CN114338600B - 一种设备指纹的推选方法、装置、电子设备和介质 - Google Patents

一种设备指纹的推选方法、装置、电子设备和介质 Download PDF

Info

Publication number
CN114338600B
CN114338600B CN202111632917.XA CN202111632917A CN114338600B CN 114338600 B CN114338600 B CN 114338600B CN 202111632917 A CN202111632917 A CN 202111632917A CN 114338600 B CN114338600 B CN 114338600B
Authority
CN
China
Prior art keywords
equipment
field content
fingerprint
protocol
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111632917.XA
Other languages
English (en)
Other versions
CN114338600A (zh
Inventor
张星
黄子恒
葛继声
张志良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202111632917.XA priority Critical patent/CN114338600B/zh
Publication of CN114338600A publication Critical patent/CN114338600A/zh
Application granted granted Critical
Publication of CN114338600B publication Critical patent/CN114338600B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种设备指纹的推选方法、装置、电子设备和介质,按照设备标识和协议类型,对获取的网络流量文件进行解析,以得到同类设备下各协议类型各自对应的字段内容。从字段内容中筛选出与设备通信行为数据库不匹配的目标字段内容;设备通信行为数据库中包含有已知设备对应的可选指纹。根据目标字段内容在网络流量文件中出现的频次,将频次满足设定频次条件的目标字段内容作为待推荐指纹。基于协议类型对网络流量文件进行解析,可以从网络流量文件中提取出有用的字段内容。将字段内容与设备通信行为数据库进行比较,可以筛选出具有唯一性的目标字段内容。基于目标字段内容的频次推荐指纹,使得推荐的指纹更加合理化。

Description

一种设备指纹的推选方法、装置、电子设备和介质
技术领域
本申请涉及物联网设备技术领域,特别是涉及一种设备指纹的推选方法、装置、电子设备和计算机可读存储介质。
背景技术
随着云计算、大数据、物联网、移动互联网等技术的成熟,物联网设备在各行业得到了越来越多的部署。随之而来,物联网设备面临严峻的安全挑战。从外网视角来看,大量物联网设备如视频监控设备、路由器、打印机等暴露在移动互联网上,容易被攻击者攻击,成为僵尸网络的节点,后续可被用于发动分布式拒绝服务攻击(Distributed Denial ofService,DDoS)、挖矿、发送垃圾邮件等。从内网视角来看,多个行业存在大量的物联网应用,这些物联网设备大多升级不及时,受较新的安全漏洞所影响,存在被仿冒接入的风险。由于与业务相关,也存在数据泄露的风险等。
物联网设备包含多种类型的设备,每种类型的设备可以看作一项资产。而想对这些资产进行管理,首先要实现物联网设备的可见性,只有实现了物联网设备的可见性,后续才能够对物联网设备进行漏洞管理、异常检测等。当前的资产识别方法主要分为两大类:主动识别和被动识别。
主动识别方法是指通过主动向目标网络发送构造的数据包,并从返回数据包的相关信息中提取特征,将提取的特征与规则库中的指纹进行比对,来实现对开放端口、操作系统、服务、设备信息的探测。主动识别方法需要构造设备通信报文,这些设备通信报文在被动识别中大多并不存在,因此不适用于被动识别场景。
被动识别方法是指采集目标网络的流量,对流量中的网络协议特定字段内容进行分析,并与规则库关联进行资产识别。目前的被动识别方法主要针对操作系统进行识别,支持有限协议的指纹提取,而物联网设备千差万别,有可能使用私有协议通信,也可能基于UDP(User Datagram Protocol,用户数据报协议)进行通信,同样的识别思路很难应用到对物联网设备的识别上。
物联网设备的识别可以依赖于物联网设备的指纹,指纹具有唯一性,能够用于区分不同类型的物联网设备。但是目前物联网设备的指纹的提取主要依赖于人工。通过人工的方式对物联网设备的流量信息进行分析,从而提取出能够用于唯一表征物联网设备的指纹。但是人工分析缺乏统计视角,无法验证找到的指纹是否是最合适的指纹,并且是否具体唯一性。尤其在数据分析量较大的情况下,人工分析效率偏低,并且准确性得不到保证。
可见,如何高效准确的推荐设备的指纹,是本领域技术人员需要解决的问题。
发明内容
本申请实施例的目的是提供一种设备指纹的推选方法、装置、电子设备和计算机可读存储介质,可以高效准确的推荐设备的指纹。
为解决上述技术问题,本申请实施例提供一种设备指纹的推选方法,包括:
按照设备标识和协议类型,对获取的网络流量文件进行解析,以得到同类设备下各协议类型各自对应的字段内容;
从所述字段内容中筛选出与设备通信行为数据库不匹配的目标字段内容;其中,所述设备通信行为数据库中包含有已知设备对应的可选指纹;
根据所述目标字段内容在所述网络流量文件中出现的频次,将频次满足设定频次条件的目标字段内容作为待推荐指纹。
可选地,所述按照设备标识和协议类型,对获取的网络流量文件进行解析,以得到同类设备下各协议类型各自对应的字段内容包括:
从设备流量数据库中查询所述网络流量文件所属设备的设备标识;其中,所述设备标识包括设备类型、设备厂商、设备型号和设备所属机构;
将所述网络流量文件中具有相同设备标识的数据进行分类,以得到同类设备对应的数据包;
按照各协议类型各自对应的字段类别,从所述同类设备对应的数据包中提取出字段内容。
可选地,所述按照各协议类型各自对应的字段类别,从所述同类设备对应的数据包中提取出字段内容包括:
依据配置文件中包含的目标协议类型以及所述目标协议类型对应的字段类别,从所述同类设备对应的数据包中提取出所述目标协议类型对应的字段内容。
可选地,还包括:
将所述设备所属机构进行匿名化处理,在所述设备流量数据库中记录各设备对应的设备类型、设备厂商、设备型号以及匿名化后的设备所属机构。
可选地,在所述将频次满足设定频次条件的目标字段内容作为待推荐指纹之后还包括:
将所述待推荐指纹以及其对应的设备标识添加至所述设备通信行为数据库。
可选地,在所述将频次满足设定频次条件的目标字段内容作为待推荐指纹之后还包括:
在接收到目标指纹的确认指令在情况下,将所述目标指纹以及其对应的设备标识添加至设备规则库;其中,所述目标指纹为所述待推荐指纹中的一个指纹;所述设备规则库中记录有设备对应的唯一指纹。
可选地,在所述将频次满足设定频次条件的目标字段内容作为待推荐指纹之后还包括:
记录所述目标字段内容所属协议在所述网络流量文件包含的所有协议中的占比,以及每个所述目标字段内容在所有所述目标字段内容中的占比。
本申请实施例还提供了一种设备指纹的推选装置,包括解析单元、筛选单元和作为单元;
所述解析单元,用于按照设备标识和协议类型,对获取的网络流量文件进行解析,以得到同类设备下各协议类型各自对应的字段内容;
所述筛选单元,用于从所述字段内容中筛选出与设备通信行为数据库不匹配的目标字段内容;其中,所述设备通信行为数据库中包含有已知设备对应的可选指纹;
所述作为单元,用于根据所述目标字段内容在所述网络流量文件中出现的频次,将频次满足设定频次条件的目标字段内容作为待推荐指纹。
可选地,所述解析单元包括查询子单元、分类子单元和提取子单元;
所述查询子单元,用于从设备流量数据库中查询所述网络流量文件所属设备的设备标识;其中,所述设备标识包括设备类型、设备厂商、设备型号和设备所属机构;
所述分类子单元,用于将所述网络流量文件中具有相同设备标识的数据进行分类,以得到同类设备对应的数据包;
所述提取子单元,用于按照各协议类型各自对应的字段类别,从所述同类设备对应的数据包中提取出字段内容。
可选地,所述提取子单元用于依据配置文件中包含的目标协议类型以及所述目标协议类型对应的字段类别,从所述同类设备对应的数据包中提取出所述目标协议类型对应的字段内容。
可选地,还包括匿名化单元;
所述匿名化单元,用于将所述设备所属机构进行匿名化处理,在所述设备流量数据库中记录各设备对应的设备类型、设备厂商、设备型号以及匿名化后的设备所属机构。
可选地,还包括添加单元;
所述添加单元,用于将所述待推荐指纹以及其对应的设备标识添加至所述设备通信行为数据库。
可选地,还包括添加单元;
所述添加单元,用于在接收到目标指纹的确认指令在情况下,将所述目标指纹以及其对应的设备标识添加至设备规则库;其中,所述目标指纹为所述待推荐指纹中的一个指纹;所述设备规则库中记录有设备对应的唯一指纹。
可选地,还包括记录单元;
所述记录单元,用于记录所述目标字段内容所属协议在所述网络流量文件包含的所有协议中的占比,以及每个所述目标字段内容在所有所述目标字段内容中的占比。
本申请实施例还提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如上述设备指纹的推选方法的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述设备指纹的推选方法的步骤。
由上述技术方案可以看出,按照设备标识和协议类型,对获取的网络流量文件进行解析,以得到同类设备下各协议类型各自对应的字段内容。依据设备标识可以区分不同类型的设备。考虑到一些协议所对应的字段内容中往往存在具有表征设备唯一性的信息,因此在本申请中可以按照协议类型对网络流量文件进行解析,从而获取到同类设备下各协议类型各自对应的字段内容。当前设备对应的字段内容与其它设备已有的可选指纹相同时,则该字段内容不适合作为当前设备的指纹,因此在本申请中可以基于已知设备对应的可选指纹,构建设备通信行为数据库。为了能够有效的选取出每种类型的设备所具有的指纹,可以从字段内容中筛选出与设备通信行为数据库不匹配的目标字段内容。目标字段内容可能包含有多个字段内容,在进行指纹推荐时,应该推荐被使用次数较为频繁且具有唯一性的目标字段内容,因此可以根据目标字段内容在网络流量文件中出现的频次,将频次满足设定频次条件的目标字段内容作为待推荐指纹。在该技术方案中,通过基于协议类型对网络流量文件进行解析,可以从网络流量文件中提取出有用的字段内容。将字段内容与设备通信行为数据库进行比较,可以筛选出具有唯一性的目标字段内容。基于目标字段内容的频次推荐指纹,使得推荐的指纹更加合理化,实现了高效准确的推荐设备的指纹。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种推选设备指纹的场景示意图;
图2为本申请实施例提供的一种设备指纹的推选方法的流程图;
图3为本申请实施例提供的一种设备指纹的推选装置的结构示意图;
图4为本申请实施例提供的一种电子设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
本申请的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
为了使本技术领域的人员更好地理解本申请方案,下面结合附图和具体实施方式对本申请作进一步的详细说明。
设备指纹是执行资产识别的重要信息。传统技术中采用人工分析的方式,确定出各类设备对应的指纹。但是人工分析的执行效率较低。并且人工分析缺乏统计视角,无法验证找到的指纹是否是最合适的指纹,并且是否具体唯一性。
故此,本申请实施例提供了一种设备指纹的推选方法、装置、电子设备和计算机可读存储介质,基于协议类型对网络流量文件进行解析,可以从网络流量文件中提取出有用的字段内容。将字段内容与设备通信行为数据库进行比较,可以筛选出具有唯一性的目标字段内容。基于目标字段内容的频次推荐指纹,使得推荐的指纹更加合理化。
图1为本申请实施例提供的一种推选设备指纹的场景示意图,图1中是以采集一台设备的网络流量文件为例,在实际应用中,服务端可以对多台设备的网络流量文件进行分析。为了实现对字段内容唯一性的验证,服务端可以预先设置设备通信行为数据库。设备通信行为数据库中包括已知设备对应的可选指纹。服务端可以获取到网络流量文件,考虑到一些协议所对应的字段内容中往往存在具有表征设备唯一性的信息,因此在本申请中可以按照协议类型对网络流量文件进行解析,从而获取到同类设备下各协议类型各自对应的字段内容。
当前设备对应的字段内容与其它设备已有的可选指纹相同时,则该字段内容不适合作为当前设备的指纹,因此可以从字段内容中筛选出与设备通信行为数据库不匹配的目标字段内容。目标字段内容可能包含有多个字段内容,在进行指纹推荐时,应该推荐被使用次数较为频繁且具有唯一性的目标字段内容,因此可以根据目标字段内容在网络流量文件中出现的频次,将频次满足设定频次条件的目标字段内容作为待推荐指纹。按照上述的操作流程,可以实现指纹高效准确的推荐。
接下来,详细介绍本申请实施例所提供的一种设备指纹的推选方法。图2为本申请实施例提供的一种设备指纹的推选方法的流程图,该方法包括:
S201:按照设备标识和协议类型,对获取的网络流量文件进行解析,以得到同类设备下各协议类型各自对应的字段内容。
设备标识可以用于区分不同类型的设备,在实际应用中,可以将设备类型、设备厂商、设备型号和设备所属机构作为设备标识。为了更加全面的了解设备的相关信息,设备标识中还可以包含更多类型的信息,在此不做限定。
在本申请实施例中,可以基于对历史网络流量文件的分析,将各设备对应的设备标识存储至设备流量数据库中。
在具体实现中,可通过使用tcpdump或其它抓包方式进行流量采集。之后通过tshark或其它流量解析工具,将网络流量文件中的通信行为解析出来,可解析成JSON格式。之后将流量解析文件导入设备流量数据库。
解析出来的字段可以包含源IP、目的IP、源MAC地址、目的MAC地址、源端口、目的端口、通信协议,通信载荷等。
若解析出的数据包属于应用层协议,还需按照协议特性解析出协议特有字段,如HTTP(Hyper Text Transfer Protocol,超文本传输协议),可解析出HTTP method,HTTP头中的Server、Location等字段,HTTP body字段等。
为了便于数据的查询,设备流量数据库需要支持统计、检索等功能,设备流量数据库可以采用Elasticsearch或ClickHouse等。
在获取到新的网络流量文件之后,可以直接从设备流量数据库中查询网络流量文件所属设备的设备标识;其中,设备标识可以包括设备类型、设备厂商、设备型号和设备所属机构。
将网络流量文件中具有相同设备标识的数据进行分类,以得到同类设备对应的数据包。每种类型设备的指纹推选方式相同,为了便于介绍,在本申请实施例中,均以一种类型的设备为例展开介绍。
每种类型的设备有其对应的数据包,每个数据包有其对应的协议,不同数据包具有相同或者不同的协议。而不同的协议对应的字段类别有所差异。
考虑到一些协议所对应的字段内容中往往存在具有表征设备唯一性的信息,因此在本申请中可以按照协议类型对网络流量文件进行解析。在实际应用中,可以按照各协议类型各自对应的字段类别,从同类设备对应的数据包中提取出字段内容。
在实际应用中,并非是所有协议对应的字段内容适合作为指纹,为了降低计算量,在本申请实施例中可以设置配置文件。在配置文件中记录有适合作为指纹的字段内容所属的协议。每种类型的协议有其对应的协议名称,在配置文件中可以记录协议名称,用于表征不同的协议类型。
为了便于区分,可以将配置文件中包含的协议类型称作目标协议类型。
在具体实现中,可以依据配置文件中包含的目标协议类型以及目标协议类型对应的字段类别,从同类设备对应的数据包中提取出目标协议类型对应的字段内容。
S202:从字段内容中筛选出与设备通信行为数据库不匹配的目标字段内容。
其中,设备通信行为数据库中可以包含有已知设备对应的可选指纹。
在本申请实施例中,可以将解析得到的字段内容存储在CSV格式的文件中,内容除包含待识别设备的字段内容外,还需增加设备通信行为数据库名,以便于可以直接调用设备通信行为数据库。
设备的指纹应该具有唯一性,在当前设备对应的字段内容与其它设备已有的可选指纹相同的情况下,说明该字段内容不适合作为当前设备的指纹。因此在本申请中可以基于已知设备对应的可选指纹,构建设备通信行为数据库。
已知设备指的是已经具有指纹的设备。设备对应的指纹一般就是单一的一个指纹。可选指纹可以包含作为设备指纹的所有指纹,也即可选指纹中可以包含有多个指纹。
通过将已知设备对应的可选指纹添加在设备通信行为数据库中,可以扩大设备通信行为数据库包含的指纹类型,在基于设备通信行为数据库对字段内容进行筛选时,可以更加有效的保证筛选出的目标字段内容的唯一性。
举例说明,假设同类设备的数据包对应有五种协议,分别为协议A、协议B、协议C、协议D和协议E,针对每种协议对应的字段类别,可以从各协议对应的数据包中提取出字段内容。假设协议C和协议D对应的字段内容与设备通信行为数据库匹配,协议A、协议B和协议E各自对应的字段内容与设备通信行为数据库不匹配,则可以将协议A、协议B和协议E各自对应的字段内容作为目标字段内容。
又或者,假设协议A对应有3个不同的字段内容,分别为字段内容A1至字段内容A3,字段内容A1和字段内容A2与设备通信行为数据库匹配,则可以将剩下的字段内容A3作为协议A对应的目标字段内容。
S203:根据目标字段内容在网络流量文件中出现的频次,将频次满足设定频次条件的目标字段内容作为待推荐指纹。
目标字段内容可能包含有多个字段内容,在进行指纹推荐时,应该推荐被使用次数较为频繁且具有唯一性的目标字段内容,因此可以根据目标字段内容在网络流量文件中出现的频次,将频次满足设定频次条件的目标字段内容作为待推荐指纹。
目标字段内容在网络流量文件中出现的频次可以是目标字段内容所对应的数据包个数。
举例说明,假设同类设备对应的数据包有100个,这些数据包对应有五种协议,分别为协议A、协议B、协议C、协议D和协议E,其中,协议A对应20个数据包,协议B对应10个数据包,协议C对应25个数据包,协议D对应5个数据包,协议E对应40个数据包。以协议A为例,假设协议A对应有3个不同的字段内容,分别为字段内容A1至字段内容A3,字段内容A1在协议A对应20个数据包中均存在,字段内容A2仅在协议A对应的3个数据包中存在,字段内容A3仅在协议A对应的2个数据包中存在,此时字段内容A1的频次为20,字段内容A2的频次为3,字段内容A3的频次为2。又或者以协议E为例,假设协议E对应有2个不同的字段内容,分别为字段内容E1和字段内容E2,字段内容E1在协议E对应40个数据包中均存在,字段内容E2仅在协议E对应的5个数据包中存在,此时字段内容E1的频次为40,字段内容E2的频次为5。
在实际应用中,可以根据各目标字段内容的频次,对目标字段内容进行排序,选取出频次最高的前N个目标字段内容作为待推荐指纹。其中,N的取值可以基于实际需求设置,例如,N可以设置为10。
又或者可以将设定的比例值与目标字段内容的总个数的乘积值的整数部分作为N的取值。其中,比例值可以灵活调整。例如可以设置为20%。
假设目标字段内容有50个,按照设定的比例值20%,则可以将频次最高的前50*20%=10个目标字段内容作为待推荐指纹。
在本申请实施例中,在将频次满足设定频次条件的目标字段内容作为待推荐指纹时,也可以将网络流量文件中存在的与设备通信行为数据库所匹配的设备标识,如设备类型、设备厂商、设备型号等信息,在进行指纹推荐时一并输出,用于说明某协议的部分内容也在其他设备通信行为中出现过,作为用户选取设备指纹的辅助信息。
由上述技术方案可以看出,按照设备标识和协议类型,对获取的网络流量文件进行解析,以得到同类设备下各协议类型各自对应的字段内容。依据设备标识可以区分不同类型的设备。考虑到一些协议所对应的字段内容中往往存在具有表征设备唯一性的信息,因此在本申请中可以按照协议类型对网络流量文件进行解析,从而获取到同类设备下各协议类型各自对应的字段内容。当前设备对应的字段内容与其它设备已有的可选指纹相同时,则该字段内容不适合作为当前设备的指纹,因此在本申请中可以基于已知设备对应的可选指纹,构建设备通信行为数据库。为了能够有效的选取出每种类型的设备所具有的指纹,可以从字段内容中筛选出与设备通信行为数据库不匹配的目标字段内容。目标字段内容可能包含有多个字段内容,在进行指纹推荐时,应该推荐被使用次数较为频繁且具有唯一性的目标字段内容,因此可以根据目标字段内容在网络流量文件中出现的频次,将频次满足设定频次条件的目标字段内容作为待推荐指纹。在该技术方案中,通过基于协议类型对网络流量文件进行解析,可以从网络流量文件中提取出有用的字段内容。将字段内容与设备通信行为数据库进行比较,可以筛选出具有唯一性的目标字段内容。基于目标字段内容的频次推荐指纹,使得推荐的指纹更加合理化,实现了高效准确的推荐设备的指纹。
需要说明的是,在实际应用中,可以在客户现场采集设备网络流量数据并保存成文件的形式,即网络流量文件。同时整理IP与设备类型、设备厂商、设备型号等的对应关系。整理方式可以多种多样,如获取客户已有的IP和资产对应关系表,从设备的配置信息中获取设备的IP地址等信息。在进行网络流量采集时,尽量确保同一类设备至少采集两个以上的IP流量,方便后续分析时确定一个特征是否是该类设备的特征还是单个设备的特征。
在实践中,一些通信字段可能会包含一些很长如几万字节的内容,由于一些数据库会对字段长度有限制,如Elasticsearch要求单个字段的长度最长为32766字节,否则会导致数据入库失败。一些字段可能前缀相同,但是后面会有差别,这些均不利于后续的指纹推荐,因此,在本申请实施例中,可以对这些字段设计了前缀字段,在其原有字段名后拼接_prefix50,意为取该字段内容的前50字节。50字节为经验值,在实际应用中可按需调整前缀字段对应的字节数。
目前常见的协议类型可以包括HTTP、NBNS(Network Basic Input/OutputSystem,网络基本输入/输出系统)、DICOM(Digital Imaging and Communications inMedicine,医学数字成像和通信)、TDS(Tabular Data Stream,表格数据流协议)、DNS(Domain Name System,域名解析协议)、BROWSER(Common Internet File System BrowserProtocol)、LLMNR(Link Local Multicast Name Resolution,链路本地多播名称解析)、MySQL、FTP(File Transfer Protocol,文件传输协议)、MQTT((Message QueuingTelemetry Transport,消息队列遥测传输)、TNS(服务端和客户端通讯的协议)等。若为私有协议,也支持传输层协议,即TCP(Transmission Control Protocol,传输控制协议)和UDP(User Datagram Protocol,用户数据报协议),这时对应的字段为TCP和UDP的通信载荷。由于设备IP既可作为源IP,也可作为目的IP,因此,在生成设备的通信行为时,也可以按照源和目的进行区分,针对源和目的,在按照协议及其相关字段进行统计。
上述介绍中说明了每种类型的协议对应的字段类别有所不同,接下来将以LLMNR协议、MySQL协议和FTP协议为例,对各协议对应的字段类别进行介绍。
以LLMNR协议为了,LLMNR协议有一个query_name字段,里面的内容可能为wpad、isatap、LABDML3000、CS2100EW等,其中wpad、isatap在很多类设备的通信中出现了,不能作为指纹,但是LABDML3000、CS2100EW可以作为待推荐指纹。LABDML3000可以作为指纹特征,然后识别出设备类型是基因杂交信息放大仪,厂商是Digene,型号是DML3000。CS2100E可以作为指纹特征,然后识别出设备类型是牙片机,厂商是锐珂,型号是CS2100。
以MySQL协议为例,MySQL协议有一个query字段,里面的内容示例(1)SHOWWARNINGS,(2)SELECT TIMEDIFF(NOW(),UTC_TIMESTAMP()),(3)SELECT id FROMroboshebeibiao WHERE id=2AND isEnable=1,(4)SELECT id FROM roboshebeibiaoWHERE id=1AND isEnable=1。
(1)和(2)不具备唯一性,(3)和(4)前缀相同,经分析,对应设备类型采血管理系统,厂商是某个医疗设备有限公司,没有型号信息。可以把(3)和(4)的前缀SELECT id FROMroboshebeibiao作为待推荐指纹。
以FTP协议为例,FTP协议的command字段,示例
(1)LIST,
(2)LIST 2021/07/29,
(3)
STOR
//GEMAC800_2P0P1_SNSJ414451943WA_resting_1_2021-07-29T19-04-50.ECG,
(4)
STOR
//GEMAC800_2P0P9_SNSJ415460070WA_resting_1_2021-07-29T12-52-56.ECG,
(1)和(2)没有明显的特征,(3)和(4)前缀相同,并且有型号信息出现,对应的设备类型心电分析系统,厂商是GE,型号是MAC800,STOR//GEMAC800可以作为待推荐指纹。
考虑到实际应用中,设备所属机构可能涉及到信息保密的问题,为了避免非权限人员直接从设备流量数据库中查看到设备所属机构。在本申请实施例中,可以将设备所属机构进行匿名化处理,在设备流量数据库中记录各设备对应的设备类型、设备厂商、设备型号以及匿名化后的设备所属机构。
其中,匿名化处理可以是将设备所属机构转换为用户无法识别的形式,可以采用哈希运算,实现对设备所属机构的匿名化处理。
通过匿名化处理,可以实现对一些机密信息的加密。即使非权限人员获取到这些机密信息,但是由于这些机密信息已经被匿名化处理,对于非权限人员而言其获取到的信息属于无法识别的信息,从而起到了保护机密信息的作用。
为了实现对设备通信行为数据库的不断完善,在本申请实施例中,在将频次满足设定频次条件的目标字段内容作为待推荐指纹之后,可以将待推荐指纹以及其对应的设备标识添加至设备通信行为数据库。
通过不断完善设备通信行为数据库,可以使得设备通信行为数据库包含更多的已知指纹,从而基于设备通信行为数据库,从新的字段内容中筛选出更加合适的目标字段内容,保证了目标字段内容的唯一性,提升了指纹推荐的准确性。
结合上述介绍可知,设备通信行为数据库往往包含有同类设备对应的多个可选的指纹。而在实际应用中,各设备对应的指纹往往为单一的一个指纹,为了便于管理人员直观的了解到各设备对应的指纹,可以构建设备规则库。在设备规则库中可以记录有各设备对应的唯一指纹。
在将频次满足设定频次条件的目标字段内容作为待推荐指纹之后,可以向用户展示待推荐指纹,以便于用户从待推荐指纹中选取出一个指纹作为当前设备的指纹。
用户从待推荐指纹中选取出一个指纹作为当前设备的指纹的过程相当于向服务端输入了目标指纹的确认指令,此时服务端在接收到目标指纹的确认指令时,可以将目标指纹以及其对应的设备标识添加至设备规则库;其中,目标指纹可以为待推荐指纹中的一个指纹。
通过设置设备规则库,实现了对各设备指纹的汇总,可以便于管理人员直观的了解到各设备对应的指纹,提升了管理人员查询信息的便捷性。
在本申请实施例中,为了便于用户了解到网络流量文件中包含的协议,以及各类协议中字段内容的分布情况,可以在将频次满足设定频次条件的目标字段内容作为待推荐指纹之后,记录目标字段内容所属协议在网络流量文件包含的所有协议中的占比,以及每个目标字段内容在所有目标字段内容中的占比。
结合上述的举例说明,同类设备对应的数据包有100个,其中,协议A对应20个数据包,协议B对应10个数据包,协议C对应25个数据包,协议D对应5个数据包,协议E对应40个数据包。协议A、协议B和协议E对应的字段内容属于目标字段内容。
假设协议A对应有3个不同的字段内容,分别为字段内容A1至字段内容A3,字段内容A1在协议A对应的20个数据包中均存在,字段内容A2仅在协议A对应的3个数据包中存在,字段内容A3仅在协议A对应的2个数据包中存在。协议B对应有一个字段内容B1,字段内容B1在协议B对应的10个数据包中均存在。协议E对应有2个不同的字段内容,分别为字段内容E1和字段内容E2,字段内容E1在协议E对应40个数据包中均存在,字段内容E2仅在协议E对应的5个数据包中存在。
协议A在网络流量文件包含的所有协议中的占比为20/100=20%,协议B在网络流量文件包含的所有协议中的占比为10/100=10%,协议E在网络流量文件包含的所有协议中的占比为40/100=40%。其中,协议A中字段内容A1在所有目标字段内容中的占比为20/(20+3+2+10+40+5)=1/4;字段内容A2在所有目标字段内容中的占比为3/(20+3+2+10+40+5)=3/80;字段内容A3在所有目标字段内容中的占比为2/(20+3+2+10+40+5)=1/40。协议B中字段内容B1在所有目标字段内容中的占比为10/(20+3+2+10+40+5)=1/8。协议E中字段内容E1在所有目标字段内容中的占比为40/(20+3+2+10+40+5)=1/2;字段内容E2在所有目标字段内容中的占比为5/(20+3+2+10+40+5)=1/16。
考虑到实际应用中,由于同一协议可能使用不同的端口,因此在本申请实施例中,除了记录目标字段内容所属协议在网络流量文件包含的所有协议中的占比,以及每个目标字段内容在所有目标字段内容中的占比外,也可以记录与协议相关的源端口和目的端口的分布情况,从而便于用户更加全面的了解网络流量文件包含的信息。
图3为本申请实施例提供的一种设备指纹的推选装置的结构示意图,包括解析单元31、筛选单元32和作为单元33;
解析单元31,用于按照设备标识和协议类型,对获取的网络流量文件进行解析,以得到同类设备下各协议类型各自对应的字段内容;
筛选单元32,用于从字段内容中筛选出与设备通信行为数据库不匹配的目标字段内容;其中,设备通信行为数据库中包含有已知设备对应的可选指纹;
作为单元33,用于根据目标字段内容在网络流量文件中出现的频次,将频次满足设定频次条件的目标字段内容作为待推荐指纹。
可选地,解析单元包括查询子单元、分类子单元和提取子单元;
查询子单元,用于从设备流量数据库中查询网络流量文件所属设备的设备标识;其中,设备标识包括设备类型、设备厂商、设备型号和设备所属机构;
分类子单元,用于将网络流量文件中具有相同设备标识的数据进行分类,以得到同类设备对应的数据包;
提取子单元,用于按照各协议类型各自对应的字段类别,从同类设备对应的数据包中提取出字段内容。
可选地,提取子单元用于依据配置文件中包含的目标协议类型以及目标协议类型对应的字段类别,从同类设备对应的数据包中提取出目标协议类型对应的字段内容。
可选地,还包括匿名化单元;
匿名化单元,用于将设备所属机构进行匿名化处理,在设备流量数据库中记录各设备对应的设备类型、设备厂商、设备型号以及匿名化后的设备所属机构。
可选地,还包括添加单元;
添加单元,用于将待推荐指纹以及其对应的设备标识添加至设备通信行为数据库。
可选地,还包括添加单元;
添加单元,用于在接收到目标指纹的确认指令在情况下,将目标指纹以及其对应的设备标识添加至设备规则库;其中,目标指纹为待推荐指纹中的一个指纹;设备规则库中记录有设备对应的唯一指纹。
可选地,还包括记录单元;
记录单元,用于记录目标字段内容所属协议在网络流量文件包含的所有协议中的占比,以及每个目标字段内容在所有目标字段内容中的占比。
图3所对应实施例中特征的说明可以参见图2所对应实施例的相关说明,这里不再一一赘述。
由上述技术方案可以看出,按照设备标识和协议类型,对获取的网络流量文件进行解析,以得到同类设备下各协议类型各自对应的字段内容。依据设备标识可以区分不同类型的设备。考虑到一些协议所对应的字段内容中往往存在具有表征设备唯一性的信息,因此在本申请中可以按照协议类型对网络流量文件进行解析,从而获取到同类设备下各协议类型各自对应的字段内容。当前设备对应的字段内容与其它设备已有的可选指纹相同时,则该字段内容不适合作为当前设备的指纹,因此在本申请中可以基于已知设备对应的可选指纹,构建设备通信行为数据库。为了能够有效的选取出每种类型的设备所具有的指纹,可以从字段内容中筛选出与设备通信行为数据库不匹配的目标字段内容。目标字段内容可能包含有多个字段内容,在进行指纹推荐时,应该推荐被使用次数较为频繁且具有唯一性的目标字段内容,因此可以根据目标字段内容在网络流量文件中出现的频次,将频次满足设定频次条件的目标字段内容作为待推荐指纹。在该技术方案中,通过基于协议类型对网络流量文件进行解析,可以从网络流量文件中提取出有用的字段内容。将字段内容与设备通信行为数据库进行比较,可以筛选出具有唯一性的目标字段内容。基于目标字段内容的频次推荐指纹,使得推荐的指纹更加合理化,实现了高效准确的推荐设备的指纹。
图4为本申请实施例提供的一种电子设备的结构图,如图4所示,电子设备包括:存储器20,用于存储计算机程序;
处理器21,用于执行计算机程序时实现如上述实施例设备指纹的推选方法的步骤。
本实施例提供的电子设备可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
其中,处理器21可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器21可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器21还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器20可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器20至少用于存储以下计算机程序201,其中,该计算机程序被处理器21加载并执行之后,能够实现前述任一实施例公开的设备指纹的推选方法的相关步骤。另外,存储器20所存储的资源还可以包括操作系统202和数据203等,存储方式可以是短暂存储或者永久存储。其中,操作系统202可以包括Windows、Unix、Linux等。数据203可以包括但不限于设备标识、协议类型、设备通信行为数据库等。
在一些实施例中,电子设备还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
本领域技术人员可以理解,图4中示出的结构并不构成对电子设备的限定,可以包括比图示更多或更少的组件。
可以理解的是,如果上述实施例中的设备指纹的推选方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、磁碟或者光盘等各种可以存储程序代码的介质。
基于此,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述设备指纹的推选方法的步骤。
本发明实施例所述计算机可读存储介质的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
以上对本申请实施例所提供的一种设备指纹的推选方法、装置、电子设备和计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
以上对本申请所提供的一种设备指纹的推选方法、装置、电子设备和计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。

Claims (10)

1.一种设备指纹的推选方法,其特征在于,包括:
按照设备标识和协议类型,对获取的网络流量文件进行解析,以得到同类设备下各协议类型各自对应的字段内容;
从所述字段内容中筛选出与设备通信行为数据库不匹配的目标字段内容;其中,所述设备通信行为数据库中包含有已知设备对应的可选指纹;
根据所述目标字段内容在所述网络流量文件中出现的频次,将频次满足设定频次条件的目标字段内容作为待推荐指纹。
2.根据权利要求1所述的设备指纹的推选方法,其特征在于,所述按照设备标识和协议类型,对获取的网络流量文件进行解析,以得到同类设备下各协议类型各自对应的字段内容包括:
从设备流量数据库中查询所述网络流量文件所属设备的设备标识;其中,所述设备标识包括设备类型、设备厂商、设备型号和设备所属机构;
将所述网络流量文件中具有相同设备标识的数据进行分类,以得到同类设备对应的数据包;
按照各协议类型各自对应的字段类别,从所述同类设备对应的数据包中提取出字段内容。
3.根据权利要求2所述的设备指纹的推选方法,其特征在于,所述按照各协议类型各自对应的字段类别,从所述同类设备对应的数据包中提取出字段内容包括:
依据配置文件中包含的目标协议类型以及所述目标协议类型对应的字段类别,从所述同类设备对应的数据包中提取出所述目标协议类型对应的字段内容。
4.根据权利要求2所述的设备指纹的推选方法,其特征在于,还包括:
将所述设备所属机构进行匿名化处理,在所述设备流量数据库中记录各设备对应的设备类型、设备厂商、设备型号以及匿名化后的设备所属机构。
5.根据权利要求1所述的设备指纹的推选方法,其特征在于,在所述将频次满足设定频次条件的目标字段内容作为待推荐指纹之后还包括:
将所述待推荐指纹以及其对应的设备标识添加至所述设备通信行为数据库。
6.根据权利要求1所述的设备指纹的推选方法,其特征在于,在所述将频次满足设定频次条件的目标字段内容作为待推荐指纹之后还包括:
在接收到目标指纹的确认指令在情况下,将所述目标指纹以及其对应的设备标识添加至设备规则库;其中,所述目标指纹为所述待推荐指纹中的一个指纹;所述设备规则库中记录有设备对应的唯一指纹。
7.根据权利要求1至6任意一项所述的设备指纹的推选方法,其特征在于,在所述将频次满足设定频次条件的目标字段内容作为待推荐指纹之后还包括:
记录所述目标字段内容所属协议在所述网络流量文件包含的所有协议中的占比,以及每个所述目标字段内容在所有所述目标字段内容中的占比。
8.一种设备指纹的推选装置,其特征在于,包括解析单元、筛选单元和作为单元;
所述解析单元,用于按照设备标识和协议类型,对获取的网络流量文件进行解析,以得到同类设备下各协议类型各自对应的字段内容;
所述筛选单元,用于从所述字段内容中筛选出与设备通信行为数据库不匹配的目标字段内容;其中,所述设备通信行为数据库中包含有已知设备对应的可选指纹;
所述作为单元,用于根据所述目标字段内容在所述网络流量文件中出现的频次,将频次满足设定频次条件的目标字段内容作为待推荐指纹。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至7任意一项所述设备指纹的推选方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任意一项所述设备指纹的推选方法的步骤。
CN202111632917.XA 2021-12-28 2021-12-28 一种设备指纹的推选方法、装置、电子设备和介质 Active CN114338600B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111632917.XA CN114338600B (zh) 2021-12-28 2021-12-28 一种设备指纹的推选方法、装置、电子设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111632917.XA CN114338600B (zh) 2021-12-28 2021-12-28 一种设备指纹的推选方法、装置、电子设备和介质

Publications (2)

Publication Number Publication Date
CN114338600A CN114338600A (zh) 2022-04-12
CN114338600B true CN114338600B (zh) 2023-09-05

Family

ID=81014120

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111632917.XA Active CN114338600B (zh) 2021-12-28 2021-12-28 一种设备指纹的推选方法、装置、电子设备和介质

Country Status (1)

Country Link
CN (1) CN114338600B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114827309B (zh) * 2022-04-19 2024-02-23 深信服科技股份有限公司 一种设备指纹生成方法、装置、设备及可读存储介质
CN116894011A (zh) * 2023-07-17 2023-10-17 上海螣龙科技有限公司 多维度智能化指纹库及多维度智能化指纹库设计和查询方法

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600414A (zh) * 2018-05-09 2018-09-28 中国平安人寿保险股份有限公司 设备指纹的构建方法、装置、存储介质及终端
CN109474691A (zh) * 2018-12-03 2019-03-15 北京神州绿盟信息安全科技股份有限公司 一种物联网设备识别的方法及装置
CN111225082A (zh) * 2020-01-14 2020-06-02 上海顺舟智能科技股份有限公司 一种物联网智能设备的身份管理方法、装置及物联网平台
CN111327719A (zh) * 2020-02-11 2020-06-23 腾讯科技(深圳)有限公司 业务处理方法、装置、业务服务器及介质
CN111478986A (zh) * 2020-06-22 2020-07-31 腾讯科技(深圳)有限公司 设备指纹的生成方法、装置、设备及存储介质
CN111741138A (zh) * 2020-05-13 2020-10-02 北京理工大学 机器人系统注册管理方法、设备和计算机可读存储介质
CN112311630A (zh) * 2020-11-04 2021-02-02 国网北京市电力公司 网络设备的识别方法及装置
CN112468520A (zh) * 2021-01-28 2021-03-09 腾讯科技(深圳)有限公司 一种数据检测方法、装置、设备及可读存储介质
CN112600793A (zh) * 2020-11-23 2021-04-02 国网山东省电力公司青岛供电公司 一种基于机器学习的物联网设备分类识别方法及系统
CN112995172A (zh) * 2021-02-24 2021-06-18 合肥优尔电子科技有限公司 物联网设备和物联网平台之间对接的通信方法及通信系统
CN113574838A (zh) * 2018-12-28 2021-10-29 普拉德有限公司 通过客户端指纹过滤互联网流量的系统和方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070217648A1 (en) * 2006-03-02 2007-09-20 Thomas Muehlbauer Fingerprinting Digital Media Content
US9451036B2 (en) * 2008-01-15 2016-09-20 Alcatel Lucent Method and apparatus for fingerprinting systems and operating systems in a network
CA2933669A1 (en) * 2015-06-23 2016-12-23 Above Security Inc. Method and system for detecting and identifying assets on a computer network
US11184389B2 (en) * 2019-10-31 2021-11-23 Visa International Service Association Security mechanisms for preventing retry or replay attacks

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600414A (zh) * 2018-05-09 2018-09-28 中国平安人寿保险股份有限公司 设备指纹的构建方法、装置、存储介质及终端
CN109474691A (zh) * 2018-12-03 2019-03-15 北京神州绿盟信息安全科技股份有限公司 一种物联网设备识别的方法及装置
CN113574838A (zh) * 2018-12-28 2021-10-29 普拉德有限公司 通过客户端指纹过滤互联网流量的系统和方法
CN111225082A (zh) * 2020-01-14 2020-06-02 上海顺舟智能科技股份有限公司 一种物联网智能设备的身份管理方法、装置及物联网平台
CN111327719A (zh) * 2020-02-11 2020-06-23 腾讯科技(深圳)有限公司 业务处理方法、装置、业务服务器及介质
CN111741138A (zh) * 2020-05-13 2020-10-02 北京理工大学 机器人系统注册管理方法、设备和计算机可读存储介质
CN111478986A (zh) * 2020-06-22 2020-07-31 腾讯科技(深圳)有限公司 设备指纹的生成方法、装置、设备及存储介质
CN112311630A (zh) * 2020-11-04 2021-02-02 国网北京市电力公司 网络设备的识别方法及装置
CN112600793A (zh) * 2020-11-23 2021-04-02 国网山东省电力公司青岛供电公司 一种基于机器学习的物联网设备分类识别方法及系统
CN112468520A (zh) * 2021-01-28 2021-03-09 腾讯科技(深圳)有限公司 一种数据检测方法、装置、设备及可读存储介质
CN112995172A (zh) * 2021-02-24 2021-06-18 合肥优尔电子科技有限公司 物联网设备和物联网平台之间对接的通信方法及通信系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于流量指纹的物联网设备识别方法和物联网安全模型;杨威超 等;《计算机科学》;全文 *

Also Published As

Publication number Publication date
CN114338600A (zh) 2022-04-12

Similar Documents

Publication Publication Date Title
CN114338600B (zh) 一种设备指纹的推选方法、装置、电子设备和介质
US9374225B2 (en) Document de-registration
US8938534B2 (en) Automatic provisioning of new users of interest for capture on a communication network
US20060021021A1 (en) Security event data normalization
US20070061451A1 (en) Method and system for monitoring network communications in real-time
CN111953552B (zh) 数据流的分类方法和报文转发设备
KR102476126B1 (ko) 고속 분석을 위한 네트워크 트래픽 준비 시스템
CN110149319B (zh) Apt组织的追踪方法及装置、存储介质、电子装置
CN106100997B (zh) 一种网络流量信息处理方法及装置
US20200137117A1 (en) Distributed network and security operations platform
CN110149318B (zh) 邮件元数据的处理方法及装置、存储介质、电子装置
CN113328985B (zh) 一种被动物联网设备识别方法、系统、介质及设备
US20160381183A1 (en) Server grouping system
CN115865525B (zh) 日志数据处理方法、装置、电子设备和存储介质
CN115883223A (zh) 用户风险画像的生成方法及装置、电子设备、存储介质
CN110677396A (zh) 一种安全策略配置方法和装置
CN115242434A (zh) 应用程序接口api的识别方法及装置
CN114143086A (zh) 一种Web应用识别方法、装置、电子设备及存储介质
EP3718284B1 (en) Extending encrypted traffic analytics with traffic flow data
CN113098852A (zh) 一种日志处理方法及装置
Kijewski et al. Proactive detection and automated exchange of network security incidents
CN110224975B (zh) Apt信息的确定方法及装置、存储介质、电子装置
CN112769739A (zh) 数据库操作违规处理方法、装置及设备
CN114553546B (zh) 基于网络应用的报文抓取的方法和装置
Zhou et al. Classification of botnet families based on features self-learning under network traffic censorship

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant