一种基于主被动数据融合分析的目标识别方法与流程

1.本技术涉及网络安全技术领域，具体涉及一种基于主被动数据融合分析的目标识别方法。


背景技术：

2.主动探测是指主动向探测目标发送探测数据，根据目标的响应实现信息探测的技术，被动探测是指采集目标网络的流量，对流量中应用层协议数据包中指纹特征进行分析，从而实现对网络资产信息的被动探测。目前主动探测与被动探测两种模式的结合并非超前思想，已有成功案例，但以往案例仅实现两种资源的人工结合，造成主被动协同工作效率不高。
3.综上所述，现有技术中存在主动探测与被动探测数据融合过程中由于交互方式简单造成协同工作效率低的问题。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种基于主被动数据融合分析的目标识别方法。
5.一种基于主被动数据融合分析的目标识别方法，所述方法包括：确定探测目标，向所述探测目标发送探测数据；接收所述目标的响应数据，将所述响应数据作为主动识别数据；采集所述探测目标的网络流量，对所述网络流量中应用层中http、ftp、smtp的协议数据包进行特征分析，获得分析结果，将所述分析结果作为被动识别数据；将所述主动识别数据和所述被动识别数据输入主被动融合模型进行深度关联融合，输出第一识别结果；分别对所述主动识别数据和所述被动识别数据进行引导特征识别；基于引导特征识别结果进行引导数据采集，生成第二识别结果；结合所述第一识别结果和所述第二识别结果，生成所述探测目标的目标识别结果。
6.在一个实施例中，还包括：基于所述主动识别数据对所述探测目标进行流量过滤条件的特征分析；将特征分析结果作为被动引导特征识别结果；将所述被动引导特征识别结果作为过滤条件，进行数据过滤分析；生成引导被动识别结果，基于所述引导被动识别结果获得所述第二识别结果。
7.在一个实施例中，还包括：基于所述被动识别数据对所述探测目标进行通联关系挖掘，获得通联设备；向所述通联设备发送主动探测数据，收集主动探测信息；根据所述引导被动识别结果和所述主动探测信息获得所述第二识别结果。
8.在一个实施例中，还包括：基于所述被动识别数据进行所述探测目标的指向特征识别，其中，所述指向特征包括url、api、漏洞特征；根据识别的指向特征进行所述探测目标的主动指向探测；基于主动指向探测结果生成辅助主动识别数据；根据所述辅助主动识别数据、所述引导被动识别结果和所述主动探测信息获得所述第二识别结果。
9.在一个实施例中，还包括获得数据的属性数据和来源数据；根据所述属性数据和
所述来源数据进行所述主动识别数据和所述被动识别数据的数据主辅关系确定，并生成数据的主辅比例值；
10.将所述主辅比例值协同输入所述主被动融合模型进行深度关联融合，输出所述第一识别结果。
11.在一个实施例中，还包括：通过所述主被动融合模型的冲突判别模块进行数据冲突判定；当存在冲突数据时，依据可信度评价算法进行数据的可信度计算；依据可信度计算结果进行冲突数据的数据选择；通过数据选择结果完成数据的深度关联融合。
12.在一个实施例中，还包括：设置异常判别阈值；当所述第一识别结果和所述第二识别结果中的任意识别结果满足所述异常判别阈值时，则进行对应识别结果的异常保留；对所述异常保留进行异常核验后，确定所述探测目标的目标识别结果。
13.一种基于主被动数据融合分析的目标识别系统，包括：
14.探测数据发送模块，所述探测数据发送模块用于确定探测目标，向所述探测目标发送探测数据；
15.响应数据接收模块，所述响应数据接收模块用于接收所述目标的响应数据，将所述响应数据作为主动识别数据；
16.被动数据获得模块，所述被动数据获得模块用于采集所述探测目标的网络流量，对所述网络流量中应用层中http、ftp、smtp的协议数据包进行特征分析，获得分析结果，将所述分析结果作为被动识别数据；
17.第一识别结果输出模块，所述第一识别结果输出模块用于将所述主动识别数据和所述被动识别数据输入主被动融合模型进行深度关联融合，输出第一识别结果；
18.引导特征识别模块，所述引导特征识别模块用于分别对所述主动识别数据和所述被动识别数据进行引导特征识别；
19.第二识别结果生成模块，所述第二识别结果生成模块用于基于引导特征识别结果进行引导数据采集，生成第二识别结果；
20.目标识别结果生成模块，所述目标识别结果生成模块用于结合所述第一识别结果和所述第二识别结果，生成所述探测目标的目标识别结果。
21.上述一种基于主被动数据融合分析的目标识别方法，能够解决主动探测与被动探测数据融合过程中由于交互方式简单造成协同工作效率低的问题，首先接收探测目标的响应数据作为主动识别数据；然后采集探测目标的网络流量，并对所述网络流量中应用层中htt p、ftp、smtp的协议数据包进行指纹特征分析，并将特征分析结果作为被动识别数据；构建主被动融合模型，将所述主动识别数据和所述被动识别数据输入主被动融合模型进行深度关联融合，获得第一识别结果；通过构建主被动融合模型进行深度关联融合，可以在主被动获取数据发生冲突时，提炼影响数据价值的因素和判定要素，实现对冲突数据进行修正；对所述主动识别数据和所述被动识别数据进行引导特征识别，并根据引导特征识别结果进行引导数据采集，生成第二识别结果；最后结合所述第一识别结果和所述第二识别结果，生成所述探测目标的目标识别结果。可以实现流程化、自动化的高效协同融合，从而提高主被动协同工作的效率。
22.上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够
更明显易懂，以下特举本技术的具体实施方式。
附图说明
23.图1为本技术提供了一种基于主被动数据融合分析的目标识别方法的流程示意图；
24.图2为本技术提供了一种基于主被动数据融合分析的目标识别方法中获得第二识别结果的流程示意图；
25.图3为本技术提供了一种基于主被动数据融合分析的目标识别方法中输出第一识别结果的流程示意图；
26.图4为本技术提供了一种基于主被动数据融合分析的目标识别系统的结构示意图。
27.附图标记说明：探测数据发送模块1、响应数据接收模块2、被动数据获得模块3、第一识别结果输出模块4、引导特征识别模块5、第二识别结果生成模块6、目标识别结果生成模块7。
具体实施方式
28.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
29.如图1所示，本技术提供了一种基于主被动数据融合分析的目标识别方法，包括：
30.步骤s100：确定探测目标，向所述探测目标发送探测数据；
31.步骤s200：接收所述目标的响应数据，将所述响应数据作为主动识别数据；
32.具体而言，确定探测目标，所述探测目标是指需要进行资产发现的目标网络，主动向所述目标网络的网络资产发送探测数据包。然后接收所述目标网络发送的响应数据包，并对所述相应数据包进行目标特征提取，获得响应数据，所述响应数据包括服务器的操作系统、开放端口、存在的漏洞等信息，并将所述响应数据作为主动识别数据。通过主动探测可以获取所述目标网络暴露在互联网侧的网络资产、拓扑结构，以及网络资产节点的ip、端口、操作系统、服务器组件及版本、是否存在漏洞等态势数据。
33.步骤s300：采集所述探测目标的网络流量，对所述网络流量中应用层中http、ftp、smtp的协议数据包进行特征分析，获得分析结果，将所述分析结果作为被动识别数据；
34.具体而言，对所述探测目标的网络流量进行采集，并对所述网络流量中应用层中http、ftp、smtp的协议数据包中的指纹特征进行分析，所述指纹特征包括特殊字段banner或ip、tcp三次握手、dhcp等协议特征，获得分析结果，所述分析结果包括ip协议、dh cp协议等。并将所述分析结果作为被动识别数据。通过获得所述被动识别数据，为下一步进行主被动数据融合分析提供了支持。
35.步骤s400：将所述主动识别数据和所述被动识别数据输入主被动融合模型进行深度关联融合，输出第一识别结果；
36.如图2所示，在一个实施例中，本技术步骤s400还包括：
37.步骤s410：获得数据的属性数据和来源数据；
38.步骤s420：根据所述属性数据和所述来源数据进行所述主动识别数据和所述被动识别数据的数据主辅关系确定，并生成数据的主辅比例值；
39.步骤s430：将所述主辅比例值协同输入所述主被动融合模型进行深度关联融合，输出所述第一识别结果。
40.具体而言，构建主被动融合模型，所述主被动融合模型包括五层目标态势数据模型和冲突判别模块，所述五层是指地理、物理、逻辑、应用、社会五个层次，通过五层目标态势数据模型对获取数据按照不同层次不同属性进行融合。将所述主动识别数据和所述被动识别数据输入主被动融合模型，首先对所述主动识别数据和所述被动识别数据进行数据属性和来源提取，获得数据的属性数据和来源数据，所述属性是指所述五个层级中的目标属性，例如：在应用层中，所述目标属性包括操作系统名称、服务名称、应用名称、软件类型等多个属性。所述来源数据是指数据的获取途径，所述数据获取途径包括被动探测和主动探测两种方式。
41.然后根据所述属性数据和所述来源数据对所述主动识别数据和所述被动识别数据进行数据主辅关系确定，所述数据主辅关系是指将准确率较高的数据作为主数据、将准确率较低的数据作为辅助数据。所述准确率可以根据历史数据属性以及来源进行判断。例如：在应用层为服务名称的目标属性中，按照历史获取数据准确率来说，通过主动获取的目标属性的准确率大于被动获取的，则在所述服务名称的目标属性中，通过主动获取数据的准确率大于被动获取数据的准确率。通过所述数据主辅关系生成数据的主辅比例值，所述主辅比例值是指所述主动识别数据和所述被动识别数据占数据主关系的比例。将所述主辅比例值协同输入所述主被动融合模型中。通过生成所述主辅比例值，可以提高数据融合结果的准确率。
42.在一个实施例中，本技术步骤s430还包括：
43.步骤s431：通过所述主被动融合模型的冲突判别模块进行数据冲突判定；
44.步骤s432：当存在冲突数据时，依据可信度评价算法进行数据的可信度计算；
45.步骤s433：依据可信度计算结果进行冲突数据的数据选择；
46.步骤s434：通过数据选择结果完成数据的深度关联融合。
47.具体而言，通过所述主被动融合模型的冲突判别模块对所述主动识别数据和所述被动识别数据进行数据冲突判定，当存在冲突数据时，所述冲突数据是指所述主动识别数据与所述被动识别数据不一致的情况，构建可信度评价算法，所述可信度评价算法可基于所述主辅比例值、数据的完整性、数据的可靠性、数据的关联性等指标自定义设置，并根据所述可信度评价算法对冲突数据进行可信度计算，获得数据可信度计算结果。并将所述可信度计算结果中可信度高的数据作为冲突数据的最终选择数据，根据所述数据选择结果完成数据的深度关联融合，输出第一识别结果。通过根据可信度计算结果进行冲突数据的数据选择，可以在主被动获取数据发生冲突的情景下，获得数据价值更高的数据，从而实现对冲突数据的修正。
48.步骤s500：分别对所述主动识别数据和所述被动识别数据进行引导特征识别；
49.具体而言，对所述主动识别数据和所述被动识别数据进行引导特征识别，所述引导特征识别是指通过被动识别引导支撑主动识别，通过主动识别引导支撑被动识别。
50.步骤s600：基于引导特征识别结果进行引导数据采集，生成第二识别结果；
51.如图3所示，在一个实施例中，本技术步骤s600还包括：
52.步骤s610：基于所述主动识别数据对所述探测目标进行流量过滤条件的特征分析；
53.步骤s620：将特征分析结果作为被动引导特征识别结果；
54.步骤s630：将所述被动引导特征识别结果作为过滤条件，进行数据过滤分析；
55.步骤s640：生成引导被动识别结果，基于所述引导被动识别结果获得所述第二识别结果。
56.具体而言，在进行被动流量分析时，由于流量中存在海量的通信节点、通信协议、通信数据包，缺少明确的流量过滤条件，导致分析无从下手。可以根据所述主动识别数据对所述探测目标进行流量过滤条件的特征分析，获得特征分析结果，例如：主动识别数据中的互联网侧资产清单，可作为流量被动分析的筛选条件，提交予被动分析进行内部通联关系发掘、敏感信息挖掘、目标属性的交叉验证和拓展等。将所述特征分析结果作为被动引导特征识别结果，并将所述被动引导特征识别结果作为过滤条件，进行数据过滤分析，生成引导被动识别结果。例如：主动识别数据包含目标网络中的某台web服务器，将所述web服务器的ip和域名作为启动参数提交进行被动流量分析；被动流量分析将所述web服务器的ip和域名作为过滤条件，从流量中提取出了与所述web服务器通信的通联ip和http协议数据；通过将主动识别数据可作为被动流量分析的过滤条件，可以解决被动分析目标的不确定性，提高被动识别结果获取的效率和准确率。
57.在一个实施例中，本技术步骤s600还包括：
58.步骤s650：基于所述被动识别数据对所述探测目标进行通联关系挖掘，获得通联设备；
59.步骤s660：向所述通联设备发送主动探测数据，收集主动探测信息；
60.步骤s670：根据所述引导被动识别结果和所述主动探测信息获得所述第二识别结果。
61.具体而言，根据所述被动识别数据对所述探测目标进行通联关系挖掘，所述通联关系挖掘是指在对目标互联网侧一台服务器的通联关系分析中，挖掘出若干与该服务器存在通联关系的服务器ip等数据，获得通联设备。然后根据所述服务器ip向所述通联设备发送主动探测数据，并对所述服务器ip进行信息收集，获得主动探测信息。通过被动识别数据对探测目标进行通联关系挖掘，可以从流量数据中发掘出主动探测无法获取到的目标资产属性，内部网络拓扑结构等态势数据，实现探测目标属性数据的补充和完善。
62.在一个实施例中，本技术步骤s600还包括：
63.步骤s680：基于所述被动识别数据进行所述探测目标的指向特征识别，其中，所述指向特征包括url、api、漏洞特征；
64.步骤s690：根据识别的指向特征进行所述探测目标的主动指向探测；
65.步骤s6100：基于主动指向探测结果生成辅助主动识别数据；
66.步骤s6110：根据所述辅助主动识别数据、所述引导被动识别结果和所述主动探测信息获得所述第二识别结果。
67.具体而言，根据所述被动识别数据对所述探测目标的指向特征进行识别，其中所述指向特征包括url、api、漏洞特征。然后根据指向特征识别结果对所述探测目标进行主动
指向探测，并根据主动指向探测结果生成辅助主动识别数据。通过生成辅助主动识别数据，可以支撑主动探测对目标网络进行指向的脆弱性探测，从而提高主动探测目标选择的深度和精准度。最后根据所述辅助主动识别数据、所述引导被动识别结果和所述主动探测信息获得第二识别结果。
68.步骤s700：结合所述第一识别结果和所述第二识别结果，生成所述探测目标的目标识别结果。
69.在一个实施例中，本技术步骤s700还包括：
70.步骤s710：设置异常判别阈值；
71.步骤s720：当所述第一识别结果和所述第二识别结果中的任意识别结果满足所述异常判别阈值时，则进行对应识别结果的异常保留；
72.步骤s730：对所述异常保留进行异常核验后，确定所述探测目标的目标识别结果。
73.具体而言，设置异常判别阈值，所述异常判别阈值本领域技术人员可自定义设置，根据所述异常判别阈值对所述第一识别结果和所述第二识别结果进行判断，当所述第一识别结果和所述第二识别结果中的任意识别结果满足所述异常判别阈值时，则对满足所述异常阈值的任意识别结果进行异常保留，并对所述任意识别结果进行异常核验，所述异常核验可以通过另一种识别方式进行检测来核验，最后根据异常核验结果确定探测目标的目标识别结果。通过上述方法解决了主动探测与被动探测数据融合过程中由于交互方式简单造成协同工作效率低的问题，可以实现流程化、自动化的高效协同融合，从而提高主被动协同工作的效率。
74.在一个实施例中，如图4所示提供了一种基于主被动数据融合分析的目标识别系统，包括：探测数据发送模块1、响应数据接收模块2、被动数据获得模块3、第一识别结果输出模块4、引导特征识别模块5、第二识别结果生成模块6、目标识别结果生成模块7、其中：
75.探测数据发送模块1，所述探测数据发送模块1用于确定探测目标，向所述探测目标发送探测数据；
76.响应数据接收模块2，所述响应数据接收模块2用于接收所述目标的响应数据，将所述响应数据作为主动识别数据；
77.被动数据获得模块3，所述被动数据获得模块3用于采集所述探测目标的网络流量，对所述网络流量中应用层中http、ftp、smtp的协议数据包进行特征分析，获得分析结果，将所述分析结果作为被动识别数据；
78.第一识别结果输出模块4，所述第一识别结果输出模块4用于将所述主动识别数据和所述被动识别数据输入主被动融合模型进行深度关联融合，输出第一识别结果；
79.引导特征识别模块5，所述引导特征识别模块5用于分别对所述主动识别数据和所述被动识别数据进行引导特征识别；
80.第二识别结果生成模块6，所述第二识别结果生成模块6用于基于引导特征识别结果进行引导数据采集，生成第二识别结果；
81.目标识别结果生成模块7，所述目标识别结果生成模块7用于结合所述第一识别结果和所述第二识别结果，生成所述探测目标的目标识别结果。
82.在一个实施例中，所述系统还包括：
83.特征分析模块，所述特征分析模块用于基于所述主动识别数据对所述探测目标进
行流量过滤条件的特征分析；
84.被动引导特征识别结果获得模块，所述被动引导特征识别结果获得模块用于将特征分析结果作为被动引导特征识别结果；
85.数据过滤分析模块，所述数据过滤分析模块用于将所述被动引导特征识别结果作为过滤条件，进行数据过滤分析；
86.第二识别结果获得模块，所述第二识别结果获得模块用于生成引导被动识别结果，基于所述引导被动识别结果获得所述第二识别结果。
87.在一个实施例中，所述系统还包括：
88.通联关系挖掘模块，所述通联关系挖掘模块用于基于所述被动识别数据对所述探测目标进行通联关系挖掘，获得通联设备；
89.主动探测信息收集模块，所述主动探测信息收集模块用于向所述通联设备发送主动探测数据，收集主动探测信息；
90.第二识别结果获得模块，所述第二识别结果获得模块用于根据所述引导被动识别结果和所述主动探测信息获得所述第二识别结果。
91.在一个实施例中，所述系统还包括：
92.指向特征识别模块，所述指向特征识别模块用于基于所述被动识别数据进行所述探测目标的指向特征识别，其中，所述指向特征包括url、api、漏洞特征；
93.主动指向探测模块，所述主动指向探测模块用于根据识别的指向特征进行所述探测目标的主动指向探测；
94.辅助主动识别数据生成模块，所述辅助主动识别数据生成模块用于基于主动指向探测结果生成辅助主动识别数据；
95.第二识别结果获得模块，所述第二识别结果获得模块用于根据所述辅助主动识别数据、所述引导被动识别结果和所述主动探测信息获得所述第二识别结果。
96.在一个实施例中，所述系统还包括：
97.数据信息获得模块，所述数据信息获得模块用于获得数据的属性数据和来源数据；
98.数据主辅关系确定模块，所述数据主辅关系确定模块用于根据所述属性数据和所述来源数据进行所述主动识别数据和所述被动识别数据的数据主辅关系确定，并生成数据的主辅比例值；
99.第一识别结果输出模块，所述第一识别结果输出模块用于将所述主辅比例值协同输入所述主被动融合模型进行深度关联融合，输出所述第一识别结果。
100.在一个实施例中，所述系统还包括：
101.数据冲突判定模块，所述数据冲突判定模块用于通过所述主被动融合模型的冲突判别模块进行数据冲突判定；
102.可信度计算模块，所述可信度计算模块用于当存在冲突数据时，依据可信度评价算法进行数据的可信度计算；
103.数据选择模块，所述数据选择模块用于依据可信度计算结果进行冲突数据的数据选择；
104.深度关联融合模块，所述深度关联融合模块用于通过数据选择结果完成数据的深
度关联融合。
105.在一个实施例中，所述系统还包括：
106.异常判别阈值设置模块，所述异常判别阈值设置模块用于设置异常判别阈值；
107.异常保留模块，所述异常保留模块用于当所述第一识别结果和所述第二识别结果中的任意识别结果满足所述异常判别阈值时，则进行对应识别结果的异常保留；
108.目标识别结果确定模块，所述目标识别结果确定模块用于对所述异常保留进行异常核验后，确定所述探测目标的目标识别结果。
109.综上所述，本技术提供了一种基于主被动数据融合分析的目标识别方法具有以下技术效果：
110.1.解决了主动探测与被动探测数据融合过程中由于交互方式简单造成协同工作效率低的问题，可以实现流程化、自动化的高效协同融合，从而提高主被动协同工作的效率。
111.2.通过根据可信度计算结果进行冲突数据的数据选择，可以在主被动获取数据发生冲突的情景下，获得数据价值更高的数据，从而实现对冲突数据的修正。
112.3.通过将主动识别数据可作为被动流量分析的过滤条件，可以解决被动分析目标的不确定性，提高被动识别结果获取的效率和准确率。通过被动识别数据对探测目标进行通联关系挖掘，可以从流量数据中发掘出主动探测无法获取到的目标资产属性，内部网络拓扑结构等态势数据，实现探测目标属性数据的补充和完善。
113.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
114.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。

技术特征：
1.一种基于主被动数据融合分析的目标识别方法，其特征在于，所述方法包括：确定探测目标，向所述探测目标发送探测数据；接收所述目标的响应数据，将所述响应数据作为主动识别数据；采集所述探测目标的网络流量，对所述网络流量中应用层中http、ftp、smtp的协议数据包进行特征分析，获得分析结果，将所述分析结果作为被动识别数据；将所述主动识别数据和所述被动识别数据输入主被动融合模型进行深度关联融合，输出第一识别结果；分别对所述主动识别数据和所述被动识别数据进行引导特征识别；基于引导特征识别结果进行引导数据采集，生成第二识别结果；结合所述第一识别结果和所述第二识别结果，生成所述探测目标的目标识别结果。2.如权利要求1所述的方法，其特征在于，所述方法还包括：基于所述主动识别数据对所述探测目标进行流量过滤条件的特征分析；将特征分析结果作为被动引导特征识别结果；将所述被动引导特征识别结果作为过滤条件，进行数据过滤分析；生成引导被动识别结果，基于所述引导被动识别结果获得所述第二识别结果。3.如权利要求2所述的方法，其特征在于，所述方法还包括：基于所述被动识别数据对所述探测目标进行通联关系挖掘，获得通联设备；向所述通联设备发送主动探测数据，收集主动探测信息；根据所述引导被动识别结果和所述主动探测信息获得所述第二识别结果。4.如权利要求3所述的方法，其特征在于，所述方法还包括：基于所述被动识别数据进行所述探测目标的指向特征识别，其中，所述指向特征包括url、api、漏洞特征；根据识别的指向特征进行所述探测目标的主动指向探测；基于主动指向探测结果生成辅助主动识别数据；根据所述辅助主动识别数据、所述引导被动识别结果和所述主动探测信息获得所述第二识别结果。5.如权利要求1所述的方法，其特征在于，所述方法还包括：获得数据的属性数据和来源数据；根据所述属性数据和所述来源数据进行所述主动识别数据和所述被动识别数据的数据主辅关系确定，并生成数据的主辅比例值；将所述主辅比例值协同输入所述主被动融合模型进行深度关联融合，输出所述第一识别结果。6.如权利要求5所述的方法，其特征在于，所述将所述主动识别数据和所述被动识别数据输入主被动融合模型后，还包括：通过所述主被动融合模型的冲突判别模块进行数据冲突判定；当存在冲突数据时，依据可信度评价算法进行数据的可信度计算；依据可信度计算结果进行冲突数据的数据选择；通过数据选择结果完成数据的深度关联融合。7.如权利要求1所述的方法，其特征在于，所述方法还包括：
设置异常判别阈值；当所述第一识别结果和所述第二识别结果中的任意识别结果满足所述异常判别阈值时，则进行对应识别结果的异常保留；对所述异常保留进行异常核验后，确定所述探测目标的目标识别结果。8.一种基于主被动数据融合分析的目标识别系统，其特征在于，所述系统包括：探测数据发送模块，所述探测数据发送模块用于确定探测目标，向所述探测目标发送探测数据；响应数据接收模块，所述响应数据接收模块用于接收所述目标的响应数据，将所述响应数据作为主动识别数据；被动数据获得模块，所述被动数据获得模块用于采集所述探测目标的网络流量，对所述网络流量中应用层中http、ftp、smtp的协议数据包进行特征分析，获得分析结果，将所述分析结果作为被动识别数据；第一识别结果输出模块，所述第一识别结果输出模块用于将所述主动识别数据和所述被动识别数据输入主被动融合模型进行深度关联融合，输出第一识别结果；引导特征识别模块，所述引导特征识别模块用于分别对所述主动识别数据和所述被动识别数据进行引导特征识别；第二识别结果生成模块，所述第二识别结果生成模块用于基于引导特征识别结果进行引导数据采集，生成第二识别结果；目标识别结果生成模块，所述目标识别结果生成模块用于结合所述第一识别结果和所述第二识别结果，生成所述探测目标的目标识别结果。

技术总结
本申请涉及网络安全技术领域，提供了一种基于主被动数据融合分析的目标识别方法，包括：向探测目标发送探测数据；接收目标的响应数据作为主动识别数据；采集探测目标的网络流量，进行特征分析，获得被动识别数据；将主动识别数据和被动识别数据输入主被动融合模型进行深度关联融合，输出第一识别结果；对主动识别数据和被动识别数据进行引导特征识别；进行引导数据采集，生成第二识别结果；结合第一识别结果和第二识别结果，生成目标识别结果。解决了主动探测与被动探测数据融合过程中由于交互方式简单造成协同工作效率低的问题，通过上述方法可以实现流程化、自动化的高效协同融合，从而提高主被动协同工作的效率。从而提高主被动协同工作的效率。从而提高主被动协同工作的效率。


技术研发人员：张玲 卫传征 巩克现
受保护的技术使用者：北京赛博易安科技有限公司
技术研发日：2023.04.14
技术公布日：2023/7/21