本發(fā)明涉及數(shù)字信息的傳輸，尤其涉及基于協(xié)議棧指紋的主機資產(chǎn)測繪方法。

背景技術(shù)：

1、在網(wǎng)絡(luò)安全攻防領(lǐng)域，主機資產(chǎn)承載著關(guān)鍵業(yè)務(wù)功能，如用戶數(shù)據(jù)庫、機密文件和生產(chǎn)數(shù)據(jù)，而主機操作系統(tǒng)的固有內(nèi)核漏洞是其失陷的重要因素。為提前阻斷潛在漏洞風險，主機資產(chǎn)操作系統(tǒng)指紋識別變得至關(guān)重要。然而，在目標網(wǎng)絡(luò)中存在大量主機資產(chǎn)且安全防護完備的環(huán)境下，基于單一協(xié)議探針數(shù)據(jù)包的主機資產(chǎn)測繪面臨顯著挑戰(zhàn)。

2、目前，基于主動探測的主機資產(chǎn)指紋識別主要依賴網(wǎng)絡(luò)掃描器的響應(yīng)協(xié)議棧指紋規(guī)則庫，通過匹配協(xié)議棧響應(yīng)數(shù)據(jù)包頭中的標識符實現(xiàn)。然而，目標網(wǎng)絡(luò)安全防護設(shè)備的存在使得高效發(fā)現(xiàn)存活主機而非全網(wǎng)段探測成為關(guān)鍵，同時大量探測發(fā)包可能影響網(wǎng)絡(luò)服務(wù)，導致高昂成本。相比于應(yīng)用層http協(xié)議響應(yīng)報文特征，傳輸層底層協(xié)議響應(yīng)數(shù)據(jù)包特征標識理解困難，且現(xiàn)有協(xié)議棧指紋規(guī)則庫存在更新不及時、維護成本高、泛化能力不足等問題，難以應(yīng)對操作系統(tǒng)版本的快速迭代。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于提供基于協(xié)議棧指紋的主機資產(chǎn)測繪方法，旨在解決主機資產(chǎn)測繪過程中單一協(xié)議探測的主機存活發(fā)現(xiàn)覆蓋面不全、基于響應(yīng)報文特征的規(guī)則匹配在主機資產(chǎn)操作系統(tǒng)指紋識別上泛化能力不足的問題。

2、為實現(xiàn)上述目的，本發(fā)明提供了基于協(xié)議棧指紋的主機資產(chǎn)測繪方法，包括以下步驟；

3、參考開放式系統(tǒng)互連七層網(wǎng)絡(luò)模型分層協(xié)議，設(shè)計組合多協(xié)議數(shù)據(jù)包的主機發(fā)現(xiàn)算法；

4、基于網(wǎng)絡(luò)映射器傳輸控協(xié)議棧指紋規(guī)則庫，進行特征分析和數(shù)據(jù)預處理，構(gòu)建主機資產(chǎn)操作系統(tǒng)的協(xié)議棧指紋數(shù)據(jù)集；

5、基于隨機森林算法構(gòu)建主機資產(chǎn)操作系統(tǒng)指紋識別分類模型。

6、其中，所述多協(xié)議數(shù)據(jù)包包含網(wǎng)絡(luò)層中的網(wǎng)際控制報文協(xié)議、傳輸層的傳輸控制協(xié)議與用戶數(shù)據(jù)報協(xié)議、應(yīng)用層的超文本傳輸協(xié)議/超文本傳輸安全協(xié)議、安全外殼協(xié)議以及文件傳輸協(xié)議。

7、其中，網(wǎng)際控制報文協(xié)議能夠直接依據(jù)主機的互聯(lián)網(wǎng)協(xié)議地址進行探測通信，選擇使用網(wǎng)際控制報文協(xié)議的原始載荷來發(fā)送探測數(shù)據(jù)包，在傳輸層協(xié)議和應(yīng)用層協(xié)議方面，分別選取各協(xié)議對應(yīng)的常用端口作為對目標主機進行探測時發(fā)送數(shù)據(jù)包的端口。

8、其中，所述指紋規(guī)則庫為捕獲指紋規(guī)則樣本記錄在特征集間的組合差異，通過笛卡爾積組合窮舉的方式，提取指紋規(guī)則記錄在特征集取值范圍組合的完整特征空間，并采用獨熱編碼將多分類標簽轉(zhuǎn)換為二進制矩陣，并對數(shù)值類型特征進行編碼處理。

9、其中，所述指紋識別分類模型初始由100棵決策樹構(gòu)成，在決策深度上不作限制，捕捉編碼數(shù)據(jù)集中的復雜傳輸層的傳輸控制協(xié)議棧指紋特征模式。

10、本發(fā)明的基于協(xié)議棧指紋的主機資產(chǎn)測繪方法，參考開放式系統(tǒng)互連七層網(wǎng)絡(luò)模型分層協(xié)議，設(shè)計組合多協(xié)議數(shù)據(jù)包的主機發(fā)現(xiàn)算法；基于網(wǎng)絡(luò)映射器傳輸控協(xié)議棧指紋規(guī)則庫，進行特征分析和數(shù)據(jù)預處理，構(gòu)建主機資產(chǎn)操作系統(tǒng)的協(xié)議棧指紋數(shù)據(jù)集；基于隨機森林算法構(gòu)建主機資產(chǎn)操作系統(tǒng)指紋識別分類模型，該方法通過組合多協(xié)議數(shù)據(jù)包的主機發(fā)現(xiàn)算法，顯著提高了存活主機發(fā)現(xiàn)的覆蓋率；基于nmap?tcp協(xié)議棧指紋規(guī)則庫，進行特征分析和數(shù)據(jù)預處理，構(gòu)建了主機資產(chǎn)操作系統(tǒng)tcp協(xié)議棧指紋數(shù)據(jù)集；并采用隨機森林算法構(gòu)建指紋識別分類模型，有效克服了傳統(tǒng)基于規(guī)則匹配方法的局限性。該方法在粗粒度操作系統(tǒng)指紋識別任務(wù)中準確率達97%，在細粒度操作系統(tǒng)指紋識別任務(wù)中加權(quán)f1值達0.87，不僅提升了主機資產(chǎn)測繪的技術(shù)水平，還為網(wǎng)絡(luò)資產(chǎn)安全評估提供了一種更加全面和精準的技術(shù)路徑，解決了主機資產(chǎn)測繪過程中單一協(xié)議探測的主機存活發(fā)現(xiàn)覆蓋面不全、基于響應(yīng)報文特征的規(guī)則匹配在主機資產(chǎn)操作系統(tǒng)指紋識別上泛化能力不足的問題。

技術(shù)特征：

1.基于協(xié)議棧指紋的主機資產(chǎn)測繪方法，其特征在于，包括以下步驟；

2.如權(quán)利要求1所述的基于協(xié)議棧指紋的主機資產(chǎn)測繪方法，其特征在于；

3.如權(quán)利要求2所述的基于協(xié)議棧指紋的主機資產(chǎn)測繪方法，其特征在于；

4.如權(quán)利要求1所述的基于協(xié)議棧指紋的主機資產(chǎn)測繪方法，其特征在于；

5.如權(quán)利要求1所述的基于協(xié)議棧指紋的主機資產(chǎn)測繪方法，其特征在于；

技術(shù)總結(jié)
本發(fā)明涉及數(shù)字信息的傳輸技術(shù)領(lǐng)域，具體涉及基于協(xié)議棧指紋的主機資產(chǎn)測繪方法，包括參考開放式系統(tǒng)互連七層網(wǎng)絡(luò)模型分層協(xié)議，設(shè)計組合多協(xié)議數(shù)據(jù)包的主機發(fā)現(xiàn)算法；基于網(wǎng)絡(luò)映射器傳輸控制協(xié)議的協(xié)議棧指紋規(guī)則庫，進行特征分析和數(shù)據(jù)預處理，構(gòu)建主機資產(chǎn)操作系統(tǒng)的協(xié)議棧指紋數(shù)據(jù)集；基于隨機森林算法構(gòu)建主機資產(chǎn)操作系統(tǒng)指紋識別分類模型，該方法顯著提高了存活主機發(fā)現(xiàn)的覆蓋率，有效克服了傳統(tǒng)基于規(guī)則匹配方法的局限性。該方法在粗粒度操作系統(tǒng)指紋識別任務(wù)中準確率達97%，在細粒度操作系統(tǒng)指紋識別任務(wù)中加權(quán)F1值達0.87，不僅提升了主機資產(chǎn)測繪的技術(shù)水平，還為網(wǎng)絡(luò)資產(chǎn)安全評估提供了一種更加全面和精準的技術(shù)路徑。

技術(shù)研發(fā)人員：王歡,黃海軍,韓風明,劉寶臣,賓月景,彭勇,楊軍源,何劍,王喆,胡鵬,孫靜,林川,秦桂明,劉青正
受保護的技術(shù)使用者：廣州錦行網(wǎng)絡(luò)科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/5/29