CN115442259A - 系统识别方法及装置 - Google Patents
系统识别方法及装置 Download PDFInfo
- Publication number
- CN115442259A CN115442259A CN202211057123.XA CN202211057123A CN115442259A CN 115442259 A CN115442259 A CN 115442259A CN 202211057123 A CN202211057123 A CN 202211057123A CN 115442259 A CN115442259 A CN 115442259A
- Authority
- CN
- China
- Prior art keywords
- port
- information
- target
- detection information
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 96
- 238000001514 detection method Methods 0.000 claims abstract description 210
- 230000004044 response Effects 0.000 claims description 32
- 230000008569 process Effects 0.000 description 27
- 230000006870 function Effects 0.000 description 12
- 238000004590 computer program Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 6
- 230000004083 survival effect Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Environmental & Geological Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开一种系统识别方法及装置,涉及计算机技术领域。本申请的方法包括:通过第一检测信息确定目标设备的端口状态,所述端口状态包括开放端口和关闭端口;在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息,其中,所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息;基于反馈信息中的目标参数,确定所述目标设备的操作系统,其中,所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种系统识别方法及装置。
背景技术
随着信息技术的发展,云计算、大数据、物联网、人工智能等新兴技术也逐步为现代化建设带来了新的生产力。为了协调各个部门、子公司等组织,一个企业中会设置企业平台进行任务的发布、工作协调等操作,但基于信息技术发展,随之而来的是各个部门或子公司会有大量不同的资产设备与企业平台连接,由于每个资产设备的型号、种类是不同的,因此其设备所搭载的操作系统也是不同的,因此在对企业平台中连接的各个资产设备的系统进行识别,以确定每个资产设备的种类是十分重要的。
目前,在企业平台中连接的各个资产设备的系统进行识别的过程中,常规的方式是在每个资产设备中安装脚本或程序来进行操作系统的检测,并将检测结果反馈至平台的服务器中,以便企业获知连接平台的各个资产设备的操作系统的种类,然而在实际应用中,当企业的体量较大时,连接企业平台的资产设备的数量会非常多,利用常规的方式进行系统识别,就需要提前在每个资产设备中进行脚本或程序的安装,这对于体量较大的企业而言,显然是不现实的,因此,如何能够实现一种相对高效方式以实现对企业平台中的各个资产设备的系统识别,成为了领域内亟待解决的问题。
发明内容
本申请实施例提供一种系统识别方法及装置,主要目的在于实现一种高效方式实现对企业平台中的各个资产设备的系统识别的功能。
为解决上述技术问题,本申请实施例提供如下技术方案:
第一方面,本申请提供了一种系统识别方法,所述方法包括:
通过第一检测信息确定目标设备的端口状态,所述端口状态包括开放端口和关闭端口;
在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息,其中,所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息;
基于反馈信息中的目标参数,确定所述目标设备的操作系统,其中,所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数。
可选的,所述在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息,包括:
通过目标协议规则,构建所述第二检测信息,其中,所述第二检测信息中包括目标字段,所述目标字段为基于所述目标协议规则设置的,所述目标协议规则包括TCP/IP协议规则;
将所述第二检测信息发送至所述目标设备的所述第一端口。
可选的,所述目标参数是所述目标设备基于所述操作系统对所述第二检测信息进行响应后产生的对应所述目标字段的参数;
所述基于反馈信息中的目标参数,确定所述目标设备的操作系统,包括:
接收所述反馈信息,并从所述反馈信息中提取对应所述目标字段的参数,作为所述目标参数;
根据所述目标参数及预设系统参数关系,确定对应所述目标参数的系统信息,作为所述操作系统,其中,所述预设系统参数关系中包含多个所述系统信息,以及每个所述系统信息对应的至少一个所述目标参数。
可选的,所述目标字段包含至少一个字段信息,所述目标参数包括至少一个识别参数,每个所述识别参数对应一个所述字段信息;每个所述系统信息对应至少一个所述识别参数;
所述根据所述目标参数及预设系统参数关系,确定对应所述目标参数的系统信息,作为所述操作系统,包括:
确定所述识别参数的数量是否唯一;
若是,则判断在所述预设系统参数关系中是否存在对应所述识别参数的系统信息;
若存在,则将所述系统信息确定为所述目标设备的所述操作系统。
可选的,在所述确定所述识别参数的数量是否唯一之后,所述方法还包括:
若确定所述识别参数的所述数量不唯一,则在所述预设系统参数关系中确定与所述目标参数匹配度最高的所述系统信息,并将所述系统信息确定为所述目标设备的所述操作系统,其中,所述匹配度是基于所述目标参数中的识别参数的匹配数量确定的。
可选的,所述目标字段至少包括窗口大小、ACK确认字符信息、TTL数据包存活时间、DF首部标识、ISN初始化序列号以及MSS最大报文长度中的一种。
可选的,在所述通过第一检测信息确定目标设备的端口状态之前,所述方法还包括:
获取历史端口数据,其中,所述历史端口数据中包含每个端口的使用信息,所述使用信息用于表征调用所述端口的服务;
根据所述历史端口数据,确定对应每个所述端口的所述服务,并基于所述服务确定每个所述端口的端口类型,所述端口类型包括常用端口和非常用端口,其中,所述常用端口用于表征所述端口的使用频率高于预设频率的端口,所述非常用端口用于表征所述端口的所述使用频率未超过所述预设频率的端口;
所述通过第一检测信息确定目标设备的端口状态,包括:
向所述端口类型为所述常用端口的第二端口发送所述第一检测信息,并接收响应信息,其中所述响应信息为所述第二端口接收到所述第一检测信息后反馈的信息;
基于所述响应信息确定所述常用端口的所述端口状态。
可选的,所述向所述端口类型为所述常用端口的第二端口发送所述第一检测信息,并接收响应信息,包括:
当所述第二端口的数量为多个时,在多个所述第二端口中将端口号最小的所述第二端口确定为第一优先端口;
向所述第一优先端口发送所述第一检测信息,并接收所述响应信息。
可选的,在所述在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息之后,所述方法还包括:
在多个所述端口中,向所述端口状态为所述关闭端口的第三端口发送所述第二检测信息。
可选的,所述在多个所述端口中,向所述端口状态为所述关闭端口的第三端口发送所述第二检测信息,包括:
在多个所述第三端口中,将所述端口号最小的所述第三端口确定为第二优先端口,并向所述第二优先端口发送所述第二检测信息。
可选的,所述第一检测信息是基于预设协议规则构建的,所述预设协议规则包括TCP协议规则、UDP协议规则以及ICMP协议规则;
所述第一检测信息包括TCP检测信息,UDP检测信息以及ICMP检测信息中的至少一个。
第二方面,本申请还提供一种系统识别装置,包括:
第一确定单元,用于通过第一检测信息确定目标设备的端口状态,所述端口状态包括开放端口和关闭端口;
第一发送单元,用于在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息,其中,所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息;
第二确定单元,用于基于反馈信息中的目标参数,确定所述目标设备的操作系统,其中,所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数。
可选的,所述第一发送单元,包括:
构建模块,用于通过目标协议规则,构建所述第二检测信息,其中,所述第二检测信息中包括目标字段,所述目标字段为基于所述目标协议规则设置的,所述目标协议规则包括TCP/IP协议规则;
发送模块,用于将所述第二检测信息发送至所述目标设备的所述第一端口。
可选的,所述目标参数是所述目标设备基于所述操作系统对所述第二检测信息进行响应后产生的对应所述目标字段的参数;
所述第二确定单元,包括:
提取模块,用于接收所述反馈信息,并从所述反馈信息中提取对应所述目标字段的参数,作为所述目标参数;
确定模块,用于根据所述目标参数及预设系统参数关系,确定对应所述目标参数的系统信息,作为所述操作系统,其中,所述预设系统参数关系中包含多个所述系统信息,以及每个所述系统信息对应的至少一个所述目标参数。
可选的,所述目标字段包含至少一个字段信息,所述目标参数包括至少一个识别参数,每个所述识别参数对应一个所述字段信息;每个所述系统信息对应至少一个所述识别参数;
所述确定模块,包括:
第一确定子模块,用于确定所述识别参数的数量是否唯一;
判断子模块,用于若确定所述识别参数的数量唯一,则判断在所述预设系统参数关系中是否存在对应所述识别参数的系统信息;
第二确定子模块,用于若判断在所述预设系统参数关系中存在对应所述识别参数的系统信息,则将所述系统信息确定为所述目标设备的所述操作系统。
可选的,所述确定模块还包括:
第三确定子模块,用于若确定所述识别参数的所述数量不唯一,则在所述预设系统参数关系中确定与所述目标参数匹配度最高的所述系统信息,并将所述系统信息确定为所述目标设备的所述操作系统,其中,所述匹配度是基于所述目标参数中的识别参数的匹配数量确定的。
可选的,所述目标字段至少包括窗口大小、ACK确认字符信息、TTL数据包存活时间、DF首部标识、ISN初始化序列号以及MSS最大报文长度中的一种。
可选的,所述装置还包括:
获取单元,用于获取历史端口数据,其中,所述历史端口数据中包含每个端口的使用信息,所述使用信息用于表征调用所述端口的服务;
第三确定单元,用于根据所述历史端口数据,确定对应每个所述端口的所述服务,并基于所述服务确定每个所述端口的端口类型,所述端口类型包括常用端口和非常用端口,其中,所述常用端口用于表征所述端口的使用频率高于预设频率的端口,所述非常用端口用于表征所述端口的所述使用频率未超过所述预设频率的端口;
所述第一确定单元包括:
发送模块,用于向所述端口类型为所述常用端口的第二端口发送所述第一检测信息,并接收响应信息,其中所述响应信息为所述第二端口接收到所述第一检测信息后反馈的信息;
确定模块,用于基于所述响应信息确定所述常用端口的所述端口状态。
可选的,所述发送模块,包括:
确定子模块,用于当所述第二端口的数量为多个时,在多个所述第二端口中将端口号最小的所述第二端口确定为第一优先端口;
发送子模块,用于向所述第一优先端口发送所述第一检测信息,并接收所述响应信息。
可选的,所述装置还包括:
第二发送单元,用于在多个所述端口中,向所述端口状态为所述关闭端口的第三端口发送所述第二检测信息。
可选的,所述第二发送单元,具体用于在多个所述第三端口中,将所述端口号最小的所述第三端口确定为第二优先端口,并向所述第二优先端口发送所述第二检测信息。
可选的,所述第一检测信息是基于预设协议规则构建的,所述预设协议规则包括TCP协议规则、UDP协议规则以及ICMP协议规则;
所述第一检测信息包括TCP检测信息,UDP检测信息以及ICMP检测信息中的至少一个。
第三方面,本申请的实施例提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行第一方面所述的终端设备的系统识别方法。
第四方面,本申请的实施例提供了一种系统识别装置,所述装置包括存储介质;及一个或者多个处理器,所述存储介质与所述处理器耦合,所述处理器被配置为执行所述存储介质中存储的程序指令;所述程序指令运行时执行第一方面所述的终端设备的系统识别方法。
借由上述技术方案,本申请提供的技术方案至少具有下列优点:
本申请提供一种系统识别方法、装置及系统,本申请能够首先通过第一检测信息确定目标设备的端口状态,然后在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息;最后基于反馈信息中的目标参数,确定所述目标设备的操作系统,从而实现对企业平台中连接的资产设备的操作系统的识别功能。与现有技术相比,由于所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息,且所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,这样就确保了实现了一种能够基于目标设备发送报文信息的方式实现对目标设备的系统进行识别的方法,相较于现有技术,本申请的方法不需要预先在目标设备中部署脚本或程序,而是基于需要向目标设备发送信息并接收信息的方式就能够实现对操作系统的识别,从而可以确保当企业体量较大,企业平台中连接的资产设备较多的情况下的能够对每个所需识别的目标设备进行系统识别的效果,省去了在每个目标设备部署脚本或程序的过程,实现了对目标设备的系统的高效识别的效果,同时由于所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数,也就是说在基于反馈信息中的目标参数来确定目标设备的操作系统时,能够基于每个操作系统自身的特性所反馈的目标参数进行识别,有效确保了操作系统识别结果的准确性。另外,在本实施例中,所述端口状态包括开放端口和关闭端口,且上述方法在执行过程中是向目标设备中的多个端口中端口状态为开放端口的第一端口进行第二检测信息的发送,这就确保了在本申请的系统识别方法执行的过程中能够避免目标设备的关闭的端口发送第二检测信息的过程,有效减少不必要的信息发送行为,确保了后续能够及时获知反馈信息,解决了某些情况下关闭端口不会反馈或存在反馈延时性较高情况下的影响系统识别的识别效率的问题。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
通过参考附图阅读下文的详细描述,本申请示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本申请的若干实施方式,相同或对应的标号表示相同或对应的部分,其中:
图1示出了本申请实施例提供的一种系统识别方法流程图;
图2示出了本申请实施例提供的另一种系统识别方法流程图;
图3示出了本申请实施例提供的一种系统识别装置的组成框图;
图4示出了本申请实施例提供的另一种系统识别装置的组成框图。
具体实施方式
下面将参照附图更详细地描述本申请的示例性实施方式。虽然附图中显示了本申请的示例性实施方式,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
需要注意的是,除非另有说明,本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。
本申请实施例提供一种系统识别方法,具体如图1所示,该方法包括:
101、通过第一检测信息确定目标设备的端口状态。
其中,所述端口状态包括开放端口和关闭端口。
由于在企业平台中连接了大量的不同的资产设备,而设备的种类、型号都是不同的,例如平板、手机、计算机等不同的资产设备。虽然这些设备存在差异,但这些设备都遵循计算机端口的原理,也就是说每个资产设备都具备多个端口,且不同端口的开关状态都是不确定的。其中,“端口”又称计算机端口,是英文port的义译,可以认为是计算机与外界通讯交流的出口。按端口号可分为三大类,分别为熟知端口(英文:Well Known Ports)、注册端口(英文:Registered Ports)以及,动态和/私有端口(英文:Dynamic and/or PrivatePorts)。在本实施例中所述端口可以为其中上述三种端口中的任意一种,在此不做限定。因此,为了确保在进行系统识别的过程中保证目标设备会有所反馈,在本实施例中首先可以基于第一检测信息来确定当前目标设备的端口状态。一般来说端口状态分为开放和关闭两种,也就是端口状态为开放端口或关闭端口。
需要说明的是,在本实施例中,所述端口状态并不是一成不变的,而是基于目标设备的使用状态而变化的,也就是说当端口A在某个时间点为开放端口时,当目标设备运行了某个服务或关闭了某个服务,则该端口A在这时的端口状态可以为关闭端口。因此,由于端口状态存在变化的特点,因此在本实施例中在识别资产设备的操作系统的过程中,首先需要确定此时当前该目标设备的端口是否为开启或关闭的。
另外,在本实施例中,为了确定目标设备的各个端口的端口状态,就需要向各个端口进行检测,检测方式可以基于本实施例的方法通过向各个端口发送第一检测信息进行,该第一检测信息可以理解为一种握手信息,当发送了该信息至端口后,基于端口的不同状态会有不同的反馈结果,这时再依照各个端口的反馈结果就可以反推每个端口的实际的端口状态。
102、在目标设备中多个端口中,向端口状态为开放端口的第一端口发送第二检测信息。
其中,所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息。
由于实际应用中处于关闭状态的端口在接收到信息后反馈过程可能存在延迟,甚至不回复的情况,因此,在本实施例中当确定了目标设备的各个端口的端口状态后,需要向端口状态为开放端口的端口进行第二检测信息的发送,也就是向第一端口发送第二检测信息。
在本实施例中,所述第二检测信息可以理解为一种包含探嗅功能的数据包,当这个数据包发送到目标设备后,由于目标设备的操作系统不同,而不同的操作系统在接收到这种数据包会有不同的响应方式,同时也会产生不同的数据,然后该目标设备就会基于该操作系统的产生的数据进行反馈,这样企业平台所属的服务器就可以通过把第二检测信息发送到目标设备的方式实现检测功能。
103、基于反馈信息中的目标参数,确定目标设备的操作系统。
其中,所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数。
基于前述步骤的描述可知,当向目标设备发送了第二检测信息后,由于不同的设备的操作系统在不同的情况下,会做出不同的响应和反馈,因此,在本实施例中就可以基于该目标设备的反馈信息反向推测出当前目标设备所搭载的操作系统是哪一种的。
因此,在本步骤中可以在接收到反馈信息后,从反馈信息中提取目标参数,由于该目标参数是操作系统基于第二检测信息做出的响应所产生的参数,因此可以基于目标参数具体是什么,来反推当前目标设备的操作系统。
例如,当第二检测信息是报文信息a时,在本实施例中,可以将该报文信息a确定为第二检测信息,当目标设备接收到该第二检测信息a响应后所反馈的反馈信息中目标参数为参数A时,同时,基于历史数据分析可知,只有当操作系统为系统1时,才会在接收到报文信息a时,反馈带有参数A的信息,那么此时就可以根据该参数A反推当前目标设备的操作系统为系统1。
本申请提供一种系统识别方法,本申请实施例能够首先通过第一检测信息确定目标设备的端口状态,然后在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息;最后基于反馈信息中的目标参数,确定所述目标设备的操作系统,从而实现对企业平台中连接的资产设备的操作系统的识别功能。与现有技术相比,由于所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息,且所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,这样就确保了实现了一种能够基于目标设备发送报文信息的方式实现对目标设备的系统进行识别的方法,相较于现有技术,本申请的方法不需要预先在目标设备中部署脚本或程序,而是基于需要向目标设备发送信息并接收信息的方式就能够实现对操作系统的识别,从而可以确保当企业体量较大,企业平台中连接的资产设备较多的情况下能够对每个所需识别的目标设备进行系统识别的效果,省去了在每个目标设备部署脚本或程序的过程,实现了对目标设备的系统的高效识别的效果,同时由于所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数,也就是说在基于反馈信息中的目标参数来确定目标设备的操作系统时,能够基于每个操作系统自身的特性所反馈的目标参数进行识别,有效确保了操作系统识别结果的准确性。另外,在本实施例中,所述端口状态包括开放端口和关闭端口,且上述方法在执行过程中是向目标设备中的多个端口中端口状态为开放端口的第一端口进行第二检测信息的发送,这就确保了在本申请的系统识别方法执行的过程中能够避免向目标设备的关闭的端口发送第二检测信息的过程,有效减少不必要的信息发送行为,确保了后续能够及时获知反馈信息,解决了某些情况下关闭端口不会反馈或存在反馈延时性较高情况下的影响系统识别的识别效率的问题。
以下为了更加详细地说明,本申请实施例提供了另一种系统识别方法,具体如图2所示,该方法包括:
201、获取历史端口数据。
其中,所述历史端口数据中包含每个端口的使用信息,所述使用信息用于表征调用所述端口的服务。
基于前述实施例的描述可知,所述端口为计算机端口,也就是能够实现数据交互的出口。由于本实施例所述的系统识别方式是通过与目标设备进行信息的交互实现的,因此端口的端口状态会影响到系统识别过程。由于不同端口的状态是不同的,例如有的端口是经常使用的端口,那么这个端口在进行系统识别的过程中,极有可能是开放的,而有的端口是非常“冷门”的,很少使用,那么这种端口在执行本实施例的系统识别过程中则很可能是关闭的。有鉴于此,在本实施例中可以基于历史端口数据进行分析,因此首先需要获取到历史端口数据。
需要说明的是,本实施例所述的历史端口数据可以是基于大数据分析得到的,也就是说可以通过对大量的计算机设备进行分析后得到的综合性的分析数据。由于连接企业平台中的资产设备无论设备的种类、型号是何种,都基于相同的计算机端口设置规则进行设置的,因此,在本实施例中所述历史端口数据就可以理解为能够体现出所有目标设备的端口性质的数据。
202、根据历史端口数据,确定对应每个端口的服务,并基于服务确定每个端口的端口类型。
其中,所述端口类型包括常用端口和非常用端口,其中,所述常用端口用于表征所述端口的使用频率高于预设频率的端口,所述非常用端口用于表征所述端口的所述使用频率未超过所述预设频率的端口。
基于不同的端口都对应有不同的服务,也就是说无论目标设备的种类是什么,在使用过程中端口的使用方式都是具有一致性的,因此在本实施例中在确定端口类型时就可以基于历史端口数据中记载的内容确定每个端口在过去使用过程中对应的服务,然后可以基于服务来确定每个端口的端口类型,
例如,在端口中的端口23,对应的服务为Telnet服务,该服务的具体功能是实现远程登录的服务,也就是说当Telnet服务启用时,该服务为了实现其远程登录的功能就会调用端口23,此时端口23就是开启状态,然后可以基于该Telnet服务来确定端口23是否为经常使用的端口,这时就可以基于预设频率进行判断,当高于预设频率时这个端口23的端口类型就是常用端口。反之,则可以将这个端口23的端口类型确定为非常用端口。
由于常用端口和非常用端口能够体现出该端口在平时使用过程中的情况,而这个情况有可能影响在进行系统识别时,该端口状态是开放端口还是关闭端口,因此在本步骤中可以基于常规端口和非常规端口来进行后续端口状态的检测。
203、通过第一检测信息确定目标设备的端口状态。
其中,所述端口状态包括开放端口和关闭端口。
在本实施例中,所述第一检测信息是基于预设协议规则构建的,所述预设协议规则包括TCP协议规则、UDP协议规则以及ICMP协议规则;
基于此,所述第一检测信息包括TCP检测信息,UDP检测信息以及ICMP检测信息中的至少一个。
基于此,在本实施例中,第一检测信息可以是基于上述三种协议规则构建的任意一个或几个,这样就确保了能够以多种协议规则对应的不同检测信息进行端口状态的判断,确保了端口状态确定结果的准确性。
基于前述步骤的描述可知,由于端口分为常用端口和非常用端口,非常用端口在执行本实施例所述的方法时很可能是关闭的,为了提高端口状态检测的效率,本步骤执行时具体可以为:
首先,向所述端口类型为所述常用端口的第二端口发送所述第一检测信息,并接收响应信息,其中所述响应信息为所述第二端口接收到所述第一检测信息后反馈的信息;
然后,基于所述响应信息确定所述常用端口的所述端口状态。
由于实际应用中,非常用端口在此时很可能是关闭的,也就是说该端口的端口状态为关闭端口,向这样的端口发送第一检测信息得到反馈信息的可能较低,或者得到反馈信息具有延迟时间,这样在本步骤中在确定第二端口的端口类型为常用端口的端口后,向第二端口发送第一检测信息,能够得到反馈信息的概率会明显提高,继而提高端口检测效率,从而整体上提高系统识别的效率。
具体的,由于第二端口的数量可能是多个,那么在发送第一检测信息的过程中还可以基于端口号的大小选取优先发送的端口进行第一检测信息的发送,因此,前述步骤中向所述端口类型为所述常用端口的第二端口发送所述第一检测信息,并接收响应信息,包括:
首先,当所述第二端口的数量为多个时,在多个所述第二端口中将端口号最小的所述第二端口确定为第一优先端口;
然后,向所述第一优先端口发送所述第一检测信息,并接收所述响应信息。
基于端口的设置特点,对于计算机设备而言,端口号较小的端口一般都设置有对应的服务,例如端口号小于1000的端口中大部分端口都会设置一个相应的服务,也就是说这些端口在接收到报文信息后会基于系统的不同做出反馈,而端口号较大的端口则很可能因为未被设置服务很可能不会做出反馈。这样基于端口号最小的第二端口作为第一优先端口,并发送第一检测信息至第一优先端口进行端口类型的确定,能够确保在存在多个第二端口的情况下,以一定次序进行端口的端口类型的检测,避免无序检测可能带来的检测结果混淆的情况,提高了检测结果的准确性。
需要说明的是,在本实施例中的第一端口、第二端口、第三端口以及第四端口的描述仅仅是作为端口不同的区别性命名,这些端口之间并不具有先后顺序,同理第一优先端口以及第二优先端口的描述也是如此。
204、在目标设备中多个端口中,向端口状态为开放端口的第一端口发送第二检测信息。
其中,所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息。
具体的,本步骤包括:
首先,通过目标协议规则,构建所述第二检测信息,其中,所述第二检测信息中包括目标字段,所述目标字段为基于所述目标协议规则设置的,所述目标协议规则包括TCP/IP协议规则;
其次,将所述第二检测信息发送至所述目标设备的所述第一端口。
在本实施例中,由于对资产设备的操作系统识别方式是基于第二检测信息的反馈信息中目标参数来判断的,因此为了确保目标设备能够反馈出目标参数,在本实施例中需要设置具体的协议规则来构建第二检测信息,在本实施例中可以选取TCP/IP协议规则,这样由于该规则中包含了目标字段,例如窗口大小,这样在目标设备接收到该第二检测信息后,会基于该目标字段反馈相应参数即目标参数,该目标参数就是窗口大小的实际值。
需要说明的是,在本实施例中,所述目标字段至少包括窗口大小、ACK确认字符信息、TTL数据包存活时间、DF首部标识、ISN初始化序列号以及MSS最大报文长度中的一种。
其中,TTL数据包存活时间(Time To Live,简称TTL)是数据包的存活时间,表示一个数据包在被丢弃之前可以通过多少跃点。不同操作系统的默认TTL值往往是不同的,因此不同操作系统所反馈的TLL值是不同的;
DF首部标识,也称做DF位,用来表示不分段的标志,在IP协议中设定,不同操作系统对DF位有不同的处理方式,有些操作系统设置有DF位,有些不设置DF位,还有一些操作系统在特定场合设置DF位,在其他场合不设置DF位,也就是说不同操作系统对DF部首标识所反馈的对应参数是不同的;
窗口大小,也就是Window Size,是表示基于TCP协议在接收或者发送信息时窗口大小,它决定了接收信息的机器在收到多少数据包后发送ACK确认字符信息,每种操作系统的默认Window Size基本是定值;
ACK确认字符信息,也叫ACK序号,不同的操作系统在接收到报文信息时处理ACK序号的方式是不同的。例如,当发送一个含有FIN、PSH即URG标识的报文信息发送到一个关闭的TCP协议的端口时,大多数操作系统会把反馈信息中ACK序号设置为接收到的报文信息的初始序号。而在Windows系统中,则会在反馈信息中将ACK序号设置为初始序号加1。另外,当发送一个只有FIN标识的报文信息给一个端口状态为开放端口的端口时,则Linux等系统不会响应,而对于如Windows、HP-UX等操作系统,则会返回一个带有RESET标识的反馈信息。其中,FIN表示关闭连接,PSH表示有DATA数据传输,URG表示数据传输状态为紧急状态;
ISN初始化序列号,也可以作为识别操作系统过程中第二检测信息中的目标字段,由于不同的操作系统在接收到带有ISN初始化序列号的报文信息时,基于不同的处理方式,得到的处理结果是不同的,也就是说在反馈信息中对应的目标参数也会不同。
MSS最大报文长度,也称MSS值,不同的操作系统有不同的默认MSS值,因此在接收到报文信息后反馈对应MSS的具体参数也是不同的,也就是说在目标字段为MSS值时,不同操作系统反馈信息中对应MSS值的参数是不同的。
当然,还可以在报文信息中TCP报头里设置一个未定义的TCP标记,目标设备的操作系统在响应时,基于系统的不同,有的会保持这个标记,有的不保持,还有一些系统在收到这样的包的时候会复位连接。
基于上述说明可知,在不同的目标字段对应的操作系统做出的响应是不同的,也就是说反馈信息对应目标字段的目标参数是存在区别的,当然在实际应用中选取的目标字段的数量和种类不做限定,为了确保后续操作系统识别的准确性,用户可以从窗口大小、ACK确认字符信息、TTL数据包存活时间、DF首部标识、ISN初始化序列号以及MSS最大报文长度中选取多个或全部进行,这样可以确保后续在识别的过程中能够结合多个不同的目标字段对应的目标参数进行综合性的分析,得到更为准确的操作系统的识别结果,
205、在多个端口中,向端口状态为关闭端口的第三端口发送第二检测信息。
由于在实际应用中,关闭端口的反馈方式也会随着操作系统不同存在不同的响应,因此在本实施例中,不仅可以基于步骤204在多个端口中向端口状态为开放端口的第一端口发送第二检测信息时,也可以同时执行本步骤所述的方法,即向第三端口,也就是多个端口中端口状态为关闭端口的端口进行第二检测信息的发送。
由于端口状态为关闭端口可能是多个,为了确保发送检测信息的顺序性,还可以从这些端口中依照端口号的大小依次进行发送,因此,在本实施例所述的方法实际的应用中,在本步骤执行过程还可以具体为:
在多个所述第三端口中,将所述端口号最小的所述第三端口确定为第二优先端口,并向所述第二优先端口发送所述第二检测信息。
基于端口的设置特点,对于计算机设备而言,端口号较小的端口一般都设置有对应的服务,例如1-1000端口中大部分端口都会设置一个相应的服务,也就是说这些端口在接收到报文信息后会基于系统的不同做出反馈,而端口号较大的端口则很可能因为未被设置服务很可能不会做出反馈,因此第二优先端口是第三端口中端口号最小的情况下,向该第二优先端口发送第二检测信息能够确保接收到反馈信息,继而可以避免接收不到反馈信息而影响系统识别的准确性。
206、基于反馈信息中的目标参数,确定目标设备的操作系统。
其中,所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数。
基于前述步骤的描述可知,由于目标参数是所述目标设备基于所述操作系统对所述第二检测信息进行响应后产生的对应所述目标字段的参数,也就是说基于目标字段的不同,对应的目标参数也是不同的,而该目标参数能够体现出目标设备的操作系统,因此,在确定操作系统的过程实际上就是基于目标参数来反推操作系统的过程,基于此本步骤包括:
接收所述反馈信息,并从所述反馈信息中提取对应所述目标字段的参数,作为所述目标参数;
根据所述目标参数及预设系统参数关系,确定对应所述目标参数的系统信息,作为所述操作系统,其中,所述预设系统参数关系中包含多个所述系统信息,以及每个所述系统信息对应的至少一个所述目标参数。
在本实施例中,预设系统参数关系可以理解为预先通过对不同的操作系统发送第二检测信息后,在接收到反馈信息中基于其中的目标参数与系统之间建立一种映射关系,其中每个系统对于不同的目标字段所反馈的目标参数都是不同的,因此在该预设系统参数关系中,一个操作系统可以对应多个不同的目标参数。因此,在本步骤中从反馈信息中提取了目标字段对应的参数作为目标参数后,则可以从该预设系统参数关系中查找对应该目标参数的操作系统。也就是说,所述目标字段包含至少一个字段信息,所述目标参数包括至少一个识别参数,每个所述识别参数对应一个所述字段信息;每个所述系统信息对应至少一个所述识别参数。
在这个过程中,反馈信息中的目标参数可以是一个,也可以是多个,而目标参数的数量是基于目标字段的数量确定的,对于这两种情况,可以分别按照下述方式进行:
前述步骤中所述根据所述目标参数及预设系统参数关系,确定对应所述目标参数的系统信息,作为所述操作系统,包括:
确定所述识别参数的数量是否唯一;
若是,则判断在所述预设系统参数关系中是否存在对应所述识别参数的系统信息;
若存在,则将所述系统信息确定为所述目标设备的所述操作系统。
在确定识别参数的数量唯一的情况下,那么只能通过该识别参数进行操作系统的识别,那么此时就需要使用完全匹配规则,只有在预设系统参数关系中找到该识别参数对应的操作系统时,才可以确定目标设备的实际的操作系统是什么。
基于前述判断结果,还可能存在一种情况,即识别参数的数量是多个的情况下,这时还需要基于多个识别参数的匹配情况进行分析,有鉴于此,前述步骤确定所述识别参数的数量是否唯一之后,本实施例还可以包括:
若确定所述识别参数的所述数量不唯一,则在所述预设系统参数关系中确定与所述目标参数匹配度最高的所述系统信息,并将所述系统信息确定为所述目标设备的所述操作系统,其中,所述匹配度是基于所述目标参数中的识别参数的匹配数量确定的。
例如,当反馈信息中包含4个识别参数,其中在预设系统参数关系中,系统A有3个识别参数与之匹配,系统B有2个识别参数与之匹配,那么基于匹配度可以确定目标设备的操作系统为系统A。
进一步的,作为对上述图1及图2所示方法的实现,本申请另一实施例还提供了一种系统识别装置。该系统识别装置实施例与前述方法实施例对应,为便于阅读,本系统识别装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。具体如图3所示,该系统识别装置包括:
第一确定单元31,可以用于通过第一检测信息确定目标设备的端口状态,所述端口状态包括开放端口和关闭端口;
第一发送单元32,可以用于在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息,其中,所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息;
第二确定单元33,可以用于基于反馈信息中的目标参数,确定所述目标设备的操作系统,其中,所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数。
进一步的,如图4所示,所述第一发送单元32,包括:
构建模块321,可以用于通过目标协议规则,构建所述第二检测信息,其中,所述第二检测信息中包括目标字段,所述目标字段为基于所述目标协议规则设置的,所述目标协议规则包括TCP/IP协议规则;
发送模块322,可以用于将所述第二检测信息发送至所述目标设备的所述第一端口。
进一步的,如图4所示,所述目标参数是所述目标设备基于所述操作系统对所述第二检测信息进行响应后产生的对应所述目标字段的参数;
所述第二确定单元33,包括:
提取模块331,可以用于接收所述反馈信息,并从所述反馈信息中提取对应所述目标字段的参数,作为所述目标参数;
确定模块332,可以用于根据所述目标参数及预设系统参数关系,确定对应所述目标参数的系统信息,作为所述操作系统,其中,所述预设系统参数关系中包含多个所述系统信息,以及每个所述系统信息对应的至少一个所述目标参数。
进一步的,如图4所示,所述目标字段包含至少一个字段信息,所述目标参数包括至少一个识别参数,每个所述识别参数对应一个所述字段信息;每个所述系统信息对应至少一个所述识别参数;
所述确定模块332,包括:
第一确定子模块3321,可以用于确定所述识别参数的数量是否唯一;
判断子模块3322,可以用于若确定所述识别参数的数量唯一,则判断在所述预设系统参数关系中是否存在对应所述识别参数的系统信息;
第二确定子模块3323,可以用于若判断在所述预设系统参数关系中存在对应所述识别参数的系统信息,则将所述系统信息确定为所述目标设备的所述操作系统。
进一步的,如图4所示,所述确定模块332还包括:
第三确定子模块3324,可以用于若确定所述识别参数的所述数量不唯一,则在所述预设系统参数关系中确定与所述目标参数匹配度最高的所述系统信息,并将所述系统信息确定为所述目标设备的所述操作系统,其中,所述匹配度是基于所述目标参数中的识别参数的匹配数量确定的。
进一步的,如图4所示,所述目标字段至少包括窗口大小、ACK确认字符信息、TTL数据包存活时间、DF首部标识、ISN初始化序列号以及MSS最大报文长度中的一种。
进一步的,如图4所示,所述装置还包括:
获取单元34,可以用于获取历史端口数据,其中,所述历史端口数据中包含每个端口的使用信息,所述使用信息可以用于表征调用所述端口的服务;
第三确定单元35,可以用于根据所述历史端口数据,确定对应每个所述端口的所述服务,并基于所述服务确定每个所述端口的端口类型,所述端口类型包括常用端口和非常用端口,其中,所述常用端口可以用于表征所述端口的使用频率高于预设频率的端口,所述非常用端口可以用于表征所述端口的所述使用频率未超过所述预设频率的端口;
所述第一确定单元31包括:
发送模块311,可以用于向所述端口类型为所述常用端口的第二端口发送所述第一检测信息,并接收响应信息,其中所述响应信息为所述第二端口接收到所述第一检测信息后反馈的信息;
确定模块312,可以用于基于所述响应信息确定所述常用端口的所述端口状态。
进一步的,如图4所示,所述发送模块311,包括:
确定子模块3111,可以用于当所述第二端口的数量为多个时,在多个所述第二端口中将端口号最小的所述第二端口确定为第一优先端口;
发送子模块3112,可以用于向所述第一优先端口发送所述第一检测信息,并接收所述响应信息。
进一步的,如图4所示,所述装置还包括:
第二发送单元36,可以用于在多个所述端口中,向所述端口状态为所述关闭端口的第三端口发送所述第二检测信息。
进一步的,如图4所示,所述第二发送单元36,具体可以用于在多个所述第三端口中,将所述端口号最小的所述第三端口确定为第二优先端口,并向所述第二优先端口发送所述第二检测信息。
进一步的,如图4所示,所述第一检测信息是基于预设协议规则构建的,所述预设协议规则包括TCP协议规则、UDP协议规则以及ICMP协议规则;
所述第一检测信息包括TCP检测信息,UDP检测信息以及ICMP检测信息中的至少一个。
本申请实施例提供一种系统识别方法、装置及系统,本申请实施例能够首先通过第一检测信息确定目标设备的端口状态,然后在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息;最后基于反馈信息中的目标参数,确定所述目标设备的操作系统,从而实现对企业平台中连接的资产设备的操作系统的识别功能。与现有技术相比,由于所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息,且所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,这样就确保了实现了一种能够基于目标设备发送报文信息的方式实现对目标设备的系统进行识别的方法,相较于现有技术,本申请的方法不需要预先在目标设备中部署脚本或程序,而是基于需要向目标设备发送信息并接收信息的方式就能够实现对操作系统的识别,从而可以确保当企业体量较大,企业平台中连接的资产设备较多的情况下的能够对每个所需识别的目标设备进行系统识别的效果,省去了在每个目标设备部署脚本或程序的过程,实现了对目标设备的系统的高效识别的效果,同时由于所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数,也就是说在基于反馈信息中的目标参数来确定目标设备的操作系统时,能够基于每个操作系统自身的特性所反馈的目标参数进行识别,有效确保了操作系统识别结果的准确性。另外,在本实施例中,所述端口状态包括开放端口和关闭端口,且上述方法在执行过程中是向目标设备中的多个端口中端口状态为开放端口的第一端口进行第二检测信息的发送,这就确保了在本申请的系统识别方法执行的过程中能够避免目标设备的关闭的端口发送第二检测信息的过程,有效减少不必要的信息发送行为,确保了后续能够及时获知反馈信息,解决了某些情况下关闭端口不会反馈或存在反馈延时性较高情况下的影响系统识别的识别效率的问题。
本申请实施例提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述所述的系统识别方法。
存储介质可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本申请实施例还提供了一种系统识别装置,所述装置包括存储介质;及一个或者多个处理器,所述存储介质与所述处理器耦合,所述处理器被配置为执行所述存储介质中存储的程序指令;所述程序指令运行时执行上述所述的系统识别方法。
本申请实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:通过第一检测信息确定目标设备的端口状态,所述端口状态包括开放端口和关闭端口;在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息,其中,所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息;基于反馈信息中的目标参数,确定所述目标设备的操作系统,其中,所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数。
进一步的,所述在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息,包括:
通过目标协议规则,构建所述第二检测信息,其中,所述第二检测信息中包括目标字段,所述目标字段为基于所述目标协议规则设置的,所述目标协议规则包括TCP/IP协议规则;
将所述第二检测信息发送至所述目标设备的所述第一端口。
进一步的,所述目标参数是所述目标设备基于所述操作系统对所述第二检测信息进行响应后产生的对应所述目标字段的参数;
所述基于反馈信息中的目标参数,确定所述目标设备的操作系统,包括:
接收所述反馈信息,并从所述反馈信息中提取对应所述目标字段的参数,作为所述目标参数;
根据所述目标参数及预设系统参数关系,确定对应所述目标参数的系统信息,作为所述操作系统,其中,所述预设系统参数关系中包含多个所述系统信息,以及每个所述系统信息对应的至少一个所述目标参数。
进一步的,所述目标字段包含至少一个字段信息,所述目标参数包括至少一个识别参数,每个所述识别参数对应一个所述字段信息;每个所述系统信息对应至少一个所述识别参数;
所述根据所述目标参数及预设系统参数关系,确定对应所述目标参数的系统信息,作为所述操作系统,包括:
确定所述识别参数的数量是否唯一;
若是,则判断在所述预设系统参数关系中是否存在对应所述识别参数的系统信息;
若存在,则将所述系统信息确定为所述目标设备的所述操作系统。
进一步的,在所述确定所述识别参数的数量是否唯一之后,所述方法还包括:
若确定所述识别参数的所述数量不唯一,则在所述预设系统参数关系中确定与所述目标参数匹配度最高的所述系统信息,并将所述系统信息确定为所述目标设备的所述操作系统,其中,所述匹配度是基于所述目标参数中的识别参数的匹配数量确定的。
进一步的,所述目标字段至少包括窗口大小、ACK确认字符信息、TTL数据包存活时间、DF首部标识、ISN初始化序列号以及MSS最大报文长度中的一种。
进一步的,在所述通过第一检测信息确定目标设备的端口状态之前,所述方法还包括:
获取历史端口数据,其中,所述历史端口数据中包含每个端口的使用信息,所述使用信息用于表征调用所述端口的服务;
根据所述历史端口数据,确定对应每个所述端口的所述服务,并基于所述服务确定每个所述端口的端口类型,所述端口类型包括常用端口和非常用端口,其中,所述常用端口用于表征所述端口的使用频率高于预设频率的端口,所述非常用端口用于表征所述端口的所述使用频率未超过所述预设频率的端口;
所述通过第一检测信息确定目标设备的端口状态,包括:
向所述端口类型为所述常用端口的第二端口发送所述第一检测信息,并接收响应信息,其中所述响应信息为所述第二端口接收到所述第一检测信息后反馈的信息;
基于所述响应信息确定所述常用端口的所述端口状态。
进一步的,所述向所述端口类型为所述常用端口的第二端口发送所述第一检测信息,并接收响应信息,包括:
当所述第二端口的数量为多个时,在多个所述第二端口中将端口号最小的所述第二端口确定为第一优先端口;
向所述第一优先端口发送所述第一检测信息,并接收所述响应信息。
进一步的,在所述在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息之后,所述方法还包括:
在多个所述端口中,向所述端口状态为所述关闭端口的第三端口发送所述第二检测信息。
进一步的,所述在多个所述端口中,向所述端口状态为所述关闭端口的第三端口发送所述第二检测信息,包括:
在多个所述第三端口中,将所述端口号最小的所述第三端口确定为第二优先端口,并向所述第二优先端口发送所述第二检测信息。
进一步的,所述第一检测信息是基于预设协议规则构建的,所述预设协议规则包括TCP协议规则、UDP协议规则以及ICMP协议规则;
所述第一检测信息包括TCP检测信息,UDP检测信息以及ICMP检测信息中的至少一个。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序代码:通过第一检测信息确定目标设备的端口状态,所述端口状态包括开放端口和关闭端口;在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息,其中,所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息;基于反馈信息中的目标参数,确定所述目标设备的操作系统,其中,所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (14)
1.一种系统识别方法,其特征在于,包括:
通过第一检测信息确定目标设备的端口状态,所述端口状态包括开放端口和关闭端口;
在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息,其中,所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息;
基于反馈信息中的目标参数,确定所述目标设备的操作系统,其中,所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数。
2.根据权利要求1所述的方法,其特征在于,所述在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息,包括:
通过目标协议规则,构建所述第二检测信息,其中,所述第二检测信息中包括目标字段,所述目标字段为基于所述目标协议规则设置的,所述目标协议规则包括TCP/IP协议规则;
将所述第二检测信息发送至所述目标设备的所述第一端口。
3.根据权利要求2所述的方法,其特征在于,所述目标参数是所述目标设备基于所述操作系统对所述第二检测信息进行响应后产生的对应所述目标字段的参数;
所述基于反馈信息中的目标参数,确定所述目标设备的操作系统,包括:
接收所述反馈信息,并从所述反馈信息中提取对应所述目标字段的参数,作为所述目标参数;
根据所述目标参数及预设系统参数关系,确定对应所述目标参数的系统信息,作为所述操作系统,其中,所述预设系统参数关系中包含多个所述系统信息,以及每个所述系统信息对应的至少一个所述目标参数。
4.根据权利要求3所述的方法,其特征在于,所述目标字段包含至少一个字段信息,所述目标参数包括至少一个识别参数,每个所述识别参数对应一个所述字段信息;每个所述系统信息对应至少一个所述识别参数;
所述根据所述目标参数及预设系统参数关系,确定对应所述目标参数的系统信息,作为所述操作系统,包括:
确定所述识别参数的数量是否唯一;
若是,则判断在所述预设系统参数关系中是否存在对应所述识别参数的系统信息;
若存在,则将所述系统信息确定为所述目标设备的所述操作系统。
5.根据权利要求4所述的方法,其特征在于,在所述确定所述识别参数的数量是否唯一之后,所述方法还包括:
若确定所述识别参数的所述数量不唯一,则在所述预设系统参数关系中确定与所述目标参数匹配度最高的所述系统信息,并将所述系统信息确定为所述目标设备的所述操作系统,其中,所述匹配度是基于所述目标参数中的识别参数的匹配数量确定的。
6.根据权利要求5所述的方法,其特征在于,所述目标字段至少包括窗口大小、ACK确认字符信息、TTL数据包存活时间、DF首部标识、ISN初始化序列号以及MSS最大报文长度中的一种。
7.根据权利要求1-6中任一项所述的方法,其特征在于,在所述通过第一检测信息确定目标设备的端口状态之前,所述方法还包括:
获取历史端口数据,其中,所述历史端口数据中包含每个端口的使用信息,所述使用信息用于表征调用所述端口的服务;
根据所述历史端口数据,确定对应每个所述端口的所述服务,并基于所述服务确定每个所述端口的端口类型,所述端口类型包括常用端口和非常用端口,其中,所述常用端口用于表征所述端口的使用频率高于预设频率的端口,所述非常用端口用于表征所述端口的所述使用频率未超过所述预设频率的端口;
所述通过第一检测信息确定目标设备的端口状态,包括:
向所述端口类型为所述常用端口的第二端口发送所述第一检测信息,并接收响应信息,其中所述响应信息为所述第二端口接收到所述第一检测信息后反馈的信息;
基于所述响应信息确定所述常用端口的所述端口状态。
8.根据权利要求7所述的方法,其特征在于,所述向所述端口类型为所述常用端口的第二端口发送所述第一检测信息,并接收响应信息,包括:
当所述第二端口的数量为多个时,在多个所述第二端口中将端口号最小的所述第二端口确定为第一优先端口;
向所述第一优先端口发送所述第一检测信息,并接收所述响应信息。
9.根据权利要求8所述的方法,其特征在于,在所述在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息之后,所述方法还包括:
在多个所述端口中,向所述端口状态为所述关闭端口的第三端口发送所述第二检测信息。
10.根据权利要求9所述的方法,其特征在于,所述在多个所述端口中,向所述端口状态为所述关闭端口的第三端口发送所述第二检测信息,包括:
在多个所述第三端口中,将所述端口号最小的所述第三端口确定为第二优先端口,并向所述第二优先端口发送所述第二检测信息。
11.根据权利要求10所述的方法,其特征在于,所述第一检测信息是基于预设协议规则构建的,所述预设协议规则包括TCP协议规则、UDP协议规则以及ICMP协议规则;
所述第一检测信息包括TCP检测信息,UDP检测信息以及ICMP检测信息中的至少一个。
12.一种系统识别装置,其特征在于,包括:
第一确定单元,用于通过第一检测信息确定目标设备的端口状态,所述端口状态包括开放端口和关闭端口;
第一发送单元,用于在所述目标设备中多个所述端口中,向所述端口状态为所述开放端口的第一端口发送第二检测信息,其中,所述第二检测信息为对所述目标设备的操作系统进行检测的报文信息;
第二确定单元,用于基于反馈信息中的目标参数,确定所述目标设备的操作系统,其中,所述反馈信息为所述目标设备基于所述第一端口接收到所述第二检测信息后进行响应并反馈的信息,所述目标参数为所述操作系统基于所述第二检测信息进行响应时产生的参数。
13.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至11中任一项所述的系统识别方法。
14.一种系统识别装置,其特征在于,所述装置包括存储介质;及一个或者多个处理器,所述存储介质与所述处理器耦合,所述处理器被配置为执行所述存储介质中存储的程序指令;所述程序指令运行时执行权利要求1至11中任一项所述的系统识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211057123.XA CN115442259A (zh) | 2022-08-30 | 2022-08-30 | 系统识别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211057123.XA CN115442259A (zh) | 2022-08-30 | 2022-08-30 | 系统识别方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115442259A true CN115442259A (zh) | 2022-12-06 |
Family
ID=84245318
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211057123.XA Pending CN115442259A (zh) | 2022-08-30 | 2022-08-30 | 系统识别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115442259A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116028430A (zh) * | 2023-03-28 | 2023-04-28 | 飞腾信息技术有限公司 | 一种pcie设备扫描方法及片上系统 |
CN116401138A (zh) * | 2023-06-08 | 2023-07-07 | 建信金融科技有限责任公司 | 操作系统的运行状态检测方法、装置、电子设备和介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2627031A1 (en) * | 2011-12-09 | 2013-08-14 | Huawei Technologies Co., Ltd | Layer 2 network loop processing method, device and network device |
CN106888194A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 基于分布式调度的智能电网it资产安全监测系统 |
CN107395617A (zh) * | 2017-08-14 | 2017-11-24 | 中国联合网络通信集团有限公司 | 安全策略管理方法及装置 |
CN108418727A (zh) * | 2018-01-26 | 2018-08-17 | 中国科学院信息工程研究所 | 一种探测网络设备的方法及系统 |
CN109660401A (zh) * | 2018-12-20 | 2019-04-19 | 中国电子科技集团公司第三十研究所 | 一种分布式网络资产探测方法 |
CN111934946A (zh) * | 2020-07-16 | 2020-11-13 | 深信服科技股份有限公司 | 网络设备识别方法、装置、设备及可读存储介质 |
CN112187484A (zh) * | 2020-09-17 | 2021-01-05 | 苏州浪潮智能科技有限公司 | 降低占用宽带的网络广播流量发送方法、装置及存储介质 |
CN112596874A (zh) * | 2020-12-16 | 2021-04-02 | 北京天融信网络安全技术有限公司 | 一种信息处理方法及电子设备 |
CN113572664A (zh) * | 2021-09-26 | 2021-10-29 | 广东电网有限责任公司中山供电局 | 一种资产台账更新方法、系统、电子设备及存储介质 |
CN114584477A (zh) * | 2022-02-10 | 2022-06-03 | 烽台科技(北京)有限公司 | 工控资产的探测方法、装置、终端及存储介质 |
-
2022
- 2022-08-30 CN CN202211057123.XA patent/CN115442259A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2627031A1 (en) * | 2011-12-09 | 2013-08-14 | Huawei Technologies Co., Ltd | Layer 2 network loop processing method, device and network device |
CN106888194A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 基于分布式调度的智能电网it资产安全监测系统 |
CN107395617A (zh) * | 2017-08-14 | 2017-11-24 | 中国联合网络通信集团有限公司 | 安全策略管理方法及装置 |
CN108418727A (zh) * | 2018-01-26 | 2018-08-17 | 中国科学院信息工程研究所 | 一种探测网络设备的方法及系统 |
CN109660401A (zh) * | 2018-12-20 | 2019-04-19 | 中国电子科技集团公司第三十研究所 | 一种分布式网络资产探测方法 |
CN111934946A (zh) * | 2020-07-16 | 2020-11-13 | 深信服科技股份有限公司 | 网络设备识别方法、装置、设备及可读存储介质 |
CN112187484A (zh) * | 2020-09-17 | 2021-01-05 | 苏州浪潮智能科技有限公司 | 降低占用宽带的网络广播流量发送方法、装置及存储介质 |
CN112596874A (zh) * | 2020-12-16 | 2021-04-02 | 北京天融信网络安全技术有限公司 | 一种信息处理方法及电子设备 |
CN113572664A (zh) * | 2021-09-26 | 2021-10-29 | 广东电网有限责任公司中山供电局 | 一种资产台账更新方法、系统、电子设备及存储介质 |
CN114584477A (zh) * | 2022-02-10 | 2022-06-03 | 烽台科技(北京)有限公司 | 工控资产的探测方法、装置、终端及存储介质 |
Non-Patent Citations (1)
Title |
---|
李毅超,曹跃,梁晓: "网络与系统攻击技术", 电子科技大学出版社, pages: 51 - 57 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116028430A (zh) * | 2023-03-28 | 2023-04-28 | 飞腾信息技术有限公司 | 一种pcie设备扫描方法及片上系统 |
CN116028430B (zh) * | 2023-03-28 | 2023-06-13 | 飞腾信息技术有限公司 | 一种pcie设备扫描方法及片上系统 |
CN116401138A (zh) * | 2023-06-08 | 2023-07-07 | 建信金融科技有限责任公司 | 操作系统的运行状态检测方法、装置、电子设备和介质 |
CN116401138B (zh) * | 2023-06-08 | 2023-09-15 | 建信金融科技有限责任公司 | 操作系统的运行状态检测方法、装置、电子设备和介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115442259A (zh) | 系统识别方法及装置 | |
US11671434B2 (en) | Abnormal user identification | |
CN106936791B (zh) | 拦截恶意网址访问的方法和装置 | |
CN112351035B (zh) | 一种工控安全态势感知方法、装置及介质 | |
CN112565229B (zh) | 隐蔽通道检测方法及装置 | |
US11038803B2 (en) | Correlating network level and application level traffic | |
CN111555936A (zh) | 一种工控资产探测方法、装置和设备 | |
CN109428682B (zh) | 一种消息处理确认方法及装置 | |
CN108170537B (zh) | 游戏api实现方法、装置、接口服务器及可读存储介质 | |
CN112839055B (zh) | 面向tls加密流量的网络应用识别方法、装置及电子设备 | |
CN113051571B (zh) | 一种误报漏洞的检测方法、装置及计算机设备 | |
CN115865525B (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
CN112769635A (zh) | 多粒度特征解析的服务识别方法及装置 | |
CN108650274B (zh) | 一种网络入侵检测方法及系统 | |
CN116346434A (zh) | 电力系统网络攻击行为监测准确度提升方法及系统 | |
CN113098727A (zh) | 一种数据包检测处理方法与设备 | |
CN113660134B (zh) | 端口探测方法、装置、电子装置和存储介质 | |
CN115314322A (zh) | 基于流量的漏洞检测确认方法、装置、设备以及存储介质 | |
CN109474618B (zh) | 异常视频设备操作信令的识别方法、系统、介质和终端 | |
CN113824724A (zh) | 一种智能变电站的传感器数据被篡改的判断方法、装置及存储介质 | |
CN114726763A (zh) | Dpi系统的业务识别能力的检测方法及系统 | |
CN112769599B (zh) | 一种资源自动接入方法、系统及可读存储介质 | |
CN113839826B (zh) | 一种检测windows终端的方法、装置和计算机可读存储介质 | |
CN109495372B (zh) | 垃圾邮件的识别方法和装置 | |
CN116208374B (zh) | 工业协议的识别方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |