CN111726337A - 一种设备资产探测方法及装置 - Google Patents
一种设备资产探测方法及装置 Download PDFInfo
- Publication number
- CN111726337A CN111726337A CN202010408650.5A CN202010408650A CN111726337A CN 111726337 A CN111726337 A CN 111726337A CN 202010408650 A CN202010408650 A CN 202010408650A CN 111726337 A CN111726337 A CN 111726337A
- Authority
- CN
- China
- Prior art keywords
- equipment
- target
- asset
- target equipment
- asset information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本说明书一个或多个实施例提供一种设备资产探测方法及装置,该方法包括由设备IP数据库确定目标设备IP及目标设备IP的端口开放信息;基于目标设备IP的端口开放信息,与目标设备IP建立通信连接,进行资产探测以使目标设备IP反馈设备资产信息数据包;解析目标设备IP反馈的设备资产信息数据包,获得目标设备IP对应的目标设备及目标设备的资产信息;基于目标设备的资产信息,确定是否对目标设备IP进行增量探测。通过对目标设备IP进行资产探测,获得目标设备IP对应的目标设备及该目标设备的资产信息,并通过对目标设备的资产信息进行分析判断,确定是否对目标设备IP进行增量探测,能够提高目标设备的资产信息的准确率,并获得更深入的资产信息。
Description
技术领域
本说明书一个或多个实施例涉及工业互联网安全技术领域,尤其涉及一种设备资产探测方法及装置。
背景技术
最近几年,根据最新的工业网络空间安全态势分析报告,针对工控设备的网络攻击频发不断,攻击手段不断提升,攻击后果也越来越严重,工业控制系统具有实时性的重要属性,实时监测工控系统中的设备状态信息是及时发现漏洞安全问题的重要依据,因此,需要对工控系统中的设备进行探测。
传统的探测方法对设备的探测都采用同一路径方法,发送同一类功能码,没有对工控协议的功能码和响应数据报文进行更加深入细致的分析,因此获取的设备资产信息准确率低。
发明内容
有鉴于此,本说明书一个或多个实施例的目的在于提出一种设备资产探测方,以使获得的设备资产信息准确率更高。
基于上述目的,本说明书一个或多个实施例第一方面提供了一种设备资产探测方法及装置,所述方法包括:
由设备IP数据库确定目标设备IP及所述目标设备IP的端口开放信息;
基于所述目标设备IP的端口开放信息,与所述目标设备IP建立通信连接,进行资产探测以使所述目标设备IP反馈设备资产信息数据包;
解析所述目标设备IP反馈的设备资产信息数据包,获得所述目标设备IP对应的目标设备及目标设备的资产信息;
基于所述目标设备的资产信息,确定是否对所述目标设备IP进行增量探测。
可选地,所述基于所述目标设备的资产信息,确定是否对所述目标设备IP进行增量探测,包括:
对所述目标设备的资产信息进行分类;
判断所述目标设备的资产信息是否完整;
若否,则重新建立与所述目标设备IP的通信连接,以使所述目标设备IP再次反馈设备资产信息数据包;
解析所述目标设备IP再次反馈的设备资产信息数据包,重新获得所述目标设备的资产信息,并根据重新获得的所述目标设备的资产信息,执行对所述目标设备的资产信息进行分类的步骤。
可选地,所述对所述目标设备的资产信息进行分类,包括:
利用正则匹配,对所述目标设备的资产信息进行资产对象字段匹配,以对所述目标设备的资产信息进行分类。
可选地,所述重新建立与所述目标设备IP的通信连接,包括:
重新发送带有重置负载的资产信息请求数据包至所述目标设备IP。
可选地,所述方法还包括构建设备IP数据库;其中,所述设备IP数据库中包括多个设备IP及各设备IP的端口开放信息;
所述设备IP数据库的构建方法,包括:
通过自动化脚本的方式多次向全网范围内的设备IP进行端口探活;
将探活结果去重合并后获得探活成功的设备IP数据库。
可选地,所述通过自动化脚本的方式多次向全网范围内的设备IP进行端口探活,包括:
通过自动化脚本的方式多次向全网范围内的设备IP发送协议端口信息数据包,以确定全网范围内的设备IP的端口开启信息。
可选地,所述基于所述目标设备IP的端口开放信息,与所述目标设备IP建立通信连接,进行资产探测以使所述目标设备IP反馈设备资产信息数据包,包括:
基于所述目标设备IP的端口开放信息,确定所述目标设备IP采用的工控协议;
基于所述目标设备IP采用的工控协议,向所述目标设备IP发送对应的资产信息请求数据包,以使所述目标设备IP根据接收的资产信息请求数据包反馈设备资产信息数据包。
可选地,所述方法还包括:
设置对所述目标设备IP进行资产探测时的停等时间长度和停等时间窗口。
可选地,所述解析所述目标设备IP反馈的设备资产信息数据包,获得所述目标设备IP对应的目标设备及目标设备的资产信息,包括:
提取所述目标设备IP反馈的设备资产信息数据包中的关键字段;
对所述关键字段进行识别,获得所述目标设备IP对应的目标设备及目标设备的资产信息。
基于相同目的,本说明书一个或多个实施例第二方面提供了一种设备资产探测装置,所述装置包括:
目标设备IP确定模块,用于由设备IP数据库确定目标设备IP及所述目标设备IP的端口开放信息;
资产探测模块,用于基于所述目标设备IP的端口开放信息,与所述目标设备IP建立通信连接,进行资产探测以使所述目标设备IP反馈设备资产信息数据包;
解析模块,用于解析所述目标设备IP反馈的设备资产信息数据包,获得所述目标设备IP对应的目标设备及目标设备的资产信息;
增量探测确定模块,用于基于所述目标设备的资产信息,确定是否对所述目标设备IP进行增量探测。
可选地,所述增量探测确定模块,包括:
分类单元,用于对所述目标设备的资产信息进行分类;
判断单元,用于判断所述目标设备的资产信息是否完整;若所述判断单元判定所述目标设备的资产信息不完整,则资产探测模块重新建立与所述目标设备IP的通信连接,以使所述目标设备IP再次反馈设备资产信息数据包,解析模块解析所述目标设备IP再次反馈的设备资产信息数据包,重新获得所述目标设备的资产信息,分类单元根据重新获得的所述目标设备的资产信息,对所述目标设备的资产信息进行分类。
可选地,所述分类单元,具体用于:
利用正则匹配,对所述目标设备的资产信息进行资产对象字段匹配,以对所述目标设备的资产信息进行分类。
可选地,所述资产探测模块还用于重新发送带有重置负载的资产信息请求数据包至所述目标设备IP。
可选地,所述装置还包括设备IP数据库构建模块;其中,所述设备IP数据库中包括多个设备IP及各设备IP的端口开放信息;
所述设备IP数据库构建模块,包括:
端口探活单元,用于通过自动化脚本的方式多次向全网范围内的设备IP进行端口探活;
去重合并单元,用于将探活结果去重合并后获得探活成功的设备IP数据库。
可选地,端口探活单元,具体用于通过自动化脚本的方式多次向全网范围内的设备IP发送协议端口信息数据包,以确定全网范围内的设备IP的端口开启信息。
可选地,资产探测模块,包括:
工控协议确定单元,用于基于所述目标设备IP的端口开放信息,确定所述目标设备IP采用的工控协议;
资产信息请求数据包发送单元,用于基于所述目标设备IP采用的工控协议,向所述目标设备IP发送对应的资产信息请求数据包,以使所述目标设备IP根据接收的资产信息请求数据包反馈设备资产信息数据包。
可选地,所述装置还包括停等时间设置模块,用于设置对所述目标设备IP进行资产探测时的停等时间长度和停等时间窗口。
可选地,所述解析模块,具体用于:
提取所述目标设备IP反馈的设备资产信息数据包中的关键字段;
对所述关键字段进行识别,获得所述目标设备IP对应的目标设备及目标设备的资产信息。
从上面所述可以看出,本说明书一个或多个实施例提供的设备资产探测方法及装置,通过基于目标设备IP的端口开放信息,对目标设备IP进行资产探测,获得目标设备IP对应的目标设备及该目标设备的资产信息,并通过对目标设备的资产信息进行分析判断,确定是否对目标设备IP进行增量探测,能够提高目标设备的资产信息的准确率,并获得更深入的资产信息。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书一个或多个实施例提供的设备资产探测方法的流程示意图;
图2为对步骤S14的解释说明;
图3为本说明书一个或多个实施例提供的设备资产探测装置的结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。
最近几年,根据最新的工业网络空间安全态势分析报告,针对工控设备的网络攻击频发不断,攻击手段不断提升,攻击后果也越来越严重,工业控制系统具有实时性的重要属性,实时监测工控系统中的设备状态信息是及时发现漏洞安全问题的重要依据,因此,需要对工控系统中的设备进行探测。
传统网络探测工具采用的探测策略一般都是周期式,利用自动化脚本运行时,这些工具对设备的探测存在一定局限性,目前的研究都是基于对传统探测方式工具层面的优化,缺少对探测深度的改进。传统的探测方法对设备的探测都采用同一路径方法,发送同一类功能码,没有对工控协议的功能码和响应数据报文进行更加深入细致的分析,没有考虑到多种复杂情况下的应该设置不同的探测策略,因此获取的设备资产信息准确率低,且对对工控设备探测的深度不够。
为了解决上述问题,本说明书提供了一种设备资产探测方法及装置,通过获取包含多个设备IP及各设备IP的端口开放信息的设备IP数据库,然后基于设备IP数据库确定目标设备IP及目标设备IP的端口开放信息;进一步根据目标设备IP的端口开放信息与目标设备IP建立通信连接进行资产探测,目标设备IP反馈设备资产信息数据包,解析设备资产信息数据包并获得目标设备IP对应的目标设备及目标设备的资产信息;进而根据解析得到的目标设备的资产信息,确定是否对目标设备IP进行增量探测。该方法装置可以应用于计算机、平板电脑、智能手机、云服务器、云端等,具体不做限定。
为了便于理解,下面结合附图对该设备资产探测方法进行详细说明。
图1为本说明书提供的设备资产探测方法的流程示意图;如图1所示,该方法包括:
S11、由设备IP数据库确定目标设备IP及目标设备IP的端口开放信息;
S12、基于目标设备IP的端口开放信息,与目标设备IP建立通信连接,进行资产探测以使目标设备IP反馈设备资产信息数据包;
S13、解析目标设备IP反馈的设备资产信息数据包,获得目标设备IP对应的目标设备及目标设备的资产信息;
S14、基于目标设备的资产信息,确定是否对目标设备IP进行增量探测。
本实施例中,设备指工控设备;端口开放信息指设备IP是否开启了工控协议支持的端口,以及开启的端口是与哪种工控协议对应的端口。在实际应用中,工控协议可以指modbus协议、s7协议、dnp3协议及bacnet协议中的一种或多种协议,具体不做限定。
为了对全网内的工控设备进行资产探测,执行本方法的电子设备(以下简称本电子设备)可以首先获取全网内的端口开放的设备IP及各设备IP的端口开放信息,建立设备IP数据库,则设备IP数据库中包括多个设置IP及各设备IP的端口开放信息;在实际应用中,设备IP数据库中包括多个设备IP指设备IP数据库中含有至少两个设备IP,具体不做限定。
获取设备IP数据库后,进一步确定在设备IP数据库中想要对其进行资产探测的目标设备IP,及其该目标设备IP对应的端口开放信息;根据该目标设备IP的端口开放信息与该目标设备IP建立通信连接,对该目标设备IP进行资产探测,该目标设备IP反馈设备资产信息数据包至本电子设备。
获取设备资产信息数据包后,对目标设备IP反馈的设备资产信息数据包进行解析,基于解析结果确定该目标设备IP对应的目标设备及该目标设备的资产信息。
在实际应用中,为了能够获得更准确、探测深度足够的目标设备的资产信息,获得目标设备的资产信息后,可以对目标设备的资产信息进行深入分析判断,判断获得的目标设备的资产信息是否完整,基于判断结果确定是否需要对目标设备IP进行增量探测。
关于设备IP数据库的构建方法、对目标设备IP进行资产探测的方法、对于设备资产信息数据包的解析方法以及是否进行增量探测的确定方法,后续分别会进行详细说明,在此不再赘述。
可以理解的是,通过基于目标设备IP的端口开放信息,对目标设备IP进行资产探测,获得目标设备IP对应的目标设备及该目标设备的资产信息,并通过对目标设备的资产信息进行分析判断,确定是否对目标设备IP进行增量探测,能够提高目标设备的资产信息的准确率,并获得更深入的资产信息。
在实际应用中,为了提高获得的目标设备的资产信息的准确度,可以根据已获得的目标设备的资产信息,确定是否需要进行增量探测;如果目标设备的资产信息不完整,则需要进行增量探测。
则,图2为对于步骤S14的解释说明;如图2所述,在一些可能的实施方式中,基于目标设备的资产信息,确定是否对目标设备IP进行增量探测,包括:
S21、对目标设备的资产信息进行分类;
S22、判断目标设备的资产信息是否完整;
S23、若否,则重新建立与目标设备IP的通信连接,以使目标设备IP再次反馈设备资产信息数据包;
S24、解析目标设备IP再次反馈的设备资产信息数据包,重新获得目标设备的资产信息,并根据重新获得的目标设备的资产信息,执行对目标设备的资产信息进行分类的步骤。
在实际应用中,为了确定是否需要对目标设备IP进行增量探测,首先可以对目标设备的资产信息进行分类;在实际应用中,可以采用正则匹配,对目标设备的资产信息进行资产对象字段匹配,以对目标设备的资产信息进行分类;即,可以利用正则匹配,匹配资产对象字段,从而对目标设备的资产信息进行分类。
当目标设备的资产信息的分类结果中存在部分资产对象的信息不完整时,即表明该获得的该目标设备的资产信息不完整,则需要与目标设备IP重新建立通信连接,建立通信连接后,目标设备IP再次向本电子设备反馈设备资产信息数据包。在实际应用中,由于每个工控设备具有差异性,工控设备通常待有负载,则与目标设备IP重新通信连接时,为了提高通信效率,以获得更全面准确的设备资产信息,可以发送重新发送带有重置负载的资产信息请求数据包至目标设备IP,以再次与目标设备IP建立通信连接。需要说明的是,负载指包含请求资产信息的数据包。
再次获取目标设备IP反馈的设备资产信息数据包后,对其进行解析,重新获取目标设备的资产信息;然后对再次获得的目标设备的资产信息再次进行分类,判断再次获得的目标设备的资产信息是否完整,如果不完整,则再次与目标设备IP进行通信连接;重复过程,直至获得完整的目标设备资产信息。
可以理解的是,通过对目标设备IP进行增量探测,以渐进式的方法不断完善更新收集的资产信息,增加探测深度和资产信息的完整性,同时筛除无法获取任何反馈的设备,并实现对传统工具的功能性能优化。
在实际应用中,为了进行设备资产探测,可以首先基于全网范围内的设备IP构建设备IP数据库;则,在一些可能的实施方式中,该方法还包括构建设备IP数据库;其中,设备IP数据库中包括多个设备IP及各设备IP的端口开放信息;
设备IP数据库的构建方法,包括:
通过自动化脚本的方式多次向全网范围内的设备IP进行端口探活,去重合并后获得探活成功的设备IP数据库。
为了对全网内的工控设备进行资产探测,执行本方法的电子设备(以下简称本电子设备)可以首先获取全网内的端口开放的设备IP及各设备IP的端口开放信息,建立设备IP数据库;即,可以通过自动化脚本的方式多次向全网范围内的设备IP进行端口探活,将多次端口探活获得的探测结果进行去重合并的处理后,获得探活成功的设备IP数据库;因此,设备IP数据库中包括多个设备IP及各设备IP的端口开放信息。
在实际应用中,为了对全网范围内的设备IP进行端口探活,可以通过自动化脚本的方式多次向全网范围内的设备IP发送协议端口信息数据包,确定全网范围内的设备IP的端口开启信息,即确定设备IP是否开启了工控协议支持的端口,以及开启的端口是与哪种工控协议对应的端口,从而实现对全网范围内的设备IP的端口探活。在实际应用中,工控协议可以指modbus协议、s7协议、dnp3协议及bacnet协议中的一种或多种协议,具体不做限定。例如,可以探测modbus协议支持的502端口是否开启,具体不做限定。
在实际应用中,在确定目标设备IP并获得该目标设备IP的端口开放信息后,为了对目标设备IP进行探测,需要进一步与目标设备IP建立通信连接;则,在一些可能的实施方式中,基于目标设备IP的端口开放信息,与目标设备IP建立通信连接,进行资产探测以使目标设备IP反馈设备资产信息数据包,包括:
基于目标设备IP的端口开放信息,确定目标设备IP采用的工控协议;
基于目标设备IP采用的工控协议,向目标设备IP发送对应的资产信息请求数据包,以使目标设备IP根据接收的资产信息请求数据包反馈设备资产信息数据包。
资产信息请求数据包为结合分析工控协议的通信方式和数据报文形式,构造的适合工控协议的数据包;在实际应用中,工控协议可以为modbus协议、s7协议、dnp3协议及bacnet协议中的一种或多种协议;相应地,可以结合分析modbus、s7、dnp3和bacnet四种工控协议的通信方式和数据报文形式,分别构造几种工控协议的通信请求数据包。
为了实现与目标设备IP的通信连接,获得目标设备IP的端口开放信息后,即获得目标设备IP开放了哪些端口后,可以进一步根据目标设备IP开放的端口,并基于工控协议与端口的对应关系,确定目标设备IP采用的工控协议;进而可以根据目标设备IP采用的工控协议,确定需要向目标设备IP发送与其采用的工控协议对应的资产信息请求数据包;向目标设备IP发送资产信息请求数据包后,则与目标设备IP建立了通信连接,目标设备IP接收到资产信息请求数据局包后,向本电子设备反馈设备资产信息数据包。
在实际应用中,当需要同时向多个目标设备发送资产信息请求数据包时,可以通过自动化脚本的方式将资产信息请求数据包批量发送给多个目标设备。
为了保证对目标设备IP进行探测的顺利进行,需要设备与目标设备IP的通信时间;即,可以设置对目标设备IP进行资产探测时的停等时间长度和停等时间窗口;停等时间长度指与目标设备IP进行通信连接的时长,例如,可以为60分钟、20分钟或40分钟等,具体不做限定;停等时间窗口指与目标设备IP进行通信连接的时间段,例如,可以为9:00~10:00、12:00~12:30等等,具体不做限定。
可以理解的是,基于目标设备IP的端口开放信息,确定目标设备IP采用的工控协议,以及向目标设备IP发送的资产信息请求数据包,以实现与目标设备IP的通信连接,并且设定与目标设备IP的通信连接时长及时间窗口,提高了资产探测的效率及准确率。
在实际应用中,获得设备资产信息数据包后,需要对设备资产信息数据包进行解析;则,在一些可能的实施方式中,解析目标设备IP反馈的设备资产信息数据包,获得目标设备IP对应的目标设备及目标设备的资产信息,包括:
提取目标设备IP反馈的设备资产信息数据包中的关键字段;
对关键字段进行识别,获得目标设备IP对应的目标设备及目标设备的资产信息。
为了对设备资产信息数据包进行解析,首先确定其关键字段,关键字段可以是产品型号、产品名称等,具体不做限定;然后对关键字段进行资产识别,便可以获得目标设备IP对应的目标设备及目标设备的资产信息;例如,可以设定资产信息判断的标准,将构建设置的相关资产关键词翻译成我们需要的明确的资产信息。在实际应用中,资产信息可以是厂商、产品名称等等,具体不做限定。
可以理解的是,通过对设备资产信息数据包进行解析,获得了目标设备IP对应的目标设备及目标设备的资产信息,提高了资产探测的效率。
在实际应用中,在和目标设备IP建立通信、确定是否需要对目标设备IP进行增量探测以及解析设备资产信息数据包的过程中,有可能会发生连接失败、响应超时或获取错误数据等异常情况,为了减少异常情况对整个资产探测过程的影响,不影响资产探测的结果,可以采取异常处理机制对异常情况进行处理;例如,可以在出现停电和断网的情况下,设置任务等待队列。
在实际应用中,获得目标设备的资产信息后,可以存储在Elasticsearch数据库中,方便对采集到的设备资产信息进行查询管理。
需要说明的是,本说明书一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
图3为本说明书提供的设备资产探测装置的结构示意图,如图3所示,该装置包括:
目标设备IP确定模块31,用于由设备IP数据库确定目标设备IP及目标设备IP的端口开放信息;
资产探测模块32,用于基于目标设备IP的端口开放信息,与目标设备IP建立通信连接,进行资产探测以使目标设备IP反馈设备资产信息数据包;
解析模块33,用于解析目标设备IP反馈的设备资产信息数据包,获得目标设备IP对应的目标设备及目标设备的资产信息;
增量探测确定模块34,用于基于目标设备的资产信息,确定是否对目标设备IP进行增量探测。
在一些可能的实施方式中,增量探测确定模块34,包括:
分类单元,用于对目标设备的资产信息进行分类;
判断单元,用于判断目标设备的资产信息是否完整;若判断单元判定目标设备的资产信息不完整,则资产探测模块重新建立与目标设备IP的通信连接,以使目标设备IP再次反馈设备资产信息数据包,解析模块解析目标设备IP再次反馈的设备资产信息数据包,重新获得目标设备的资产信息,分类单元根据重新获得的目标设备的资产信息,对目标设备的资产信息进行分类。
在一些可能的实施方式中,分类单元,具体用于:利用正则匹配,对目标设备的资产信息进行资产对象字段匹配,以对目标设备的资产信息进行分类。
在一些可能的实施方式中,资产探测模块32还用于重新发送带有重置负载的资产信息请求数据包至目标设备IP。
在一些可能的实施方式中,装置还包括设备IP数据库构建模块(图中未示出);其中,设备IP数据库中包括多个设备IP及各设备IP的端口开放信息;
设备IP数据库构建模块,包括:
端口探活单元,用于通过自动化脚本的方式多次向全网范围内的设备IP进行端口探活;
去重合并单元,用于将探活结果去重合并后获得探活成功的设备IP数据库。
在一些可能的实施方式中,端口探活单元,具体用于通过自动化脚本的方式多次向全网范围内的设备IP发送协议端口信息数据包,以确定全网范围内的设备IP的端口开启信息。
在一些可能的实施方式中,资产探测模块,包括:
工控协议确定单元,用于基于目标设备IP的端口开放信息,确定目标设备IP采用的工控协议;
资产信息请求数据包发送单元,用于基于目标设备IP采用的工控协议,向目标设备IP发送对应的资产信息请求数据包,以使目标设备IP根据接收的资产信息请求数据包反馈设备资产信息数据包。
在一些可能的实施方式中,装置还包括停等时间设置模块(图中未示出),用于设置对目标设备IP进行资产探测时的停等时间长度和停等时间窗口。
在一些可能的实施方式中,解析模块33,具体用于:
提取目标设备IP反馈的设备资产信息数据包中的关键字段;
对关键字段进行识别,获得目标设备IP对应的目标设备及目标设备的资产信息。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本说明书一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本说明书一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种设备资产探测方法,其特征在于,所述方法包括:
由设备IP数据库确定目标设备IP及所述目标设备IP的端口开放信息;
基于所述目标设备IP的端口开放信息,与所述目标设备IP建立通信连接,进行资产探测以使所述目标设备IP反馈设备资产信息数据包;
解析所述目标设备IP反馈的设备资产信息数据包,获得所述目标设备IP对应的目标设备及目标设备的资产信息;
基于所述目标设备的资产信息,确定是否对所述目标设备IP进行增量探测。
2.根据权利要求1所述的设备资产探测方法,其特征在于,所述基于所述目标设备的资产信息,确定是否对所述目标设备IP进行增量探测,包括:
对所述目标设备的资产信息进行分类;
判断所述目标设备的资产信息是否完整;
若否,则重新建立与所述目标设备IP的通信连接,以使所述目标设备IP再次反馈设备资产信息数据包;
解析所述目标设备IP再次反馈的设备资产信息数据包,重新获得所述目标设备的资产信息,并根据重新获得的所述目标设备的资产信息,执行对所述目标设备的资产信息进行分类的步骤。
3.根据权利要求2所述的设备资产探测方法,其特征在于,所述对所述目标设备的资产信息进行分类,包括:
利用正则匹配,对所述目标设备的资产信息进行资产对象字段匹配,以对所述目标设备的资产信息进行分类。
4.根据权利要求2所述的设备资产探测方法,其特征在于,所述重新建立与所述目标设备IP的通信连接,包括:
重新发送带有重置负载的资产信息请求数据包至所述目标设备IP。
5.根据权利要求1所述的设备资产探测方法,其特征在于,所述方法还包括构建设备IP数据库;其中,所述设备IP数据库中包括多个设备IP及各设备IP的端口开放信息;
所述设备IP数据库的构建方法,包括:
通过自动化脚本的方式多次向全网范围内的设备IP进行端口探活;
将探活结果去重合并后获得探活成功的设备IP数据库。
6.根据权利要求5所述的设备资产探测方法,其特征在于,所述通过自动化脚本的方式多次向全网范围内的设备IP进行端口探活,包括:
通过自动化脚本的方式多次向全网范围内的设备IP发送协议端口信息数据包,以确定全网范围内的设备IP的端口开启信息。
7.根据权利要求1所述的设备资产探测方法,其特征在于,所述基于所述目标设备IP的端口开放信息,与所述目标设备IP建立通信连接,进行资产探测以使所述目标设备IP反馈设备资产信息数据包,包括:
基于所述目标设备IP的端口开放信息,确定所述目标设备IP采用的工控协议;
基于所述目标设备IP采用的工控协议,向所述目标设备IP发送对应的资产信息请求数据包,以使所述目标设备IP根据接收的资产信息请求数据包反馈设备资产信息数据包。
8.根据权利要求7所述的设备资产探测方法,其特征在于,所述方法还包括:
设置对所述目标设备IP进行资产探测时的停等时间长度和停等时间窗口。
9.根据权利要求1所述的设备资产探测方法,其特征在于,所述解析所述目标设备IP反馈的设备资产信息数据包,获得所述目标设备IP对应的目标设备及目标设备的资产信息,包括:
提取所述目标设备IP反馈的设备资产信息数据包中的关键字段;
对所述关键字段进行识别,获得所述目标设备IP对应的目标设备及目标设备的资产信息。
10.一种设备资产探测装置,其特征在于,所述装置包括:
目标设备IP确定模块,用于由设备IP数据库确定目标设备IP及所述目标设备IP的端口开放信息;
资产探测模块,用于基于所述目标设备IP的端口开放信息,与所述目标设备IP建立通信连接,进行资产探测以使所述目标设备IP反馈设备资产信息数据包;
解析模块,用于解析所述目标设备IP反馈的设备资产信息数据包,获得所述目标设备IP对应的目标设备及目标设备的资产信息;
增量探测确定模块,用于基于所述目标设备的资产信息,确定是否对所述目标设备IP进行增量探测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010408650.5A CN111726337A (zh) | 2020-05-14 | 2020-05-14 | 一种设备资产探测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010408650.5A CN111726337A (zh) | 2020-05-14 | 2020-05-14 | 一种设备资产探测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111726337A true CN111726337A (zh) | 2020-09-29 |
Family
ID=72564391
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010408650.5A Pending CN111726337A (zh) | 2020-05-14 | 2020-05-14 | 一种设备资产探测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111726337A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113985842A (zh) * | 2021-10-26 | 2022-01-28 | 浙江国利网安科技有限公司 | 资产信息的识别方法、装置、电子设备及存储介质 |
| CN114025014A (zh) * | 2021-10-29 | 2022-02-08 | 北京恒安嘉新安全技术有限公司 | 一种资产探测方法、装置、电子设备及存储介质 |
| WO2022143065A1 (zh) * | 2020-12-28 | 2022-07-07 | 网联清算有限公司 | 数据库探活方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140320182A1 (en) * | 2001-03-30 | 2014-10-30 | Sensus Spectrum Llc | Geographic locating remote endpoint monitor device, system, and methodology thereof |
| CN107579876A (zh) * | 2017-09-15 | 2018-01-12 | 中国移动通信集团广东有限公司 | 一种资产增量自动探测分析方法及装置 |
| CN107733581A (zh) * | 2017-10-11 | 2018-02-23 | 杭州安恒信息技术有限公司 | 基于全网环境下的快速互联网资产特征探测方法及装置 |
| CN108074030A (zh) * | 2017-03-03 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 一种资产信息的安全分析和可视化管理系统及方法 |
| CN110351251A (zh) * | 2019-06-20 | 2019-10-18 | 哈尔滨工业大学(威海) | 一种基于过滤技术的工控设备资产探测方法 |
-
2020
- 2020-05-14 CN CN202010408650.5A patent/CN111726337A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140320182A1 (en) * | 2001-03-30 | 2014-10-30 | Sensus Spectrum Llc | Geographic locating remote endpoint monitor device, system, and methodology thereof |
| CN108074030A (zh) * | 2017-03-03 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 一种资产信息的安全分析和可视化管理系统及方法 |
| CN107579876A (zh) * | 2017-09-15 | 2018-01-12 | 中国移动通信集团广东有限公司 | 一种资产增量自动探测分析方法及装置 |
| CN107733581A (zh) * | 2017-10-11 | 2018-02-23 | 杭州安恒信息技术有限公司 | 基于全网环境下的快速互联网资产特征探测方法及装置 |
| CN110351251A (zh) * | 2019-06-20 | 2019-10-18 | 哈尔滨工业大学(威海) | 一种基于过滤技术的工控设备资产探测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 于新铭 等: ""一种针对工控设备的资产探测方法"", 《计算机工程与应用》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022143065A1 (zh) * | 2020-12-28 | 2022-07-07 | 网联清算有限公司 | 数据库探活方法及装置 |
| CN113985842A (zh) * | 2021-10-26 | 2022-01-28 | 浙江国利网安科技有限公司 | 资产信息的识别方法、装置、电子设备及存储介质 |
| CN113985842B (zh) * | 2021-10-26 | 2024-03-15 | 浙江国利网安科技有限公司 | 资产信息的识别方法、装置、电子设备及存储介质 |
| CN114025014A (zh) * | 2021-10-29 | 2022-02-08 | 北京恒安嘉新安全技术有限公司 | 一种资产探测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111726337A (zh) | 一种设备资产探测方法及装置 | |
| US8954550B2 (en) | Service dependency discovery in enterprise networks | |
| US8639988B2 (en) | Device and method for detecting and diagnosing correlated network anomalies | |
| CN110855493B (zh) | 用于混合环境的应用拓扑图绘制装置 | |
| CN108965049B (zh) | 提供集群异常解决方案的方法、设备、系统及存储介质 | |
| CN111190755B (zh) | 应用程序的功能异常处理方法及装置 | |
| CN1960297A (zh) | 监控网络上设备组的系统与方法 | |
| CN110008704B (zh) | 一种用于工业管理的电子信息智能存储系统 | |
| CN111711533B (zh) | 故障诊断方法、装置、电子设备及存储介质 | |
| CN108154230A (zh) | 深度学习处理器的监控方法和监控装置 | |
| EP3384651A1 (en) | Network security agent | |
| GB2553784A (en) | Management of log data in electronic devices | |
| CN114050979A (zh) | 一种工业控制协议安全测试系统及装置 | |
| CN112134754A (zh) | 压力测试方法、装置、网络设备及存储介质 | |
| CN110501956A (zh) | 生产测试报警系统、服务器及报警信息采集设备 | |
| CN115529595A (zh) | 一种日志数据的异常检测方法、装置、设备及介质 | |
| CN114189348A (zh) | 一种适用于工控网络环境的资产识别方法 | |
| KR20130063866A (ko) | 엠투엠 단말기 진단시스템 및 방법 | |
| CN108363922B (zh) | 一种自动化恶意代码仿真检测方法及系统 | |
| EP2988476B1 (en) | Method and apparatus for processing operation on endpoint peripheral | |
| CN114338477B (zh) | 一种通信链路监控方法、装置、设备及存储介质 | |
| CN104796426A (zh) | 网页后门的检测方法 | |
| CN103326897A (zh) | 一种分布式计算环境通用监测装置与失效检测方法 | |
| CN113872814A (zh) | 内容分发网络的信息处理方法、装置和系统 | |
| CN114363059A (zh) | 一种攻击识别方法、装置及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200929 |
|
| RJ01 | Rejection of invention patent application after publication |