CN114826671B - 一种基于指纹的分层匹配的网络资产识别方法及装置 - Google Patents

Abstract

本发明提供一种基于指纹的分层匹配的网络资产识别方法及装置，所述方法包括：构建基于web组件的指纹规则库以及基于设备的指纹规则库；若待匹配资产的运行协议为非HTTP协议，根据运行协议识别所述运行设备；若所述待匹配资产中含有不完整信息，输入训练好的机器学习模型，得到识别结果；提取所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息；将从所述待匹配资产中提取出的信息划分为一个或多个集合，再将各个集合分别划分为一个或多个子集合；按照集合分层地进行指纹匹配，识别web组件。根据本发明的方案，在保证网络资产识别精度的同时，大大提高其识别效率。

Description

一种基于指纹的分层匹配的网络资产识别方法及装置

技术领域

本发明涉及网络信息安全领域，尤其涉及一种基于指纹的分层匹配的网络资产识别方法及装置。

背景技术

随着互联网技术的快速发展，网站的搭建变得越来越便利，互联网上的网站数量呈指数增长，同时网络上接入的设备数量及设备种类越来越多。网络空间资产测绘技术是近几年迅猛发展的新技术，主要是通过主动扫描和发送特定数据包的方法，发现网络上的各种网络资产，如网络设备和网站组件等，这是一种互联网环境下针对网络资产的安全扫描检测技术。通过扫描IP地址段探测存活资产，向这些网络资产进一步发送探测数据包，对响应的反馈数据包进行分析，从而获得相应资产的开放端口信息、操作系统信息、开放服务信息等等，通过匹配指纹信息进一步判断网络资产的硬件类型、品牌、版本、开放应用及版本、社会组织属性等等。

由于网络上IP地址空间庞大，网络资产数量更是数之不尽，对网络资产的探测任务尚且繁重复杂，探测后提取指纹及指纹匹配工作更是耗时耗力，现有探测工具无法兼顾效率和准确率的提升。

发明内容

为解决上述技术问题，本发明提出了一种基于指纹的分层匹配的网络资产识别方法及装置，用以解决现有技术中指纹匹配方法匹配效率低下的技术问题。

根据本发明的第一方面，提供一种基于指纹的分层匹配的网络资产识别方法，所述方法包括以下步骤：

步骤S1：基于nmap开源指纹库构建基于web组件的指纹规则库以及基于设备的指纹规则库；所述基于web组件的指纹规则库，包括web组件匹配规则，所述web组件匹配规则包括基于网站响应头信息的指纹匹配规则以及基于HTML源码信息的指纹匹配规则；所述基于网站响应头信息的指纹匹配规则是基于客户端向服务器端发送请求后服务器端返回的响应信息中的字段进行指纹的匹配的模式；所述基于HTML源码信息的指纹匹配规则是对网站的HTML源码信息进行分析，提取用于识别匹配web组件的字段信息进行指纹的匹配的模式；所述基于设备的指纹规则库，包括设备匹配规则，所述设备匹配规则即基于服务标识信息的指纹匹配的模式，所述服务标识信息为Banner信息，Banner信息是服务器软件向请求端反馈的自身软件名称及版本等标志性信息；

步骤S2：获取待匹配资产，所述待匹配资产为通过主动探测、被动探测以及基于搜索引擎的探测方法所探测的网络节点资产；

步骤S3：判断所述待匹配资产的运行协议是否为除了HTTP协议之外的其他协议，如是，则根据运行协议对所述待匹配资产对应的运行设备进行对应连接，获取所述运行设备的Banner信息，基于所述Banner信息，识别所述运行设备，方法结束，如否，进入步骤S4；

步骤S4：判断所述待匹配资产中是否含有不完整信息，导致无法识别所述待匹配资产的种类，如是，则将所述待匹配资产的各字段信息输入训练好的机器学习模型，得到所述待匹配资产在信息缺失情况下的识别结果，方法结束，如否，进入步骤S5；

步骤S5：提取所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息，若提取不到所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息中的某项信息，则该项信息记为不存在；

步骤S6：将从所述待匹配资产中提取出的信息划分为一个或多个集合，再基于集合内部的关键字段信息，将各个集合分别划分为一个或多个子集合；按照集合分层地进行指纹匹配，识别web组件；所述按照集合分层地进行指纹匹配。

优选地，所述步骤S3，包括：

步骤S31：若所述待匹配资产的运行协议为除了HTTP协议之外的其他协议，则根据运行协议对所述待匹配资产对应的运行设备进行对应连接；

步骤S32：确定是否获取到所述运行设备的Banner信息；若无，所述待匹配资产无运行设备，输出所述待匹配资产无运行设备的信息；若有，进入步骤S33；

步骤S33：将所述待匹配资产的Banner信息与所述设备的指纹规则库进行正则匹配；若匹配成功，输出匹配到的运行设备的识别结果；否则，确定所述待匹配资产无运行设备，输出所述待匹配资产无运行设备的信息。

优选地，所述步骤S4包括：从开放端口、对于网络资产进行探测的探测返回包的响应头部中的各字段、HTML内容中提取属性值，构建已知网络资产的训练数据集，得到训练好的网络模型；探测获取未知网络资产的能够获得的信息，并提取其属性值；根据提取的属性值，采用机器学习的方法，即输入训练好的网络模型，判定所述未知网络资产的类别；结合人工经验分析，给出分类识别结果。

优选地，所述步骤S6，包括：

步骤S61：从HTTP响应头信息中提取Server字段、Set-Cookie字段、X-Powered-By字段信息，从HTML源码信息中提取Meta标签以及Powered by字段信息，从Banner信息中提取Server字段、WWW-Authenticate字段信息；若某项信息不存在，则其对应的字段均标记为不存在；若某项信息存在，而其对应的某项字段不存在，则将该项字段标记为不存在；

步骤S62：将HTTP响应头信息作为HTTP响应头信息集合，将HTML源码信息作为HTML源码信息集合，将Banner信息作为Banner信息集合；将所述HTML源码信息集合划分为Server字段信息子集合、Set-Cookie字段信息子集合以及X-Powered-By字段信息子集合；将所述HTML源码信息集合划分为Meta标签信息子集合、Powered by字段子集合以及HTML文本内容子集合；将所述Banner信息集合划分为Server字段信息子集合、WWW-Authenticate字段信息子集合以及Banner文本内容子集合；若某项信息不存在，则其对应的集合、子集合均标记为不存在；若某项信息存在，而其对应的某项字段不存在，则将该项字段对应的子集标记为不存在；

步骤S63：若所述待匹配资产存在对应的HTTP响应头信息集合，则依次确定是否存在Server字段信息子集合、Set-Cookie字段信息子集合以及X-Powered-By字段信息子集合；对于存在的子集合，基于该存在的子集合对应的字段信息与指纹库中的指纹规则进行匹配；

步骤S64：若所述待匹配资产存在对应的Banner信息集合，则依次确定是否存在Server字段信息子集合、WWW-Authenticate字段信息子集合；对于存在的子集合，基于该存在的子集合对应的字段信息与指纹库中的指纹规则进行匹配；

步骤S65：将匹配结果经过去重、去包含处理，输出最终组件识别结果集。

根据本发明第二方面，提供一种基于指纹的分层匹配的网络资产识别装置，所述装置包括：

指纹规则库构建模块：配置为基于nmap开源指纹库构建基于web组件的指纹规则库以及基于设备的指纹规则库；所述基于web组件的指纹规则库，包括web组件匹配规则，所述web组件匹配规则包括基于网站响应头信息的指纹匹配规则以及基于HTML源码信息的指纹匹配规则；所述基于网站响应头信息的指纹匹配规则是基于客户端向服务器端发送请求后服务器端返回的响应信息中的字段进行指纹的匹配的模式；所述基于HTML源码信息的指纹匹配规则是对网站的HTML源码信息进行分析，提取用于识别匹配web组件的字段信息进行指纹的匹配的模式；所述基于设备的指纹规则库，包括设备匹配规则，所述设备匹配规则即基于服务标识信息的指纹匹配的模式，所述服务标识信息为Banner信息，Banner信息是服务器软件向请求端反馈的自身软件名称及版本等标志性信息；

待匹配资产获取模块：配置为获取待匹配资产，所述待匹配资产为通过主动探测、被动探测以及基于搜索引擎的探测方法所探测的网络节点资产；

第一识别模块：配置为判断所述待匹配资产的运行协议是否为除了HTTP协议之外的其他协议，如是，则根据运行协议对所述待匹配资产对应的运行设备进行对应连接，获取所述运行设备的Banner信息，基于所述Banner信息，识别所述运行设备；如否，触发所述第二识别模块；

第二识别模块：配置为判断所述待匹配资产中是否含有不完整信息，导致无法识别所述待匹配资产的种类，如是，则将所述待匹配资产的各字段信息输入训练好的机器学习模型，得到所述待匹配资产在信息缺失情况下的识别结果；如否，触发所述第三识别模块；；

第三识别模块：配置为提取所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息，若提取不到所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息中的某项信息，则该项信息记为不存在；

匹配模块：配置为将从所述待匹配资产中提取出的信息划分为一个或多个集合，再基于集合内部的关键字段信息，将各个集合分别划分为一个或多个子集合；按照集合分层地进行指纹匹配，识别web组件；所述按照集合分层地进行指纹匹配。

优选地，所述第一识别模块，包括：

连接子模块：配置为若所述待匹配资产的运行协议为除了HTTP协议之外的其他协议，则根据运行协议对所述待匹配资产对应的运行设备进行对应连接；

第一判断子模块：配置为确定是否获取到所述运行设备的Banner信息；若无，所述待匹配资产无运行设备，输出所述待匹配资产无运行设备的信息；

第一匹配子模块：配置为将所述待匹配资产的Banner信息与所述设备的指纹规则库进行正则匹配；若匹配成功，输出匹配到的运行设备的识别结果；否则，确定所述待匹配资产无运行设备，输出所述待匹配资产无运行设备的信息。

优选地，所述第二识别模块包括：从开放端口、对于网络资产进行探测的探测返回包的响应头部中的各字段、HTML内容中提取属性值，构建已知网络资产的训练数据集，得到训练好的网络模型；探测获取未知网络资产的能够获得的信息，并提取其属性值；根据提取的属性值，采用机器学习的方法，即输入训练好的网络模型，判定所述未知网络资产的类别；结合人工经验分析，给出分类识别结果。

优选地，所述第三识别模块，包括：

第二判断子模块：配置为从HTTP响应头信息中提取Server字段、Set-Cookie字段、X-Powered-By字段信息，从HTML源码信息中提取Meta标签以及Powered by字段信息，从Banner信息中提取Server字段、WWW-Authenticate字段信息；若某项信息不存在，则其对应的字段均标记为不存在；若某项信息存在，而其对应的某项字段不存在，则将该项字段标记为不存在；

第三判断子模块：配置为将HTTP响应头信息作为HTTP响应头信息集合，将HTML源码信息作为HTML源码信息集合，将Banner信息作为Banner信息集合；将所述HTML源码信息集合划分为Server字段信息子集合、Set-Cookie字段信息子集合以及X-Powered-By字段信息子集合；将所述HTML源码信息集合划分为Meta标签信息子集合、Powered by字段子集合以及HTML文本内容子集合；将所述Banner信息集合划分为Server字段信息子集合、WWW-Authenticate字段信息子集合以及Banner文本内容子集合；若某项信息不存在，则其对应的集合、子集合均标记为不存在；若某项信息存在，而其对应的某项字段不存在，则将该项字段对应的子集标记为不存在；

第四判断子模块：配置为若所述待匹配资产存在对应的HTTP响应头信息集合，则依次确定是否存在Server字段信息子集合、Set-Cookie字段信息子集合以及X-Powered-By字段信息子集合；对于存在的子集合，基于该存在的子集合对应的字段信息与指纹库中的指纹规则进行匹配；

第五判断子模块：配置为若所述待匹配资产存在对应的Banner信息集合，则依次确定是否存在Server字段信息子集合、WWW-Authenticate字段信息子集合；对于存在的子集合，基于该存在的子集合对应的字段信息与指纹库中的指纹规则进行匹配；

结果输出子模块：配置为将匹配结果经过去重、去包含处理，输出最终组件识别结果集。

根据本发明第三方面，提供一种基于指纹的分层匹配的网络资产识别系统，包括：

处理器，用于执行多条指令；

存储器，用于存储多条指令；

其中，所述多条指令，用于由所述存储器存储，并由所述处理器加载并执行如前所述的方法。

根据本发明第四方面，提供一种计算机可读存储介质，所述存储介质中存储有多条指令；所述多条指令，用于由处理器加载并执行如前所述的方法。

根据本发明的上述方案，该方法采用分层指纹匹配方法，结合大量指纹规则，通过指纹分层匹配的方法，使得在每一次的匹配筛选中有效过滤大量无关项，从而高效率识别网络资产。实现如下技术效果：(1)基于nmap指纹库并对其进行扩充完善，构建基于web组件的资产指纹库和基于设备的资产指纹库，对网络资产有较为全面的指纹刻画，实现对web组件以及设备的精准识别。(2)采用分层指纹匹配方法，在保证网络资产识别精度的同时，大大提高其识别效率。(3)在指纹分层匹配的基础上，采用机器学习的方法对网络资产进一步识别分类，达到更高准确率的识别。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，以下以本发明的较佳实施例并配合附图详细说明如后。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明提供如下附图进行说明。在附图中：

图1为本发明一个实施方式的基于指纹的分层匹配的网络资产识别方法流程图；

图2为本发明一个实施方式的web组件分层匹配流程示意图；

图3为本发明一个实施方式的基于指纹的分层匹配的网络资产识别装置结构框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明具体实施例及相应的附图对本发明技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

首先结合图1说明为本发明一个实施方式的基于指纹的分层匹配的网络资产识别方法。如图1所示，所述方法包括以下步骤：

步骤S1：基于nmap开源指纹库构建基于web组件的指纹规则库以及基于设备的指纹规则库；所述基于web组件的指纹规则库，包括web组件匹配规则，所述web组件匹配规则包括基于网站响应头信息的指纹匹配规则以及基于HTML源码信息的指纹匹配规则；所述基于网站响应头信息的指纹匹配规则是基于客户端向服务器端发送请求后服务器端返回的响应信息中的字段进行指纹的匹配的模式；所述基于HTML源码信息的指纹匹配规则是对网站的HTML源码信息进行分析，提取用于识别匹配web组件的字段信息进行指纹的匹配的模式；所述基于设备的指纹规则库，包括设备匹配规则，所述设备匹配规则即基于服务标识信息的指纹匹配的模式，所述服务标识信息为Banner信息，Banner信息是服务器软件向请求端反馈的自身软件名称及版本等标志性信息；

步骤S2：获取待匹配资产，所述待匹配资产为通过主动探测、被动探测以及基于搜索引擎的探测方法所探测的网络节点资产；

步骤S3：判断所述待匹配资产的运行协议是否为除了HTTP协议之外的其他协议，如是，则根据运行协议对所述待匹配资产对应的运行设备进行对应连接，获取所述运行设备的Banner信息，基于所述Banner信息，识别所述运行设备，方法结束，如否，进入步骤S4；

步骤S4：判断所述待匹配资产中是否含有不完整信息，导致无法识别所述待匹配资产的种类，如是，则将所述待匹配资产的各字段信息输入训练好的机器学习模型，得到所述待匹配资产在信息缺失情况下的识别结果，方法结束，如否，进入步骤S5；

步骤S5：提取所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息，若提取不到所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息中的某项信息，则该项信息记为不存在；

步骤S6：将从所述待匹配资产中提取出的信息划分为一个或多个集合，再基于集合内部的关键字段信息，将各个集合分别划分为一个或多个子集合；按照集合分层地进行指纹匹配，识别web组件；所述按照集合分层地进行指纹匹配。

进一步地，所述步骤S1，其中：

为了对网络资产进行精准的指纹识别，指纹规则库的构建是一个重要前提。HTTP协议作为应用层协议，其上构建着种类繁多的Web组件。对这些Web组件的识别既能够帮助更精确、高效的完成指纹识别任务，也可以作为重要的辅助信息完成对目标主机用途的研判。随着互联网技术的快速发展，互联网上搭建的网站以及接入网络的厂商设备越来越多，网站及设备上部署着各种系统、组件以及产品等服务，对这些设备进行识别于网络资产画像具有重要意义。基于web组件和网络设备构建相应的指纹规则库，能够对网络资产进行详细而精准地识别。

基于nmap开源指纹库构建基于web组件的指纹规则库以及基于设备的指纹规则库。本实施例中，使用正则匹配的方法匹配指纹。

所述基于web组件的指纹规则库，包括多个web组件指纹匹配规则，所述web组件指纹匹配规则包括：

HTTP响应头中一些特殊的字段包含了组件的指纹信息，这些字段包括Server字段、X-Powered-By字段、Set-Cookie字段等。一般情况下，Server字段中包含了服务器信息以及操作系统信息，如“Server:Apache”“Server:nginx/1.16.0”；X-Powered-By字段可能包含了开发语言以及CMS应用信息，如“X-Powered-By:PHP/5.6.40”“X-Powered-By:PleskLin”；Set-Cookie字段也会反映出一定的开发语言信息，如“Set-Cookie:PHPSESSID＝37723fd13d0c590efaf5e671fa094b57；”，表明开发语言为PHP。

例如，微软个人站点服务器，其指纹匹配规则为：“server：PWS”，对其进行版本提取的指纹匹配规则为：“PWS[^A-Za-z0-9\n]{0,2}(？<ve......”；NKcms的指纹匹配规则为：“x-powered-by：nkcms”，对其进行版本提取的指纹匹配规则为：“nkcms[^A-Za-z0-9\n]{0,2}(？<......”。

所述基于HTML源码信息的指纹匹配规则是对网站的HTML源码信息进行分析，提取用于识别匹配web组件的字段信息进行指纹的匹配识别。这些字段信息包括Meta字段中的信息以及HTML中的关键字段信息。HTML中的Meta标签能够表明一些组件信息，如：“<metaname＝"generator"content＝"ASPCMS">”；HTML中的关键字段主要为Powered by字段，该字段表明了版权信息，如“powered by WordPress”。

进一步地，基于HTML源码信息的指纹匹配规则。主要根据HTML源码中的Meta、Powered by等关键字段信息构建指纹匹配规则。如：DouPHP的指纹匹配规则为：“metas:generator:DouPHP”，对其进行版本提取的指纹匹配规则为：“DouPHP v(？<ver>([0-9][\d......”；phpMyAdmin的指纹匹配规则为：“Powered by：phpmyadmin”。

针对基于web组件的指纹规则库，设计了所述web组件指纹匹配规则，能够对网络上常见的大量web组件进行识别，如Nginx,Wordpress，Thinkphp等等，同时设计提取web组件版本信息的指纹规则，指纹规则样例如表1所示。

表1基于web组件的指纹规则库

对于网络空间中的终端设备而言，终端设备一经出厂，其中的Banner信息便存储在终端设备的固件或硬件当中，通过Banner信息进行终端设备识别是可行且有效的。

对于运行http协议的终端设备来说，这些Banner信息主要存在于HTTP数据包头部中的Server字段和WWW-Authenticate字段以及HTML源码中的关键字词，如“Server:DVRDVS-Webs”“WWW-Authenticate:Basic realm＝"TP-LINK*"”“Printer Name”等。

对于运行其他协议的终端设备来说，对其运行设备进行对应连接，默认情况下会得到远程设备返回的Banner信息，如：如，对惠普的FTP服务器进行FTP连接，则会返回“<vsFTPd 3.0.2>”字样。

所述基于设备的指纹规则库，包括多个设备匹配规则，所述设备匹配规则包括：

基于Banner信息的指纹匹配规则。主要根据返回数据包头部中的Server字段和WWW-Authenticate等关键字段信息、Banner返回内容信息以及HTML的内容信息构建指纹匹配规则。所使用的方法是将设备指纹匹配规则在Banner信息、HTML信息以及返回数据包头部信息中进行正则匹配。如：comelit的指纹匹配规则为：“p/Comelit IP Vedo/d/webcam/”；华为路由器的匹配规则为：“p/Huawei ADSL/WAP/VoIP router UPnP/i/Conexant-EmWeb$SUBST(2,"_",".")”。

针对基于设备的指纹规则库，设计大量指纹规则，对网络上常见的网络设备进行识别，如：router、webcam、printer、briger、firewall、load balancer、media device、voipphone等等，指纹规则样例如表2所示。

表2基于设备的指纹规则库

步骤S2：获取待匹配资产，所述待匹配资产为通过主动探测、被动探测以及基于搜索引擎的探测方法所探测的网络节点资产，其中：

主动探测方法是指通过主动向目标网络节点发送构造的数据包，获取目标网络节点的相关信息。

被动探测方法是指采集目标网络中的流量，对流量中应用层HTTP、FTP、SMTP等协议数据包进行分析，实现对网络资产的被动探测。

基于搜索引擎的探测方法是指依托于ZoomEye、Shodan及Censys等网络空间搜索引擎获取的网络爬虫结果或专用服务器扫描结果，以间接查询的方式实现网络资产探测。

基于上述三种网络节点探测方法探测网络空间中的节点资产，作为待匹配资产，以支持后续资产识别。

所述步骤S3，包括：

步骤S31：若所述待匹配资产的运行协议为除了HTTP协议之外的其他协议，则根据运行协议对所述待匹配资产对应的运行设备进行对应连接；

步骤S32：确定是否获取到所述运行设备的Banner信息；若无，所述待匹配资产无运行设备，输出所述待匹配资产无运行设备的信息；若有，进入步骤S33；

步骤S33：将所述待匹配资产的Banner信息与所述设备的指纹规则库进行正则匹配；若匹配成功，输出匹配到的运行设备的识别结果；否则，确定所述待匹配资产无运行设备，输出所述待匹配资产无运行设备的信息。

网络上设备众多，种类繁杂，包括：交换机、路由器、网关、防火墙、无线AP、操作系统、web应用服务器、CMS、邮件系统、数据库、代理服务器、VPN设备、网络摄像头、录像机、打印机、视频会议、VoIP电话、内容分发网络、网络存储设备、负载均衡设备、消息传递服务器、通用即插即用服务等。对这些设备进行遍历式匹配需要极其复杂的时间复杂度，针对设备指纹的匹配识别同样采用分层匹配方法以提高匹配识别效率。

所述步骤S4：若所述待匹配资产中含有不完整信息，导致无法识别所述待匹配资产的种类，则将所述待匹配资产的各字段信息输入训练好的机器学习模型，得到所述待匹配资产在信息缺失情况下的识别结果，方法结束，其中：

若所述待匹配资产中含有不完整信息，则将所述待匹配资产的各字段信息输入训练好的机器学习模型，得到待匹配资产在信息缺失情况下的识别结果。

由于种种原因，对于网络资产的探测返回包中，往往缺失了很多信息，导致基于指纹规则的这类精确匹配识别方法识别不出网络资产。针对这一问题，以已知网络资产指纹为知识样本，用未知资产部分信息作为测试样本，提取其部分能够获取的信息，采用机器学习的方法，对未知网络资产进行分类识别。

所述步骤S4包括：从开放端口、对于网络资产进行探测的探测返回包的响应头部中的各字段、HTML内容中提取属性值，构建已知网络资产的训练数据集，得到训练好的网络模型；探测获取未知网络资产的能够获得的信息，并提取其属性值；根据提取的属性值，采用机器学习的方法，即输入训练好的网络模型，判定所述未知网络资产的类别；结合人工经验分析，给出分类识别结果。

所述机器学习的方法为k-近邻方法、神经网络方法等。

如图2所示，所述步骤S6，包括：

步骤S61：从HTTP响应头信息中提取Server字段、Set-Cookie字段、X-Powered-By字段信息，从HTML源码信息中提取Meta标签以及Powered by字段信息，从Banner信息中提取Server字段、WWW-Authenticate字段信息；若某项信息不存在，则其对应的字段均标记为不存在；若某项信息存在，而其对应的某项字段不存在，则将该项字段标记为不存在；

步骤S62：将HTTP响应头信息作为HTTP响应头信息集合，将HTML源码信息作为HTML源码信息集合，将Banner信息作为Banner信息集合；将所述HTML源码信息集合划分为Server字段信息子集合、Set-Cookie字段信息子集合以及X-Powered-By字段信息子集合；将所述HTML源码信息集合划分为Meta标签信息子集合、Powered by字段子集合以及HTML文本内容子集合；将所述Banner信息集合划分为Server字段信息子集合、WWW-Authenticate字段信息子集合以及Banner文本内容子集合；若某项信息不存在，则其对应的集合、子集合均标记为不存在；若某项信息存在，而其对应的某项字段不存在，则将该项字段对应的子集标记为不存在；

步骤S63：若所述待匹配资产存在对应的HTTP响应头信息集合，则依次确定是否存在Server字段信息子集合、Set-Cookie字段信息子集合以及X-Powered-By字段信息子集合；对于存在的子集合，基于该存在的子集合对应的字段信息与指纹库中的指纹规则进行匹配；

步骤S64：若所述待匹配资产存在对应的Banner信息集合，则依次确定是否存在Server字段信息子集合、WWW-Authenticate字段信息子集合；对于存在的子集合，基于该存在的子集合对应的字段信息与指纹库中的指纹规则进行匹配；

步骤S65：将匹配结果经过去重、去包含处理，输出最终组件识别结果集。

例如，步骤step1：若待匹配资产含有HTTP响应头信息集合，判断所述HTTP响应头信息集合是否含有Server字段信息子集合；

若存在，将Server字段信息与指纹库中的指纹规则进行匹配；进入步骤step2；若不存在，进入步骤step2；

步骤step2：判断所述HTTP响应头信息集合是否含有Set-Cookie字段信息子集合；若存在，将Set-Cookie字段信息与指纹库中的指纹规则进行匹配；进入步骤step3；若不存在，进入步骤step3；

步骤step3：判断所述HTTP响应头信息集合是否含有X-Powered-By字段信息子集合；若存在，将X-Powered-By字段信息与指纹库中的指纹规则进行匹配；进入步骤step4；若不存在，进入步骤step4；

步骤step4：进入对HTML源码信息集合的判断及操作。

web站点包含各类信息，既有结构化的XML文档DOM树信息，也有非结构化的web网页内容信息等等，如果采用遍历的指纹匹配方法，效率十分低下，无法满足高效指纹匹配识别的要求。本实施例中，采用指纹分层匹配的方式，即将站点信息拆分为若干集合，再将集合拆分为若干子集合。首先判定集合是否存在，若是，则对该集合对应的子集合进行判定，若子集合存在，则对子集合的内容进行指纹匹配；若否，则对其他集合进行判定。按照分层指纹匹配识别方法，只需匹配指纹规则库中少量指纹规则，就可以得到网络资产web组件的指纹信息，在大幅度降低指纹识别时间复杂度的同时，提高web组件识别的精准度。

本实施例中，采用分层匹配的方式，而非指纹遍历的方式对站点的web组件进行匹配识别，采用分层匹配的优点是：(1)站点信息分为若干大集合和小集合，匹配精准。(2)分层匹配，速度快，效率高，大幅度降低指纹识别匹配的时间复杂度。(3)进一步识别组件的类型、版本和子版本信息，对web组件更精细化地识别。

提取匹配成功的组件的版本信息和子版本信息，是通过正则提取的方式提取匹配成功的组件的版本信息和子版本信息。

图3为本发明一个实施方式的基于指纹的分层匹配的网络资产识别装置的结构示意图，如图3所示，所述装置包括：

指纹规则库构建模块：配置为基于nmap开源指纹库构建基于web组件的指纹规则库以及基于设备的指纹规则库；所述基于web组件的指纹规则库，包括web组件匹配规则，所述web组件匹配规则包括基于网站响应头信息的指纹匹配规则以及基于HTML源码信息的指纹匹配规则；所述基于网站响应头信息的指纹匹配规则是基于客户端向服务器端发送请求后服务器端返回的响应信息中的字段进行指纹的匹配的模式；所述基于HTML源码信息的指纹匹配规则是对网站的HTML源码信息进行分析，提取用于识别匹配web组件的字段信息进行指纹的匹配的模式；所述基于设备的指纹规则库，包括设备匹配规则，所述设备匹配规则即基于服务标识信息的指纹匹配的模式，所述服务标识信息为Banner信息，Banner信息是服务器软件向请求端反馈的自身软件名称及版本等标志性信息；

待匹配资产获取模块：配置为获取待匹配资产，所述待匹配资产为通过主动探测、被动探测以及基于搜索引擎的探测方法所探测的网络节点资产；

第一识别模块：配置为判断所述待匹配资产的运行协议是否为除了HTTP协议之外的其他协议，如是，则根据运行协议对所述待匹配资产对应的运行设备进行对应连接，获取所述运行设备的Banner信息，基于所述Banner信息，识别所述运行设备；如否，触发所述第二识别模块；

第二识别模块：配置为判断所述待匹配资产中是否含有不完整信息，导致无法识别所述待匹配资产的种类，如是，则将所述待匹配资产的各字段信息输入训练好的机器学习模型，得到所述待匹配资产在信息缺失情况下的识别结果；如否，触发所述第三识别模块；；

第三识别模块：配置为提取所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息，若提取不到所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息中的某项信息，则该项信息记为不存在；

匹配模块：配置为将从所述待匹配资产中提取出的信息划分为一个或多个集合，再基于集合内部的关键字段信息，将各个集合分别划分为一个或多个子集合；按照集合分层地进行指纹匹配，识别web组件；所述按照集合分层地进行指纹匹配。

本发明实施例进一步给出一种基于指纹的分层匹配的网络资产识别系统，包括：

处理器，用于执行多条指令；

存储器，用于存储多条指令；

其中，所述多条指令，用于由所述存储器存储，并由所述处理器加载并执行如前所述的方法。

本发明实施例进一步给出一种计算机可读存储介质，所述存储介质中存储有多条指令；所述多条指令，用于由处理器加载并执行如前所述的方法。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，实体机服务器，或者网络云服务器等，需安装Windows或者Windows Server操作系统)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(RandomAccess Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。

Claims (10)

1.一种基于指纹的分层匹配的网络资产识别方法，其特征在于，所述方法包括以下步骤：

步骤S1：基于nmap开源指纹库构建基于web组件的指纹规则库以及基于设备的指纹规则库；所述基于web组件的指纹规则库，包括web组件匹配规则，所述web组件匹配规则包括基于网站响应头信息的指纹匹配规则以及基于HTML源码信息的指纹匹配规则；所述基于网站响应头信息的指纹匹配规则是基于客户端向服务器端发送请求后服务器端返回的响应信息中的字段进行指纹的匹配的模式；所述基于HTML源码信息的指纹匹配规则是对网站的HTML源码信息进行分析，提取用于识别匹配web组件的字段信息进行指纹的匹配的模式；所述基于设备的指纹规则库，包括设备匹配规则，所述设备匹配规则即基于服务标识信息的指纹匹配的模式，所述服务标识信息为Banner信息，Banner信息是服务器软件向请求端反馈的自身软件名称及版本标志性信息；

步骤S2：获取待匹配资产，所述待匹配资产为通过主动探测、被动探测以及基于搜索引擎的探测方法所探测的网络节点资产；

步骤S3：判断所述待匹配资产的运行协议是否为除了HTTP协议之外的其他协议，如是，则根据运行协议对所述待匹配资产对应的运行设备进行对应连接，获取所述运行设备的Banner信息，基于所述Banner信息，识别所述运行设备，方法结束，如否，进入步骤S4；

步骤S4：判断所述待匹配资产中是否含有不完整信息，导致无法识别所述待匹配资产的种类，如是，则将所述待匹配资产的各字段信息输入训练好的机器学习模型，得到所述待匹配资产在信息缺失情况下的识别结果，方法结束，如否，进入步骤S5；

步骤S5：提取所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息，若提取不到所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息中的某项信息，则该项信息记为不存在；

步骤S6：将从所述待匹配资产中提取出的信息划分为一个或多个集合，再基于集合内部的关键字段信息，将各个集合分别划分为一个或多个子集合；按照集合分层地进行指纹匹配，识别web组件；所述按照集合分层地进行指纹匹配。

2.如权利要求1所述的方法，其特征在于，所述步骤S3，包括：

步骤S31：若所述待匹配资产的运行协议为除了HTTP协议之外的其他协议，则根据运行协议对所述待匹配资产对应的运行设备进行对应连接；

步骤S32：确定是否获取到所述运行设备的Banner信息；若无，所述待匹配资产无运行设备，输出所述待匹配资产无运行设备的信息；若有，进入步骤S33；

步骤S33：将所述待匹配资产的Banner信息与所述设备的指纹规则库进行正则匹配；若匹配成功，输出匹配到的运行设备的识别结果；否则，确定所述待匹配资产无运行设备，输出所述待匹配资产无运行设备的信息。

3.如权利要求2所述的方法，其特征在于，所述步骤S4包括：从开放端口、对于网络资产进行探测的探测返回包的响应头部中的各字段、HTML内容中提取属性值，构建已知网络资产的训练数据集，得到训练好的网络模型；探测获取未知网络资产的能够获得的信息，并提取其属性值；根据提取的属性值，采用机器学习的方法，即输入训练好的网络模型，判定所述未知网络资产的类别；结合人工经验分析，给出分类识别结果。

4.如权利要求3所述的方法，其特征在于，所述步骤S6，包括：

步骤S61：从HTTP响应头信息中提取Server字段、Set-Cookie字段、X-Powered-By字段信息，从HTML源码信息中提取Meta标签以及Powered by字段信息，从Banner信息中提取Server字段、WWW-Authenticate字段信息；若某项信息不存在，则其对应的字段均标记为不存在；若某项信息存在，而其对应的某项字段不存在，则将该项字段标记为不存在；

步骤S62：将HTTP响应头信息作为HTTP响应头信息集合，将HTML源码信息作为HTML源码信息集合，将Banner信息作为Banner信息集合；将所述HTML源码信息集合划分为Server字段信息子集合、Set-Cookie字段信息子集合以及X-Powered-By字段信息子集合；将所述HTML源码信息集合划分为Meta标签信息子集合、Powered by字段子集合以及HTML文本内容子集合；将所述Banner信息集合划分为Server字段信息子集合、WWW-Authenticate字段信息子集合以及Banner文本内容子集合；若某项信息不存在，则其对应的集合、子集合均标记为不存在；若某项信息存在，而其对应的某项字段不存在，则将该项字段对应的子集标记为不存在；

步骤S63：若所述待匹配资产存在对应的HTTP响应头信息集合，则依次确定是否存在Server字段信息子集合、Set-Cookie字段信息子集合以及X-Powered-By字段信息子集合；对于存在的子集合，基于该存在的子集合对应的字段信息与指纹库中的指纹规则进行匹配；

步骤S64：若所述待匹配资产存在对应的Banner信息集合，则依次确定是否存在Server字段信息子集合、WWW-Authenticate字段信息子集合；对于存在的子集合，基于该存在的子集合对应的字段信息与指纹库中的指纹规则进行匹配；

步骤S65：将匹配结果经过去重、去包含处理，输出最终组件识别结果集。

5.一种基于指纹的分层匹配的网络资产识别装置，其特征在于，所述装置包括：

指纹规则库构建模块：配置为基于nmap开源指纹库构建基于web组件的指纹规则库以及基于设备的指纹规则库；所述基于web组件的指纹规则库，包括web组件匹配规则，所述web组件匹配规则包括基于网站响应头信息的指纹匹配规则以及基于HTML源码信息的指纹匹配规则；所述基于网站响应头信息的指纹匹配规则是基于客户端向服务器端发送请求后服务器端返回的响应信息中的字段进行指纹的匹配的模式；所述基于HTML源码信息的指纹匹配规则是对网站的HTML源码信息进行分析，提取用于识别匹配web组件的字段信息进行指纹的匹配的模式；所述基于设备的指纹规则库，包括设备匹配规则，所述设备匹配规则即基于服务标识信息的指纹匹配的模式，所述服务标识信息为Banner信息，Banner信息是服务器软件向请求端反馈的自身软件名称及版本标志性信息；

待匹配资产获取模块：配置为获取待匹配资产，所述待匹配资产为通过主动探测、被动探测以及基于搜索引擎的探测方法所探测的网络节点资产；

第一识别模块：配置为判断所述待匹配资产的运行协议是否为除了HTTP协议之外的其他协议，如是，则根据运行协议对所述待匹配资产对应的运行设备进行对应连接，获取所述运行设备的Banner信息，基于所述Banner信息，识别所述运行设备；如否，触发第二识别模块；

第二识别模块：配置为判断所述待匹配资产中是否含有不完整信息，导致无法识别所述待匹配资产的种类，如是，则将所述待匹配资产的各字段信息输入训练好的机器学习模型，得到所述待匹配资产在信息缺失情况下的识别结果；如否，触发第三识别模块；

第三识别模块：配置为提取所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息，若提取不到所述待匹配资产的HTTP响应头信息、HTML源码信息以及Banner信息中的某项信息，则该项信息记为不存在；

匹配模块：配置为将从所述待匹配资产中提取出的信息划分为一个或多个集合，再基于集合内部的关键字段信息，将各个集合分别划分为一个或多个子集合；按照集合分层地进行指纹匹配，识别web组件；所述按照集合分层地进行指纹匹配。

6.如权利要求5所述的装置，其特征在于，所述第一识别模块，包括：

连接子模块：配置为若所述待匹配资产的运行协议为除了HTTP协议之外的其他协议，则根据运行协议对所述待匹配资产对应的运行设备进行对应连接；

第一判断子模块：配置为确定是否获取到所述运行设备的Banner信息；若无，所述待匹配资产无运行设备，输出所述待匹配资产无运行设备的信息；

第一匹配子模块：配置为将所述待匹配资产的Banner信息与所述设备的指纹规则库进行正则匹配；若匹配成功，输出匹配到的运行设备的识别结果；否则，确定所述待匹配资产无运行设备，输出所述待匹配资产无运行设备的信息。

7.如权利要求6所述的装置，其特征在于，所述第二识别模块包括：从开放端口、对于网络资产进行探测的探测返回包的响应头部中的各字段、HTML内容中提取属性值，构建已知网络资产的训练数据集，得到训练好的网络模型；探测获取未知网络资产的能够获得的信息，并提取其属性值；根据提取的属性值，采用机器学习的方法，即输入训练好的网络模型，判定所述未知网络资产的类别；结合人工经验分析，给出分类识别结果。

8.如权利要求7所述的装置，其特征在于，所述第三识别模块，包括：

第二判断子模块：配置为从HTTP响应头信息中提取Server字段、Set-Cookie字段、X-Powered-By字段信息，从HTML源码信息中提取Meta标签以及Powered by字段信息，从Banner信息中提取Server字段、WWW-Authenticate字段信息；若某项信息不存在，则其对应的字段均标记为不存在；若某项信息存在，而其对应的某项字段不存在，则将该项字段标记为不存在；

第三判断子模块：配置为将HTTP响应头信息作为HTTP响应头信息集合，将HTML源码信息作为HTML源码信息集合，将Banner信息作为Banner信息集合；将所述HTML源码信息集合划分为Server字段信息子集合、Set-Cookie字段信息子集合以及X-Powered-By字段信息子集合；将所述HTML源码信息集合划分为Meta标签信息子集合、Powered by字段子集合以及HTML文本内容子集合；将所述Banner信息集合划分为Server字段信息子集合、WWW-Authenticate字段信息子集合以及Banner文本内容子集合；若某项信息不存在，则其对应的集合、子集合均标记为不存在；若某项信息存在，而其对应的某项字段不存在，则将该项字段对应的子集标记为不存在；

第四判断子模块：配置为若所述待匹配资产存在对应的HTTP响应头信息集合，则依次确定是否存在Server字段信息子集合、Set-Cookie字段信息子集合以及X-Powered-By字段信息子集合；对于存在的子集合，基于该存在的子集合对应的字段信息与指纹库中的指纹规则进行匹配；

第五判断子模块：配置为若所述待匹配资产存在对应的Banner信息集合，则依次确定是否存在Server字段信息子集合、WWW-Authenticate字段信息子集合；对于存在的子集合，基于该存在的子集合对应的字段信息与指纹库中的指纹规则进行匹配；

结果输出子模块：配置为将匹配结果经过去重、去包含处理，输出最终组件识别结果集。

9.一种漏洞导向的模糊测试系统，其特征在于，包括：

处理器，用于执行多条指令；

存储器，用于存储多条指令；

其中，所述多条指令，用于由所述存储器存储，并由所述处理器加载并执行如权利要求1-4之任一项所述方法。

10.一种计算机可读存储介质，其特征在于，所述存储介质中存储有多条指令；所述多条指令，用于由处理器加载并执行如权利要求1-4之任一项所述方法。