CN113839833B - 静默设备的识别方法、装置及计算机设备、存储介质 - Google Patents
静默设备的识别方法、装置及计算机设备、存储介质 Download PDFInfo
- Publication number
- CN113839833B CN113839833B CN202111120870.9A CN202111120870A CN113839833B CN 113839833 B CN113839833 B CN 113839833B CN 202111120870 A CN202111120870 A CN 202111120870A CN 113839833 B CN113839833 B CN 113839833B
- Authority
- CN
- China
- Prior art keywords
- target
- equipment
- target equipment
- silent
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000004590 computer program Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 description 31
- 230000008520 organization Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 6
- 101150030531 POP3 gene Proteins 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000001681 protective effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000005728 strengthening Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0888—Throughput
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本申请提供一种静默设备的识别方法、装置及计算机设备、存储介质,该,其中,静默设备的识别方法包括:获取目标设备的流量数据;将所述目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,所述第一预设业务数据库存储有不属于静默设备的业务类型信息;根据所述比对结果判断所述目标设备是否为静默设备。本申请至少能够发现网络中的静默设备。
Description
技术领域
本申请涉及网络领域,具体而言,涉及一种静默设备的识别方法、装置及计算机设备、存储介质。
背景技术
近年来随着计算机技术的迅猛发展,IT资产正逐步成为企业和组织运行、管理的重要工具和支撑,企业和组织的业务不断壮大的同时,各种业务支持平台、管理系统越来越多,web服务器、存储设备、网络设备、安全设备越来越复杂,带给管理员的资产管理工作也愈发困难,久而久之,日积月累,产生大量的无主资产、僵尸资产,并且这些资产长时间无人维护导致存在大量的漏洞及配置违规,为企业和组织安全带来极大的隐患,更为严重的是管理员无法察觉,不能有效的做好防护措施。
发明内容
本申请实施例的目的在于提供一种静默设备的识别方法、装置及计算机设备、存储介质,至少用以发现网络中的静默设备。
为此,本申请第一方面公开一种静默设备的识别方法,该方法包括以下步骤:
获取目标设备的流量数据;
将所述目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,所述第一预设业务数据库存储有不属于静默设备的业务类型信息;
根据所述比对结果判断所述目标设备是否为静默设备。
本申请能够通过获取目标设备的流量数据,进而将目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,其中,第一预设业务数据库存储有不属于静默设备的业务类型信息;最终,根据比对结果能够判断目标设备是否为静默设备。在上述步骤中,通过判断目标设备的流量数据是否与业务功能相关,进而能够确定目标设备当前是否还参与实现业务应用服务,进而当目标设备不参与实现业务应用服务,可将目标设备作为静默设备筛选出,从而避免这些目标设备配置违规和所造成的安全漏洞,避免为企业和组织安全带来极大的隐患。
相对而言,在现有技术中,企业和组织的业务不断壮大过程,企业的业务变更频繁,且业务系统的设备的数据越来越多、设备之间的联系越来复杂,进而在编辑配置过程中,难以精确配置每一台目标设备,例如,业务系统中的目标设备所完成的业务功能可被编辑人员配置,目标设备A在第一阶段用于完成A1功能,而在第二阶段,目标设备A可被配置为完成A2功能,或者目标设备A被配置为无需参与完成一个业务功能,因此在编辑配置的过程中,随着需求的改变,业务系统中的一台设备会由原先参与完成业务功能变成不参与完成业务功能。这样一来,随着时间的增加,产生了大量的无主资产、僵尸资产,并且这些资产长时间无人维护导致存在大量的漏洞及配置违规的,为企业和组织安全带来极大的隐患,且管理员无法察觉,不能有效的做好防护措施。
在本申请中,作为一种可选的实施方式,所述将所述目标设备的流量数据与第一预设业务数据库进行比对,包括:
根据所述目标设备的流量数据确定所述目标设备的业务类型;
判断所述目标设备的业务类型是否属于所述第一预设业务数据库中的业务类型,若是,则确定所述目标设备不属于静默设备。
在本可选的实施方式中,通过目标设备的流量数据可确定目标设备的业务类型,进而判断目标设备的业务类型是否属于第一预设业务数据库中的业务类型,若是,则确定目标设备不属于静默设备。
在本申请中,作为一种可选的实施方式,在所述判断所述目标设备的业务类型是否属于所述第一预设业务数据库中的业务类型之后,所述确定所述目标设备不属于静默设备之前,所述识别方法还包括:
当所述目标设备的业务类型属于所述第一预设业务数据库中的业务类型时,判断所述目标设备在预设周期内的流量发生次数,若所述目标设备在预设周期内的流量发生次数小于预设阈值,则确定所述目标设备属于静默设备。
在一些场景中,目标设备的业务类型属于第一预设业务数据库中的业务类型,但是该目标设备的流量发生次数较低,例如,目标设备的流量发生次数为每个月一次,此类目标设备也可认为属于静默设备,因此,为了识别此类目标设备,可在判断出目标设备的业务类型属于第一预设业务数据库中的业务类型时,进一步通过目标设备的流量发生次数判断目标设备是否属于静默设备。
在本申请中,作为一种可选的实施方式,所述根据所述比对结果判断所述目标设备是否为静默设备,还包括:
当所述目标设备的业务类型不属于所述第一预设业务数据库中的业务类型时,判断所述目标设备的业务类型是否属于所述第二预设业务数据库中的业务类型,若是则确定所述目标设备为静默设备。
在本申请中,作为一种可选的实施方式,所述获取目标设备的流量数据,包括:
识别所述目标设备是否产生流量数据;
当所述目标设备产生流量数据时,则从所述目标设备所在交换机的镜像口获取所述目标设备在预设周期内所产生的流量数据;
当所述目标设备未产生流量数据,在预设周期向所述目标设备发送请求报文并获取所述目标设备响应所述请求报文而产生流量数据。
在一些场景中,目标设备可以有两种类型,一种目标设备为已连接到网络中,且已开启业务服务功能,即能够用于提供业务服务并产生流量数据,而另一种目标设备为已连接到网络中,但是其未开启业务服务功能而无任何流量产生。针对两种类型的目标设备,本可选的实施方式采用了两种数据采集方式,即当目标设备产生流量数据时,则从目标设备所在交换机的镜像口获取目标设备在预设周期内所产生的流量数据;当目标设备未产生流量数据,在预设周期向目标设备发送请求报文并获取目标设备响应请求报文而产生流量数据,这样一来,能够采集不同的类型目标设备的流量数据。
在本申请中,作为一种可选的实施方式,在所述获取目标设备的流量数据之后,所述识别方法还包括:
计算所述目标设备在所述预设周期内的第一时间节点的流量大小;
计算所述目标设备在所述预设周期内的第二时间节点的流量大小;
根据所述目标设备在所述预设周期内的第一时间节点的流量大小,和目标设备在所述预设周期内的第二时间节点的流量大小判断所述目标设备是否为增量设备,若是,则确定所述目标设备为静默设备。
在一些应用场景中,由于目标设备的流量数据可能是自主产生的,也可能是被动产生的(被动产生流量数据的目标设备为静默设备),为了识别目标设备的是否为自主产生,可先判断目标设备为增量设备,即计算目标设备在预设周期内的第一时间节点的流量大小、计算目标设备在预设周期内的第二时间节点的流量大小、根据目标设备在预设周期内的第一时间节点的流量大小,和目标设备在预设周期内的第二时间节点的流量大小判断目标设备是否为增量设备,其中,如果目标设备为增量设备,则表示目标设备是在采集设备发送报文后才产生流量数据。这样一来,通过判断目标设备是否为增量设备就确定目标设备是否为静默设备。
在本申请中,作为一种可选的实施方式,所述获取目标设备的流量数据,包括:
当所述目标设备的流量数据包括至少两个所述目标设备的流量数据时,根据所述目标设备的IP将属于相同所述目标设备的数量数据关联为一个所述目标设备的流量数据。
在一些场景中,采集设备可能在一时段内,同时采集多台目标设备的数据,为了便于分析,可将IP下的多条流量数据进行关联。
本申请第二方面公开一种计算机设备,所述识别设备包括:
获取模块,用于获取目标设备的流量数据;
比对模块,用于将所述目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,所述第一预设业务数据库存储有不属于静默设备的业务类型信息;
判断模块,用于根据所述比对结果判断所述目标设备是否为静默设备。
本申请的装置能够通过获取目标设备的流量数据,进而将目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,其中,第一预设业务数据库存储有不属于静默设备的业务类型信息;最终,根据比对结果能够判断目标设备是否为静默设备。在上述步骤中,通过判断目标设备的流量数据是否与业务功能相关,进而能够确定目标设备当前是否还参与实现业务应用服务,进而当目标设备不参与实现业务应用服务,可将目标设备作为静默设备筛选出,从而避免这些目标设备配置违规和所造成的安全漏洞,避免为企业和组织安全带来极大的隐患。
本申请第三方面公开一种计算机设备,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行本申请第一方面的静默设备的识别方法。
本申请的设备能够通过获取目标设备的流量数据,进而将目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,其中,第一预设业务数据库存储有不属于静默设备的业务类型信息;最终,根据比对结果能够判断目标设备是否为静默设备。在上述步骤中,通过判断目标设备的流量数据是否与业务功能相关,进而能够确定目标设备当前是否还参与实现业务应用服务,进而当目标设备不参与实现业务应用服务,可将目标设备作为静默设备筛选出,从而避免这些目标设备配置违规和所造成的安全漏洞,避免为企业和组织安全带来极大的隐患。
本申请第四方面公开一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行本申请第一方面的静默设备的识别方法。
本申请的存储介质能够通过获取目标设备的流量数据,进而将目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,其中,第一预设业务数据库存储有不属于静默设备的业务类型信息;最终,根据比对结果能够判断目标设备是否为静默设备。在上述步骤中,通过判断目标设备的流量数据是否与业务功能相关,进而能够确定目标设备当前是否还参与实现业务应用服务,进而当目标设备不参与实现业务应用服务,可将目标设备作为静默设备筛选出,从而避免这些目标设备配置违规和所造成的安全漏洞,避免为企业和组织安全带来极大的隐患。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请公开的一种静默设备的识别方法的流程示意图;
图2是本申请公开的一种静默设备的识别装置的结构示意图;
图3是本申请公开的一种计算机设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请公开的一种静默设备的识别方法的流程示意图。如图1所示,本申请实施例的方法包括以下步骤:
101、获取目标设备的流量数据;
102、根据目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,第一预设业务数据库存储有不属于静默设备的业务类型信息;
103、根据比对结果判断目标设备是否为静默设备。
在本申请实施例中,目标设备可以业务系统中的设备,其中,业务系统用于实现特定业务场景下的业务功能,例如,业务系统可以是由多台分布式设置的服务器组成,其中,该业务系统可以用于实现安全事件的扫描和处理。
需要说明的是,对于业务系统实现何种业务功能,本申请实施例对此不作限定。
在本申请实施例中,业务系统的多台目标设备之间可以通过有线或者无线的方式进行通信,其中,目标设备如果与其他目标设备发生通信,则能够产生流量。
在本申请实施例中,业务系统的目标设备可用于执行一项总业务功能中的一项子业务功能,也可以用于单独执行一项业务功能。
在本申请实施例中,对步骤102的第一预设业务数据库存储了不属于静默设备的业务类型信息,即第一预设业务数据库存储了业务应用服务的业务类型信息,其中,第一预设业务数据库的业务类型信息包括应用服务名称、应用服务端口、端口描述信息。具体地,如表1所示,当一台目标设备的应用服务名称为“Web服务、数据库服务、邮件服务、远程连接服务中的一种时,可确定该目标设备为非静默设备。
在本申请实施例中,目标设备的应用服务名称根据目标设备中的流量数据确定,具体地,如表1所示,当目标设备的流量中携带http、https信息时,可确定目标设备的应用服务名称为Web服务。
在本申请实施例中,可选地,根据目标设备中的流量数据中的两个或两个以上的信息确定目标设备中的应用服务名称,例如,当目标设备的流量中携带http、https信息时,进一步判断目标设备的流量中的应用服务端口是否属于“80端口、443端口”,若均不属于“80端口、443端口”则将目标设备的应用服务名称定义在业务应用服务之外的名称,即目标设备没有执行业务应用服务。
在本申请实施例中,可选地,当根据目标设备中的流量数据中的两个或两个以上的信息确定目标设备中的应用服务名称时,根据两个信息之间的对应关系进一步确定目标设备中的应用服务名称,例如,当目标设备的流量中携带http信息时,判断目标设备的应用服务端口是否为80端口,若目标设备的应用服务端口是443端口,则目标设备的http信息与80端口对应不上,进而也能够将目标设备的应用服务名称定义在业务应用服务之外的名称。
在本申请实施例中,当目标设备的流量中携带Oracle、MySQL、SqlServer信息时,可确定目标设备的应用服务名称为数据库服务。
在本申请实施例中,进一步可选地,根据Oracle、MySQL、SqlServer与端口对应关系进一步确定目标设备的应用服务名称,其中,1521端口对应Oracle,3306端口对应MySQ,1433端口对应SqlServerD,其中,如果是1521端口对应的MySQ等情况,可将目标设备的应用服务名称定义在业务应用服务之外的名称。
在本申请实施例中,当目标设备的流量中携带pop3、Smtp信息时,可确定目标设备的应用服务名称为邮件服务。
在本申请实施例中,可选地,根据pop3、Smtp的端口对应关系进一步确定目标设备的应用服务名称,其中,110端口对应pop3,而25端口对应Smtp,其中,如果目标设备的25端口对应的pop3,可将目标设备的应用服务名称定义在业务应用服务之外的名称。
在本申请实施例中,当目标设备的流量中携带ssh、telnet、rdp、winrm信息时,可确定目标设备的应用服务名称为远程连接服务。
在本申请实施例中,可选地,根据ssh、telnet、rdp、winrm与端口对应关系进一步确定目标设备的应用服务名称,具体地,22端口对应ssh,23端口对应telnet,3389端口对应rdp,5985端口对应winrm,其中,如果ssh、telnet、rdp、winrm的端口对应不正确,例如,22端口对应winrm,可将目标设备的应用服务名称定义在业务应用服务之外的名称。
表1
在本申请实施例中,将目标设备的流量数据与第一预设业务数据库进行比对所得到比对结果可以是目标设备的应用服务名称不属于第一预设业务数据库定义的远程连接服务、邮件服务、数据库服务Web服务中的一种,比对结果也可以是属于程连接服务、邮件服务、数据库服务Web服务中的一种。
本申请能够通过获取目标设备的流量数据,进而将目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,其中,第一预设业务数据库存储有不属于静默设备的业务类型信息;最终,根据比对结果能够判断目标设备是否为静默设备。在上述步骤中,通过判断目标设备的流量数据是否与业务功能相关,进而能够确定目标设备当前是否还参与实现业务应用服务,进而当目标设备不参与实现业务应用服务,可将目标设备作为静默设备筛选出,从而避免这些目标设备配置违规和所造成的安全漏洞,避免为企业和组织安全带来极大的隐患。
相对而言,在现有技术中,企业和组织的业务不断壮大过程,企业的业务变更频繁,且业务系统的设备的数据越来越多、设备之间的联系越来复杂,进而在编辑配置过程中,难以精确配置每一台目标设备,例如,业务系统中的目标设备所完成的业务功能可被编辑人员配置,目标设备A在第一阶段用于完成A1功能,而在第二阶段,目标设备A可被配置为完成A2功能,或者目标设备A被配置为无需参与完成一个业务功能,因此在编辑配置的过程中,随着需求的改变,业务系统中的一台设备会由原先参与完成业务功能变成不参与完成业务功能。这样一来,随着时间的增加,产生了大量的无主资产、僵尸资产,并且这些资产长时间无人维护导致存在大量的漏洞及配置违规的,为企业和组织安全带来极大的隐患,且管理员无法察觉,不能有效的做好防护措施。
下面针对步骤101、102、103进行更加详细的说明。
在本申请实施例,作为一种可选的实施方式,步骤102中的根据目标设备的流量数据与第一预设业务数据库进行比对,包括以下子步骤:
根据目标设备的流量数据确定目标设备的业务类型;
判断目标设备的业务类型是否属于第一预设业务数据库中的业务类型,若是,则确定目标设备不属于静默设备。
在本可选的实施方式中,通过目标设备的流量数据可确定目标设备的业务类型,进而判断目标设备的业务类型是否属于第一预设业务数据库中的业务类型,若是,则确定目标设备不属于静默设备。
在本申请实施例中,作为一种可选的实施方式,在步骤:判断目标设备的业务类型是否属于第一预设业务数据库中的业务类型之后,步骤:确定目标设备不属于静默设备之前,本申请实施例的识别方法还包括以下步骤:
当目标设备的业务类型属于第一预设业务数据库中的业务类型时,判断目标设备在预设周期内的流量发生次数,若目标设备在预设周期内的流量发生次数小于预设阈值,则确定目标设备属于静默设备。
在一些场景中,目标设备的业务类型属于第一预设业务数据库中的业务类型,但是该目标设备的流量发生次数较低,例如,目标设备的流量发生次数为每个月一次,此类目标设备也可认为属于静默设备,因此,为了识别此类目标设备,可在判断出目标设备的业务类型属于第一预设业务数据库中的业务类型时,进一步通过目标设备的流量发生次数判断目标设备是否属于静默设备。
在本申请实施例中,作为一种可选的实施方式,步骤:根据比对结果判断目标设备是否为静默设备,还包括以下子步骤:
当目标设备的业务类型不属于第一预设业务数据库中的业务类型时,判断目标设备的业务类型是否属于第二预设业务数据库中的业务类型,若是则确定目标设备为静默设备。
在本申请实施例中,第二预设业务数据库存储有属于静默设备的业务类型信息,具体地,第二预设业务数据库的业务类型信息为NTP、DNS、AD的一种。
在本申请实施例中,如表2所示,当目标设备的流量数据包括“NTP、DNS、AD”中一种时,可确定目标设备属于静默设备,其中,NTP表征目标设备仅提供时钟同步服务、DNS表征目标设备仅提供域名服务、而AD表征目标设备提供AD域服务(Active Directory WebServices)。
表2
在本申请实施例中,当目标设备的流量数据对应的端口为9389端口、53端口、123端口时,也能够确定目标设备为静默设备。
在本申请实施例中,作为一种可选的实施方式,获取目标设备的流量数据,包括:
识别目标设备是否产生流量数据;
当目标设备产生流量数据时,则从目标设备所在交换机的镜像口获取目标设备在预设周期内所产生的流量数据;
当目标设备未产生流量数据,在预设周期向目标设备发送请求报文并获取目标设备响应请求报文而产生流量数据。
在本可选的实施方式中,目标设备的流量数据可通过流量采集设备采集并存储,当需要使用目标设备的流量数据时,可从流量采集设备获取目标设备的流量数据。
在一些场景中,目标设备可以有两种类型,一种目标设备为已连接到网络中,且已开启业务服务功能,即能够用于提供业务服务并产生流量数据,而另一种目标设备为已连接到网络中,但是其未开启业务服务功能而无任何流量产生。针对两种类型的目标设备,本可选的实施方式采用了两种数据采集方式,即当目标设备产生流量数据时,则从目标设备所在交换机的镜像口获取目标设备在预设周期内所产生的流量数据;当目标设备未产生流量数据,在预设周期向目标设备发送请求报文并获取目标设备响应请求报文而产生流量数据,这样一来,能够采集不同的类型目标设备的流量数据。
在本可选的实施方式中,可选地,针对在采集数据前无法产生流量数据的目标设备,可通过采集设备主动向该目标设备发送报文,使得该目标设备产生针对报文的响应/回包,例如,如向处于网络中的目标设备发送icmp ping、tcp ping、udp ping、arp request报文,使得目标设备接收到发包请求时进行响应从而产生流量数据。
在本申请中,作为一种可选的实施方式,在步骤101:获取目标设备的流量数据,包括以下子步骤:
当目标设备的流量数据包括至少两个目标设备的流量数据时,根据目标设备的IP将属于相同目标设备的数量数据关联为一个目标设备的流量数据。
在一些场景中,采集设备可能在一时段内,同时采集多台目标设备的数据,为了便于分析,可将IP下的多条流量数据进行关联。与此同时,采集设备的采集时间可以一天、一周、一月中的一种。
在本申请实施例中,作为一种可选的实施方式,在步骤101:获取目标设备的流量数据之后,本申请实施例的识别方法还包括以下步骤:
计算目标设备在预设周期内的第一时间节点的流量大小;
计算目标设备在预设周期内的第二时间节点的流量大小;
根据目标设备在预设周期内的第一时间节点的流量大小,和目标设备在预设周期内的第二时间节点的流量大小判断目标设备是否为增量设备,若是,则确定目标设备为静默设备。
在一些应用场景中,由于目标设备的流量数据可能是自主产生的,也可能是被动产生的(被动产生流量数据的目标设备为静默设备),为了识别目标设备的是否为自主产生,可先判断目标设备为增量设备,即计算目标设备在预设周期内的第一时间节点的流量大小、计算目标设备在预设周期内的第二时间节点的流量大小、根据目标设备在预设周期内的第一时间节点的流量大小,和目标设备在预设周期内的第二时间节点的流量大小判断目标设备是否为增量设备,其中,如果目标设备为增量设备,则表示目标设备是在采集设备发送报文后才产生流量数据。这样一来,通过判断目标设备是否为增量设备就确定目标设备是否为静默设备。
实施例二
请参阅图2,图2是本申请实施例公开的一种静默设备的识别装置,该装置包括以下功能模块:
获取模块201,用于获取目标设备的流量数据;
比对模块202,用于根据目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,第一预设业务数据库存储有不属于静默设备的业务类型信息;
判断模块203,用于根据比对结果判断目标设备是否为静默设备。
本申请的装置能够通过获取目标设备的流量数据,进而将目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,其中,第一预设业务数据库存储有不属于静默设备的业务类型信息;最终,根据比对结果能够判断目标设备是否为静默设备。在上述步骤中,通过判断目标设备的流量数据是否与业务功能相关,进而能够确定目标设备当前是否还参与实现业务应用服务,进而当目标设备不参与实现业务应用服务,可将目标设备作为静默设备筛选出,从而避免这些目标设备配置违规和所造成的安全漏洞,避免为企业和组织安全带来极大的隐患。
需要说明的是,关于静默设备的识别装置的其他详细说明,请参阅本申请实施例一,本申请实施例对此不作赘述。
实施例三
请参阅图3,图3是本申请实施例公开的一种计算机设备的结构示意图。如图3所示,本申请实施例的计算机设备,包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器301执行时,执行本申请实施例一的静默设备的识别方法。
本申请实施例公开一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行本申请实施例一的静默设备的识别方法。
本申请的计算机设备能够通过获取目标设备的流量数据,进而将目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,其中,第一预设业务数据库存储有不属于静默设备的业务类型信息;最终,根据比对结果能够判断目标设备是否为静默设备。在上述步骤中,通过判断目标设备的流量数据是否与业务功能相关,进而能够确定目标设备当前是否还参与实现业务应用服务,进而当目标设备不参与实现业务应用服务,可将目标设备作为静默设备筛选出,从而避免这些目标设备配置违规和所造成的安全漏洞,避免为企业和组织安全带来极大的隐患。
实施例四
本申请实施例公开一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行本申请实施例一的静默设备的识别方法。
本申请的存储介质能够通过获取目标设备的流量数据,进而将目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,其中,第一预设业务数据库存储有不属于静默设备的业务类型信息;最终,根据比对结果能够判断目标设备是否为静默设备。在上述步骤中,通过判断目标设备的流量数据是否与业务功能相关,进而能够确定目标设备当前是否还参与实现业务应用服务,进而当目标设备不参与实现业务应用服务,可将目标设备作为静默设备筛选出,从而避免这些目标设备配置违规和所造成的安全漏洞,避免为企业和组织安全带来极大的隐患。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (6)
1.一种静默设备的识别方法,其特征在于,所述识别方法包括:
获取目标设备的流量数据;
将所述目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,所述第一预设业务数据库存储有不属于静默设备的业务类型信息;
根据所述比对结果判断所述目标设备是否为静默设备;
以及,所述将所述目标设备的流量数据与第一预设业务数据库进行比对,包括:
根据所述目标设备的流量数据确定所述目标设备的业务类型;
判断所述目标设备的业务类型是否属于所述第一预设业务数据库中的业务类型,若是,则确定所述目标设备不属于静默设备;
以及,在所述判断所述目标设备的业务类型是否属于所述第一预设业务数据库中的业务类型之后,所述确定所述目标设备不属于静默设备之前,所述识别方法还包括:
当所述目标设备的业务类型属于所述第一预设业务数据库中的业务类型时,判断所述目标设备在预设周期内的流量发生次数,若所述目标设备在预设周期内的流量发生次数小于预设阈值,则确定所述目标设备属于静默设备;
以及,所述根据所述比对结果判断所述目标设备是否为静默设备,还包括:
当所述目标设备的业务类型不属于所述第一预设业务数据库中的业务类型时,判断所述目标设备的业务类型是否属于第二预设业务数据库中的业务类型,若是则确定所述目标设备为静默设备;
以及,在所述获取目标设备的流量数据之后,所述识别方法还包括:
计算所述目标设备在所述预设周期内的第一时间节点的流量大小;
计算所述目标设备在所述预设周期内的第二时间节点的流量大小;
根据所述目标设备在所述预设周期内的第一时间节点的流量大小,和所述目标设备在所述预设周期内的第二时间节点的流量大小判断所述目标设备是否为增量设备,若是,则确定所述目标设备为静默设备。
2.如权利要求1所述的识别方法,其特征在于,所述获取目标设备的流量数据,包括:
识别所述目标设备是否产生流量数据;
当所述目标设备产生流量数据时,则从所述目标设备所在交换机的镜像口获取所述目标设备在预设周期内所产生的流量数据;
当所述目标设备未产生流量数据,在预设周期向所述目标设备发送请求报文并获取所述目标设备响应所述请求报文而产生流量数据。
3.如权利要求1所述的识别方法,其特征在于,所述获取目标设备的流量数据,包括:
当所述目标设备的流量数据包括至少两个所述目标设备的流量数据时,根据所述目标设备的IP将属于相同所述目标设备的数量数据关联为一个所述目标设备的流量数据。
4.一种计算机设备,其特征在于,所述设备包括:
获取模块,用于获取目标设备的流量数据;
比对模块,用于将所述目标设备的流量数据与第一预设业务数据库进行比对,并得到比对结果,所述第一预设业务数据库存储有不属于静默设备的业务类型信息;
判断模块,用于根据所述比对结果判断所述目标设备是否为静默设备;
以及,所述将所述目标设备的流量数据与第一预设业务数据库进行比对,包括:
根据所述目标设备的流量数据确定所述目标设备的业务类型;
判断所述目标设备的业务类型是否属于所述第一预设业务数据库中的业务类型,若是,则确定所述目标设备不属于静默设备;
以及,在所述判断所述目标设备的业务类型是否属于所述第一预设业务数据库中的业务类型之后,所述确定所述目标设备不属于静默设备之前,所述装置还用于:
当所述目标设备的业务类型属于所述第一预设业务数据库中的业务类型时,判断所述目标设备在预设周期内的流量发生次数,若所述目标设备在预设周期内的流量发生次数小于预设阈值,则确定所述目标设备属于静默设备;
以及,所述根据所述比对结果判断所述目标设备是否为静默设备,还包括:
当所述目标设备的业务类型不属于所述第一预设业务数据库中的业务类型时,判断所述目标设备的业务类型是否属于第二预设业务数据库中的业务类型,若是则确定所述目标设备为静默设备;
以及,所述设备还用于在所述获取目标设备的流量数据之后:
计算所述目标设备在所述预设周期内的第一时间节点的流量大小;
计算所述目标设备在所述预设周期内的第二时间节点的流量大小;
根据所述目标设备在所述预设周期内的第一时间节点的流量大小,和所述目标设备在所述预设周期内的第二时间节点的流量大小判断所述目标设备是否为增量设备,若是,则确定所述目标设备为静默设备。
5.一种计算机设备,其特征在于,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-3任一项所述的静默设备的识别方法。
6.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-3任一项所述的静默设备的识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111120870.9A CN113839833B (zh) | 2021-09-24 | 2021-09-24 | 静默设备的识别方法、装置及计算机设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111120870.9A CN113839833B (zh) | 2021-09-24 | 2021-09-24 | 静默设备的识别方法、装置及计算机设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113839833A CN113839833A (zh) | 2021-12-24 |
| CN113839833B true CN113839833B (zh) | 2023-12-05 |
Family
ID=78969728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111120870.9A Active CN113839833B (zh) | 2021-09-24 | 2021-09-24 | 静默设备的识别方法、装置及计算机设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113839833B (zh) |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108769064A (zh) * | 2018-06-26 | 2018-11-06 | 广东电网有限责任公司信息中心 | 实现漏洞治理的分布式资产识别及变更感知方法与系统 |
| CN109525427A (zh) * | 2018-11-12 | 2019-03-26 | 广东省信息安全测评中心 | 分布式资产信息探测方法与系统 |
| CN109548148A (zh) * | 2017-09-21 | 2019-03-29 | 中国电信股份有限公司 | 基站资源调配方法、支持和不支持eMTC的基站及组网系统 |
| CN109598624A (zh) * | 2018-10-16 | 2019-04-09 | 平安科技(深圳)有限公司 | 资产处理方法、装置、计算机设备及存储介质 |
| CN109698814A (zh) * | 2017-10-23 | 2019-04-30 | 中国电信股份有限公司 | 僵尸网络发现方法及僵尸网络发现装置 |
| CN109951347A (zh) * | 2017-12-21 | 2019-06-28 | 华为技术有限公司 | 业务识别方法、装置及网络设备 |
| CN110213212A (zh) * | 2018-05-24 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种设备的分类方法和装置 |
| CN110233848A (zh) * | 2019-06-18 | 2019-09-13 | 浙江齐治科技股份有限公司 | 一种资产态势分析方法及装置 |
| CN110266531A (zh) * | 2019-06-17 | 2019-09-20 | 深圳市中航比特通讯技术有限公司 | 通信网络中使用静默链路的网络隔离故障恢复系统 |
| CN111104579A (zh) * | 2019-12-31 | 2020-05-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种公网资产的识别方法、装置及存储介质 |
| CN111832017A (zh) * | 2020-07-17 | 2020-10-27 | 中国移动通信集团广西有限公司 | 一种面向云的数据库安全态势感知系统 |
| CN112152826A (zh) * | 2019-06-27 | 2020-12-29 | 北京数安鑫云信息技术有限公司 | 一种资产管理的方法、装置、系统及介质 |
| CN112242957A (zh) * | 2020-10-15 | 2021-01-19 | 福建奇点时空数字科技有限公司 | 一种基于流量分析的网络资产自动化识别与监测系统 |
| CN112365281A (zh) * | 2020-10-28 | 2021-02-12 | 国网冀北电力有限公司计量中心 | 电力客户服务需求分析方法及装置 |
| CN112398782A (zh) * | 2019-08-15 | 2021-02-23 | 北京国双科技有限公司 | 网络资产的识别方法、装置、介质及设备 |
| CN113342512A (zh) * | 2021-08-09 | 2021-09-03 | 苏州浪潮智能科技有限公司 | 一种io任务静默与驱动方法、装置及相关设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110383274B (zh) * | 2018-09-27 | 2023-10-27 | 西门子股份公司 | 识别设备的方法、装置、系统、存储介质、处理器和终端 |
-
2021
- 2021-09-24 CN CN202111120870.9A patent/CN113839833B/zh active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109548148A (zh) * | 2017-09-21 | 2019-03-29 | 中国电信股份有限公司 | 基站资源调配方法、支持和不支持eMTC的基站及组网系统 |
| CN109698814A (zh) * | 2017-10-23 | 2019-04-30 | 中国电信股份有限公司 | 僵尸网络发现方法及僵尸网络发现装置 |
| CN109951347A (zh) * | 2017-12-21 | 2019-06-28 | 华为技术有限公司 | 业务识别方法、装置及网络设备 |
| CN110213212A (zh) * | 2018-05-24 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种设备的分类方法和装置 |
| CN108769064A (zh) * | 2018-06-26 | 2018-11-06 | 广东电网有限责任公司信息中心 | 实现漏洞治理的分布式资产识别及变更感知方法与系统 |
| CN109598624A (zh) * | 2018-10-16 | 2019-04-09 | 平安科技(深圳)有限公司 | 资产处理方法、装置、计算机设备及存储介质 |
| CN109525427A (zh) * | 2018-11-12 | 2019-03-26 | 广东省信息安全测评中心 | 分布式资产信息探测方法与系统 |
| CN110266531A (zh) * | 2019-06-17 | 2019-09-20 | 深圳市中航比特通讯技术有限公司 | 通信网络中使用静默链路的网络隔离故障恢复系统 |
| CN110233848A (zh) * | 2019-06-18 | 2019-09-13 | 浙江齐治科技股份有限公司 | 一种资产态势分析方法及装置 |
| CN112152826A (zh) * | 2019-06-27 | 2020-12-29 | 北京数安鑫云信息技术有限公司 | 一种资产管理的方法、装置、系统及介质 |
| CN112398782A (zh) * | 2019-08-15 | 2021-02-23 | 北京国双科技有限公司 | 网络资产的识别方法、装置、介质及设备 |
| CN111104579A (zh) * | 2019-12-31 | 2020-05-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种公网资产的识别方法、装置及存储介质 |
| CN111832017A (zh) * | 2020-07-17 | 2020-10-27 | 中国移动通信集团广西有限公司 | 一种面向云的数据库安全态势感知系统 |
| CN112242957A (zh) * | 2020-10-15 | 2021-01-19 | 福建奇点时空数字科技有限公司 | 一种基于流量分析的网络资产自动化识别与监测系统 |
| CN112365281A (zh) * | 2020-10-28 | 2021-02-12 | 国网冀北电力有限公司计量中心 | 电力客户服务需求分析方法及装置 |
| CN113342512A (zh) * | 2021-08-09 | 2021-09-03 | 苏州浪潮智能科技有限公司 | 一种io任务静默与驱动方法、装置及相关设备 |
Non-Patent Citations (1)
| Title |
|---|
| 李憧.《基于流量感知的动态网络资产监测研究》.《信息安全研究》.2020,第1节-第3节. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113839833A (zh) | 2021-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6747957B1 (en) | Network availability monitor | |
| US7133916B2 (en) | Asset tracker for identifying user of current internet protocol addresses within an organization's communications network | |
| CN1937589B (zh) | 路由配置验证的装置和方法 | |
| CN111756598A (zh) | 一种基于主动探测与流量分析结合的资产发现方法 | |
| EP1999890B1 (en) | Automated network congestion and trouble locator and corrector | |
| EP2056559B1 (en) | Method and system for network simulation | |
| CN103430483B (zh) | 用于确定通信系统中的关联事件的技术 | |
| US20160191549A1 (en) | Rich metadata-based network security monitoring and analysis | |
| CN109995582B (zh) | 基于实时状态的资产设备管理系统及方法 | |
| US20080229421A1 (en) | Adaptive data collection for root-cause analysis and intrusion detection | |
| RU2634209C1 (ru) | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью | |
| CN109962927B (zh) | 基于威胁情报的防攻击方法 | |
| CN114584401A (zh) | 一种面向大规模网络攻击的追踪溯源系统及方法 | |
| CN112463772B (zh) | 日志处理方法、装置、日志服务器及存储介质 | |
| CN114143225A (zh) | 基于网络探测技术的动态监测异常活跃地址的方法及装置 | |
| CN113839833B (zh) | 静默设备的识别方法、装置及计算机设备、存储介质 | |
| CN116719868A (zh) | 网络资产的识别方法、装置及设备 | |
| CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
| CN114567501B (zh) | 基于标签评分的资产自动识别方法、系统及设备 | |
| CN112702361B (zh) | 基于轻量级分布式协同设备安全阻断方法、装置及设备 | |
| US20060288102A1 (en) | Method and system for improved management of a communication network by extending the Simple Network Management Protocol | |
| CN113852984A (zh) | 一种无线终端接入监控系统、方法、电子设备及可读存储装置 | |
| CN113395179B (zh) | 提高ip网络中bgp对等体抖动告警信息可读性的方法 | |
| CN116708253B (zh) | 设备识别方法、装置、设备及介质 | |
| WO2024057531A1 (en) | System, method, and medium for proactive monitoring of a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |