CN113037886A - 网络设备的管理方法、装置、介质以及电子设备 - Google Patents
网络设备的管理方法、装置、介质以及电子设备 Download PDFInfo
- Publication number
- CN113037886A CN113037886A CN202110245665.9A CN202110245665A CN113037886A CN 113037886 A CN113037886 A CN 113037886A CN 202110245665 A CN202110245665 A CN 202110245665A CN 113037886 A CN113037886 A CN 113037886A
- Authority
- CN
- China
- Prior art keywords
- address
- network
- protocol address
- processing
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及计算机技术领域,提供了一种网络设备的管理方法、装置、介质以及电子设备。该方法包括:获取网络设备的起始协议地址,并进行地址记录查询处理得到查询处理结果;对查询处理结果进行递归查询处理得到区域协议地址,并进行地址枚举处理得到网络协议地址;对网络协议地址进行地址有效处理确定出有效协议地址,并进行任务调度管理得到任务调度结果;按照任务调度结果对有效协议地址进行端口扫描处理得到网络设备的设备扫描结果,并进行指纹识别处理得到网络设备的设备类型信息;对设备类型信息进行网络设备标记处理,以对网络设备进行管理。本公开保障了枚举的网络协议地址的完整性和准确性,提升了整体IPv6网络的安全性能。
Description
技术领域
本公开涉及计算机技术领域,具体而言,涉及一种网络设备的管理方法、网络设备的管理装置、计算机可读介质以及电子设备。
背景技术
IPv4(Internet Protocol version 4,网际协议版本4)地址空间的耗尽,导致全球转向IPv6(Internet Protocol version 6,网际协议版本6)地址空间的使用。因此,对IPv6地址空间中的联网设备进行扫描和管理对互联网安全问题极其重要。
目前,通过收集和提取IPv6地址的方式对联网设备进行枚举和管理,但是这些数据不全且过时,无法通过对联网设备的管理规避IPv6网络中的安全风险。
鉴于此,本领域亟需开发一种新的网络设备的管理方法及装置。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本申请的技术背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种网络设备的管理方法、网络设备的管理装置、计算机可读介质以及电子设备,进而至少在一定程度上克服由于数据不全且过时导致的无法管理联网设备的技术问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开实施例的一个方面,提供一种网络设备的管理方法,该方法包括:获取网络设备的起始协议地址,并对所述起始协议地址进行地址记录查询处理得到查询处理结果;
对所述查询处理结果进行递归查询处理得到区域协议地址,并对所述起始协议地址与所述区域协议地址进行地址枚举处理得到网络协议地址;
对所述网络协议地址进行地址有效处理确定出所述网络协议地址中的有效协议地址,并对所述有效协议地址进行任务调度管理得到任务调度结果;
按照所述任务调度结果对所述有效协议地址进行端口扫描处理得到所述网络设备的设备扫描结果,并对所述设备扫描结果进行指纹识别处理得到所述网络设备的设备类型信息;
根据所述设备类型信息对所述网络设备进行网络设备标记处理,以对进行所述网络设备标记处理后的所述网络设备进行管理。
根据本公开实施例的一个方面,提供一种网络设备的管理装置,该装置包括:记录查询模块,被配置为获取网络设备的起始协议地址,并对所述起始协议地址进行地址记录查询处理得到查询处理结果;
递归查询模块,被配置为对所述查询处理结果进行递归查询处理得到区域协议地址,并对所述起始协议地址与所述区域协议地址进行地址枚举处理得到网络协议地址;
任务调度模块,被配置为对所述网络协议地址进行地址有效处理确定出所述网络协议地址中的有效协议地址,并对所述有效协议地址进行任务调度管理得到任务调度结果;
设备扫描模块,被配置为按照所述任务调度结果对所述有效协议地址进行端口扫描处理得到所述网络设备的设备扫描结果,并对所述设备扫描结果进行指纹识别处理得到所述网络设备的设备类型信息;
设备标记模块,被配置为根据所述设备类型信息对所述网络设备进行网络设备标记处理,以对进行所述网络设备标记处理后的所述网络设备进行管理。
在本公开的一些实施例中,基于以上技术方案,所述递归查询模块包括:枚举处理子模块,被配置为对所述起始协议地址与所述区域协议地址进行地址枚举处理得到枚举区域地址,并对所述枚举区域地址进行哈希计算得到区域地址哈希值;
区域遍历子模块,被配置为获取与所述区域地址哈希值对应的协议地址哈希值,并对所述区域地址哈希值和所述协议地址哈希值进行区域遍历处理得到遍历处理结果;
地址确定子模块,被配置为若所述遍历处理结果为所述区域地址哈希值属于所述协议地址哈希值,确定所述区域地址哈希值为网络协议地址。
在本公开的一些实施例中,基于以上技术方案,所述枚举处理子模块包括:参数检查单元,被配置为对所述枚举区域地址进行地址参数检查处理得到与所述枚举区域地址对应的计算参数;
哈希计算单元,被配置为利用所述计算参数对所述枚举区域地址进行哈希计算得到区域地址哈希值。
在本公开的一些实施例中,基于以上技术方案,所述哈希计算单元,包括:联合分析子单元,被配置为对所述枚举区域地址和所述区域随机数进行参数联合分析处理得到区域计算值;
参数计算子单元,被配置为利用所述哈希算法对所述区域计算值进行所述迭代次数的哈希计算得到区域地址哈希值。
在本公开的一些实施例中,基于以上技术方案,所述区域遍历子模块,包括:地址计算单元,被配置为获取与所述区域地址哈希值对应的已知协议地址,并对所述已知协议地址进行哈希计算得到协议地址哈希值。
在本公开的一些实施例中,基于以上技术方案,所述记录查询模块,包括:资源查询子模块,被配置为对所述起始协议地址进行资源记录查询处理得到记录查询结果;
指针查询子模块,被配置为若所述记录查询结果为存在所述起始协议地址,对所述起始协议地址进行指针记录查询得到名称指针记录,以将所述名称指针记录确定为查询处理结果。
在本公开的一些实施例中,基于以上技术方案,所述递归查询模块,包括:指针选取子模块,被配置为对所述名称指针记录进行指针记录选取处理得到目标指针记录,并获取所述目标指针记录的指针记录长度以及与所述指针记录长度对应的地址长度阈值;
阈值判断子模块,被配置为若所述指针记录长度小于所述地址长度阈值,对所述目标指针记录进行递归查询处理得到区域协议地址。
在本公开的一些实施例中,基于以上技术方案,所述网络设备的管理装置,还包括:进程查询模块,被配置为若所述指针记录长度等于所述地址长度阈值,对所述目标指针记录进行枚举进程处理得到进程处理结果;
查询结果模块,被配置为若所述进程处理结果为所述目标指针记录与所述起始协议地址相同,确定所述起始协议地址为网络协议地址。
在本公开的一些实施例中,基于以上技术方案,所述设备扫描模块,包括:端口扫描子模块,被配置为按照所述任务调度结果对所述有效协议地址进行端口扫描处理得到端口标识信息、系统应用信息和网络响应信息;
字段分割子模块,被配置为对所述网络响应信息进行网络字段分割处理得到网络关键字段,以将所述端口标识信息、所述系统应用信息和所述网络关键字段作为所述网络设备的设备扫描结果。
在本公开的一些实施例中,基于以上技术方案,所述设备扫描模块,包括:结果确定子模块,被配置为按照所述任务调度结果对所述有效协议地址进行端口扫描处理得到端口标识信息和系统应用信息,以将所述端口标识信息和所述系统应用信息作为所述网络设备的设备扫描结果。
在本公开的一些实施例中,基于以上技术方案,所述设备扫描模块,包括:规则生成子模块,被配置为对与所述网络设备对应的设备特性信息进行识别规则生成处理得到指纹识别规则;
指纹识别子模块,被配置为利用所述指纹识别规则对所述设备扫描结果进行指纹识别处理得到所述网络设备的设备类型信息。
在本公开的一些实施例中,基于以上技术方案,所述网络设备的管理装置,还包括:监控处理模块,被配置为在按照所述任务调度结果对所述有效协议地址进行端口扫描处理时,对所述端口扫描处理进行端口监控处理得到端口监控结果;
异常结果模块,被配置为若所述端口监控结果为扫描异常,对所述端口监控结果进行异常信息生成处理得到异常结果信息,以完成对所述端口扫描处理的监控。
根据本公开实施例的一个方面,提供一种计算机可读介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如以上技术方案中的网络设备的管理方法。
根据本公开实施例的一个方面,提供一种电子设备,该电子设备包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器被配置为经由执行所述可执行指令来执行如以上技术方案中的网络设备的管理方法。
在本公开实施例提供的技术方案中,一方面,通过起始协议地址和区域协议地址进行地址枚举处理得到网络协议地址,能够最大化地枚举IPv6地址,充分发挥了IPv6地址的查询优势,也保障了网络协议地址的完整性和准确性;另一方面,根据设备类型信息对网络设备进行网络设备标记处理,以实现对网络设备的安全管理,能够及时发现IPv6网络中的安全风险,提升整体IPv6网络的安全性能。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1示意性地示出了应用本公开技术方案的示例性系统的架构示意图;
图2示意性地示出了本公开的一些实施例中一种网络设备的管理方法的步骤流程图;
图3示意性地示出了在本公开的一些实施例中地址记录查询处理的方法的步骤流程图;
图4示意性地示出了在本公开的一些实施例中递归查询处理的方法的步骤流程图;
图5示意性地示出了在本公开的一些实施例中哈希计算的方法的步骤流程图;
图6示意性地示出了在本公开的一些实施例进一步进行哈希计算的方法的步骤流程图;
图7示意性地示出了在本公开的一些实施例中利用计算参数进行哈希计算的方法的步骤流程图;
图8示意性地示出了在本公开的一些实施例中确定网络协议地址的方法的步骤流程图;
图9示意性地示出了在本公开的一些实施例中端口扫描处理的方法的步骤流程图;
图10示意性地示出了在本公开的一些实施例中端口监控处理的方法的步骤流程图;
图11示意性地示出了在本公开的一些实施例中指纹识别处理的方法的步骤流程图;
图12示意性地示出了在本公开的一些实施例中网络设备的管理方法的整体步骤流程图;
图13示意性地示出了在本公开的一些实施例在应用场景下的网络设备的管理方法的系统框架图;
图14示意性地示出了在本公开些实施例在应用场景下的网络设备的管理方法的步骤流程图;
图15示意性地示出了在本公开些实施例在应用场景中地址记录查询处理的系统框架图;
图16示意性地示出了在本公开些实施例在应用场景递归查询处理的方法的步骤流程图;
图17示意性地示出了在本公开些实施例在应用场景下区域遍历处理的界面示意图;
图18示意性地示出了在本公开一些实施例中的一种网络设备的管理装置的结构框图;
图19示意性地示出了适于用来实现本公开实施例的电子设备的计算机系统的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
在本领域的相关技术中,一些安全研究报告广泛采用了全网扫描的数据,这些数据反馈了关于互联网总体安全的情况,而Zmap(开源扫描工具)使扫描整个IPv4地址空间变得简单。
但是,随着全球IPv4地址空间即将耗尽,不可避免的转向唯一接受的长期解决方式,即IPv6地址空间。另外,随着IPv6地址的普及,为了更好地理解与互联网相连的设备(尤其是物联网设备)的安全性,就必须将IPv6地址纳入安全评估和扫描。
遗憾的是,由于IPv6地址空间比IPv4地址空间大2^96倍,因此要遍历整个IPv6地址空间是行不通的,所以,在扫描前必须枚举所有的主机。如果不行,就无法在将来研究联网设备的总体安全情况。
目前市面上枚举联网设备的产品有很多,例如shodan、fofa和zoomeye等。这些产品基本上都是针对公共数据集收集到的IPv6地址,和从历史转发DNS记录中提取到的IPv6地址进行设备枚举的。
由于IPv6地址空间巨大,按照与IPv4地址相同的遍历方式并不可取,而且收集到的公共数据集不仅数据不全,而且数据过时,无法枚举和管理IPv6地址空间的网络设备,以求及时发现IPv6网络中的安全风险。
基于以上方案存在的问题,本公开提供了一种基于云技术的网络设备的管理方法、网络设备的管理装置、计算机可读介质以及电子设备。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云技术(Cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
其中,物联网(The Internet of Things,简称IOT)是指通过各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术,实时采集任何需要监控、连接、互动的物体或过程,采集其声、光、热、电、力学、化学、生物、位置等各种需要的信息,通过各类可能的网络接入,实现物与物、物与人的泛在连接,实现对物品和过程的智能化感知、识别和管理。物联网是一个基于互联网、传统电信网等的信息承载体,它让所有能够被独立寻址的普通物理对象形成互联互通的网络。
云物联(Cloud IOT)旨在将传统物联网中传感设备感知的信息和接受的指令连入互联网中,真正实现网络化,并通过云计算技术实现海量数据存储和运算,由于物联网的特性是物与物相连接,实时感知各个“物体”当前的运行状态,在这个过程中会产生大量的数据信息,如何将这些信息汇总,如何在海量信息中筛取有用信息为后续发展做决策支持,这些已成为影响物联网发展的关键问题,而基于云计算和云存储技术的物联云也因此成为物联网技术和应用的有力支持。
云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
利用基于云技术中的物联网和云安全技术的网络设备的管理方法,能够充分发挥了IPv6地址的查询优势,也保障了网络协议地址的完整性和准确性,并且能够及时发现IPv6网络中的安全风险,提升整体IPv6网络的安全性能。
图1示出了应用本公开技术方案的示例性系统架构示意图。
如图1所示,系统架构100可以包括终端110、网络120、服务器端130。其中,终端110和服务器端130通过网络120连接。
终端110可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。网络120可以是能够在终端110和服务器端130之间提供通信链路的各种连接类型的通信介质,例如可以是有线通信链路、无线通信链路或者光纤电缆等等,本申请在此不做限制。服务器130可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
具体地,服务器端130获取到网络设备的起始协议地址,并对起始协议地址进行地址记录查询处理得到查询处理结果。然后,对查询处理结果进行递归查询处理得到区域协议地址,并对起始协议地址与区域协议地址进行地址枚举处理得到网络协议地址。进一步的,对网络协议地址进行地址有效处理确定出网络协议地址中的有效协议地址,并对有效协议地址进行任务调度管理得到任务调度结果。进而,按照任务调度结果对有效协议地址进行端口扫描处理得到网络设备的设备扫描结果,并对设备扫描结果进行指纹识别处理得到网络设备的设备类型信息。最后,对设备类型信息进行网络设备标记处理,以根据网络设备标记处理后的设备类型信息对网络设备进行管理。
另外,本公开实施例中的网络设备的管理方法可以应用于终端,也可以应用于服务器端,本公开对此不做特殊限定。本公开实施例主要以网络设备的管理方法应用于服务器端130来举例说明。
值得说明的是,如本申请所公开的网络设备的管理方法或装置,其中多个服务器可组成为一区块链,而服务器130为区块链上的节点。
下面结合具体实施方式对本公开提供的网络设备的管理方法、网络设备的管理装置、计算机可读介质以及电子设备做出详细说明。
图2示意性地示出了本公开的一些实施例中网络设备的管理方法的步骤流程图,如图2所示,网络设备的管理方法主要可以包括以下步骤:
步骤S210.获取网络设备的起始协议地址,并对起始协议地址进行地址记录查询处理得到查询处理结果。
步骤S220.对查询处理结果进行递归查询处理得到区域协议地址,并对起始协议地址与区域协议地址进行地址枚举处理得到网络协议地址。
步骤S230.对网络协议地址进行地址有效处理确定出网络协议地址中的有效协议地址,并对有效协议地址进行任务调度管理得到任务调度结果。
步骤S240.按照任务调度结果对有效协议地址进行端口扫描处理得到网络设备的设备扫描结果,并对设备扫描结果进行指纹识别处理得到网络设备的设备类型信息。
步骤S250.根据设备类型信息对网络设备进行网络设备标记处理,以对进行网络设备标记处理后的网络设备进行管理。
在本公开的示例性实施例中,一方面,通过起始协议地址和区域协议地址进行地址枚举处理得到网络协议地址,能够最大化地枚举IPv6地址,充分发挥了IPv6地址的查询优势,也保障了网络协议地址的完整性和准确性;另一方面,根据设备类型信息对网络设备进行网络设备标记处理,以实现对网络设备的安全管理,能够及时发现IPv6网络中的安全风险,提升整体IPv6网络的安全性能。
下面对网络设备的管理方法的各个步骤进行详细说明。
在步骤S210中,获取网络设备的起始协议地址,并对起始协议地址进行地址记录查询处理得到查询处理结果。
在本公开的示例性实施例中,该网络设备可以是任意能够联网的终端设备,联网方式可以是有线通信链路、无线通信链路或者光纤电缆等,本示例性实施例对此不做特殊限定。
而该起始协议地址可以是由IP(互联网协议,Internet Protocol)地址生成的网络地址。
具体的,通过客户端可以发送一访问请求,该访问请求中可以为超文本传输协议(HyperText Transfer Protocol,简称HTTP)。在该访问请求中可以包括网络设备的起始协议地址。
当IP地址为IPv6(Internet Protocol version 6,网际协议第6版)时,该起始协议地址可以由网络设备的IP地址与arpa共同组成。举例而言,该起始协议地址可以是xxx.ip.arpa。
其中,IPv6是网际协议的最新版本,用作互联网的协议。用Ipv6来取代Ipv4主要是为了解决Ipv4地址的枯竭问题,同时也在其他多个方面进行了改进。
而起始协议地址由IP地址和arpa组成是为了使用反向Ipv6区域进行网络设备的管理。反向IPv6区域从概念上讲,与其他任何标准DNS(Domain Name System,域名系统)的区域一样,但是具有特殊含义。亦即,它用于将地址或资源(例如IPv4或IPv6)映射到名称,而不是相反的过程,即为反向查询。对于IPv6而言,指定的反向区域即为ip6.arpa,可以按照反向顺序在半字节(半字节为单个十六进制数字)边界上进行层级组织。
在这过程中,DNS是互联网的一项服务,能够作为域名和IP地址相互映射的一个分布式数据库,能够使终端设备更加方便地访问互联网。DNS使用TCP(Transmission ControlProtocol,传输控制协议)和UDP(User Datagram Protocol,用户数据报协议)端口53。当前,对于每一级域名的长度限制为63个字符,域名总长度不能超过253个字符。开始时,域名的字符仅限于ASCII(American Standard Code for Information Interchange,美国信息交换标准代码)字符的一个子集。
除此之外,为枚举出未知的网络设备,该起始协议地址还可以是随机生成的,本示例性实施例对此不做特殊限定。
在得到起始协议地址之后,可以对起始协议地址进行地址记录查询处理得到查询处理结果。
在可选的实施例中,图3示出了地址记录查询处理的方法的步骤流程图,如图3所示,该方法至少包括以下步骤:在步骤S310中,对起始协议地址进行资源记录查询处理得到记录查询结果。
由于DNS系统内每一个域名都有自己的域文件,而域文件由多个记录组成。每一个记录即为资源记录(Resource Records,简称RR)。资源记录的类型有很多种,每种类型有不同的用处。资源记录指每个域所包含的与之相关的资源,例如,每个RR都包括这个域的所属(RR是从哪个域名中得到的),类型(什么样的资源存在于这个RR中),TTL(Time To Live,存活时间)等等。
当在RR中查询是否存在起始协议地址时,对应的记录查询结果可以为存在该起始协议地址和不存在该起始协议地址。若该起始协议地址不存在,可以接收到返回的NXDOMAIN(域名不存在)的响应。
在步骤S320中,若记录查询结果为存在起始协议地址,对起始协议地址进行指针记录查询得到名称指针记录,以将名称指针记录确定为查询处理结果。
当RR中查询到起始协议地址时,该记录查询结果为存在起始协议地址。并且由于起始协议地址为由IPv6生成的,因此此时返回的DNS响应信息为该起始协议地址的上一个指针记录和下一个指针记录,即为两个名称指针(Pointer Record,PTR)记录。此时,将这两个名称指针记录确定为查询处理的结果。
在本示例性实施例中,对起始协议地址进行资源记录查询处理可以得到为名称指针记录的查询处理结果,充分发挥了域名系统的查询优势,查询方式方便快速,适用性极强。
在步骤S220中,对查询处理结果进行递归查询处理得到区域协议地址,并对起始协议地址与区域协议地址进行地址枚举处理得到网络协议地址。
在本公开的示例性实施例中,当地址记录查询处理的查询处理结果为名称指针记录时,可以对名称指针记录进行递归查询处理。
在可选的实施例中,图4示出了递归查询处理的方法的步骤流程图,如图4所示,该方法至少包括以下步骤:在步骤S410中,对名称指针记录进行指针记录选取处理得到目标指针记录,并获取目标指针记录的指针记录长度以及与指针记录长度对应的地址长度阈值。
举例而言,当名称记录指针为起始协议地址的上一个指针记录a.cn和下一个指针记录c.cn时,对这两个名称指针记录进行指针记录选取处理可以是从上一个指针记录a.cn和下一个指针记录c.cn中选择出下一个指针记录c.cn作为目标指针记录。
进一步的,可以统计该目标指针记录的长度作为指针记录长度。
并且,由于IPv4的地址长度为4个8位字节,即32比特,而IPv6的地址长度是IPv4的4倍,即128比特,一般可以写成8个16位字节。而且,当起始协议地址是由IPv6地址生成的,因此当起始协议地址的下一个指针记录作为目标指针记录时,地址长度阈值即为与IPv6地址对应的长度,亦即32个半字节。
在步骤S420中,若指针记录长度小于地址长度阈值,对目标指针记录进行递归查询处理得到区域协议地址。
在统计出指针记录长度和获取到地址长度阈值之后,可以进一步将指针记录长度与地址长度阈值进行比较。并且,当比较结果为指针记录长度小于地址长度阈值时,表明该目标指针记录指向一个子区域的地址,因此,可以查找与该目标指针记录对应的DNS服务器进行递归查询处理得到区域协议地址。
递归查询是一种DNS服务器的查询模式,在该查询模式下,DNS服务器接收到客户机请求,必须使用一个查询结构回复客户机。如果DNS服务器询问其他服务器时,可以将返回的查询结果提交给客户机。
具体的,DNS查询过程的基本流程为一个域名的DNS请求到本地ISP(InternetService Provider,简称互联网服务提供商)的递归解析器(Recursive Resolver)。如果本地的递归服务器缓存了该DNS请求条目,那么递归服务器返回DNS响应消息。如果本地的递归服务器没有缓存该DNS请求消息,则本地的递归服务器从根名字服务器开始,根据返回的信息一级一级的递归查询所请求的域名,最终查找到所要查询的DNS信息。递归服务器将返回的DNS查询结果存储在自己的缓存中,同时将DNS查询结果返回给用户机。
在本示例性实施例中,根据指针记录选取处理得到的目标指针记录可以确定是否进行递归查询处理得到区域协议地址,判断方式简单易行,并且能够高速访问得到区域协议地址,提升了区域协议地址的获取速率。
图4所示的区域协议地址的方式适用于NSEC(Next-Secure Record,下一代安全记录)。NSEC拒绝存在允许对已签名区域进行区域漫游攻击,因为这样会泄露已签名区域的前一个和后一个现有名称。如果是反向IPv6区域,则会泄露对应于该反向IPv6区域的上一个指针记录和下一个指针记录,或者如果子域(或子网)被委派给另一个名称服务器,则对应于一个名称服务器(Name Serve,NS)。
而为了减轻区域漫游攻击对DNSSEC(Domain Name System SecurityExtensions,域名系统安全扩展)签名区域的负面影响,提出了NSEC3(NSEC recordversion,NSEC记录第三版)。
其中,DNSSEC是互联网工程任务组(The Internet Engineering Task Force,IETF)对确保由DNS提供给DNS解析器的DNS数据来源进行验证,并验证不存在性和校验数据完整性,但不提供机密性和可用性。
NSEC3也是DNSSEC的一种记录形式。为了方式纯文本的域名被收集,它利用哈希方式对域名信息进行加密。因此为了得到适用于NSEC3的网络协议地址,可以通过哈希计算实现。
在可选的实施例中,图5示出了哈希计算的方法的步骤流程图,如图5所示,该方法至少包括以下步骤:在步骤S510中,对起始协议地址与区域协议地址进行地址枚举处理得到枚举区域地址,并对枚举区域地址进行哈希计算得到区域地址哈希值。
对起始协议地址和区域协议地址进行地址枚举处理可以是按照图4所示的递归查询处理的方式进行的,在此不再赘述。当然,也可以是按照其他方式进行地址枚举处理的,本示例性实施例对此不做特殊限定。
因此,在对起始协议地址和区域协议地址进行地址枚举处理之后可以得到枚举区域地址。
进一步的,可以对枚举区域地址进行哈希计算得到区域地址哈希值。
在可选的实施例中,图6示出了进一步进行哈希计算的方法的步骤流程图,如图6所示,该方法至少包括以下步骤:在步骤S610中,对枚举区域地址进行地址参数检查处理得到与枚举区域地址对应的计算参数。
对枚举区域地址进行地址参数检查处理可以是查询与该枚举区域地址所表征的区域的计算参数,该计算参数可以是与区域之间具有映射关系的。除此之外,地址检查处理还包括自行选择哈希算法作为计算参数,本示例性实施例对此不做特殊限定。
在步骤S620中,利用计算参数对枚举区域地址进行哈希计算得到区域地址哈希值。
在可选的实施例中,计算参数包括区域随机数、迭代次数和哈希算法,图7示出了利用计算参数进行哈希计算的方法的步骤流程图,如图7所示,该方法至少包括以下步骤:在步骤S710中,对枚举区域地址和区域随机数进行参数联合分析处理得到区域计算值。
该区域随机数为与枚举区域地址表征的区域对应的随机数。其中,同一个区域设定的随机数是固定的,亦即,一个区域只有一个随机数。
具体的,对枚举区域地址和区域随机数进行的参数联合分析处理的方式可以是将枚举区域地址与区域随机数进行以枚举区域地址在前,区域随机数在后的拼接处理得到区域计算值。除此之外,也可以采用其他参数联合分析处理的方式,本示例性实施例对此不做特殊限定。
在步骤S720中,利用哈希算法对区域计算值进行迭代次数的哈希计算得到区域地址哈希值。
哈希计算是通过哈希算法实现的。哈希算法是把任意长度的输入通过散列算法变换成固定长度的输出,该输出就是散列值。亦即将任意程度的消息压缩成某一固定长度的消息摘要函数。
哈希算法是一种不可逆的算法,可以包括安全散列算法-1(Secure HashAlgorithm 1,简称SHA-1)、安全散列算法-224(Secure Hash Algorithm 224,简称SHA-224)、安全散列算法-256(Secure Hash Algorithm 256,简称SHA-256)、安全散列算法-384(Secure Hash Algorithm 384,简称SHA-384)和安全散列算法-512(Secure HashAlgorithm 512,简称SHA-512)等,还可以包括其他哈希算法,本示例性实施例对此不做特殊限定。
而迭代次数可以是与枚举区域地址表征的区域对应的固定次数,也可以是自主设定的次数,本示例性实施例对此不做特殊限定。
当确定要使用的哈希算法之后,可以按照该哈希算法对区域计算值进行与迭代次数相同次数的哈希计算,以得到区域地址哈希值。
在本示例性实施例中,通过计算参数对枚举区域地址进行哈希计算可以得到区域地址哈希值,能够预防纯文本的枚举区域地址被收集,或者对枚举区域地址的攻击和泄露等安全问题。
在步骤S520中,获取与区域地址哈希值对应的协议地址哈希值,并对区域地址哈希值和协议地址哈希值进行区域遍历处理得到遍历处理结果。
在可选的实施例中,获取与区域地址哈希值对应的已知协议地址,并对已知协议地址进行哈希计算得到协议地址哈希值。
该已知协议名称可以是之前通过递归查询处理得到的区域协议地址,也可以是通过其他采集方式得到的区域协议地址,本示例性实施例对此不做特殊限定。
在对已知协议地址进行哈希计算得到协议地址哈希值时,可以采用与图6和图7所示的方式,在此不再赘述。除此之外,对已知协议地址进行哈希计算的哈希算法与图7中对枚举区域地址进行哈希计算的哈希算法相同。
在得到与区域地址哈希值对应的协议地址哈希值之后,可以对区域地址哈希值和协议地址哈希值进行区域遍历处理得到遍历处理结果。
具体的,对区域地址哈希值和协议地址哈希值的区域遍历处理方式可以是通过协议地址哈希值形成一已知范围,并判断区域地址哈希值是否属于这一已知范围,以得到遍历处理结果。
在步骤S530中,若遍历处理结果为区域地址哈希值属于协议地址哈希值,确定区域地址哈希值为网络协议地址。
在对区域地址哈希值和协议地址哈希值进行区域遍历处理得到遍历处理结果之后,当遍历处理结果为区域地址哈希值属于协议地址哈希值,亦即区域地址哈希值在由协议地址哈希值形成的已知范围内,表明该区域地址哈希值即为一网络协议地址,且该网络协议地址为哈希值的形式。
在本示例性实施例中,提供了一适用于NSEC3的确定网络协议地址的方式,丰富了网络协议地址的确定方式,扩大了网络协议地址确定的应用场景,保障了网络协议地址确定的全面性。
在得到区域协议地址之后,可以将起始协议地址与区域协议地址进行地址枚举处理得到网络协议地址。
具体的,获取到起始协议地址之后,可以将起始协议地址存储到区域队列中。并在得到查询到区域协议地址之后,也将该区域协议地址存储到区域队列中。通过将起始协议地址和起始协议地址存储到区域队列中的过程,可以将起始协议地址和区域协议地址进行组合处理得到对应的网络协议地址,该网络协议地址是网络设备完整的网络地址。
除此之外,在将指针记录长度与地址长度阈值进行比较时,比较结果也可能是指针记录长度与地址长度阈值相等,这种情况下可以将起始协议地址确定为网络协议地址。
在可选的实施例中,图8示出了确定网络协议地址的方法的步骤流程图,如图8所示,该方法至少包括以下步骤:在步骤S810中,若指针记录长度等于地址长度阈值,对目标指针记录进行枚举进程处理得到进程处理结果。
在统计出指针记录长度和获取到地址长度阈值之后,可以进一步将指针记录长度与地址长度阈值进行比较。并且,当比较结果为指针记录长度等于地址长度阈值时,表明该目标指针记录为一个全长的IPv6地址,因此,可以进一步对该目标指针记录进行枚举进程处理得到进程处理结果。
具体的,枚举进程处理可以是将目标指针记录与起始协议记录进行比较,以判断目标指针记录是否与起始协议记录相同作为进程处理结果。
在步骤S820中,若进程处理结果为目标指针记录与起始协议地址相同,确定起始协议地址为网络协议地址。
在将目标指针记录与起始协议记录进行比较得到进程处理结果之后,可以确定进程处理结果为目标指针记录与起始协议记录相同时,表明该起始协议地址的地址枚举过程结束,而该起始协议地址即为网络协议地址。
在本示例性实施例中,针对指针记录长度与地址长度阈值的另一比较结果给出确定网络协议地址的方式,网络协议地址的确定逻辑缜密严谨,保障了网络协议地址的准确性。
在步骤S230中,对网络协议地址进行地址有效处理确定出网络协议地址中的有效协议地址,并对有效协议地址进行任务调度管理得到任务调度结果。
在本公开的示例性实施例中,得到网络协议地址之后,需要对网络协议地址进行地址有效处理,亦即判断网络协议地址中的有效协议地址。
具体的,可以按照该网络协议地址进行访问,以在访问成功时,确定对应到的网络协议地址为有效协议地址,而网络协议地址无法访问时,表明该网络协议地址不是一有效协议地址。
在通过地址有效处理筛选出网络协议地址中的有效协议地址之后,可以对有效协议地址进行任务调度管理得到任务调度结果。
具体的,通过定时任务脚本将有效协议地址存储到任务调度管理系统,该任务调度管理系统主要起到调度作用,比如扫描哪些有效协议地址,使用什么方式进行扫描等,本示例性实施例对此不做特殊限定。
为了实现后续的端口扫描处理的并发操作,可以利用任务调度管理系统向端口扫描代理单元得到任务调度结果。
具体的,通过任务调度管理系统将任务管理器分别分配给有效协议地址以生成扫描任务,并把扫描任务下发给端口网络扫描模块中的端口扫描代理单元。端口网络扫描模块中有多个端口扫描代理单元,每个端口扫描代理单元可以独立执行有效协议地址的端口扫描处理。
在步骤S240中,按照任务调度结果对有效协议地址进行端口扫描处理得到网络设备的设备扫描结果,并对设备扫描结果进行指纹识别处理得到网络设备的设备类型信息。
在本公开的示例性实施例中,在对有效协议地址进行任务调度管理得到任务调度结果之后,该任务调度结果表征出端口扫描代理单元要进行端口扫描处理的有效协议地址。因此,按照任务调度结果对有效协议地址进行端口扫描处理可以得到网络设备的设备扫描结果。
在可选的实施例中,按照任务调度结果对有效协议地址进行端口扫描处理得到端口标识信息和系统应用信息,以将端口标识信息和系统应用信息作为网络设备的设备扫描结果。
按照任务调度结果利用端口扫描代理单元对有效协议地址进行端口扫描处理。举例而言,与网络设备监理TCP连接,以获取网络设备的端口发送的端口Banner(标识或特征),并且,同时能够探测网络设备的开放端口号,以识别出相应端口的开放网络协议、操作系统版本和网络设备的网络应用层数据。
具体的,端口标识信息包括网络设备的开放端口号,以获取端口Banner(标识或特征);系统应用信息包括操作系统版本、端口开放的网络协议和网络应用层数据。
其中,端口Banner是通过尝试与网络设备建立TCP连接,在尝试等待的片刻时间内,接收到网络设备发送的“Welcome Banner”信息,而该Banner可以是软件开发商、软件名称、服务类型和版本号等标识或特征信息。而网络应用层数据可以包括js/css(JavaScript/Cascading Style Sheets,层叠样式表)文件以及特定的目录和文件URL(Uniform Resource Locator,统一资源定位系统)等。
值得说明的是,端口扫描处理可以得到的设备扫描结果至少包括端口Banner、端口的开放网络协议、操作系统版本和网络设备的网络应用层数据中的一种。
举例而言,若以端口Banner规则为统计维度,那么只可以获取到端口Banner;若以端口的开放网络协议规则为统计维度,那么只可以获取到端口的开放网络协议;若以操作系统版本为统计维度,那么只可以获取到网络设备的操作系统版本;若以网络应用层规则为统计维度,那么仅可以获取到网络设备的网络应用层数据。当然,统计维度为至少两个时,即可获取到两种以上内容的端口扫描结果。
在可选的实施例中,图9示出了端口扫描处理的方法的步骤流程图,如图9所示,该方法至少包括以下步骤:在步骤S910中,按照任务调度结果对有效协议地址进行端口扫描处理得到端口标识信息、系统应用信息和网络响应信息。
当网络设备同时开放了web服务(Web Service)时,按照任务调度结果对有效协议地址进行端口扫描处理不仅可以得到端口标识信息和系统应用信息,还可以接收到HTTP响应包,该HTTP响应包可以包括响应包主体(body)、头部(head)和标题(title)。因此,HTTP响应包所包括的主体、头部和标题可以作为网络响应信息。
其中,端口标识信息包括网络设备的开放端口号,以获取端口Banner(标识或特征);系统应用信息包括操作系统版本、端口开放的网络协议和网络应用层数据。且与端口扫描处理仅得到的端口标识信息和系统应用信息相同,在此不再赘述。
在步骤S920中,对网络响应信息进行网络字段分割处理得到网络关键字段,以将端口标识信息、系统应用信息和网络关键字段作为网络设备的设备扫描结果。
在得到网络响应信息之后,可以对网络响应信息进行网络字段分割处理。亦即,将原本统一为网络响应信息的字段按照主体、头部和标题的特征进行分割,以得到三段不同的主体字段、头部字段和标题字段作为网络关键字段。
举例而言,根据HTTP协议规定,HTTP头部和HTTP主体之间是以一个空行分割的,而HTTP每一行(每一行是指一个头部字段)是以\r\n结束的,一个空行的\r\n,再加上最后一行的结束符\r\n一起是\r\n\r\n,也就是说,当检测到\r\n\r\n四个字符时,下一个字符开始就是HTTP主体内容。因此,主体字段和头部字段以识别该HTTP头部和HTTP主体之间的\r\n\r\n四个字符,并进行分割得到。除此之外,主体和标题,或者头部和标题之间的分割也可以通过识别相应字符,再进行分割得到。
在得到由主体字段、头部字段和标题字段组成的网络关键字段之后,可以将端口标识信息、系统应用信息和网络关键字段三部分内容作为网络设备的设备扫描结果。
在本示例性实施例中,通过对有效协议地址进行端口扫描处理得到设备扫描结果,能够实现对多个网络设备的同时扫描处理,提高了端口扫描效率。
除此之外,在对有效协议地址进行端口扫描处理的过程中,还可以对端口扫描处理的过程进行实时监控,以确保端口扫描代理单元等插件和平台的稳定运行。
在可选的实施例中,图10示出了端口监控处理的方法的步骤流程图,如图10所示,该方法至少包括以下步骤:在步骤S1010中,在按照任务调度结果对有效协议地址进行端口扫描处理时,对端口扫描处理进行端口监控处理得到端口监控结果。
亦即,在端口扫描处理的过程中,可以通过端口监控处理对整个过程进行实时监控。并且,将实时监控的结果作为端口监控结果。
其中,端口监控处理可以通过对应的监控模块实现。
在步骤S1020中,若端口监控结果为扫描异常,对端口监控结果进行异常信息生成处理得到异常结果信息,以完成对端口扫描处理的监控。
当监控模块异常,或者是端口扫描处理的数据异常等情况发生时,会出现端口监控结果为端口扫描处理扫描异常的情况,此时可以生成一与端口监控机结果对应的异常结果信息,并且将该异常结果信息发送给网络设备进行报警,以完成在端口扫描处理异常的情况下的监控过程。
该异常结果信息可以是能够标记出现异常的问题出现的部位或者是原因的信息,以便于查看和解决。
在本示例性实施例中,通过对端口监控处理的端口监控处理可以实现实时监控和报警的效果,确保端口扫描过程稳定运行,保证了端口扫描处理的准确性。
在得到设备扫描结果之后,可以对设备扫描结果进行指纹识别处理得到网络设备的设备类型信息。
在可选的实施例中,图11示出了指纹识别处理的方法的步骤流程图,如图11所示,该方法至少包括以下步骤:在步骤S1110中,对与网络设备对应的设备特性信息进行识别规则生成处理得到指纹识别规则。
由于网络设备可以是PC(Personal Computer,个人计算机或个人电脑)设备,可以是IDC(Internet Data Center,互联网数据中心)设备,也可以是Router(路由器)设备,还可以是IOT(Internet of Things,物联网)设备,因此不同的网络设备对应的设备特性信息不同。
具体的,PC设备是普通用户设备通过ADSL(Asymmetric Digital SubscriberLine,非对称数字用户线路)拨号或其他宽带方式接入互联网的设备;IDC设备是互联网服务商提供的专业的服务器托管区域,包含为企业或个人提供租用的网站、存储数据服务资源的设备;Router设备主要包含路由器、防火墙以及部分出口网关设备等,用来连接和服务不同体系结构网络设备;IOT设备包括接入互联网的各种传感设备和智能网络设备等。
其中,物联网可以将各种信息传感设备,例如射频识别装置、红外感应器、全球定位系统,激光扫描器等种种装置与互联网结合起来而形成一个巨大网络。物联网的目的是让所有的物品都与网络连接在一起,方便识别和管理。
由于设备扫描结果中包括端口Banner、端口的开放网络协议、操作系统版本和网络设备的网络应用层数据,并且要根据设备扫描结果确定出网络设备的设备类型信息,因此可以以设备扫描结果涉及的网络设备类型作为设备特性信息,以进一步进行识别规则生成处理。
举例而言,以开放网络协议规则和网络应用层规则为例,可以结合网络设备开放的端口协议以及物理机上实际运行的业务情况进行关联分析,可以确定出IDC设备,因此,与IDC设备对应的设备特性信息可以包括开放网络协议规则和网络应用层规则、端口协议以及物理机上实际运行的业务情况;以网络协议规则、操作系统版本规则和网络应用层规则为例,Router设备和IOT设备的区别在于,根据不同的设备厂商定制的专用的开放网络协议、端口服务以及操作系统版本进行关联分析,可以确定出Router设备和IOT设备,因此Router设备和IOT设备的设备特性信息为开放网络协议、端口服务以及操作系统版本。除此之外,PC设备可以根据对应的IP的TTL进行计算,此时TTL为设备特性信息。因此,设备特性信息是能够反映该网络设备的特性信息,并不一定与设备扫描结果包括的信息内容为唯一来源,也可以是其他前述处理过程包括的信息,本示例性实施例对此不做特殊限定。
并且,以涉及的设备特性信息的联合分析过程生成对应的指纹识别规则,以进一步进行指纹识别处理。
指纹识别是通过特定的指纹规则识别出端口开放的网络协议以及操作系统版本,包括常见的STMP(Simple Mail Transfer Protocol,简单邮件传输协议)、Telnet(远程终端协议)和FTP(File Transfer Protocol,文件传输协议)等协议,以及Linux、Windows操作系统版本等信息。
该指纹识别规则例如可以定义设备指纹、网络协议、设备类型、设备名称、厂商类型以及模式匹配等结构。其中,设备指纹是识别设备类型的标识或区别几个类型的一个判断条件;网络协议具体是指MQTT(Message Queuing Telemetry Transport,消息队列遥测传输)、REST(Representational State Transfer,表述性状态传递)、XMPP(ExtensibleMessaging and Presence Protocol,可扩展通讯和表示协议)、AMQP(Advanced MessageQueuing Protocol,高级消息队列协议)等;设备名称如某摄像头,某名称交换机;厂商类型可以是生成网络设备的厂商名称;模式匹配是指网络设备所适配的模式。
在对该字段的规则格式测试无误之后,可以与对应的字段内容生成指纹识别规则。并且,该指纹识别规则可以灰度上线到规则判别模型中,以使该规则判别模型可以使用指纹识别规则确定网络设备的设备类型信息。
在步骤S1120中,利用指纹识别规则对设备扫描结果进行指纹识别处理得到网络设备的设备类型信息。
通过指纹识别规则可以生成200个左右的规则判别模型,因此,将设备扫描结果输入至该规则判别模型中,该规则判别模型可以输出网络设备的设备类型信息。
除此之外,对于开放web服务的网络设备,还可以输出网络设备所使用的组件和中间件的名称,以便于识别。
在本示例性实施例中,通过指纹识别规则可以对设备扫描结果进行指纹识别处理,确定出网络设备的设备类型信息,设备类型信息的准确度高,并且提升了设备类型信息的详细程度,优化了设备类型信息的识别率。
在步骤S250中,根据设备类型信息对网络设备进行网络设备标记处理,以对进行网络设备标记处理后的网络设备进行管理。
在本公开的示例性实施例中,在得到设备类型信息之后,可以利用设备类型信息对网络设备进行网络设备标记处理。
具体的,当设备类型信息为表征网络设备为PC设备的信息时,利用该设备类型信息将该网络设备标记为PC设备;当设备类型信息为表征网络设备为IDC设备的信息时,利用该设备类型信息将该网络设备标记为IDC设备;当设备类型信息为表征网络设备为Router设备的信息时,利用该设备类型信息将该网络设备标记为Router设备;当设备类型信息为表征网络设备为IOT设备的信息时,利用该设备类型信息将该网络设备标记为IOT设备。
不仅如此,当网络设备为开放web的网络设备时,还可以根据输出的网络设备所使用的组件和中间件的名称对网络设备进行归类。
举例而言,当网络设备使用的中间件分类为办公软件时,还可以进一步为该终端设备标记上办公软件的信息。
在对网络设备进行网络设备标记处理之后,可以对未授权访问和敏感信息获取等不安全的网络请求进行管理,本示例性实施例对此不做特殊限定。
为进一步说明各附图之间的关系,图12示出了网络设备的管理方法的整体步骤流程图,如图12所示,在步骤S1201中,获取网络设备的起始协议地址,并对起始协议地址进行资源记录查询处理得到记录查询结果;在步骤S1202中,若记录查询结果为存在起始协议地址,对起始协议地址进行指针记录查询得到名称指针记录,以将名称指针记录确定为查询处理结果;在步骤S1203中,对名称指针记录进行指针记录选取处理得到目标指针记录,并获取目标指针记录的指针记录长度以及与指针记录长度对应的地址长度阈值;在步骤S1204中,若指针记录长度小于地址长度阈值,对目标指针记录进行递归查询处理得到区域协议地址;在步骤S1205中,对起始协议地址与区域协议地址进行地址枚举处理得到枚举区域地址,并对枚举区域地址进行哈希计算得到区域地址哈希值;在步骤S1206中,获取与区域地址哈希值对应的协议地址哈希值,并对区域地址哈希值和协议地址哈希值进行区域遍历处理得到遍历处理结果;在步骤S1207中,若遍历处理结果为区域地址哈希值属于协议地址哈希值,确定区域地址哈希值为网络协议地址;在步骤S1208中,对网络协议地址进行地址有效处理确定出网络协议地址中的有效协议地址,并对有效协议地址进行任务调度管理得到任务调度结果;在步骤S1209中,按照任务调度结果对有效协议地址进行端口扫描处理得到端口标识信息、系统应用信息和网络响应信息;在步骤S1210中,对网络响应信息进行网络字段分割处理得到网络关键字段,以将端口标识信息、系统应用信息和网络关键字段作为设备扫描结果;或者在步骤S1211中,按照任务调度结果对有效协议地址进行端口扫描处理得到端口标识信息和系统信息,以将端口标识信息和所述系统应用信息作为网络设备的设备扫描结果;在步骤S1212中,对与网络设备对应的设备特性信息进行识别规则生成处理得到指纹识别规则;在步骤S1213中,利用指纹识别规则对设备扫描结果进行指纹识别处理得到网络设备的设备类型信息;在步骤S1214中,根据设备类型信息对网络设备进行网络设备标记处理,以对进行网络设备标记处理后的网络设备进行管理。
下面结合一具体应用场景对本公开实施例中提供的网络设备的管理方法做出详细说明。
图13示出了应用场景下网络设备的管理方法的系统架构图,如图13所示,该系统架构包括地址枚举模块、扫描模块、数据处理模块和展示模块。
其中,地址枚举模块包括NSEC3和DNSSEC两个单元。NSEC3单元是DNSSEC的一种记录形式。为了方式纯文本的域名被收集,它利用哈希方式对域名信息进行加密。DNSSEC是互联网工程任务组(The Internet Engineering Task Force,IETF)对确保由DNS提供给DNS解析器的DNS数据来源进行验证,并验证不存在性和校验数据完整性,但不提供机密性和可用性。
值得说明的是,为对适用于NSEC的区域协议地址进行枚举,还可以包括一NSEC单元。该NSEC单元可以对根据起始协议地址进行地址记录查询处理得到的查询处理结果进行递归查询处理,以实现对区域协议地址的枚举。
而NSEC单元或NSEC3单元对应的起始协议地址,可以是从收集到的公共地址集里得到的,也可以是随机输入的,本示例性实施例对此不做特殊限定。
扫描模块中可以包括任务调度单元、端口扫描单元和指纹识别单元。通过任务调度单元可以对有效的网络协议地址进行任务调度,以分配任务。端口扫描单元可以根据任务调度单元的任务调度结果对有效的网络协议地址进行端口扫描处理。而指纹识别单元可以对端口扫描单元的设备扫描结果进行指纹识别处理。
数据处理模块包括数据预处理单元和数据入库单元。数据预处理单元可以对网络协议地址进行地址有效处理,判断该网络协议地址是否有效。数据入库单元可以根据设备类型信息对网络设备进行设备标记处理。
展示模块中包括控制台,用以展示整体的IPv6大盘信息,或者各类的网络设备的排名,也可以按照中间件、端口或者是服务等进行展示。
图14示出了应用场景下网络设备的管理方法的执行逻辑图,如图14所示,在步骤S1410中,在地址枚举模块中进行递归查询处理,以枚举NSEC和NSEC3的网络协议地址。
具体的,首先,获取网络设备的起始协议地址,并对起始协议地址进行地址记录查询处理得到查询处理结果。然后,对查询处理结果进行递归查询处理得到区域协议地址。
该网络设备可以是任意能够联网的终端设备,联网方式可以是有线通信链路、无线通信链路或者光纤电缆等,本示例性实施例对此不做特殊限定。而该起始协议地址可以是由IP地址生成的网络地址。
图15示出了应用场景下地址记录查询处理的系统架构图,如图15所示,通过客户端可以向域名服务器发送一访问请求,该访问请求中可以为HTTP。在该访问请求中可以包括网络设备的起始协议地址,例如b.cn。
由于DNS系统内每一个域名都有自己的域文件,而域文件由多个记录组成。每一个记录即为RR。资源记录的类型有很多种,每种类型有不同的用处。资源记录指每个域所包含的与之相关的资源,例如,每个RR都包括这个域的所属、类型、TTL等等。
当在RR中查询是否存在起始协议地址时,对应的记录查询结果可以为存在该起始协议地址和不存在该起始协议地址。若该起始协议地址不存在,可以接收到返回的NXDOMAIN的响应。
当RR中查询到起始协议地址时,该记录查询结果为存在起始协议地址。并且由于起始协议地址为由IPv6生成的,因此此时返回的DNS响应信息为该起始协议地址的上一个指针记录和下一个指针记录,即为两个名称指针记录,例如a.cn和c.cn,将这两个名称指针记录即为查询处理的结果。
进一步的,图16示出了应用场景下递归查询处理的方法的步骤流程图,如图16所示,在步骤S1610中,随机字符串xxx.ip.arpa。
当IP地址为IPv6(Internet Protocol version 6,网际协议第6版)时,该起始协议地址可以由网络设备的IP地址与arpa共同组成,例如xxx.ip.arpa。
在步骤S1620中,存储每个队列开始的种子。
将随机字符串作为队列开始的种子节点,存储到区域队列中。
在步骤S1630中,是否收到下一代安全记录响应。
若该起始协议地址不存在,可以接收到返回的NXDOMAIN的响应。而NSEC的响应为起始协议地址的上一个指针记录和下一个指针记录,因此,这种情况下表明未收到NSEC响应,亦即起始协议地址为一有效的网络协议地址。
在步骤S1640中,存入数据库。
当起始协议地址为一有效的网络协议地址时,可以将该网络协议地址存储到数据库中。
在步骤S1650中,响应长度是否为32个半字节(全长IPv6地址)。
具体的,名称记录指针为起始协议地址的上一个指针记录a.cn和下一个指针记录c.cn时,对这两个名称指针记录进行指针记录选取处理可以是从上一个指针记录a.cn和下一个指针记录c.cn中选择出下一个指针记录c.cn作为目标指针记录。
进一步的,可以统计该目标指针记录的长度作为指针记录长度。
并且,由于IPv4的地址长度为4个8位字节,即32比特,而IPv6的地址长度是IPv4的4倍,即128比特,一般可以写成8个16位字节。而且,当起始协议地址是由IPv6地址生成的,因此当起始协议地址的下一个指针记录作为目标指针记录时,地址长度阈值即为与IPv6地址对应的长度,亦即32个半字节。
在统计出指针记录长度和获取到地址长度阈值之后,可以进一步将指针记录长度与地址长度阈值进行比较。
在步骤S1660中,此子区域委派给其他域名系统服务器。
并且,当比较结果为指针记录长度小于地址长度阈值时,表明该目标指针记录指向一个子区域的地址,因此,可以查找与该目标指针记录对应的DNS服务器进行递归查询处理得到区域协议地址。
具体的,DNS查询过程的基本流程为一个域名的DNS请求到本地ISP的递归解析器。如果本地的递归服务器缓存了该DNS请求条目,那么递归服务器返回DNS响应消息。如果本地的递归服务器没有缓存该DNS请求消息,则本地的递归服务器从根名字服务器开始,根据返回的信息一级一级的递归查询所请求的域名,最终查找到所要查询的DNS信息。递归服务器将返回的DNS查询结果存储在自己的缓存中,同时将DNS查询结果返回给用户机。
在步骤S1670中,存入子区域队列。
在递归查询处理得到区域协议地址之后,可以将该区域协议地址存储进子区域队列中,以将起始协议地址和区域协议地址进行地址枚举处理得到网络协议地址,亦即将起始协议地址和区域协议地址进行字段拼接得到网络协议地址。
在步骤S1680中,下一个指针记录为开始随机的种子。
当比较结果为指针记录长度等于地址长度阈值时,表明该目标指针记录为一个全长的IPv6地址,因此,可以进一步对该目标指针记录进行枚举进程处理得到进程处理结果。
具体的,枚举进程处理可以是将目标指针记录与起始协议记录进行比较,以判断目标指针记录是否与起始协议记录相同作为进程处理结果。
在将目标指针记录与起始协议记录进行比较得到进程处理结果之后,可以确定进程处理结果为目标指针记录与起始协议记录相同时,表明该起始协议地址的地址枚举过程结束,而该起始协议地址即为网络协议地址。
显然,基于NSEC的反向区域枚举的运方式是线性的,并且需要0(n+m)个DNS查询DNS服务器。其中,n为网络内的地址数,m为网络子区域的委派数。
而NSEC为了减轻区域漫游攻击对DNSSEC签名区域的负面影响而提出,NSEC3也并未明确列出上一个和下一个的现有名称,而是对区域中的名称使用哈希算法进行加密,并按照字母顺序对哈希值进行排序。
因此,当网络设备的起始协议地址正在使用NSEC3时,名称服务器将对起始协议地址进行哈希计算。
具体的,对起始协议地址和区域协议地址进行地址枚举处理可以是按照图16所示的递归查询处理的方式进行的,在此不再赘述。当然,也可以是按照其他方式进行地址枚举处理的,本示例性实施例对此不做特殊限定。
因此,在对起始协议地址和区域协议地址进行地址枚举处理之后可以得到枚举区域地址。
进一步的,可以对枚举区域地址进行哈希计算得到区域地址哈希值。
对枚举区域地址进行地址参数检查处理可以是查询与该枚举区域地址所表征的区域的计算参数,该计算参数可以是与区域之间具有映射关系的。除此之外,地址检查处理还包括自行选择哈希算法作为计算参数,本示例性实施例对此不做特殊限定。
该区域随机数为与枚举区域地址表征的区域对应的随机数。其中,同一个区域设定的随机数是固定的,亦即,一个区域只有一个随机数。
具体的,对枚举区域地址和区域随机数进行的参数联合分析处理的方式可以是将枚举区域地址与区域随机数进行以枚举区域地址在前,区域随机数在后的拼接处理得到区域计算值。除此之外,也可以采用其他参数联合分析处理的方式,本示例性实施例对此不做特殊限定。
哈希计算是通过哈希算法实现的。哈希算法是把任意长度的输入通过散列算法变换成固定长度的输出,该输出就是散列值。亦即将任意程度的消息压缩成某一固定长度的消息摘要函数。
而迭代次数可以是与枚举区域地址表征的区域对应的固定次数,也可以是自主设定的次数,本示例性实施例对此不做特殊限定。
当确定要使用的哈希算法之后,可以按照该哈希算法对区域计算值进行与迭代次数相同次数的哈希计算,以得到区域地址哈希值。
进一步的,获取与区域地址哈希值对应的协议地址哈希值,并对区域地址哈希值和协议地址哈希值进行区域遍历处理得到遍历处理结果。
具体的,获取与区域地址哈希值对应的已知协议地址,并对已知协议地址进行哈希计算得到协议地址哈希值。
该已知协议名称可以是之前通过递归查询处理得到的区域协议地址,也可以是通过其他采集方式得到的区域协议地址,本示例性实施例对此不做特殊限定。
在得到与区域地址哈希值对应的协议地址哈希值之后,可以对区域地址哈希值和协议地址哈希值进行区域遍历处理得到遍历处理结果。
具体的,对区域地址哈希值和协议地址哈希值的区域遍历处理方式可以是通过协议地址哈希值形成一已知范围,并判断区域地址哈希值是否属于这一已知范围,以得到遍历处理结果。
图17示出了应用场景下区域遍历处理的界面示意图,如图17所示,通过两个协议哈希值作为已知范围,以使区域地址哈希值与协议地址哈希值进行碰撞。并且,不断重复区域不便利处理的步骤,直到不再存在任何哈希值间隙或者退出条件为真的情况下为止。在这种情况下,部分的地址空间未被利用,直到NSEC3圈内的所有哈希值空白都被填补,则结束区域遍历处理的过程。
在对区域地址哈希值和协议地址哈希值进行区域遍历处理得到遍历处理结果之后,当遍历处理结果为区域地址哈希值属于协议地址哈希值,亦即区域地址哈希值在由协议地址哈希值形成的已知范围内,表明该区域地址哈希值即为一网络协议地址,且该网络协议地址为哈希值的形式。
在步骤S1420中,通过任务调度单元对网络协议地址中的有效协议地址进行任务调度管理。
具体的,可以按照该网络协议地址进行访问,以在访问成功时,确定对应到的网络协议地址为有效协议地址,而网络协议地址无法访问时,表明该网络协议地址不是一有效协议地址。
在通过地址有效处理筛选出网络协议地址中的有效协议地址之后,可以对有效协议地址进行任务调度管理得到任务调度结果。
具体的,通过定时任务脚本将有效协议地址存储到任务调度管理系统,该任务调度管理系统主要起到调度作用,比如扫描哪些有效协议地址,使用什么方式进行扫描等,本示例性实施例对此不做特殊限定。
为了实现后续的端口扫描处理的并发操作,可以利用任务调度管理系统向端口扫描代理单元得到任务调度结果。
具体的,通过任务调度管理系统将任务管理器分别分配给有效协议地址以生成扫描任务,并把扫描任务下发给端口网络扫描模块中的端口扫描代理单元。端口网络扫描模块中有多个端口扫描代理单元,每个端口扫描代理单元可以独立执行有效协议地址的端口扫描处理。
在步骤S1430中,通过端口扫描单元对有效协议地址进行端口扫描处理。
在对有效协议地址进行任务调度管理得到任务调度结果之后,该任务调度结果表征出端口扫描代理单元要进行端口扫描处理的有效协议地址。因此,按照任务调度结果对有效协议地址进行端口扫描处理可以得到网络设备的设备扫描结果。
按照任务调度结果利用端口扫描代理单元对有效协议地址进行端口扫描处理。举例而言,与网络设备监理TCP连接,以获取网络设备的端口发送的端口Banner,并且,同时能够探测网络设备的开放端口号,以识别出相应端口的开放网络协议、操作系统版本和网络设备的网络应用层数据。
具体的,端口标识信息包括网络设备的开放端口号,以获取端口Banner;系统应用信息包括操作系统版本、端口开放的网络协议和网络应用层数据。
其中,端口Banner是通过尝试与网络设备建立TCP连接,在尝试等待的片刻时间内,接收到网络设备发送的“Welcome Banner”信息,而该Banner可以是软件开发商、软件名称、服务类型和版本号等标识或特征信息。而网络应用层数据可以包括js/css文件以及特定的目录和文件URL等。
值得说明的是,端口扫描处理可以得到的设备扫描结果至少包括端口Banner、端口的开放网络协议、操作系统版本和网络设备的网络应用层数据中的一种。
举例而言,若以端口Banner规则为统计维度,那么只可以获取到端口Banner;若以端口的开放网络协议规则为统计维度,那么只可以获取到端口的开放网络协议;若以操作系统版本为统计维度,那么只可以获取到网络设备的操作系统版本;若以网络应用层规则为统计维度,那么仅可以获取到网络设备的网络应用层数据。当然,统计维度为至少两个时,即可获取到两种以上内容的端口扫描结果。
除此之外,当网络设备同时开放了web服务时,按照任务调度结果对有效协议地址进行端口扫描处理不仅可以得到端口标识信息和系统应用信息,还可以接收到HTTP响应包,该HTTP响应包可以包括响应包主体、头部和标题。因此,HTTP响应包所包括的主体、头部和标题可以作为网络响应信息。
在得到网络响应信息之后,可以对网络响应信息进行网络字段分割处理。亦即,将原本统一为网络响应信息的字段按照主体、头部和标题的特征进行分割,以得到三段不同的主体字段、头部字段和标题字段作为网络关键字段。
举例而言,根据HTTP协议规定,HTTP头部和HTTP主体之间是以一个空行分割的,而HTTP每一行(每一行是指一个头部字段)是以\r\n结束的,一个空行的\r\n,再加上最后一行的结束符\r\n一起是\r\n\r\n,也就是说,当检测到\r\n\r\n四个字符时,下一个字符开始就是HTTP主体内容。因此,主体字段和头部字段以识别该HTTP头部和HTTP主体之间的\r\n\r\n四个字符,并进行分割得到。除此之外,主体和标题,或者头部和标题之间的分割也可以通过识别相应字符,再进行分割得到。
在得到由主体字段、头部字段和标题字段组成的网络关键字段之后,可以将端口标识信息、系统应用信息和网络关键字段三部分内容作为网络设备的设备扫描结果。
在步骤S1440中,通过指纹识别单元对设备扫描结果进行指纹识别处理。
由于网络设备可以是PC设备,可以是IDC设备,也可以是Router设备,还可以是IOT设备,因此不同的网络设备对应的设备特性信息不同。
具体的,PC设备是普通用户设备通过ADSL拨号或其他宽带方式接入互联网的设备;IDC设备是互联网服务商提供的专业的服务器托管区域,包含为企业或个人提供租用的网站、存储数据服务资源的设备;Router设备主要包含路由器、防火墙以及部分出口网关设备等,用来连接和服务不同体系结构网络设备;IOT设备包括接入互联网的各种传感设备和智能网络设备等。
由于设备扫描结果中包括端口Banner、端口的开放网络协议、操作系统版本和网络设备的网络应用层数据,并且要根据设备扫描结果确定出网络设备的设备类型信息,因此可以以设备扫描结果涉及的网络设备类型作为设备特性信息,以进一步进行识别规则生成处理。
举例而言,以开放网络协议规则和网络应用层规则为例,可以结合网络设备开放的端口协议以及物理机上实际运行的业务情况进行关联分析,可以确定出IDC设备,因此,与IDC设备对应的设备特性信息可以包括开放网络协议规则和网络应用层规则、端口协议以及物理机上实际运行的业务情况;以网络协议规则、操作系统版本规则和网络应用层规则为例,Router设备和IOT设备的区别在于,根据不同的设备厂商定制的专用的开放网络协议、端口服务以及操作系统版本进行关联分析,可以确定出Router设备和IOT设备,因此Router设备和IOT设备的设备特性信息为开放网络协议、端口服务以及操作系统版本。除此之外,PC设备可以根据对应的IP的TTL进行计算,此时TTL为设备特性信息。因此,设备特性信息是能够反映该网络设备的特性信息,并不一定与设备扫描结果包括的信息内容为唯一来源,也可以是其他前述处理过程包括的信息,本示例性实施例对此不做特殊限定。
并且,以涉及的设备特性信息的联合分析过程生成对应的指纹识别规则,以进一步进行指纹识别处理。
指纹识别是通过特定的指纹规则识别出端口开放的网络协议以及操作系统版本,包括常见的STMP、Telnet和FTP等协议,以及Linux、Windows操作系统版本等信息。
该指纹识别规则例如可以定义设备指纹、网络协议、设备类型、设备名称、厂商类型以及模式匹配等结构。其中,设备指纹是识别设备类型的标识或区别几个类型的一个判断条件;网络协议具体是指MQTT、REST、XMPP、AMQP等;设备名称如某摄像头,某名称交换机;厂商类型可以是生成网络设备的厂商名称;模式匹配是指网络设备所适配的模式。
在对该字段的规则格式测试无误之后,可以与对应的字段内容生成指纹识别规则。并且,该指纹识别规则可以灰度上线到规则判别模型中,以使该规则判别模型可以使用指纹识别规则确定网络设备的设备类型信息。
通过指纹识别规则可以生成200个左右的规则判别模型,因此,将设备扫描结果输入至该规则判别模型中,该规则判别模型可以输出超过80%的网络设备的设备类型信息。
除此之外,对于开放web服务的网络设备,还可以输出网络设备所使用的组件和中间件的名称,以便于识别。
在步骤S1450中,数据处理模块根据设备类型信息对网络设备进行网络设备标记处理。
具体的,当设备类型信息为表征网络设备为PC设备的信息时,利用该设备类型信息将该网络设备标记为PC设备;当设备类型信息为表征网络设备为IDC设备的信息时,利用该设备类型信息将该网络设备标记为IDC设备;当设备类型信息为表征网络设备为Router设备的信息时,利用该设备类型信息将该网络设备标记为Router设备;当设备类型信息为表征网络设备为IOT设备的信息时,利用该设备类型信息将该网络设备标记为IOT设备。
不仅如此,当网络设备为开放web的网络设备时,还可以根据输出的网络设备所使用的组件和中间件的名称对网络设备进行归类。
举例而言,当网络设备使用的中间件分类为办公软件时,还可以进一步为该终端设备标记上办公软件的信息。
在对网络设备进行网络设备标记处理之后,可以对未授权访问和敏感信息获取等不安全的网络请求进行管理,本示例性实施例对此不做特殊限定。
在步骤S1460中,通过展示台对进行网络设备标记处理后的网络设备进行展示。
具体的,可以展示终端设备的整体的IPv6大盘信息,或者各类的网络设备的排名,也可以按照中间件、端口或者是服务等进行展示。
基于以上应用场景可知,本公开实施例提供的网络设备的管理方法,一方面,通过起始协议地址和区域协议地址进行地址枚举处理得到网络协议地址,能够最大化地枚举IPv6地址,充分发挥了IPv6地址的查询优势,也保障了网络协议地址的完整性和准确性;另一方面,根据设备类型信息对网络设备进行网络设备标记处理,以实现对网络设备的安全管理,能够及时发现IPv6网络中的安全风险,提升整体IPv6网络的安全性能。
应当注意,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
以下介绍本公开的装置实施例,可以用于执行本公开上述实施例中的网络设备的管理方法。对于本公开装置实施例中未披露的细节,请参照本公开上述的网络设备的管理方法的实施例。
图18示意性地示出了在本公开一些实施例中的一种网络设备的管理装置的结构框图,如图18所示,网络设备的管理装置1800主要可以包括:记录查询模块1810、递归查询模块1820、任务调度模块1830、设备扫描模块1840和设备标记模块1850。
记录查询模块1810,被配置为获取网络设备的起始协议地址,并对起始协议地址进行地址记录查询处理得到查询处理结果;
递归查询模块1820,被配置为对查询处理结果进行递归查询处理得到区域协议地址,并对起始协议地址与区域协议地址进行地址枚举处理得到网络协议地址;
任务调度模块1830,被配置为对网络协议地址进行地址有效处理确定出网络协议地址中的有效协议地址,并对有效协议地址进行任务调度管理得到任务调度结果;
设备扫描模块1840,被配置为按照任务调度结果对有效协议地址进行端口扫描处理得到网络设备的设备扫描结果,并对设备扫描结果进行指纹识别处理得到网络设备的设备类型信息;
设备标记模块1850,被配置为根据设备类型信息对网络设备进行网络设备标记处理,以对进行网络设备标记处理后的网络设备进行管理。
在本公开的一些实施例中,递归查询模块包括:枚举处理子模块,被配置为对起始协议地址与区域协议地址进行地址枚举处理得到枚举区域地址,并对枚举区域地址进行哈希计算得到区域地址哈希值;
区域遍历子模块,被配置为获取与区域地址哈希值对应的协议地址哈希值,并对区域地址哈希值和协议地址哈希值进行区域遍历处理得到遍历处理结果;
地址确定子模块,被配置为若遍历处理结果为区域地址哈希值属于协议地址哈希值,确定区域地址哈希值为网络协议地址。
在本公开的一些实施例中,枚举处理子模块包括:参数检查单元,被配置为对枚举区域地址进行地址参数检查处理得到与枚举区域地址对应的计算参数;
哈希计算单元,被配置为利用计算参数对枚举区域地址进行哈希计算得到区域地址哈希值。
在本公开的一些实施例中,哈希计算单元,包括:联合分析子单元,被配置为对枚举区域地址和区域随机数进行参数联合分析处理得到区域计算值;
参数计算子单元,被配置为利用哈希算法对区域计算值进行迭代次数的哈希计算得到区域地址哈希值。
在本公开的一些实施例中,区域遍历子模块,包括:地址计算单元,被配置为获取与区域地址哈希值对应的已知协议地址,并对已知协议地址进行哈希计算得到协议地址哈希值。
在本公开的一些实施例中,记录查询模块,包括:资源查询子模块,被配置为对起始协议地址进行资源记录查询处理得到记录查询结果;
指针查询子模块,被配置为若所述记录查询结果为存在起始协议地址,对起始协议地址进行指针记录查询得到名称指针记录,以将名称指针记录确定为查询处理结果。
在本公开的一些实施例中,递归查询模块,包括:指针选取子模块,被配置为对名称指针记录进行指针记录选取处理得到目标指针记录,并获取目标指针记录的指针记录长度以及与指针记录长度对应的地址长度阈值;
阈值判断子模块,被配置为若指针记录长度小于所述地址长度阈值,对目标指针记录进行递归查询处理得到区域协议地址。
在本公开的一些实施例中,网络设备的管理装置,还包括:进程查询模块,被配置为若指针记录长度等于地址长度阈值,对目标指针记录进行枚举进程处理得到进程处理结果;
查询结果模块,被配置为若进程处理结果为目标指针记录与起始协议地址相同,确定起始协议地址为网络协议地址。
在本公开的一些实施例中,设备扫描模块,包括:端口扫描子模块,被配置为按照任务调度结果对有效协议地址进行端口扫描处理得到端口标识信息、系统应用信息和网络响应信息;
字段分割子模块,被配置为对网络响应信息进行网络字段分割处理得到网络关键字段,以将端口标识信息、系统应用信息和网络关键字段作为网络设备的设备扫描结果。
在本公开的一些实施例中,设备扫描模块,包括:结果确定子模块,被配置为按照任务调度结果对有效协议地址进行端口扫描处理得到端口标识信息和系统应用信息,以将端口标识信息和系统应用信息作为网络设备的设备扫描结果。
在本公开的一些实施例中,设备扫描模块,包括:规则生成子模块,被配置为对与网络设备对应的设备特性信息进行识别规则生成处理得到指纹识别规则;
指纹识别子模块,被配置为利用指纹识别规则对设备扫描结果进行指纹识别处理得到网络设备的设备类型信息。
在本公开的一些实施例中,网络设备的管理装置,还包括:监控处理模块,被配置为在按照任务调度结果对有效协议地址进行端口扫描处理时,对端口扫描处理进行端口监控处理得到端口监控结果;
异常结果模块,被配置为若端口监控结果为扫描异常,对端口监控结果进行异常信息生成处理得到异常结果信息,以完成对端口扫描处理的监控。
本公开各实施例中提供的网络设备的管理装置的具体细节已经在对应的方法实施例中进行了详细的描述,因此此处不再赘述。
图19示出了适于用来实现本公开实施例的电子设备的计算机系统的结构示意图。
需要说明的是,图19示出的电子设备的计算机系统1900仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图19所示,计算机系统1900包括中央处理单元(Central Processing Unit,CPU)1901,其可以根据存储在只读存储器(Read-Only Memory,ROM)1902中的程序或者从储存部分1908加载到随机访问存储器(Random Access Memory,RAM)1903中的程序而执行各种适当的动作和处理。在RAM 1903中,还存储有系统操作所需的各种程序和数据。CPU1901、ROM 1902以及RAM 1903通过总线1904彼此相连。输入/输出(Input/Output,I/O)接口1905也连接至总线1904。
以下部件连接至I/O接口1905:包括键盘、鼠标等的输入部分1906;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分1907;包括硬盘等的储存部分1908;以及包括诸如LAN(Local AreaNetwork,局域网)卡、调制解调器等的网络接口卡的通信部分1909。通信部分1909经由诸如因特网的网络执行通信处理。驱动器1910也根据需要连接至I/O接口1905。可拆卸介质1911,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1910上,以便于从其上读出的计算机程序根据需要被安装入储存部分1908。
特别地,根据本公开的实施例,各个方法流程图中所描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分1909从网络上被下载和安装,和/或从可拆卸介质1911被安装。在该计算机程序被中央处理单元(CPU)1901执行时,执行本申请的系统中限定的各种功能。
需要说明的是,本公开实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (15)
1.一种网络设备的管理方法,其特征在于,所述方法包括:
获取网络设备的起始协议地址,并对所述起始协议地址进行地址记录查询处理得到查询处理结果;
对所述查询处理结果进行递归查询处理得到区域协议地址,并对所述起始协议地址与所述区域协议地址进行地址枚举处理得到网络协议地址;
对所述网络协议地址进行地址有效处理确定出所述网络协议地址中的有效协议地址,并对所述有效协议地址进行任务调度管理得到任务调度结果;
按照所述任务调度结果对所述有效协议地址进行端口扫描处理得到所述网络设备的设备扫描结果,并对所述设备扫描结果进行指纹识别处理得到所述网络设备的设备类型信息;
根据所述设备类型信息对所述网络设备进行网络设备标记处理,以对进行所述网络设备标记处理后的所述网络设备进行管理。
2.根据权利要求1所述的网络设备的管理方法,其特征在于,所述对所述起始协议地址与所述区域协议地址进行地址枚举处理得到网络协议地址,包括:
对所述起始协议地址与所述区域协议地址进行地址枚举处理得到枚举区域地址,并对所述枚举区域地址进行哈希计算得到区域地址哈希值;
获取与所述区域地址哈希值对应的协议地址哈希值,并对所述区域地址哈希值和所述协议地址哈希值进行区域遍历处理得到遍历处理结果;
若所述遍历处理结果为所述区域地址哈希值属于所述协议地址哈希值,确定所述区域地址哈希值为网络协议地址。
3.根据权利要求2所述的网络设备的管理方法,其特征在于,所述对所述枚举区域地址进行哈希计算得到区域地址哈希值,包括:
对所述枚举区域地址进行地址参数检查处理得到与所述枚举区域地址对应的计算参数;
利用所述计算参数对所述枚举区域地址进行哈希计算得到区域地址哈希值。
4.根据权利要求3所述的网络设备的管理方法,其特征在于,所述计算参数包括区域随机数、迭代次数和哈希算法,
所述利用所述计算参数对所述枚举区域地址进行哈希计算得到区域地址哈希值,包括:
对所述枚举区域地址和所述区域随机数进行参数联合分析处理得到区域计算值;
利用所述哈希算法对所述区域计算值进行所述迭代次数的哈希计算得到区域地址哈希值。
5.根据权利要求2所述的网络设备的管理方法,其特征在于,所述获取与所述地址哈希值对应的协议地址哈希值,包括:
获取与所述区域地址哈希值对应的已知协议地址,并对所述已知协议地址进行哈希计算得到协议地址哈希值。
6.根据权利要求1所述的网络设备的管理方法,其特征在于,所述对所述起始协议地址进行地址记录查询处理得到查询处理结果,包括:
对所述起始协议地址进行资源记录查询处理得到记录查询结果;
若所述记录查询结果为存在所述起始协议地址,对所述起始协议地址进行指针记录查询得到名称指针记录,以将所述名称指针记录确定为查询处理结果。
7.根据权利要求6所述的网络设备的管理方法,其特征在于,所述对所述查询处理结果进行递归查询处理得到区域协议地址,包括:
对所述名称指针记录进行指针记录选取处理得到目标指针记录,并获取所述目标指针记录的指针记录长度以及与所述指针记录长度对应的地址长度阈值;
若所述指针记录长度小于所述地址长度阈值,对所述目标指针记录进行递归查询处理得到区域协议地址。
8.根据权利要求7所述的网络设备的管理方法,其特征在于,所述方法还包括:
若所述指针记录长度等于所述地址长度阈值,对所述目标指针记录进行枚举进程处理得到进程处理结果;
若所述进程处理结果为所述目标指针记录与所述起始协议地址相同,确定所述起始协议地址为网络协议地址。
9.根据权利要求1所述的网络设备的管理方法,其特征在于,所述按照所述任务调度结果对所述有效协议地址进行端口扫描处理得到所述网络设备的设备扫描结果,包括:
按照所述任务调度结果对所述有效协议地址进行端口扫描处理得到端口标识信息、系统应用信息和网络响应信息;
对所述网络响应信息进行网络字段分割处理得到网络关键字段,以将所述端口标识信息、所述系统应用信息和所述网络关键字段作为所述网络设备的设备扫描结果。
10.根据权利要求1所述的网络设备的管理方法,其特征在于,所述按照所述任务调度结果对所述有效协议地址进行端口扫描处理得到所述网络设备的设备扫描结果,包括:
按照所述任务调度结果对所述有效协议地址进行端口扫描处理得到端口标识信息和系统应用信息,以将所述端口标识信息和所述系统应用信息作为所述网络设备的设备扫描结果。
11.根据权利要求1所述的网络设备的管理方法,其特征在于,所述对所述设备扫描结果进行指纹识别处理得到所述网络设备的设备类型信息,包括:
对与所述网络设备对应的设备特性信息进行识别规则生成处理得到指纹识别规则;
利用所述指纹识别规则对所述设备扫描结果进行指纹识别处理得到所述网络设备的设备类型信息。
12.根据权利要求1所述的网络设备的管理方法,其特征在于,所述方法还包括:
在按照所述任务调度结果对所述有效协议地址进行端口扫描处理时,对所述端口扫描处理进行端口监控处理得到端口监控结果;
若所述端口监控结果为扫描异常,对所述端口监控结果进行异常信息生成处理得到异常结果信息,以完成对所述端口扫描处理的监控。
13.一种网络设备的管理装置,其特征在于,所述装置包括:
记录查询模块,被配置为获取网络设备的起始协议地址,并对所述起始协议地址进行地址记录查询处理得到查询处理结果;
递归查询模块,被配置为对所述查询处理结果进行递归查询处理得到区域协议地址,并对所述起始协议地址与所述区域协议地址进行地址枚举处理得到网络协议地址;
任务调度模块,被配置为对所述网络协议地址进行地址有效处理确定出所述网络协议地址中的有效协议地址,并对所述有效协议地址进行任务调度管理得到任务调度结果;
设备扫描模块,被配置为按照所述任务调度结果对所述有效协议地址进行端口扫描处理得到所述网络设备的设备扫描结果,并对所述设备扫描结果进行指纹识别处理得到所述网络设备的设备类型信息;
设备标记模块,被配置为根据所述设备类型信息对所述网络设备进行网络设备标记处理,以对进行所述网络设备标记处理后的所述网络设备进行管理。
14.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至12中任一项所述的网络设备的管理方法。
15.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至12中任一项所述的网络设备的管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110245665.9A CN113037886B (zh) | 2021-03-05 | 2021-03-05 | 网络设备的管理方法、装置、介质以及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110245665.9A CN113037886B (zh) | 2021-03-05 | 2021-03-05 | 网络设备的管理方法、装置、介质以及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113037886A true CN113037886A (zh) | 2021-06-25 |
CN113037886B CN113037886B (zh) | 2022-02-08 |
Family
ID=76468062
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110245665.9A Active CN113037886B (zh) | 2021-03-05 | 2021-03-05 | 网络设备的管理方法、装置、介质以及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113037886B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114510476A (zh) * | 2021-12-29 | 2022-05-17 | 北京空间飞行器总体设计部 | 基于ccsds源包体制的遥测数据多路并行处理系统及方法 |
CN115134263A (zh) * | 2022-06-29 | 2022-09-30 | 中国银行股份有限公司 | 网络设备的扫描方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1538284A (zh) * | 2003-04-14 | 2004-10-20 | ��ʽ���������Ƽ� | 存储设备 |
US20060294312A1 (en) * | 2004-05-27 | 2006-12-28 | Silverbrook Research Pty Ltd | Generation sequences |
CN101123613A (zh) * | 2007-08-23 | 2008-02-13 | 张建中 | 一种多维地址编址的方法和装置以及系统 |
US20120144113A1 (en) * | 2010-12-03 | 2012-06-07 | Samsung Electronics Co., Ltd. | Method of processing data and system using the same |
CN103621049A (zh) * | 2011-04-19 | 2014-03-05 | 施耐德电气It公司 | 用于在多点网络中自动分配地址给设备的系统和方法 |
CN104333256A (zh) * | 2014-10-31 | 2015-02-04 | 武汉工程大学 | 基于fpga的全数字自然采样spwm控制方法及系统 |
US10440111B2 (en) * | 2013-05-27 | 2019-10-08 | Fujitsu Limited | Application execution program, application execution method, and information processing terminal device that executes application |
-
2021
- 2021-03-05 CN CN202110245665.9A patent/CN113037886B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1538284A (zh) * | 2003-04-14 | 2004-10-20 | ��ʽ���������Ƽ� | 存储设备 |
US20060294312A1 (en) * | 2004-05-27 | 2006-12-28 | Silverbrook Research Pty Ltd | Generation sequences |
CN101123613A (zh) * | 2007-08-23 | 2008-02-13 | 张建中 | 一种多维地址编址的方法和装置以及系统 |
US20120144113A1 (en) * | 2010-12-03 | 2012-06-07 | Samsung Electronics Co., Ltd. | Method of processing data and system using the same |
CN103621049A (zh) * | 2011-04-19 | 2014-03-05 | 施耐德电气It公司 | 用于在多点网络中自动分配地址给设备的系统和方法 |
US10440111B2 (en) * | 2013-05-27 | 2019-10-08 | Fujitsu Limited | Application execution program, application execution method, and information processing terminal device that executes application |
CN104333256A (zh) * | 2014-10-31 | 2015-02-04 | 武汉工程大学 | 基于fpga的全数字自然采样spwm控制方法及系统 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114510476A (zh) * | 2021-12-29 | 2022-05-17 | 北京空间飞行器总体设计部 | 基于ccsds源包体制的遥测数据多路并行处理系统及方法 |
CN114510476B (zh) * | 2021-12-29 | 2023-08-04 | 北京空间飞行器总体设计部 | 基于ccsds源包体制的遥测数据多路并行处理系统及方法 |
CN115134263A (zh) * | 2022-06-29 | 2022-09-30 | 中国银行股份有限公司 | 网络设备的扫描方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113037886B (zh) | 2022-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Xu et al. | Am I eclipsed? A smart detector of eclipse attacks for Ethereum | |
Rafique et al. | Firma: Malware clustering and network signature generation with mixed network behaviors | |
US10440042B1 (en) | Domain feature classification and autonomous system vulnerability scanning | |
RU2671991C2 (ru) | Система и способ сбора информации для обнаружения фишинга | |
US11681757B2 (en) | Similar email spam detection | |
CN113037886B (zh) | 网络设备的管理方法、装置、介质以及电子设备 | |
US10122722B2 (en) | Resource classification using resource requests | |
CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
EP3852327A1 (en) | Exception access behavior identification method and server | |
US20100306833A1 (en) | Autonomous intelligent user identity manager with context recognition capabilities | |
CN108616544B (zh) | 用于检测对域名系统记录系统的更新的方法、系统和介质 | |
CN109376133A (zh) | 文件访问方法及文件访问系统 | |
US20160321255A1 (en) | Unsolicited bulk email detection using url tree hashes | |
CN112333185B (zh) | 一种基于dns解析的域名阴影检测方法和装置 | |
Yu et al. | Behavior Analysis based DNS Tunneling Detection and Classification with Big Data Technologies. | |
Fei et al. | The abnormal detection for network traffic of power iot based on device portrait | |
CN112839054A (zh) | 一种网络攻击检测方法、装置、设备及介质 | |
Mitsuhashi et al. | Identifying malicious dns tunnel tools from doh traffic using hierarchical machine learning classification | |
CN111314379A (zh) | 被攻击域名识别方法、装置、计算机设备和存储介质 | |
US10897483B2 (en) | Intrusion detection system for automated determination of IP addresses | |
Gomez et al. | Unsupervised detection and clustering of malicious tls flows | |
CN109995885B (zh) | 域名空间结构呈现方法、装置、设备及介质 | |
CN113904843B (zh) | 一种终端异常dns行为的分析方法和装置 | |
US20090300206A1 (en) | Methods and systems for protecting e-mail addresses in publicly available network content | |
CN111371917B (zh) | 一种域名检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40047319 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |