CN116894011A

CN116894011A - 多维度智能化指纹库及多维度智能化指纹库设计和查询方法

Info

Publication number: CN116894011A
Application number: CN202310875667.5A
Authority: CN
Inventors: 王昊天
Original assignee: Shanghai Dragon Technology Co ltd
Current assignee: Shanghai Dragon Technology Co ltd
Priority date: 2023-07-17
Filing date: 2023-07-17
Publication date: 2023-10-17

Abstract

本申请涉及一种多维度智能化指纹库及多维度智能化指纹库设计和查询方法，应用于计算机网络安全技术领域，该设计方法应用于指纹存储模块，其包括：获取计算机指纹信息；基于所述计算机指纹信息进行层级划分，生成多个指纹存储层；获取所述指纹存储层的存储类型；基于所述存储类型将所述指纹信息按照字段的形式存储至所述指纹存储层；基于存储有计算机指纹信息的指纹存储层设计生成指纹存储模块。本申请具有准确地识别出完整的计算机指纹的效果。

Description

多维度智能化指纹库及多维度智能化指纹库设计和查询方法

技术领域

本申请涉及计算机网络安全的技术领域，尤其是涉及一种多维度智能化匹配指纹库设计方法、装置、设备及介质。

背景技术

计算机指纹识别为从网络流量中识别目标网络的协议、操作系统、组件等信息，计算机指纹识别可以在网络安全领域中应用于网络入侵检测、威胁情报分析、漏洞扫描等场景，有助于提高网络安全防御的准确性和网络安全防御效果。

目前，存在一些用于计算机指纹识别的产品和处理方法，例如，Zeek/Bro、Nmap、p0f和FingerprintDB，均具有根据网络流量监听进行安全分析的功能。

虽然现有的产品和处理方法在计算机指纹识别方面有一定的应用和成熟度，但仍然存在一些不足和缺陷。现有的产品和处理方法采用静态的识别模式，难以应对网络协议、操作系统、组件等信息的多样性和变化性，并且由于指纹的覆盖范围、识别算法、数据结构、存储方式等方面的限制，导致识别的准确性和完整性受到限制。

发明内容

为了准确地识别出完整的计算机指纹，本申请提供一种多维度智能化匹配指纹库设计方法、装置、设备及介质。

第一方面，本申请提供一种多维度智能化匹配指纹库，采用如下的技术方案：

一种多维度智能化匹配指纹库，包括：

指纹存储模块，用于存储计算机指纹信息；

智能识别模块，用于对网络流量数据进行分类，根据分类结果进行指纹查询。

通过采用上述技术方案，在指纹库中设置分层级结构和字段定义，用多层级、多字段的计算机指纹信息存储方式，能够更加细致地记录计算机指纹信息的特征，更加灵活地组织和管理计算机指纹信息，采用智能化识别模式，使用了机器学习算法，先对查询的流量进行分类预处理，确定优先查询的范围，从而能够准确地识别出完整的计算机指纹。

第二方面，本申请提供一种多维度智能化匹配指纹库设计方法，采用如下的技术方案：

一种多维度智能化匹配指纹库设计方法，应用于如第一方面所述的指纹存储模块，所述方法包括：

获取计算机指纹信息；

基于所述计算机指纹信息进行层级划分，生成多个指纹存储层；

获取所述指纹存储层的存储类型；

基于所述存储类型将所述指纹信息按照字段的形式存储至所述指纹存储层；

基于存储有计算机指纹信息的指纹存储层设计生成指纹存储模块。

可选的，所述基于所述存储类型将所述指纹信息按照字段的形式存储至所述指纹存储层包括：

将所述计算机指纹信息进行字段提取和特征提取，生成待存储字段和字段特征；

将所述字段特征与所述存储类型进行匹配，生成匹配结果；

基于所述匹配结果将所述待存储字段存储至所述指纹存储层。

可选的，还包括：

获取所述待存储字段的字段定义；

基于所述字段定义生成字段索引。

可选的，在所述基于所述存储类型将所述指纹信息按照字段的形式存储至所述指纹存储层之后，还包括：

获取指纹查询数据，基于所述指纹查询数据生成缓存区域；

将所述指纹查询数据缓存至所述缓存区域内；

在预设获取周期内对所述指纹查询数据的数量进行统计，生成统计结果；

基于所述统计结果更新所述缓存区域。

第三方面，本申请提供一种多维度智能化匹配指纹库设计方法，采用如下的技术方案：

一种多维度智能化匹配指纹库设计方法，应用于如第一方面所述的智能识别模块，所述方法包括：

获取待训练网络流量样本和所述待训练网络流量样本对应的计算机指纹信息；

对所述待训练网络流量样本进行特征提取，生成样本特征；

基于所述样本特征将所述待训练网络流量样本数据转换为特征向量；

将所述计算机指纹信息作为特征标签；

获取待训练SVM模型，基于所述特征向量和所述特征标签训练所述待训练SVM模型，生成SVM模型；

获取所述指纹存储模块的存储方式；

基于所述存储方式和所述SVM模型设计生成智能识别模块。

第四方面，本申请提供一种多维度智能化匹配指纹库查询方法，采用如下的技术方案：

一种多维度智能化匹配指纹库查询方法，应用于如第一方面所述的多维度智能化匹配指纹库，所述方法包括：

响应于查询请求，获取待查询网络流量数据；

基于所述智能识别模块确定所述待查询网络流量数据的流量类型；

基于所述指纹存储模块确定所述流量类型的目标查询范围，其中，所述目标查询范围包括所述指纹存储层和所述缓存区域；

基于所述目标查询范围进行查询，生成查询结果；

判断所述查询结果是否为查询成功；

若所述查询结果为查询成功，则将所述查询结果进行展示；

若所述查询结果为查询失败，则基于所述指纹存储模块进行查询。

可选的，所述生成查询结果包括：

获取符合所述待查询网络流量数据的目标计算机指纹信息；

基于所述目标计算机指纹信息生成描述图表，将所述描述图表作为查询结果。

第五方面，本申请提供一种电子设备，采用如下的技术方案：

一种电子设备，包括处理器，所述处理器与存储器耦合；

所述处理器用于执行所述存储器中存储的计算机程序，以使得所述电子设备执行第二至四方面任一项所述的多维度智能化匹配指纹库设计和查询方法的计算机程序。

第六方面，本申请提供一种计算机可读存储介质，采用如下的技术方案：

一种计算机可读存储介质，存储有能够被处理器加载并执行第二至四方面任一项所述的多维度智能化匹配指纹库设计和查询方法的计算机程序。

附图说明

图1是本申请实施例提供的一种多维度智能化匹配指纹库的结构框图。

图2是本申请实施例提供的一种应用于指纹存储模块的多维度智能化匹配指纹库设计方法的流程示意图。

图3是本申请实施例提供的一种应用于智能识别模块的多维度智能化匹配指纹库设计方法的流程示意图。

图4是本申请实施例提供的一种应用于多维度智能化匹配指纹库的多维度智能化匹配指纹库查询方法的流程示意图。

图5是本申请实施例提供的电子设备的结构框图。

具体实施方式

以下结合附图对本申请作进一步详细说明。

图1为本申请实施例提供的一种多维度智能化匹配指纹库的结构框图。

如图1所示，多维度智能化匹配指纹库100主要包括：

指纹存储模块200，用于存储计算机指纹信息；

智能识别模块300，用于对网络流量数据进行分类，根据分类结果进行指纹查询。

在本实施例中，指纹库即为存储计算机指纹的数据库，指纹库主要包括指纹存储模块和智能识别模块两个部分，其中指纹存储模块主要提供存储功能，即存储有大量的计算机指纹信息，而智能识别模块主要提供识别和查询功能，在进行查询时，接收待查询网络流量数据并对待查询网络流量数据进行分析分类，从而进行指纹查询。

本申请实施例提供一种多维度智能化匹配指纹库设计和查询方法，该多维度智能化匹配指纹库设计和查询方法可由电子设备执行，该电子设备可以为服务器也可以为终端设备，其中该服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云让算服务的云服务器。终端设备可以是智能手机、平板电脑、台式计算机等，但并不局限于此。

图2为本申请实施例提供的一种应用于指纹存储模块的多维度智能化匹配指纹库设计方法的流程示意图。

如图2所示，该方法主要流程描述如下（步骤S401～S405）：

步骤S401，获取计算机指纹信息。

在本实施例中，计算机指纹信息包括计算机指纹的类型、具体组成和具体用途等。

步骤S402，基于计算机指纹信息进行层级划分，生成多个指纹存储层

在本实施例中，计算机指纹信息的数量庞大，且类型众多，如果单纯的混合存储会导致在查询时查询缓慢，并且不利于更新管理。在进行计算机指纹信息存储时，首先根据全部的计算机指纹对应的类型将指纹存储模块划分为多个指纹存储层，每个指纹存储层中存储一个类型的计算机指纹信息。计算机指纹信息包括用于描述计算机指纹的特定信息，如协议版本、协议特征、操作系统信息、组件特征等，指纹存储层根据上述特定信息进行命名和划分，例如指纹存储层包括协议层、组件层和操作系统层，其中，协议层存储的计算机指纹就专指能识别出不同协议的计算机指纹，组件层存储的计算机指纹就专指能识别出不同组件的计算机指纹，操作系统层存储的计算机指纹专指能识别出不同操作系统识别的计算机指纹等。需要说明的是，指纹存储层的数量和每层存储的类型需要根据实际需要进行存储的计算机指纹信息进行设置和调整拓展，在此不作具体限定。

步骤S403，获取指纹存储层的存储类型。

在本实施例中，每一个指纹存储层都根据其存储的计算机指纹信息设置有相应的存储类型，存储类型与计算机指纹信息的类型相同，即通过存储类型可以确定其存储的计算机指纹信息的类型，通过计算机指纹信息的类型可以确定其将要存储至那个指纹存储层。

步骤S404，基于存储类型将指纹信息按照字段的形式存储至指纹存储层。

针对步骤S404，将计算机指纹信息进行字段提取和特征提取，生成待存储字段和字段特征；将字段特征与存储类型进行匹配，生成匹配结果；基于匹配结果将待存储字段存储至指纹存储层。

在本实施例中，字段的定义根据计算机指纹信息的不同特征进行设置，如协议头字段、协议体字段、操作系统特征字段、组件特征字段等，字段的定义包括字段类型、长度、编码方式等。

此处的字段可以理解为每个指纹信息中最有代表性的一部分，每一层的指纹拥有着不同的结构和特征，举例来说：

1. 协议头字段：这个字段用于存储计算机指纹信息中协议的头部特征。例如，对于HTTP协议，协议头字段可以包含“Host”、“User-Agent”等信息。

2. 协议体字段：这个字段用于存储计算机指纹信息中协议的具体内容或负载特征。例如，在HTTP协议中，协议体字段可以包含请求或响应的具体内容，如网页的HTML源代码或传输的数据包。

3. 操作系统特征字段：这个字段用于存储计算机指纹信息中操作系统的特征。例如，操作系统特征字段可以包含操作系统的名称、版本号、架构等信息。

上述的协议头字段、协议体字段和操作系统特征字段均为待存储字段，并且其的意义即为字段特征，字段特征、存储类型和计算机指纹信息的类型三者之间一一对应。

在进行存储时，由于协议头字段和协议体字段都对应的是协议，因此在存储时，可以均存储在协议层，也可以设置对应有不用字段特征的指纹存储层，从而将两个不同特征的字段存储在两个不同的协议层中。

步骤S405，基于存储有计算机指纹信息的指纹存储层设计生成指纹存储模块。

在本实施例中，在将现有的全部计算机指纹信息进行层级划分之后，即完成指纹存储模块的设计，从而可以进行指纹存储模块的生成，在生成之后将计算机指纹信息进行存储。

在本实施例中，获取待存储字段的字段定义；基于字段定义生成字段索引。

为了实现对计算机指纹信息的快速索引和匹配，指纹库可以根据字段的定义设置索引，索引可以包括单字段索引、多字段联合索引等，根据实际需求进行设置，以提高查询的效率。

其中，单字段索引是对单个字段进行索引，常见的例如在指纹库中可以对协议头字段进行单字段索引，它可以快速定位到匹配特定值的记录，单字段索引适用于单个字段的查询，能够加快对特定字段的查询速度。多字段联合索引是基于多个字段的组合进行索引，可以通过多个字段的值来定位记录，多字段联合索引适用于需要同时匹配多个字段的查询，能够提高多个字段组合查询的效率。例如，需要同时查询满足字段1和字段2的指纹，那么就可以根据字段1和字段2的联合索引进行查询。

在本实施例中，获取指纹查询数据，基于指纹查询数据生成缓存区域；将指纹查询数据缓存至缓存区域内；在预设获取周期内对指纹查询数据的数量进行统计，生成统计结果；基于统计结果更新缓存区域。

为了提高后续的查询效率，根据以往的指纹查询数据生成缓存区域，缓存区域内存储有大量的计算机指纹信息，此处存储的计算机指纹信息为根据查询频率进行筛选得到的计算机指纹信息，将这些计算机指纹信息缓存到缓存区域内，缓存区域位于设备内存中。并且在预设获取周期内进行数量统计，根据统计结果对缓存区域内的计算机指纹信息进行更新处理，以使缓存区域适应实际的查询情况。其中，筛选和更新均设置有相应的数量规定，即达到数量规定后才会将其对应的计算机指纹信息缓存到缓存区域内，预设获取周期若未设置则默认为1小时，即1小时进行一次缓存区域更新处理，数量规定和预设获取周期均需要根据实际需求进行设置，在此不作具体限定。

同时，指纹库支持动态更新和扩展，可以根据实际情况定期更新已有的指纹信息，同时可以随时扩展新的指纹信息。更新和扩展过程包括添加新层级、调整字段定义、更新索引设置等。指纹库也设置有用户隐私和数据安全保护功能，采用加密和权限管理等措施，保障指纹信息的安全传输和存储。并且指纹库的更新和维护过程也遵循了相关的隐私和安全法律法规，确保指纹信息的合规管理。其中，动态更新和扩展为工程师将市面上出现的新的指纹信息存储进入数据库中。

图3为本申请实施例提供的一种应用于智能识别模块的多维度智能化匹配指纹库设计方法的流程示意图。

如图3所示，该方法主要流程描述如下（步骤S501～S507）：

步骤S501，获取待训练网络流量样本和待训练网络流量样本对应的计算机指纹信息。

步骤S502，对待训练网络流量样本进行特征提取，生成样本特征。

步骤S503，基于样本特征将待训练网络流量样本数据转换为特征向量。

步骤S504，将计算机指纹信息作为特征标签。

步骤S505，获取待训练SVM模型，基于特征向量和特征标签训练待训练SVM模型，生成SVM模型。

步骤S506，获取指纹存储模块的存储方式。

步骤S507，基于存储方式和SVM模型设计生成智能识别模块。

在本实施例中，收集并准备用于训练和测试的网络流量数据和对应的计算机指纹信息，将收集到的网络流量数据作为待训练网络流量样本。网络流量数据可以包括不同类型的网络流量，如HTTP、FTP、DNS等，以及不同的网络流量特征，如时序信息、频谱信息、统计信息等，然后从网络流量数据中提取有用的特征。使用特征提取方法，如时序特征提取、频谱特征提取、统计特征提取等，将作为待训练网络流量样本的网络流量数据转换为特征向量，作为SVM的输入。将特征向量作为输入，将计算机指纹信息作为标签，训练SVM模型。

其中，特征向量是指的每个流量样本的特征向量，是一个包含了这个网络流量会话的整体特征，例如，特征向量包括流量的持续时间、总字节数、数据包数量、平均包大小等。特征标签是指的这个流量中的网络数据对应的计算机指纹可能属于指纹存储模块的存储方式中的哪个指纹存储层级，对整个网络流量进行分类，在后面指纹查询的时候就优先查询那个层级。

图4为本申请实施例提供的一种应用于多维度智能化匹配指纹库的多维度智能化匹配指纹库查询方法的流程示意图。

如图4所示，该方法主要流程描述如下（步骤S601～S607）：

步骤S601，响应于查询请求，获取待查询网络流量数据。

步骤S602，基于智能识别模块确定待查询网络流量数据的流量类型。

步骤S603，基于指纹存储模块确定流量类型的目标查询范围，其中，目标查询范围包括指纹存储层和缓存区域。

在本市实施例中，在接收到查询请求之后，将查询请求携带的待查询网络流量数据输入至智能识别模块内，智能识别模块对待查询网络流量数据进行解析和预处理，提取查询请求中的关键字、特征或属性，并进行格式化和规范化处理，使得处理之后的待查询网络流量数据便于与指纹库中的数据进行匹配。比如用户输入一段流量数据，预处理会提取源IP地址、目标IP地址、协议类型、数据包大小、时间戳、数据包载荷等，从而得到流量类型。

然后将流量类型与特征向量进行匹配，从而得到特征向量对应的特征标签，进一步的根据特征标签确定将要进行查询的指纹存储层和缓存区域，将其作为目标查询范围。

步骤S604，基于目标查询范围进行查询，生成查询结果。

在本实施例中，在进行查询时，优先在确定出的目标查询范围内进行查询，从而生成查询结果。

步骤S605，判断查询结果是否为查询成功。

步骤S606，若查询结果为查询成功，则将查询结果进行展示。

针对步骤S606，获取符合待查询网络流量数据的目标计算机指纹信息；基于目标计算机指纹信息生成描述图表，将描述图表作为查询结果。

步骤S607，若查询结果为查询失败，则基于指纹存储模块进行查询。

在本实施例中，如果在目标查询范围内能够查询出相应的计算机指纹信息，则将查询的计算机指纹信息以易于理解和阅读的图表方式呈现，即生成描述图表，方便用户查看和理解匹配结果。如果没有在目标查询范围内能够查询出相应的计算机指纹信息，则在整个指纹存储模块中进行查询。

图5为本申请实施例提供的电子设备700的结构框图。

如图5所示，电子设备700包括处理器701和存储器702，还可以进一步包括信息输入/信息输出(I/O)接口703、通信组件704中的一种或多种以及通信总线705。

其中，处理器701用于控制电子设备700的整体操作，以完成上述的多维度智能化匹配指纹库设计和查询方法的全部或部分步骤；存储器702用于存储各种类型的数据以支持在电子设备700的操作，这些数据例如可以包括用于在该电子设备700上操作的任何应用程序或方法的指令，以及应用程序相关的数据。该存储器702可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(Static Random AccessMemory，SRAM)、电可擦除可编程只读存储器(Electrically Erasable ProgrammableRead-Only Memory，EEPROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory，EPROM)、可编程只读存储器(Programmable Read-Only Memory，PROM)、只读存储器(Read-Only Memory，ROM)、磁存储器、快闪存储器、磁盘或光盘中的一种或多种。

I/O接口703为处理器701和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件704用于电子设备700与其他设备之间进行有线或无线通信。无线通信，例如Wi-Fi，蓝牙，近场通信(NearField Communication，简称NFC)，2G、3G或4G，或它们中的一种或几种的组合，因此相应的该通信组件104可以包括：Wi-Fi部件，蓝牙部件，NFC部件。

电子设备700可以被一个或多个应用专用集成电路 (Application SpecificIntegrated Circuit，简称ASIC)、数字信号处理器(Digital Signal Processor，简称DSP)、数字信号处理设备(Digital Signal Processing Device，简称DSPD)、可编程逻辑器件(Programmable Logic Device，简称PLD)、现场可编程门阵列(Field ProgrammableGate Array，简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述实施例给出的多维度智能化匹配指纹库设计和查询方法。

通信总线705可包括一通路，在上述组件之间传送信息。通信总线705可以是PCI(Peripheral Component Interconnect，外设部件互连标准)总线或EISA (ExtendedIndustry Standard Architecture，扩展工业标准结构)总线等。通信总线705可以分为地址总线、数据总线、控制总线等。

电子设备700可以包括但不限于移动电话、笔记本电脑、数字广播接收器、PDA（个人数字助理）、PAD（平板电脑）、PMP（便携式多媒体播放器）、车载终端（例如车载导航终端）等等的移动终端以及诸如数字TV、台式计算机等等的固定终端，还可以为服务器等。

本申请还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述的多维度智能化匹配指纹库设计和查询方法的步骤。

该计算机可读存储介质可以包括：U盘、移动硬盘、只读存储器 (R ead-OnlyMemory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的申请范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离前述申请构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中申请的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims

1.一种多维度智能化匹配指纹库，其特征在于，包括：

指纹存储模块，用于存储计算机指纹信息；

2.一种多维度智能化匹配指纹库设计方法，其特征在于，应用于如权利要求1所述的指纹存储模块，所述方法包括：

获取计算机指纹信息；

获取所述指纹存储层的存储类型；

3.根据权利要求2所述的方法，其特征在于，所述基于所述存储类型将所述指纹信息按照字段的形式存储至所述指纹存储层包括：

将所述字段特征与所述存储类型进行匹配，生成匹配结果；

4.根据权利要求2所述的方法，其特征在于，还包括：

获取所述待存储字段的字段定义；

基于所述字段定义生成字段索引。

5.根据权利要求2所述的方法，其特征在于，在所述基于所述存储类型将所述指纹信息按照字段的形式存储至所述指纹存储层之后，还包括：

获取指纹查询数据，基于所述指纹查询数据生成缓存区域；

将所述指纹查询数据缓存至所述缓存区域内；

基于所述统计结果更新所述缓存区域。

6.一种多维度智能化匹配指纹库设计方法，其特征在于，应用于如权利要求1所述的智能识别模块，所述方法包括：

对所述待训练网络流量样本进行特征提取，生成样本特征；

将所述计算机指纹信息作为特征标签；

获取所述指纹存储模块的存储方式；

基于所述存储方式和所述SVM模型设计生成智能识别模块。

7.一种多维度智能化匹配指纹库查询方法，其特征在于，应用于如权利要求1所述的多维度智能化匹配指纹库，所述方法包括：

响应于查询请求，获取待查询网络流量数据；

基于所述目标查询范围进行查询，生成查询结果；

判断所述查询结果是否为查询成功；

若所述查询结果为查询成功，则将所述查询结果进行展示；

8.根据权利要求7所述的方法，其特征在于，所述生成查询结果包括：

获取符合所述待查询网络流量数据的目标计算机指纹信息；

9.一种电子设备，其特征在于，包括处理器，所述处理器与存储器耦合；

所述处理器用于执行所述存储器中存储的计算机程序，以使得所述电子设备执行如权利要求2至8任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，包括计算机程序或指令，当所述计算机程序或指令在计算机上运行时，使得所述计算机执行如权利要求2至8任一项所述的方法。