CN112769635B - 多粒度特征解析的服务识别方法及装置 - Google Patents
多粒度特征解析的服务识别方法及装置 Download PDFInfo
- Publication number
- CN112769635B CN112769635B CN202011451484.3A CN202011451484A CN112769635B CN 112769635 B CN112769635 B CN 112769635B CN 202011451484 A CN202011451484 A CN 202011451484A CN 112769635 B CN112769635 B CN 112769635B
- Authority
- CN
- China
- Prior art keywords
- host
- fingerprint
- detection packet
- packet payload
- survival
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种多粒度特征解析的服务识别方法及装置。所述多粒度特征解析的服务识别方法包括主机存活探测,从而获取存活主机;对存活主机进行开放端口扫描;使用多粒度特征解析方法对开放端口进行服务识别。本申请的多粒度特征解析的服务识别方法通过复合策略对端口返回信息进行特征解析,并进行高效率指纹库匹配,相对于现有技术更为准确,结果也更为详细。
Description
技术领域
本发明涉及渗透测试技术领域,具体涉及一种多粒度特征解析的服务识别方法以及多粒度特征解析的服务识别装置。
背景技术
随着网络信息化的全面建设和快速发展,企业网络中承载了越来越多的关键基础信息设施,尽管企业对于重要网络资产的安全重视程度与日俱增,但往往因为某些不起眼的资产防护不到位而被攻击者突破防线,给企业带来巨大损失。当前已有不少针对主机服务识别的技术,例如通过默认端口判断,通过banner信息判断等。但在准确性和服务的详细信息描述上均有不同程度的不足。
通过默认端口进行服务识别,例如通常21端口开放ftp服务,80端口开放http服务等。但它们只是默认端口,不代表不可以更改。如果一些服务开放的端口不是默认的话,此服务识别方法便会受到很大的局限性。
通过Banner信息进行服务识别,在与端口建立连接后,端口会返回一段banner信息作为自己的特征标志,例如对22端口进行TCP连接,得到banner信息“SSH-2.0-OpenSSH_7.4”,推测22端口开放ssh服务。但banner信息可由管理员重新编辑,因此单靠banner信息进行服务识别也不准确。
发明内容
本申请的目的在于提供一种多粒度特征解析的服务识别方法来克服或至少减轻现有技术的至少一个上述缺陷。
为实现上述目的,本申请提供一种多粒度特征解析的服务识别方法,所述多粒度特征解析的服务识别方法包括:
主机存活探测,从而获取存活主机;
对存活主机进行开放端口扫描;
使用多粒度特征解析方法对开放端口进行服务识别。
可选地,所述使用多粒度特征解析方法对开放端口进行服务识别包括:
获取指纹库;
与存活主机端口建立TCP连接,若连接失败,则构造探测包并向存活主机直接发送探测包payload,并获取存活主机响应于探测包payload所发送的返回包中的banner信息,若获取成功,则
对所述banner信息进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配。
可选地,所述使用多粒度特征解析方法对开放端口进行服务识别进一步包括:
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若没有接收到返回的banner信息,则构造探测包payload并向所述存活主机发送所述探测包payload并获取存活主机响应于探测包payload返回的banner信息,若接收到所述存活主机响应于探测包payload返回的banner信息,则对响应于探测包payload返回的banner进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配。
可选地,所述使用多粒度特征解析方法对开放端口进行服务识别进一步包括:
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若接收到返回的banner信息,则对banner进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配。
可选地,所述使用多粒度特征解析方法对开放端口进行服务识别进一步包括:
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若没有接收到返回的banner信息,则构造探测包payload并向所述存活主机发送所述探测包payload并获取存活主机响应于探测包payload返回的banner信息,若未接收到所述存活主机响应于探测包payload返回的banner信息,则以存活主机的默认端口所对应的服务作为特征指纹并与指纹库进行指纹库匹配。
可选地,所述使用多粒度特征解析方法对开放端口进行服务识别进一步包括:
与存活主机端口建立TCP连接,若连接失败,则向存活主机直接发送探测包payload,并获取存活主机响应于探测包payload所发送的返回包中的banner信息,若获取失败,则以存活主机的默认端口所对应的服务作为关键字进行指纹库匹配。
可选地,所述构造探测包方法包括:
以默认端口所对应的服务作为关键字优先进行探测包构造;
在无法判断所对应的服务的情况下使用默认设置的探测包进行探测。
可选地,所述与指纹库进行指纹库匹配包括:
将特征指纹与指纹库按进行比对,从而获取指纹库中的与特征指纹相同的指纹特征所对应的服务类别。
本申请还提供了一种多粒度特征解析的服务识别装置,所述多粒度特征解析的服务识别装置包括:
主机存活探测模块,所述主机存活探测模块用于主机存活探测,从而获取存活主机;
开放端口扫描模块,所述开放端口扫描模块用于对存活主机进行开放端口扫描;
多粒度特征解析识别模块,所述多粒度特征解析识别模块用于使用多粒度特征解析方法对开放端口进行服务识别。
可选地,所述使用多粒度特征解析方法对开放端口进行服务识别包括:
获取指纹库;
与存活主机端口建立TCP连接,若连接失败,则构造探测包并向存活主机直接发送探测包payload,并获取存活主机响应于探测包payload所发送的返回包中的banner信息,若获取成功,则对所述banner信息进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若没有接收到返回的banner信息,则构造探测包payload并向所述存活主机发送所述探测包payload并获取存活主机响应于探测包payload返回的banner信息,若接收到所述存活主机响应于探测包payload返回的banner信息,则对响应于探测包payload返回的banner进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若接收到返回的banner信息,则对banner进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若没有接收到返回的banner信息,则构造探测包payload并向所述存活主机发送所述探测包payload并获取存活主机响应于探测包payload返回的banner信息,若未接收到所述存活主机响应于探测包payload返回的banner信息,则以存活主机的默认端口所对应的服务作为特征指纹并与指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接失败,则向存活主机直接发送探测包payload,并获取存活主机响应于探测包payload所发送的返回包中的banner信息,若获取失败,则以存活主机的默认端口所对应的服务作为关键字进行指纹库匹配。
本申请的多粒度特征解析的服务识别方法通过复合策略对端口返回信息进行特征解析,并进行高效率指纹库匹配,相对于现有技术更为准确,结果也更为详细。
附图说明
图1为本发明第一实施例的多粒度特征解析的服务识别方法的流程示意图。
具体实施方式
为使本申请实施的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行更加详细的描述。在附图中,自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。所描述的实施例是本申请一部分实施例,而不是全部的实施例。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。下面结合附图对本申请的实施例进行详细说明。
图1为本发明第一实施例的多粒度特征解析的服务识别方法的流程示意图。
如图1所示的多粒度特征解析的服务识别方法包括如下步骤:
步骤1:主机存活探测,从而获取存活主机;
步骤2:对存活主机进行开放端口扫描;
步骤3:使用多粒度特征解析方法对开放端口进行服务识别。
本申请的多粒度特征解析的服务识别方法通过复合策略对端口返回信息进行特征解析,并进行高效率指纹库匹配,相对于现有技术更为准确,结果也更为详细。
在本实施例中,主机存活探测,从而获取存活主机通过高级ICMP扫描技术实现。
在本实施例中,存活主机可以是多个,探测时支持批量,探测本身是将每个存活主机作为目标机,但是可以提前制定白名单,将不需要探测的主机排除在范围外。
Ping是利用ICMP协议实现的,高级的ICMP扫描技术主要利用ICMP协议最基本的用途——报错。根据网络协议,如果接收到的数据包协议项出现了错误,那么接收端将产生一个“Destination Unreachable”(目标主机不可达)ICMP的错误报文。这些错误报文不是主动发送的,而是由于错误,根据协议自动产生的。
当IP数据包出现Checksum(校验和)和版本的错误的时候,目标主机将抛弃这个数据包;如果是Checksum出现错误,那么路由器就直接丢弃这个数据包。有些主机比如AIX、HP/UX等,是不会发送ICMP的Unreachable数据包的。
例如,可以向目标主机发送一个只有IP头的IP数据包,此时目标主机将返回“Destination Unreachable”的ICMP错误报文。如果向目标主机发送一个坏IP数据包,比如不正确的IP头长度,目标主机将返回“Parameter Problem”(参数有问题)的ICMP错误报文。
注意:如果是在目标主机前有一个防火墙或者一个其他的过滤装置,可能过滤掉提出的要求,从而接收不到任何的回应。这时可以使用一个非常大的协议数字作为IP头部的协议内容,而且这个协议数字至少在今天还没有被使用,主机一定会返回Unreachable;如果没有Unreachable的ICMP数据包返回错误提示,那么,就说明被防火墙或者其他设备过滤了,也可以用这个方法探测是否有防火墙或者其他过滤设备存在。
在本实施例中,对存活主机进行开放端口扫描基于无状态扫描实现。
TCP是可靠的面向连接的协议,一个完整的TCP会话每个过程都有不同的状态。快速的端口扫描器原理都是基于无状态的扫描。在确认端口打开后,通过RST放弃建立连接。这种扫描方式速度极快,在进行大规模扫描工作时十分占据优势,但是同时,由于无状态的发包方式,如果遇到丢包的情况,不像有连接时候会进行重复查询,而是直接没有回应,因此准确率上不如SYN扫描那么准确,但是可以用重复扫描来弥补准确性上面的缺陷。
在本实施例中,使用多粒度特征解析方法对开放端口进行服务识别包括:
获取指纹库;
与存活主机端口建立TCP连接,若连接失败,则构造探测包并向存活主机直接发送探测包payload,并获取存活主机响应于探测包payload所发送的返回包中的banner信息,若获取成功,则
对所述banner信息进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配。
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若没有接收到返回的banner信息,则构造探测包payload并向所述存活主机发送所述探测包payload并获取存活主机响应于探测包payload返回的banner信息,若接收到所述存活主机响应于探测包payload返回的banner信息,则对响应于探测包payload返回的banner进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配。
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若接收到返回的banner信息,则对banner进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配。
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若没有接收到返回的banner信息,则构造探测包payload并向所述存活主机发送所述探测包payload并获取存活主机响应于探测包payload返回的banner信息,若未接收到所述存活主机响应于探测包payload返回的banner信息,则以存活主机的默认端口所对应的服务作为特征指纹并与指纹库进行指纹库匹配。
与存活主机端口建立TCP连接,若连接失败,则向存活主机直接发送探测包payload,并获取存活主机响应于探测包payload所发送的返回包中的banner信息,若获取失败,则以存活主机的默认端口所对应的服务作为关键字进行指纹库匹配。
当前准确度最高的服务识别技术是通过指纹特征进行识别。不同的操作系统以及不同版本的系统在TCP/IP协议上指纹参数的设定存在差异。通过收集这些参数进行比对得到系统的类型和版本信息,如果可以直接抓到banner,那么很大概率上可以直接的拿到服务类型和版本。但是如果没有,就要根据已知的指纹信息,来进行对应的推测。由于指纹库庞大,直接应用会很大程度影响扫描效率,因此本发明采取了一种多粒度特征解析的服务识别技术。
首先尝试TCP连接,尝试失败说明此端口没有TCP服务,直接发送探测包payload,然后用获取的banner进行特征解析,选取关键词进行指纹库匹配;如果连接成功看是否返回banner,如果没有返回banner则主动发送探测包payload获取banner;同样对banner进行特征解析,与指纹库进行特征匹配。在无法获取banner信息的情况下,以默认端口所对应的服务作为关键字进行指纹库匹配。由于指纹库按照服务类别进行分类,大大提高了匹配速度。
本发明的多粒度特征解析的服务识别技术通过复合策略对端口返回信息进行特征解析,并进行高效率指纹库匹配,相对于现有技术更为准确,结果也更为详细。
在本实施例中,构造探测包方法包括:
以默认端口所对应的服务作为关键字优先进行探测包构造;
在无法判断所对应的服务的情况下使用默认设置的探测包进行探测。
为详细。
在本实施例中,所述与指纹库进行指纹库匹配包括:
将特征指纹与指纹库按进行比对,从而获取指纹库中的与特征指纹相同的指纹特征所对应的服务类别。
下面以举例的方式对本申请进行进一步阐述,可以理解的是,该举例并不构成对本申请的任何限制。
步骤1:指定网段,进行主机存活探测;
步骤2:对存活主机进行开放端口扫描;
步骤3:对开放端口进行具体服务信息探测。
本发明的多粒度特征解析的服务识别技术通过复合策略对端口返回信息进行特征解析,并进行高效率指纹库匹配,相对于现有技术更为准确,结果也更为详细。
在本实施例中,步骤3:对开放端口进行具体服务信息探测包括:
步骤31:尝试TCP连接,尝试失败说明此端口没有TCP服务,直接发送探测包payload;
步骤32:接收目标机返回的“WelcomeBanner”信息。将接收到的banner与指纹库进行对比;
步骤33:用获取的banner作为关键词进行指纹库匹配;
步骤34:如果通过“WelcomeBanner”无法确定应用程序版本,那么再尝试发送其他的探测包,对返回包进行特征解析获取特征指纹,进行指纹库匹配;
步骤35:在无法获取指纹信息的情况下,先以默认端口所对应的服务作为关键字进行指纹库匹配,并返回原始包报文,供用户自行判断;
步骤36:收集用户提交数据补足指纹库。
在进行banner获取和指纹特征提取时,按照预设规则进行特征解析,指纹库按照服务类别进行分类,大大提高了匹配速度。
本申请还提供了一种多粒度特征解析的服务识别装置,所述多粒度特征解析的服务识别装置包括主机存活探测模块、开放端口扫描模块以及多粒度特征解析识别模块,其中,
主机存活探测模块用于主机存活探测,从而获取存活主机;
开放端口扫描模块用于对存活主机进行开放端口扫描;
多粒度特征解析识别模块用于使用多粒度特征解析方法对开放端口进行服务识别。
在本实施例中,所述使用多粒度特征解析方法对开放端口进行服务识别包括:
获取指纹库;
与存活主机端口建立TCP连接,若连接失败,则构造探测包并向存活主机直接发送探测包payload,并获取存活主机响应于探测包payload所发送的返回包中的banner信息,若获取成功,则对所述banner信息进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若没有接收到返回的banner信息,则构造探测包payload并向所述存活主机发送所述探测包payload并获取存活主机响应于探测包payload返回的banner信息,若接收到所述存活主机响应于探测包payload返回的banner信息,则对响应于探测包payload返回的banner进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若接收到返回的banner信息,则对banner进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若没有接收到返回的banner信息,则构造探测包payload并向所述存活主机发送所述探测包payload并获取存活主机响应于探测包payload返回的banner信息,若未接收到所述存活主机响应于探测包payload返回的banner信息,则以存活主机的默认端口所对应的服务作为特征指纹并与指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接失败,则向存活主机直接发送探测包payload,并获取存活主机响应于探测包payload所发送的返回包中的banner信息,若获取失败,则以存活主机的默认端口所对应的服务作为关键字进行指纹库匹配。
本申请虽然以较佳实施例公开如上,但其实并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此,本申请的保护范围应当以本申请权利要求所界定的范围为准。
本申请还提供了一种电子设备,包括存储器、处理器以及存储在存储器中并能够在处理器上运行的计算机程序,处理器执行计算机程序时实现如上的基于大数据的生产全流程可视化智能管控方法。
举例来说,电子设备包括输入设备、输入接口、中央处理器、存储器、输出接口以及输出设备。其中,输入接口、中央处理器、存储器以及输出接口通过总线相互连接,输入设备和输出设备分别通过输入接口和输出接口与总线连接,进而与计算设备的其他组件连接。具体地,输入设备接收来自外部的输入信息,并通过输入接口将输入信息传送到中央处理器;中央处理器基于存储器中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器中,然后通过输出接口将输出信息传送到输出设备;输出设备将输出信息输出到计算设备的外部供用户使用。
本申请还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时能够实现如上的基于大数据的生产全流程可视化智能管控方法。
本申请虽然以较佳实施例公开如上,但其实并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此,本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动,媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数据多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
此外,显然“包括”一词不排除其他单元或步骤。装置权利要求中陈述的多个单元、模块或装置也可以由一个单元或总装置通过软件或硬件来实现。第一、第二等词语用来标识名称,而不标识任何特定的顺序。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,模块、程序段、或代码的一部分包括一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地标识的方框实际上可以基本并行地执行,他们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或总流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本实施例中所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可用于存储计算机程序和/或模块,处理器通过运行或执行存储在存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现装置/终端设备的各种功能。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
在本实施例中,装置/终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,计算机程序包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减。
虽然,上文中已经用一般性说明及具体实施方案对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (4)
1.一种多粒度特征解析的服务识别方法,用于网络资产的探测,其特征在于,所述多粒度特征解析的服务识别方法包括:
主机存活探测,从而获取存活主机;
对存活主机进行开放端口扫描;
使用多粒度特征解析方法对开放端口进行服务识别;其中,
所述使用多粒度特征解析方法对开放端口进行服务识别包括:
获取指纹库;
与存活主机端口建立TCP连接,若连接失败,则构造探测包并向存活主机直接发送探测包payload,并获取存活主机响应于探测包payload所发送的返回包中的banner信息,若获取成功,则
对所述banner信息进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若没有接收到返回的banner信息,则构造探测包payload并向所述存活主机发送所述探测包payload并获取存活主机响应于探测包payload返回的banner信息,若接收到所述存活主机响应于探测包payload返回的banner信息,则对响应于探测包payload返回的banner进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若接收到返回的banner信息,则对banner进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若没有接收到返回的banner信息,则构造探测包payload并向所述存活主机发送所述探测包payload并获取存活主机响应于探测包payload返回的banner信息,若未接收到所述存活主机响应于探测包payload返回的banner信息,则以存活主机的默认端口所对应的服务作为特征指纹并与指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接失败,则向存活主机直接发送探测包payload,并获取存活主机响应于探测包payload所发送的返回包中的banner信息,若获取失败,则以存活主机的默认端口所对应的服务作为关键字进行指纹库匹配。
2.如权利要求1所述的多粒度特征解析的服务识别方法,其特征在于,所述构造探测包方法包括:
以默认端口所对应的服务作为关键字优先进行探测包构造;
在无法判断所对应的服务的情况下使用默认设置的探测包进行探测。
3.如权利要求2所述的多粒度特征解析的服务识别方法 ,其特征在于,所述与指纹库进行指纹库匹配包括:
将特征指纹与指纹库按进行比对,从而获取指纹库中的与特征指纹相同的指纹特征所对应的服务类别。
4.一种多粒度特征解析的服务识别装置,其特征在于,所述多粒度特征解析的服务识别装置包括:
主机存活探测模块,所述主机存活探测模块用于主机存活探测,从而获取存活主机;
开放端口扫描模块,所述开放端口扫描模块用于对存活主机进行开放端口扫描;
多粒度特征解析识别模块,所述多粒度特征解析识别模块用于使用多粒度特征解析方法对开放端口进行服务识别;其中,
所述使用多粒度特征解析方法对开放端口进行服务识别包括:
获取指纹库;
与存活主机端口建立TCP连接,若连接失败,则构造探测包并向存活主机直接发送探测包payload,并获取存活主机响应于探测包payload所发送的返回包中的banner信息,若获取成功,则对所述banner信息进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若没有接收到返回的banner信息,则构造探测包payload并向所述存活主机发送所述探测包payload并获取存活主机响应于探测包payload返回的banner信息,若接收到所述存活主机响应于探测包payload返回的banner信息,则对响应于探测包payload返回的banner进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若接收到返回的banner信息,则对banner进行特征解析提取特征指纹,从而通过特征指纹与所述指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接成功,则判断是否接收到返回的banner信息,若没有接收到返回的banner信息,则构造探测包payload并向所述存活主机发送所述探测包payload并获取存活主机响应于探测包payload返回的banner信息,若未接收到所述存活主机响应于探测包payload返回的banner信息,则以存活主机的默认端口所对应的服务作为特征指纹并与指纹库进行指纹库匹配;
与存活主机端口建立TCP连接,若连接失败,则向存活主机直接发送探测包payload,并获取存活主机响应于探测包payload所发送的返回包中的banner信息,若获取失败,则以存活主机的默认端口所对应的服务作为关键字进行指纹库匹配。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011451484.3A CN112769635B (zh) | 2020-12-10 | 2020-12-10 | 多粒度特征解析的服务识别方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011451484.3A CN112769635B (zh) | 2020-12-10 | 2020-12-10 | 多粒度特征解析的服务识别方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112769635A CN112769635A (zh) | 2021-05-07 |
| CN112769635B true CN112769635B (zh) | 2022-04-15 |
Family
ID=75693595
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011451484.3A Active CN112769635B (zh) | 2020-12-10 | 2020-12-10 | 多粒度特征解析的服务识别方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112769635B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259197A (zh) * | 2021-05-13 | 2021-08-13 | 北京天融信网络安全技术有限公司 | 一种资产探测方法、装置及电子设备 |
| CN115208634A (zh) * | 2022-06-17 | 2022-10-18 | 江苏信息职业技术学院 | 一种网络资产的监管引擎 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140157405A1 (en) * | 2012-12-04 | 2014-06-05 | Bill Joll | Cyber Behavior Analysis and Detection Method, System and Architecture |
| CN106713449A (zh) * | 2016-12-21 | 2017-05-24 | 中国电子科技网络信息安全有限公司 | 一种快速识别联网工控设备的方法 |
| CN108418727B (zh) * | 2018-01-26 | 2020-04-24 | 中国科学院信息工程研究所 | 一种探测网络设备的方法及系统 |
| CN109660401A (zh) * | 2018-12-20 | 2019-04-19 | 中国电子科技集团公司第三十研究所 | 一种分布式网络资产探测方法 |
| CN110324310B (zh) * | 2019-05-21 | 2022-04-29 | 国家工业信息安全发展研究中心 | 网络资产指纹识别方法、系统及设备 |
| CN110233774B (zh) * | 2019-05-28 | 2020-12-29 | 华中科技大学 | 一种Socks代理服务器的探测方法、分布式探测方法和系统 |
| CN111756598A (zh) * | 2020-06-23 | 2020-10-09 | 北京凌云信安科技有限公司 | 一种基于主动探测与流量分析结合的资产发现方法 |
-
2020
- 2020-12-10 CN CN202011451484.3A patent/CN112769635B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112769635A (zh) | 2021-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108183916B (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
| US8015605B2 (en) | Scalable monitor of malicious network traffic | |
| Auffret | SinFP, unification of active and passive operating system fingerprinting | |
| US20100169973A1 (en) | System and Method For Detecting Unknown Malicious Code By Analyzing Kernel Based System Actions | |
| CN112769635B (zh) | 多粒度特征解析的服务识别方法及装置 | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| US10091225B2 (en) | Network monitoring method and network monitoring device | |
| US20160380867A1 (en) | Method and System for Detecting and Identifying Assets on a Computer Network | |
| CN113810408B (zh) | 网络攻击组织的探测方法、装置、设备及可读存储介质 | |
| CN110808879A (zh) | 一种协议识别方法、装置、设备及可读存储介质 | |
| CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN111641589A (zh) | 高级可持续威胁检测方法、系统、计算机以及存储介质 | |
| CN113507461B (zh) | 基于大数据的网络监控系统及网络监控方法 | |
| CN112688924A (zh) | 网络协议分析系统 | |
| CN113098727A (zh) | 一种数据包检测处理方法与设备 | |
| CN116684329A (zh) | 一种网络资产发现方法、装置和存储介质 | |
| CN110324199B (zh) | 一种通用的协议解析框架的实现方法及装置 | |
| CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
| CN110071898B (zh) | 一种去中心检测节点合法性的方法 | |
| CN111224981A (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| CN115955333A (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
| CN113965392B (zh) | 恶意服务器检测方法、系统、可读介质及电子设备 | |
| TW201928746A (zh) | 偵測惡意程式的方法和裝置 | |
| CN111079144A (zh) | 一种病毒传播行为检测方法及装置 | |
| CN111031068A (zh) | 一种基于复杂网络的dns分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |