[发明专利]网络环境下被动式多维度主机指纹模型构建方法及其装置

权利要求书

1.一种网络环境下被动式多维度主机指纹模型构建方法，其特征在于，包含如下内容：

对网络数据流量进行初步筛选和过滤；

通过不同类型插件提取多维度主机特征信息，其中，不同类型插件对应识别特征库中相应的识别特征；

基于MAP-SCORE算法评估每个特征信息对应不同主机的关联度，构建用于主机识别的多维度主机指纹库；

对网络数据流量进行初步筛选和过滤：通过五元组策略对网络原始流量进行初步筛选和过滤，去除噪音，缩小数据量；通过不同类型插件提取多维度主机特征信息，包含如下内容：在用户态定义插件类型，通过识别特征树依次对应用协议进行识别匹配，其中，插件类型至少包含：主机硬件特征解析、主机软件环境特征解析及主机网络行为特征解析，不同类型插件对应相应的主机特征信息的识别特征；识别特征树中：父节点代表解析主机特征信息类型，中间节点代表在对应维度主机特征信息下所包含的应用程序，叶子节点代表解析对应应用协议下主机特征信息所使用的识别特征。

2.根据权利要求1所述的网络环境下被动式多维度主机指纹模型构建方法，其特征在于，通过识别特征树依次对应用协议进行识别匹配，包含如下内容：通过插件定义的树形结构从根节点依次对应用数据进行匹配，通过叶子节点的识别特征解析主机特征信息。

3.根据权利要求1所述的网络环境下被动式多维度主机指纹模型构建方法，其特征在于，基于MAP-SCORE算法对不同维度的主机特征信息进行评估，构建用于主机识别的多维度主机指纹库，包含如下内容：

通过MAP方法构建存储特征信息的主机特征矩阵；

采用SCORE方法通过评估主机特征矩阵中每个特征对应不同主机的关联度，构建用于主机识别的多维度主机指纹库。

4.根据权利要求3所述的网络环境下被动式多维度主机指纹模型构建方法，其特征在于，所述的主机特征矩阵采用带索引的十字链表进行特征信息存储。

5.根据权利要求4所述的网络环境下被动式多维度主机指纹模型构建方法，其特征在于，采用带索引的十字链表进行特征信息存储，包含如下内容：定义Index数组，通过BKDR哈希算法对特征信息进行哈希计算，哈希值作为Index数组的下标，对应的值为指向主机特征信息的指针，主机特征信息项存储特征信息出现的总次数且使用双指针分别指向特征信息出现的主机项和下一个主机特征信息项，主机项存储特征信息在主机上出现的次数并指向下一台出现该特征信息的主机，直至网络数据流量数据包处理完成没有新加项。

6.根据权利要求3所述的网络环境下被动式多维度主机指纹模型构建方法，其特征在于，采用SCORE方法评估主机特征矩阵中每个特征对应不同主机的关联度，构建用于主机识别的多维度主机指纹库，包含如下内容：

假设SA代表主机集合，a是SA中的一台主机，δ(t,a)表示特征t是否在主机a出现过，出现为1，未出现则为0，∑_a∈SAδ(t,a)表示特征t在主机a下出现过的次数，特征t对应主机x的SCORE值表示为：，对主机特征矩阵中每一条特征ti分别计算对应不同主机x的SCORE值，当SCORE(ti，x)>μ时，则认为特征x是主机的指纹，完成多维度主机指纹库的构建，其中，μ为预先设定阈值。

7.一种网络环境下被动式多维度主机指纹模型构建装置，其特征在于，基于权利要求1所述的网络环境下被动式多维度主机指纹模型构建方法实现，包含：

网络流量截取筛选模型，用于通过五元组策略对网络原始流量进行初步筛选和过滤

主机特征信息识别提取模块，用于在用户态定义插件类型，通过不同类型插件提取多维度的主机特征信息，插件类型至少包含：主机硬件特征解析、主机软件环境特征解析及主机网络行为特征解析，不同类型插件对应相应的主机特征信息的识别特征；

主机指纹库构建模块，基于MAP-SCORE算法构建用于主机识别的多维度主机指纹库。

8.根据权利要求7所述的网络环境下被动式多维度主机指纹模型构建装置，其特征在于，所述的主机指纹库构建模块包含：

主机特征矩阵构建单元，用于通过MAP方法构建存储特征信息的主机特征矩阵；

主机指纹提取单元，采用SCORE方法评估主机特征矩阵中每个特征对应不同主机的关联度，构建用于主机识别的多维度主机指纹库。