CN112822063A - 通过被动网络行为探测实现物联网终端网络指纹测绘设计 - Google Patents
通过被动网络行为探测实现物联网终端网络指纹测绘设计 Download PDFInfo
- Publication number
- CN112822063A CN112822063A CN202010828774.9A CN202010828774A CN112822063A CN 112822063 A CN112822063 A CN 112822063A CN 202010828774 A CN202010828774 A CN 202010828774A CN 112822063 A CN112822063 A CN 112822063A
- Authority
- CN
- China
- Prior art keywords
- mapping
- network
- server
- mapping equipment
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及计算机信息处理领域,尤其是通过被动网络行为探测实现物联网终端网络指纹测绘设计,包括测绘设备,测绘设备从交换机中获取镜像流量,并从镜像流量中获取MAC地址,通过获取的MAC地址查询国际地址段注册厂商;测绘设备拟合已获取的MAC地址中的所有Net flow,跟踪Net flow并做应用层协议深入探测;通过对应用协议中payload内容做基于AM算法的多模匹配,获取UA字段;测绘设备对探测完成的应用层协议作类别查询,判断其服务所属的业务类型;测绘设备依据查询完成的应用层协议类别判断服务端、客户端行为,并最终明确客户端和服务端的身份,本发明可以扩大测绘设备的测绘范围同时能够不影响现有IDS防御策略,对安全防御策略无影响。
Description
技术领域
本发明涉及计算机信息处理领域,尤其涉及通过被动网络行为探测实现物联网终端网络指纹测绘设计。
背景技术
在网络环境,终端网络指纹跟人的指纹类似,通过分析终端会产生什么样的网络流量,开放什么样的网络服务,访问什么样的网络服务,来给这个终端做个指纹画像;主要用途是从多个角度描述一个在网终端的状态。
市场上该设备存在的缺陷:市场上网络指纹的测绘是向目标主机每个端口发起请求诱探数据包,主机在该端口的服务收到包后,返回服务器信息(诱探结果),根据诱探结果分析网络终端设备指纹;这种方式需要:
条件1:测绘端可以主动向目标主机发起数据包;
条件2:测绘端能接收主机到主机的反馈;
存在缺点:
1:需要发送服务诱探数据包,对网络环境额外增加压力;
2:端口扫描是网络基本入侵行为,易被IDS探测到,正常业务中需要更改IDS规则,导致安全防范降低。
综上所述,需要对目前市场上所采用的网络指纹测绘方法进行调整。
发明内容
本发明的目的是为了解决现有技术中存在的缺点,而提出的通过被动网络行为探测实现物联网终端网络指纹测绘设计。
为达到以上目的,本发明采用的技术方案为:通过被动网络行为探测实现物联网终端网络指纹测绘设计,包括测绘设备,包括以下步骤:
(i)测绘设备从交换机中获取镜像流量,并从镜像流量中获取MAC地址,通过获取的MAC地址查询国际地址段注册厂商;
(ii)测绘设备拟合已获取的MAC地址中的所有Net flow,跟踪Net flow并做应用层协议深入探测;通过对应用协议中payload内容做基于AM算法的多模匹配,获取UA字段;
(iii)测绘设备对探测完成的应用层协议作类别查询,判断其服务所属的业务类型;
(iv)测绘设备依据查询完成的应用层协议类别判断服务端、客户端行为,并最终明确客户端和服务端的身份。
进一步的,所述镜像流量的获取是单向的,测绘设备不主动发送诱探数据且不做端口扫描。
进一步的,所述客户端和服务端的判断步骤如下:
(i)获取该客户端和/或服务端的通信网络行为;
对从MAC地址中获取的Net flow进行分析,在网络会话中终端网络身份是“接收者”的一方为服务端,网络会话中终端网络身份是“发送者”的一方为客户端。
与现有技术相比,本发明具有以下有益效果:
1.通过将指纹测绘设备安装在交换机网络节点中,配置交换机,将所有需要测绘的终端的网络流量镜像到测绘设备中;测绘设备只做镜像流量的被动网络行为探测,采集的镜像流量是单向的,不主动发任何诱探数据,对网络环境无额外压力;
2.不主动发起终端的端口扫描,不会触发网络内的IDS、IPS等安全设备的警报,也无需更改IDS、IPS、防火墙等安全设备的策略。
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
因此,以下对提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的上述描述中,需要说明的是,该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
此外,术语“相同”等术语并不表示要求部件绝对相同,而是可以存在微小的差异;术语“垂直”仅仅是指部件之间的位置关系相对“平行”而言更加垂直,并不是表示该结构一定要完全垂直,而是可以稍微倾斜。
以下描述用于揭露本发明以使本领域技术人员能够实现本发明。以下描述中的优选实施例只作为举例,本领域技术人员可以想到其他显而易见的变型。
通过被动网络行为探测实现物联网终端网络指纹测绘设计,包括测绘设备,包括以下步骤:
(i)测绘设备从交换机中获取镜像流量,并从镜像流量中获取MAC地址,通过获取的MAC地址查询国际地址段注册厂商;
(ii)测绘设备拟合已获取的MAC地址中的所有Net flow,跟踪Net flow并做应用层协议深入探测;通过对应用协议中payload内容做基于AM算法的多模匹配,获取UA字段;
(iii)测绘设备对探测完成的应用层协议作类别查询,判断其服务所属的业务类型;
(iv)测绘设备依据查询完成的应用层协议类别判断服务端、客户端行为,并最终明确客户端和服务端的身份。
镜像流量的获取是单向的,测绘设备不主动发送诱探数据且不做端口扫描,因为不需要做诱探和端口扫描,即不会发出假冒数据包,因此不会影响IDS 防御力。
客户端和服务端的判断步骤如下:
(i)获取该客户端和/或服务端的通信网络行为;
(ii)对从MAC地址中获取的Net flow进行分析,在网络会话中终端网络身份是“接收者”的一方为服务端,网络会话中终端网络身份是“发送者”的一方为客户端;
在网络行为中,通过对客户端和/或服务端行为判断来辨别被测绘终端的身份,使得终端中作为客户端的一方,即使没有提供任何服务,也将其纳入到被测绘终端中,扩大了测绘范围。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。
本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是本发明的原理,在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明的范围内。
本发明要求的保护范围由所附的权利要求书及其等。
Claims (3)
1.通过被动网络行为探测实现物联网终端网络指纹测绘设计,包括测绘设备,其特征在于,包括以下步骤:
(i)测绘设备从交换机中获取镜像流量,并从镜像流量中获取MAC地址,通过获取的MAC地址查询国际地址段注册厂商;
(ii)测绘设备拟合已获取的MAC地址中的所有Net flow,跟踪Net flow并做应用层协议深入探测;通过对应用协议中payload内容做基于AM算法的多模匹配,获取UA字段;
(iii)测绘设备对探测完成的应用层协议作类别查询,判断其服务所属的业务类型;
(iv)测绘设备依据查询完成的应用层协议类别判断服务端、客户端行为,并最终明确客户端和服务端的身份。
2.根据权利要求1所述的通过被动网络行为探测实现物联网终端网络指纹测绘设计,其特征在于,所述镜像流量的获取是单向的,测绘设备不主动发送诱探数据且不做端口扫描。
3.根据权利要求1所述的通过被动网络行为探测实现物联网终端网络指纹测绘设计,其特征在于,所述客户端和服务端的判断步骤如下:
(i)获取该客户端和/或服务端的通信网络行为;
(ii)对从MAC地址中获取的Net flow进行分析,在网络会话中终端网络身份是“接收者”的一方为服务端,网络会话中终端网络身份是“发送者”的一方为客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010828774.9A CN112822063A (zh) | 2020-08-17 | 2020-08-17 | 通过被动网络行为探测实现物联网终端网络指纹测绘设计 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010828774.9A CN112822063A (zh) | 2020-08-17 | 2020-08-17 | 通过被动网络行为探测实现物联网终端网络指纹测绘设计 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112822063A true CN112822063A (zh) | 2021-05-18 |
Family
ID=75853159
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010828774.9A Pending CN112822063A (zh) | 2020-08-17 | 2020-08-17 | 通过被动网络行为探测实现物联网终端网络指纹测绘设计 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112822063A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114070760A (zh) * | 2021-11-16 | 2022-02-18 | 北京知道创宇信息技术股份有限公司 | 一种网络空间资产的测绘方法、装置、网络空间资产数据库及计算机可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107995226A (zh) * | 2017-12-27 | 2018-05-04 | 山东华软金盾软件股份有限公司 | 一种基于被动流量的设备指纹识别方法 |
US20190386880A1 (en) * | 2018-06-13 | 2019-12-19 | Citrix Systems, Inc. | IoT TOPOLOGY ANALYZER DEFINING AN IoT TOPOLOGY AND ASSOCIATED METHODS |
CN110750785A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 针对主机端口扫描行为的检测方法及装置 |
CN111130883A (zh) * | 2019-12-25 | 2020-05-08 | 杭州安恒信息技术股份有限公司 | 工控设备拓扑图的确定方法、装置及电子设备 |
-
2020
- 2020-08-17 CN CN202010828774.9A patent/CN112822063A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107995226A (zh) * | 2017-12-27 | 2018-05-04 | 山东华软金盾软件股份有限公司 | 一种基于被动流量的设备指纹识别方法 |
US20190386880A1 (en) * | 2018-06-13 | 2019-12-19 | Citrix Systems, Inc. | IoT TOPOLOGY ANALYZER DEFINING AN IoT TOPOLOGY AND ASSOCIATED METHODS |
CN110750785A (zh) * | 2019-10-24 | 2020-02-04 | 杭州安恒信息技术股份有限公司 | 针对主机端口扫描行为的检测方法及装置 |
CN111130883A (zh) * | 2019-12-25 | 2020-05-08 | 杭州安恒信息技术股份有限公司 | 工控设备拓扑图的确定方法、装置及电子设备 |
Non-Patent Citations (1)
Title |
---|
王宸东等: "网络资产探测技术研究", 《计算机科学》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114070760A (zh) * | 2021-11-16 | 2022-02-18 | 北京知道创宇信息技术股份有限公司 | 一种网络空间资产的测绘方法、装置、网络空间资产数据库及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110113345B (zh) | 一种基于物联网流量的资产自动发现的方法 | |
US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
US9451036B2 (en) | Method and apparatus for fingerprinting systems and operating systems in a network | |
US6073178A (en) | Method and apparatus for assignment of IP addresses | |
US20050259634A1 (en) | Method and apparatus for low-overhead service availability and performance monitoring | |
US7895319B2 (en) | Variable DNS responses based on client identity | |
Noguchi et al. | Device identification based on communication analysis for the internet of things | |
US9215234B2 (en) | Security actions based on client identity databases | |
US7672283B1 (en) | Detecting unauthorized wireless devices in a network | |
CN110138770B (zh) | 一种基于物联网威胁情报生成和共享系统及方法 | |
CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
US7134140B2 (en) | Token-based authentication for network connection | |
EP3945739A1 (en) | Non-intrusive / agentless network device identification | |
US20140335886A1 (en) | Network identifier position determining system and method for same | |
Tyagi et al. | Packet inspection for unauthorized OS detection in enterprises | |
CN109347880A (zh) | 一种安全防护方法、装置及系统 | |
CN111683162A (zh) | 一种基于流量识别的ip地址管理方法和装置 | |
CN112822063A (zh) | 通过被动网络行为探测实现物联网终端网络指纹测绘设计 | |
JPH09266475A (ja) | アドレス情報管理装置およびネットワークシステム | |
US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
CN111343167B (zh) | 一种基于网络的信息处理方法及电子设备 | |
EP3941100A1 (en) | Network device identification | |
WO2015039498A1 (zh) | 一种鉴别服务器的测试方法及系统 | |
KR20150026187A (ko) | 드로퍼 판별을 위한 시스템 및 방법 | |
KR101603694B1 (ko) | 공유 단말 식별 방법 및 그 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210518 |
|
RJ01 | Rejection of invention patent application after publication |