CN112039853B - 局域网的资产识别方法及装置、设备和可读存储介质 - Google Patents
局域网的资产识别方法及装置、设备和可读存储介质 Download PDFInfo
- Publication number
- CN112039853B CN112039853B CN202010804270.3A CN202010804270A CN112039853B CN 112039853 B CN112039853 B CN 112039853B CN 202010804270 A CN202010804270 A CN 202010804270A CN 112039853 B CN112039853 B CN 112039853B
- Authority
- CN
- China
- Prior art keywords
- host
- information
- local area
- area network
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种局域网的资产识别方法,所述局域网的资产识别方法包括以下步骤:获取局域网中的流量数据;根据所述流量数据审计到的IP地址识别所述局域网中的主机IP;根据不同主机属性对应的预设特征标识在所述流量数据中提取出不同特征,基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息。本发明还公开一种局域网的资产识别装置、设备和可读存储介质。本发明通过局域网中的流量数据对主机的资产信息进行识别,无需对主机进行主动扫描即可确定资产信息,避免增加局域网的网络负载,保证了资产设备的稳定运行。
Description
技术领域
本发明涉及网络资产技术领域,尤其涉及一种局域网的资产识别方法及装置、设备和可读存储介质。
背景技术
在风险评估工作中,风险的重要因素都以资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身脆弱性,使得安全事件的发生成为可能,从而形成了安全风险。经过几年来安全态势的演进和安全理念的发展,越来越多的人意识到,在企业安全运营体系中,资产安全是所有安全的基础。因此,资产识别显得尤为重要。
目前,资产信息的识别通过设备的主动扫描进行识别,导致资产信息的识别增加网络负载,进而影响资产设备的运行。
发明内容
本发明的主要目的在于提供一种局域网的资产识别方法及装置、设备和可读存储介质,旨在解决资产信息的识别导致影响资产设备运行的问题。
为实现上述目的,本发明提供一种局域网的资产识别方法,所述局域网的资产识别方法包括以下步骤:
获取局域网中的流量数据;
根据所述流量数据审计到的IP地址识别所述局域网中的主机IP;
根据不同主机属性对应的预设特征标识在所述流量数据中提取出不同特征,基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息。
在一实施例中,所述主机属性包括设备类型,所述预设特征标识包括http头部信息或者域名转向信息,所述基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息的步骤包括:
在所述流量数据中提取出所述http头部信息或者域名转向信息对应字段的内容,并将提取出的内容作为第一目标信息;
将所述第一目标信息与第一预设网络指纹进行匹配得到第一匹配结果,并根据所述第一匹配结果确定所述主机IP对应的设备类型;其中,不同主机类型对应不同的第一预设网络指纹。
在一实施例中,所述主机属性包括设备类型,所述预设特征标识包括开启的服务;所述基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息的步骤包括:
在所述流量数据中提取出开启的服务对应字段的内容作为第二目标信息;
将所述第二目标信息与预设的第一对应关系进行对比,以确定所述主机IP对应的设备类型;其中,所述第一对应关系包括预设的设备类型和服务之间的对应关系。
在一实施例中,所述主机属性包括主机基础信息,所述主机基础信息包括操作系统、MAC地址、主机名、生产厂商和/或设备型号;所述预设特征标识包括开启的服务、字段、表格和/或协议;所述基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息的步骤包括:
在所述流量数据中,提取开启的服务、字段、表格和/或协议对应的内容作为第三目标信息;
将所述第三目标信息与预设的第二对应关系进行对比,以确定所述主机IP对应的主机基础信息,所述第二对应关系包括开启的服务、字段、表格和/或协议与主机基础信息的对应关系。
在一实施例中,所述主机属性包括主机开启服务,所述预设特征标识包括流量数据的目的端口,所述基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息的步骤包括:
在所述流量数据中提取出所述流量数据对应的目的端口;
确定所述目的端口开启的服务,以作为所述主机IP对应的主机开启服务。
在一实施例中,所述确定所述目的端口开启的服务,以作为所述主机IP对应的主机开启服务的步骤包括:
确定所述目的端口是否为标准端口;
在所述目的端口为标准端口时,根据所述目的端口对应的IP地址确定所述目的端口开启的服务,以作为所述主机IP对应的主机开启服务;
在所述目的端口不为标准端口时,在所述流量数据中获取预设类型的报文,并确定所述报文对应的正则表达式,以根据所述正则表达式确定所述目的端口开启的服务作为所述主机IP对应的主机开启服务。
在一实施例中,所述主机属性包括主机服务对应的软件信息;所述预设特征标识包括http头部信息、域名转向信息或开启的服务;所述基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息的步骤包括:
在所述流量数据中提取出所述http头部信息、域名转向信息或开启的服务对应字段的内容作为第四目标信息;
将各个所述第四目标信息与第二预设网络指纹进行匹配得到第二匹配结果,并根据所述第二匹配结果确定所述主机IP对应的软件信息;其中,不同软件信息对应不同的第二预设网络指纹,所述第四目标信息包括http头部信息或域名转向信息对应的字段的内容;
或者,将各个所述第四目标信息与预设的第三对应关系进行对比,以确定所述主机IP对应的软件信息;其中,所述第三对应关系包括软件信息和服务之间的对应关系,所述第四目标信息包括开启的服务的字段的内容。
在一实施例中,所述根据所述流量数据审计到的IP地址识别所述局域网中的主机IP的步骤包括:
对所述流量数据进行解析,根据解析结果建立连接跟踪,所述连接跟踪包括源IP及目的IP;
将所述源IP及所述目的IP与预设条件进行匹配,将满足所述预设条件的源IP和/或目的IP作为内网IP地址;
将每个所述内网IP地址对应的设备确定为所述局域网中的主机IP。
为实现上述目的,本发明还提供一种局域网的资产识别装置,所述局域网的资产识别装置包括以下步骤:
获取模块,用于获取局域网中的流量数据;
识别模块,用于根据所述流量数据审计到的IP地址识别所述局域网中的主机IP;
提取模块,用于根据不同主机属性对应的预设特征标识在所述流量数据中提取出不同特征,基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息。
为实现上述目的,本发明还提供一种局域网的资产识别设备,所述局域网的资产识别设备包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的识别程序,所述识别程序被所述处理器执行时实现如上所述的局域网的资产识别方法的各个步骤。
为实现上述目的,本发明还提供一种可读存储介质,所述可读存储介质存储有识别程序,所述识别程序被处理器执行时实现如上所述的局域网的资产识别方法的各个步骤。
本发明提供的局域网的资产识别方法及装置、设备和可读存储介质,获取局域网中流量数据,并根据流量数据审计到的IP地址识别局域网中的主机IP,再根据不同的主机属性对应的预设特征标识在流量数据提取出不同的特征,从而基于特征对主机IP对应的主机属性进行识别以确定主机IP对应主机的资产信息。由于本发明通过局域网中的流量数据对主机的资产信息进行识别,无需对主机进行主动扫描即可确定资产信息,避免增加局域网的网络负载,保证了资产设备的稳定运行。
附图说明
图1为本发明实施例涉及的局域网的资产识别装置的硬件构架示意图;
图2为本发明局域网的资产识别方法第一实施例的流程示意图;
图3为本发明局域网的资产识别方法第二实施例中步骤S300的细化流程示意图;
图4为本发明局域网的资产识别方法第三实施例中步骤S300的细化流程示意图;
图5为本发明局域网的资产识别方法第四实施例中步骤S300的细化流程示意图;
图6为本发明局域网的资产识别方法第五实施例中步骤S300的细化流程示意图;
图7为本发明局域网的资产识别方法第六实施例中步骤S300的细化流程示意图;
图8为本发明局域网的资产识别装置的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:获取局域网中的流量数据;根据所述流量数据审计到的IP地址识别所述局域网中的主机IP;根据不同主机属性对应的预设特征标识在所述流量数据中提取出不同特征,基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息。
由于本发明通过局域网中的流量数据对主机的资产信息进行识别,无需对主机进行主动扫描即可确定资产信息,避免增加局域网的网络负载,保证了资产设备的稳定运行。
作为一种实现方式,提出本发明实施例方案所涉及的局域网的资产识别装置。
如图1所示,局域网的资产识别装置包括:处理器101,例如CPU,存储器102,通信总线103。其中,通信总线103用于实现这些组件之间的连接通信。
存储器102可以是高速RAM存储器,也可以是稳定的存储器(non-volatilememory),例如磁盘存储器。如图1所示,作为一种计算机存储介质的存储器103中可以包括识别程序;而处理器101可以用于调用存储器102中存储的识别程序,并执行以下操作:
获取局域网中的流量数据;
根据所述流量数据审计到的IP地址识别所述局域网中的主机IP;
根据不同主机属性对应的预设特征标识在所述流量数据中提取出不同特征,基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息。
在一实施例中,处理器101可以用于调用存储器102中存储的识别程序,并执行以下操作:
在所述流量数据中提取出所述http头部信息或者域名转向信息对应字段的内容,并将提取出的内容作为第一目标信息;
将所述第一目标信息与第一预设网络指纹进行匹配得到第一匹配结果,并根据所述第一匹配结果确定所述主机IP对应的设备类型;其中,不同主机类型对应不同的第一预设网络指纹。
在一实施例中,处理器101可以用于调用存储器102中存储的识别程序,并执行以下操作:
在所述流量数据中提取出开启的服务对应字段的内容作为第二目标信息;
将所述第二目标信息与预设的第一对应关系进行对比,以确定所述主机IP对应的设备类型;其中,所述第一对应关系包括预设的设备类型和服务之间的对应关系。
在一实施例中,处理器101可以用于调用存储器102中存储的识别程序,并执行以下操作:
在所述流量数据中,提取开启的服务、字段、表格和/或协议对应的内容作为第三目标信息;
将所述第三目标信息与预设的第二对应关系进行对比,以确定所述主机IP对应的主机基础信息,所述第二对应关系包括开启的服务、字段、表格和/或协议与主机基础信息的对应关系。
在一实施例中,处理器101可以用于调用存储器102中存储的识别程序,并执行以下操作:
在所述流量数据中提取出所述流量数据对应的目的端口;
确定所述目的端口开启的服务,以作为所述主机IP对应的主机开启服务。
在一实施例中,处理器101可以用于调用存储器102中存储的识别程序,并执行以下操作:
确定所述目的端口是否为标准端口;
在所述目的端口为标准端口时,根据所述目的端口对应的IP地址确定所述目的端口开启的服务,以作为所述主机IP对应的主机开启服务;
在所述目的端口不为标准端口时,在所述流量数据中获取预设类型的报文,并确定所述报文对应的正则表达式,以根据所述正则表达式确定所述目的端口开启的服务作为所述主机IP对应的主机开启服务。
在一实施例中,处理器101可以用于调用存储器102中存储的识别程序,并执行以下操作:
在所述流量数据中提取出所述http头部信息、域名转向信息或开启的服务对应字段的内容作为第四目标信息;
将各个所述第四目标信息与第二预设网络指纹进行匹配得到第二匹配结果,并根据所述第二匹配结果确定所述主机IP对应的软件信息;其中,不同软件信息对应不同的第二预设网络指纹,所述第四目标信息包括http头部信息或域名转向信息对应的字段的内容;
或者,将各个所述第四目标信息与预设的第三对应关系进行对比,以确定所述主机IP对应的软件信息;其中,所述第三对应关系包括软件信息和服务之间的对应关系,所述第四目标信息包括开启的服务的字段的内容。
在一实施例中,处理器101可以用于调用存储器102中存储的识别程序,并执行以下操作:
对所述流量数据进行解析,根据解析结果建立连接跟踪,所述连接跟踪包括源IP及目的IP;
将所述源IP及所述目的IP与预设条件进行匹配,将满足所述预设条件的源IP和/或目的IP作为内网IP地址;
将每个所述内网IP地址对应的设备确定为所述局域网中的主机IP。
本实施例根据上述方案,获取局域网中流量数据,并根据流量数据审计到的IP地址识别局域网中的主机IP,再根据不同的主机对应的预设特征标识在流量数据提取出不同的特征,从而基于特征对主机IP对应的主机属性进行识别以确定主机IP对应主机的资产信息。由于本发明通过局域网中的流量数据对主机的资产信息进行识别,无需对主机进行主动扫描即可确定资产信息,避免增加局域网的网络负载,保证了资产设备的稳定运行。
基于上述局域网的资产识别装置的硬件构架,提出本发明局域网的资产识别方法的实施例。
参照图2,图2为本发明局域网的资产识别方法的第一实施例,所述局域网的资产识别方法包括以下步骤:
步骤S100,获取局域网中的流量数据;
在本实施例中,执行主体为局域网的资产识别装置,为了便于描述,以下采用装置指代局域网的资产识别装置。装置可以是局域网中的任意一个具有数据处理能力以及数据分析能力的设备,例如,装置可为局域网中的某个空闲的主机。
装置可以基于设定的定时任务对局域网中的资产进行识别。资产指的是局域网中具有价值的信息或者资源,例如,资产为局域网中主机开启的服务、主机关联的基础设备,基础设备为路由器、打印机等。装置具有捕获局域网中流量数据的能力。装置可以通过使用内核抓包的形式捕获局域网产生的流量数据,当然,装置也可以基于dpdk(Data PlaneDevelopment Kit,数据平面开发套件)框架进行流量捕获以得到流量数据。
需要说明的是,在捕获流量数据后,需要对流量数据进行流量审计,流量审计主要是将各种协议的请求以及响应的流量捕获并进行审计,协议包括:HTTP协议(超文本传输协议)、DNS协议(Domain Name System,域名系统协议)、数据库协议、远程过程调用协议、动态地址解析协议、Kerberos协议(网络认证协议)、LDAP协议(Lightweight Directory AccessProtocol,轻量目录访问协议)、SMB(Server Message Block,服务信息块)协议、SMTP协议(Simple Mail Transfer Protocol,简单邮件传输协议)、文件协议、文件传输协议、隧道协议、邮件访问协议以及地址解析协议。审计为对捕获的数据进行合规性、可靠性以及有效性的审查。
在审计得到流量数据后,以流量数据的五元组连接跟踪以建立连接池。连接跟踪可以视为一条线,连接池中有多条连接跟踪。装置对连接池中的流量数据进行TCP(Transmission Control Protocol,传输控制协议)连接管理以及UDP(User DatagramProtocol,用户数据报协议)连接管理。
步骤S200,根据所述流量数据审计到的IP地址识别所述局域网中的主机IP;
在本实施例中,资产识别有个识别范围,该识别范围以主机为中心,获取主机的资产信息以及主机关联的设备的资产信息。在装置建立流量数据的连接跟踪后,即可根据流量数据准确的确定局域网中的主机。
具体的,装置对流量数据进行解析,从而根据解析结果建立连接跟踪,连接跟踪包括源IP(Internet Protocol,网际互连协议)以及目的IP。也即流量数据以五元组的形式存在,五元组即为源IP地址、源端口、目的IP地址、目的端口以及传输层协议,故,装置可以从连接跟踪的流量数据中得到各个IP地址。装置进一步确定满足预设条件的源IP以及目的IP作为内网IP地址,一个内网IP地址对应一个主机IP,因而可以将每个内网IP地址作为主机IP。内网即为局域网,也即内网IP地址即为局域网IP地址。
预设条件包括:相同预设段号码的源IP地址以及目的IP地址、IP地址的网段与预设IP地址的网段相同、IP地址为预设IP地址、IP地址为预设协议的源IP地址或者预设协议的目的IP地址、以及IP地址为访问预设外网IP地址的源IP地址中的至少一个。以下进行具体说明。
相同预设段号码的源IP地址以及目的IP地址均为内网IP地址。例如,前三段号码相同的源IP地址以及目的IP地址均为内网IP地址。
预设IP地址即为提前设置好的IP地址,若是获取的IP地址的网段与预设IP地址的网段相同,该IP地址即为内网IP地址。
预设IP地址可以是约定成俗的私有IP地址,私有IP地址例如,10网段的IP地址、192.168网段的IP地址、172.16-172.31网段的IP地址。若获取的IP地址为预设IP地址,该IP地址即为内网IP地址。
内网协议的源IP地址以及目的IP地址均为内网IP地址。因此,将内网协议定义为预设协议,也即IP地址为预设协议的源IP地址或者预设协议的目的IP地址。内网协议包括netbios协议,dhcp协议(Dynamic Host Configuration Protocol,动态主机配置协议)等。
访问常见的预设外网IP地址的源IP地址为内网IP地址,预设外网IP地址包括共有dns服务器、常见的外网地址。
步骤S300,根据不同主机属性对应的预设特征标识在所述流量数据中提取出不同特征,基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息。
装置在确定主机后,即可根据流量数据对主机IP进行主机属性进行识别,从而得到主机对应的资产信息。主机属性包括网络层属性、主机层属性、服务层属性以及应用层属性中的至少一个,而网络层属性包括设备类型、主机层信息包括主机基础信息、服务层属性包括主机开启服务、应用层属性包括主机服务对应的软件信息。可以理解的是,主机属性包括设备类型、主机基础信息、主机开启服务以及主机服务对应的软件信息中至少一个。主机基础信息包括操作系统、MAC地址、主机名、生产厂商和/或设备型号。
装置对网络层属性进行识别后,得到网关、防火墙、VPN(Virtual PrivateNetwork,虚拟专用网络)设备、CDN(Content Delivery Network,内容分发网络)设备、DNS设备以及路由器等设备类型的。
装置对主机层属性进行识别后,得到主机的操作系统、MAC地址(Media AccessControl Address,以太网地址)、生产厂商、主机名以及设备型号等主机基础信息。
装置对服务层属性进行识别后,得到主机开启的服务,开机的服务即为资产信息。开启的服务包括但不限于web(World Wide Web,全球广域网)服务、RDP(Remote DesktopProtocol,远程桌面协议)服务、FTP(File Transfer Protocol,文件传输协议)服务以及SSH(Secure Shell,安全外壳协议)服务。
装置对应用层属性进行识别后,得到主机开启服务所运行的服务应用,服务应用包括但不限于Apache(Apache HTTP Server,网页服务器)、IIS(Internet InformationServices,互联网信息服务)、MYSQL(Structured Query Language,关系型数据库管理系统)、杀毒软件以及浏览器。
具体的,不同主机属性对应不同的预设特征标识,也即主机属性以其对应的预设特征标识存在与流量数据中。装置在流量数据中提取预设特征标识对应的特征,特征可以理解为预设特征标识对应的内容。预设特征标识包括http头部信息、域名转向信息、开启的服务等。装置可以根据提取的特征对主机IP对应的主机属性进行识别,从而确定主机IP对应的主机的资产信息。
在本实施例提供的技术方案中,获取局域网中流量数据,并根据流量数据审计到的IP地址识别局域网中的主机IP,再根据不同的主机属性对应的预设特征标识在流量数据提取出不同的特征,从而基于特征对主机IP对应的主机属性进行识别以确定主机IP对应主机的资产信息。由于本发明通过局域网中的流量数据对主机的资产信息进行识别,无需对主机进行主动扫描即可确定资产信息,避免增加局域网的网络负载,保证了资产设备的稳定运行。
参照图3,图3为本发明局域网的资产识别方法的第二实施例,基于第一实施例,所述步骤S300包括:
步骤S301,在所述流量数据中提取出所述http头部信息或者域名转向信息对应字段的内容,并将提取出的内容作为第一目标信息;
步骤S302,将所述第一目标信息与第一预设网络指纹进行匹配得到第一匹配结果,并根据所述第一匹配结果确定所述主机IP对应的设备类型;其中,不同主机类型对应不同的第一预设网络指纹;
在本实施例中,主机属性包括设备类型,预设特征标识包括http头部信息或者url跳转信息,url跳转信息即为域名转向信息。装置在流量数据中提取http头部信息或者域名转向信息对应字段的内容,并将提取的内容作为第一目标信息。而装置中存储有第一预设网络指纹,装置通过正则匹配规则确定第一目标信息是否匹配第一预设网络指纹得到第一匹配结果,第一匹配结果即为第一目标信息所匹配的第一预设网络指纹,从而根据匹配的第一预设网络对应的主机类型确定主机IP对应的设备类型。需要说明的是,装置中每个第一预设网络对应一个主机类型。
在本实施例提供的技术方案中,装置通过http头部信息或者域名转向信,进行网络指纹识别,从而快速准确的确定主机IP的设备类型。
参照图4,图4为本发明局域网的资产识别方法的第三实施例,基于第一实施例,所述步骤S300还包括:
步骤S303,在所述流量数据中提取出开启的服务对应字段的内容作为第二目标信息;
步骤S304,将所述第二目标信息与预设的第一对应关系进行对比,以确定所述主机IP对应的设备类型;其中,所述第一对应关系包括预设的设备类型和服务之间的对应关系。
在本实施例中,主机属性包括设备类型,预设特征标识包括开启的服务。
具体的,装置在流量数据中提取开启的服务对的字段内容。开启的服务包括http服务,ftp服务,邮件服务,数据库服务,远程过程服务、lpd(Line Printer Daemon,行式打印机后台程序)打印服务等。lpd打印服务可以确定打印机,http服务,ftp服务,邮件服务,数据库服务,远程过程服务等可以区分识别具体服务器以及终端。装置将提取的内容作为第二目标信息,再将第二目标信息与预设的第一对应关系进行比对,第一对应关系为设备类型和开启的服务之间的对应关系,装置中存储有多个第一关系。字段的内容可以表征主机IP开启的服务。装置将第二目标信息与预设的第一对应关系进行比对查找出与第二目标信息匹配的第一对应关系,进而根据第一对应关系以及开启的服务确定主机IP对应的设备类型。
此外,装置还可以进一步在流量数据中获取snmp协议数据,对snmp协议数据(Simple Network Management Protoco,简单网络管理协议)进行解析,得到oid(对象标识符),从而根据oid准确的识别出路由器,交换机,打印机,摄像头等设备。装置还可以通过ovnif(Open Network Video Interface Forum,开放型网络视频接口论坛)协议,能够识别出摄像头以及视频设备。
在本实施例提供的技术方案中,装置在流量数据提取开启的服务对应的字段的内容以识别出主机IP对应的设备类型。
参照图5,图5为本发明局域网的资产识别方法的第四实施例,基于第一至第三中任一实施例,所述步骤S300包括:
步骤S305,在所述流量数据中,提取开启的服务、字段、表格和/或协议对应的内容作为第三目标信息;
步骤S306,将所述第三目标信息与预设的第二对应关系进行对比,以确定所述主机IP对应的主机基础信息,所述第二对应关系包括开启的服务、字段、表格和/或协议与主机基础信息的对应关系。
在本实施例中,主机属性包括主机基础信息,主机基础信息包括操作系统、MAC地址、主机名、生产厂商和/或设备型号;预设特征标识包括开启的服务、字段、表格和/或协议。
装置在流量数据中提取开启的服务、字段、表格和/或协议对应的内容作为第三目标信息,在将第三目标信息与预设的第二对应关系进行对比,以确定主机IP对应的主机基础信息,第二对应关系包括开启的服务、字段、表格和/或协议与主机基础信息的对应关系。
以下对不同的主机基础信息的识别进行具体说明。
1、操作系统的识别
装置根据字段识别操作系统。字段可为user-agent字段,server字段。具体的,装置在流量数据中根据http协议审计的user-agent字段,server字段识别出主机的操作系统。user-agent字段以及server字段可以通过哈希值确定。
装置还可以根据开启的服务识别操作系统。具体的,装置根据ftp,smtp(SimpleMail Transfer Protocol,简单邮件传输协议),pop3(Post Office Protocol-Version 3,邮局协议版本3),imap(Internet Mail Access Protocol,交互邮件访问协议),telnet(远程终端协议)等协议确认开放服务的软件,再根据软件确认操作系统类型,从而确定主机操作系统。
装置还可以根据字段的首部识别,字段的首部可为tcp首部的字段或者IP首部的字段,也即通过tcp首部的字段或者IP首部的字段操作系统识别。
2、主机名的识别
装置可以通过网络基本输入/输出系统协议(netbios协议)对应的IP地址识别,也即通过协议识别主机名。具体的,装置根据流量中的netbios做协议解析,再使用哈希方法获取IP地址与主机名的映射关系,再通过获取的IP地址以及映射关系确定主机名。
装置还可以通过服务器信息协议的登录信息识别主机名。具体的,装置分析流量数据中的smb协议,smb协议解析后,即可在基于smb协议解析后得到的登录信息获取主机名。
3、MAC地址的识别
装置可以开启的服务识别MAC地址,例如,通过arp服务(Address ResolutionProtocol,地址解析服务)的识别确定主机的MAC地址。
装置还可以通过表格识别MAC地址,例如,表格可为arp表,也即根据arp表获取主机的MAC地址。
4、生产厂商的识别
装置可以通过字段识别生产厂商,例如,字段为对象标识符,也即通过对象标识符确定主机的生产厂商,对象标识符的确定方式参照上述说明。
装置还可以协议识别生产厂商,例如,根据dhcp协议(Dynamic HostConfiguration Protocol,动态主机配置协议)解析能够获取主机的生产厂商。
装置还可以根据开启的服务识别生产厂商,例如,确定开启的服务所匹配的网络指纹识别出主机的生产厂商。开启的服务为http,ssh,telnet等服务。网络指纹识别参照上述说明。
在本实施例提供的技术方案中,装置在流量数据中提取开启的服务、字段、表格和/或协议对应的内容作为第三目标信息,从而根据第三目标信息准确的确定主机IP对应的主机基础信息。
参照图6,图6为本发明局域网的资产识别方法的第五实施例,基于第一至第四中任一实施例,所述步骤S300包括:
步骤S307,在所述流量数据中提取出所述流量数据对应的目的端口;
步骤S308,确定所述目的端口开启的服务,以作为所述主机IP对应的主机开启服务。
在本实施例中,主机属性包括主机开启服务,预设特征标识包括流量数据的目的端口。装置通过目的端口识别出主机以及主机关联的设备所开启的服务,例如,交换机一般都会开启http服务,方便进行配置,ssh服务,方便后台配置等。
流量数据以五元组的形式建立连接跟踪,因而装置可以根据流量数据确定目的端口。装置在流量数据中确定目的端口后,可以根据目的端口确定目的IP开启的服务以作为主机IP对应的主机开启服务,例如,21端口对应ftp服务,80端口对应http服务。
需要说明的是,端口分为标准端口为非标准端口。两者端口所采用策略不同。具体的,装置先确定目的端口是否为标准端口,若是标准端口,则根据目的端口的IP地址确定目的端口开启的服务以作为主机IP对应的主机开启服务。若不为标准端口,则在浏览数据中获取预设类型的报文,预设类型的报文包括http报文,ftp报文,邮件报文等。装置生成报文对应的正则表达式,从而根据正则表达式与捕获的流量进行匹配以确定开启的服务作为主机IP对应的主机开启服务。
在本实施例提供的技术方案中,装置在流量数据中获取目的端口,从而根据目的端口准确的确定开启的服务,以作为主机IP对应的主机开启服务。
参照图7,图7为本发明局域网的资产识别方法的第六实施例,基于第一至第五中任一实施例,所述步骤S300包括:
步骤S309,在所述流量数据中提取出所述http头部信息、域名转向信息或开启的服务对应字段的内容作为第四目标信息;
步骤S310,将各个所述第四目标信息与第二预设网络指纹进行匹配得到第二匹配结果,并根据所述第二匹配结果确定所述主机IP对应的软件信息;其中,不同软件信息对应不同的第二预设网络指纹,所述第四目标信息包括http头部信息或域名转向信息对应的字段的内容;
步骤S311,或者,将各个所述第四目标信息与预设的第三对应关系进行对比,以确定所述主机IP对应的软件信息;其中,所述第三对应关系包括软件信息和服务之间的对应关系,所述第四目标信息包括开启的服务的字段的内容。
在本实施例中,主机属性包括主机服务对应的软件信息;预设特征标识包括http头部信息、域名转向信息或开启的服务。可以理解的是,在本实施例中,装置对主机的应用层属性进行识别。应用层属性比服务层属性低一层,应用层属性表示为主机使用的服务应用,服务应用即为软件信息。比如,开启了http服务,使用了Apache容器,使用了weblogic插件(中间件),开启的邮件服务使用的是IBM note(操作系统)。
具体的,装置在流量数据中提取http头部信息、域名转向信息或开启的服务对应字段的内容作为第四目标信息。若是第四目标信息为http头部信息或者域名转向信息的字段的内容,则采用网络指纹的方式识别出软件信息,也即将第四目标信息与第二预设网络指纹进行匹配得到第二匹配结果,并根据第二匹配结果确定主机IP对应的软件信息。不同第二预设网络指纹对应不同的软件信息。
若是第四目标信息为开启的服务的字段的内容,则将各个第四目标信息与预设的第三对应关系进行对比,以确定主机IP对应的软件信息,第三对应关系包括软件信息和服务之间的对应关系。
在本实施例提供技术方案中,装置通过在流量数据提取出所述http头部信息、域名转向信息或开启的服务对应字段的内容作为第四目标信息,进而根据第四目标信息准确的确定主机IP对应的软件信息。
本发明还提供一种局域网的资产识别装置。
参照图8,所述局域网的资产识别装置包括以下步骤:
获取模块10,用于获取局域网中的流量数据;
识别模块20,用于根据所述流量数据审计到的IP地址识别所述局域网中的主机IP;
提取模块30,用于根据不同主机属性对应的预设特征标识在所述流量数据中提取出不同特征,基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息。
此外,局域网的资产识别装置还用于实现上述各个实施例的步骤,在此不再进行赘述。
本发明还提供一种局域网的资产识别设备,所述局域网的资产识别装置包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的识别程序,所述识别程序被所述处理器执行时实现如上实施例所述的局域网的资产识别方法的各个步骤。
本发明还提供一种可读存储介质,所述可读存储介质存储有识别程序,所述识别程序被处理器执行时实现如上实施例所述的局域网的资产识别方法的各个步骤。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种局域网的资产识别方法,其特征在于,所述局域网的资产识别方法包括以下步骤:
获取局域网中的流量数据;
根据所述流量数据审计到的IP地址识别所述局域网中的主机IP;
根据不同主机属性对应的预设特征标识在所述流量数据中提取出不同特征,基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息;其中,所述主机属性包括设备类型,所述预设特征标识包括http头部信息或者域名转向信息,所述基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息的步骤包括:
在所述流量数据中提取出所述http头部信息或者域名转向信息对应字段的内容,并将提取出的内容作为第一目标信息;
将所述第一目标信息与第一预设网络指纹进行匹配得到第一匹配结果,并根据所述第一匹配结果确定所述主机IP对应的设备类型;其中,不同主机类型对应不同的第一预设网络指纹。
2.如权利要求1所述的局域网的资产识别方法,其特征在于,所述主机属性包括设备类型,所述预设特征标识包括开启的服务;所述基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息的步骤包括:
在所述流量数据中提取出开启的服务对应字段的内容作为第二目标信息;
将所述第二目标信息与预设的第一对应关系进行对比,以确定所述主机IP对应的设备类型;其中,所述第一对应关系包括预设的设备类型和服务之间的对应关系。
3.如权利要求1所述的局域网的资产识别方法,其特征在于,所述主机属性包括主机基础信息,所述主机基础信息包括操作系统、MAC地址、主机名、生产厂商和/或设备型号;所述预设特征标识包括开启的服务、字段、表格和/或协议;所述基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息的步骤包括:
在所述流量数据中,提取开启的服务、字段、表格和/或协议对应的内容作为第三目标信息;
将所述第三目标信息与预设的第二对应关系进行对比,以确定所述主机IP对应的主机基础信息,所述第二对应关系包括开启的服务、字段、表格和/或协议与主机基础信息的对应关系。
4.如权利要求1所述的局域网的资产识别方法,其特征在于,所述主机属性包括主机开启服务,所述预设特征标识包括流量数据的目的端口,所述基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息的步骤包括:
在所述流量数据中提取出所述流量数据对应的目的端口;
确定所述目的端口开启的服务,以作为所述主机IP对应的主机开启服务。
5.如权利要求4所述的局域网的资产识别方法,其特征在于,所述确定所述目的端口开启的服务,以作为所述主机IP对应的主机开启服务的步骤包括:
确定所述目的端口是否为标准端口;
在所述目的端口为标准端口时,根据所述目的端口对应的IP地址确定所述目的端口开启的服务,以作为所述主机IP对应的主机开启服务;
在所述目的端口不为标准端口时,在所述流量数据中获取预设类型的报文,并确定所述报文对应的正则表达式,以根据所述正则表达式确定所述目的端口开启的服务作为所述主机IP对应的主机开启服务。
6.如权利要求1所述的局域网的资产识别方法,其特征在于,所述主机属性包括主机服务对应的软件信息;所述预设特征标识包括http头部信息、域名转向信息或开启的服务;所述基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息的步骤包括:
在所述流量数据中提取出所述http头部信息、域名转向信息或开启的服务对应字段的内容作为第四目标信息;
将各个所述第四目标信息与第二预设网络指纹进行匹配得到第二匹配结果,并根据所述第二匹配结果确定所述主机IP对应的软件信息;其中,不同软件信息对应不同的第二预设网络指纹,所述第四目标信息包括http头部信息或域名转向信息对应的字段的内容;
或者,将各个所述第四目标信息与预设的第三对应关系进行对比,以确定所述主机IP对应的软件信息;其中,所述第三对应关系包括软件信息和服务之间的对应关系,所述第四目标信息包括开启的服务的字段的内容。
7.如权利要求1-6任一项所述的局域网的资产识别方法,其特征在于,所述根据所述流量数据审计到的IP地址识别所述局域网中的主机IP的步骤包括:
对所述流量数据进行解析,根据解析结果建立连接跟踪,所述连接跟踪包括源IP及目的IP;
将所述源IP及所述目的IP与预设条件进行匹配,将满足所述预设条件的源IP和/或目的IP作为内网IP地址;
将每个所述内网IP地址对应的设备确定为所述局域网中的主机IP。
8.一种局域网的资产识别装置,其特征在于,所述局域网的资产识别装置包括以下步骤:
获取模块,用于获取局域网中的流量数据;
识别模块,用于根据所述流量数据审计到的IP地址识别所述局域网中的主机IP;
提取模块,用于根据不同主机属性对应的预设特征标识在所述流量数据中提取出不同特征,基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息;其中,所述主机属性包括设备类型,所述预设特征标识包括http头部信息或者域名转向信息,所述基于所述特征对所述主机IP对应的主机属性进行识别,以确定所述主机IP对应主机的资产信息的步骤包括:
在所述流量数据中提取出所述http头部信息或者域名转向信息对应字段的内容,并将提取出的内容作为第一目标信息;
将所述第一目标信息与第一预设网络指纹进行匹配得到第一匹配结果,并根据所述第一匹配结果确定所述主机IP对应的设备类型;其中,不同主机类型对应不同的第一预设网络指纹。
9.一种局域网的资产识别设备,其特征在于,所述局域网的资产识别设备包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的识别程序,所述识别程序被所述处理器执行时实现如权利要求1-7任一项所述的局域网的资产识别方法的各个步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质存储有识别程序,所述识别程序被处理器执行时实现如权利要求1-7任一项所述的局域网的资产识别方法的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010804270.3A CN112039853B (zh) | 2020-08-11 | 2020-08-11 | 局域网的资产识别方法及装置、设备和可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010804270.3A CN112039853B (zh) | 2020-08-11 | 2020-08-11 | 局域网的资产识别方法及装置、设备和可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112039853A CN112039853A (zh) | 2020-12-04 |
| CN112039853B true CN112039853B (zh) | 2022-09-30 |
Family
ID=73577826
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010804270.3A Active CN112039853B (zh) | 2020-08-11 | 2020-08-11 | 局域网的资产识别方法及装置、设备和可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112039853B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112685510B (zh) * | 2020-12-29 | 2023-08-08 | 科来网络技术股份有限公司 | 一种基于全流量标签的资产标签方法、计算机程序及存储介质 |
| CN112738102B (zh) * | 2020-12-29 | 2023-01-10 | 北京天融信网络安全技术有限公司 | 资产识别方法、装置、设备和存储介质 |
| CN112929216A (zh) * | 2021-02-05 | 2021-06-08 | 深信服科技股份有限公司 | 一种资产管理方法、装置、设备及可读存储介质 |
| CN113949582B (zh) * | 2021-10-25 | 2023-05-30 | 绿盟科技集团股份有限公司 | 一种网络资产的识别方法、装置、电子设备及存储介质 |
| CN114172980A (zh) * | 2021-12-08 | 2022-03-11 | 北京天融信网络安全技术有限公司 | 一种识别操作系统类型的方法、系统、装置、设备及介质 |
| CN114363206A (zh) * | 2021-12-28 | 2022-04-15 | 奇安信科技集团股份有限公司 | 终端资产识别方法、装置、计算设备及计算机存储介质 |
| CN113992451B (zh) * | 2021-12-29 | 2022-04-22 | 北京微步在线科技有限公司 | 一种资产数据处理方法及装置 |
| CN114338183A (zh) * | 2021-12-30 | 2022-04-12 | 深圳铸泰科技有限公司 | 一种快速发现和识别资产方法、系统、终端及存储介质 |
| CN115022366B (zh) * | 2022-06-02 | 2023-11-03 | 深信服科技股份有限公司 | 一种资产识别方法、装置及电子设备和存储介质 |
| CN115296917B (zh) * | 2022-08-09 | 2023-07-07 | 山东港口科技集团烟台有限公司 | 资产暴露面信息获取方法、装置、设备以及存储介质 |
| CN115314319A (zh) * | 2022-08-26 | 2022-11-08 | 绿盟科技集团股份有限公司 | 一种网络资产识别方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107579876A (zh) * | 2017-09-15 | 2018-01-12 | 中国移动通信集团广东有限公司 | 一种资产增量自动探测分析方法及装置 |
| CN108449345A (zh) * | 2018-03-22 | 2018-08-24 | 深信服科技股份有限公司 | 一种网络资产持续安全监控方法、系统、设备及存储介质 |
| CN109327461A (zh) * | 2018-11-12 | 2019-02-12 | 广东省信息安全测评中心 | 分布式资产识别及变更感知方法与系统 |
| CN109802953A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种工控资产的识别方法及装置 |
| CN110535727A (zh) * | 2019-09-02 | 2019-12-03 | 杭州安恒信息技术股份有限公司 | 资产识别方法和装置 |
| CN111147305A (zh) * | 2019-12-30 | 2020-05-12 | 成都科来软件有限公司 | 一种网络资产画像提取方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8250654B1 (en) * | 2005-01-27 | 2012-08-21 | Science Applications International Corporation | Systems and methods for implementing and scoring computer network defense exercises |
| US9088606B2 (en) * | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
-
2020
- 2020-08-11 CN CN202010804270.3A patent/CN112039853B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107579876A (zh) * | 2017-09-15 | 2018-01-12 | 中国移动通信集团广东有限公司 | 一种资产增量自动探测分析方法及装置 |
| CN108449345A (zh) * | 2018-03-22 | 2018-08-24 | 深信服科技股份有限公司 | 一种网络资产持续安全监控方法、系统、设备及存储介质 |
| CN109327461A (zh) * | 2018-11-12 | 2019-02-12 | 广东省信息安全测评中心 | 分布式资产识别及变更感知方法与系统 |
| CN109802953A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种工控资产的识别方法及装置 |
| CN110535727A (zh) * | 2019-09-02 | 2019-12-03 | 杭州安恒信息技术股份有限公司 | 资产识别方法和装置 |
| CN111147305A (zh) * | 2019-12-30 | 2020-05-12 | 成都科来软件有限公司 | 一种网络资产画像提取方法 |
Non-Patent Citations (3)
| Title |
|---|
| "Security model of communications in energy systems";Exell Enrique Franklin Jiménez;《2015 IEEE 5th International Conference on Consumer Electronics - Berlin (ICCE-Berlin)》;20160128;全文 * |
| "基于流量感知的动态网络资产监测研究";李憧、刘鹏、蔡国庆;《信息安全研究》;20200604;第6卷(第6期);第2.2小节 * |
| "网络资产探测技术研究";王宸东、郭渊博、甄帅辉、杨威超;《计算机科学》;20181215;第45卷(第12期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112039853A (zh) | 2020-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112039853B (zh) | 局域网的资产识别方法及装置、设备和可读存储介质 | |
| US8121030B2 (en) | Network service monitoring | |
| US11824879B2 (en) | Rule-based network-threat detection for encrypted communications | |
| CN110113345B (zh) | 一种基于物联网流量的资产自动发现的方法 | |
| US9497208B2 (en) | Distributed network protection | |
| US7444408B2 (en) | Network data analysis and characterization model for implementation of secure enclaves within large corporate networks | |
| US9215234B2 (en) | Security actions based on client identity databases | |
| CN110311929B (zh) | 一种访问控制方法、装置及电子设备和存储介质 | |
| US8381281B2 (en) | Authenticating a remote host to a firewall | |
| CN111147305A (zh) | 一种网络资产画像提取方法 | |
| US10116538B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
| JP2023532924A (ja) | モバイルネットワークにおける制御とユーザプレーンの分離の確保 | |
| CN111314301A (zh) | 一种基于dns解析的网站访问控制方法及装置 | |
| US10491529B2 (en) | Automatic rule generation for flow management in software defined networking networks | |
| US11258753B2 (en) | Method for detection of DNS spoofing servers using machine-learning techniques | |
| Yu et al. | Traffic identification and overlay measurement of Skype | |
| CN114006724B (zh) | 一种加密dns解析器发现及认证的方法与系统 | |
| Marksteiner et al. | Automatically determining a network reconnaissance scope using passive scanning techniques | |
| CN111431942A (zh) | 一种cc攻击的检测方法、装置及网络设备 | |
| CN111371915B (zh) | Ip地址列表维护方法和装置及网关设备 | |
| US20230328102A1 (en) | Network security with server name indication | |
| CN113726689B (zh) | 一种安全业务处理方法以及装置 | |
| JP2018085101A (ja) | 複数のプロフィールを作成してプロファイリングを低減する方法及びシステム | |
| US20220360990A1 (en) | 4g / 5g core network deep packet inspection system | |
| Alsmadi et al. | Network Forensics: Lesson Plans |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |