到各网络实体的响应信息。
[0015]进一步,所述多种协议包括HTTP、HTTPS、FTP和SSH。
[0016]本专利技术还提供一种网络空间测绘系统,包括:
[0017]探测解析模块,用于执行如上所述的一种基于聚类的网络实体指纹识别方法中的探测及解析操作;
[0018]基于聚类的第一指纹识别模块,用于执行如上所述的一种基于聚类的网络实体指纹识别方法中的对待测网络实体进行指纹识别操作;
[0019]基于指纹规则库的第二指纹识别模块,用于执行如上所述的一种基于聚类的网络实体指纹识别方法中已知指纹标签类簇的网络实体响应信息样本库的构建操作。
[0020]本专利技术还提供一种网络漏洞态势感知方法,包括:
[0021]采用如上所述的一种基于聚类的网络实体指纹识别方法,对各待感知网络实体进行指纹识别;
[0022]结合漏洞库以及各待感知网络实体探测结果,构建攻击语义路径,基于所述攻击语义路径,自动对各待感知网络实体进行漏洞验证。
[0023]进一步,所述攻击语义路径的构建方式为:
[0024]根据每个待感知网络节点的指纹信息,结合漏洞库,得到适用于该待感知网络节点的漏洞编号;
[0025]从待感知网络节点的响应信息及其漏洞编号中提取网络实体,从漏洞库中提取漏洞实体,并构建漏洞攻击关系以关联网络实体和漏洞实体,其中,所述网络实体包括所述漏洞编号;
[0026]对提取出的网络实体、漏洞实体以及攻击关系,通过实体属性间漏洞编号的关联,构建出{网络实体
‑‑
use
‑‑
漏洞
‑‑
attack
‑‑
网络实体}的攻击语义路径;
[0027]对攻击语义路径中的网络实体点、漏洞实体元素和use、attack行为元素进行符号化语言表征,形成网络实体、漏洞实体、use、attack行为元素的数据描述结构;
[0028]基于所述数据描述结构,选择漏洞实体中的漏洞利用工具,对网络实体发起漏洞验证攻击,实现网络实体漏洞的自动化验证。
[0029]本专利技术还提供一种网络空间测绘系统,通过在如上所述的网络空间测绘系统上配置网络实体漏洞验证模块得到;
[0030]其中,所述网络实体漏洞验证模块用于执行如上所述的一种网络漏洞态势感知方
法。
[0031]本专利技术还提供一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序被处理器运行时控制所述存储介质所在设备执行如上所述的一种基于聚类的网络实体指纹识别方法和/或如上所述的一种网络漏洞态势感知方法。
[0032]总体而言,通过本专利技术所构思的以上技术方案,能够取得以下有益效果:
[0033](1)本专利技术方法预先根据指纹规则库构建一个网络实体响应信息样本库并对其进行密度聚类,得到已知指纹标签类簇的网络实体响应信息样本库,采用该样本库与待指纹识别的网络实体响应信息再次进行密度聚类,以批量将网络实体进行指纹识别,速度快。
[0034](2)当某些不能归为已有的类簇时且达到预设数量后,可以对这些网络实体独立进行密度聚类,并通过查阅打指纹标签,实现新实体发现,并可以用于对样本库进行更新,提高密度聚类的效率和准确度。
[0035](3)本专利技术提出一种基于知识图谱的自动化漏洞验证方法,通过构建语言攻击路径,并对语义攻击路径中的网络实体点、漏洞实体元素和use、attack行为元素进行符号化语言表征,形成网络本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于聚类的网络实体指纹识别方法,其特征在于,包括:对待测网络实体进行探测并解析,获取其响应信息并存储;当已探测的待测网络实体数目达到预设数目时,将已知指纹标签类簇的网络实体响应信息样本库和所述存储的待测网络实体响应信息进行密度聚类,对落到已知指纹标签类簇的待测网络实体打指纹标签,实现指纹识别,其中,指纹包括应用类型信息,所述样本库采用以下方式预先构建:对目标网络实体进行所述探测并解析,获得目标网络实体的响应信息;根据指纹规则库,对目标网络实体的响应信息进行基于规则匹配的指纹识别,并对目标网络实体打上指纹标签;当已知指纹标签的目标网络实体达到预设数目时,对打好指纹标签的目标网络实体响应信息进行密度聚类,生成已知指纹标签类簇的网络实体响应信息样本库。2.根据权利要求1所述的网络实体指纹识别方法,其特征在于,所述指纹还包括应用版本信息。3.根据权利要求1所述的网络实体指纹识别方法,其特征在于,在将已知指纹标签类簇的网络实体响应信息样本库和所述存储的待测网络实体响应信息进行密度聚类时,方法还包括:若形成新的没有指纹标签的类簇,则将该类簇存入无标签网络实体库,当所述无标签网络实体库中的网络实体数目达到预设数目时,将所述无标签网络实体库中的所有网络实体响应信息进行密度聚类,并通过查阅网络实体指纹信息的方式,获取各新实体的指纹,并对各类簇打上指纹标签,将各类簇更新到已知指纹标签类簇的网络实体响应信息样本库。4.根据权利要求1所述的网络实体指纹识别方法,其特征在于,所述探测的实现方式为:对单个IP地址或IP范围的网络实体,分别以多种协议规定发送探测数据包,并将探测流量分发到各网络实体上进行同步信息探测,探测得到各网络实体的响应结果并解析得到各网络实体的响应信息。5.根据权利要求3所述的网络实体指纹识别方法,其特征在于,所述多种协议包括HTTP、HTTPS、FTP和SSH。6.一种网络空间测绘系统,其特征在于,包括:探测解析模块,用于执行如权利要求1至5任一项所述的一种基于聚类的网络实体指纹识别方法中的探测及解析操作;基于聚类的第一指纹识别模块,用于执行如权利要求1至5任一项所述的一种基于聚类的网络实体指...
【专利技术属性】
技术研发人员:朱东君,贺杰彦,韩兰胜,付才,季启,
申请(专利权)人:华中科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。