[发明专利]基于聚类的网络实体指纹识别及网络漏洞态势感知方法

权利要求书

1.一种基于聚类的网络实体指纹识别方法，其特征在于，包括：

对待测网络实体进行探测并解析，获取其响应信息并存储；

当已探测的待测网络实体数目达到预设数目时，将已知指纹标签类簇的网络实体响应信息样本库和所述存储的待测网络实体响应信息进行密度聚类，对落到已知指纹标签类簇的待测网络实体打指纹标签，实现指纹识别，其中，指纹包括应用类型信息，所述样本库采用以下方式预先构建：

对目标网络实体进行所述探测并解析，获得目标网络实体的响应信息；

根据指纹规则库，对目标网络实体的响应信息进行基于规则匹配的指纹识别，并对目标网络实体打上指纹标签；当已知指纹标签的目标网络实体达到预设数目时，对打好指纹标签的目标网络实体响应信息进行密度聚类，生成已知指纹标签类簇的网络实体响应信息样本库。

2.根据权利要求1所述的网络实体指纹识别方法，其特征在于，所述指纹还包括应用版本信息。

3.根据权利要求1所述的网络实体指纹识别方法，其特征在于，在将已知指纹标签类簇的网络实体响应信息样本库和所述存储的待测网络实体响应信息进行密度聚类时，方法还包括：

若形成新的没有指纹标签的类簇，则将该类簇存入无标签网络实体库，当所述无标签网络实体库中的网络实体数目达到预设数目时，将所述无标签网络实体库中的所有网络实体响应信息进行密度聚类，并通过查阅网络实体指纹信息的方式，获取各新实体的指纹，并对各类簇打上指纹标签，将各类簇更新到已知指纹标签类簇的网络实体响应信息样本库。

4.根据权利要求1所述的网络实体指纹识别方法，其特征在于，所述探测的实现方式为：

对单个IP地址或IP范围的网络实体，分别以多种协议规定发送探测数据包，并将探测流量分发到各网络实体上进行同步信息探测，探测得到各网络实体的响应结果并解析得到各网络实体的响应信息。

5.根据权利要求3所述的网络实体指纹识别方法，其特征在于，所述多种协议包括HTTP、HTTPS、FTP和SSH。

6.一种网络空间测绘系统，其特征在于，包括：

探测解析模块，用于执行如权利要求1至5任一项所述的一种基于聚类的网络实体指纹识别方法中的探测及解析操作；

基于聚类的第一指纹识别模块，用于执行如权利要求1至5任一项所述的一种基于聚类的网络实体指纹识别方法中的对待测网络实体进行指纹识别操作；

基于指纹规则库的第二指纹识别模块，用于执行如权利要求1至5任一项所述的一种基于聚类的网络实体指纹识别方法中已知指纹标签类簇的网络实体响应信息样本库的构建操作。

7.一种网络漏洞态势感知方法，其特征在于，包括：

采用如权利要求1至5任一项所述的一种基于聚类的网络实体指纹识别方法，对各待感知网络实体进行指纹识别；

结合漏洞库以及各待感知网络实体探测结果，构建攻击语义路径，基于所述攻击语义路径，对各待感知网络实体自动进行漏洞验证。

8.根据权利要求7所述的网络漏洞态势感知方法，其特征在于，所述攻击语义路径的构建方式为：

根据每个待感知网络节点的指纹信息，结合漏洞库，得到适用于该待感知网络节点的漏洞编号；

从待感知网络节点的响应信息及其漏洞编号中提取网络实体，从漏洞库中提取漏洞实体，并构建漏洞攻击关系以关联网络实体和漏洞实体，其中，所述网络实体包括所述漏洞编号；

对提取出的网络实体、漏洞实体以及攻击关系，通过实体属性间漏洞编号的关联，构建出{网络实体--use--漏洞--attack--网络实体}的攻击语义路径；

对攻击语义路径中的网络实体点、漏洞实体元素和use、attack行为元素进行符号化语言表征，形成网络实体、漏洞实体、use、attack行为元素的数据描述结构；

基于所述数据描述结构，选择漏洞实体中的漏洞利用工具，对网络实体发起漏洞验证攻击，实现网络实体漏洞的自动化验证。