本发明专利技术涉及一种网络环境下被动式多维度主机指纹模型构建方法及其装置,该方法包含:对网络数据流量进行初步筛选和过滤;通过不同类型插件提取多维度主机特征信息,其中,不同类型插件对应识别特征库中相应的识别特征;基于MAP‑SCORE算法评估每个特征信息对应不同主机的关联度,构建用于主机识别的多维度主机指纹库。本发明专利技术方法简单,易操作,有效解决现有技术中由于获取特征不全而导致主机识别率低的问题,能准确高效地发现主机特征信息,为全面了解主机、准确识别主机提供了技术基础,具有实际的应用价值。
【技术实现步骤摘要】
网络环境下被动式多维度主机指纹模型构建方法及其装置
本专利技术属于网络安全
,特别涉及一种网络环境下被动式多维度主机指纹模型构建方法及其装置。
技术介绍
随着互联网的飞速发展,人们的社会活动越来越倾向于网络化,网络成为了传播、存储和交互各种信息的新平台。根据中国互联网络信息中心(CNNIC)在2016年公布的中国互联网络发展状况统计报告显示,截止2016年6月,我国网民规模达到7.10亿,上半年新增网民2132万人,增长率达到51.7%,与2015年底相比提高1.3个百分点,超过全球平均水平3.1个百分点。互联网的普及给人们的生活带来了极大的方便,也在很大程度上改变了人们的生活方式。然而随之而来的大量安全隐患也开始不断出现。2015年3月,苹果在线商店服务中断长达11个小时,市值蒸发130亿美元;2016年7月,Twitter被黑客攻击,超过3200万Twitter用户的登录信息遭泄露;2016年上半年,一名俄国黑客盗取了2.723亿邮箱信息,其中包括4000万个雅虎邮箱、3300万微软邮箱以及2400万个谷歌邮箱。因此,主机识别成为了当前研究的一个热门问题。主机识别对于计算机网络犯罪取证、抵御匿名攻击等具有重要意义。网络攻击者和窃密者往往会实施网络伪装以逃避追查,由于数据报报头在网络中传输时的透明性,上网主机可以修改自身的网络标识,因此依赖IP地址、MAC地址等手段已不能确切标识网络主机。传统的方法大多是通过获取主机硬件指纹和主机软件环境指纹对主机进行识别,然而这些方法在工作模式上具有较大的局限性,容易受到网络过滤设备、网络拓扑结构等因素的影响,导致获取特征信息不足,在探测准确度上存在一定的问题。因此,需要对主机多个维度特征进行提取、融合,构建多个维度主机指纹库,全面描述主机,提高主机识别准确率。
技术实现思路
针对现有技术中的不足,本专利技术提供一种网络环境下被动式多维度主机指纹模型构建方法及其装置,有效解决特征获取不足导致识别主机准确率降低和误判问题,对主机多个维度特征进行提取融合,构建多维度主机指纹库,全面描述主机,提高主机识别准确率。按照本专利技术所提供的设计方案,一种网络环境下被动式多维度主机指纹模型构建方法,包含如下内容:对网络数据流量进行初步筛选和过滤;通过不同类型插件提取多维度主机特征信息,其中,不同类型插件对应识别特征库中相应的识别特征;基于MAP-SCORE算法评估每个特征信息对应不同主机的关联度,构建用于主机识别的多维度主机指纹库。上述的,对网络数据流量进行初步筛选和过滤:通过五元组策略对网络原始流量进行初步筛选和过滤,去除噪音,缩小数据量。优选的,在用户态定义插件类型,通过不同类型插件提取多维度主机特征信息,包含如下内容:在用户态定义插件类型,通过识别特征树依次对应用协议进行识别匹配,其中,插件类型至少包含:主机硬件特征解析、主机软件环境特征解析及主机网络行为特征解析,不同类型插件对应相应的主机特征信息的识别特征;识别特征树中:父节点代表解析主机特征信息类型,中间节点代表在对应维度主机特征信息下所包含的应用程序,叶子节点代表解析对应应用协议下主机特征信息所使用的识别特征。上述的,通过识别特征树依次对应用协议进行识别匹配,包含如下内容:通过插件定义的树形结构从根节点依次对应用数据进行匹配,通过叶子节点的识别特征解析主机特征信息。上述的,基于MAP-SCORE算法对多维度的主机特征信息,构建用于主机识别的多维度主机指纹库,包含如下内容:通过MAP方法构建存储特征信息的主机特征矩阵;采用SCORE方法通过主机特征矩阵评估每个特征对应不同主机的关联度,构建用于主机识别的多维度主机指纹库。优选的,所述的主机特征矩阵采用带索引的十字链表进行特征信息存储。优选的,采用带索引的十字链表进行特征信息存储,包含如下内容:定义Index数组,通过BKDR哈希算法对特征信息进行哈希计算,哈希值作为Index数组的下标,对应的值为指向主机特征信息的指针,主机特征信息项存储特征信息出现的总次数且使用双指针分别指向特征信息出现的主机项和下一个主机特征信息项,主机项存储特征信息在主机上出现的次数并指向下一台出现该特征信息的主机,直至网络数据流量数据包处理完成没有新加项。上述的,采用SCORE方法通过主机特征矩阵评估每个特征对应不同主机的关联度,构建用于主机识别的多维度主机指纹库,包含如下内容:假设SA代表主机集合,a是SA中的一台主机,δ(t,a)表示特征t是否在主机a出现过,出现为1,未出现则为0,∑a∈SAδ(t,a)表示特征t在主机a下出现过的次数,特征t对应主机x的SCORE值表示为:,对主机特征矩阵中每一条特征ti分别计算对应不同主机x的SCORE值,当SCORE(ti,x)>μ时,则认为特征x是主机的指纹,完成多维度主机指纹库的构建,其中,μ为预先设定阈值。一种网络环境下被动式多维度主机指纹模型构建装置,包含:网络流量截取筛选模型,用于通过五元组策略对网络原始流量进行初步筛选和过滤主机特征信息识别提取模块,用通过不同类型插件提取多维度的主机特征信息,插件类型至少包含:主机硬件特征解析、主机软件环境特征解析及主机网络行为特征解析,不同类型插件对应相应的主机特征信息的识别特征;主机指纹库构建模块,基于MAP-SCORE算法构建用于主机识别的多维度主机指纹库。上述的装置,所述的主机指纹库构建模块包含:主机特征矩阵构建单元,用于通过MAP方法构建存储特征信息的主机特征矩阵;关联度评估单元,采用SCORE方法通过主机特征矩阵评估每个特征对应不同主机的关联度,构建用于主机识别的多维度主机指纹库。本专利技术的有益效果:1、本专利技术方法简单,易操作实现,采用五元组策略对高速混杂的网络原始流量进行初步筛选和过滤,去除噪音,缩小数据流量,为了防止硬件截取速度过快导致主机特征识别解析模块无法同步处理导致丢包的情形,通过采用零拷贝技术减少数据拷贝次数和系统调用,将网卡数据直接送达上层应用,实现CPU的零参与,减少CPU负担,提高数据的处理能力;为了高效、准确地提取主机特征信息在用户态定义了插件,从而保证不同类型的网络数据流量可以统一定义、并发处理,可以定制插件功能,定期更新维护插件,监控插件运行状态,防止出现空转或者崩溃,当单个节点无法满足数据处理需求时,可以进行分布式部署,对原始数据流量进行分流,统一调配调度插件;插件解析的内容可以通过配置文件进行灵活配置,对于同维度主机特征信息的解析需求只需要增加识别特征即可,对于增加识别特征不能满足需求的,则可以通过新增插件实现,便于维护和管理,只需定期对识别特征库进行更新,即可保证主机特征信息提取的准确性,且支持分布式多点部署。2、本专利技术中因主机特征信息具有多样性,对于一台主机来说,由于安装软件环境和网络行为的不同均会导致出现不同格式重复的特征信息,而由于应用协议的规定不同的主机下也会出现大量相同的标识性较弱的特征信息,这都给主机指纹的选择增加了难度,本专利技术通过基于MAP-SCORE算法对不同维度主机特征信息进行,最终完成主机指纹库的构建。方法简单,易操作,能准确高效地发现主机特征信息,为全面了解主机、准确识别主机提供了技术基础,具有实际的应用价值。附图说明:图1为本专利技术的本文档来自技高网...
【技术保护点】
一种网络环境下被动式多维度主机指纹模型构建方法,其特征在于,包含如下内容:对网络数据流量进行初步筛选和过滤;通过不同类型插件提取多维度主机特征信息,其中,不同类型插件对应识别特征库中相应的识别特征;基于MAP‑SCORE算法评估每个特征信息对应不同主机的关联度,构建用于主机识别的多维度主机指纹库。
【技术特征摘要】
1.一种网络环境下被动式多维度主机指纹模型构建方法,其特征在于,包含如下内容:对网络数据流量进行初步筛选和过滤;通过不同类型插件提取多维度主机特征信息,其中,不同类型插件对应识别特征库中相应的识别特征;基于MAP-SCORE算法评估每个特征信息对应不同主机的关联度,构建用于主机识别的多维度主机指纹库。2.根据权利要求1所述的网络环境下被动式多维度主机指纹模型构建方法,其特征在于,对网络数据流量进行初步筛选和过滤:通过五元组策略对网络原始流量进行初步筛选和过滤,去除噪音,缩小数据量。3.根据权利要求2所述的网络环境下被动式多维度主机指纹模型构建方法,其特征在于,通过不同类型插件提取多维度主机特征信息,包含如下内容:在用户态定义插件类型,通过识别特征树依次对应用协议进行识别匹配,其中,插件类型至少包含:主机硬件特征解析、主机软件环境特征解析及主机网络行为特征解析,不同类型插件对应相应的主机特征信息的识别特征;识别特征树中:父节点代表解析主机特征信息类型,中间节点代表在对应维度主机特征信息下所包含的应用程序,叶子节点代表解析对应应用协议下主机特征信息所使用的识别特征。4.根据权利要求3所述的网络环境下被动式多维度主机指纹模型构建方法,其特征在于,通过识别特征树依次对应用协议进行识别匹配,包含如下内容:通过插件定义的树形结构从根节点依次对应用数据进行匹配,通过叶子节点的识别特征解析主机特征信息。5.根据权利要求1所述的网络环境下被动式多维度主机指纹模型构建方法,其特征在于,基于MAP-SCORE算法对不同维度的主机特征信息进行评估,构建用于主机识别的多维度主机指纹库,包含如下内容:通过MAP方法构建存储特征信息的主机特征矩阵;采用SCORE方法通过评估主机特征矩阵中每个特征对应不同主机的关联度,构建用于主机识别的多维度主机指纹库。6.根据权利要求5所述的网络环境下被动式多维度主机指纹模型构建方法,其特征在于,所述的主机特征矩阵采用带索引的十字链表进行特征信息存储。7.根据权利要求6所述的网络环境下被动式多维度主机指纹模型构建...
【专利技术属性】
技术研发人员:张凯翔,刘琰,常斌,罗向阳,吴旭程,王鑫,陈宏伟,何尔一,
申请(专利权)人:中国人民解放军信息工程大学,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。