CN112636985B - 基于自动化发现算法的网络资产探测装置 - Google Patents

Abstract

本申请提供了一种基于自动化发现算法的网络资产探测装置，涉及网络数据处理技术领域，缓解了目前对网络资产的管理效率较低的技术问题。该方法包括：利用网络发现算法获取终端设备信息以及网络设备信息；基于所述终端设备信息以及网络设备信息，通过端口扫描确定所述端口打开的状态，并检测所述端口上运行的应用程序与版本信息；基于所述端口打开的状态、所述应用程序以及所述版本信息检测设备的操作系统。

Description

基于自动化发现算法的网络资产探测装置

技术领域

本申请涉及网络数据处理技术领域，尤其是涉及一种基于自动化发现算法的网络资产探测装置。

背景技术

目前，随着互联网技术的飞速发展及移动通信IP化进程的不断加快，对IP地址资源的需求呈倍数增加，对IP地址资源的管理越来重要。对于尚未部署自动化IP管理系统的企业，人工准确维护IP子网及地址记录的重要性不言而喻，同时其困难程度也是显而易见的。但是，目前对网络资产的管理效率较低，难以满足日常业务的维护管理需求。

发明内容

本发明的目的在于提供一种基于自动化发现算法的网络资产探测装置，以缓解目前对网络资产的管理效率较低的技术问题。

第一方面，本申请实施例提供了一种基于自动化发现算法的网络资产探测方法，所述方法包括：

利用网络发现算法获取终端设备信息以及网络设备信息；

基于所述终端设备信息以及网络设备信息，通过端口扫描确定所述端口打开的状态，并检测所述端口上运行的应用程序与版本信息；

基于所述端口打开的状态、所述应用程序以及所述版本信息检测设备的操作系统。

在一个可能的实现中，所述终端设备信息包括下述任意一项或多项：

设备地址、设备名称、设备类型、操作系统、准确率、MAC地址、数据来源、地址类型、厂商、位置、联系人、系统启动时间、首次发现时间、最后通信时间、开放端口信息、UUID。

在一个可能的实现中，所述网络设备信息包括下述任意一项或多项：

终端信息、VLAN信息、接口信息、路由信息、ARP/ND邻居表信息。

在一个可能的实现中，所述利用网络发现算法获取终端设备信息以及网络设备信息的步骤，包括：

利用网络发现算法检测目标设备是否在线，如果所述目标设备在线，则获取目标终端设备信息以及目标网络设备信息。

在一个可能的实现中，所述利用网络发现算法检测目标设备是否在线的步骤，包括：

发送多种不同类型的探测包至目标设备，如果接受到所述目标设备基于至少一个所述探测包反馈的回复包，则确定所述目标设备为开启的状态并确定所述目标设备在线。

在一个可能的实现中，所述端口为TCP协议端口；所述检测所述端口上运行的应用程序与版本信息的步骤，包括：

在与所述端口建立连接的过程中，接收目标设备发送的目标信息，通过将所述目标信息与签名信息对比，查找所述目标信息对应的应用程序与版本信息。

在一个可能的实现中，所述基于所述端口打开的状态、所述应用程序以及所述版本信息检测设备的操作系统的步骤，包括：

基于所述端口打开的状态、所述应用程序以及所述版本信息，通过Nmap利用TCP/IP协议栈指纹和/或系统数据库资源中的预设指纹特征，识别多种操作系统与设备类型。

第二方面，提供了一种基于自动化发现算法的网络资产探测装置，包括：

获取模块，用于利用网络发现算法获取终端设备信息以及网络设备信息；

第一检测模块，用于基于所述终端设备信息以及网络设备信息，通过端口扫描确定所述端口打开的状态，并检测所述端口上运行的应用程序与版本信息；

第二检测模块，用于基于所述端口打开的状态、所述应用程序以及所述版本信息检测设备的操作系统。

第三方面，本申请实施例又提供了一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的第一方面所述方法。

第四方面，本申请实施例又提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可运行指令，所述计算机可运行指令在被处理器调用和运行时，所述计算机可运行指令促使所述处理器运行上述的第一方面所述方法。

本申请实施例带来了以下有益效果：

本申请实施例提供的一种基于自动化发现算法的网络资产探测装置方法、装置及电子设备，能够利用网络发现算法获取终端设备信息以及网络设备信息；基于终端设备信息以及网络设备信息，通过端口扫描确定端口打开的状态，并检测端口上运行的应用程序与版本信息；基于端口打开的状态、应用程序以及版本信息检测设备的操作系统，本方案中，通过网络发现算法获取终端设备信息以及网络设备信息，再基于终端设备信息以及网络设备信息通过端口扫描确定端口打开的状态，并检测端口上运行的应用程序与版本信息，之后基于端口打开的状态、应用程序以及版本信息检测设备的操作系统，能够对监测的网络地址进行全生命周期管理，统计、分析的结果进行多维度呈现，进而提高对网络资产的管理效率。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的基于自动化发现算法的网络资产探测方法的流程示意图；

图2为本申请实施例提供的系统架构图；

图3为本申请实施例提供的一种图形用户界面的示意图；

图4为本申请实施例提供的另一种图形用户界面的示意图；

图5为本申请实施例提供的另一种图形用户界面的示意图；

图6为本申请实施例提供的另一种图形用户界面的示意图；

图7为本申请实施例提供的另一种图形用户界面的示意图；

图8为本申请实施例提供的网络拓扑发现的流程图；

图9为本申请实施例提供的终端信息发现的流程图；

图10为本申请实施例提供的网络信息发现的流程图；

图11为本申请实施例提供的一种基于自动化发现算法的网络资产探测装置的结构示意图；

图12示出了本申请实施例所提供的一种电子设备的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请实施例中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

目前，鉴于其无法实时体现IP资源当前的使用情况，人工维护不仅耗时耗力，同时也极有可能造成IP地址资源的错误分配和使用，一旦企业重要业务系统(尤其是分布其中的各子系统、子模块)的IP地址被重复分配并使用，将造成关键业务的中断，同时由IP地址冲突所造成的故障不仅排查过程复杂，并且对关键业务系统的影响极易引起故障的升级，对IT部门考评和绩效造成十分不良的影响。特别是当前网络环境下IPv6如火如荼的改造，IPv6地址更是长达128位，另外除了地址长度难以记忆以外，IPv6的地址数量更是超乎想象。在后期的网络维护中会带来IP地址组网分配，设备配置等一系列难度。优良网络的基础是IP地址的分发与管理，顺畅的企业网络依赖于完善的IP地址全生命周期管理方案，IP地址管理的好坏将直接影响企业内员工的工作效率以及企业内部信息的共享和安全，一旦IP地址管理出现问题，那么网络将无法接入，因此IP地址管理需要统筹考虑。

尤其是当企业内部IP资源使用紧张，然而网络中却存在IP空置，以及IP资源利用不合理现象，面对IP资源消费部门的申请，IP管理部门缺乏有效的工具判定当前资源使用的合理性，IP信息的管理大多还基于手工方式。传统管理手段只局限单纯的IP地址管理，无法关联与区分业务及各类管理开销，并受限于广播及IP扫描等网络安全区域的隔离，难以满足日常业务的维护管理需求。

基于此，本申请实施例提供了一种基于自动化发现算法的网络资产探测装置，通过该方法可以缓解目前对网络资产的管理效率较低的技术问题。

下面结合附图对本发明实施例进行进一步地介绍。

图1为本申请实施例提供的一种基于自动化发现算法的网络资产探测方法的流程示意图。如图1所示，该方法包括：

步骤S110，利用网络发现算法获取终端设备信息以及网络设备信息。

本步骤中，通过网络发现算法获取终端设备基础信息、网络设备的相关信息。终端设备信息包括下述任意一项或多项：设备地址、设备名称、设备类型、操作系统、准确率、MAC地址、数据来源、地址类型、厂商、位置、联系人、系统启动时间、首次发现时间、最后通信时间、开放端口信息、UUID。其中，开放端口信息可以包含端口、服务状态、协议、预期服务名、UUID为网络摄像头特有。

需要说明的是，网络设备信息包括下述任意一项或多项：终端信息、VLAN信息、接口信息、路由信息、ARP/ND邻居表信息。例如，普通终端信息+VLAN信息(VLAN、tag端口、untag端口)+接口信息(接口名称、接口类型、接口地址、管理状态、物理连接状态、接收总字节、接收报文总数、接收错误数目、接受错误率、发送字节总数、发送报文总数、发送错误数目、发送错误率)+路由信息(目的地址、目的掩码、路由协议、下一跳IP、下一跳接口名)+ARP/ND邻居表信息(邻居地址、邻居Mac、接口名称、类型)。

步骤S120，基于终端设备信息以及网络设备信息，通过端口扫描确定端口打开的状态，并检测端口上运行的应用程序与版本信息。

步骤S130，基于端口打开的状态、应用程序以及版本信息检测设备的操作系统。

示例性的，Nmap包含四项基本功能：主机发现(Host Discovery)，端口扫描(PortScanning)版本侦测(Version Detection)，操作系统侦测(Operating System Detection)这四项功能点相互之间，也存在着大抵的依附关系。整体过程需要先进行主机发现，然后再确定端口打开的状态，检查端口上运行了具体的应用程序与版本信息，这个时候就可以进行操作系统的侦测。而在四项基本功能的基础上，Nmap提供防火墙与IDS(IntrusionDetection System，入侵检测系统)的规避技巧，可以综合应用到四个基本功能的各个阶段；此外，Nmap提供了比较专业的NSE脚本引擎功能，脚本可以对上述的基本功能进行很好的补充和完善。

通过对基于流程的IP地址的全生命周期管理进行讨论，探讨IP地址全流程管理内容的体系建设，做到全网海量IP地址的全生命周期管理，可以更好的帮企业实现IP地址流程化管理及动态更新，规范IP申请流程制度，另外P地址变更流程、临时IP地址分配流程、IP-MAC地址管理、IP地址非法使用的处罚制度等等，从技术和管理两个角度和维度实现对IPv4和IPv6双栈地址的全生命周期管理。根据管理员或者运维人员以及相关IP地址管理要求，对监测的IP地址进行全生命周期管理，统计、分析的结果进行多维度可视化的报表呈现。依据公司部门组织架构，建立多级权限角色，进行系统使用。

本申请实施例中，要实现基于流程的IP地址的全生命周期管理，需要针对现网环境采取计划性、分阶段的梳理措施：

1)整理现网环境中IP地址层级体系建设内容。经过充分的调研排查IP地址管理过程当中涉及到的各个部门、分公司或者业务数据中心，确认IP地址管理过程当中的业务数据来源、相互引用关系等等，提高管理效率。公司内部网络地址的管理建立多级权限的管理制度，比如集团公司网络中心是一级职能管理单位，其他分公司网络管理部门或者其他机构为二级网络管理中心。

2)建设IP地址全生命周期管理的完善的流程体系。基于业务需要，在运维过程中梳理IP地址以及相关关联数据时，从IP地址整体规划、IP地址自动分配、IP地址使用过程审计以及IP地址闲置回收等各个阶段进行严格管控，实现对双栈地址的规范化、智能化、自动化管理。

3)规范IP地址管理的体系。标准化IP地址使用流程，采用可溯源可登记可关联业务的记录体系，保障后期可追溯，是实际业务中开通地址资源信息后需要在记录体系中备案留存，同时基于实际情况要同时管理要求，严格落实地址二级规划、地址占用、地址回收的管理流程，通过全流程的规范管理体系，为地址使用流程的规范化提供保障服务。

4)IP规划地址管理。针对手工录入的IP地址维护表格，统一梳理后，按照子网或者业务、区域三个维度，完整的展现出企业整体网络规划以及分配使用情况，包括子网使用率、地址段使用数量、地址使用数量，通过多类型的数据关联IP地址，方便管理员针对某IP地址或者某用户，某MAC的行为进行审计。

5)双栈地址需要统一管理，多维度的统一展现。需要先建立IP地址信息资源管理库，由管理人员准确梳理出业务IP和端口以及所处的vlan信息。通过主动扫描网络内的IP使用情况进行主动探测分析，结合实名信息，记录IP地址对应的MAC地址、设备名称、设备类型、位置、联系人、用途等信息，帮助管理员解决最为关心的“IP是否在用？谁在用？在哪用？”的问题，提高管理效率。同时关联交换机的相关配置信息，包括端口信息、接口信息、路由信息、ARP信息等，实现网络的全局可视化管理。

6)IP地址使用审计。基于IP地址、MAC地址、链路信息、终端类型信息、实名信息等数据的地址基线，通过对比不同的基线版本得出差异性结果，检测并跟踪所有网络变化，包括谁更改了什么，何时何地以及对网络的影响，管理员可以通过基线数据的变化更直观的对网络中的IP地址使用情况进行审计。

7)地址管理报表。对企业网络中总部以及分公司或部门全网IP地址使用率、子网IP地址使用率、子网已用IP地址信息、子网可用IP地址、IP地址管理绑定信息、IP地址基线、IP地址审计信息等数据生成的报表，为企业IP地址分配及后期规划提供决策依据。根据实际的使用情况，由管理员统一的进行IP地址的扩容或者合理规划使用。

实现企业对IP地址的全生命周期的流程化管理，结合当前企业里面临的IP地址管理的痛点以及迫切需求，以规范标准的全流程对IP地址进行全生命周期进行管控，可以大大提高企业在IP地址管理中的自动化、安全性、智能化等方面的能力。对企业各业务快速发展提供强有力的支撑。在实际网络应用场景中，有益效果如下：

1)实现企业网络集中可视化管理，管理员可以轻松管理整个网络，更好的实现网络规划，合理分配IT资源。此外可以很好的优化、扩展网络，提升运营效率。实时的监控网络变化，检测网络运行健康状况，降低网络中断的风险。同时结合多种数据分析统计，直观的报表解读，让管理员对企业网络了如指掌。

2)实现了IP地址管理的电子化管理建设。通过IP地址的全生命周期管理，管理员可以对网络规划、在线用户以及网络运行状态实时感知，使得网络实现自动化，智能化。尤其是对于双栈地址的同时管理，更方便实现IP地址与业务关联、与组织架构关联。

3)通过全流程管理体系建设，协助客户智能化的将现网网络与将来要规划的网络进行集中管控与审计，保证了IP地址使用的一致性与规范性。基线数据的自动比对，可以自动实现IP地址的审计效果，大幅提升企业网络中IP地址分配的自动化、智能化与安全性。

下面对上述步骤进行详细介绍。

在一些实施例中，上述步骤S110可以包括如下步骤：

步骤a)，利用网络发现算法检测目标设备是否在线，如果目标设备在线，则获取目标终端设备信息以及目标网络设备信息。

本申请实施例中，主机发现功能用于发现目标主机是否在线，如果反馈为Alive，则处于开启状态。

基于上述步骤a)，上述步骤a)中利用网络发现算法检测目标设备是否在线德国车，可以包括如下步骤：

步骤b)，发送多种不同类型的探测包至目标设备，如果接受到目标设备基于至少一个探测包反馈的回复包，则确定目标设备为开启的状态并确定目标设备在线。

示例性的，主机发现功能的实现原理可以与Ping命令基本一致，先是发送探测包到目标主机，如果可以收到回复包，则说明目标主机是开启的状态。Nmap可以支持十多种不同方式的主机探测，比如发送ICMP ECHO/TIMESTAMP/NETMASK报文、发送TCPSYN/ACK包、发送SCTP INIT/COOKIE-ECHO包，用户可以根据业务的实际需求在不同的条件下灵活选用不同的方式来探测目标机。

下面对主机发现的基本原理以ICMP echo方式为例进行说明。Nmap的用户位于源端，IP地址192.168.0.5，向目标主机192.168.0.3发送ICMP Echo请求报文。如果这个请求报文没有被防火墙的策略拦截，那么目标机就会回复ICMP Echo相应报文回来。以此来确定目标主机是否在线。

一般情况下，Nmap会发送4种不同类型的数据报文来确认目标主机是否在线，即ICMP echo request、a TCP SYN packet to port 443、a TCP ACK packet to port 80、anICMP timestamp request。

顺次发送4个数据报文来确认目标机器是否开启。只要能够收到其中一个数据包的回复，那就证明目标机器是开启状态的。为了避免因防火墙策略拦截或者网络丢包发生的判断错误，通常会发送4种不同类型的数据包。

在一些实施例中，在通过端口扫描确定端口打开的状态的过程中，对于端口扫描的基本原理，Nmap最基本最核心的功能是端口扫描，目标主机TCP/UDP端口的开放情况主要是靠端口扫描功能来确认。一般情况下，Nmap功能会扫描1000个最有可能开放的TCP端口列表。

Nmap通过探测将端口划分为6个状态：open，端口是开放的；closed，端口是关闭的；filtered，端口被防火墙或入侵检测屏蔽掉了，无法确定其真实状态；unfiltered，端口没有被屏蔽，但是否开放则需要进一步确认；open|filtered，端口是开放的或被屏蔽；closed|filtered，端口是关闭的或被屏蔽；Nmap在端口扫描方面非常强大，提供了十多种探测方式。

在一些实施例中，端口为TCP协议端口；上述步骤S120中检测端口上运行的应用程序与版本信息的过程可以包括如下步骤：

步骤c)，在与端口建立连接的过程中，接收目标设备发送的目标信息，通过将目标信息与签名信息对比，查找目标信息对应的应用程序与版本信息。

对于版本探测，主要用来确认目标机器开放的端口上运行的对应的应用程序及版本情况。简要的介绍版本的探测原理。版本侦测主要分为以下几个步骤：

首先需要确认open与open|filtered两个状态下的端口是否在排除端口列表内。如果是在排除列表，该端口则应该被剔除。

如果是使用TCP协议的端口，通常会在6S内或者更多时间去尝试建立连接。而且在等待时间内，会接收到目标主机发送的“WelcomeBanner”信息，之后通过将Banner信息与nmap-services-probes中NULL probe中的签名综合比对后来查找对应应用程序的名字与版本信息。

当然，如果通过上述步骤无法确定应用程序版本，那么nmap会再次尝试发送其他的探测包，并将probe得到回复包与数据库中的签名进行对比。如果多次探测后都无法测试出应用的版本信息，则会echo出应用返回报文，由终端用户自行进一步判定。

相反情况，如果是使用UDP协议的端口，可以直接使用nmap-services-probes中的试探包进行试探匹配，并根据结果对比分析出UDP应用的服务类型。

在一些实施例中，上述步骤S130可以包括如下步骤：

步骤d)，基于端口打开的状态、应用程序以及版本信息，通过Nmap利用TCP/IP协议栈指纹和/或系统数据库资源中的预设指纹特征，识别多种操作系统与设备类型。

对于系统侦测过程，操作系统类型及设备类型等信息需要使用到操作系统的探测功能。Nmap依靠着丰富的系统数据库nmap-os-db资源能够识别出2600多种操作系统与设备类型。同时，Nmap识别不同的操作系统和设备也可以使用TCP/IP协议栈指纹。Nmap主要是依据一些细节上的差异来判断操作系统的类型的。

具体实现方式如下：Nmap在文件nmap-os-db文件中具备2600多已知系统的指纹特征可以用来做指纹对比的样本库。选择两个不同状态下的端口并向其发送经过设计的TCP/UDP/ICMP数据检测报文，最后根据返回的数据报文生成一份初始的系统指纹。将初始生成的指纹与nmap-os-db中指纹库进行查找对比，最终匹配出对应的系统类型。如果无法匹配成功，则以概率形式列举出可能的系统类型。

对于基于流程的IP地址全生命周期系统设计功能架构，基于流程的IP地址全生命周期管理，平台设计主要参考IP管理流程设计以及统一管理平台系统。管理平台系统功能包括：IP地址全景视图可视化、终端自动发现、实名制管理、网络设备信息采集、网络数据基线比对及告警，同时统一管理平台具备IP地址可视化、网络拓扑可视化、扫描任务及参数配置、实名制管理、审计报表展示等。

对于其功能方面，对IP地址进行全生命周期管理，从IP地址申请使用，到相关各级领导审批，审批完成后进行IP地址相关的实施，最后到正常使用统计。通过IP地址动态感知算法，可以识别出不在管理清单中的IP，进行实时告警，并记录所有IP的动态使用情况和中断记录。

基于流程的IP地址全生命周期管理，在统一的管理平台基础上实现IP地址从规划、使用申请及审批、按需分配、空闲回收、实名登记等一系列流程，具体步骤为：

地址规划：IP地址的地址规划要求统一按照业务需求制定统一的使用办法、包括网段规划、层级规划、业务地址、网络设备地址，通过统一的管理平台宏观的显示出IP地址的规划及实际使用情况；

地址使用申请及审批：申请人可根据实际业务需要申请IP地址，通过平台申请页面在线提交IP地址申请，审批人员在收到申请后对申请信息进行审批，审批通过后自动进入到基于算法的智能地址分配流程，按照前期统一的使用规划分配出合规的IP地址信息；

地址分配：根据业务使用人提出的申请信息，按照使用区域或者具体业务用途，对IP地址进行智能化自动化的分配；

地址回收：当业务IP地址使用寿命到期，或因业务发生变化需要回收IP地址，则由申请人通过统一的管理平台发起IP地址回收申请，审批人根据申请信息进行审批，审批通过则回收IP地址并更新地址实名登记信息；

地址实名登记：对IP地址各个流程的使用情况进行实名登记备案；然后对IP地址使用情况通过平台进行采集，通过整体网络中IP地址基线信息对比出网络中IP地址的实际使用情况或异常情况，并对异常情况和IP地址空闲时间较长的IP地址进行核查，可由管理员直接发起对超过一定时间未上线的IP地址直接进行回收使用。

其中，整个流程的重点在于IP地址的审核流程。申请人在申请IP时，需要填写详细信息，包括“申请人姓名、申请人联系方式、申请时间、属地信息、楼层信息、主机名、主机设备类型、主机用途、MAC地址/DUID、VLAN信息(地址段信息)、申请IP等信息，在符合网络规划的前提下，申请人可以按照属地、楼层属性，自己选择申请使用哪个地址段的地址，且一个IP只能分配给一个申请人，申请人在申请新IP时，只能从未分配IP地址中选择，需要结合前边提到的网络扫描技术，扫描出所有在网的IP地址，确保开放给用户申请的未分配IP地址是真正的未分配过的IP地址。

同时IP使用申请需要有详细的申请审批流程，主要包含以下几步：申请人发起IP地址使用申请-＞对应属地的地市互联网部管理员审批-＞上级属地的集团互联网部管理员审批-＞根属地的运维分部管理员审批-＞审批完成，申请人可正常获取该IP；IP地址使用申请在提交以后，申请人不再有修改权限，只能查看审核进展或撤销申请，所有的审核管理员在审核操作中，支持通过、拒绝、返回修改操作。所有正处于申请审核中的IP地址，在DHCP侧需要设置为保留状态，该IP地址将不分配给任何人。所有申请通过的IP地址及对应的MAC/DUID，在DHCP侧将自动加入到MAC/DUID地址白名单，同时添加IP-MAC/DUID绑定关系。已分配的IP地址需要支持自动回收，回收后的IP地址需要设置为未分配状态，同时删除该IP对应的静态绑定数据、MAC白名单中的相应记录，确保该IP不会再分配出去。

对于系统组成方面，如图2所示，本系统由IP地址信息查询、在线用户信息查询、地址分配历史查询、地址利用率统计、DHCP功能配置、子网管理、终端设备实名管理、IP地址申请、IP地址审核、IP地址回收等功能模块。本系统具体功能实现包括如下内容。

IP地址多种分配方式：系统支持在双栈环境下IP地址的动态分配、固定分配、空闲地址分配、记忆地址分配等多种分配方式。

IP地址申请-审核-分配-回收全生命周期管理：系统通过自动发现算法在收到IP地址申请时通过快速匹配现网网络IP使用信息，判断出对应业务范围内空闲可用的IP地址并提供给申请者做表单申请使用。管理人员在收到申请后，可基于业务同意或驳回请求。在业务下线后，可有申请人申请IP地址回收或由管理人员直接发起IP地址回收流程，回收后的IP地址可正常进入待分配的资源池中。

对于用户实名信息收集方面，包括如下内容：

管理员收集信息批量录入：如图3所示，系统管理员收集用户实名信息批量导入，信息包括mac、ip、用户姓名、电话、主机名、操作系统类型等，可基于当前的使用登记功能改造，数据与DHCP、BYOD用户信息同步。

用户IP地址申请功能：如图4所示，用户通过访问自申请页面，提示用户输入手机、用户名、操作系统类型(apple、windows、linux等)、主机名等信息。

网络扫描功能：指定地址段扫描，如图5所示；配置交换机信息，通过snmp查询MIB数据，如图6所示；通过网络扫描(snmp协议、nmap、NETBIOS等)，获取到mac、ip等信息后管理员再补全实名信息。

对于网络实名信息展示方面，包括如下内容：DHCP的统计查询数据需要和BYOD的实名登记数据、系统管理的使用登记数据互相关联。IP地址信息查询、需要能够自动关联收集到的实名信息并展示；在线用户信息查询、地址分配历史查询、用户行为信息查询；网络拓扑信息展示功能，展示扫描到的所有终端用户信息、DHCP分配的用户信息，所有数据需要关联用户实名信息，如图7所示。

对于可视化网络拓扑方面，通过自动发现算法，生成在网信息可视化的网络拓扑，已最简明、直观的方式呈现。具体流程如图8所示。

对于终端信息自动发现方面，终端信息自动发现是对网络内的IP使用情况进行主动探测分析，结合实名信息，记录IP地址对应的MAC地址、设备名称、设备类型、位置、联系人、用途等信息，帮助管理员解决最为关心的“IP是否在用，谁在用，在哪用”的问题，提高管理效率。具体流程如图9所示。

对于网络信息自动发现方面，通过智能算法实现与交换机联动，主动采集交换机信息，包括端口信息、接口信息、路由信息、ARP/ND信息等，实现网络全局可视化，管理员可看到整个网络中划分了多少个VLAN、对应着多少个接口、开通了哪些协议等信息协助管理员对网络进行整体管控。具体流程如图10所示。

本申请实施例提供的方案，在企业中能够实现基于流程的IP地址全生命周期的管理，是优化运维工作的必要手段，对于提升企业运维部门的服务质量提供了强有力的竞争力量。基于流程的IP地址全生命周期管理系统的设计可以从态势感知、趋势预测、优化运行和精准控制等方面对企业网络信息的管理实现全景可观、全局可控、多维度协调等综合效果，相信随着这一技术的发展，企业IP地址的管理将更加便捷、高效。

图11提供了一种基于自动化发现算法的网络资产探测装置的结构示意图。如图11所示，基于自动化发现算法的网络资产探测装置1100包括：

获取模块1101，用于利用网络发现算法获取终端设备信息以及网络设备信息；

第一检测模块1102，用于基于所述终端设备信息以及网络设备信息，通过端口扫描确定所述端口打开的状态，并检测所述端口上运行的应用程序与版本信息；

第二检测模块1103，用于基于所述端口打开的状态、所述应用程序以及所述版本信息检测设备的操作系统。

本申请实施例提供的基于自动化发现算法的网络资产探测装置，与上述实施例提供的基于自动化发现算法的网络资产探测方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

本申请实施例提供的一种电子设备，如图12所示，电子设备1200包括处理器1202、存储器1201，所述存储器中存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述实施例提供的方法的步骤。

参见图12，电子设备还包括：总线1203和通信接口1204，处理器1202、通信接口1204和存储器1201通过总线1203连接；处理器1202用于执行存储器1201中存储的可执行模块，例如计算机程序。

其中，存储器1201可能包含高速随机存取存储器(Random Access Memory，简称RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个通信接口1204(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线1203可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器1201用于存储程序，所述处理器1202在接收到执行指令后，执行所述程序，前述本申请任一实施例揭示的过程定义的装置所执行的方法可以应用于处理器1202中，或者由处理器1202实现。

处理器1202可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1202中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1202可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(DigitalSignal Processing，简称DSP)、专用集成电路(Application Specific IntegratedCircuit，简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1201，处理器1202读取存储器1201中的信息，结合其硬件完成上述方法的步骤。

对应于上述基于自动化发现算法的网络资产探测方法，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可运行指令，所述计算机可运行指令在被处理器调用和运行时，所述计算机可运行指令促使所述处理器运行上述基于自动化发现算法的网络资产探测方法的步骤。

本申请实施例所提供的基于自动化发现算法的网络资产探测装置可以为设备上的特定硬件或者安装于设备上的软件或固件等。本申请实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，前述描述的系统、装置和单元的具体工作过程，均可以参考上述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

再例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请提供的实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述基于自动化发现算法的网络资产探测方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，简称ROM)、随机存取存储器(Random Access Memory，简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释，此外，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

最后应说明的是：以上所述实施例，仅为本申请的具体实施方式，用以说明本申请的技术方案，而非对其限制，本申请的保护范围并不局限于此，尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换，而这些修改、变化或者替换，并不使相应技术方案的本质脱离本申请实施例技术方案的范围。都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims (7)

1.一种基于自动化发现算法的网络资产探测方法，其特征在于，所述方法包括：

利用网络发现算法获取终端设备信息以及网络设备信息；

基于所述终端设备信息以及网络设备信息，通过端口扫描确定所述端口打开的状态，并检测所述端口上运行的应用程序与版本信息；

基于所述端口打开的状态、所述应用程序以及所述版本信息检测设备的操作系统；

所述利用网络发现算法获取终端设备信息以及网络设备信息的步骤，包括：

利用网络发现算法检测目标设备是否在线，如果所述目标设备在线，则获取目标终端设备信息以及目标网络设备信息；

所述利用网络发现算法检测目标设备是否在线的步骤，包括：

发送多种不同类型的探测包至目标设备，如果接受到所述目标设备基于至少一个所述探测包反馈的回复包，则确定所述目标设备为开启的状态并确定所述目标设备在线；

所述端口为TCP协议端口；所述检测所述端口上运行的应用程序与版本信息的步骤，包括：

在与所述端口建立连接的过程中，接收目标设备发送的目标信息，通过将所述目标信息与签名信息对比，查找所述目标信息对应的应用程序与版本信息。

2.根据权利要求1所述的方法，其特征在于，所述终端设备信息包括下述任意一项或多项：

设备地址、设备名称、设备类型、操作系统、准确率、MAC地址、数据来源、地址类型、厂商、位置、联系人、系统启动时间、首次发现时间、最后通信时间、开放端口信息、UUID。

3.根据权利要求1所述的方法，其特征在于，所述网络设备信息包括下述任意一项或多项：

终端信息、VLAN信息、接口信息、路由信息、ARP/ND邻居表信息。

4.根据权利要求1所述的方法，其特征在于，所述基于所述端口打开的状态、所述应用程序以及所述版本信息检测设备的操作系统的步骤，包括：

基于所述端口打开的状态、所述应用程序以及所述版本信息，通过Nmap利用TCP/IP协议栈指纹和/或系统数据库资源中的预设指纹特征，识别多种操作系统与设备类型。

5.一种基于自动化发现算法的网络资产探测装置，其特征在于，包括：

获取模块，用于利用网络发现算法获取终端设备信息以及网络设备信息；

第一检测模块，用于基于所述终端设备信息以及网络设备信息，通过端口扫描确定所述端口打开的状态，并检测所述端口上运行的应用程序与版本信息；

第二检测模块，用于基于所述端口打开的状态、所述应用程序以及所述版本信息检测设备的操作系统；

所述获取模块具体用于：

利用网络发现算法检测目标设备是否在线，如果所述目标设备在线，则获取目标终端设备信息以及目标网络设备信息；

所述获取模块还用于：

发送多种不同类型的探测包至目标设备，如果接受到所述目标设备基于至少一个所述探测包反馈的回复包，则确定所述目标设备为开启的状态并确定所述目标设备在线；

所述第一检测模块具体用于：

在与所述端口建立连接的过程中，接收目标设备发送的目标信息，通过将所述目标信息与签名信息对比，查找所述目标信息对应的应用程序与版本信息。

6.一种电子设备，包括存储器、处理器，所述存储器中存储有可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现上述权利要求1至4任一项所述的方法的步骤。

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可运行指令，所述计算机可运行指令在被处理器调用和运行时，所述计算机可运行指令促使所述处理器运行所述权利要求1至4任一项所述的方法。

Images