CN114124913A - 一种网络资产变化监控的方法、装置及电子设备 - Google Patents
一种网络资产变化监控的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN114124913A CN114124913A CN202111123938.9A CN202111123938A CN114124913A CN 114124913 A CN114124913 A CN 114124913A CN 202111123938 A CN202111123938 A CN 202111123938A CN 114124913 A CN114124913 A CN 114124913A
- Authority
- CN
- China
- Prior art keywords
- port
- network
- information
- network asset
- notification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- 230000008859 change Effects 0.000 title claims abstract description 40
- 238000012544 monitoring process Methods 0.000 title claims abstract description 32
- 230000004044 response Effects 0.000 claims abstract description 117
- 238000012545 processing Methods 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 14
- 230000007704 transition Effects 0.000 claims description 13
- 238000004364 calculation method Methods 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 10
- 238000010606 normalization Methods 0.000 claims description 7
- 230000011218 segmentation Effects 0.000 claims description 7
- 238000004458 analytical method Methods 0.000 abstract description 6
- 238000013507 mapping Methods 0.000 abstract description 6
- 238000005457 optimization Methods 0.000 abstract description 6
- 230000009286 beneficial effect Effects 0.000 abstract description 4
- 238000013461 design Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000003058 natural language processing Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开一种网络资产变化监控的方法、装置及电子设备,该方法包括在第一时刻,获取第一网络地址对应端口的第一响应通告信息,并且计算第一响应通告信息与第二时刻获取的第二响应通告信息之间的相似值,然后判断相似值是否大于等于预设阈值:若是,则确定端口对应的网络资产存在变更;若否,则确定端口对应的网络资产不存在变更。基于上述方法可以填补目前网络资产测绘领域单一网络地址对应的网络资产变化情况的动态监控的空白,从而降低试错成本,提高威胁分析的精准度,有助于扫描策略优化、威胁跟踪等多种安全场景的辅助应用。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及一种网络资产变化监控的方法、装置及电子设备。
背景技术
随着技术的进步以及生产生活的需要,互联网接入的网络资产数量增长迅猛,网络资产的动态监控作为保障网络资产安全性的关键技术,也日益受到重视。
现有动态监控网络资产的技术主要是通过扫描设备与设备的网络地址的方式,获取到某一时间段内管辖的设备以及设备对应的网络地址。然而,在实际情况中,假如设备采用运营商拨号上网,设备对应的网络地址会改变,此时该网络地址下的网络资产会相应变化。另外,单一网络地址下的设备的数量也存在增加或者减少的情况,即该网络地址下的网络资产也会相应变化。
因此,面对多变的网络环境,如何对单一网络地址对应的网络资产的变化情况进行动态监控成为目前亟待解决的一大问题。
发明内容
本申请提供一种网络资产变化监控的方法、装置及电子设备,用以填补目前网络资产测绘领域单一网络地址对应的网络资产变化情况的动态监控的空白,从而降低网络空间资产应用的试错成本,提高威胁分析的精准度,有助于扫描策略优化、威胁跟踪等多种安全场景的辅助应用。
第一方面,本申请提供了一种网络资产变化监控的方法,所述方法包括:
在第一时刻,获取第一网络地址对应端口的第一响应通告信息,其中,所述第一响应通告信息表征第一时刻与所述第一网络地址对应端口连接的网络资产的响应页面信息;
计算所述第一响应通告信息与第二响应通告信息之间的相似值,其中,所述第二响应通告信息表征第二时刻与所述第一网络地址对应端口连接的网络资产的响应页面信息,所述第二时刻表征所述第一时刻的上一时刻;
若所述相似值大于等于预设阈值,则确定所述端口对应的网络资产存在变更;
若所述相似值小于预设阈值,则确定所述端口对应的网络资产不存在变更。
通过上述方法,填补目前网络资产测绘领域单一网络地址对应的网络资产变化情况的动态监控的空白,从而降低试错成本,提高威胁分析的精准度,有助于扫描策略优化、威胁跟踪等多种安全场景的辅助应用。
在一种可能的设计中,所述在第一时刻,获取第一网络地址对应端口的第一响应通告信息,包括:
在第一时刻,扫描第一网络地址对应端口,得到端口信息;
从所述端口信息中提取在第一时刻与所述端口连接的网络资产回传的第一响应通告信息。
在一种可能的设计中,所述计算所述第一响应通告信息与第二响应通告信息之间的相似值,包括:
根据所述第一响应通告信息对应的协议类型,截取所述第一响应通告信息中用于定位所述端口对应的网络资产的第一截取信息;
对所述第一截取信息的数据进行规范化处理后的数据进行分词处理,得到所述第一截取信息对应的单词序列;
对所述单词序列进行哈希计算,得到第一响应通告信息对应的第一特征值;
计算所述第一特征值与所述第二响应通告信息对应的第二特征值之间的相似值。
在一种可能的设计中,在所述若所述相似值大于等于预设阈值,则确定所述端口对应的网络资产存在变更之后,还包括:
在预设数据库中不存在所述第一网络地址时,判断在预设时间段内是否存在所述端口对应的网络资产使用的历史网络地址与所述第一网络地址相同;
若否,则为所述端口对应的网络资产添加表示新增网络资产的第一标识;
若是,则为所述端口对应的网络资产添加表示变更网络资产的第二标识。
在一种可能的设计中,在所述若所述相似值小于预设阈值,则确定所述端口对应的网络资产不存在变更之后,还包括:
判断预设数据库中是否存在所述第一网络地址;
若否,并且在预设时间段内存在所述端口对应的网络资产使用的历史网络地址与所述第一网络地址相同,则为所述端口对应的网络资产添加表示未变更网络资产的第三标识;
若是,则为所述端口对应的网络资产添加第四标识,其中,所述第四标识表示所述端口对应的网络资产使用的所述第一网络地址在预设数据库中。
第二方面,本申请提供了一种网络资产变化监控的装置,所述装置包括:
获取模块,在第一时刻,获取第一网络地址对应端口的第一响应通告信息,其中,所述第一响应通告信息表征第一时刻与所述第一网络地址对应端口连接的网络资产的响应页面信息;
计算模块,计算所述第一响应通告信息与第二响应通告信息之间的相似值,其中,所述第二响应通告信息表征第二时刻与所述第一网络地址对应端口连接的网络资产的响应页面信息,所述第二时刻表征所述第一时刻的上一时刻;
第一确定模块,若所述相似值大于等于预设阈值,则确定所述端口对应的网络资产存在变更;
第二确定模块,若所述相似值小于预设阈值,则确定所述端口对应的网络资产不存在变更。
在一种可能的设计中,所述获取模块,具体用于在第一时刻,扫描第一网络地址对应端口,得到端口信息;从所述端口信息中提取在第一时刻与所述端口连接的网络资产回传的第一响应通告信息。
在一种可能的设计中,所述计算模块,具体用于根据所述第一响应通告信息对应的协议类型,截取所述第一响应通告信息中用于定位所述端口对应的网络资产的第一截取信息;对所述第一截取信息的数据进行规范化处理后的数据进行分词处理,得到所述第一截取信息对应的单词序列;对所述单词序列进行哈希计算,得到第一响应通告信息对应的第一特征值;计算所述第一特征值与所述第二响应通告信息对应的第二特征值之间的相似值。
在一种可能的设计中,在所述第一确定模块后,还用于在预设数据库中不存在所述第一网络地址时,判断在预设时间段内是否存在所述端口对应的网络资产使用的历史网络地址与所述第一网络地址相同;若否,则为所述端口对应的网络资产添加表示新增网络资产的第一标识;若是,则为所述端口对应的网络资产添加表示变更网络资产的第二标识。
在一种可能的设计中,在所述第二确定模块后,还用于判断预设数据库中是否存在所述第一网络地址;若否,并且在预设时间段内存在所述端口对应的网络资产使用的历史网络地址与所述第一网络地址相同,则为所述端口对应的网络资产添加表示未变更网络资产的第三标识;若是,则为所述端口对应的网络资产添加第四标识,其中,所述第四标识表示所述端口对应的网络资产使用的所述第一网络地址在预设数据库中。
第三方面,本申请提供了一种电子设备,所述电子设备包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现上述的一种检测运动状态异常的对象的方法步骤。
第四方面,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的一种检测运动状态异常的对象的方法步骤。
上述第二方面至第四方面中的各个方面以及各个方面可能达到的技术效果请参照上述针对第一方面或第一方面中的各种可能方案可以达到的技术效果说明,这里不再重复赘述。
附图说明
图1为本申请提供的一种网络资产变化监控的方法的流程图;
图2为本申请提供的一种网络资产变化监控的装置的示意图;
图3为本申请提供的一种电子设备的结构的示意图。
具体实施方式
为便于本领域技术人员更好地理解本申请,下面先对本申请涉及的技术用语进行简单阐述。
1、网络资产,一切可能被潜在攻击者利用的设备。
具体包括但不限于服务器、交换机、电脑、手机、摄像头等。概括来说,只要是在计算机(或通讯)网络中使用的设备,都可以称之为“网络资产”。
详细说来,网络资产是业务服务所承载的物理设备,例如,业务服务可以是微信、商城、百度等,网络资产可以是云服务器、中间件服务器、数据库服务器等。
2、端口,网络资产与外界通讯交流的出口。
端口为网络资产提供在网络范围内通信交流的出口。
详细来说,端口需要映射在网络中,即每个端口有对应的网络地址。端口与网络资产之间只有在网络通信的情况下才存在关系,这种关系就好像网络地址是闸门,端口是闸门钥匙,网络资产是泄洪水库,在泄洪的时候需要用钥匙开启闸门。
3、响应通告信息,在对网络地址对应端口进行扫描时,和目标建立连接后目标的响应的协议信息。
本申请实施例中,网络资产的响应通告信息为在网路地址对应端口进行扫描时,和网络资产建立连接后网路资产的响应页面信息。换而言之,网络资产与其对应的响应通告信息为等价关系。
详细来说,同一种设备的响应通告信息一般不会发生较大变化,而不同设备之间的响应通告信息往往有明显区别。因此,本专利提取资产扫描时这一特征信息用于标识固定资产。
本申请实施例提供了一种网络资产变化监控的方法、装置及电子设备,用于解决现目前缺乏对单一网络地址对应的网络资产的进行变化监控的问题。
下面结合附图对本申请实施例所提供的方法作出进一步详细说明。
参阅图1所示,本申请实施例提供了一种网络资产变化监控的方法,具体流程如下:
步骤101:在第一时刻,获取第一网络地址对应端口的第一响应通告信息;
在第一时刻,若第一网络地址对应为端口P,对端口P进行一轮扫描,获取得到端口P的端口信息,并从端口P的端口信息中提取出端口P连接的网络资产的响应页面信息,将该响应页面信息作为第一响应通告信息,即第一响应通告信息可以表征第一时刻下,第一网路地址对应端口的网络资产。
这里需要说明的是,第一响应通告信息可以包括标识身份的敏感内容以及网络资产的描述信息:标识身份的敏感内容具体可以包括软件开发商、软件名称、服务类型、版本号等;网络资产的描述信息具体可以包括协议响应状态信息、资产服务器类型、响应信息资源大小、响应信息最后被修改时间、响应通告标题、设备资产自有属性等。
一般来说,针对同一网络资产的响应页面信息不会发生较大变化,而针对不同网络资产的响应页面信息之间具有明显区别。
在本申请实施例中,根据网络资产及其响应页面信息之间的关系,识别端口P在不同时刻对应的网络资产是否发生变化:
若在不同时刻获取到的第一响应通告信息没有发生变化,则可认为在不同时刻端口P对应的网络资产为同一网络资产。
若在不同时刻获取到的第一响应通告信息发生变化,则可认为在不同时刻端口P对应的网络资产为不同网络资产。
步骤102:计算所述第一响应通告信息与第二响应通告信息之间的相似值;
在本申请实施例中,第二响应通告信息为在第二时刻获取到第一网络地址对应端口P的响应通告信息,在此的第二时刻表示第一时刻的上一时刻,当然也可以表示其他时刻,在此不作具体阐述。
在获取第一响应通告信息后,通过计算第一响应通告信息的第一特征值,然后计算出第一特征值与第二响应通告信息的第二特征值之间的相似值,得到第一响应通告信息与第二响应通告信息之间的相似性,进而可以获得端口P对应的网络资产在第一时刻与第二时刻是否一致的信息。
在本申请实施例中,提供一种可能的计算响应通告信息的特征值的方法,下面以计算第一响应通告信息的第一特征值为例:
在实际情况中,如果网络资产采用不同协议类型,那么网络资产返回的第一响应通告信息也会有所不同。
例如,假设网络资产采用HTTP(Hyper Text Transfer Protocol,超文本传输协议)、HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议)这类协议,那么该网络资产返回的第一响应通告信息中包含的字符数也相对较多,这里的第一响应通告信息对应为HTTP、HTTPS类型的协议。
基于上述情况,若直接对包含较多字符数的第一响应通告信息进行处理,不仅会耗费大量时间,而且存在因为处理时间过长,导致在后面对网络资产A的变更情况错误判断。
例如,假设当前网络资产A对应的网络地址a,如果处理时间过长,会出现在处理期间,网络资产A实际对应的网络地址发生变化,导致错误判断网络资产A的变更情况。
为了解决上述问题,在本申请实施例中,针对HTTP、HTTPS协议下接收到的html(HyperText Markup Language,超文本标记语言)形式的第一响应通告信息,进行截取处理。
具体来说,可以截取第一响应通告信息中关于网络资产的描述信息,并将截取到的描述信息作为可以定位端口P对应的网络资产的第一截取信息。
举例来说,针对html形式的第一响应通告信息,截取第一响应通告信息中“<body>”标签前的内容,截取的内容具体可以参考表1所示,该部分内容涵盖多种网络资产的描述信息。
表1
需要强调的是,上述表1内容仅提供一种可能的截取情况,还有很多其他的截取情况在此不做具体阐述。
另外,对于对应的协议类型不是HTTP、HTTPS协议的第一响应通告信息,即针对非html形式的第一响应通告信息,在本申请实施例中,不需要进行截取处理,即将第一响应通告信息中的全部数据作为第一截取信息。
在获取到第一截取信息后,针对第一截取信息中的数据进行规范化处理后的数据进行分词处理,得到第一截取信息对应的单词序列,在这里的单词序列可以定位出一个具体的网络资产。
具体来说,首先将第一截取信息中的字符串的所有字符统一转换为小写形式,然后在小写形式的第一截取信息的字符串中,将所有标签(例如:html标签)以及空白符,替换为空格,并将空格或者标点作为分隔符,接着根据分隔符对经过规范化处理的第一截取信息中的字符串进行分词处理,最后得到第一截取信息对应的单词序列。
在获取到单词序列后,可以基于该单词序列生成第一响应通告信息对应的simhash(网页去重常用的哈希方法)特征值,即第一特征值。
具体来说,该单词序列为多个词语组成的序列,首先计算单词序列中每个词语的哈希值,根据每个词语对应的权重,对每个词语的哈希值作加权计算,通过加权计算后,即该单词序列对应为数字序列,然后对该数字序列进行降维处理,最终得到长度为64位的simhash特征值,即得到用于表征端口对应的网络资产的数字标识的第一特征值。在得到端口P对应网络资产在第一时刻的第一特征值后,获取端口P对应网络资产在第二时刻的第二特征值,并且第二时刻为第一时刻的前一时刻,第二特征值表示为,根据与端口P连接的网络资产的第二响应通告信息在第二时刻计算得到的特征值。
第二特征值的获取方法与第一特征值的获取方法完全相同,可以参照步骤102的实现过程,此处就不再赘述。
在本申请实施例中,通过计算第一特征值与第二特征值之间的欧氏距离,来度量在第一时刻端口P对应网络资产与在第二时刻端口P对应网络资产的相似程度,并将该距离作为第一响应通告信息与第二响应通告信息的相似值。
需要注意的是,上述计算欧式距离仅为本申请实施例中提供的一种可能的计算相似值的方法,还可以通过计算海明距离、汉明距离等得到,在此不作具体阐述。
另外,计算该相似值的目的是为了得到端口P对应的网络资产在不同时刻下相似性,在本申请实施例中提供计算特征值,在根据特征值计算相似性的方法仅为一种可能的实现方法,还有其他方法,例如直接比较端口P在不同时刻对应的网络资产、直接比较端口P在不同时刻下获取到对应网路资产的响应通告信息等等,在此不作具体阐述。
通过上述基于自然语言处理生成特征值的方法,有助于提升后续判定单一网络地址对应端口下的网络资产是否发生变更的准确度和效率。
步骤103:判断所述相似值是否大于等于预设阈值;
在计算第一特征值与第二特征值之间的相似值后,需要进一步判断相似值与预设阈值之间的大小关系。
具体来说,预设阈值可以根据实际的应用情况进行设定,假设第一特征值为端口P在第一时刻对应的第一网络资产,第二特征值为端口P在第二时刻对应的第二网络资产,那么第一特征值与第二特征值之间的距离为第一网络资产与第二网络资产的相似性。
若上述相似值大于等于预设阈值,则执行步骤104;若上述相似值小于预设阈值,则执行步骤105。
步骤104:确定所述第一网络地址对应端口的网络资产存在变更;
当第一特征值与第二特征值之间的相似值大于等于预设阈值时,即可确定第一网络地址对应端口P的网络资产存在变更。
步骤105:确定所述第一网络地址对应端口的网络资产不存在变更。
当第一特征值与第二特征值之间的相似值小于预设阈值时,即可确定第一网络地址对应端口P的网络资产不存在变更。
通过上述方法可以得到第一网络地址对应端口P的网络资产在第一时刻的变化情况。
同理,若在预设时间段内,对端口P进行n轮扫描,即可得到第一网络地址对应端口P的网络资产在预设时间段内的变化情况,其中,n为大于等于1的正整数。
进一步地,在本申请实施例中还提出一种根据端口P对应网络资产的变化情况,为上述网络资产添加相应变化标识的方法。
具体来说,每一轮扫描对应一个具体的时刻,在预设时间段内,若当前时刻对应为对端口P的第α轮扫描,则以预设时间段内任意早于当前时刻的历史时刻作为端口P的第β轮扫描,其中,α>β。
针对端口P,扫描获取当前时刻对应的网络资产a以及当前网络资产a所使用的当前网络地址l,同时可以获取网络资产a所使用的历史网络地址。
获取当前时刻第α轮扫描端口P对应的网络资产a,以及历史时刻第β轮扫描端口P对应的网络资产b。
获取上一预设时间段内端口P的预设数据库S,在此为每个端口分配一个预设数据库,在预设数据库S中,存储着上一预设时间段内满足预设条件的网络地址。
根据上述获取的信息,为端口P当前第α轮对应的网络资产a添加变化标识,具体包括:
第一标识,表征网络资产a为新增网络资产,可以用“New”表示。
第一标识的添加条件:网络资产a使用的当前网络地址l不在预设数据库中;在预设时间段内,不存在网络资产a使用的当前网络地址l与历史网络地址相同。
第二标识,表征网络资产a为变更网络资产,可以用“Changed”表示。
第二标识的添加条件:网络资产a使用的当前网络地址l不在预设数据库中;在预设时间段内,存在网络资产a使用的当前网络地址l与历史网络地址相同;当前网络地址l在第α轮对应的网络资产a与第β轮对应的网络资产b发生变更,即网络资产a与网络资产b不同。
第三标识,表征网络资产a为未变更网络资产,可以用“Unchanged”表示。
第三标识的添加条件:网络资产a使用的当前网络地址l不在预设数据库中;在预设时间段内,存在网络资产a使用的当前网络地址l与历史网络地址相同;当前网络地址l在第α轮对应的网络资产a与第β轮对应的网络资产b未发生变更,即网络资产a与网络资产b相同。
第四标识,表征网络资产a所使用的网路地址在预设数据库S中,可以用“Stable”表示。
第四标识的添加条件:网络资产a使用的当前网络地址l在预设数据库中。
通过上述方法,可以得到第α轮扫描端口P对应的网络资产的变化标识,并且将该变化标识添加到上述网络资产中。
在经过n轮后,提取出连续标记第三标识的次数大于等于N次的网络资产所对应的网络地址,将提取出的网络地址作为当前预设时间段内满足预设条件的网络地址,并且存储在端口P对应已清空的预设数据库S中,作为下一预设时间段内端口P的预设数据库S。
值得注意的是,上述N为预设阈值,可以根据实际的应用情况进行设定,并且每经过n轮扫描,将清空一次端口的预设数据库。
通过本申请实施例提供的方法,实现对网络资产的变化监控,填补目前网络资产测绘领域单一网络地址对应的网络资产变化情况的动态监控的空白,并且取得相应技术效果,具体包括:
基于自然语言处理得到网络资产的变化标识,不仅能够对单一网络地址下动态变化的网络资产进行实时标定,而且在用户搜索某一网络地址时,能够直接获取该网络地址对应网络资产的变化标识,得知该网络地址对应网络资产的变化情况,从而降低试错成本,提高威胁分析的精准度,有助于扫描策略优化、威胁跟踪等多种安全场景的辅助应用。
基于同一发明构思,本申请还提供了一种网络资产变化监控的装置,用以填补目前网络资产测绘领域单一网络地址对应的网络资产变化情况的动态监控的空白,从而降低试错成本,提高威胁分析的精准度,有助于扫描策略优化、威胁跟踪等多种安全场景的辅助应用。参见图2,该装置包括:
获取模块201,在第一时刻,获取第一网络地址对应端口的第一响应通告信息,其中,所述第一响应通告信息表征第一时刻与所述第一网络地址对应端口连接的网络资产的响应页面信息;
计算模块202,计算所述第一响应通告信息与第二响应通告信息之间的相似值,其中,所述第二响应通告信息表征第二时刻与所述第一网络地址对应端口连接的网络资产的响应页面信息,所述第二时刻表征所述第一时刻的上一时刻;
第一确定模块203,若所述相似值大于等于预设阈值,则确定所述端口对应的网络资产存在变更;
第二确定模块204,若所述相似值小于预设阈值,则确定所述端口对应的网络资产不存在变更。
在一种可能的设计中,所述获取模块201,具体用于在第一时刻,扫描第一网络地址对应端口,得到端口信息;从所述端口信息中提取在第一时刻与所述端口连接的网络资产回传的第一响应通告信息。
在一种可能的设计中,所述计算模块202,具体用于根据所述第一响应通告信息对应的协议类型,截取所述第一响应通告信息中用于定位所述端口对应的网络资产的第一截取信息;对所述第一截取信息的数据进行规范化处理后的数据进行分词处理,得到所述第一截取信息对应的单词序列;对所述单词序列进行哈希计算,得到第一响应通告信息对应的第一特征值;计算所述第一特征值与所述第二响应通告信息对应的第二特征值之间的相似值。
在一种可能的设计中,在所述第一确定模块203后,还用于在预设数据库中不存在所述第一网络地址时,判断在预设时间段内是否存在所述端口对应的网络资产使用的历史网络地址与所述第一网络地址相同;若否,则为所述端口对应的网络资产添加表示新增网络资产的第一标识;若是,则为所述端口对应的网络资产添加表示变更网络资产的第二标识。
在一种可能的设计中,在所述第二确定模块204后,还用于判断预设数据库中是否存在所述第一网络地址;若否,并且在预设时间段内存在所述端口对应的网络资产使用的历史网络地址与所述第一网络地址相同,则为所述端口对应的网络资产添加表示未变更网络资产的第三标识;若是,则为所述端口对应的网络资产添加第四标识,其中,所述第四标识表示所述端口对应的网络资产使用的所述第一网络地址在预设数据库中。
基于上述装置,填补目前网络资产测绘领域单一网络地址对应的网络资产变化情况的动态监控的空白,从而降低试错成本,提高威胁分析的精准度,有助于扫描策略优化、威胁跟踪等多种安全场景的辅助应用。
基于同一发明构思,本申请实施例中还提供了一种电子设备,所述电子设备可以实现前述一种网络资产变化监控的装置的功能,参考图3,所述电子设备包括:
至少一个处理器301,以及与至少一个处理器301连接的存储器302,本申请实施例中不限定处理器301与存储器302之间的具体连接介质,图3中是以处理器301和存储器302之间通过总线300连接为例。总线300在图3中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线300可以分为地址总线、数据总线、控制总线等,为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。或者,处理器301也可以称为控制器,对于名称不做限制。
在本申请实施例中,存储器302存储有可被至少一个处理器301执行的指令,至少一个处理器301通过执行存储器302存储的指令,可以执行前文论述的网络资产变化监控方法。处理器301可以实现图3所示的装置中各个模块的功能。
其中,处理器301是该装置的控制中心,可以利用各种接口和线路连接整个该控制设备的各个部分,通过运行或执行存储在存储器302内的指令以及调用存储在存储器302内的数据,该装置的各种功能和处理数据,从而对该装置进行整体监控。
在一种可能的设计中,处理器301可包括一个或多个处理单元,处理器301可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器301中。在一些实施例中,处理器301和存储器302可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器301可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的网络资产变化监控方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器302作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器302可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器302是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器302还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
通过对处理器301进行设计编程,可以将前述实施例中介绍的网络资产变化监控方法所对应的代码固化到芯片内,从而使芯片在运行时能够执行图1所示的实施例的网络资产变化监控方法的步骤。如何对处理器301进行设计编程为本领域技术人员所公知的技术,这里不再赘述。
基于同一发明构思,本申请实施例还提供一种存储介质,该存储介质存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行前文论述网络资产变化监控方法。
在一些可能的实施方式中,本申请提供的网络资产变化监控方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在装置上运行时,程序代码用于使该控制设备执行本说明书上述描述的根据本申请各种示例性实施方式的网络资产变化监控方法中的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (10)
1.一种网络资产变化监控的方法,其特征在于,所述方法包括:
在第一时刻,获取第一网络地址对应端口的第一响应通告信息,其中,所述第一响应通告信息表征第一时刻与所述第一网络地址对应端口连接的网络资产的响应页面信息;
计算所述第一响应通告信息与第二响应通告信息之间的相似值,其中,所述第二响应通告信息表征第二时刻与所述第一网络地址对应端口连接的网络资产的响应页面信息,所述第二时刻表征所述第一时刻的上一时刻;
若所述相似值大于等于预设阈值,则确定所述端口对应的网络资产存在变更;
若所述相似值小于预设阈值,则确定所述端口对应的网络资产不存在变更。
2.如权利要求1所述的方法,其特征在于,所述在第一时刻,获取第一网络地址对应端口的第一响应通告信息,包括:
在第一时刻,扫描第一网络地址对应端口,得到端口信息;
从所述端口信息中提取在第一时刻与所述端口连接的网络资产回传的第一响应通告信息。
3.如权利要求1所述的方法,其特征在于,所述计算所述第一响应通告信息与第二响应通告信息之间的相似值,包括:
根据所述第一响应通告信息对应的协议类型,截取所述第一响应通告信息中用于定位所述端口对应的网络资产的第一截取信息;
对所述第一截取信息的数据进行规范化处理后的数据进行分词处理,得到所述第一截取信息对应的单词序列;
对所述单词序列进行哈希计算,得到第一响应通告信息对应的第一特征值;
计算所述第一特征值与所述第二响应通告信息对应的第二特征值之间的相似值。
4.如权利要求1所述的方法,其特征在于,在所述若所述相似值大于等于预设阈值,则确定所述端口对应的网络资产存在变更之后,还包括:
在预设数据库中不存在所述第一网络地址时,判断在预设时间段内是否存在所述端口对应的网络资产使用的历史网络地址与所述第一网络地址相同;
若否,则为所述端口对应的网络资产添加表示新增网络资产的第一标识;
若是,则为所述端口对应的网络资产添加表示变更网络资产的第二标识。
5.如权利要求1所述的方法,其特征在于,在所述若所述相似值小于预设阈值,则确定所述端口对应的网络资产不存在变更之后,还包括:
判断预设数据库中是否存在所述第一网络地址;
若否,并且在预设时间段内存在所述端口对应的网络资产使用的历史网络地址与所述第一网络地址相同,则为所述端口对应的网络资产添加表示未变更网络资产的第三标识;
若是,则为所述端口对应的网络资产添加第四标识,其中,所述第四标识表示所述端口对应的网络资产使用的所述第一网络地址在预设数据库中。
6.一种网络资产变化监控的装置,其特征在于,所述装置包括:
获取模块,在第一时刻,获取第一网络地址对应端口的第一响应通告信息,其中,所述第一响应通告信息表征第一时刻与所述第一网络地址对应端口连接的网络资产的响应页面信息;
计算模块,计算所述第一响应通告信息与第二响应通告信息之间的相似值,其中,所述第二响应通告信息表征第二时刻与所述第一网络地址对应端口连接的网络资产的响应页面信息,所述第二时刻表征所述第一时刻的上一时刻;
第一确定模块,若所述相似值大于等于预设阈值,则确定所述端口对应的网络资产存在变更;
第二确定模块,若所述相似值小于预设阈值,则确定所述端口对应的网络资产不存在变更。
7.如权利要求6所述的装置,其特征在于,所述获取模块,具体用于在第一时刻,扫描第一网络地址对应端口,得到端口信息;从所述端口信息中提取在第一时刻与所述端口连接的网络资产回传的第一响应通告信息。
8.如权利要求6所述的装置,其特征在于,所述计算模块,具体用于根据所述第一响应通告信息对应的协议类型,截取所述第一响应通告信息中用于定位所述端口对应的网络资产的第一截取信息;对所述第一截取信息的数据进行规范化处理后的数据进行分词处理,得到所述第一截取信息对应的单词序列;对所述单词序列进行哈希计算,得到第一响应通告信息对应的第一特征值;计算所述第一特征值与所述第二响应通告信息对应的第二特征值之间的相似值。
9.一种电子设备,其特征在于,包括:
存储器,用于存放计算机程序;
处理器,用于执行所述存储器上所存放的计算机程序时,实现权利要求1-5中任一项所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111123938.9A CN114124913B (zh) | 2021-09-24 | 2021-09-24 | 一种网络资产变化监控的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111123938.9A CN114124913B (zh) | 2021-09-24 | 2021-09-24 | 一种网络资产变化监控的方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114124913A true CN114124913A (zh) | 2022-03-01 |
| CN114124913B CN114124913B (zh) | 2023-11-28 |
Family
ID=80441200
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111123938.9A Active CN114124913B (zh) | 2021-09-24 | 2021-09-24 | 一种网络资产变化监控的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124913B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024045088A1 (zh) * | 2022-08-31 | 2024-03-07 | 西门子股份公司 | 基于位置的安全策略检查的方法、装置、计算机设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012166194A1 (en) * | 2011-06-01 | 2012-12-06 | Hewlett-Packard Development Company, L.P. | Network asset information management |
| WO2016092836A1 (ja) * | 2014-12-10 | 2016-06-16 | 日本電気株式会社 | 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 |
| CN108449345A (zh) * | 2018-03-22 | 2018-08-24 | 深信服科技股份有限公司 | 一种网络资产持续安全监控方法、系统、设备及存储介质 |
| WO2019173439A1 (en) * | 2018-03-07 | 2019-09-12 | Saudi Arabian Oil Company | Asset discovery using network connections of known assets |
| US20200106798A1 (en) * | 2018-10-02 | 2020-04-02 | Rapid7, Inc. | Computing entity resolution for network asset correlation |
| CN112202629A (zh) * | 2020-09-11 | 2021-01-08 | 智网安云(武汉)信息技术有限公司 | 一种网络资产监控方法及一种网络资产监控装置 |
| US20210105304A1 (en) * | 2019-10-04 | 2021-04-08 | Expanse, Inc. | Network asset lifecycle management |
| CN112637159A (zh) * | 2020-12-14 | 2021-04-09 | 杭州安恒信息技术股份有限公司 | 一种基于主动探测技术的网络资产扫描方法、装置及设备 |
| CN112887341A (zh) * | 2021-04-29 | 2021-06-01 | 北京微步在线科技有限公司 | 一种外部威胁监控方法 |
-
2021
- 2021-09-24 CN CN202111123938.9A patent/CN114124913B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012166194A1 (en) * | 2011-06-01 | 2012-12-06 | Hewlett-Packard Development Company, L.P. | Network asset information management |
| WO2016092836A1 (ja) * | 2014-12-10 | 2016-06-16 | 日本電気株式会社 | 通信監視システム、提示装置及びその提示方法、解析装置、並びにコンピュータ・プログラムが格納された記録媒体 |
| WO2019173439A1 (en) * | 2018-03-07 | 2019-09-12 | Saudi Arabian Oil Company | Asset discovery using network connections of known assets |
| CN108449345A (zh) * | 2018-03-22 | 2018-08-24 | 深信服科技股份有限公司 | 一种网络资产持续安全监控方法、系统、设备及存储介质 |
| US20200106798A1 (en) * | 2018-10-02 | 2020-04-02 | Rapid7, Inc. | Computing entity resolution for network asset correlation |
| US20210105304A1 (en) * | 2019-10-04 | 2021-04-08 | Expanse, Inc. | Network asset lifecycle management |
| CN112202629A (zh) * | 2020-09-11 | 2021-01-08 | 智网安云(武汉)信息技术有限公司 | 一种网络资产监控方法及一种网络资产监控装置 |
| CN112637159A (zh) * | 2020-12-14 | 2021-04-09 | 杭州安恒信息技术股份有限公司 | 一种基于主动探测技术的网络资产扫描方法、装置及设备 |
| CN112887341A (zh) * | 2021-04-29 | 2021-06-01 | 北京微步在线科技有限公司 | 一种外部威胁监控方法 |
Non-Patent Citations (2)
| Title |
|---|
| 李憧;刘鹏;蔡国庆;: "基于流量感知的动态网络资产监测研究", 信息安全研究, no. 06 * |
| 王红凯;郑生军;郭龙华;刘昀;: "海量数据下分布式IT资产安全监测系统", 信息网络安全, no. 02 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024045088A1 (zh) * | 2022-08-31 | 2024-03-07 | 西门子股份公司 | 基于位置的安全策略检查的方法、装置、计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124913B (zh) | 2023-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109347787B (zh) | 一种身份信息的识别方法及装置 | |
| CN108985066B (zh) | 一种智能合约安全漏洞检测方法、装置、终端及存储介质 | |
| CN114500690B (zh) | 接口数据处理方法、装置、电子设备及存储介质 | |
| CN111885050B (zh) | 基于区块链网络的数据存储方法、装置、相关设备及介质 | |
| KR102111192B1 (ko) | 신분 정보 검증을 위한 방법 및 장치 | |
| CN110610196A (zh) | 脱敏方法、系统、计算机设备和计算机可读存储介质 | |
| CN113489713A (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN109582844A (zh) | 一种识别爬虫的方法、装置及系统 | |
| CN112148305A (zh) | 一种应用检测方法、装置、计算机设备和可读存储介质 | |
| CN112395630A (zh) | 基于信息安全的数据加密方法、装置、终端设备及介质 | |
| CN114124913B (zh) | 一种网络资产变化监控的方法、装置及电子设备 | |
| CN113672913A (zh) | 一种安全事件处理方法、装置及电子设备 | |
| CN111552696A (zh) | 基于大数据的数据处理方法、装置、计算机设备和介质 | |
| CN109495556B (zh) | 一种文件处理方法及装置 | |
| CN113518080B (zh) | 一种tls加密流量检测方法、装置和电子设备 | |
| CN112839055B (zh) | 面向tls加密流量的网络应用识别方法、装置及电子设备 | |
| CN112765502B (zh) | 恶意访问检测方法、装置、电子设备和存储介质 | |
| CN112860507B (zh) | 分布式链路跟踪系统采样率的控制方法和装置 | |
| CN112130944A (zh) | 页面异常的检测方法、装置、设备及存储介质 | |
| CN112085588A (zh) | 规则模型的安全性的确定方法、装置和数据处理方法 | |
| WO2016127858A1 (zh) | 网页入侵脚本特征的识别方法及设备 | |
| CN111212153A (zh) | Ip地址核查方法、装置、终端设备及存储介质 | |
| CN115563275A (zh) | 一种多维度自适应日志分类分级方法和装置 | |
| CN107995167B (zh) | 一种设备识别方法及服务器 | |
| WO2023050670A1 (zh) | 虚假信息检测方法、系统、计算机设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |