[发明专利]基于聚类的网络实体指纹识别及网络漏洞态势感知方法

说明书

本发明属于网络空间测绘领域，具体涉及基于聚类的网络实体指纹识别及网络漏洞态势感知方法，包括，首先提出一种基于聚类的新型网络应用指纹识别方法，构建已知网络节应用类型点信息库，通过聚类算法高效实现对采集的网络资产的分类和标签化处理，在此基础上通过自动化更新聚类特征的方法，实现了网络新实体、新应用的发现；最后，提出基于知识图谱的网络漏洞验证方法，构建基于网络实体信息库、漏洞信息库和漏洞验证知识原子单元，设计并实现漏洞验证路径生成算法，对采集的网络资产进行漏洞验证，实现基于知识图谱的漏洞自动化验证，最后，形成了一款可以高并发、多协议、快速、易于维护的网络空间资产探测系统。

技术领域

本发明属于网络空间测绘领域，更具体地，涉及基于聚类的网络实体指纹识别及网络漏洞态势感知方法。

背景技术

网络空间测绘通过对互联网中开放服务的网络实体节点进行主动或被动的探测，对探测结果进行存储和分析整理，从而实现对网络空间资产的快速检索，能够帮助相关研究人员或者企业快速实行网络资产匹配(包括协议，服务，版本甚至设备类型)、应用分布统计等工作，并对其中的关键信息基础设施进行管理。另一方面，当特定版本的网络服务上存在漏洞时，通过网络空间测绘技术,可以快速进行威胁态势感知，统计漏洞影响范围，并及时对存在漏洞的应用和服务进行补丁修补。

然而，网络空间测绘技术目前在具体实现上还存在一些较为致命的缺陷：首先是效率问题，目前的网络空间测绘系统基本上都需要部署大量探针节点进行大规模扫描分析任务来完成全网测绘，这需要花费巨额的运营以及维护成本；其次是扫描和分析的流量时常会被防火墙等防护措施误认为恶意攻击流量，从而导致扫描探测失败；再次是网络空间测绘系统在全网漏洞识别和验证上存在难度，且准确度一般不是很高，需要进一步的人工验证，效率低下且验证准确度不高；最后网络中出现的新类型实体难以及时发现，其类型和服务难以准确识别，导致空间测绘对网络新类型节点探测识别效率低下。因为这些缺陷的存在，让快速准确的网络实体指纹识别受到了一些限制。

发明内容

针对现有技术的缺陷和改进需求，本发明提供了基于聚类的网络实体指纹识别及网络漏洞态势感知方法，其目的在于提高网络实体指纹识别的效率。

为实现上述目的，按照本发明的一个方面，提供了一种基于聚类的网络实体指纹识别方法，包括：

对待测网络实体进行探测并解析，获取其响应信息并存储；

当已探测的待测网络实体数目达到预设数目时，将已知指纹标签类簇的网络实体响应信息样本库和所述存储的待测网络实体响应信息进行密度聚类，对落到已知指纹标签类簇的待测网络实体打指纹标签，实现指纹识别，其中，指纹包括应用类型信息，所述样本库采用以下方式预先构建：

对目标网络实体进行所述探测并解析，获得目标网络实体的响应信息；

根据指纹规则库，对目标网络实体的响应信息进行基于规则匹配的指纹识别，并对目标网络实体打上指纹标签；当已知指纹标签的目标网络实体达到预设数目时，对打好指纹标签的目标网络实体响应信息进行密度聚类，生成已知指纹标签类簇的网络实体响应信息样本库。

进一步，所述指纹还包括应用版本信息。

进一步，在将已知指纹标签类簇的网络实体响应信息样本库和所述存储的待测网络实体响应信息进行密度聚类时，方法还包括：

若形成新的没有指纹标签的类簇，则将该类簇存入无标签网络实体库，当所述无标签网络实体库中的网络实体数目达到预设数目时，将所述无标签网络实体库中的所有网络实体响应信息进行密度聚类，并通过查阅网络实体指纹信息的方式，获取各新实体的指纹，并对各类簇打上指纹标签，将各类簇更新到已知指纹标签类簇的网络实体响应信息样本库。

进一步，所述探测的实现方式为：