CN113206828B - 一种分析网络设备安全的方法及设备 - Google Patents

一种分析网络设备安全的方法及设备 Download PDF

Info

Publication number
CN113206828B
CN113206828B CN202110342028.3A CN202110342028A CN113206828B CN 113206828 B CN113206828 B CN 113206828B CN 202110342028 A CN202110342028 A CN 202110342028A CN 113206828 B CN113206828 B CN 113206828B
Authority
CN
China
Prior art keywords
address
transport layer
layer protocol
network
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110342028.3A
Other languages
English (en)
Other versions
CN113206828A (zh
Inventor
汪鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202110342028.3A priority Critical patent/CN113206828B/zh
Publication of CN113206828A publication Critical patent/CN113206828A/zh
Application granted granted Critical
Publication of CN113206828B publication Critical patent/CN113206828B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

本申请一种分析网络设备安全的方法及设备。该方法包括:逐一扫描网络内的多个指定IP地址或指定IP地址网段;扫描每个IP地址对应的全部运输层协议端口;将全部运输层协议端口不超过指定端口阈值的IP地址对应的网络设备识别为待分析网络设备;获取待分析网络设备的各运输层协议端口对应的服务;确定安全事件的运输层协议端口与待分析网络设备的任一运输层协议端口匹配;根据安全事件获取待分析网络设备的匹配运输层协议端口的对应服务存在的风险。

Description

一种分析网络设备安全的方法及设备
技术领域
本申请涉及通信技术,特别涉及一种分析网络设备安全的方法及设备。
背景技术
网络设备的安全设备网络内的设备进行扫描,记录网络内的发生不同类型的安全事件。各类型的安全事件至少包括,运输层协议目的端口号及其对应的漏洞、弱口令、配置风险等风险信息、源IP地址、目的IP地址、攻击阶段信息。
网络内部的设备增加时,网络运维人员需要对新增的网络设备进行安全维护。但是,一旦网络运维人员不能及时发现这些网络内部的新增网络设备,导致网络内部出现脱管的网络设备时,即使网络安全设备已经扫描到内网中存在网络风险的安全事件时,导致运维人员无法及时获取新增网络设备的何种应用程序的服务存在的风险,也无法分析网络设备的风险端口(运输层协议端口)类型。
发明内容
本申请的目的在于提供一种分析网络设备安全的方法及设备,主动探测分析网络设备的应用服务的安全风险。
一种分析网络设备安全的方法,该方法包括:逐一扫描网络内的多个指定IP地址或指定IP地址网段;扫描每个IP地址对应的全部运输层协议端口;将全部运输层协议端口不超过指定端口阈值的IP地址对应的网络设备识别为待分析网络设备;获取待分析网络设备的各运输层协议端口对应的服务;确定安全事件的运输层协议端口与待分析网络设备的任一运输层协议端口匹配;根据安全事件获取待分析网络设备的匹配运输层协议端口的对应服务存在的风险。
一种分析网络设备安全的设备,该设备包括处理器以及计算机可读存储介质,处理器执行计算机可读存储介质存储的计算机可读指令执行以下处理:逐一扫描网络内的多个指定IP地址或指定IP地址网段;扫描每个IP地址对应的全部运输层协议端口;将全部运输层协议端口不超过指定端口阈值的IP地址对应的网络设备识别为待分析网络设备;获取待分析网络设备的各运输层协议端口对应的服务;确定安全事件的运输层协议端口与待分析网络设备的任一运输层协议端口匹配;根据安全事件获取待分析网络设备的匹配运输层协议端口的对应服务存在的风险。
本申请通过主动探测获取网络内网络设备,结合已扫描到的安全事件识别网络设备的应用程序存在的风险以及风险端口类型。
附图说明
图1为本申请提供的分析网络安全方法实施例的流程图;
图2为图1获取运输层协议端口对应的服务的流程图;
图3为本申请提供的分析网络安全设备实施例的示意图。
具体实施方式
将以多个附图所示的多个例子进行详细说明。在以下详细描述中,多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路,以免使这些例子的难于理解。术语“包括”表示包括但不限于;术语“含有”表示包括但不限于;术语“以上”、“以内”以及“以下”包含本数;术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
图1为本申请提供的分析网络安全方法实施例的流程图,该方法包括:
步骤101,逐一扫描网络内的多个指定IP地址或指定IP地址网段。
安全设备启动一个任务通过扫描探测网络内部的网络设备。该安全设备的启动任务调用,按照设置的发包速率向每个IP地址发送报文,进行端口扫描。
在通信领域内,端口通常是指TCP/UDP端口,用以识别设备上运行的应用程序。本申请中,端口/端口号、运输层协议端口/运输层协议端口号都是指TCP/UDP端口/端口号,目的端口也是指TCP/UDP目的端口。
步骤102,扫描每个IP地址对应的全部运输层协议端口。
步骤103,将全部运输层协议端口不超过指定端口阈值的IP地址对应的网络设备识别为待分析网络设备。
由于防火墙设备的端口既需要向网络内部开放,也需要向互联网开放,不需要进行风险端口类型分析。因此,设置的指定端口阈值是为了识别扫描到的设备是否为防火墙。因此,当安全设备调用的端口扫描器扫描到任一IP地址的运输层协议端口超过指定端口阈值时,表明该IP地址对应的主机/网络设备的几乎所有的网络层协议端口都开放,可能是防火墙设备,因此跳过该IP地址,扫描下一个IP地址。
步骤104,获取待分析网络设备的各运输层协议端口对应的服务。
步骤105,确定安全事件的运输层协议端口与待分析网络设备的任一运输层协议端口匹配。
步骤106,根据安全事件获取待分析网络设备的匹配运输层协议端口的对应服务存在的风险。
因为安全设备记录的各类型的安全事件至少包括,运输层协议目的端口号(如目的UDP端口)及其对应的漏洞、弱口令、配置风险等风险信息、源IP地址、目的IP地址、攻击阶段信息。安全设备将各安全事件的目的端口与发现获得端口及服务进行关联分析获取该IP地址对应的主机/网络上服务存在的漏洞、弱口令、配置等风险。
如图2所示,安全设备获取运输层协议端口对应的服务的包括以下步骤:
步骤201,判断运输层协议端口是否对应Web服务;若是,执行步骤202,若否,执行步骤203;
步骤202,获取Web服务的统一资源定位系统地址URL和标题Title;
步骤203,获取非Web服务的服务名称和协议。
本申请中,安全设备还可以预置有风险端口类型规则,根据安全事件记录的源IP地址、目的IP地址确定待分析网络设备的匹配运输层协议端口的风险端口类型。
表1-1和表1-2所示为“向互联网暴露的端口的规则”。当安全事件的事件类型、源IP地址、目的IP地址、攻击阶段与表1-1或表1-2相符,则该端口的风险端口类型是对互联网暴露的高危端口。本领域人员可以根据网络环境下的安全事件扩展规则类别,本申请不做限定。
Figure BDA0002999446030000041
表1-1
Figure BDA0002999446030000051
表1-2
表2-1、2-2为“向内网暴露的端口的规则”。本申请不限定本领域人员根据网络环境国扩展“向内网暴露的端口的规则”的类别。
Figure BDA0002999446030000052
表2-1
Figure BDA0002999446030000061
表2-2
图1和图2所示方法能够通过主动探测到网络内部的网络设备,根据安全识别网络设备的应用程序的服务存在的风险,分析网络设备的风险端口类型。
图3所示为本申请提供的一种分析网络设备安全的设备30,该设备30包括:处理器以及计算机可读存储介质,处理器执行计算机可读存储介质存储的计算机可读指令执行以执行图1及图2所示的处理。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种分析网络设备安全的方法,其特征在于,所述方法包括:
逐一扫描所述网络内的多个指定IP地址或指定IP地址网段;
扫描每个IP地址对应的全部运输层协议端口数量;
将全部运输层协议端口的数量不超过指定端口阈值数量的IP地址对应的网络设备识别为待分析网络设备;
获取所述待分析网络设备的各运输层协议端口对应的服务;
确定安全事件的运输层协议端口与所述待分析网络设备的任一运输层协议端口匹配;
根据所述安全事件获取所述待分析网络设备的匹配运输层协议端口的对应服务存在的风险。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述安全事件记录的源IP地址、目的IP地址确定所述待分析网络设备的匹配运输层协议端口的风险端口类型。
3.根据权利要求2所述的方法,其特征在于,
根据所述安全事件记录的源IP地址和目的IP地址分别是外网IP地址、内网IP地址,确定所述端口风险类型是对互联网暴露的风险运输层协议端口。
4.根据权利要求2所述的方法,其特征在于,
根据所述安全事件记录的源IP地址和目的IP地址分别是内网IP地址、外网IP地址,确定所述端口风险类型是对内网暴露的风险运输层协议端口。
5.根据权利要求1所述的方法,其特征在于,获取所述待分析网络设备的各运输层协议端口对应的服务包括:
为对应Web服务的运输层协议端口获取统一资源定位系统地址和标题;
为对应非Web服务的运输层协议端口获取服务名称和协议。
6.一种分析网络设备安全的设备,其特征在于,所述设备包括处理器以及计算机可读存储介质,所述处理器执行所述计算机可读存储介质存储的计算机可读指令执行以下处理:
逐一扫描所述网络内的多个指定IP地址或指定IP地址网段;
扫描每个IP地址对应的全部运输层协议端口的数量;
将全部运输层协议端口的数量不超过指定端口阈值数量的IP地址对应的网络设备识别为待分析网络设备;
获取所述待分析网络设备的各运输层协议端口对应的服务;
确定安全事件的运输层协议端口与所述待分析网络设备的任一运输层协议端口匹配;
根据所述安全事件获取所述待分析网络设备的匹配运输层协议端口的对应服务存在的风险。
7.根据权利要求6所述的设备,其特征在于,所述处理器执行所述计算机可读存储介质存储的计算机可读指令还执行以下处理:
根据所述安全事件记录的源IP地址、目的IP地址确定所述待分析网络设备的匹配运输层协议端口的风险端口类型。
8.根据权利要求7所述的设备,其特征在于,所述处理器执行所述计算机可读存储介质存储的计算机可读指令,执行根据所述安全事件记录的源IP地址、目的IP地址确定所述待分析网络设备的匹配运输层协议端口的风险端口类型的处理包括:
根据所述安全事件记录的源IP地址和目的IP地址分别是外网IP地址、内网IP地址,确定所述端口风险类型是对互联网暴露的风险运输层协议端口。
9.根据权利要求7所述的设备,其特征在于,所述处理器执行所述计算机可读存储介质存储的计算机可读指令,执行根据所述安全事件记录的源IP地址、目的IP地址确定所述待分析网络设备的匹配运输层协议端口的风险端口类型的处理包括:
根据所述安全事件记录的源IP地址和目的IP地址分别是内网IP地址、外网IP地址,确定所述端口风险类型是对内网暴露的风险运输层协议端口。
10.根据权利要求6所述的设备,其特征在于,所述处理器执行所述计算机可读存储介质存储的计算机可读指令,执行获取所述待分析网络设备的各运输层协议端口对应的服务包括:
为对应Web服务的运输层协议端口获取统一资源定位系统地址和标题;
为对应非Web服务的运输层协议端口获取服务名称和协议。
CN202110342028.3A 2021-03-30 2021-03-30 一种分析网络设备安全的方法及设备 Active CN113206828B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110342028.3A CN113206828B (zh) 2021-03-30 2021-03-30 一种分析网络设备安全的方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110342028.3A CN113206828B (zh) 2021-03-30 2021-03-30 一种分析网络设备安全的方法及设备

Publications (2)

Publication Number Publication Date
CN113206828A CN113206828A (zh) 2021-08-03
CN113206828B true CN113206828B (zh) 2022-05-27

Family

ID=77025845

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110342028.3A Active CN113206828B (zh) 2021-03-30 2021-03-30 一种分析网络设备安全的方法及设备

Country Status (1)

Country Link
CN (1) CN113206828B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115296917B (zh) * 2022-08-09 2023-07-07 山东港口科技集团烟台有限公司 资产暴露面信息获取方法、装置、设备以及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1741472A (zh) * 2005-09-05 2006-03-01 北京启明星辰信息技术有限公司 网络入侵事件风险评估方法及系统
CN101123492A (zh) * 2007-09-06 2008-02-13 杭州华三通信技术有限公司 检测扫描攻击的方法和设备
CN101378395A (zh) * 2008-10-10 2009-03-04 福建星网锐捷网络有限公司 一种防止拒绝访问攻击的方法及装置
CN106301909A (zh) * 2016-08-11 2017-01-04 杭州华三通信技术有限公司 一种端口探测方法和装置
WO2017032287A1 (zh) * 2015-08-21 2017-03-02 中兴通讯股份有限公司 信息获取方法及装置
CN108737344A (zh) * 2017-04-20 2018-11-02 腾讯科技(深圳)有限公司 一种网络攻击防护方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1741472A (zh) * 2005-09-05 2006-03-01 北京启明星辰信息技术有限公司 网络入侵事件风险评估方法及系统
CN101123492A (zh) * 2007-09-06 2008-02-13 杭州华三通信技术有限公司 检测扫描攻击的方法和设备
CN101378395A (zh) * 2008-10-10 2009-03-04 福建星网锐捷网络有限公司 一种防止拒绝访问攻击的方法及装置
WO2017032287A1 (zh) * 2015-08-21 2017-03-02 中兴通讯股份有限公司 信息获取方法及装置
CN106301909A (zh) * 2016-08-11 2017-01-04 杭州华三通信技术有限公司 一种端口探测方法和装置
CN108737344A (zh) * 2017-04-20 2018-11-02 腾讯科技(深圳)有限公司 一种网络攻击防护方法和装置

Also Published As

Publication number Publication date
CN113206828A (zh) 2021-08-03

Similar Documents

Publication Publication Date Title
CN108289088B (zh) 基于业务模型的异常流量检测系统及方法
US10873594B2 (en) Test system and method for identifying security vulnerabilities of a device under test
US8776217B2 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
JP5083760B2 (ja) マルウェアの類似性検査方法及び装置
JP5440973B2 (ja) コンピュータ検査システム、コンピュータ検査方法
US20080141342A1 (en) Anti-Phishing System
US20200304521A1 (en) Bot Characteristic Detection Method and Apparatus
CN110881043B (zh) 一种web服务器漏洞的检测方法及装置
EP3293657B1 (en) Analysis method, analysis device, and analysis program
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN105791323A (zh) 新型未知恶意软件的防御方法和设备
CN113206828B (zh) 一种分析网络设备安全的方法及设备
KR101768079B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
US8775613B2 (en) Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring
Akiyoshi et al. Detecting emerging large-scale vulnerability scanning activities by correlating low-interaction honeypots with darknet
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
CN114726607A (zh) 一种基于交换机监视网络数据的网络安全监测系统
CN111147491B (zh) 一种漏洞修复方法、装置、设备及存储介质
US9049170B2 (en) Building filter through utilization of automated generation of regular expression
KR20100041471A (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
US20230140706A1 (en) Pipelined Malware Infrastructure Identification
US20230140790A1 (en) Malware Victim Identification
CN115883258B (zh) Ip信息处理方法、装置、电子设备和存储介质
KR102573900B1 (ko) 패킷 검사 시간 처리 방법 및 이를 지원하는 보안 지원 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant