CN113255089A - 基于网络流量特征智能梳理资产的方法、计算机程序及存储介质 - Google Patents

基于网络流量特征智能梳理资产的方法、计算机程序及存储介质 Download PDF

Info

Publication number
CN113255089A
CN113255089A CN202110695849.5A CN202110695849A CN113255089A CN 113255089 A CN113255089 A CN 113255089A CN 202110695849 A CN202110695849 A CN 202110695849A CN 113255089 A CN113255089 A CN 113255089A
Authority
CN
China
Prior art keywords
network
asset
intelligently
combing
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110695849.5A
Other languages
English (en)
Inventor
李航
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Kelai Network Technology Co Ltd
Original Assignee
Chengdu Kelai Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Kelai Network Technology Co Ltd filed Critical Chengdu Kelai Network Technology Co Ltd
Priority to CN202110695849.5A priority Critical patent/CN113255089A/zh
Publication of CN113255089A publication Critical patent/CN113255089A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/10Geometric CAD
    • G06F30/18Network design, e.g. design based on topological or interconnect aspects of utility systems, piping, heating ventilation air conditioning [HVAC] or cabling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2111/00Details relating to CAD techniques
    • G06F2111/08Probabilistic or stochastic CAD

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Geometry (AREA)
  • Strategic Management (AREA)
  • Economics (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Mathematical Analysis (AREA)
  • Game Theory and Decision Science (AREA)
  • Computational Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种基于网络流量特征智能梳理资产的方法,基于被动流量识别,持续对流量进行分析并对所有产生流量有活跃网络行为的活跃主机打上画像标签;通过活跃主机的画像标签,根据资产类型的特性进行可行性概率计算,完成该主机资产类型的鉴别。本发明的方案性能消耗低,带宽负荷小;采用网路旁路检测,不影响主干网络正常工作环境;通过网络特征、网络行为、通讯模式、频率等多种方式组合,根据相似度得分概率鉴别资产类型,准确率高,误判率低;其标签数据丰富度越高,资产类型鉴别越精准。

Description

基于网络流量特征智能梳理资产的方法、计算机程序及存储 介质
技术领域
本发明涉及网络资产识别梳理领域,特别涉及一种基于网络流量特征智能梳理资产的方法、计算机程序及存储介质。
背景技术
在安全分析领域资产安全分析是重要的分析方向,所以梳理出当前网络中的资产是首要必须条件,大部分情况下一般为手动录入资产信息、主动扫描探测和被动流量识别。
手动录入是指在系统中通过填写表单录入资产IP、mac、资产名称、资产类型等信息,或者通过Excel、Csv等格式文件进行文件导入资产IP、mac、资产名称、资产类型等信息;
主动探测是指主要通过zmap、zgrab2、nmap等技术发送ping包、telnet包进行端口服务扫描,三次握手甚至第一次握手成功就算探测有效,通常采用大规模集群分布式扫描探测;
被动流量识别是指通过网络抓包采集协议和应用识别根据端口服务识别资产类型,如根据8080,8443,Apache Tomcat常用web端口,识别为web服务器。
但当下这几种手段有其局限性:
一、手动录入资产信息虽然准确,但是很多情况下网络管理人员并没有将资产信息维护准确,如资产信息量过大、资产信息频繁变更没有有效更新等;
二、主动探测会造成主干网络负荷增大且异常波动,影响正常工作,且主动探测梳理资产只是针对资产部分网络特性如端口等,准确性较低,且只能探测瞬时状态,如主动探测时该服务器已关闭网络服务,此情况下不会被探测成功,且探测数据准确性不高;
三、目前采取被动流量识别的方案不多,仅有少数也只是简单地通过服务banner、端口开放信息、内容特征、指纹信息等进行判定,此方式过于简单粗暴,某些资产主机不仅仅是单一网络行为且端口也会进行调整改变,直接判定资产类型容易产生误判。
发明内容
针对现有技术中存在的问题,提供了一种基于网络流量特征智能梳理资产的方法、计算机程序、存储介质,能够实现经过长期持久检测,所有产生流量有活跃网络行为的资产都会被发现,相比较主动探测更加透明,不会影响网络正常工作,而且施行方案成本低,不用大规模部署服务器进行探测。
本发明采用的技术方案如下:基于网络流量特征智能梳理资产的方法,基于被动流量识别,持续对流量进行分析并对所有产生流量有活跃网络行为的活跃主机打上画像标签;通过活跃主机的画像标签,根据资产类型的特性进行可行性概率计算,完成该主机资产类型的鉴别。
进一步的,通过网络端口旁路进行镜像流量分析。
进一步的,所述画像标签包括主机MAC厂商、IP特性、数据包分布、传输模式、报文类别、负载特性、操作系统、软件及版本、数据方向、会话协议、端口访问、通信频率、通讯模式其中一种或几种。
进一步的,所述可行性概率计算过程为:将资产画像标签分为主要标签和附加标签,每个标签有对应资产梳理得分,通过多个标签得分相加得到可行性概率。
本发明还提供了一种计算程序,其包括有计算机程序指令,其中,所述程序指令被处理器执行时用于实现上述的基于网络流量特征智能梳理资产的方法对应的过程。
本发明还提供了一种存储介质,其上存储有计算机程序指令,其中,所述程序指令被处理器执行时用于实现上述的基于网络流量特征智能梳理资产的方法对应的过程。
与现有技术相比,采用上述技术方案的有益效果为:
1、性能消耗低,带宽负荷小;
2、网路旁路检测,不影响主干网络正常工作环境;
3、不是通过单一内容特征如banner等,而是通过网络特征、网络行为、通讯模式、频率等多种方式组合,根据相似度得分概率鉴别资产类型,准确率高,误判率低;其标签数据丰富度越高,资产类型鉴别越精准。
附图说明
图1是本发明提出的基于网络流量特征智能梳理资产方法流程图。
图2是本发明一实施例中进行可行性概率计算资产类型示意图。
具体实施方式
下面结合附图对本发明做进一步描述。
实施例1
如图1所示,本发明提出了一种基于网络流量特征智能梳理资产的方法,基于被动流量识别,持续对流量进行分析并对所有产生流量有活跃网络行为的活跃主机打上画像标签;通过活跃主机的画像标签,根据资产类型的特性进行可行性概率计算,完成该主机资产类型的鉴别。
如图2所示为一种PLC设备判断过程示意图;
首先,根据网络主机处于的风电安全I区环境,MAC所属厂商为风电专用厂商;
其次,基于网络行为标签ModBus服务器此核心网络行为标签;
再次,再加上此网络主机IP规则分布、规模化、通讯频率高、IP相对固定等其他网络画像标签进行附加得分;
最后计算可行性概率,推测此网络主机98%的概率为PLC设备(资产类型),且通过长期持久的检测,根据此网络主机更多的网络行为不断地丰富此网络标签,最后智能鉴别其资产类型。
采用本发明提出的方式进行资产判断,随着检测时间越来越长,持续通过该主机网络画像标签的生成,该网络主机触发的网络行为不断地被捕捉并打上网络标签,其鉴别资产的准确度还会逐渐提升,最终形成资产类型的算法模型,此模型会持续根据标签的丰富程度逐渐学习并提高精确度。
实施例2
在实施例1的基础上,通过网络端口旁路进行镜像流量分析。
实施例3
在实施例2的基础上,所述画像标签包括主机MAC厂商、IP特性、数据包分布、传输模式、报文类别、负载特性、操作系统、软件及版本、数据方向、会话协议、端口访问、通信频率、通讯模式其中一种或几种。
实施例4
在实施例3的基础上,所述可行性概率计算为:将资产画像标签分为主要标签和附加标签,每个标签有对应资产梳理得分,通过多个标签得分相加得到可行性概率;如图2所示:一个主要标签Modbus服务器(60分)加上IP固定、通信频率等多个附加标签(38分)计算得到的98分,即该资产类型为PLC设备的概率为98%。
实施例5
在实施例4的基础上,本实施例提供了一种计算程序,其包括有计算机程序指令,其中,所述程序指令被处理器执行时用于实现上述的基于网络流量特征智能梳理资产的方法对应的过程。
实施例6
在实施例4的基础上,本实施例提供了一种存储介质,其上存储有计算机程序指令,其中,所述程序指令被处理器执行时用于实现上述的基于网络流量特征智能梳理资产的方法对应的过程。
本发明通过主机流量识别不断打上的多种如网络特征、网络行为、通讯模式、频率等画像标签智能推荐鉴别某主机为某种资产类型,能够根据标签的丰富程度逐渐学习并提高判断精确度。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。如果本领域技术人员,在不脱离本发明的精神所做的非实质性改变或改进,都应该属于本发明权利要求保护的范围。
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。

Claims (6)

1.基于网络流量特征智能梳理资产的方法,其特征在于,基于被动流量识别,持续对流量进行分析并对所有产生流量有活跃网络行为的活跃主机打上画像标签;通过活跃主机的画像标签,根据资产类型的特性进行可行性概率计算,完成该主机资产类型的鉴别。
2.根据权利要求1所述的基于网络流量特征智能梳理资产的方法,其特征在于,通过网络端口旁路进行镜像流量分析。
3.根据权利要求1所述的基于网络流量特征智能梳理资产的方法,其特征在于,所述画像标签包括主机MAC厂商、IP特性、数据包分布、传输模式、报文类别、负载特性、操作系统、软件及版本、数据方向、会话协议、端口访问、通信频率、通讯模式其中一种或几种。
4.根据权利要求1所述的基于网络流量特征智能梳理资产的方法,其特征在于,所述可行性概率计算过程为:将资产画像标签分为主要标签和附加标签,每个标签设有对应资产梳理得分,通过多个标签得分相加得到可行性概率。
5.一种计算程序,其包括有计算机程序指令,其中,所述程序指令被处理器执行时用于实现权利要求1-4中任一项所述的基于网络流量特征智能梳理资产的方法对应的过程。
6.一种存储介质,其上存储有计算机程序指令,其中,所述程序指令被处理器执行时用于实现权利要求1-4中任一项所述的基于网络流量特征智能梳理资产的方法对应的过程。
CN202110695849.5A 2021-06-23 2021-06-23 基于网络流量特征智能梳理资产的方法、计算机程序及存储介质 Pending CN113255089A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110695849.5A CN113255089A (zh) 2021-06-23 2021-06-23 基于网络流量特征智能梳理资产的方法、计算机程序及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110695849.5A CN113255089A (zh) 2021-06-23 2021-06-23 基于网络流量特征智能梳理资产的方法、计算机程序及存储介质

Publications (1)

Publication Number Publication Date
CN113255089A true CN113255089A (zh) 2021-08-13

Family

ID=77189363

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110695849.5A Pending CN113255089A (zh) 2021-06-23 2021-06-23 基于网络流量特征智能梳理资产的方法、计算机程序及存储介质

Country Status (1)

Country Link
CN (1) CN113255089A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113949582A (zh) * 2021-10-25 2022-01-18 绿盟科技集团股份有限公司 一种网络资产的识别方法、装置、电子设备及存储介质
CN114567501A (zh) * 2022-03-04 2022-05-31 科来网络技术股份有限公司 基于标签评分的资产自动识别方法、系统及设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110113345A (zh) * 2019-05-13 2019-08-09 四川长虹电器股份有限公司 一种基于物联网流量的资产自动发现的方法
CN112685510A (zh) * 2020-12-29 2021-04-20 成都科来网络技术有限公司 一种基于全流量标签的资产标签方法、计算机程序及存储介质
CN112929216A (zh) * 2021-02-05 2021-06-08 深信服科技股份有限公司 一种资产管理方法、装置、设备及可读存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110113345A (zh) * 2019-05-13 2019-08-09 四川长虹电器股份有限公司 一种基于物联网流量的资产自动发现的方法
CN112685510A (zh) * 2020-12-29 2021-04-20 成都科来网络技术有限公司 一种基于全流量标签的资产标签方法、计算机程序及存储介质
CN112929216A (zh) * 2021-02-05 2021-06-08 深信服科技股份有限公司 一种资产管理方法、装置、设备及可读存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
赵宏田: "《用户画像》", 31 May 2020, 北京:机械工业出版社, pages: 115 - 116 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113949582A (zh) * 2021-10-25 2022-01-18 绿盟科技集团股份有限公司 一种网络资产的识别方法、装置、电子设备及存储介质
CN113949582B (zh) * 2021-10-25 2023-05-30 绿盟科技集团股份有限公司 一种网络资产的识别方法、装置、电子设备及存储介质
CN114567501A (zh) * 2022-03-04 2022-05-31 科来网络技术股份有限公司 基于标签评分的资产自动识别方法、系统及设备
CN114567501B (zh) * 2022-03-04 2023-10-31 科来网络技术股份有限公司 基于标签评分的资产自动识别方法、系统及设备

Similar Documents

Publication Publication Date Title
Feng et al. Feature selection for machine learning-based early detection of distributed cyber attacks
CN113255089A (zh) 基于网络流量特征智能梳理资产的方法、计算机程序及存储介质
US20230086187A1 (en) Detection of anomalies associated with fraudulent access to a service platform
WO2012107557A1 (en) Method and system for improving security threats detection in communication networks
CN113378899B (zh) 非正常账号识别方法、装置、设备和存储介质
CN110825545A (zh) 一种云服务平台异常检测方法与系统
CN115378619A (zh) 敏感数据访问方法及电子设备、计算机可读存储介质
CN113704772A (zh) 基于用户行为大数据挖掘的安全防护处理方法及系统
CN113965497B (zh) 服务器异常识别方法、装置、计算机设备及可读存储介质
CN117040943B (zh) 基于IPv6地址驱动的云网络内生安全防御方法和装置
CN113343228B (zh) 事件可信度分析方法、装置、电子设备及可读存储介质
CN113595812B (zh) 一种客户端识别方法、装置、存储介质及网络设备
CN117312098B (zh) 一种日志异常告警方法及装置
CN113904910A (zh) 一种基于运维系统的智能资产发现方法及装置
CN118041648A (zh) 一种基于自适应探测的工控漏洞扫描方法及其系统
Hammerschmidt et al. Behavioral clustering of non-stationary IP flow record data
CN117633666A (zh) 网络资产识别方法、装置、电子设备和存储介质
CN113765850B (zh) 物联网异常检测方法、装置、计算设备及计算机存储介质
CN112436969A (zh) 一种物联网设备管理方法、系统、设备及介质
CN110781950B (zh) 一种报文处理方法及装置
CN112217826A (zh) 一种基于流量感知的网络资产关联分析和动态监管方法
CN116405261A (zh) 基于深度学习的恶意流量检测方法、系统及存储介质
CN113360899B (zh) 一种机器行为的识别方法及系统
EP3826242A1 (en) Cyber attack information analyzing program, cyber attack information analyzing method, and information processing device
CN112685510B (zh) 一种基于全流量标签的资产标签方法、计算机程序及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 610041 12th, 13th and 14th floors, unit 1, building 4, No. 966, north section of Tianfu Avenue, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan

Applicant after: Kelai Network Technology Co.,Ltd.

Address before: 41401-41406, 14th floor, unit 1, building 4, No. 966, north section of Tianfu Avenue, Chengdu hi tech Zone, Chengdu Free Trade Zone, Sichuan 610041

Applicant before: Chengdu Kelai Network Technology Co.,Ltd.