CN115314319A - 一种网络资产识别方法、装置、电子设备及存储介质 - Google Patents
一种网络资产识别方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115314319A CN115314319A CN202211032378.0A CN202211032378A CN115314319A CN 115314319 A CN115314319 A CN 115314319A CN 202211032378 A CN202211032378 A CN 202211032378A CN 115314319 A CN115314319 A CN 115314319A
- Authority
- CN
- China
- Prior art keywords
- network
- data
- unique
- network asset
- identified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000004458 analytical method Methods 0.000 claims abstract description 44
- 230000015654 memory Effects 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 13
- 239000000523 sample Substances 0.000 description 21
- 238000010586 diagram Methods 0.000 description 14
- 238000007726 management method Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 238000012986 modification Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001364 causal effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本发明公开了一种网络资产识别方法、装置、电子设备及存储介质,涉及网络安全技术领域,用于解决无法准确识别IP对应的资产的问题。该方法包括:确定待识别流量数据;对待识别流量数据中的协议数据包进行解析,获得解析结果,解析结果中至少包括协议数据包的包头中的可选字段和包体中的数据;当确定可选字段包含特定标识时,对可选字段中特定标识后的字节对应的内容进行解析,获得网络设备对应的唯一网络设备标识信息;特定标识用于指示协议数据包中包含有发送待识别流量数据的网络设备对应的唯一标识;基于唯一网络设备标识信息和解析结果中的数据,生成网络资产发现日志。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络资产识别方法、装置、电子设备及存储介质。
背景技术
目前,随着网络技术不断发展,各个行业为了应对安全问题,以及更加合理的利用资源,其对应的设备的部署方式越来越多样化,例如,多云部署方式,根据不同的安全级别,分层部署各个设备。这样,可能会导致在不同的部署方式下,主机、服务器等网络设备存在同时对应多个网际互连协议(Internet Protocol,IP),也就是说,存在一个网络设备对应多个IP的问题。
进一步地,上述问题导致在探测设备对网络流量数据进行分析时,已经无法通过流量的IP信息,准确识别网络资产对应的网络设备,从而导致在发生网络攻击事件时,无法确定哪台网络设备遭受到攻击。
可见,相关技术中存在,仅通过IP无法准确识别网络信息以及与之对应的网络设备的问题。
发明内容
本发明实施例提供一种网络资产识别方法、装置、电子设备及存储介质,用于解决仅通过IP无法准确识别网络信息以及与之对应的网络设备的问题。
第一方面,本发明实施例中提供一种网络资产识别方法,所述方法包括:
确定待识别流量数据;
对所述待识别流量数据中的协议数据包进行解析,获得解析结果,所述解析结果中至少包括所述协议数据包的包头中的可选字段和包体中的数据;
当确定所述可选字段包含特定标识时,对所述可选字段中特定标识后的字节对应的内容进行解析,获得网络设备对应的唯一网络设备标识信息;所述特定标识用于指示所述协议数据包中包含有发送所述待识别流量数据的网络设备对应的唯一标识;
基于所述唯一网络设备标识信息和所述解析结果中的数据,生成网络资产发现日志。
在一种可能的实施方式中,所述协议数据包的包头包括:按照预设方式填充在所述可选字段中所述唯一网络设备标识信息的可选字段;所述可选字段为所述网络设备在网卡驱动注册预设程序后所获得的。
在一种可能的实施方式中,所述预设方式为:所述可选字段的最末端的字节填充有所述唯一网络设备标识信息,且在所述最末端的字节前的字节填充有所述特定标识。
在一种可能的实施方式中,所述预设方式为:所述可选字段的第二个字节填充有所述特定标识,以及在所述第二个字节后的字节填充有所述唯一网络设备标识信息。
在一种可能的实施方式中,所述预设程序为钩子hook程序。
在一种可能的实施方式中,所述唯一网络设备标识信息为:通过签名算法,对所述网络设备对应的媒体存取控制位址和时间戳组成一个字符串处理后所获得。
在一种可能的实施方式中,基于所述唯一网络设备标识信息和所述解析结果中的数据,生成网络资产发现日志,包括:
在所述解析结果中的数据中,添加设备标识字段,并在所述设备标识字段中添加所述唯一网络设备标识信息,获得处理后的数据;
基于所述解析结果中的发送所述待识别流量数据的网络设备对应的源地址、目的地址、源端口以及目的端口,以及所述处理后的数据,生成网络资产发现日志。
在一种可能的实施方式中,所述方法还包括:
确定所述网络资产发现日志对应的各项子列表,并将所述网络资产发现日志的各项子列表添加到日志管理单元;
当接收到新的网络资产发现日志时,确定所述日志管理单元中,是否存在与所述新的网络资产发现日志中的唯一网络设备标识信息匹配的目标网络资产发现日志;
当确定存在所述目标网络资产发现日志时,将所述新的网络资产发现日志中的内容,记录到所述目标网络资产发现日志对应的各项子列表下;
当确定不存在所述目标网络资产发现日志时,创建所述新的网络资产发现日志对应的各项子列表。
第二方面,提供一种网络资产识别装置,所述装置包括:
确定单元,用于确定待识别流量数据;
第一获得单元,用于对所述待识别流量数据中的协议数据包进行解析,获得解析结果,所述解析结果中至少包括所述协议数据包的包头中的可选字段和包体中的数据;
第二获得单元,用于当确定所述可选字段包含特定标识时,对所述可选字段中特定标识后的字节对应的内容进行解析,获得网络设备对应的唯一网络设备标识信息;所述特定标识用于指示所述协议数据包中包含有发送所述待识别流量数据的网络设备对应的唯一标识;
生成单元,用于基于所述唯一网络设备标识信息和所述解析结果中的数据,生成网络资产发现日志。
在一种可能的实施方式中,所述协议数据包的包头包括:按照预设方式填充在所述可选字段中所述唯一网络设备标识信息的可选字段;所述可选字段为所述网络设备在网卡驱动注册预设程序后所获得的。
在一种可能的实施方式中,所述预设方式为:所述可选字段的最末端的字节填充有所述唯一网络设备标识信息,且在所述最末端的字节前的字节填充有所述特定标识。
在一种可能的实施方式中,所述预设方式为:所述可选字段的第二个字节填充有所述特定标识,以及在所述第二个字节后的字节填充有所述唯一网络设备标识信息。
在一种可能的实施方式中,所述预设程序为钩子hook程序。
在一种可能的实施方式中,所述唯一网络设备标识信息为:通过签名算法,对所述网络设备对应的媒体存取控制位址和时间戳组成一个字符串处理后所获得。
在一种可能的实施方式中,所述生成单元,用于:
在所述解析结果中的数据中,添加设备标识字段,并在所述设备标识字段中添加所述唯一网络设备标识信息,获得处理后的数据;
基于所述解析结果中的发送所述待识别流量数据的网络设备对应的源地址、目的地址、源端口以及目的端口,以及所述处理后的数据,生成网络资产发现日志。
在一种可能的实施方式中,所述装置还包括处理单元,用于:
确定所述网络资产发现日志对应的各项子列表,并将所述网络资产发现日志的各项子列表添加到日志管理单元;
当接收到新的网络资产发现日志时,确定所述日志管理单元中,是否存在与所述新的网络资产发现日志中的唯一网络设备标识信息匹配的目标网络资产发现日志;
当确定存在所述目标网络资产发现日志时,将所述新的网络资产发现日志中的内容,记录到所述目标网络资产发现日志对应的各项子列表下;
当确定不存在所述目标网络资产发现日志时,创建所述新的网络资产发现日志对应的各项子列表。
第三方面,本发明实施例提供了一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明所述的网络资产识别方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,包括程序或指令,当所述程序或指令被执行时,实现本发明所述的网络资产识别方法中的步骤。
第五方面,提供一种计算机程序产品,当所述计算机程序产品在电子设备运行时,实现本发明所述的网络资产识别方法中的步骤。
本发明实施例的有益效果如下:
本发明实施例提供了一种网络资产识别方法、装置、电子设备及存储介质,由于对待识别流量数据中的协议数据包进行解析,获得了包括协议数据包的包头中的可选字段和包体中的数据,并且,在确定可选字段中包含特定标识时,可以确定该数据包再发送时进行了修改,即协议数据包中包含有发送所述待识别流量数据的网络设备对应的唯一标识,这样,可以对可选字段中特定标识后的字节对应的内容进行解析,从而可以获得用于唯一对应标识网络设备的唯一网络设备标识信息,进而可以基于唯一网络设备标识信息准确确定网络设备,实现对待识别流量数据对应的网络资产的识别。进一步地,电子设备可以基于唯一网络设备标识信息和解析结果中的数据,生成网络资产发现日志。这样,可以对后续的网络资产进行识别和管理。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例提供的一种应用场景的示意图;
图2为本发明实施例提供的一种网络资产识别方法的实施流程示意图;
图3为本发明实施例提供的一种网络资产识别的过程示意图;
图4为本发明实施例提供的一种网络资产识别装置的结构示意图;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为了更好的理解上述技术方案,下面将结合说明书附图及具体的实施方式对上述技术方案进行详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互结合。
需要说明的是,本发明的说明书和权利要求中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的图像在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
下面对本发明实施例的设计思想进行简要介绍:
目前,随着网络技术不断发展,各个行业为了应对安全问题,以及更加合理的利用资源,其对应的设备的部署方式越来越多样化,例如:多云部署方式,根据不同的安全级别,分层部署各个设备。这样,可能会导致在不同的部署方式下,主机、服务器等网络设备存在同时对应多个网际互连协议(Internet Protocol,IP),也就是说,存在一个网络设备对应多个IP的问题。
具体的,现有技术中一般是基于流量发现、设备扫描、终端软件等方式来实现互联网资产发现和资产生命周期管理。
然而,基于流量发现或设备扫描的方式,在一个网络设备对应多个IP,即一个网络设备存在重复IP,多层网络地址转换(Network Address Translation,NAT)的场景下,存在通过IP识别的资产不准确,或者是IP无法映射到唯一的资产的情况。这样,需要人工进行审计修正。而目前广泛采用的终端软件往往带有生产商特有的属性,功能比较多,对网络设备侵入性比较强,还有数据泄露等安全风险,往往不被客户接受。此外,终端软件需要必须链接在安全厂商的服务器进行数据上报才能做资产分析,对客户的网络部署有一定的要求。可见,现有技术中亟需一种简单高效的资产识别方案来实现资产识别和发现。
鉴于此,本发明提供一种网络资产识别方法,在该方法中,由于对待识别流量数据中的协议数据包进行解析,获得了包括协议数据包的包头中的可选字段和包体中的数据,并且,在确定可选字段中包含特定标识时,可以确定该数据包再发送时进行了修改,即协议数据包中包含有发送所述待识别流量数据的网络设备对应的唯一标识,这样,可以对可选字段中特定标识后的字节对应的内容进行解析,从而可以获得用于唯一对应标识网络设备的唯一网络设备标识信息,进而可以基于唯一网络设备标识信息准确确定网络设备,实现对待识别流量数据对应的网络资产的识别。进一步地,电子设备可以基于唯一网络设备标识信息和解析结果中的数据,生成网络资产发现日志。这样,可以对后续的网络资产进行识别和管理。
介绍完本发明实施例的设计思想之后,下面对本发明实施例中的网络资产识别的技术方案适用的应用场景做一些简单介绍,需要说明的是,本发明实施例描述的应用场景是为了更加清楚的说明本发明实施例的技术方案,并不构成对于本发明实施例提供的技术方案的限定,本领域普通技术人员可知,随着新应用场景的出现,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
在本发明实施例中,本发明实施例提供的资产识别方法,可以应用于需要进行网络设备资产识别和管理的任何场景,本发明实施例中不做限制。
请参见图1,图1为本发明实施例中的一种网络资产识别的应用场景示意图。
在具体实施过程中,网络设备101确定待发送的协议数据包,然后通过网络103将协议数据包发送给其它电子设备104,这样,探针设备102可以获取协议数据包,然后对协议数据包进行解析,从而可以获得解析结果,解析结果中至少包括协议数据包的包头中的可选字段和包体中的数据;当确定可选字段包含特定标识时,对可选字段中特定标识后的字节对应的内容进行解析,获得网络设备对应的唯一网络设备标识信息;特定标识用于指示协议数据包中包含有发送待识别流量数据的网络设备对应的唯一标识;基于唯一网络设备标识信息和解析结果中的数据,生成网络资产发现日志。
网络设备101与探针设备102之间可以通过一个或者多个网络103进行通信连接。其它电子设备104与网络设备101之间也可以通过一个或者多个网络103进行通信连接。该网络103可以是有线网络,也可以是无线网络,例如无线网络可以是移动蜂窝网络,或者可以是无线保真(WIreless-Fidelity,WIFI)网络,当然还可以是其他可能的网络,本发明实施例对此不做限制。
探针设备102,可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务以及大数据和人工智能平台等基础云计算服务的云服务器,或者还可以是桌面计算机等电子设备。
本申请实施例中,网络设备101,包括但不限于是桌面计算机、移动电话、移动电脑、平板电脑、媒体播放器、智能可穿戴设备、智能电视、车载设备、个人数字助理(personaldigital assistant,PDA)等电子设备。
为进一步说明本发明实施例提供的网络资产识别方法的方案,下面结合附图以及具体实施方式对此进行详细的说明。虽然本发明实施例提供了如下述实施例或附图所示的方法操作步骤,但基于常规或者无需创造性的劳动在方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中,这些步骤的执行顺序不限于本发明实施例提供的执行顺序。方法在实际的处理过程中或者装置执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的应用环境)。
以下结合图2所示的方法流程图对本发明实施例中网络资产识别方法进行说明,下面对本发明实施例的方法流程进行介绍,该方法可以由电子设备执行,该电子设备例如是图1中的探针设备。
步骤201:确定待识别流量数据。
在本发明实施例中,网络设备通过网卡向外发送数据包时,数据包通过网卡注册预设程序时,会被注册安装的预设程序修改数据包的包头,具体的,按照预设方式在可选字段中,填充唯一网络设备标识信息。需要说明的是,可选字段可以理解为IP协议中的可变长字段。其中IP协议可以理解为传输控制协议(Transmission Control Protocol,TCP)/IP体系中的网络层协议。
具体的,在网络设备例如主机上安装预设程序可以包括但不限于以下步骤:
步骤A:
在本发明实施例中,预设程序获取网络主机所有网卡的媒体存取控制位址(MediaAccess Control Address,mac地址),将所有mac地址和当前时间戳组成一个字符串,再使用签名算法生成一个定长字符串作为当前网络设备的唯一标识即唯一网络设备标识信息,并将唯一网络设备标识信息存在程序配置文件中。
其中,签名算法可以是MD5信息摘要算法(MD5 Message-Digest Algorithm,MD5)。基于该签名算法,可以生成一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。
步骤B:
在本发明实施例中,网络设备发送数据包时对应的协议驱动注册预设程序,且预设程序可以实现SendHandler函数,SendHandler函数用于实现数据包的修改处理,即在数据包外发时,将网络设备唯一标识信息按照预设方式填充到IP协议可选字段。
在一种可选的实施方式中,预设方式为:可选字段的最末端的字节填充有唯一网络设备标识信息,且在最末端的字节前的字节填充有特定标识。
在具体的实施过程中,考虑到可选字段中可能一些使用需求占用可选字段前面的字节,因此,可以将唯一网络设备标识信息填充至可选字段的最末端的字节,且在最末端的字节前的字节填充有特定标识。这样,可以在增加有对网络设备的唯一标识的基础上,还确保其它使用需求的正常使用,提升使用体验。
在一种可选择的实施方式中,预设方式为:可选字段的第二个字节填充有特定标识,以及在第二个字节后的字节填充有唯一网络设备标识信息。
可见,在本发明实施例中,将可选字段的第一个字节留白处理,即未在第一个字节未填充特定标识,这样,可以为其它有使用需求的应用提供良好的实施基础。
在一种可能的实施方式中,预设程序为钩子hook程序。可见,本发明实施例中,并非设计一个新的程序,而是基于已有的程序,去设置唯一网络设备标识信息,这样,可以减少网络设备的开销,且避免造成对网络设备的入侵以及数据泄露的风险。
具体的,在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。
在本发明实施例中,当注册hook程序后,可以将hook程序加入到自动启动中。这样,当网络设备启动时,会检测hook程序对应配置文件是否存在,当确定hook程序对应配置文件不存在时,则生成配置和向网卡驱动注册hook程序;当确定hook程序对应配置文件存在时,向其他电子设备发送修改后的协议数据包。
可见,在本发明实施例中,使用hook技术,通过在网卡数据发送过程中对TCP数据包的可选协议进行变更,在不改变现有协议体系下能够增加资产识别信息,用最小的代价实现了最准确的网络资产发现和识别功能。
在一种可能的实施方式中,网络设备可以通过路由器,向其他电子设备发送修改后的协议数据包。然后,探针设备可以对路由器中的流量数据进行镜像,从而可以获得待识别流量数据。
在一种可能的实施方式中,探针设备也可以直接快照或拦截网络设备发送给其他电子设备的修改后的协议数据包,以获得待识别流量数据。
步骤202:对待识别流量数据中的协议数据包进行解析,获得解析结果,解析结果中至少包括协议数据包的包头中的可选字段和包体中的数据。
在本发明实施例中,探针设备在确定待识别流量数据之后,探针设备可以对待识别流量数据中的协议数据包进行解析,获得解析结果,解析结果中至少包括协议数据包的包头中的可选字段和包体中的数据。此外,解析结果中还包括待识别流量数据的网络设备对应的源地址、目的地址、源端口、目的端口以及协议。
步骤203:当确定可选字段包含特定标识时,对可选字段中特定标识后的字节对应的内容进行解析,获得网络设备对应的唯一网络设备标识信息;特定标识用于指示协议数据包中包含有发送待识别流量数据的网络设备对应的唯一标识。
在本发明实施例中,当探针设备获得解析结果之后,可以确定解析结果中的可选字段中是否有值,进一步地,当探针设备确定可选字段中存在值之后,确实是否存在特定标识。
具体的,当确定可选字段包含特定标识时,对可选字段中特定标识后的字节对应的内容进行解析,确定解析后获得的信息,是否为定长的网络设备对应的唯一网络设备标识信息,从而获得网络设备对应的唯一网络设备标识信息。
在本发明实施例中,探针设备可以先判断数据流量方向,只有在出口流量才对协议包头解析,并且,在具体的实施过程中,只针对TCP协议包进行可选协议内容解析;以及,通过两层过滤,可以大大减少检测数据量,增强数据的检测效率。
步骤204:基于唯一网络设备标识信息和解析结果中的数据,生成网络资产发现日志。
在本发明实施例中,当探针设备获得唯一网络设备标识信息之后,探针设备可以在解析结果中的数据中,添加设备标识字段,并在设备标识字段中添加唯一网络设备标识信息,获得处理后的数据;基于解析结果中的发送待识别流量数据的网络设备对应的源地址、目的地址、源端口以及目的端口,以及处理后的数据,生成网络资产发现日志。
可见,在本发明实施例中,对存在唯一网络设备标识信息的数据,生成一条资产发现日志,标注来源IP,设备标识,端口,协议等信息。
在一种可能的实施方式中,探针设备可以确定网络资产发现日志对应的各项子列表,并将网络资产发现日志的各项子列表添加到日志管理单元。具体的,探针设备可以将唯一网络设备标识信息作为网络资产的唯一性标识,并创建其对应的子列表;可以将来源IP作为网络资产的IP,且创建资产IP列表以存储该资产IP;以及,还可以将端口、发现设备类型和设备上安装的应用,作为网络资产的指纹信息,且创建资产对应的指纹信息子列表。当然,在实际实施过程中,可能还包括其他项目子列表,本发明实施例中对此不做限制。
在本发明实施例中,探针设备当接收到新的网络资产发现日志时,确定日志管理单元中,是否存在与新的网络资产发现日志中的唯一网络设备标识信息匹配的目标网络资产发现日志;当确定存在目标网络资产发现日志时,将新的网络资产发现日志中的内容,记录到目标网络资产发现日志对应的各项子列表下;当确定不存在目标网络资产发现日志时,创建新的网络资产发现日志对应的各项子列表。
具体的,在探针设备接收到新的网络资产发现日志时,当确定新的网络资产发现日志的资产唯一网络设备标识信息,未存在目标网络资产发现日志,即确定新的网络资产发现日志在日志管理单元中不存在,则创建新的网络资产发现日志对应的各项子列表。
具体的,当确定存在目标网络资产发现日志时,判断新的网络资产发现日志中的内容是否在IP子列表中存在,如果不存在,则将新的网络资产发现日志中的源IP和目的IP加入到网络资产的子IP列表中。以及,判断新的网络资产发现日志中的内容是否在指纹信息子列表中存在,如果不存在,则将新的网络资产发现日志中的目的端口和源端口以及网络设备的设备类型和设备上安装的应用更新到指纹信息子列表中。
可见,在本发明实施例中,在消费网络资产发现日志时,识别到唯一网络设备标识信息存在时,可以认定是真实存在的网络资产,立刻加入到日志管理单元中,并根据协议类型判定网络资产的设备类型和安装的应用信息。
在本发明实例中,请参见图3,图3为本发明实施例提供的一种网络资产识别的过程示意图。具体的,网络设备通过网卡向外发送数据包时,数据包通过网卡注册预设程序时,会被注册安装的预设程序修改数据包的包头。当获得修改后的协议数据包后,网络设备可以通过路由器,向其他电子设备发送修改后的协议数据包。然后,探针设备可以对路由器中的流量数据进行镜像,从而可以获得待识别流量数据。
进一步地,探针设备可以检测待识别流量数据中,带有的唯一网络资产标识信息,从而可以使用这个唯一网络资产标识信息来标注这个待识别流量数据对应的网络设备,并且可以从待识别流量数据中提取网络设备即网络资产相关的信息,例如IP,端口,url等,并使用这些信息可以生成相应的子列表。
具体的,从分析通信流量可知,IP,端口等信息都不是唯一的或不可变的,在路由过程中,IP协议中的可选字段往往是空缺的,且在协议数据包传输过程中是不会变更的,而可选字段长度有较多字节,因而可以考虑对可选字段进行加以利用,填充唯一网络设备标识信息,从可以满足单一客户所有网络资产的标识。
在具体的实施过程中,当安装hook程序的网络设备对外进行通信时,只要发生了TCP通信,可准确的检测到此机器并成功的加入到资产管理中,检测准确率100%;常用协议和特定协议对设备类型的检测准确率能达到90%;资产上安装应用的准确性达到95%。
在具体的实施过程中,当安装hook程序的网络设备在发生IP变更,网卡变更后,只要发生了TCP通信,可准确的检测到设备信息并正确的更新资产信息
基于同一发明构思,本发明实施例还提供了一种网络资产识别装置,由于上述网络资产识别装置解决问题的原理与网络资产识别方法相似,因此上述装置的实施可以参见方法的实施,重复之处不再赘述。
请参见图4,其为本发明实施例提供的网络资产识别装置400的结构示意图,可以包括:
确定单元401,用于确定待识别流量数据;
第一获得单元402,用于对所述待识别流量数据中的协议数据包进行解析,获得解析结果,所述解析结果中至少包括所述协议数据包的包头中的可选字段和包体中的数据;
第二获得单元403,用于当确定所述可选字段包含特定标识时,对所述可选字段中特定标识后的字节对应的内容进行解析,获得网络设备对应的唯一网络设备标识信息;所述特定标识用于指示所述协议数据包中包含有发送所述待识别流量数据的网络设备对应的唯一标识;
生成单元404,用于基于所述唯一网络设备标识信息和所述解析结果中的数据,生成网络资产发现日志。
在一种可能的实施方式中,所述协议数据包的包头包括:按照预设方式填充在所述可选字段中所述唯一网络设备标识信息的可选字段;所述可选字段为所述网络设备在网卡驱动注册预设程序后所获得的。
在一种可能的实施方式中,所述预设方式为:所述可选字段的最末端的字节填充有所述唯一网络设备标识信息,且在所述最末端的字节前的字节填充有所述特定标识。
在一种可能的实施方式中,所述预设方式为:所述可选字段的第二个字节填充有所述特定标识,以及在所述第二个字节后的字节填充有所述唯一网络设备标识信息。
在一种可能的实施方式中,所述预设程序为钩子hook程序。
在一种可能的实施方式中,所述唯一网络设备标识信息为:通过签名算法,对所述网络设备对应的媒体存取控制位址和时间戳组成一个字符串处理后所获得。
在一种可能的实施方式中,所述生成单元404,用于:
在所述解析结果中的数据中,添加设备标识字段,并在所述设备标识字段中添加所述唯一网络设备标识信息,获得处理后的数据;
基于所述解析结果中的发送所述待识别流量数据的网络设备对应的源地址、目的地址、源端口以及目的端口,以及所述处理后的数据,生成网络资产发现日志。
在一种可能的实施方式中,所述装置还包括处理单元,用于:
确定所述网络资产发现日志对应的各项子列表,并将所述网络资产发现日志的各项子列表添加到日志管理单元;
当接收到新的网络资产发现日志时,确定所述日志管理单元中,是否存在与所述新的网络资产发现日志中的唯一网络设备标识信息匹配的目标网络资产发现日志;
当确定存在所述目标网络资产发现日志时,将所述新的网络资产发现日志中的内容,记录到所述目标网络资产发现日志对应的各项子列表下;
当确定不存在所述目标网络资产发现日志时,创建所述新的网络资产发现日志对应的各项子列表。
基于同一技术构思,本发明实施例还提供了一种电子设备500,参照图5所示,电子设备500用于实施上述方法实施例记载的网络资产识别方法,该电子设备例如是图1所示的探针设备,该实施例的电子设备500可以包括:存储器501、处理器502以及存储在所述存储器中并可在所述处理器上运行的计算机程序,例如网络资产识别程序。所述处理器执行所述计算机程序时实现上述各个网络资产识别方法实施例中的步骤,例如图2所示的步骤。或者,所述处理器执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能,例如400。
本发明实施例中不限定上述存储器501、处理器502之间的具体连接介质。本申请实施例在图5中以存储器501、处理器502之间通过总线503连接,总线503在图5中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线503可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器501可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器501也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD)、或者存储器501是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器501可以是上述存储器的组合。
处理器502,用于实现如图2所示的一种网络资产识别方法,包括:
确定待识别流量数据;对待识别流量数据中的协议数据包进行解析,获得解析结果,解析结果中至少包括协议数据包的包头中的可选字段和包体中的数据;当确定可选字段包含特定标识时,对可选字段中特定标识后的字节对应的内容进行解析,获得网络设备对应的唯一网络设备标识信息;特定标识用于指示协议数据包中包含有发送待识别流量数据的网络设备对应的唯一标识;基于唯一网络设备标识信息和解析结果中的数据,生成网络资产发现日志。
在一些可能的实施方式中,本发明提供的网络资产识别方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使所述电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的网络资产识别方法中的步骤,例如,确定待识别流量数据;对待识别流量数据中的协议数据包进行解析,获得解析结果,解析结果中至少包括协议数据包的包头中的可选字段和包体中的数据;当确定可选字段包含特定标识时,对可选字段中特定标识后的字节对应的内容进行解析,获得网络设备对应的唯一网络设备标识信息;特定标识用于指示协议数据包中包含有发送待识别流量数据的网络设备对应的唯一标识;基于唯一网络设备标识信息和解析结果中的数据,生成网络资产发现日志。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1.一种网络资产识别方法,其特征在于,所述方法包括:
确定待识别流量数据;
对所述待识别流量数据中的协议数据包进行解析,获得解析结果,所述解析结果中至少包括所述协议数据包的包头中的可选字段和包体中的数据;
当确定所述可选字段包含特定标识时,对所述可选字段中特定标识后的字节对应的内容进行解析,获得网络设备对应的唯一网络设备标识信息;所述特定标识用于指示所述协议数据包中包含有发送所述待识别流量数据的网络设备对应的唯一标识;
基于所述唯一网络设备标识信息和所述解析结果中的数据,生成网络资产发现日志。
2.如权利要求1所述的方法,其特征在于,所述协议数据包的包头包括:按照预设方式填充有所述唯一网络设备标识信息的可选字段;所述可选字段为所述网络设备在网卡驱动注册预设程序后所获得的。
3.如权利要求2所述的方法,其特征在于,所述预设方式为:所述可选字段的最末端的字节填充有所述唯一网络设备标识信息,且在所述最末端的字节前的字节填充有所述特定标识。
4.如权利要求2所述的方法,其特征在于,所述预设方式为:所述可选字段的第二个字节填充有所述特定标识,以及在所述第二个字节后的字节填充有所述唯一网络设备标识信息。
5.如权利要求2所述的方法,其特征在于,所述预设程序为钩子hook程序。
6.如权利要求1-4任一所述的方法,其特征在于,所述唯一网络设备标识信息为:通过签名算法,对所述网络设备对应的媒体存取控制位址和时间戳组成一个字符串处理后所获得。
7.如权利要求1-4任一所述的方法,其特征在于,基于所述唯一网络设备标识信息和所述解析结果中的数据,生成网络资产发现日志,包括:
在所述解析结果中的数据中,添加设备标识字段,并在所述设备标识字段中添加所述唯一网络设备标识信息,获得处理后的数据;
基于所述解析结果中的发送所述待识别流量数据的网络设备对应的源地址、目的地址、源端口以及目的端口,以及所述处理后的数据,生成网络资产发现日志。
8.如权利要求1-4任一所述的方法,其特征在于,所述方法还包括:
确定所述网络资产发现日志对应的各项子列表,并将所述网络资产发现日志的各项子列表添加到日志管理单元;
当接收到新的网络资产发现日志时,确定所述日志管理单元中,是否存在与所述新的网络资产发现日志中的唯一网络设备标识信息匹配的目标网络资产发现日志;
当确定存在所述目标网络资产发现日志时,将所述新的网络资产发现日志中的内容,记录到所述目标网络资产发现日志对应的各项子列表下;
当确定不存在所述目标网络资产发现日志时,创建所述新的网络资产发现日志对应的各项子列表。
9.一种网络资产识别装置,其特征在于,所述装置包括:
确定单元,用于确定待识别流量数据;
第一获得单元,用于对所述待识别流量数据中的协议数据包进行解析,获得解析结果,所述解析结果中至少包括所述协议数据包的包头中的可选字段和包体中的数据;
第二获得单元,用于当确定所述可选字段包含特定标识时,对所述可选字段中特定标识后的字节对应的内容进行解析,获得网络设备对应的唯一网络设备标识信息;所述特定标识用于指示所述协议数据包中包含有发送所述待识别流量数据的网络设备对应的唯一标识;
生成单元,用于基于所述唯一网络设备标识信息和所述解析结果中的数据,生成网络资产发现日志。
10.一种计算机设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述方法。
11.一种计算机可读存储介质,其特征在于,包括程序或指令,当所述程序或指令被执行时,如权利要求1至8中任意一项所述的方法被执行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211032378.0A CN115314319A (zh) | 2022-08-26 | 2022-08-26 | 一种网络资产识别方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211032378.0A CN115314319A (zh) | 2022-08-26 | 2022-08-26 | 一种网络资产识别方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115314319A true CN115314319A (zh) | 2022-11-08 |
Family
ID=83864807
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211032378.0A Pending CN115314319A (zh) | 2022-08-26 | 2022-08-26 | 一种网络资产识别方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115314319A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117294673A (zh) * | 2023-11-16 | 2023-12-26 | 深圳万物安全科技有限公司 | 数据资源的处理方法、数据资源的处理装置及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070002767A1 (en) * | 2005-06-30 | 2007-01-04 | Holman Jermel K | Method and apparatus for device class discovery in a network |
| CN109802953A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种工控资产的识别方法及装置 |
| CN112039853A (zh) * | 2020-08-11 | 2020-12-04 | 深信服科技股份有限公司 | 局域网的资产识别方法及装置、设备和可读存储介质 |
| CN113364746A (zh) * | 2021-05-24 | 2021-09-07 | 湖南华菱涟源钢铁有限公司 | 设备识别方法、装置、设备及计算机存储介质 |
| CN113825129A (zh) * | 2021-09-14 | 2021-12-21 | 工业和信息化部北京互联网交换中心 | 一种5g网络环境下工业互联网资产测绘方法 |
| CN113905364A (zh) * | 2021-10-25 | 2022-01-07 | 广州通则康威智能科技有限公司 | 路由器上行数据溯源方法、装置、计算机设备及存储介质 |
| CN113949748A (zh) * | 2021-10-15 | 2022-01-18 | 北京知道创宇信息技术股份有限公司 | 一种网络资产识别方法、装置、存储介质及电子设备 |
| CN114189348A (zh) * | 2021-10-18 | 2022-03-15 | 中国电子科技网络信息安全有限公司 | 一种适用于工控网络环境的资产识别方法 |
-
2022
- 2022-08-26 CN CN202211032378.0A patent/CN115314319A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070002767A1 (en) * | 2005-06-30 | 2007-01-04 | Holman Jermel K | Method and apparatus for device class discovery in a network |
| CN109802953A (zh) * | 2018-12-29 | 2019-05-24 | 北京奇安信科技有限公司 | 一种工控资产的识别方法及装置 |
| CN112039853A (zh) * | 2020-08-11 | 2020-12-04 | 深信服科技股份有限公司 | 局域网的资产识别方法及装置、设备和可读存储介质 |
| CN113364746A (zh) * | 2021-05-24 | 2021-09-07 | 湖南华菱涟源钢铁有限公司 | 设备识别方法、装置、设备及计算机存储介质 |
| CN113825129A (zh) * | 2021-09-14 | 2021-12-21 | 工业和信息化部北京互联网交换中心 | 一种5g网络环境下工业互联网资产测绘方法 |
| CN113949748A (zh) * | 2021-10-15 | 2022-01-18 | 北京知道创宇信息技术股份有限公司 | 一种网络资产识别方法、装置、存储介质及电子设备 |
| CN114189348A (zh) * | 2021-10-18 | 2022-03-15 | 中国电子科技网络信息安全有限公司 | 一种适用于工控网络环境的资产识别方法 |
| CN113905364A (zh) * | 2021-10-25 | 2022-01-07 | 广州通则康威智能科技有限公司 | 路由器上行数据溯源方法、装置、计算机设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117294673A (zh) * | 2023-11-16 | 2023-12-26 | 深圳万物安全科技有限公司 | 数据资源的处理方法、数据资源的处理装置及存储介质 |
| CN117294673B (zh) * | 2023-11-16 | 2024-02-23 | 深圳万物安全科技有限公司 | 数据资源的处理方法、数据资源的处理装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rafique et al. | Firma: Malware clustering and network signature generation with mixed network behaviors | |
| CN108183916B (zh) | 一种基于日志分析的网络攻击检测方法及装置 | |
| EP3178011B1 (en) | Method and system for facilitating terminal identifiers | |
| CN108965267B (zh) | 网络攻击处理方法、装置及车辆 | |
| CN113315742B (zh) | 攻击行为检测方法、装置及攻击检测设备 | |
| CN108512898B (zh) | 文件推送方法、装置、计算机设备和存储介质 | |
| CN110740144B (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
| CN108683668A (zh) | 内容分发网络中的资源校验方法、装置、存储介质及设备 | |
| CN110888838A (zh) | 基于对象存储的请求处理方法、装置、设备及存储介质 | |
| CN114500690A (zh) | 接口数据处理方法、装置、电子设备及存储介质 | |
| CN115314319A (zh) | 一种网络资产识别方法、装置、电子设备及存储介质 | |
| CN111756716A (zh) | 流量检测方法、装置及计算机可读存储介质 | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| CN113923008B (zh) | 一种恶意网站拦截方法、装置、设备及存储介质 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN104333614A (zh) | 终端识别的方法、装置及系统 | |
| US10747525B2 (en) | Distribution of a software upgrade via a network | |
| CN113438225B (zh) | 一种车载终端漏洞检测方法、系统、设备及存储介质 | |
| CN113935438A (zh) | 基于设备角色的物联网设备异常检测方法、系统及装置 | |
| CN112367326B (zh) | 车联网流量的识别方法及装置 | |
| CN112104615B (zh) | 基于IPv6地址的文件可信判断的处理方法及装置 | |
| KR20200040037A (ko) | 대상서버의 부하 저감을 위한 지능형 크롤링 시스템 및 방법 | |
| CN116015844A (zh) | 一种数据流量检测方法、系统及电子设备 | |
| CN115643079A (zh) | 数据包安全风险检测方法、装置、电子设备和存储介质 | |
| CN112511506A (zh) | 控制消息的传输方法、装置和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |