引言

在數(shù)字化轉(zhuǎn)型的推動(dòng)下，網(wǎng)絡(luò)資產(chǎn)的種類和數(shù)量呈指數(shù)級(jí)增長(zhǎng)，網(wǎng)絡(luò)安全面臨日益復(fù)雜的挑戰(zhàn)。網(wǎng)絡(luò)資產(chǎn)不僅包括傳統(tǒng)的網(wǎng)絡(luò)設(shè)備（如網(wǎng)絡(luò)攝像頭、防火墻），還擴(kuò)展至各種內(nèi)容管理系統(tǒng)和網(wǎng)絡(luò)服務(wù)。當(dāng)前，網(wǎng)絡(luò)資產(chǎn)識(shí)別主要依賴基于靜態(tài)指紋規(guī)則匹配的方法，這種方法雖然在已知類型資產(chǎn)的識(shí)別中表現(xiàn)良好，但其局限性同樣明顯：首先，指紋規(guī)則構(gòu)建和維護(hù)依賴于專家經(jīng)驗(yàn)和大量人力資源投入；其次，基于靜態(tài)指紋庫(kù)的方法在面對(duì)新型設(shè)備時(shí)響應(yīng)速度緩慢，導(dǎo)致對(duì)未知類型資產(chǎn)的識(shí)別率顯著降低。這些缺陷限制了當(dāng)前基于指紋規(guī)則匹配的資產(chǎn)識(shí)別技術(shù)的有效性和適應(yīng)性。

為解決上述問(wèn)題，本文創(chuàng)新性地提出了一種針對(duì)HTTP/HTTPS協(xié)議網(wǎng)絡(luò)資產(chǎn)的發(fā)現(xiàn)方法，通過(guò)自動(dòng)化規(guī)則生成器對(duì)主動(dòng)探測(cè)所采集到的HTTP/HTTPS協(xié)議數(shù)據(jù)進(jìn)行指紋規(guī)則生成和數(shù)據(jù)過(guò)濾，配合無(wú)監(jiān)督聚類方法實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)按共同特征進(jìn)行劃分，以實(shí)現(xiàn)協(xié)議的自動(dòng)發(fā)現(xiàn)，此方法可以發(fā)現(xiàn)未知資產(chǎn)，提高標(biāo)注效率。本文提出的自動(dòng)化規(guī)則生成器基于層次化分組策略，逐步對(duì)數(shù)據(jù)集進(jìn)行細(xì)化，提煉具有高區(qū)分度的特征字段并構(gòu)建可以進(jìn)行粗分類的指紋規(guī)則，以過(guò)濾掉無(wú)共性資產(chǎn)特征的數(shù)據(jù)。針對(duì)HTTP/HTTPS響應(yīng)頭部字段的多樣性，本文對(duì)大規(guī)模探測(cè)結(jié)果數(shù)據(jù)集進(jìn)行了統(tǒng)計(jì)分析并結(jié)合專家經(jīng)驗(yàn)，篩選出了21個(gè)響應(yīng)頭部字段用于生成自動(dòng)化過(guò)濾規(guī)則，設(shè)計(jì)了自動(dòng)化規(guī)則生成器；在此基礎(chǔ)上，對(duì)經(jīng)預(yù)過(guò)濾后的數(shù)據(jù)，設(shè)計(jì)了面向HTTP/HTTPS響應(yīng)體信息的多特征融合資產(chǎn)聚類算法，該算法采用Word2Vec[1]進(jìn)行特征編碼，將處理后的數(shù)據(jù)轉(zhuǎn)化為特征向量，結(jié)合特征融合技術(shù)與DBSCAN[2]聚類技術(shù)，在多維特征空間中進(jìn)行高效聚類以實(shí)現(xiàn)對(duì)潛在資產(chǎn)的發(fā)現(xiàn)。最后，本文通過(guò)實(shí)驗(yàn)驗(yàn)證了所提方法的有效性。此方法不僅提高了HTTP/HTTPS協(xié)議資產(chǎn)發(fā)現(xiàn)的效率，還能夠有效發(fā)現(xiàn)未知資產(chǎn)，進(jìn)而提高指紋標(biāo)注和規(guī)則提取的效率。

本文詳細(xì)內(nèi)容請(qǐng)下載：

http://www.ihrv.cn/resource/share/2000006847

作者信息：

馬琰1，2，蘇馬婧1，2，姚旺君1，2，權(quán)曉文3，劉紅1，2

（1.中國(guó)信息安全研究院有限公司，北京 102200；

2.華北計(jì)算機(jī)系統(tǒng)工程研究所，北京 100083；

3.遠(yuǎn)江盛邦（北京）網(wǎng)絡(luò)安全科技股份有限公司，北京 100084）