CN113949748A - 一种网络资产识别方法、装置、存储介质及电子设备 - Google Patents
一种网络资产识别方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN113949748A CN113949748A CN202111202300.4A CN202111202300A CN113949748A CN 113949748 A CN113949748 A CN 113949748A CN 202111202300 A CN202111202300 A CN 202111202300A CN 113949748 A CN113949748 A CN 113949748A
- Authority
- CN
- China
- Prior art keywords
- communication protocol
- suspected
- source port
- network
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000004891 communication Methods 0.000 claims abstract description 58
- 238000007781 pre-processing Methods 0.000 claims description 20
- 238000012216 screening Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 abstract description 14
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提出一种网络资产识别方法、装置、存储介质及电子设备,对流量数据包进行解析,以获取报文数据、源IP、源端口以及通信协议,流量数据包为网络设备外发的数据包;依据源端口、通信协议以及报文数据,确定目标指纹规则,其中,目标指纹规则为包含源端口、通信协议以及报文数据的匹配特征的指纹规则;将目标属性数据、源IP、源端口以及通信协议组合生成网络设备对应的网络资产,其中,目标属性数据为与目标指纹规则对应的属性数据。通过网络设备外发的流量数据包可以直接确定网络设备对应的网络资产,不需要进行主动探测,避免了因为网络设备的安全保护设置导致获取到错误的网络资产,从而提升了网络资产识别的准确度。
Description
技术领域
本申请涉及互联网领域,具体而言,涉及一种网络资产识别方法、装置、存储介质及电子设备。
背景技术
随着网络科技的发展,越来越多的设备可以通过网络进行交互。当网络中的设备数量急剧爆发后,需要对网络中的设备进行管理监测。而管理监测中的一个十分重要环境就是网络资产(泛指各类网络环境中的IP、域名等可访问目标)的识别。
目前广泛使用的资产发现、识别技术为主动探测手段,但主动探测存在因目标的一些防护措施导致资产识别不全、不准确的情况。如何准确识别网络资产,成为当下亟待解决的难题。
发明内容
本申请的目的在于提供一种网络资产识别方法、装置、存储介质及电子设备,以至少部分改善上述问题。
为了实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请实施例提供一种网络资产识别方法,所述方法包括:
对流量数据包进行解析,以获取报文数据、源IP、源端口以及通信协议,其中,所述流量数据包为网络设备外发的数据包;
依据所述源端口、所述通信协议以及所述报文数据,确定目标指纹规则,其中,所述目标指纹规则为包含所述源端口、所述通信协议以及所述报文数据的匹配特征的指纹规则;
将目标属性数据、所述源IP、所述源端口以及所述通信协议组合生成所述网络设备对应的网络资产,其中,所述目标属性数据为与所述目标指纹规则对应的属性数据。
在一种可能的实现方式中,所述依据所述源端口、所述通信协议以及所述报文数据,确定目标指纹规则的步骤,包括:
依据所述源端口和所述通信协议从对照表中筛选出疑似服务,其中,所述对照表包括疑似服务与所述源端口、所述通信协议的对应关系;
依据所述疑似服务从指纹库筛选出对应的疑似指纹规则;
将与所述报文数据匹配的疑似指纹规则,确定为所述目标指纹规则。
在一种可能的实现方式中,所述将与所述报文数据匹配的疑似指纹规则,确定为所述目标指纹规则的步骤,包括:
依次判断疑似指纹规则是否与所述报文数据匹配;
若是,则确定为所述目标指纹规则;
若否,重复判断下一条疑似指纹规则是否与所述报文数据匹配。
在一种可能的实现方式中,在对流量数据包进行解析之前,所述方法还包括:
接收路由交换设备传输的流量数据包。
第二方面,本申请实施例提供一种网络资产识别装置,所述装置包括:
预处理单元,用于对流量数据包进行解析,以获取报文数据、源IP、源端口以及通信协议,其中,所述流量数据包为网络设备外发的数据包;还用于依据所述源端口、所述通信协议以及所述报文数据,确定目标指纹规则,其中,所述目标指纹规则为包含所述源端口、所述通信协议以及所述报文数据的匹配特征的指纹规则;
组合单元,用于将目标属性数据、所述源IP、所述源端口以及所述通信协议组合生成所述网络设备对应的网络资产,其中,所述目标属性数据为与所述目标指纹规则对应的属性数据。
在一种可能的实现方式中,所述预处理单元还用于依据所述源端口和所述通信协议从对照表中筛选出疑似服务,其中,所述对照表包括疑似服务与所述源端口、所述通信协议的对应关系;依据所述疑似服务从指纹库筛选出对应的疑似指纹规则;将与所述报文数据匹配的疑似指纹规则,确定为所述目标指纹规则。
在一种可能的实现方式中,所述预处理单元还用于依次判断疑似指纹规则是否与所述报文数据匹配;若是,则确定为所述目标指纹规则;若否,重复判断下一条疑似指纹规则是否与所述报文数据匹配。
在一种可能的实现方式中,所述预处理单元还用于接收路由交换设备传输的流量数据包。
第三方面,本申请实施例提供一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述的方法。
第四方面,本申请实施例提供一种电子设备,所述电子设备包括:处理器和存储器,所述存储器用于存储一个或多个程序;当所述一个或多个程序被所述处理器执行时,实现上述的方法。
相对于现有技术,本申请实施例所提供的一种网络资产识别方法、装置、存储介质及电子设备,对流量数据包进行解析,以获取报文数据、源IP、源端口以及通信协议,流量数据包为网络设备外发的数据包;依据源端口、通信协议以及报文数据,确定目标指纹规则,其中,目标指纹规则为包含源端口、通信协议以及报文数据的匹配特征的指纹规则;将目标属性数据、源IP、源端口以及通信协议组合生成网络设备对应的网络资产,其中,目标属性数据为与目标指纹规则对应的属性数据。通过网络设备外发的流量数据包可以直接确定网络设备对应的网络资产,不需要进行主动探测,避免了因为网络设备的安全保护设置导致获取到错误的网络资产,从而提升了网络资产识别的准确度。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它相关的附图。
图1为本申请实施例提供的电子设备的结构示意图;
图2为本申请实施例提供的网络资产识别方法的流程示意图;
图3为本申请实施例提供的S103的子步骤示意图;
图4为本申请实施例提供的S103-3的子步骤示意图;
图5为本申请实施例提供的网络资产识别方法的流程示意图之一;
图6为本申请实施例提供的网络资产识别装置的单元示意图。
图中:10-处理器;11-存储器;12-总线;13-通信接口;201-预处理单元;202-组合单元。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在本申请的描述中,需要说明的是,术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该申请产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
本申请实施例中网络资产泛指各类网络环境中的IP、域名等可访问目标在网络中的资产;网络流量泛指各种网络资产相互通信时产生的数据;指纹泛指用于识别网络资产的匹配特征与网络资产各维度属性的集合,匹配特征包括:特征字符、匹配模式、判断规则等,属性包括资产的服务组件、操作系统、设备类型、行业等信息。
目前广泛使用的资产发现、识别技术为主动探测手段,但主动探测存在因目标的一些防护措施导致资产识别不全、不准确的情况。可选地,主动探测基于icmp、tcp、udp等协议针对待探测IP端、域名范围主动发包,通过是否可建立连接来判断目标是否存活以及其开放的端口,之后对存活目标和端口发送不同的探测包获取banner信息,再结合指纹规则匹配,确定目标的设备类型、组件服务等信息。主动探测技术在进行目标存活探测时,若目标资产有做安全加固,可能会存在探测不到目标资产的情况;在针对目标资产进行指纹识别时,可能因为探测包选取不准确,或目标资产的一些安全措施,导致返回的banner信息不全,从而使资产识别出现误报的情况。
为了克服以上问题,本申请实施例提供了一种电子设备,可以是检测设备、服务器设备或计算机设备。请参照图1,电子设备的结构示意图。电子设备包括处理器10、存储器11、总线12。处理器10、存储器11通过总线12连接,处理器10用于执行存储器11中存储的可执行模块,例如计算机程序。
处理器10可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,网络资产识别方法的各步骤可以通过处理器10中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器10可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processor,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
存储器11可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。
总线12可以是ISA(Industry Standard Architecture)总线、PCI(PeripheralComponent Interconnect)总线或EISA(Extended Industry Standard Architecture)总线等。图1中仅用一个双向箭头表示,但并不表示仅有一根总线12或一种类型的总线12。
存储器11用于存储程序,例如网络资产识别装置对应的程序。网络资产识别装置包括至少一个可以软件或固件(firmware)的形式存储于存储器11中或固化在电子设备的操作系统(operating system,OS)中的软件功能模块。处理器10在接收到执行指令后,执行所述程序以实现网络资产识别方法。
可能地,本申请实施例提供的电子设备还包括通信接口13。通信接口13通过总线与处理器10连接。
应当理解的是,图1所示的结构仅为电子设备的部分的结构示意图,电子设备还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例提供的一种网络资产识别方法,可以但不限于应用于图1所示的电子设备,具体的流程,请参考图2,网络资产识别方法包括:S102、S103以及S104。
S102,对流量数据包进行解析,以获取报文数据、源IP、源端口以及通信协议。
其中,流量数据包为网络设备外发的数据包。
可选地,通过多流量数据包进行解析,可以获得对应的五元组信息,包括源IP、源端口、目的IP、目的端口以及通信协议。
S103,依据源端口、通信协议以及报文数据,确定目标指纹规则。
其中,目标指纹规则为包含源端口、通信协议以及报文数据的匹配特征的指纹规则。
正如前文所述,指纹泛指用于识别网络资产的匹配特征与网络资产各维度属性的集合,匹配特征包括:特征字符、匹配模式、判断规则等,属性包括资产的服务组件、操作系统、设备类型、行业等信息。可以理解地,每一条指纹规则均包括匹配特征。当指纹规则的匹配特征适用于源端口、通信协议以及报文数据时,可以理解为,该指纹规则包括源端口、通信协议以及报文数据的匹配特征。
S104,将目标属性数据、源IP、源端口以及通信协议组合生成网络设备对应的网络资产。
其中,目标属性数据为与目标指纹规则对应的属性数据。
正如前文所述,指纹泛指用于识别网络资产的匹配特征与网络资产各维度属性的集合,属性数据包括资产的服务组件、操作系统、设备类型、行业等信息。在确定目标指纹规则后,即可获取目标指纹规则对应的属性数据,作为目标属性数据。
综上所述,本申请实施例提供的网络资产识别方法,对流量数据包进行解析,以获取报文数据、源IP、源端口以及通信协议,流量数据包为网络设备外发的数据包;依据源端口、通信协议以及报文数据,确定目标指纹规则,其中,目标指纹规则为包含源端口、通信协议以及报文数据的匹配特征的指纹规则;将目标属性数据、源IP、源端口以及通信协议组合生成网络设备对应的网络资产,其中,目标属性数据为与目标指纹规则对应的属性数据。通过网络设备外发的流量数据包可以直接确定网络设备对应的网络资产,不需要进行主动探测,避免了因为网络设备的安全保护设置导致获取到错误的网络资产,从而提升了网络资产识别的准确度。
在图2的基础上,对于S103中的内容,本申请实施例还提供了一种可能的实现方式,请参考图3,S103包括:S103-1、S103-2以及S103-3。
S103-1,依据源端口和通信协议从对照表中筛选出疑似服务。
其中,对照表包括疑似服务与源端口、通信协议的对应关系。
可以理解的,利用通信协议和源端口,在常用服务和端口的对照表中筛选匹配,进行服务猜测,获得一个与通信协议和源端口对应的疑似服务列表,疑似服务列表包括至少一项疑似服务。
S103-2,依据疑似服务从指纹库筛选出对应的疑似指纹规则。
可选地,可以依据疑似服务的服务信息从指纹库中提取可用于匹配的指纹规则,即为疑似指纹规则。指纹库包括各种服务信息与指纹规则的匹配关系。
S103-3,将与报文数据匹配的疑似指纹规则,确定为目标指纹规则。
正如前文所述,指纹规则包括匹配特征,通过判断报文数据是否符合对应的匹配特征,可以确定报文数据是否与疑似指纹规则匹配。
在图3的基础上,对于S103-3中的内容,本申请实施例还提供了一种可能的实现,请参考图4,S103-3包括:S103-3A和S103-3B。
S103-3A,依次判断疑似指纹规则是否与报文数据匹配。若是,则执行S103-3B,若否,则重复执行S103-3A。
可以理解地,依据流量数据包中的报文数据部分,循环遍历之前提取的疑似指纹规则,依次判断疑似指纹规则是否与报文数据匹配,即依次判断报文数据是否符合疑似指纹规则对应的匹配特征,根据指纹匹配特征中的特征字符、匹配模式等来确定报文数据是否符合规则的要求,若报文数据能够匹配到,则退出循环,执行S103-3B,反之,则重复执行S103-3A。
S103-3B,确定为目标指纹规则。
在图2的基础上,关于如何获取流量数据包,本申请实施例还提供了一种可能的实现方式,请参考图5,网络资产识别方法还包括S101。
S101,接收路由交换设备传输的流量数据包。
可选地,路由交换设备通过对网络设备外发数据进行抓包生成流量数据包,或者通过对网络设备外发数据包进行镜像处理,从而获取流量数据包。可以理解地,路由交换设备在获取流量数据包的过程,不会影响网络设备外发数据,网络设备可以保持正常的交互。路由交换设备在获取流量数据包后,将流量数据包上传至电子设备。
可以理解地,本申请实施例提供的网络资产识别方法中,能够检测到主动探测手段检测不到或是检测不准确的网络资产,使资产管理更加完善,并且不会对网络环境造成额外的压力。
请参阅图6,图6为本申请实施例提供的一种网络资产识别装置,可选的,该网络资产识别装置被应用于上文所述的电子设备。
网络资产识别装置包括:预处理单元201和组合单元202。
预处理单元201,用于对流量数据包进行解析,以获取报文数据、源IP、源端口以及通信协议,其中,流量数据包为网络设备外发的数据包;还用于依据源端口、通信协议以及报文数据,确定目标指纹规则,其中,目标指纹规则为包含源端口、通信协议以及报文数据的匹配特征的指纹规则。可选地,预处理单元201可以执行上述的S102和S103。
组合单元202,用于将目标属性数据、源IP、源端口以及通信协议组合生成网络设备对应的网络资产,其中,目标属性数据为与目标指纹规则对应的属性数据。可选地,组合单元202可以执行上述的S104。
可选地,预处理单元201还用于依据源端口和通信协议从对照表中筛选出疑似服务,其中,对照表包括疑似服务与源端口、通信协议的对应关系;依据疑似服务从指纹库筛选出对应的疑似指纹规则;将与报文数据匹配的疑似指纹规则,确定为目标指纹规则。可选地,预处理单元201可以执行上述的S103-1至S103-3。
可选地,预处理单元201还用于依次判断疑似指纹规则是否与报文数据匹配;若是,则确定为目标指纹规则;若否,重复判断下一条疑似指纹规则是否与报文数据匹配。可选地,预处理单元201可以执行上述的S103-3A和S103-3B。
可选地,预处理单元201还用于接收路由交换设备传输的流量数据包。可选地,预处理单元201可以执行上述的S101。
需要说明的是,本实施例所提供的网络资产识别装置,其可以执行上述方法流程实施例所示的方法流程,以实现对应的技术效果。为简要描述,本实施例部分未提及之处,可参考上述的实施例中相应内容。
本申请实施例还提供了一种存储介质,该存储介质存储有计算机指令、程序,该计算机指令、程序在被读取并运行时执行上述实施例的网络资产识别方法。该存储介质可以包括内存、闪存、寄存器或者其结合等。
下面提供一种电子设备,可以是服务器设备或检测设备,该电子设备如图1所示,可以实现上述的网络资产识别方法;具体的,该电子设备包括:处理器10,存储器11、总线12。处理器10可以是CPU。存储器11用于存储一个或多个程序,当一个或多个程序被处理器10执行时,执行上述实施例的网络资产识别方法。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其它的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (10)
1.一种网络资产识别方法,其特征在于,所述方法包括:
对流量数据包进行解析,以获取报文数据、源IP、源端口以及通信协议,其中,所述流量数据包为网络设备外发的数据包;
依据所述源端口、所述通信协议以及所述报文数据,确定目标指纹规则,其中,所述目标指纹规则为包含所述源端口、所述通信协议以及所述报文数据的匹配特征的指纹规则;
将目标属性数据、所述源IP、所述源端口以及所述通信协议组合生成所述网络设备对应的网络资产,其中,所述目标属性数据为与所述目标指纹规则对应的属性数据。
2.如权利要求1所述的网络资产识别方法,其特征在于,所述依据所述源端口、所述通信协议以及所述报文数据,确定目标指纹规则的步骤,包括:
依据所述源端口和所述通信协议从对照表中筛选出疑似服务,其中,所述对照表包括疑似服务与所述源端口、所述通信协议的对应关系;
依据所述疑似服务从指纹库筛选出对应的疑似指纹规则;
将与所述报文数据匹配的疑似指纹规则,确定为所述目标指纹规则。
3.如权利要求2所述的网络资产识别方法,其特征在于,所述将与所述报文数据匹配的疑似指纹规则,确定为所述目标指纹规则的步骤,包括:
依次判断疑似指纹规则是否与所述报文数据匹配;
若是,则确定为所述目标指纹规则;
若否,重复判断下一条疑似指纹规则是否与所述报文数据匹配。
4.如权利要求1所述的网络资产识别方法,其特征在于,在对流量数据包进行解析之前,所述方法还包括:
接收路由交换设备传输的流量数据包。
5.一种网络资产识别装置,其特征在于,所述装置包括:
预处理单元,用于对流量数据包进行解析,以获取报文数据、源IP、源端口以及通信协议,其中,所述流量数据包为网络设备外发的数据包;还用于依据所述源端口、所述通信协议以及所述报文数据,确定目标指纹规则,其中,所述目标指纹规则为包含所述源端口、所述通信协议以及所述报文数据的匹配特征的指纹规则;
组合单元,用于将目标属性数据、所述源IP、所述源端口以及所述通信协议组合生成所述网络设备对应的网络资产,其中,所述目标属性数据为与所述目标指纹规则对应的属性数据。
6.如权利要求5所述的网络资产识别装置,其特征在于,所述预处理单元还用于依据所述源端口和所述通信协议从对照表中筛选出疑似服务,其中,所述对照表包括疑似服务与所述源端口、所述通信协议的对应关系;依据所述疑似服务从指纹库筛选出对应的疑似指纹规则;将与所述报文数据匹配的疑似指纹规则,确定为所述目标指纹规则。
7.如权利要求6所述的网络资产识别装置,其特征在于,所述预处理单元还用于依次判断疑似指纹规则是否与所述报文数据匹配;若是,则确定为所述目标指纹规则;若否,重复判断下一条疑似指纹规则是否与所述报文数据匹配。
8.如权利要求5所述的网络资产识别装置,其特征在于,所述预处理单元还用于接收路由交换设备传输的流量数据包。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-4中任一项所述的方法。
10.一种电子设备,其特征在于,包括:处理器和存储器,所述存储器用于存储一个或多个程序;当所述一个或多个程序被所述处理器执行时,实现如权利要求1-4中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111202300.4A CN113949748B (zh) | 2021-10-15 | 2021-10-15 | 一种网络资产识别方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111202300.4A CN113949748B (zh) | 2021-10-15 | 2021-10-15 | 一种网络资产识别方法、装置、存储介质及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113949748A true CN113949748A (zh) | 2022-01-18 |
| CN113949748B CN113949748B (zh) | 2023-11-28 |
Family
ID=79330175
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111202300.4A Active CN113949748B (zh) | 2021-10-15 | 2021-10-15 | 一种网络资产识别方法、装置、存储介质及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113949748B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448822A (zh) * | 2022-01-21 | 2022-05-06 | 中国电子信息产业集团有限公司第六研究所 | 节点探测数据表示方法、装置、电子设备及存储介质 |
| CN114827043A (zh) * | 2022-03-31 | 2022-07-29 | 中国电子科技集团公司第三十研究所 | 基于指纹动态更新及关键报文识别的流量特征匹配方法 |
| CN114915442A (zh) * | 2022-02-21 | 2022-08-16 | 奇安信科技集团股份有限公司 | 高级持续性威胁攻击检测方法及装置 |
| CN115314319A (zh) * | 2022-08-26 | 2022-11-08 | 绿盟科技集团股份有限公司 | 一种网络资产识别方法、装置、电子设备及存储介质 |
| CN115333951A (zh) * | 2022-08-09 | 2022-11-11 | 中国工商银行股份有限公司 | 网络资产信息的生成方法、装置及电子设备 |
| CN115955522A (zh) * | 2022-11-30 | 2023-04-11 | 绿盟科技集团股份有限公司 | 一种资产指纹识别方法、装置、设备和介质 |
| CN117439898A (zh) * | 2023-12-22 | 2024-01-23 | 深圳万物安全科技有限公司 | 网络设备识别方法、网络设备识别设备和存储介质 |
| CN117499267A (zh) * | 2023-12-29 | 2024-02-02 | 深圳万物安全科技有限公司 | 网络设备的资产测绘方法、设备及存储介质 |
| WO2024113953A1 (zh) * | 2022-12-02 | 2024-06-06 | 北京知道创宇信息技术股份有限公司 | C2服务器识别方法、装置、电子设备及可读存储介质 |
| TWI850152B (zh) * | 2023-10-13 | 2024-07-21 | 大陸商南京鼎華智能系統有限公司 | 通訊報文識別系統以及通訊報文識別方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108183895A (zh) * | 2017-12-26 | 2018-06-19 | 广东电网有限责任公司信息中心 | 一种网络资产信息采集系统 |
| US20180302306A1 (en) * | 2017-04-12 | 2018-10-18 | Battelle Memorial Institute | Complementary workflows for identifying one-hop network behavior and multi-hop network dependencies |
| CN108810028A (zh) * | 2018-07-20 | 2018-11-13 | 杭州安恒信息技术股份有限公司 | 一种全网木马控制端的探测方法与系统 |
| CN109544349A (zh) * | 2018-11-29 | 2019-03-29 | 广东电网有限责任公司 | 一种基于网络资产信息采集方法、装置、设备及存储介质 |
| CN109802953A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种工控资产的识别方法及装置 |
| CN111654477A (zh) * | 2020-05-21 | 2020-09-11 | 杭州安恒信息技术股份有限公司 | 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 |
| CN111756598A (zh) * | 2020-06-23 | 2020-10-09 | 北京凌云信安科技有限公司 | 一种基于主动探测与流量分析结合的资产发现方法 |
| CN111884989A (zh) * | 2020-06-02 | 2020-11-03 | 全球能源互联网研究院有限公司 | 一种针对电力web系统的漏洞探测方法和系统 |
| CN112260861A (zh) * | 2020-10-13 | 2021-01-22 | 上海奇甲信息科技有限公司 | 一种基于流量感知的网络资产拓扑识别方法 |
| CN112488143A (zh) * | 2019-09-12 | 2021-03-12 | 北京白帽汇科技有限公司 | 一种网络资产国产化识别方法、装置、设备及存储介质 |
| CN112636924A (zh) * | 2020-12-23 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 网络资产识别方法及装置、存储介质及电子设备 |
| CN112667896A (zh) * | 2020-12-29 | 2021-04-16 | 成都科来网络技术有限公司 | 一种基于网络行为推导的资产识别方法、计算机程序及存储介质 |
-
2021
- 2021-10-15 CN CN202111202300.4A patent/CN113949748B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180302306A1 (en) * | 2017-04-12 | 2018-10-18 | Battelle Memorial Institute | Complementary workflows for identifying one-hop network behavior and multi-hop network dependencies |
| CN108183895A (zh) * | 2017-12-26 | 2018-06-19 | 广东电网有限责任公司信息中心 | 一种网络资产信息采集系统 |
| CN108810028A (zh) * | 2018-07-20 | 2018-11-13 | 杭州安恒信息技术股份有限公司 | 一种全网木马控制端的探测方法与系统 |
| CN109544349A (zh) * | 2018-11-29 | 2019-03-29 | 广东电网有限责任公司 | 一种基于网络资产信息采集方法、装置、设备及存储介质 |
| CN109802953A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种工控资产的识别方法及装置 |
| CN112488143A (zh) * | 2019-09-12 | 2021-03-12 | 北京白帽汇科技有限公司 | 一种网络资产国产化识别方法、装置、设备及存储介质 |
| CN111654477A (zh) * | 2020-05-21 | 2020-09-11 | 杭州安恒信息技术股份有限公司 | 基于fins协议的工控网络的信息拓扑方法、装置和计算机设备 |
| CN111884989A (zh) * | 2020-06-02 | 2020-11-03 | 全球能源互联网研究院有限公司 | 一种针对电力web系统的漏洞探测方法和系统 |
| CN111756598A (zh) * | 2020-06-23 | 2020-10-09 | 北京凌云信安科技有限公司 | 一种基于主动探测与流量分析结合的资产发现方法 |
| CN112260861A (zh) * | 2020-10-13 | 2021-01-22 | 上海奇甲信息科技有限公司 | 一种基于流量感知的网络资产拓扑识别方法 |
| CN112636924A (zh) * | 2020-12-23 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 网络资产识别方法及装置、存储介质及电子设备 |
| CN112667896A (zh) * | 2020-12-29 | 2021-04-16 | 成都科来网络技术有限公司 | 一种基于网络行为推导的资产识别方法、计算机程序及存储介质 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114448822A (zh) * | 2022-01-21 | 2022-05-06 | 中国电子信息产业集团有限公司第六研究所 | 节点探测数据表示方法、装置、电子设备及存储介质 |
| CN114915442A (zh) * | 2022-02-21 | 2022-08-16 | 奇安信科技集团股份有限公司 | 高级持续性威胁攻击检测方法及装置 |
| CN114827043B (zh) * | 2022-03-31 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 基于指纹动态更新及关键报文识别的流量特征匹配方法 |
| CN114827043A (zh) * | 2022-03-31 | 2022-07-29 | 中国电子科技集团公司第三十研究所 | 基于指纹动态更新及关键报文识别的流量特征匹配方法 |
| CN115333951A (zh) * | 2022-08-09 | 2022-11-11 | 中国工商银行股份有限公司 | 网络资产信息的生成方法、装置及电子设备 |
| CN115333951B (zh) * | 2022-08-09 | 2024-05-28 | 中国工商银行股份有限公司 | 网络资产信息的生成方法、装置及电子设备 |
| CN115314319A (zh) * | 2022-08-26 | 2022-11-08 | 绿盟科技集团股份有限公司 | 一种网络资产识别方法、装置、电子设备及存储介质 |
| CN115955522A (zh) * | 2022-11-30 | 2023-04-11 | 绿盟科技集团股份有限公司 | 一种资产指纹识别方法、装置、设备和介质 |
| WO2024113953A1 (zh) * | 2022-12-02 | 2024-06-06 | 北京知道创宇信息技术股份有限公司 | C2服务器识别方法、装置、电子设备及可读存储介质 |
| TWI850152B (zh) * | 2023-10-13 | 2024-07-21 | 大陸商南京鼎華智能系統有限公司 | 通訊報文識別系統以及通訊報文識別方法 |
| CN117439898A (zh) * | 2023-12-22 | 2024-01-23 | 深圳万物安全科技有限公司 | 网络设备识别方法、网络设备识别设备和存储介质 |
| CN117439898B (zh) * | 2023-12-22 | 2024-03-12 | 深圳万物安全科技有限公司 | 网络设备识别方法、网络设备识别设备和存储介质 |
| CN117499267A (zh) * | 2023-12-29 | 2024-02-02 | 深圳万物安全科技有限公司 | 网络设备的资产测绘方法、设备及存储介质 |
| CN117499267B (zh) * | 2023-12-29 | 2024-03-26 | 深圳万物安全科技有限公司 | 网络设备的资产测绘方法、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113949748B (zh) | 2023-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113949748B (zh) | 一种网络资产识别方法、装置、存储介质及电子设备 | |
| CN107302527B (zh) | 一种设备异常检测方法及装置 | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| CN113328985B (zh) | 一种被动物联网设备识别方法、系统、介质及设备 | |
| CN112511561A (zh) | 网络攻击路径确定方法、设备、存储介质及装置 | |
| EP3364601A1 (en) | Testing method, device and system | |
| CN108881271B (zh) | 一种代理主机的反向追踪溯源方法及装置 | |
| CN112887159B (zh) | 一种统计告警方法和装置 | |
| CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN114095274A (zh) | 一种攻击研判方法及装置 | |
| CN116389099A (zh) | 威胁检测方法、装置、电子设备及存储介质 | |
| EP4024251A1 (en) | Method for verifying vulnerabilities of network devices using cve entries | |
| CN111030887A (zh) | web服务器发现方法、装置和电子设备 | |
| CN112272192A (zh) | 一种域名爆破方法、装置、存储介质及电子设备 | |
| CN117033552A (zh) | 情报评价方法、装置、电子设备及存储介质 | |
| CN115955333A (zh) | C2服务器识别方法、装置、电子设备及可读存储介质 | |
| CN112738175B (zh) | 请求处理方法及相关设备 | |
| CN112583825B (zh) | 一种工业系统的异常检测方法和装置 | |
| CN114205146A (zh) | 一种多源异构安全日志的处理方法及装置 | |
| CN114448822A (zh) | 节点探测数据表示方法、装置、电子设备及存储介质 | |
| CN117749648B (zh) | 工控流量审计方法及装置 | |
| CN112381160A (zh) | 一种节点身份信息获取方法、装置、存储介质及电子设备 | |
| CN113746738A (zh) | 数据转发方法、装置及相关设备 | |
| CN105743875A (zh) | 信息处理装置以及方法 | |
| CN111079144A (zh) | 一种病毒传播行为检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |