CN111555988B - 一种基于大数据的网络资产测绘发现方法及装置 - Google Patents

Abstract

本发明涉及一种基于大数据的网络资产测绘发现方法及装置，其中，基于大数据的网络资产测绘发现方法包括：步骤S1，执行被动探测，获取待探测网络对象的流量数据并分析识别；步骤S2，针对步骤S1执行被动探测的识别结果，发送探测报文进行主动探测并分析识别；步骤S3，将被动探测和主动探测的识别结果使用关联分析算法进行数据分析；步骤S4，将被动探测和主动探测的识别结果结合网络资产样本库进行数据分析；步骤S5，将步骤S3和步骤S4的分析结果进行组合判断，获得组合判断结果。本发明从深度挖掘和大数据分析角度完善了网络资产测绘发现的分析模式，分析结果更好地满足了网络安全的需要。

Description

一种基于大数据的网络资产测绘发现方法及装置

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于大数据的网络资产测绘发现方法及装置。

背景技术

网络在各方面都得到广泛的应用，随着网络技术的发展，网络上运行的业务也越来越多，与之相对应的是网络资产的增多，网络资产是指网络中使用的各种设备，主要包括主机、路由器、交换机以及安全设备如防火墙等。随着网络资产的增多，带来的安全风险也越来越大，网络资产测绘发现技术即是面临面临该环境下的一种安全检测技术。

常规的网络资产测绘发现技术通过向本地或远程主机IP发送探测数据包，获得响应后对反馈数据包进行分析，从而获得相应主机的端口开发情况以及所提供的服务信息，从而发现主机弱点和漏洞，改进网络安全。然而随着网络攻击技术的迅速发展，常规网络资产测绘的模式单调，缺乏深度挖掘和大数据分析，不能满足网络安全的需要，这也成为目前亟需解决的问题。

发明内容

本发明所要解决的技术问题在于，提供一种基于大数据的网络资产测绘发现方法及装置，以完善网络资产测绘发现的分析模式，满足网络安全的需要。

为了解决上述技术问题，本发明提供一种基于大数据的网络资产测绘发现方法，包括：

步骤S1，执行被动探测，获取待探测网络对象的流量数据并分析识别；

步骤S2，针对步骤S1执行被动探测的识别结果，发送探测报文进行主动探测并分析识别；

步骤S3，将被动探测和主动探测的识别结果使用关联分析算法进行数据分析；

步骤S4，将被动探测和主动探测的识别结果结合网络资产样本库进行数据分析；

步骤S5，将步骤S3和步骤S4的分析结果进行组合判断，获得组合判断结果。

进一步地，所述步骤S1具体包括：获取待探测网络中的路由器中的流量数据，识别流量数据中的IP、端口、流量方向，根据端口与服务特征对照关系识别网络资产的服务。

进一步地，所述步骤S2具体包括：针对被动探测识别的网络资产的变化以及IP、端口、服务的变化，设计特定的探测报文并发送，扫描指定的IP段和端口，采集端口的状态并生成端口数据，收到端口数据后识别IP、端口，根据端口与服务特征对照关系识别网络资产的服务。

进一步地，所述步骤S3具体包括：使用关联分析算法将被动探测和主动探测的识别结果从时间序列、IP、端口、服务角度分析二者之间的关系，得到网络资产测绘发现的第一分析结果。

进一步地，所述步骤S4具体包括：将步骤S1和步骤S2识别出来的网络资产变化、IP变化、端口变化、服务变化的数据与网络资产样本库的内容进行对比，通过对比，得到网络资产测绘发现的第二分析结果。

进一步地，所述步骤S5具体包括：将所述第一分析结果和所述第二分析结果数字化为带正负号的数值，并依据历史数据对所述数值赋予对应的权重，再将所述数值分别与其对应的权重相乘，得到的乘积再相加求和，获得组合判断结果。

本发明还提供一种基于大数据的网络资产测绘发现装置，包括：

被动探测单元，用于执行被动探测，获取待探测网络对象的流量数据并分析识别；

主动探测单元，用于针对所述被动探测单元的识别结果，发送探测报文进行主动探测并分析识别；

关联分析单元，用于将所述被动探测单元和所述主动探测单元的识别结果使用关联分析算法进行数据分析；

对比分析单元，用于将所述被动探测单元和所述主动探测单元的识别结果结合网络资产样本库进行数据分析；

组合判断单元，用于将所述关联分析单元和所述对比分析单元的分析结果进行组合判断，获得组合判断结果。

进一步地，所述被动探测单元具体包括：

获取单元，用于获取待探测网络中的路由器中的流量数据；

被动识别单元，用于识别流量数据中的IP、端口、流量方向，根据端口与服务特征对照关系识别网络资产的服务。。

进一步地，所述主动探测单元具体包括：

设计单元，用于针对所述被动探测单元识别的网络资产的变化以及IP、端口、服务的变化，设计特定的探测报文；

扫描单元，用于发送所述特定的探测报文，扫描指定的IP段和端口，采集端口的状态并生成端口数据；

主动识别单元，用于收到端口数据后识别IP、端口，根据端口与服务特征对照关系识别网络资产的服务。

进一步地，所述关联分析单元具体用于使用关联分析算法将所述被动探测单元和所述主动探测单元的识别结果从时间序列、IP、端口、服务角度分析二者之间的关系，得到网络资产测绘发现的第一分析结果。

进一步地，所述对比分析单元具体用于将所述被动探测单元和所述主动探测单元识别出来的网络资产变化、IP变化、端口变化、服务变化的数据与网络资产样本库的内容进行对比，通过对比，得到网络资产测绘发现的第二分析结果。

进一步地，所述组合判断单元具体包括：

数字化单元，用于将所述第一分析结果和所述第二分析结果数字化为带正负号的数值；

权重赋予单元，用于依据历史数据对所述数值赋予对应的权重；

组合判断单元，用于将所述数值分别与其对应的权重相乘，得到的乘积再相加求和，获得组合判断结果。

本发明实施例的有益效果在于，本发明对被动探测和主动探测的结果进行关联分析作为第一分析结果，对被动探测和主动探测的结果结合大数据的网络资产样本库分析作为第二分析结果，再将两个结果进行组合判断，从深度挖掘和大数据分析角度完善了网络资产测绘发现的分析模式，分析结果更好的满足了网络安全的需要。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一一种基于大数据的网络资产测绘发现方法的流程示意图。

图2是本发明实施例的原理框图。

具体实施方式

以下各实施例的说明是参考附图，用以示例本发明可以用以实施的特定实施例。

请参照图1所示，本发明实施例一提供一种基于大数据的网络资产测绘发现方法，包括：

步骤S1，执行被动探测，获取待探测网络对象的流量数据并分析识别；

步骤S2，针对步骤S1执行被动探测的识别结果，发送探测报文进行主动探测并分析识别；

步骤S3，将被动探测和主动探测的识别结果使用关联分析算法进行数据分析；

步骤S4，将被动探测和主动探测的识别结果结合网络资产样本库进行数据分析；

步骤S5，将步骤S3和步骤S4的分析结果进行组合判断，获得组合判断结果。

具体地，请结合图2所示，步骤S1中被动探测的对象是待探测网络中的路由器，与路由器建立联系，获取经过路由器的流量数据，可根据具体需求获取某一时间段的流量数据；之后对获取到的数据做数据清洗的预处理工作，剔除明显错误的数据，根据数据报文中流量方向确定资产基本信息，获取源端和目的端的IP，判断是本网内的资产抑或本网外的资产。本网内的资产是需要检测的资产。然后识别该资产的端口，根据端口与服务特征对照关系表，识别网络资产的服务。

被动探测的结果可以初步识别出本网内的网络资产，与之前本网内的资产数据相比较，可以识别出产生变化的网络资产，包括新增的、消失的、替换的、以及网络异常的。

由此可知，步骤S1具体包括：获取待探测网络中的路由器中的流量数据，识别流量数据中的IP、端口、流量方向，根据端口与服务特征对照关系识别网络资产的服务。

步骤S2在步骤S1的被动探测之后，向初步识别出的产生变化的网络资产的IP发起主动探测，方式是根据被动探测识别的资产类型，以及有可能的变化类型，设计特定的探测报文并向目标IP发送，扫描指定的IP段和端口，采集端口的状态并生成端口数据，端口数据回馈，接收回馈的端口报文数据；识别该反馈报文对应的网络资产，确定网络资产的变化，以及对应端口的变化，根据端口与服务特征对照关系表识别服务。

由此可知，步骤S2具体方法：针对被动探测识别的网络资产的变化以及IP、端口、服务的变化，设计特定的探测报文并发送，扫描指定的IP段和端口，采集端口的状态并生成端口数据，收到端口数据后识别IP、端口，根据端口与服务特征对照关系识别网络资产的服务。

步骤S3将执行关联分析，也称为第一分析，其是对步骤S1和步骤S2识别出来的网络资产变化、IP变化、端口变化、服务变化的数据使用关联分析算法Apriori进行关联分析。

具体来说，关联分析算法是为了从{A，B，C，D}，{A，B}……等集合中找出例如A→B规则，如{A}，{C}就称之为1项集，{A，B}就称之为2项集，{A，B，C……}就称之为k项集，本发明实施例是3项集，包括IP、端口、服务这三项。关联分析将进行这三项数据的分析，分析过程中这三项数据的编号以时间序列为基本参照，通过Apriori算法产生的3项集的验证过程可以拆解成每一项的简单计数，每一项单独验证还可以一定程度上解决各节点间的相互等待的问题。

经过关联分析后，得到网络资产测绘发现的第一分析结果。

由此可知，步骤S3具体包括：使用关联分析算法将被动探测和主动探测的识别结果从时间序列、IP、端口、服务角度分析二者之间的关系，得到网络资产测绘发现的第一分析结果。

步骤S4将进行对比分析，也称为第二分析，其是与步骤S3平行的步骤，主要是结合已有的网络资产样本库，将步骤S1和步骤S2识别出来的网络资产变化、IP变化、端口变化、服务变化的数据与网络资产样本库的内容进行对比，通过对比，得到网络资产测绘发现的第二分析结果。

由此可知，步骤S4具体包括：将步骤S1和步骤S2识别出来的网络资产变化、IP变化、端口变化、服务变化的数据与网络资产样本库的内容进行对比，通过对比，得到网络资产测绘发现的第二分析结果。

步骤S4是基于步骤S3和步骤S4的分析结果，将两个分析结果(第一分析结果和第二分析结果)数据化，按照如下公式进行组合判断：

S＝A×K1+B×K2

其中，K1是关联分析结果的数据化数值，网络资产正常则为正值，异常则为负值；K2是对比分析结果的数据化数值，网络资产正常则为正值，异常则为负值；A是K1的权重系数；B是K2的权重系数；S为组合判断结果。权重系数A、B是根据网络资产的历史数据的关联分析结果、对比分析结果进行数据训练得到的。

由此可知，步骤S5具体包括：将步骤S3和步骤S4的网络资产测绘发现结果数字化为带正负号的数值，并将所述数值分别与其对应的权重相乘，得到的乘积相加求和，获得组合判断结果。根据得到的组合判断结果最终判断网络资产测绘发现的结论。

按照上述步骤对某网络进行试验，可以很好地辨识出由于受到黑客攻击等原因产生变化的网络资产，辨识效果远超过单一的主动探测模式或被动探测模式。

相应于本发明实施例一，本发明实施例二提供一种基于大数据的网络资产测绘发现装置，包括：

被动探测单元，用于执行被动探测，获取待探测网络对象的流量数据并分析识别；

主动探测单元，用于针对所述被动探测单元的识别结果，发送探测报文进行主动探测并分析识别；

关联分析单元，用于将所述被动探测单元和所述主动探测单元的识别结果使用关联分析算法进行数据分析；

对比分析单元，用于将所述被动探测单元和所述主动探测单元的识别结果结合网络资产样本库进行数据分析；

组合判断单元，用于将所述关联分析单元和所述对比分析单元的分析结果进行组合判断，获得组合判断结果。

进一步地，所述被动探测单元具体包括：

获取单元，用于获取待探测网络中的路由器中的流量数据；

被动识别单元，用于识别流量数据中的IP、端口、流量方向，根据端口与服务特征对照关系识别网络资产的服务。。

进一步地，所述主动探测单元具体包括：

设计单元，用于针对所述被动探测单元识别的网络资产的变化以及IP、端口、服务的变化，设计特定的探测报文；

扫描单元，用于发送所述特定的探测报文，扫描指定的IP段和端口，采集端口的状态并生成端口数据；

主动识别单元，用于收到端口数据后识别IP、端口，根据端口与服务特征对照关系识别网络资产的服务。

进一步地，所述关联分析单元具体用于使用关联分析算法将所述被动探测单元和所述主动探测单元的识别结果从时间序列、IP、端口、服务角度分析二者之间的关系，得到网络资产测绘发现的第一分析结果。

进一步地，所述对比分析单元具体用于将所述被动探测单元和所述主动探测单元识别出来的网络资产变化、IP变化、端口变化、服务变化的数据与网络资产样本库的内容进行对比，通过对比，得到网络资产测绘发现的第二分析结果。

进一步地，所述组合判断单元具体包括：

数字化单元，用于将所述第一分析结果和所述第二分析结果数字化为带正负号的数值；

权重赋予单元，用于依据历史数据对所述数值赋予对应的权重；

组合判断单元，用于将所述数值分别与其对应的权重相乘，得到的乘积再相加求和，获得组合判断结果。

通过上述说明可知，本发明实施例的有益效果在于，本发明对被动探测和主动探测的结果进行关联分析作为第一分析结果，对被动探测和主动探测的结果结合大数据的网络资产样本库分析作为第二分析结果，再将两个结果进行组合判断，从深度挖掘和大数据分析角度完善了网络资产测绘发现的分析模式，分析结果更好的满足了网络安全的需要。

以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims (8)

1.一种基于大数据的网络资产测绘发现方法，其特征在于，包括：

步骤S1，执行被动探测，获取待探测网络对象的流量数据并分析识别；

步骤S2，针对步骤S1执行被动探测的识别结果，发送探测报文进行主动探测并分析识别；

步骤S3，将被动探测和主动探测的识别结果使用关联分析算法进行数据分析；

步骤S4，将被动探测和主动探测的识别结果结合网络资产样本库进行数据分析；

步骤S5，将步骤S3和步骤S4的分析结果进行组合判断，获得组合判断结果；

所述步骤S1具体包括：获取待探测网络中的路由器中的流量数据，识别流量数据中的IP、端口、流量方向，根据端口与服务特征对照关系识别网络资产的服务；

所述步骤S2具体包括：针对被动探测识别的网络资产的变化以及IP、端口、服务的变化，设计第一探测报文并发送，扫描指定的IP段和端口，采集端口的状态并生成端口数据，收到端口数据后识别IP、端口，根据端口与服务特征对照关系识别网络资产的服务。

2.根据权利要求1所述的基于大数据的网络资产测绘发现方法，其特征在于，所述步骤S3具体包括：使用关联分析算法将被动探测和主动探测的识别结果从时间序列、IP、端口、服务角度分析二者之间的关系，得到网络资产测绘发现的第一分析结果。

3.根据权利要求2所述的基于大数据的网络资产测绘发现方法，其特征在于，所述步骤S4具体包括：将步骤S1和步骤S2识别出来的网络资产变化、IP变化、端口变化、服务变化的数据与网络资产样本库的内容进行对比，通过对比，得到网络资产测绘发现的第二分析结果。

4.根据权利要求3所述的基于大数据的网络资产测绘发现方法，其特征在于，所述步骤S5具体包括：将所述第一分析结果和所述第二分析结果数字化为带正负号的数值，并依据历史数据对所述数值赋予对应的权重，再将所述数值分别与其对应的权重相乘，得到的乘积再相加求和，获得组合判断结果。

5.一种基于大数据的网络资产测绘发现装置，其特征在于，包括：

被动探测单元，用于执行被动探测，获取待探测网络对象的流量数据并分析识别；

主动探测单元，用于针对所述被动探测单元的识别结果，发送探测报文进行主动探测并分析识别；

关联分析单元，用于将所述被动探测单元和所述主动探测单元的识别结果使用关联分析算法进行数据分析；

对比分析单元，用于将所述被动探测单元和所述主动探测单元的识别结果结合网络资产样本库进行数据分析；

组合判断单元，用于将所述关联分析单元和所述对比分析单元的分析结果进行组合判断，获得组合判断结果；

所述被动探测单元具体包括：

获取单元，用于获取待探测网络中的路由器中的流量数据；

被动识别单元，用于识别流量数据中的IP、端口、流量方向，根据端口与服务特征对照关系识别网络资产的服务；

所述主动探测单元具体包括：

设计单元，用于针对所述被动探测单元识别的网络资产的变化以及IP、端口、服务的变化，设计第一探测报文；

扫描单元，用于发送所述第一探测报文，扫描指定的IP段和端口，采集端口的状态并生成端口数据；

主动识别单元，用于收到端口数据后识别IP、端口，根据端口与服务特征对照关系识别网络资产的服务。

6.根据权利要求5所述的基于大数据的网络资产测绘发现装置，其特征在于，所述关联分析单元具体用于使用关联分析算法将所述被动探测单元和所述主动探测单元的识别结果从时间序列、IP、端口、服务角度分析二者之间的关系，得到网络资产测绘发现的第一分析结果。

7.根据权利要求6所述的基于大数据的网络资产测绘发现装置，其特征在于，所述对比分析单元具体用于将所述被动探测单元和所述主动探测单元识别出来的网络资产变化、IP变化、端口变化、服务变化的数据与网络资产样本库的内容进行对比，通过对比，得到网络资产测绘发现的第二分析结果。

8.根据权利要求7所述的基于大数据的网络资产测绘发现装置，其特征在于，所述组合判断单元具体包括：

数字化单元，用于将所述第一分析结果和所述第二分析结果数字化为带正负号的数值；

权重赋予单元，用于依据历史数据对所述数值赋予对应的权重；

组合判断单元，用于将所述数值分别与其对应的权重相乘，得到的乘积再相加求和，获得组合判断结果。