基于概念格的網(wǎng)絡(luò)設(shè)備識(shí)別方法*

孫 治 ， 楊 慧 ， 張 江 ， 陳劍鋒 ， 徐 銳

（1.網(wǎng)絡(luò)空間安全四川省重點(diǎn)實(shí)驗(yàn)室，四川 成都 610041；2.中國(guó)電科網(wǎng)絡(luò)空間安全技術(shù)重點(diǎn)實(shí)驗(yàn)室，四川 成都 610041；3.中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041）

0 引 言

如今是一個(gè)信息技術(shù)高速發(fā)展的時(shí)代，網(wǎng)絡(luò)早已滲透于當(dāng)今社會(huì)各行各業(yè)，隨著移動(dòng)互聯(lián)網(wǎng)的快速普及，接入了海量的不同類型的網(wǎng)絡(luò)設(shè)備。隨著物聯(lián)網(wǎng)和5G技術(shù)的快速發(fā)展，更多種類的物聯(lián)網(wǎng)設(shè)備也將加入到網(wǎng)絡(luò)。這些設(shè)備可能是服務(wù)器、交換機(jī)、防火墻、手機(jī)、個(gè)人電腦，也可能是網(wǎng)絡(luò)攝像頭、智能家電等物聯(lián)網(wǎng)設(shè)備。然而數(shù)量龐大種類繁多的網(wǎng)絡(luò)設(shè)備也會(huì)暴露出更多的網(wǎng)絡(luò)安全問(wèn)題，并給網(wǎng)管帶來(lái)嚴(yán)峻的挑戰(zhàn)。識(shí)別特定區(qū)域的網(wǎng)絡(luò)設(shè)備，可以更好地保護(hù)個(gè)人和組織的數(shù)據(jù)，防范已經(jīng)存在和未知的風(fēng)險(xiǎn)。而且確定設(shè)備類型對(duì)于網(wǎng)絡(luò)空間態(tài)勢(shì)感知也具有重要的意義。

目前識(shí)別網(wǎng)絡(luò)設(shè)備類型的主要方法是通過(guò)網(wǎng)絡(luò)探測(cè)來(lái)實(shí)現(xiàn)[1]。而網(wǎng)絡(luò)掃描是一種網(wǎng)絡(luò)探測(cè)方法，是指通過(guò)掃描特定的計(jì)算機(jī)網(wǎng)絡(luò)端口獲取目標(biāo)主機(jī)的相關(guān)信息的技術(shù)。常見(jiàn)的網(wǎng)絡(luò)掃描開(kāi)源軟件有Nmap、Zmap等。以Nmap掃描工具為例，它使用自建的模板指紋庫(kù)，模板指紋庫(kù)是根據(jù)不同目標(biāo)設(shè)備對(duì)探測(cè)包的差別應(yīng)答來(lái)產(chǎn)生的。然而，這種網(wǎng)絡(luò)設(shè)備識(shí)別方法存在不足。由于目標(biāo)設(shè)備的復(fù)雜性，網(wǎng)絡(luò)設(shè)備可能有固件版本的更新，可能換用了不同的操作系統(tǒng)，甚至是一種指紋庫(kù)沒(méi)有的未知設(shè)備，導(dǎo)致探測(cè)到的設(shè)備指紋無(wú)法匹配指紋庫(kù)。因此，只使用掃描工具不能有效地識(shí)別網(wǎng)絡(luò)設(shè)備的類型。

針對(duì)上述問(wèn)題，本文將概念格方法引入到了網(wǎng)絡(luò)設(shè)備的識(shí)別，提出了一種基于概念格的網(wǎng)絡(luò)設(shè)備識(shí)別方法。該方法可以解決設(shè)備識(shí)別過(guò)程中差異性難以量化的問(wèn)題，利用概念格計(jì)算網(wǎng)絡(luò)設(shè)備的屬性相似度，顯著簡(jiǎn)化設(shè)備識(shí)別過(guò)程。針對(duì)未知的網(wǎng)絡(luò)設(shè)備，也能夠給出可能的設(shè)備類型。

1 相關(guān)理論

1.1 網(wǎng)絡(luò)探測(cè)

網(wǎng)絡(luò)探測(cè)是獲取區(qū)域資產(chǎn)數(shù)據(jù)的重要手段。區(qū)域資產(chǎn)是對(duì)組織或個(gè)人有價(jià)值的信息資源，是安全策略重點(diǎn)關(guān)注的對(duì)象。網(wǎng)絡(luò)探測(cè)通常包含四個(gè)步驟，包括目標(biāo)發(fā)現(xiàn)、端口探測(cè)、服務(wù)發(fā)現(xiàn)、操作系統(tǒng)偵測(cè)，這四個(gè)步驟一般遵循著一定的順序執(zhí)行。該技術(shù)通常通過(guò)設(shè)備在通信過(guò)程中應(yīng)答的某種信息對(duì)其進(jìn)行辨識(shí)和判定，實(shí)現(xiàn)的方式主要包括被動(dòng)和主動(dòng) 2 種[2]。

被動(dòng)方式不主動(dòng)向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，而是根據(jù)目標(biāo)向外發(fā)送請(qǐng)求時(shí)，從攜帶的信息來(lái)分析判別目標(biāo)的設(shè)備類型。被動(dòng)識(shí)別對(duì)掃描網(wǎng)絡(luò)環(huán)境要求較低，對(duì)目標(biāo)網(wǎng)絡(luò)狀態(tài)影響不大，但是它能夠提供的信息量有限，而且可靠性也不如主動(dòng)式，常用于高速的流量獲取、協(xié)議種類識(shí)別等場(chǎng)景。主動(dòng)方式是從探測(cè)源將特定的信息發(fā)送給目標(biāo)主機(jī)，通過(guò)觸發(fā)某些期望的設(shè)備回應(yīng)來(lái)分析出目標(biāo)主機(jī)的設(shè)備類型。主動(dòng)方式獲取的信息量較多而且信息可靠性高，但是也容易被目標(biāo)發(fā)現(xiàn)和針對(duì)。主動(dòng)式探測(cè)常用于主機(jī)存活性檢測(cè)、端口開(kāi)放性檢測(cè)、系統(tǒng)和服務(wù)指紋發(fā)現(xiàn)以及漏洞掃描等場(chǎng)景。目前有很多開(kāi)源掃描工具可供選擇，這些掃描工具各有所長(zhǎng)，適用不同類型的應(yīng)用場(chǎng)景。因此進(jìn)行網(wǎng)絡(luò)掃描工作時(shí)，選擇合適的掃描工具可以達(dá)到事半功倍的效果。

1.2 概念格

形式概念分析（Formal Concept Analysis，F(xiàn)CA），由德國(guó)的Wille R.教授于1982年首次提出[3]。概念格是FCA理論的核心數(shù)據(jù)結(jié)構(gòu)，該理論基于哲學(xué)范疇中的概念，每個(gè)“概念”分為內(nèi)涵和外延兩部分：內(nèi)涵是事物的某些屬性的集合，而外延就是具有這些屬性的事物對(duì)象的集合。概念格從本質(zhì)上來(lái)說(shuō)，它描述的是對(duì)象與屬性之間的聯(lián)系，表明各概念之間的泛化、特化關(guān)系。作為一種切實(shí)有效的數(shù)據(jù)分析工具，概念格理論得到廣泛認(rèn)可，并成功應(yīng)用于多種領(lǐng)域，諸如數(shù)據(jù)挖掘、信息檢索，知識(shí)發(fā)現(xiàn)，搜索引擎等領(lǐng)域[4-6]。利用概念格的層次分類模型，可以較好的量化網(wǎng)絡(luò)設(shè)備的差異程度[7]。

從數(shù)學(xué)的角度來(lái)看，概念間的包含關(guān)系是一種偏序關(guān)系，其產(chǎn)生的完全格，就是概念格。由概念格上的偏序關(guān)系生成的Hasse圖，能夠反映概念的層次結(jié)構(gòu)并直觀地體現(xiàn)概念之間的關(guān)系?，F(xiàn)實(shí)世界的各種事物或信息大都可以比較容易的表示成一個(gè)對(duì)象或?qū)嵗哂心承傩曰蛱卣鞯年P(guān)系。

概念格中的每個(gè)節(jié)點(diǎn)都是一個(gè)形式概念，形式概念由外延和內(nèi)涵兩部分組成。概念格的結(jié)構(gòu)對(duì)知識(shí)表示具有直觀性和層次性等特點(diǎn)。在形式概念分析中，這種對(duì)象-屬性間的二元關(guān)系被稱為形式背景（Formal Context），它是一個(gè)由對(duì)象集、屬性集、二元關(guān)系所構(gòu)成的三元組。概念格的Hasse圖是以概念作為節(jié)點(diǎn)，以連接父子概念的線段作為邊，按照父概念在子概念上方的順序，把所有概念連接起來(lái)所構(gòu)成的圖。由形式背景生成概念格的過(guò)程被稱為概念格構(gòu)造。

以下介紹一些概念格的數(shù)學(xué)基本定義。

定義1.設(shè)（U,A,I）為一個(gè)形式化背景，其中U=｛x1,x2,…,xn｝為對(duì)象集合，xi對(duì)應(yīng)本文研究的目標(biāo)網(wǎng)絡(luò)設(shè)備；A=｛a1,a2,…,am｝為屬性集合，ai表示網(wǎng)絡(luò)設(shè)備的一個(gè)屬性；I為U和A之間的二元關(guān)系，對(duì)于一個(gè)對(duì)象x∈U，屬性a∈A，那么xIa表示對(duì)象x具有屬性a。

定義2.設(shè)（U,A,I）為網(wǎng)絡(luò)空間資源形式化背景，定義兩種運(yùn)算X*，B*：

式中，X*為X中所有對(duì)象的屬性集合，B*為B中所有對(duì)象的屬性集合。

定 義 3.若 一 個(gè) 二 元 組 （X,B）滿 足 X*=B 且B*=X，則稱（X,B）是一個(gè)形式概念，其中X稱為概念的外延，B稱為概念的內(nèi)涵。

2 本文方法

大數(shù)據(jù)蘊(yùn)含有豐富的知識(shí)，而概念格是一種知識(shí)提取的形式化描述工具。概念結(jié)點(diǎn)的外延是概念所覆蓋的對(duì)象（實(shí)例）集合，概念結(jié)點(diǎn)的內(nèi)涵是對(duì)象所共有的屬性（特征）集合。運(yùn)用概念格具有知識(shí)表達(dá)的直觀性和完備性[8]，有利于網(wǎng)絡(luò)設(shè)備的類型判別。

本文提出了一種基于概念格的網(wǎng)絡(luò)設(shè)備識(shí)別方法。首先根據(jù)已知網(wǎng)絡(luò)設(shè)備類型的屬性，結(jié)合領(lǐng)域?qū)＜抑R(shí)構(gòu)建網(wǎng)絡(luò)空間實(shí)體資源的形式背景，然后采用快速正則化逼近算法構(gòu)建網(wǎng)絡(luò)設(shè)備屬性概念格；接下來(lái)利用多種開(kāi)源工具探測(cè)目標(biāo)設(shè)備，將探測(cè)到的信息轉(zhuǎn)換為目標(biāo)設(shè)備的屬性值；最后使用網(wǎng)絡(luò)設(shè)備屬性概念格計(jì)算目標(biāo)設(shè)備與已知設(shè)備類型的概念相似度。

2.1 構(gòu)造網(wǎng)絡(luò)設(shè)備屬性概念格

網(wǎng)絡(luò)設(shè)備具有型號(hào)、連接方式、對(duì)外服務(wù)、IP地址、MAC地址、操作系統(tǒng)、所在城市、所屬的機(jī)構(gòu)等信息，這些信息稱為網(wǎng)絡(luò)設(shè)備的屬性信息。將網(wǎng)絡(luò)設(shè)備的所有特征屬性集成到一個(gè)樹(shù)型結(jié)構(gòu)中，稱為網(wǎng)絡(luò)設(shè)備屬性特征樹(shù)。特征樹(shù)中每一個(gè)葉子節(jié)點(diǎn)就是一個(gè)屬性，表示網(wǎng)絡(luò)中至少有一個(gè)設(shè)備具有這樣的特征屬性。通過(guò)特征樹(shù)，可以把設(shè)備的屬性特征表示為一個(gè)二值特征向量，向量的個(gè)數(shù)為特征樹(shù)中葉子節(jié)點(diǎn)的數(shù)目，如（1，0，0，1，0，1，1），網(wǎng)絡(luò)設(shè)備具有的特征在向量中標(biāo)為1，不具有的特征在向量中標(biāo)為0。

構(gòu)建網(wǎng)絡(luò)設(shè)備屬性概念格首先需要建立網(wǎng)絡(luò)設(shè)備的形式背景（見(jiàn)表1）。根據(jù)已知網(wǎng)絡(luò)設(shè)備類型的屬性，結(jié)合領(lǐng)域?qū)＜抑R(shí)構(gòu)建一張網(wǎng)絡(luò)設(shè)備形式背景表格，表格行表示已知的網(wǎng)絡(luò)設(shè)備類型，列表示網(wǎng)絡(luò)設(shè)備的屬性值。例如，表1中屬性列打上“×”標(biāo)記的表示該類設(shè)備具有這個(gè)屬性。

表1 網(wǎng)絡(luò)設(shè)備形式背景表格示意

目前概念格的構(gòu)造算法主要分為兩類：批處理算法和增量算法。批處理算法又可以分三種：自頂向下算法、自底向上算法和枚舉算法。

本文采用快速正則化逼近算法（Fast Close-by-One，F(xiàn)CBO）建立網(wǎng)絡(luò)資產(chǎn)屬性概念格[9]，該算法通過(guò)減少重復(fù)計(jì)算的概念格的總數(shù)來(lái)獲取更高的效率，可以解決其它常見(jiàn)的建格算法時(shí)間開(kāi)銷大的問(wèn)題。以下簡(jiǎn)要描述FCBO算法構(gòu)建網(wǎng)絡(luò)設(shè)備屬性概念格 L（U,A,I）的流程。

步驟一：輸入算法參數(shù)，首個(gè)待處理的概念＜A,B＞、待處理的屬性y∈Y，以及屬性集合Y的子集{ Ny? Y | y ∈ Y }用于存儲(chǔ)處理過(guò)的屬性；

步驟二：判斷快速正則化逼近是否達(dá)到停止條件，是中止算法并輸出建格結(jié)果，否則繼續(xù)；

步驟三：設(shè)定概念信息指針Mj指向Nj，Nj表示待處理屬性集合，計(jì)算概念＜C,D＞；

步驟四：判斷概念＜C,D＞是否為新概念，是則將（＜C,D＞, j）加入新概念隊(duì)列中，否則更新概念信息指針Mj指向D。

步驟五：判斷隊(duì)列是否為空，是則輸出建格結(jié)果，否則保存概念；

重復(fù)上述步驟，直到算法中止退出。

2.2 目標(biāo)設(shè)備探測(cè)

目標(biāo)設(shè)備掃描是獲取目標(biāo)設(shè)備信息的有效方式。通過(guò)向目標(biāo)主機(jī)發(fā)送的特定的探測(cè)包，目的是通過(guò)觸發(fā)某些期望的設(shè)備回應(yīng)來(lái)分析出目標(biāo)主機(jī)的有關(guān)信息。為了快速提取目標(biāo)設(shè)備的屬性值，本方法將探測(cè)過(guò)程分為了兩個(gè)步驟：端口存活性探測(cè)、解析端口的banner信息。

本方法首先是對(duì)目標(biāo)設(shè)備的端口存活性進(jìn)行探測(cè)。使用開(kāi)源掃描工具zmap探測(cè)目標(biāo)設(shè)備的最常用的1 000個(gè)端口的存活性。因?yàn)閦map采取的是無(wú)狀態(tài)的掃描，沒(méi)有進(jìn)行完整的TCP協(xié)議的三次握手，因此大規(guī)模掃描速度極大提升。

接下來(lái)是解析端口的banner信息。使用掃描工具nmap，向目標(biāo)設(shè)備的存活端口發(fā)送探測(cè)報(bào)文。然后將得到的回復(fù)包與數(shù)據(jù)庫(kù)中的簽名進(jìn)行對(duì)比，如果反復(fù)探測(cè)都無(wú)法得出具體應(yīng)用，記錄應(yīng)用返回報(bào)文，以便進(jìn)行進(jìn)一步人工判斷。

最后，探測(cè)存活端口記錄獲取的設(shè)備屬性關(guān)鍵字，例如：網(wǎng)絡(luò)設(shè)備的歸屬城市、ISP、所屬機(jī)構(gòu)、連接方式、對(duì)外服務(wù)等屬性是能夠被探測(cè)到的屬性，這些屬性構(gòu)成網(wǎng)絡(luò)設(shè)備特征屬性關(guān)鍵字，對(duì)照上一小節(jié)中形式背景，將目標(biāo)設(shè)備屬性特征表示為二值特征向量。

2.3 計(jì)算網(wǎng)絡(luò)資產(chǎn)的概念相似度

將目標(biāo)設(shè)備屬性作為一個(gè)新概念添加到上一小節(jié)的新建的網(wǎng)絡(luò)設(shè)備屬性概念格L（U,A,I）。

由定義3，將目標(biāo)設(shè)備屬性概念記作（X1,B1），那么兩個(gè)概念 （X1,B1）和 （X2,B2）的相似度為：

其中α，β表示對(duì)象與屬性的權(quán)重參數(shù)，滿足α+β=1。根據(jù)概念格的對(duì)偶性質(zhì)通常設(shè)置α=β=0.5。

在網(wǎng)絡(luò)設(shè)備屬性概念格L（U,A,I）中，若目標(biāo)網(wǎng)絡(luò)設(shè)備x1涉及的概念集合定義為M；已知設(shè)備x2涉及的概念集合定義為N，則目標(biāo)設(shè)備和已知設(shè)備類型的屬性概念相似度為：

其中概念集合M中的每個(gè)概念的外延都包含網(wǎng)絡(luò)設(shè)備x1，概念集合N中的每個(gè)概念的外延都包含已知設(shè)備類型x2。|M|為概念集合M中概念的個(gè)數(shù)，|N|為概念集合N中概念的個(gè)數(shù)。本文采用網(wǎng)絡(luò)設(shè)備的屬性概念相似度，評(píng)估網(wǎng)絡(luò)設(shè)備的相似程度。

重復(fù)上述步驟，直至完成目標(biāo)設(shè)備與已知設(shè)備類型的概念相似度計(jì)算，最后判斷目標(biāo)設(shè)備為概念相似度最大的類型 arg max simL＜L,x1,xi）＞。

3 結(jié) 語(yǔ)

本文研究了概念格的屬性關(guān)聯(lián)規(guī)則挖掘，提出了一種基于概念格的網(wǎng)絡(luò)設(shè)備識(shí)別方法。利用概念格計(jì)算網(wǎng)絡(luò)設(shè)備的屬性相似度，顯著簡(jiǎn)化設(shè)備類型的識(shí)別過(guò)程。針對(duì)未知網(wǎng)絡(luò)設(shè)備，也能夠給出可能的設(shè)備類型。該方法可以解決設(shè)備識(shí)別過(guò)程中差異性難以量化的問(wèn)題，不足之處是算法使用的網(wǎng)絡(luò)設(shè)備形式背景需要領(lǐng)域?qū)＜胰斯そ?，這部分的工作量很大而且容易出錯(cuò)，同樣探測(cè)目標(biāo)設(shè)備信息轉(zhuǎn)為設(shè)備屬性也需要人工參與，未來(lái)將結(jié)合自然語(yǔ)言處理技術(shù)實(shí)現(xiàn)屬性的自動(dòng)提取。