专利 一种网络空间WEB类资产风险Server同性快速识别的方法

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202111411251.5 (22)申请日 2021.11.25 (71)申请人国家计算机网络与信息安全管理中心河北分中心地址 050000 河北省石家庄市裕华区青园街458号 (72)发明人刘纪伟　张峰　谢林燕　赵春开　张涵卿　 (74)专利代理机构沈阳工匠智诚知识产权代理事务所(普通合伙) 2125 6 代理人孙楠 (51)Int.Cl. H04L 67/02(2022.01) H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称一种网络空间WEB类资产风险Server同性快速识别的方法 (57)摘要本发明公开的属于网络安全监测技术领域，具体为一种网络空间WEB类资产风险Server同性快速识别的方法，包括数据获取、数据归类、特征聚类提取出Server指纹的类型和版本、进行漏洞风险验证多个步骤，本发明能够对WEB类资产风险Server同性进行快速识别，根据脚本识别灵活方便，提取资产的指纹特征版本，进行批量漏洞风险验证，保证了使用时的安全性同时降低了使用的风险。权利要求书2页说明书4页附图3页 CN 114244824 A 2022.03.25 CN 114244824 A 1.一种网络空间WEB类资产风险Server同性快速识别的方法，其特征在于：包括以下步骤：步骤1：接入HTTP数据，获取互联网资产指纹HTTP响应头Server字段数据，根据字段数据之间的依赖关系预设数据优先级；步骤2：对Server字段数据中没有标签的数据进行分类标签提取，通过K ‑近邻算法将没有标签的数据标注上与数据区段相接近的数据参数标签，并归类到相对应的数据区段中；步骤3：将步骤2中无法归类的Server字段数据进行特征聚类找到业务数据参数特征分布，在进行标注分类得到与数据区段相接近的数据参数标签，并对其归类到数据区段中，从而得到Server字段数据内指纹中的类型和版本；步骤4：对步骤3中数据区段中的数据采用漏洞验证方法进行漏洞风险验证。 2.根据权利要求1所述的一种网络空间WEB类资产风险Server同性快速识别的方法，其特征在于：所述步骤1中预设数据优先级为在同一数据区段中的两个数据之间的处理逻辑是否存在依赖关系，存在依赖关系则将两个数据之间的优先级设为并列处理，不存在依赖关系则将两个数据之间的优先级设有分列处理。 3.根据权利要求1所述的一种网络空间WEB类资产风险Server同性快速识别的方法，其特征在于：所述步骤3中特征聚类包括Kmeans算法、层次聚类算法、普类聚法、主成分分析法。 4.根据权利要求1所述的一种网络空间WEB类资产风险Server同性快速识别的方法，其特征在于：所述步骤3中特征聚类算法包括以下步骤：步骤A：在数据集中随机选择一个样本点作为第一个初始化的聚类中心；步骤B:选择出其余的聚类中心；步骤C：计算样本中的每一个样本点与已经初始化的聚类中心之间的距离，并选择其中最短的距离；步骤D：以概率选择距离最大的样本作为新的聚类中心，重复上述步骤，直到K个聚类中心都被确定；步骤E：从步骤D中随机选取K个聚类中心作为初始质心；步骤F：计算每个样本到各个质心的距离，将样本划分到距离最近的质心所对应的簇中；步骤G:计算每个簇内所有样本的均值，并使用该均值更新簇的质心；步骤H：重复步骤F与步骤G，直到达到以下条件之一：质心的位置变化小于指定的阈值；达到最大迭代次数。 5.根据权利要求1所述的一种网络空间WEB类资产风险Server同性快速识别的方法，其特征在于：所述步骤4中漏洞验证方法包括跨站脚本验证、框架注入、链接注入验证、允许 TRACE方法、 SQ L注入、 CSRF、 XS S。 6.根据权利要求5所述的一种网络空间WEB类资产风险Server同性快速识别的方法，其特征在于：所述跨站脚本验证包括GET方式跨站脚本验证与POST方式跨站脚本验证。 7.根据权利要求1所述的一种网络空间WEB类资产风险Server同性快速识别的方法，其特征在于：所述步骤2中K ‑近邻算法包括以下步骤： S1：计算测试数据与各个训练数据之间的距离；权　利　要　求　书 1/2 页 2 CN 114244824 A 2S2：按照距离的递增关系进行排序； S3：选取距离最小的K个点； S4：确定前 K个点所在类别的出现频率； S5：返回前 K个点中出现频率最高的类别作为测试数据的预测分类。权　利　要　求　书 2/2 页 3 CN 114244824 A 3

专利 一种网络空间WEB类资产风险Server同性快速识别的方法

专利一种网络空间WEB类资产风险Server同性快速识别的方法