CN114978571B - 一种用于探测网络中EoL嵌入式设备存活状态的方法和系统 - Google Patents
一种用于探测网络中EoL嵌入式设备存活状态的方法和系统 Download PDFInfo
- Publication number
- CN114978571B CN114978571B CN202210253246.4A CN202210253246A CN114978571B CN 114978571 B CN114978571 B CN 114978571B CN 202210253246 A CN202210253246 A CN 202210253246A CN 114978571 B CN114978571 B CN 114978571B
- Authority
- CN
- China
- Prior art keywords
- eol
- list
- sample
- embedded
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种用于探测网络中EoL嵌入式设备存活状态的方法和系统,该系统包括EoL嵌入式设备模型列表生成器、网络空间测绘搜索引擎筛选器和EoL嵌入式设备探测引擎。EoL嵌入式设备模型列表生成器用于由确定的EoL嵌入式设备模型集合,生成符合规范的EoL嵌入式设备模型列表;网络空间测绘搜索引擎筛选器通过对确定的网络空间测绘搜索引擎集合进行多种测试和数据确认,确定最佳的网络空间测绘搜索引擎;EoL嵌入式设备探测引擎利用最佳网络空间测绘搜索引擎获取EoL嵌入式设备模型的结果集,经过多种方式的数据确认和持续监控,最终获取EoL嵌入式设备模型的设备列表中设备的存活状态。本发明能够高效精确地探测网络中EoL嵌入式设备存活状态。
Description
技术领域
本发明属于网络安全领域,具体涉及一种用于探测网络中EoL嵌入式设备存活状态的方法和系统。
背景技术
随着社会的发展,嵌入式设备逐渐成为我们日常生活中必不可少的一部分。例如,家用式路由器几乎全天候工作。根据Transforma Insights的报告,在2030年前,将会有54亿台嵌入式设备会连接到互联网。与此同时,嵌入式设备的安全性问题也受到了广泛地关注。一旦嵌入式设备受到攻击,用户的隐私信息极易受到泄露。更加糟糕的是,攻击者可以利用有漏洞的嵌入式设备构建僵尸网络,进而实现DDoS(分布式拒绝服务)攻击。
尽管有很多的研究人员致力于提升嵌入式设备的安全性工作,但是一些特殊的设备,比如End-of-Life(生命周期终止,简称EoL)嵌入式设备,往往被人们所忽略。一旦嵌入式设备的生命周期终止,厂商便不再支持对该嵌入式设备进行固件和软件的漏洞修复。但是这些EoL嵌入式设备有极大概率仍然会存在于网络中,因为不再受到厂商的安全性维护,EoL嵌入式设备中会存在一些致命的漏洞,显然,这些EoL嵌入式设备是极易受到攻击和恶意利用的。因此,提高EoL嵌入式设备安全性成为了众矢之的。
提升EoL嵌入式设备安全性的首要问题,是如何探测这些网络中的EoL嵌入式设备存活状态。现阶段探测网络中的嵌入式设备的方法单一,主要是使用网络空间测绘搜索引擎查询。由于不同的网络空间测绘搜索引擎使用不同的探测算法,导致了网络空间测绘搜索引擎的查询效果良莠不齐,对于同一个嵌入式设备模型,不同的网络空间测绘搜索引擎往往会得到不同的结果。并且,由于这些网络空间测绘搜索引擎往往会使用缓存,导致引擎背后的数据库信息往往不能及时更新,这会导致一些嵌入式设备模型明明不再存活却仍能通过该引擎搜索得到存活状态。对于EoL嵌入式设备而言,情况便更加严峻:其一,EoL 嵌入式设备本身就处于边缘化,这意味着网络空间测绘搜索引擎缓存弃存活状态的时间将会更长;其二,EoL嵌入式设备由于其时效性和复杂性,网络空间测绘引擎搜索得到的设备状态会有较大的差异化表现。由于上述种种情形,网络中EoL嵌入式设备存活状态的探测结果的准确性往往达不到预期要求,获取EoL嵌入式设备存活状态的效率也往往低下,因此需要一种方法能够精确且高效地探测网络中EoL嵌入式设备的存活状态。
发明内容
针对现有技术的不足,本发明提供一种用于探测网络中EoL嵌入式设备存活状态的方法和系统,能够高效精确地获取EoL嵌入式设备存活状态数据,从而为后续进一步提升EoL 嵌入式设备安全性提供技术支持和数据支持。
本发明的目的通过如下的技术方案来实现:
一种用于探测网络中EoL嵌入式设备存活状态的方法,该方法包括如下步骤:
S1:生成符合规范的EoL嵌入式设备模型列表;
S2:从所述EoL嵌入式设备模型列表中随机选择部分EoL嵌入式设备模型,组成随机选择后的EoL嵌入式设备模型列表;将随机选择后的EoL嵌入式设备模型列表和网络空间测绘搜索引擎列表进行笛卡尔乘积,对每一组得到的笛卡尔积(网络空间测绘搜索引擎,EoL嵌入式设备模型),使用网络空间搜索引擎对EoL嵌入式设备进行搜索,进而得到EoL 嵌入式设备模型的设备列表;对所述的设备列表按照既定规则取样,进而获得样本列表;对于样本列表中的每一个样本,解析该样本的记录,发送多种类型的请求包验证,进而得到该样本的存活状态;通过多次监控,将多次监控的结果按照约定取均值,综合评价每一个网络空间测绘搜索引擎,进而得到最佳的网络空间测绘搜索引擎;
S3:根据S2得到的最佳的网络空间测绘搜索引擎的搜索规范手册和API文档对S1中的符合规范的EoL嵌入式设备模型列表中的每一个模型进行搜索,解析搜索到的设备记录,得到设备记录中的EoL嵌入式设备模型的设备列表;根据约定好的地域列表,对地域列表和设备列表做笛卡尔乘积;针对每一个设备,使用地域列表中的每一个地域发送多种类型的请求包,根据是否收到回复确定该设备的存活状态;通过长时间持续性监控,从而构建EoL嵌入式设备存活状态的数据库。
进一步地,生成符合规范的EoL嵌入式设备模型列表的具体步骤如下:
(1)据既定需求确定EoL嵌入式设备模型的厂商;
(2)通过网络爬虫方式获取EoL嵌入式设备模型的厂商的EoL嵌入式设备模型集合;
(3)根据预定义的规范对EoL嵌入式设备模型集合进行数据清洗,进而生成符合规范的EoL嵌入式设备模型列表。
进一步地,所述S2中,对所述的设备列表按照既定规则取样,进而获得样本列表的规则如下:如果设备列表的长度大于该阈值,则使用简单随机取样取出阈值数量的设备作为样本列表;如果设备列表的长度小于等于该阈值,则直接使用设备列表作为样本列表。
进一步地,所述S2中,解析该样本的记录,发送多种类型的请求包验证,进而得到该样本的存活状态的具体操作如下:
解析该样本的记录,获取IP、Port;根据IP和Port向该样本发送ICMP请求,如果收到了该样本返回的ICMP回复,那么将该样本的存活状态标记为存活;如果没有收到该样本的ICMP回复,然后向该样本发送TCP SYN请求,如果收到了TCP ACK回复或者TCP RST 回复,那么将该设备的存活状态标记为存活。
进一步地,为了提高该样本存活状态探测结果的准确性,如果该样本的存活状态被标记为存活,再使用软件NMap进一步检测该样本,如果检测到的结果与当前该样本存活状态相吻合,那么最终确定该样本的存活状态为存活;否则,确定该样本的存活状态为非存活。
进一步地,所述S3中,针对每一个设备,使用地域列表中的每一个地域发送多种类型的请求包,根据是否收到回复确定该设备的存活状态的具体操作如下:
针对每一个设备,使用地域列表中的每一个地域,根据IP和Port向该设备发送TCPSYN请求;进一步地,如果没有收到回复,那么向该设备继续发送UDP请求;如果收到了该设备返回的回复,那么确认该设备的存活状态为存活;否则,确认该设备的存活状态为非存活。
一种用于探测网络中EoL嵌入式设备存活状态的系统,该系统用于实现上述的方法,该系统包括:
EoL嵌入式设备模型列表生成器,用于生成符合规范的EoL嵌入式设备模型列表;
网络空间测绘搜索引擎筛选器,首先将EoL嵌入式设备模型列表生成器的符合规范的 EoL嵌入式设备模型列表随机选择部分EoL嵌入式设备模型,组成随机选择后的EoL嵌入式设备模型列表;再将随机选择后的EoL嵌入式设备模型列表和输入的网络空间测绘搜索引擎列表进行笛卡尔乘积,对每一组得到的笛卡尔积(网络空间测绘搜索引擎,EoL嵌入式设备模型),使用网络空间搜索引擎对EoL嵌入式设备进行搜索,进而得到EoL嵌入式设备模型的设备列表;对所述的设备列表按照既定规则取样,进而获得样本列表;对于样本列表中的每一个样本,解析该样本的记录,发送多种类型的请求包验证,进而得到该样本的存活状态;通过多次监控,将多次监控的结果按照约定取均值;并将所有的EoL嵌入式设备模型的准确率和设备真实存活数量输出,用作确定最佳的网络空间测绘搜索引擎的参考数据;
EoL嵌入式设备探测引擎使用用户由网络空间测绘搜索引擎筛选器输出的数据综合评价确定的最佳的网络空间测绘搜索引擎,并根据该引擎的搜索规范手册和API文档对S1中的符合规范的EoL嵌入式设备模型列表中的每一个模型进行搜索,解析搜索到的设备记录,得到设备记录中的EoL嵌入式设备模型的设备列表;根据约定好的地域列表,对地域列表和设备列表做笛卡尔乘积;针对每一个设备,使用地域列表中的每一个地域发送多种类型的请求包,根据是否收到回复确定该设备的存活状态;通过长时间持续性监控,从而构建 EoL嵌入式设备存活状态的数据库。
本发明的有益效果如下:
本发明的用于探测网络中EoL嵌入式设备存活状态的方法和系统,弥补了现阶段探测网络中EoL嵌入式设备存活状态方式单一的不足,可用于高效精确地探测网络中EoL嵌入式设备存活状态,同时也可用于探测分析网络中其他设备的状态、评估网络空间测绘搜索引擎等多种场景。
附图说明
图1为本发明的用于探测网络中EoL嵌入式设备存活状态的系统的架构图;
图2为EoL嵌入式设备模型列表生成器的流程示意图;
图3为网络空间测绘搜索引擎筛选器的流程示意图;
图4为EoL嵌入式设备探测引擎的流程示意图。
具体实施方式
下面根据附图和优选实施例详细描述本发明,本发明的目的和效果将变得更加明白,应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明的用于探测网络中EoL嵌入式设备存活状态的方法包括生成符合规范的EoL嵌入式设备模型列表、筛选最佳的网络空间测绘搜索引擎、构建EoL嵌入式设备存活状态的数据库三大步骤。具体如下:
S1:生成符合规范的EoL嵌入式设备模型列表
(1)据既定需求确定EoL嵌入式设备模型的厂商,具体可根据市场占有量与嵌入式设备的普及程度来确定;
(2)通过requests+bs4、selenium等多种网络爬虫方式获取EoL嵌入式设备模型的厂商的EoL嵌入式设备模型集合;
(3)根据预定义的规范对EoL嵌入式设备模型集合进行数据清洗,去除一些明显不符合规则错误数据,进而生成符合规范的EoL嵌入式设备模型列表。如果数据清洗的效果不理想,还需进行人工处理。具体如图2所示。
S2:筛选最佳的网络空间测绘搜索引擎
从EoL嵌入式设备模型列表中随机选择部分EoL嵌入式设备模型,组成随机选择后的 EoL嵌入式设备模型列表;将随机选择后的EoL嵌入式设备模型列表和网络空间测绘搜索引擎列表进行笛卡尔乘积,对每一组得到的笛卡尔积(网络空间测绘搜索引擎,EoL嵌入式设备模型),使用网络空间搜索引擎对EoL嵌入式设备进行搜索,进而得到EoL嵌入式设备模型的设备列表;对所述的设备列表按照既定规则取样,进而获得样本列表;对于样本列表中的每一个样本,解析该样本的记录,发送多种类型的请求包验证,进而得到该样本的存活状态;通过多次监控,将多次监控的结果按照约定取均值,综合评价每一个网络空间测绘搜索引擎,进而得到最佳的网络空间测绘搜索引擎;
如图3所示,具体执行如下:
(1)根据需求和网络空间测绘搜索引擎的体量,确定可用的网络空间测绘搜索引擎列表,著名的网络空间测绘搜索引擎有Zoomeye、Shodan和BinaryEdge等。
(2)在EoL嵌入式设备模型列表中随机选择固定值个EoL嵌入式设备模型。
(3)对随机选择的固定值个EoL嵌入式设备模型和网络空间测绘搜索引擎列表做笛卡尔乘积,对每一组得到的笛卡尔积(网络空间测绘搜索引擎,EoL嵌入式设备模型),使用网络空间搜索引擎对EoL嵌入式设备进行搜索查询。
(4)根据步骤(3)获取的查询结果,经过提取,获取EoL嵌入式设备模型的设备列表,根据预先设置的阈值规则:如果设备列表的长度大于该阈值,则使用简单随机取样取出阈值数量的设备作为样本列表;如果设备列表的长度小于等于该阈值,则直接使用设备列表作为样本列表。
(5)根据(4)获取的样本列表,对于每一个样本(EoL嵌入式设备模型的具体设备):解析该样本的记录,获取IP、Port;根据IP和Port向该样本发送ICMP请求,如果收到了该样本返回的ICMP回复,那么将该样本的存活状态标记为存活;如果没有收到该样本的 ICMP回复,然后向该样本发送TCP SYN请求,如果收到了TCP ACK回复或者TCP RST 回复,那么将该设备的存活状态标记为存活;进一步地,为了提高该样本存活状态探测结果的准确性,如果该样本的存活状态被标记为存活,那么使用软件NMap(Network Mapper) 进一步检测该样本,如果检测到的结果与当前该样本存活状态相吻合,那么最终确定该样本的存活状态为存活;否则,确定该样本的存活状态为非存活。
(6)多次监控,将多次监控获得的结果进行均值计算。
(7)根据步骤(5)和(6)获取的EoL嵌入式设备存活状态的结果,统计存活数量,并对计算出各个网络空间测绘搜索引擎对随机选择后的各个EoL嵌入式设备模型存活状态的准确率。综合评价每一个网络空间测绘搜索引擎,进而筛选出最佳的网络空间测绘搜索引擎。
S3:构建EoL嵌入式设备存活状态的数据库
如图4所示,根据S2得到的最佳的网络空间测绘搜索引擎的搜索规范手册和API文档对S1中的符合规范的EoL嵌入式设备模型列表中的每一个模型进行搜索,解析搜索到的设备记录,得到设备记录中的EoL嵌入式设备模型的设备列表;根据约定好的地域列表,对地域列表和设备列表做笛卡尔乘积;针对每一个设备,使用地域列表中的每一个地域发送多种类型的请求包,根据是否收到回复确定该设备的存活状态;通过长时间持续性监控,从而构建EoL嵌入式设备存活状态的数据库。
具体执行步骤如下:
(1)根据最佳的网络空间测绘搜索引擎的规范手册和API文档,选择并设置合适的参数;
(2)对于EoL嵌入式设备模型列表中的每一个模型,使用最佳的网络空间搜索引擎对该模型进行搜索查询,得到设备记录。
(3)解析对应的设备记录,获得设备记录中的EoL嵌入式设备模型的设备列表。进一步解析设备记录,获取IP、Port等信息,并根据需求获取Service、Country、Location、Autonomous System Number(ASN)、Internet Service Provider(IPS)、OrganizationBanner 等额外信息。
(4)根据约定确定地域列表,对地域列表和设备列表做笛卡尔乘积。
(5)对于每一个EoL嵌入式设备模型的设备列表,对于该列表中的每一个设备,使用地域列表中的每一个地域,根据IP和Port向该设备发送TCP SYN请求;进一步地,如果没有收到回复,那么向该设备继续发送UDP请求;如果收到了该设备返回的回复,那么可以确认该设备的存活状态为存活。否则,确认该设备的存活状态为非存活。
(6)长时间持续性监控EoL嵌入式设备模型列表中的每一个模型,并根据每一次监控的结果构建EoL嵌入式设备存活状态的数据库。
本发明的用于探测网络中EoL嵌入式设备存活状态的系统,该系统用于实现上述的方法,该系统包括:
EoL嵌入式设备模型列表生成器,用于生成符合规范的EoL嵌入式设备模型列表;
网络空间测绘搜索引擎筛选器,首先将EoL嵌入式设备模型列表生成器的符合规范的 EoL嵌入式设备模型列表随机选择部分EoL嵌入式设备模型,组成随机选择后的EoL嵌入式设备模型列表;再将随机选择后的EoL嵌入式设备模型列表和输入的网络空间测绘搜索引擎列表进行笛卡尔乘积,对每一组得到的笛卡尔积(网络空间测绘搜索引擎,EoL嵌入式设备模型),使用网络空间搜索引擎对EoL嵌入式设备进行搜索,进而得到EoL嵌入式设备模型的设备列表;对所述的设备列表按照既定规则取样,进而获得样本列表;对于样本列表中的每一个样本,解析该样本的记录,发送多种类型的请求包验证,进而得到该样本的存活状态;通过多次监控,将多次监控的结果按照约定取均值;并将所有的EoL嵌入式设备模型的准确率和设备真实存活数量输出,用作确定最佳的网络空间测绘搜索引擎的参考数据;
EoL嵌入式设备探测引擎使用用户由网络空间测绘搜索引擎筛选器输出的数据综合评价确定的最佳的网络空间测绘搜索引擎,并根据该引擎的搜索规范手册和API文档对S1中的符合规范的EoL嵌入式设备模型列表中的每一个模型进行搜索,解析搜索到的设备记录,得到设备记录中的EoL嵌入式设备模型的设备列表;根据约定好的地域列表,对地域列表和设备列表做笛卡尔乘积;针对每一个设备,使用地域列表中的每一个地域发送多种类型的请求包,根据是否收到回复确定该设备的存活状态;通过长时间持续性监控,从而构建 EoL嵌入式设备存活状态的数据库。
下面给出一个具体的实施例进一步说明本发明的方法及系统。
在该实施例中,确定的EoL嵌入式设备模型的厂商为D-Link,确定的符合规范的EoL 嵌入式模型设备列表(部分):DAP-1120,DAP-1320,DAP-1350,DAP-1360,DAP-1513,DAP-1520,DAP-1522,DAP-1525,DAP-1533,DAP-1555,DAP-1562,DCF-560M,DCF-650W。共433个EoL嵌入式设备模型列表。
网络空间测绘搜索引擎筛选器确定的网络空间测绘搜索引擎列表为BinaryEdge、Shodan和Zoomeye。随机选择的10个EoL嵌入式设备模型为:DCS-5009L、DI-524、DIR-815、DCS-935L、DCS-931L、DCS-910、DIR-632、DCS-2136L、DIR-130和DCS-5029L。
对10个EoL嵌入式设备模型和3个网络空间测绘搜索引擎做笛卡尔积。以模型DCS-5009L为例,使用3个网络空间测绘搜索引擎分别对该模型进行搜索查询:使用BinaryEdge得到的DCS-5009L设备列表长度为84,使用Shodan得到的DCS-5009L设备列表长度为213,使用Zoomeye得到的DCS-5009L设备列表长度为8486。
设置阈值为500。以模型DCS-5009L为例,对三个网络空间测绘搜索引擎得到的DCS-5009L设备列表进行取样:对于BinaryEdge,样本列表长度为84;对于Shodan,样本列表长度为213;对于Zoomeye,样本列表长度为500。
以模型DCS-5009L为例,对三个网络空间测绘搜索引擎得到的样本列表中的每一个样本,使用ICMP、TCP SYN和NMap等方式检测其存活状态。得到结果:对于BinaryEdge,样本大小为84,存活的样本大小为56,准确率为66.67%;对于Shodan,样本大小为213,存活的样本大小为118,准确率为55.40%;对于Zoomeye,样本大小为500,存活样本大小为118,准确率为23.60%。由准确率可以推断出:对于BinaryEdge,模型DCS-5009L的设备真实存活数量为56;对于Shodan,模型DCS-5009L的设备真实设备存活数量为118;对于Zoomeye,模型DCS-5009L的设备真实存活数量为2003。
对于其他9个EoL嵌入式设备模型也需要做同样的操作。最后综合评价3个网络空间测绘搜索引擎对这10个EoL嵌入式设备模型的准确率和设备真实存活数量,选择Zoomeye作为探测网络中D-Link的EoL嵌入式设备存活状态的最佳网络空间测绘搜索引擎。
如图4所示,EoL嵌入式设备探测引擎用于获取EoL嵌入式设备模型的设备列表中设备的存活状态,进而构建EoL嵌入式设备存活状态数据库。具体如下:
(1)根据Zoomeye的规范手册和API文档,选择并设置合理的参数,对D-Link的EoL嵌入式设备模型列表中的每一个模型进行搜索查询。
(2)解析搜索查询获得的设备记录。解析设备记录中的Eol嵌入式设备模型的设备列表中的每一个设备,获得IP、Port,Service、Country、Location、Autonomous SystemNumber (ASN)、Internet Service Provider(IPS)、Organization Banner等信息。以模型DCS-5009L 为例,在某次搜索查询中,模型DCS-5009L的设备列表长度为48245。以其中的一个设备为例,其IP为:108.18.249.75,Port为8080,Service为HTTPS,Country为UnitedStates, ASN为AS701,IPS为NULL,Organization Banner为NULL。
(3)确定地域列表。使用地域列表中的每一个地域向IP地址108.18.249.75发送请求:如果收到回复,那么确认IP为108.18.249.75的设备状态为存活;否则,确认该设备的状态为非存活。经过确认,该设备的存活状态为存活。
(4)长时间持续监控。将每一次探测到的结果写入到数据库中,构建EoL嵌入式设备存活状态数据库。
本领域普通技术人员可以理解,以上所述仅为发明的优选实例而已,并不用于限制发明,尽管参照前述实例对发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实例记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在发明的精神和原则之内,所做的修改、等同替换等均应包含在发明的保护范围之内。
Claims (7)
1.一种用于探测网络中EoL嵌入式设备存活状态的方法,其特征在于,该方法包括如下步骤:
S1:生成符合规范的EoL嵌入式设备模型列表;
S2:从所述EoL嵌入式设备模型列表中随机选择部分EoL嵌入式设备模型,组成随机选择后的EoL嵌入式设备模型列表;将随机选择后的EoL嵌入式设备模型列表和网络空间测绘搜索引擎列表进行笛卡尔乘积,对每一组得到的笛卡尔积(网络空间测绘搜索引擎,EoL嵌入式设备模型),使用网络空间搜索引擎对EoL嵌入式设备进行搜索,进而得到EoL嵌入式设备模型的设备列表;对所述的设备列表按照既定规则取样,进而获得样本列表;对于样本列表中的每一个样本,解析该样本的记录,发送多种类型的请求包验证,进而得到该样本的存活状态;通过多次监控,将多次监控的结果按照约定取均值,综合评价每一个网络空间测绘搜索引擎,进而得到最佳的网络空间测绘搜索引擎;
S3:根据S2得到的最佳的网络空间测绘搜索引擎的搜索规范手册和API文档对S1中的符合规范的EoL嵌入式设备模型列表中的每一个模型进行搜索,解析搜索到的设备记录,得到设备记录中的EoL嵌入式设备模型的设备列表;根据约定好的地域列表,对地域列表和设备列表做笛卡尔乘积;针对每一个设备,使用地域列表中的每一个地域发送多种类型的请求包,根据是否收到回复确定该设备的存活状态;通过长时间持续性监控,从而构建EoL嵌入式设备存活状态的数据库。
2.根据权利要求1所述的用于探测网络中EoL嵌入式设备存活状态的方法,其特征在于,生成符合规范的EoL嵌入式设备模型列表的具体步骤如下:
(1)据既定需求确定EoL嵌入式设备模型的厂商;
(2)通过网络爬虫方式获取EoL嵌入式设备模型的厂商的EoL嵌入式设备模型集合;
(3)根据预定义的规范对EoL嵌入式设备模型集合进行数据清洗,进而生成符合规范的EoL嵌入式设备模型列表。
3.根据权利要求1所述的用于探测网络中EoL嵌入式设备存活状态的方法,其特征在于,所述S2中,对所述的设备列表按照既定规则取样,进而获得样本列表的规则如下:如果设备列表的长度大于该阈值,则使用简单随机取样取出阈值数量的设备作为样本列表;如果设备列表的长度小于等于该阈值,则直接使用设备列表作为样本列表。
4.根据权利要求1所述的用于探测网络中EoL嵌入式设备存活状态的方法,其特征在于,所述S2中,解析该样本的记录,发送多种类型的请求包验证,进而得到该样本的存活状态的具体操作如下:
解析该样本的记录,获取IP、Port;根据IP和Port向该样本发送ICMP请求,如果收到了该样本返回的ICMP回复,那么将该样本的存活状态标记为存活;如果没有收到该样本的ICMP回复,然后向该样本发送TCP SYN请求,如果收到了TCP ACK回复或者TCP RST回复,那么将该设备的存活状态标记为存活。
5.根据权利要求4所述的用于探测网络中EoL嵌入式设备存活状态的方法,其特征在于,为了提高该样本存活状态探测结果的准确性,如果该样本的存活状态被标记为存活,再使用软件NMap进一步检测该样本,如果检测到的结果与当前该样本存活状态相吻合,那么最终确定该样本的存活状态为存活;否则,确定该样本的存活状态为非存活。
6.根据权利要求1所述的用于探测网络中EoL嵌入式设备存活状态的方法,其特征在于,所述S3中,针对每一个设备,使用地域列表中的每一个地域发送多种类型的请求包,根据是否收到回复确定该设备的存活状态的具体操作如下:
针对每一个设备,使用地域列表中的每一个地域,根据IP和Port向该设备发送TCP SYN请求;进一步地,如果没有收到回复,那么向该设备继续发送UDP请求;如果收到了该设备返回的回复,那么确认该设备的存活状态为存活;否则,确认该设备的存活状态为非存活。
7.一种用于探测网络中EoL嵌入式设备存活状态的系统,该系统用于实现权利要求1~5中任意一项的方法,其特征在于,该系统包括:
EoL嵌入式设备模型列表生成器,用于生成符合规范的EoL嵌入式设备模型列表;
网络空间测绘搜索引擎筛选器,首先将EoL嵌入式设备模型列表生成器的符合规范的EoL嵌入式设备模型列表随机选择部分EoL嵌入式设备模型,组成随机选择后的EoL嵌入式设备模型列表;再将随机选择后的EoL嵌入式设备模型列表和输入的网络空间测绘搜索引擎列表进行笛卡尔乘积,对每一组得到的笛卡尔积(网络空间测绘搜索引擎,EoL嵌入式设备模型),使用网络空间搜索引擎对EoL嵌入式设备进行搜索,进而得到EoL嵌入式设备模型的设备列表;对所述的设备列表按照既定规则取样,进而获得样本列表;对于样本列表中的每一个样本,解析该样本的记录,发送多种类型的请求包验证,进而得到该样本的存活状态;通过多次监控,将多次监控的结果按照约定取均值;并将所有的EoL嵌入式设备模型的准确率和设备真实存活数量输出,用作确定最佳的网络空间测绘搜索引擎的参考数据;
EoL嵌入式设备探测引擎使用用户由网络空间测绘搜索引擎筛选器输出的数据综合评价确定的最佳的网络空间测绘搜索引擎,并根据该引擎的搜索规范手册和API文档对S1中的符合规范的EoL嵌入式设备模型列表中的每一个模型进行搜索,解析搜索到的设备记录,得到设备记录中的EoL嵌入式设备模型的设备列表;根据约定好的地域列表,对地域列表和设备列表做笛卡尔乘积;针对每一个设备,使用地域列表中的每一个地域发送多种类型的请求包,根据是否收到回复确定该设备的存活状态;通过长时间持续性监控,从而构建EoL嵌入式设备存活状态的数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210253246.4A CN114978571B (zh) | 2022-03-15 | 2022-03-15 | 一种用于探测网络中EoL嵌入式设备存活状态的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210253246.4A CN114978571B (zh) | 2022-03-15 | 2022-03-15 | 一种用于探测网络中EoL嵌入式设备存活状态的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114978571A CN114978571A (zh) | 2022-08-30 |
| CN114978571B true CN114978571B (zh) | 2023-02-28 |
Family
ID=82976476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210253246.4A Active CN114978571B (zh) | 2022-03-15 | 2022-03-15 | 一种用于探测网络中EoL嵌入式设备存活状态的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978571B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110233821A (zh) * | 2019-04-29 | 2019-09-13 | 北京邮电大学 | 一种智能设备网络空间的探测和安全扫描系统及其方法 |
| CN112583657A (zh) * | 2020-11-13 | 2021-03-30 | 东北大学 | 一种基于嵌入式设备的分布式路由级网络拓扑探测方法 |
| CN112887141A (zh) * | 2021-01-25 | 2021-06-01 | 北京华顺信安信息技术有限公司 | 一种基于网络空间测绘生成拓扑图及其路径展示方法 |
| CN112995352A (zh) * | 2019-12-17 | 2021-06-18 | 北京白帽汇科技有限公司 | 基于流量分析的IPv6网络空间测绘系统及测绘方法 |
| CN113660134A (zh) * | 2021-07-27 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 端口探测方法、装置、电子装置和存储介质 |
| CN114024877A (zh) * | 2021-10-29 | 2022-02-08 | 恒安嘉新(北京)科技股份公司 | 主机存活探测方法、装置、计算机设备和存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7928901B2 (en) * | 2008-10-16 | 2011-04-19 | The United States Of America As Represented By The Secretary Of The Army | Systems and methods for producing radar images |
-
2022
- 2022-03-15 CN CN202210253246.4A patent/CN114978571B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110233821A (zh) * | 2019-04-29 | 2019-09-13 | 北京邮电大学 | 一种智能设备网络空间的探测和安全扫描系统及其方法 |
| CN112995352A (zh) * | 2019-12-17 | 2021-06-18 | 北京白帽汇科技有限公司 | 基于流量分析的IPv6网络空间测绘系统及测绘方法 |
| CN112583657A (zh) * | 2020-11-13 | 2021-03-30 | 东北大学 | 一种基于嵌入式设备的分布式路由级网络拓扑探测方法 |
| CN112887141A (zh) * | 2021-01-25 | 2021-06-01 | 北京华顺信安信息技术有限公司 | 一种基于网络空间测绘生成拓扑图及其路径展示方法 |
| CN113660134A (zh) * | 2021-07-27 | 2021-11-16 | 杭州安恒信息技术股份有限公司 | 端口探测方法、装置、电子装置和存储介质 |
| CN114024877A (zh) * | 2021-10-29 | 2022-02-08 | 恒安嘉新(北京)科技股份公司 | 主机存活探测方法、装置、计算机设备和存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| Insect Population Inspired Wireless Sensor Networks: A Unified Architecture with Survival Analysis, Evolutionary Game Theory, and Hybrid Fault Models;Zhanshan Ma;;《2008 International Conference on BioMedical Engineering and Informatics》;20080624;第1-81页 * |
| 物联网安全态势感知系统的研究与实现;张方哲;《CNKI中国优秀硕士学位论文全文数据库》;20211215;第1-4页 * |
| 电力网络空间测绘与渗透技术研究;黄伟1,2顾智敏1,2郭静,李斌,徐正治,姜海涛;《电力信息与通信技术》;20211225;第49-54页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114978571A (zh) | 2022-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10791131B2 (en) | Processing network data using a graph data structure | |
| US9467464B2 (en) | System and method for correlating log data to discover network vulnerabilities and assets | |
| CN111988339B (zh) | 一种基于dikw模型的网络攻击路径发现、提取和关联的方法 | |
| Vermeulen et al. | Multilevel MDA-lite Paris traceroute | |
| US20110030059A1 (en) | Method for testing the security posture of a system | |
| US11283757B2 (en) | Mapping internet routing with anycast and utilizing such maps for deploying and operating anycast points of presence (PoPs) | |
| Ma et al. | Test data generation for stateful network protocol fuzzing using a rule-based state machine | |
| Zali et al. | Real-time attack scenario detection via intrusion detection alert correlation | |
| Krenc et al. | An internet census taken by an illegal botnet: a qualitative assessment of published measurements | |
| US20200021608A1 (en) | Information processing apparatus, communication inspecting method and medium | |
| CN109565453A (zh) | 用于扩充网络流量报告的方法及系统 | |
| US12120135B2 (en) | System and method to detect malicious activity through detecting anomalies in sinkholed traffic | |
| CN114978571B (zh) | 一种用于探测网络中EoL嵌入式设备存活状态的方法和系统 | |
| RU2472211C1 (ru) | Способ защиты информационно-вычислительных сетей от компьютерных атак | |
| CN116684390A (zh) | 基于跨内核异步收发的IPv6地址快速扫描方法及系统 | |
| CN113596037B (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
| JP2010239392A (ja) | サービス不能攻撃制御システム、装置、および、プログラム | |
| US11789743B2 (en) | Host operating system identification using transport layer probe metadata and machine learning | |
| CN111031068B (zh) | 一种基于复杂网络的dns分析方法 | |
| CN110769004B (zh) | 在dns客户端或代理服务器使用的dns防污染方法 | |
| CN111371917B (zh) | 一种域名检测方法及系统 | |
| CN110784483B (zh) | 一种基于dga异常域名的事件检测系统及方法 | |
| Špaček et al. | Enriching DNS flows with host-based events to bypass future protocol encryption | |
| CN113839948A (zh) | 一种dns隧道流量检测方法、装置、电子设备和存储介质 | |
| US9049170B2 (en) | Building filter through utilization of automated generation of regular expression |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |