CN115208963A - 一种多维度的ip资产标定方法 - Google Patents
一种多维度的ip资产标定方法 Download PDFInfo
- Publication number
- CN115208963A CN115208963A CN202210772289.3A CN202210772289A CN115208963A CN 115208963 A CN115208963 A CN 115208963A CN 202210772289 A CN202210772289 A CN 202210772289A CN 115208963 A CN115208963 A CN 115208963A
- Authority
- CN
- China
- Prior art keywords
- protocol
- port
- type
- asset
- assets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000004044 response Effects 0.000 claims description 30
- 238000004458 analytical method Methods 0.000 claims description 10
- 230000002452 interceptive effect Effects 0.000 claims description 9
- 238000007405 data analysis Methods 0.000 claims description 4
- 238000004088 simulation Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000008685 targeting Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种多维度的IP资产标定方法,其包括:启动IP加端口扫描任务扫描出IP对应存在的端口;基于扫描出端口返回的报文信息识别出对应的协议,协议包括A类协议、B类协议与C类协议;通过识别出的协议获取对应的IP资产;对获取的IP资产进行标定与分类存储。本申请具有准确对IP资产进行标定并进行分类存储的效果。
Description
技术领域
本申请涉及网络空间测绘的领域,尤其是涉及一种多维度的IP资产标定方法。
背景技术
IP是网际互联协议Internet Protocol的缩写,是TCP/IP体系中的网络层协议,设计IP的目的是提高网络的可扩展性。IP所提供的服务大致可归纳为两类:IP信息包的传送与IP信息包的分割与重组。IP是网络之间信息传送的协议,可将IP信息包从源设备传送到目的设备,为了达到这样的目的,IP必须依赖IP地址与IP路由器两种机制来实现。
为了净化网络,减少对IP地址的非正常需求,监管部门或者公司企业需要对监管的IP进行IP资产标定,获取IP的相关信息,如IP开放了的端口、服务、地理位置信息与归属单位等,通常需要对该IP的IP地址进行扫描。对IP进行的扫描是通过扫描器进行扫描,如扫描器中的Nmap会向每个主机发送特定的报文,从而按照目标主机返回的报文(或者无返回报文)来判断目标主机的属性,如开放的端口与操作系统的类型等。
而发明人认为,通过传统的扫描器如Nmap等进行扫描,传统的扫描器运行速度较慢,识别出的IP信息不全,准确度较差,无法准确的标定IP的端口、对应协议资产信息。
发明内容
为了准确对IP资产进行标定,本申请提供一种多维度的IP资产标定方法。
本申请提供的一种多维度的IP资产标定方法采用如下的技术方案:
一种多维度的IP资产标定方法,包括:
启动IP加端口扫描任务扫描出IP对应存在的端口;
基于扫描出所述端口返回的报文信息识别出对应的协议,所述协议包括A类协议、B类协议与C类协议;
通过识别出的所述协议获取对应的IP资产;
对获取的所述IP资产进行标定与分类存储。
通过采用上述技术方案,启动IP加端口扫描任务扫描出IP对应存在的端口,使能扫描出所需的端口;基于端口扫描返回的报文信息的识别出对应的协议,使能对不同端口对应不同的协议进行识别,使识别出的协议更加全面;通过识别出的协议获取对应的IP资产,使能根据不同的协议获取更多的IP资产,对获取的IP资产进行标定与分类存储,以使对IP资产的保存更加符合规范。
可选的,所述启动IP加端口扫描任务扫描出IP对应存在的端口,包括:
接收来自调度系统下发的扫描任务;
基于扫描出的所述端口任务启动端口扫描程序;
通过端口扫描程序对扫描获取所述端口的输出信息,所述输出信息包括所述端口对应的IP地址、端口与协议报文信息。
通过采用上述技术方案,使能根据端口扫描程序对端口进行扫描输出包括端口IP地址、端口与协议报文信息。
可选的,所述基于扫描出的所述端口识别出对应的协议,包括:
基于扫描出的所述端口判断是否直接获取返回数据;
当判断结果为是时,则识别出所述端口对应的协议为所述A类协议并提取所述A类协议的元数据;
当判断结果为否时,则识别出所述端口对应的协议为所述B类协议或所述C类协议;
当所述协议为所述B类协议时,提取所述B类协议的元数据;
当所述协议为所述C类协议时,提取所述C类协议的元数据。
通过采用上述技术方案,使能根据是否产生有返回数据获得协议的类型。
可选的,当识别出的所述协议为所述A类协议时,所述提取所述A类协议的元数据,包括:
建立与所述A类协议对应所述端口的连接,获取返回协议的响应信息;
基于所述响应信息获取所述A类协议的所述元数据。
通过采用上述技术方案,当识别出的协议为A类协议时,使能根据端口获取返回协议的相应信息,从而根据响应信息获取A类协议的元数据。
可选的,当识别出的所述协议为所述B类协议时,所述提取所述B类协议的元数据,包括:
建立与所述B类协议对应所述端口的连接;
发送协议请求报文至所述端口及所述端口对应的服务器;
接收来自所述端口对应所述请求报文的所述响应信息;
基于所述响应信息获取所述B类协议的元数据。
通过采用上述技术方案,当识别出的协议为B类协议时,发送协议请求报文至端口从而获取B类协议的元数据。
可选的,当识别出的所述协议为所述C类协议时,所述提取所述C类协议的元数据,包括:
建立与所述C类协议对应所述端口的连接;
按照特定的格式与先后顺序向所述端口发送多个交互包;
接收来自所述端口的返回数据;
基于所述返回数据获取所述C类协议的元数据。
通过采用上述技术方案,当识别出的协议为C类协议时,使能特定格式与先后顺序向端口发送多个交互包,从而获取来自C类协议的元数据。
可选的,所述通过识别出的所述协议获取对应的IP资产之后还包括:
通过数据分析模拟协议做多次交互解析以对所述协议返回的信息进行深度解析获取更多所述元数据。
通过采用上述技术方案,使能通过交互解析的方式进行深度解析获取更多的元数据。
可选的,所述通过识别出的所述协议获取对应的IP资产,包括:
建立规则库,所述规则库中包含有多个识别特征;
通过所述识别特征对所述元数据进行规则指纹匹配;
通过匹配结果获取对应的所述IP资产。
通过采用上述技术方案,使能规则指纹匹配获取IP资产。
可选的,所述对获取的所述IP资产进行标定与分类存储,包括:
将识别出的所述IP资产存储到资产库中;
对所述资产库中的所述IP资产进行标定。
可选的,所述对所述资产库中的所述IP资产进行标定,包括:
按照资产分层结构对所述IP资产进行标定,所述资产分层结构从上之下包括应用层、支撑层、服务层、操作系统层与硬件层;
按照行业分类对所述IP资产进行标定。
通过采用上述技术方案,使能进行IP资产标定的过程中对IP资产按照不同的方式进行分类,使便于在资产库中对IP资产进行检索。
综上所述,本申请包括以下至少一种有益技术效果:
启动端口扫描任务扫描出IP对应存在的端口,使能扫描出所需的端口;基于扫描出的端口识别出对应的协议,使能对不同端口对应不同的协议进行识别,使识别出的协议更加全面;通过识别出的协议获取对应的IP资产,并能根据不同的协议获取更多维度的IP资产,对获取的IP资产进行标定与分类存储,以使IP资产的保存更加符合规范,以使对IP资产的保存更加符合规范。
附图说明
图1是本申请实施例一种多维度的IP资产标定方法的流程图;
图2是本申请实施例一种多维度的IP资产标定方法的其中一种实施方式的流程图;
图3是本申请实施例一种多维度的IP资产标定方法的其中一种实施方式的流程图;
图4是本申请实施例一种多维度的IP资产标定方法的其中一种实施方式的流程图;
图5是本申请实施例一种多维度的IP资产标定方法的其中一种实施方式的流程图;
图6是本申请实施例一种多维度的IP资产标定方法的其中一种实施方式的流程图;
图7是本申请实施例一种多维度的IP资产标定方法的其中一种实施方式的流程图;
图7-1是本申请实施例一种多维度的IP资产标定方法的其中一种实施方式中对telnet协议的响应信息图;
图7-2是本申请实施例一种多维度的IP资产标定方法的其中一种实施方式中对http协议响应信息的示意图;
图8是本申请实施例一种多维度的IP资产标定方法的其中一种实施方式的流程图;
图9是本申请实施例一种多维度的IP资产标定方法的其中一种实施方式的流程图;
图9-1是本申请实施例一种多维度的IP资产标定方法的其中一种实施方式中的资产分层图。
具体实施方式
以下结合附图对本申请作进一步详细说明。
为了能够准确对IP资产进行标定。本申请实施例公开一种多维度的IP资产标定方法,参照图1,包括:
S110、启动IP加端口扫描任务扫描出IP对应存在的端口。
其中,端口(Port)指的是设备与外界通讯交流的出口,端口可分为虚拟端口和物理端口,其中虚拟端口指计算机内部或交换机路由器内的由程序构成的端口,例如计算机中的80端口、21端口、23端口等。物理端口又称为接口,是可见端口,例如计算机背板的RJ45端口,交换机路由器集线器等RJ45端口。
而IP则指的是网际互联协议(Internet Protocol),IP可以向传输层提供各种协议的信息,提供包括IP信息包的发送与IP信息包的分割与重组,在IP信息包的发送过程中则需要依赖IP地址以及IP路由器两种机制来实现,而为了实现IP信息包的分割与重组,则在发送IP报文时,选取合适的报文长度将报文的数据部分分割成若干较小的数据片,然后进行发送与重组,IP地址与端口是可以唯一的确定处于网络中一个主机上的一个进程的位置,其中IP地址可以确定一台主机的地址,而端口可以确定主机上进程的地址,通过扫描该主机的端口是否开放可得知该主机是否处于运行状态以及该主机是否支持特定方式的连接,或支持运行特定的程序进程。
扫描任务为当前需要进行端口扫描时所建立的任务,例如相关监管部门或者公司企业为了IP的安全性对IP进行监控,需对不同端口进行扫描,在本实施例中采用异步无状态的端口扫描,扫描原理为向目标主机发送SYN数据包后直接发送RST数据包取消连接,使数据包的收发异步,而在接收到主机反馈的数据包的过程中只需过滤出含有SYN、ACK和RST的数据包即可,当含有这些数据包时则说明该端口处于开放状态以及该主机存在。其中,SYN指的是同步序列编号(Synchronize Sequence Numbers)是TCP/IP建立连接时所使用的握手信号,而SYN数据包指的是TCP连接的第一个数据包,在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN数据包,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应,这样在客户机和服务器之间才能建立起可靠的TCP连接。而RST数据包则用于强制关闭TCP连接。
S120、基于扫描出端口返回的报文信息识别出对应的协议,协议包括A类协议、B类协议与C类协议。
其中,A类协议、B类协议与C类协议之间的区别为端口扫描过程的不同所产生的区别,在对端口进行扫描的过程中,不同端口上支持不同的协议。例如通常来说21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务,FTP服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为FTP客户端,另一台计算机作为FTP服务器。然而在特定环境中,会根据实际使用情况将协议指定的端口进行修改或关闭,因此需根据扫描结果来识别出对应的协议。
S130、通过识别出的协议获取对应的IP资产。
其中,IP资产包括端口、协议、地理位置信息、归属单位等IP协议下对应的软件件产品的属性。
S140、对获取的IP资产进行标定与分类存储。
其中,当IP资产涉及的方面较多时,还需将多维度的和准确的标定IP资产信息,并进行分类存储,使下次进行核对或使用时能根据分类的对IP资产进行提取与使用。
本申请实施例一种多维度的IP资产标定方法的实施原理为:启动IP加端口扫描任务扫描出IP对应存在的端口,使能扫描出所需的端口;基于端口扫描返回的报文信息的识别出对应的协议,使能对不同端口对应不同的协议进行识别,使识别出的协议更加全面;通过识别出的协议获取对应的IP资产,使能根据不同的协议获取更多的IP资产,对获取的IP资产进行标定与分类存储,以使对IP资产的保存更加符合规范。
参照图2,每一个端口都会对应到一个或者多个默认的协议,扫描出开放80端口对应的不一定是http协议,22端口不一定是SSH协议,3360端口也不一定是Mysql协议,启动IP加端口扫描任务扫描出IP对应存在的端口,包括:
S210、接收来自调度系统下发的扫描任务。
其中,调度系统为进行端口扫描规划的系统,按照扫描需求下发不同的端口扫描任务,例如需对目标主机的在执行对应协议时准确识别端口类型,判断是产品类型时通过调度系统进行扫描任务下发。
S220、基于扫描出的端口任务启动端口扫描程序。
S230、通过端口扫描程序对扫描获取端口的输出信息,输出信息包括端口对应的IP地址、端口与协议报文信息。
其中,在本实施例中端口扫描程序是基于IP+Port扫描,将存活的端口扫描出来。调度系统下发扫描任务至端口扫描程序后,端口扫描程序接收到任务启动端口扫描任务,解析待扫描端口的相关参数,当扫描参数不合法时则结束扫描,当扫描该端口的参数合法时才可启动端口扫描程序,启动任务之后需要捕获端口的输出信息,其中输出信息主要为IP地址、端口类型与协议报文信息等,在其他实时例中还可包括端口扫描程序的扫描进度等信息,因此在本实施例中可以对IP和端口下面承载的协议进行准确的识别,协议识别输出的信息有协议相关的报文信息如Protocol、Banner和证书Cert。
参照图3,在进行端口扫描后还需判断端口对应的协议类型,基于扫描出端口返回的报文信息识别出对应的协议,包括:
S310、基于扫描端口返回的协议报文信息,处理对应需要返回的数据,判断是否直接获取返回数据。
其中,如上述步骤所描述的端口扫描原理,需要判断扫描出的端口是否会返回报文信息,以能根据是否返回报文信息对协议进行处理,从而判断是否能直接获取返回数据。
S320、当判断结果为是时,则识别出端口对应的协议为A类协议并提取A类协议的元数据。
其中,当判断结果为是时,说明在该端口直接获取返回数据,则可认为该端口对应的协议为A类协议。在本实施例中,A类协议为在设计之初就考虑建立连接后即开始返回协议的响应信息,例如Banner信息等,Banner信息中包括软件的开发商、软件名称、版本与服务类型等信息,常见的A类协议包括Tlenet、MySQL协议等,其中Telnet协议为TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式,其中Telnet协议是基于TCP协议的23端口,23端口用于建立远程连接,在建立与23端口的连接后即返回SYN数据包与ACK数据包,可根据是否在建立连接后获取返回的SYN数据包与ACK数据包来确定是否与23端口建立连接。
S330、当判断结果为否时,则识别出端口对应的协议为B类协议或C类协议。
S340、当协议为B类协议时,提取B类协议的元数据;
S350、当协议为C类协议时,提取C类协议的元数据。
其中,当判断结果为否时,则说明在该端口未能直接获取返回数据,此时可认为端口对应的协议为B类协议或C类协议。在实施例中,B类协议定义为与端口建立连接成功后,不会直接返回协议的信息或数据包,需要发送简单的协议请求报文给服务器和相关端口,待服务器处理成功后,会返回协议的响应信息,此类协议包括http、https、smpt等。例如http协议的端口为80,80端口用于WWW(World Wide Web)即万维网传输信息,当建立与80端口的连接后,首先向服务器发送SYN数据包,并等待服务器确认,服务器对该SYN数据包进行确认后返回TCP报文,该TCP报文即http协议的响应信息。
且在本实施例中,C类协议定义为需要发送多个交互数据包,各个数据包之间满足一定的先后顺序,即按照特定的格式和顺序向对应协议的端口发送数据包的端口,此类包括S7协议、MongoDB协议与BACnet协议等。例如S7协议是SIEMENS S7系列产品之间通讯使用的标准协议,其优点是通信双方无论是在同一MPI总线上、同一PROFIBUS总线上或同一工业以太网中,都可通过S7协议建立通信连接,通过S7协议建立以太网通讯的过程包括:步骤1:三次握手通讯,即标准的TCP连接方式;步骤2:通讯请求,在通讯请求中包含有两次报文交换,首先为明确CPU的机架号和槽号,确定需要连接的CPU的类型,其次为建立通讯请求;步骤3:交换数据,即进行数据的读写,在这个过程中数据报文的格式为S7comm格式。
参照图4,当识别出的协议为A类协议时,提取A类协议的元数据,包括:
S410、建立与A类协议对应端口的连接,获取返回协议的响应信息。
S420、基于响应信息获取A类协议的元数据。
其中,A类协议的响应信息包括Banner信息,Banner信息即为欢迎语相关的信息,在建立与A类协议对应的端口连接后,服务器会通过端口返回的响应信息包括Banner信息,在Banner信息中可以得到软件开发商、软件名称、版本、服务类型等A类协议的元数据。
参照图5,当识别出的协议为B类协议时,提取B类协议的元数据,包括:
S510、建立与B类协议对应端口的连接;
S520、发送协议请求报文至端口及端口对应的服务器;
S530、接收来自端口对应请求报文的响应信息;
S540、基于响应信息获取B类协议的元数据。
其中,元数据为B类协议在传输过程中由响应信息能获得的数据,例如当B类协议为TCP协议时,通过响应信息获取的元数据包括目的服务器MAC地址、源MAC地址、IP协议版本号、源IP地址、目的IP地址、源端口、目的端口、序列号与应答号等。
参照图6,当识别出的协议为C类协议时,提取C类协议的元数据,包括:
S610、建立与C类协议对应端口的连接;
S620、按照特定的格式与先后顺序向端口发送多个交互包;
S630、接收来自端口的返回数据;
S640、基于返回数据获取C类协议的元数据。
其中,C类协议的元数据为在传输过程中对应端口返回的响应信息中所包含的数据,例如当C类协议为S7协议时,返回的响应信息的元数据包括协议版本号、协议ID、通信项、数据库号与错误代码等元数据。
通过识别出的协议获取对应的IP资产之后还包括:
S650、通过数据分析模拟协议做多次交互解析以对协议返回的信息进行深度解析获取更多元数据。
其中,为了提取更有价值的资产信息需要进行深度识别,在本实施例中则是通过RFC文档解读、数据分析与公开资料等形式,模拟协议做多次交互,并对协议返回的信息进行深度解析和信息组合,提取出更多的高价值信息。例如在rdp协议中,虽然通过端口简单的交互中可以识别出它为rdp协议,但是通过模拟协议做多次交互,提取出协议的更多信息,如组件、Host名称、操作系统版本等。协议深度识别的流程包括:
(1)建立连接;
(2)初次发送报文;
(3)接收响应并判断;(在该步骤中已经可以识别出是否为rdp协议)
(4)常识tls连接并发送请求;
(5)发送二次请求内容并接收响应;
(6)判定二次请求是否成功
(7)发送请求获取操作系统类型/版本号/证书等;
(8)格式化为固定格式。
例如在本实施例中,获取的协议原始数据为:
Remote Desktop Protocol
\x03\x00\x00\x13\x0e\xd0\x00\x00\x124\x00\x02\x08\x00\x00\x00\x00\x00
Flag: PROTOCOL_RDP
Target_Name: WIN-7-VIENNA
Product_Version: 6.1.7601 Ntlm 15
OS: Windows 7/Windows Server 2008
NetBIOS_Domain_Name: WIN-7-VIENNA
NetBIOS_Computer_Name: WIN-7-VIENNA
DNS_Domain_Name: win7
DNS_Computer_Name: win7
System_Time: 2022-06-09 19:36:29 +0000 UTC
参照图7,为了尽可能全面且准确地识别协议上承载的产品,例如当识别出的协议为http协议时,判断使用该协议的产品的类型,如摄像头、路由器或者打印机的管理页面等。因此需要通过识别出的协议获取对应的IP资产,包括:
S710、建立规则库,规则库中包含有多个识别特征。
S720、通过识别特征对元数据进行规则指纹匹配;
S730、通过匹配结果获取对应的IP资产。
其中,经过协议识别得到元数据如IP、Port、Protocol、Banner、Server、Title、body等,通过规则库中的特征进行规则指纹匹配,匹配方式包括文本匹配、正则表达式匹配与特征匹配等,匹配出使用该协议的厂商、型号、分层与软硬件信息等IP资产。如图7-1中对telnet协议返回的响应信息进行识别时,对框定中的关键字识别为硬件产品。再如图7-2中的http协议返回的响应信息进行识别时,通过分析可以判定是华为的家庭网关,型号为:HG658d。
参照图8,对获取的IP资产进行标定与分类存储,包括:
S810、将识别出的IP资产存储到资产库中。
S820、对资产库中的IP资产进行标定。
其中,资产库为用于存储IP资产的数据库,使能在资产库中检索出所需的IP资产信息。
参照图9,对资产库中的IP资产进行标定,包括:
S910、按照资产分层结构对IP资产进行标定,资产分层结构从上之下包括应用层、支撑层、服务层、操作系统层与硬件层;
S920、按照行业分类对IP资产进行标定。
其中,经过以上端口扫描、协议识别与产品识别,我们能识别IP资产开放的端口,对应的协议,协议下对应的软硬件的产品,这个过程称之为对IP资产的画像。根据这些信息,便可多维度并准确的标定IP资产信息。如:端口、协议、地理位置信息(匹配IP地理位置库)、归属单位,组件信息,服务信息,网站证书、ICP备案号、ISP运营商信息,组织信息、行业分类、分层等。
按软硬件的分布,在本实施例中还对IP的资产进行分层:
参照图9-1,资产分层/软硬件是规则内容的一个属性。资产分层展示,规则集分为五层结构的,从上到下分为应用层、支撑层、服务层、操作系统层、硬件层。按行业分类,将规则为资产分为14个大类,130多个小类。包括:物联网行业、视频监控、打印机、数据库、路由器、OA系统、操作系统、VPN等等。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,故:凡依本申请的结构、形状、原理所做的等效变化,均应涵盖于本申请的保护范围之内。
Claims (10)
1.一种多维度的IP资产标定方法,其特征在于,包括:
启动IP加端口扫描任务扫描出IP对应存在的端口;
基于扫描出所述端口返回的报文信息识别出对应的协议,所述协议包括A类协议、B类协议与C类协议;
通过识别出的所述协议获取对应的IP资产;
对获取的所述IP资产进行标定与分类存储。
2.根据权利要求1所述的一种多维度的IP资产标定方法,其特征在于,所述启动IP加端口扫描任务扫描出IP对应存在的端口,包括:
接收来自调度系统下发的扫描任务;
基于扫描出的所述端口任务启动端口扫描程序;
通过端口扫描程序对扫描获取所述端口的输出信息,所述输出信息包括所述端口对应的IP地址、端口与协议报文信息。
3.根据权利要求1所述的一种多维度的IP资产标定方法,其特征在于,所述基于扫描出所述端口返回的报文信息识别出对应的协议,包括:
基于扫描出的所述端口判断是否直接获取返回数据;
当判断结果为是时,则识别出所述端口对应的协议为所述A类协议并提取所述A类协议的元数据;
当判断结果为否时,则识别出所述端口对应的协议为所述B类协议或所述C类协议;
当所述协议为所述B类协议时,提取所述B类协议的元数据;
当所述协议为所述C类协议时,提取所述C类协议的元数据。
4.根据权利要求3所述的一种多维度的IP资产标定方法,其特征在于,当识别出的所述协议为所述A类协议时,所述提取所述A类协议的元数据,包括:
建立与所述A类协议对应所述端口的连接,获取返回协议的响应信息;
基于所述响应信息获取所述A类协议的所述元数据。
5.根据权利要求3所述的一种多维度的IP资产标定方法,其特征在于,当识别出的所述协议为所述B类协议时,所述提取所述B类协议的元数据,包括:
建立与所述B类协议对应所述端口的连接;
发送协议请求报文至所述端口及所述端口对应的服务器;
接收来自所述端口对应所述请求报文的所述响应信息;
基于所述响应信息获取所述B类协议的元数据。
6.根据权利要求3所述的一种多维度的IP资产标定方法,其特征在于,当识别出的所述协议为所述C类协议时,所述提取所述C类协议的元数据,包括:
建立与所述C类协议对应所述端口的连接;
按照特定的格式与先后顺序向所述端口发送多个交互包;
接收来自所述端口的返回数据;
基于所述返回数据获取所述C类协议的元数据。
7.根据权利要求1所述的一种多维度的IP资产标定方法,其特征在于,所述通过识别出的所述协议获取对应的IP资产之后还包括:
通过数据分析模拟协议做多次交互解析以对所述协议返回的信息进行深度解析获取更多所述元数据。
8.根据权利要求3所述的一种多维度的IP资产标定方法,其特征在于,所述通过识别出的所述协议获取对应的IP资产,包括:
建立规则库,所述规则库中包含有多个识别特征;
通过所述识别特征对所述元数据进行规则指纹匹配;
通过匹配结果获取对应的所述IP资产。
9.根据权利要求1所述的一种多维度的IP资产标定方法,其特征在于,所述对获取的所述IP资产进行标定与分类存储,包括:
将识别出的所述IP资产存储到资产库中;
对所述资产库中的所述IP资产进行标定。
10.根据权利要求9所述的一种多维度的IP资产标定方法,其特征在于,所述对所述资产库中的所述IP资产进行标定,包括:
按照资产分层结构对所述IP资产进行标定,所述资产分层结构从上之下包括应用层、支撑层、服务层、操作系统层与硬件层;
按照行业分类对所述IP资产进行标定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210772289.3A CN115208963A (zh) | 2022-07-02 | 2022-07-02 | 一种多维度的ip资产标定方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210772289.3A CN115208963A (zh) | 2022-07-02 | 2022-07-02 | 一种多维度的ip资产标定方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115208963A true CN115208963A (zh) | 2022-10-18 |
Family
ID=83578669
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210772289.3A Pending CN115208963A (zh) | 2022-07-02 | 2022-07-02 | 一种多维度的ip资产标定方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115208963A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109347892A (zh) * | 2018-08-03 | 2019-02-15 | 北京奇安信科技有限公司 | 一种互联网工业资产扫描处理方法及装置 |
CN110213212A (zh) * | 2018-05-24 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种设备的分类方法和装置 |
KR20200123040A (ko) * | 2020-06-23 | 2020-10-28 | (주)노르마 | 포트 스캐닝과 프로토콜 스캐닝을 이용한 IoT 디바이스의 타입을 결정하는 시스템 |
CN113240258A (zh) * | 2021-04-30 | 2021-08-10 | 山东云天安全技术有限公司 | 一种工业资产探测方法、设备及装置 |
CN114500346A (zh) * | 2022-04-08 | 2022-05-13 | 北京华顺信安科技有限公司 | 一种网络空间测绘方法及装置 |
-
2022
- 2022-07-02 CN CN202210772289.3A patent/CN115208963A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110213212A (zh) * | 2018-05-24 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种设备的分类方法和装置 |
CN109347892A (zh) * | 2018-08-03 | 2019-02-15 | 北京奇安信科技有限公司 | 一种互联网工业资产扫描处理方法及装置 |
KR20200123040A (ko) * | 2020-06-23 | 2020-10-28 | (주)노르마 | 포트 스캐닝과 프로토콜 스캐닝을 이용한 IoT 디바이스의 타입을 결정하는 시스템 |
CN113240258A (zh) * | 2021-04-30 | 2021-08-10 | 山东云天安全技术有限公司 | 一种工业资产探测方法、设备及装置 |
CN114500346A (zh) * | 2022-04-08 | 2022-05-13 | 北京华顺信安科技有限公司 | 一种网络空间测绘方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11770400B2 (en) | Presenting, at a graphical user interface, device photos and risk categories associated with devices in a network | |
US10742687B2 (en) | Determining a device profile and anomalous behavior associated with a device in a network | |
CN110247784B (zh) | 确定网络拓扑结构的方法和装置 | |
US10951582B2 (en) | Dynamic firewall configuration | |
US10148645B2 (en) | Method and device for classifying TCP connection carrying HTTP traffic | |
CN110213212B (zh) | 一种设备的分类方法和装置 | |
EP2669801B1 (en) | Mapping messages between web services | |
US8856315B2 (en) | Device classification system | |
Ammar et al. | Network-protocol-based iot device identification | |
CN106713332A (zh) | 网络数据的处理方法、装置和系统 | |
US11283816B2 (en) | Hierarchical scanning of internet connected assets | |
CN111147305A (zh) | 一种网络资产画像提取方法 | |
CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
CN117332095A (zh) | 一种基于资产探测的网络空间知识图谱构建方法 | |
Lavrenovs et al. | Towards classifying devices on the internet using artificial intelligence | |
CN115208963A (zh) | 一种多维度的ip资产标定方法 | |
JP7008451B2 (ja) | 複数のプロフィールを作成してプロファイリングを低減する方法及びシステム | |
JP5228081B2 (ja) | 宅内機器管理システム及び宅内機器管理方法 | |
JP2010183214A (ja) | パケット解析装置、パケット解析方法およびパケット解析プログラム | |
US11936545B1 (en) | Systems and methods for detecting beaconing communications in aggregated traffic data | |
CN114285718B (zh) | 一种拓扑生成方法、装置、电子设备及存储介质 | |
US11416557B2 (en) | System and method to identifying network appliances by data endpoints | |
CN116708253B (zh) | 设备识别方法、装置、设备及介质 | |
Cam-Winget et al. | Security Automation and Continuous Monitoring (SACM) Requirements | |
JP2007060473A (ja) | 電子メール装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |