CN114124837A - 一种基于被动流量的资产信息发现系统及方法 - Google Patents

一种基于被动流量的资产信息发现系统及方法 Download PDF

Info

Publication number
CN114124837A
CN114124837A CN202111233629.7A CN202111233629A CN114124837A CN 114124837 A CN114124837 A CN 114124837A CN 202111233629 A CN202111233629 A CN 202111233629A CN 114124837 A CN114124837 A CN 114124837A
Authority
CN
China
Prior art keywords
asset
information
asset information
metadata
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111233629.7A
Other languages
English (en)
Inventor
陈豪峰
虞志文
韩北档
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NANJING SINOVATIO TECHNOLOGY CO LTD
Original Assignee
NANJING SINOVATIO TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NANJING SINOVATIO TECHNOLOGY CO LTD filed Critical NANJING SINOVATIO TECHNOLOGY CO LTD
Priority to CN202111233629.7A priority Critical patent/CN114124837A/zh
Publication of CN114124837A publication Critical patent/CN114124837A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于被动流量的资产信息发现系统及方法,包括:数据解析模块,用以被动流量的识别、解析并生成元数据字段,提取元数据信息;资产信息提取模块,根据数据解析模块提取的元数据信息,通过直接提取或指纹匹配的方式,提取资产信息并更新资产信息;日志模块,将获得的资产信息组织成一定格式的资产日志;控制模块,用以控制资产信息提取模块的工作。本发明能够实现从被动流量中提取资产信息。

Description

一种基于被动流量的资产信息发现系统及方法
技术领域
本发明涉及计算机网络安全领域,具体是涉及一种基于被动流量的资产信息发现系统及方法。
背景技术
网络资产是指计算机网络中使用的各种设备,包括主机、路由器、安全设备、工控设备等,其特点是拥有自己的IP地址,可以依照网络协议,与其他资产设备互联。目前主流的资产探测方式为主动发现的方式,该方法通过模拟资产间的交互过程,向目标资产发送探测报文,根据回复的响应内容,提取资产信息。这种方式运用在对安全要求非常高的工业生产环境中,会存在如下问题:
1、主动发包的方式可能会干扰工控设备的正常运行,导致设备无法正常生产工作,造成不必要的损失;2、对于突发的外来可疑资产,响应不及时,不能及时的感知网络内资产的变化;3、主动探测对全IP段的扫描需要很长的时间,因此往往需要配置探测的IP地址范围,从而容易遗漏超出认知范围的资产,存在一定的隐患。
发明内容
发明目的:针对以上缺点,本发明提供一种基于被动流量的资产信息发现系统,实现在无感知,零干扰的情况下,从被动流量中提取资产信息,实时捕捉到新增资产信息与可疑资产信息,具有更高的时效性。同时,本发明还提供了一种基于被动流量的资产信息发现的方法。
技术方案:为解决上述问题,本发明采用一种基于被动流量的资产信息发现系统,包括:
数据解析模块,用以被动流量的识别、解析并生成元数据字段,提取元数据信息;
资产信息提取模块,根据数据解析模块提取的元数据信息,通过直接提取或指纹匹配的方式,提取资产信息并更新资产信息;
日志模块,将获得的资产信息组织成一定格式的资产日志;
控制模块,用以控制资产信息提取模块的工作。
有益效果:本发明相对于现有技术,其显著优点是:通过将被动流量进行识别、解析并提取元数据后,针对元数据获取资产信息,无需发送探测报文,不会产生干扰。
进一步的,所述的直接提取的方式是根据特定协议字段,通过IP信息、MAC信息直接关联资产,获取资产信息。
进一步的,所述的指纹匹配是根据特定的指纹信息,与内置的指纹库进行比对,获取资产信息。
进一步的,所述的特定的指纹信息以及匹配方式能够根据元数据信息进行自定义,获取的资产信息后将该指纹信息以插件形式动态添加到内置的指纹库中。
进一步的,获取资产信息包括对于资产类型的判断,根据特定资产的交互行为信息,对标记类型的资产进行资产类型自学习,对于未知资产,能够按照学习结果对资产类型进行预判。
进一步的,所述控制模块控制资产信息提取模块的工作具体包括:资产信息获取的启停控制、资产信息分析数量控制以及资产信息上报周期控制。
本发明一种基于被动流量的资产信息发现方法,包括以下步骤:
(1)接收流量数据,进行识别、解析并提取元数据信息;
(2)依据获得的元数据信息,通过直接提取或指纹匹配的方式,提取资产信息并更新资产信息;
(3)将资产信息组成特定格式的资产日志,发送至后端。
有益效果:本发明相对于现有技术,其显著优点是利用该方法能够获得资产信息。
进一步的,所述的更新资产信息具体包括以下步骤:
(1)从一条元数据中提出对应资产信息后,判断该资产信息中是否包含IP信息,对于有IP字段的资产信息,通过IP查询资产节点,对于没有IP字段的资产信息,通过MAC查询资产节点;
(2)对于未查找到资产节点的资产信息,新增节点保存;对于已经存在的资产节点,按照资产信息内容更新资产节点信息。
此外,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述一种基于被动流量的资产信息发现的方法的步骤。本发明还提供一种资产信息发现调试设备,存储器、处理器及在所述存储器上存储并可运行的程序,所述程序被处理器执行时实现上述一种基于被动流量的资产信息发现的方法的步骤。
附图说明
图1为本发明部署场景示意图;
图2为本发明所述系统的不同模块连接示意图;
图3为本发明所述方法中资产信息提取流程图;
图4为本发明所述方法中资产信息更新流程图。
具体实施方式
下面结合附图对本发明公开的技术方案进一步说明。
如图1所示,本发明所述的资产信息指的是一种网络资产信息,具体资产部署的场景为:主机、路由器、安全设备、工控设备等拥有独立的IP地址的设备,依照网络协议在计算机网络中相互关联。
如图2所示,本发明所述的一种基于被动流量的资产信息发现系统包括数据解析模块、资产信息提取模块、日志构建模块以及控制模块。所述的数据解析模块用于将通过接口获取的流量数据按照流量特征进行识别,对于已识别协议的流量,按协议解析,生成元数据字段,提取元数据信息。所述的资产信息提取模块对接数据解析模块获取元数据信息,根据元数据信息通过直接获取或者指纹匹配的方式提取资产信息;其中,直接获取具体表现为通过元数据中特地的协议字段,直接通过IP信息、MAC信息关联资产,获取资产信息;利用指纹匹配的方式表现为根据元数据信息,自定义指纹字段以及匹配的方式,与内置的指纹库进行比对,获取资产信息;比对过程中,根据元数据信息中特定资产的交互行为信息,对标记类型的资产进行资产类型自学习,对于未知资产,能够按照学习结果对资产类型进行预判。所述的日志模块负责将获取的资产信息组织成一定格式的资产日志,如JSON、SQL等,最终将资产日志传送至后端。整个资产信息提取模块的工作通过控制模块进行控制,包括资产获取的启停控制,资产分析数量控制以及资产上报周期控制。
如图3所示,本发明所述的一种基于被动流量的资产信息发现方法包括以下步骤:
步骤1,从接口接收原始流量数据,送入数据解析模块;
步骤2,数据解析模块按照流量特征识别流量;对于已识别协议的流量,进行元数据提取;
步骤3,资产信息提取模块对接元数据信息,通过直接提取或指纹匹配的方式,提取资产信息并更新资产信息;
步骤4,由日志模块将资产信息组成特定格式的资产日志,发送至后端,即发送至后续端口,等待读取。
如图4所示,步骤3中更新资产信息具体包括以下步骤:
步骤31,资产信息提取模块从一条元数据中提出对应资产信息,判断该资产信息中是否包含IP信息;对于有IP字段的资产信息,通过IP查询资产节点,对于没有IP字段的资产信息,通过MAC查询节点;
步骤32,对于未查找到资产节点的资产信息,新增节点保存;对于已经存在的资产节点,按照资产信息内容更新节点信息。
此外,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述一种基于被动流量的资产信息发现的方法步骤。本发明还提供一种资产信息发现调试设备,存储器、处理器及在所述存储器上存储并可运行的程序,所述程序被处理器执行时实现上述一种基于被动流量的资产信息发现的方法的步骤。

Claims (10)

1.一种基于被动流量的资产信息发现系统,其特征在于,包括:
数据解析模块,用以被动流量的识别、解析并生成元数据字段,提取元数据信息;
资产信息提取模块,根据数据解析模块提取的元数据信息,通过直接提取或指纹匹配的方式,提取资产信息并更新资产信息;
日志模块,将获得的资产信息组织成一定格式的资产日志;
控制模块,用以控制资产信息提取模块的工作。
2.根据权利要求1所述的资产信息发现系统,其特征在于,所述的直接提取的方式是根据特定协议字段,通过IP信息、MAC信息直接关联资产,获取资产信息。
3.根据权利要求1所述的资产信息发现系统,其特征在于,所述的指纹匹配的方式是根据特定的指纹信息,与内置的指纹库进行匹配,获取资产信息。
4.根据权利要求3所述的资产信息发现系统,其特征在于,所述的特定的指纹信息以及匹配方式能够根据元数据信息进行自定义,获取的资产信息后将该定义的指纹信息以插件形式动态添加到内置的指纹库中。
5.根据权利要求3所述的资产信息发现系统,其特征在于,所述获取资产信息包括对于资产类型的判断,根据特定资产的交互行为信息,对标记类型的资产进行资产类型自学习,对于未知资产,能够按照学习结果对资产类型进行预判。
6.根据权利要求1所述的资产信息发现系统,其特征在于,所述控制模块控制资产信息提取模块的工作具体包括:资产信息获取的启停控制、资产信息分析数量控制以及资产信息上报周期控制。
7.一种基于被动流量的资产信息发现方法,其特征在于,包括以下步骤:
(1)接收流量数据,进行识别、解析并提取元数据信息;
(2)依据获得的元数据信息,通过直接提取或指纹匹配的方式,提取资产信息并更新资产信息;
(3)将资产信息组成特定格式的资产日志,发送至后端。
8.根据权利要求7所述的的资产信息发现方法,其特征在于,所述的更新资产信息具体包括以下步骤:
(1)从一条元数据中提出对应资产信息后,判断该资产信息中是否包含IP信息,对于有IP字段的资产信息,通过IP查询资产节点,对于没有IP字段的资产信息,通过MAC查询资产节点;
(2)对于未查找到资产节点的资产信息,新增节点保存;对于已经存在的资产节点,按照资产信息内容更新资产节点信息。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求7至8任一项所述的方法的步骤。
10.一种资产信息发现调试设备,其特征在于,存储器、处理器及在所述存储器上存储并可运行的程序,所述程序被处理器执行时实现权利要求7至8中任一项所述方法的步骤。
CN202111233629.7A 2021-10-22 2021-10-22 一种基于被动流量的资产信息发现系统及方法 Pending CN114124837A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111233629.7A CN114124837A (zh) 2021-10-22 2021-10-22 一种基于被动流量的资产信息发现系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111233629.7A CN114124837A (zh) 2021-10-22 2021-10-22 一种基于被动流量的资产信息发现系统及方法

Publications (1)

Publication Number Publication Date
CN114124837A true CN114124837A (zh) 2022-03-01

Family

ID=80376754

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111233629.7A Pending CN114124837A (zh) 2021-10-22 2021-10-22 一种基于被动流量的资产信息发现系统及方法

Country Status (1)

Country Link
CN (1) CN114124837A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114567501A (zh) * 2022-03-04 2022-05-31 科来网络技术股份有限公司 基于标签评分的资产自动识别方法、系统及设备
CN114827043A (zh) * 2022-03-31 2022-07-29 中国电子科技集团公司第三十研究所 基于指纹动态更新及关键报文识别的流量特征匹配方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110277034A1 (en) * 2010-05-06 2011-11-10 Tenable Network Security, Inc. System and method for three-dimensional visualization of vulnerability and asset data
US20170109419A1 (en) * 2015-10-15 2017-04-20 Disney Enterprises, Inc. Metadata Extraction and Management
CN109040155A (zh) * 2017-06-08 2018-12-18 中国移动通信集团浙江有限公司 资产识别方法和计算机设备
CN110545219A (zh) * 2019-09-25 2019-12-06 杭州安恒信息技术股份有限公司 工业资产的被动识别方法、装置和电子设备
CN111028085A (zh) * 2019-03-29 2020-04-17 哈尔滨安天科技集团股份有限公司 一种基于主被动结合的网络靶场资产信息采集方法及装置
CN111555988A (zh) * 2020-04-26 2020-08-18 深圳供电局有限公司 一种基于大数据的网络资产测绘发现方法及装置
CN112202609A (zh) * 2020-09-28 2021-01-08 全球能源互联网研究院有限公司 一种工控资产探测方法、装置、电子设备及存储介质
CN112260861A (zh) * 2020-10-13 2021-01-22 上海奇甲信息科技有限公司 一种基于流量感知的网络资产拓扑识别方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110277034A1 (en) * 2010-05-06 2011-11-10 Tenable Network Security, Inc. System and method for three-dimensional visualization of vulnerability and asset data
US20170109419A1 (en) * 2015-10-15 2017-04-20 Disney Enterprises, Inc. Metadata Extraction and Management
CN109040155A (zh) * 2017-06-08 2018-12-18 中国移动通信集团浙江有限公司 资产识别方法和计算机设备
CN111028085A (zh) * 2019-03-29 2020-04-17 哈尔滨安天科技集团股份有限公司 一种基于主被动结合的网络靶场资产信息采集方法及装置
CN110545219A (zh) * 2019-09-25 2019-12-06 杭州安恒信息技术股份有限公司 工业资产的被动识别方法、装置和电子设备
CN111555988A (zh) * 2020-04-26 2020-08-18 深圳供电局有限公司 一种基于大数据的网络资产测绘发现方法及装置
CN112202609A (zh) * 2020-09-28 2021-01-08 全球能源互联网研究院有限公司 一种工控资产探测方法、装置、电子设备及存储介质
CN112260861A (zh) * 2020-10-13 2021-01-22 上海奇甲信息科技有限公司 一种基于流量感知的网络资产拓扑识别方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114567501A (zh) * 2022-03-04 2022-05-31 科来网络技术股份有限公司 基于标签评分的资产自动识别方法、系统及设备
CN114567501B (zh) * 2022-03-04 2023-10-31 科来网络技术股份有限公司 基于标签评分的资产自动识别方法、系统及设备
CN114827043A (zh) * 2022-03-31 2022-07-29 中国电子科技集团公司第三十研究所 基于指纹动态更新及关键报文识别的流量特征匹配方法
CN114827043B (zh) * 2022-03-31 2023-05-16 中国电子科技集团公司第三十研究所 基于指纹动态更新及关键报文识别的流量特征匹配方法

Similar Documents

Publication Publication Date Title
CN110113345B (zh) 一种基于物联网流量的资产自动发现的方法
US10237295B2 (en) Automated event ID field analysis on heterogeneous logs
CN109582588B (zh) 测试用例生成方法、装置及电子设备
CN114124837A (zh) 一种基于被动流量的资产信息发现系统及方法
CN106101130B (zh) 一种网络恶意数据检测方法、装置及系统
CN109284140B (zh) 配置方法及相关设备
CN110598280A (zh) 一种设备仿真系统和方法、计算机可读存储介质
CN101605074A (zh) 基于网络通讯行为特征监测木马的方法与系统
WO2019119322A1 (zh) 检测系统、方法及相关装置
CN103997489A (zh) 一种识别DDoS僵尸网络通信协议的方法及装置
CN108877188B (zh) 一种环保数据并发采集及多网络发布方法和装置
JP2014528121A (ja) 複数の異種デバイスの識別およびコンテキストによる動的サービス協調のためのシステム
CN112052227A (zh) 数据变更日志的处理方法、装置和电子设备
CN114387966A (zh) 智能设备的控制方法、装置、电子设备及存储介质
CN117332095A (zh) 一种基于资产探测的网络空间知识图谱构建方法
CN113641742B (zh) 一种数据抽取方法、装置、设备和存储介质
CN109286684B (zh) 一种通信连接的处理方法、装置、代理服务器及存储介质
KR102125463B1 (ko) 단말의 식별 및 분류를 위한 데이터 제공 장치 및 방법
CN113515493B (zh) 日志关联方法和装置
CN111602412A (zh) 设备选择装置、数据集选择装置、设备选择方法和程序
KR102125461B1 (ko) 단말의 식별 및 분류를 위한 데이터 처리 장치 및 방법
US20200233965A1 (en) Information processing apparatus, information processing system, security assessment method, and security assessment program
CN114840574A (zh) 数据查询方法、服务器、节点及存储介质
CN115052003A (zh) 数据同步方法、相关装置和介质
CN109450927B (zh) 一种快速识别接入摄像头的系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination