CN116471130B

CN116471130B - 一种网络资产探测方法和装置

Info

Publication number: CN116471130B
Application number: CN202310732655.7A
Authority: CN
Inventors: 吴宗锦
Original assignee: Honor Device Co Ltd
Current assignee: Honor Device Co Ltd
Priority date: 2023-06-20
Filing date: 2023-06-20
Publication date: 2023-11-10
Anticipated expiration: 2043-06-20
Also published as: CN117560202A; CN116471130A

Abstract

本申请实施例提供一种网络资产探测方法和装置，涉及互联网安全技术领域，能够有效识别企业的影子资产，降低企业被攻击的风险。其方法应用于第一电子设备，包括：获取预设网络的网段信息，网段信息包括多个第二电子设备的IP地址；基于多个第二电子设备的IP地址向多个第二电子设备分别发送第一请求报文，第一请求报文用于探测多个第二电子设备是否在线；接收多个第二电子设备中的在线电子设备分别发送的第一响应报文；其中，第一请求报文和第一响应报文包括数据链路层、网络层、传输层、应用层中的任意一层或多层的协议报文；将在线电子设备的IP地址与数据资产库进行匹配，得到未收录的电子设备的IP地址。

Description

一种网络资产探测方法和装置

技术领域

本申请涉及互联网安全技术领域，尤其涉及一种网络资产探测方法和装置。

背景技术

随着企业数字化发展和业务场景多元化（例如，云上（公有云、私有云、混合云）、云下等场景），企业内部的数字资产结构和复杂性迅速增加，不在企业掌控下的电子设备、端口、软件及服务等也越来越多。这些不在企业掌控下的电子设备、端口及服务可以称为影子资产。影子资产本身存储大量敏感业务信息，导致企业存在被攻击的风险。因此企业要梳理、识别、管控所有的网络资产就变得异常重要。

发明内容

本申请实施例提供一种网络资产探测方法和装置，能够有效识别企业的影子资产，降低企业被攻击的风险。

第一方面，本申请实施例提供一种网络资产探测方法，应用于第一电子设备，包括：获取预设网络的网段信息，网段信息包括多个第二电子设备的网际协议（internetprotocol，IP）地址；基于多个第二电子设备的IP地址向多个第二电子设备分别发送第一请求报文，第一请求报文用于探测多个第二电子设备是否在线；接收多个第二电子设备中的在线电子设备分别发送的第一响应报文，在线电子设备为多个第二电子设备中在线的电子设备；其中，第一请求报文和第一响应报文包括数据链路层、网络层、传输层、应用层中的任意一层或多层的协议报文；将在线电子设备的IP地址与数据资产库进行匹配，得到未收录的电子设备的IP地址，其中，数据资产库中包括已收录的电子设备的IP地址。

基于本申请实施例提供的方法，第一电子设备可以向多个第二电子设备发送第一请求报文，以探测第二电子设备中在线的电子设备。第一电子设备可以将在线电子设备的IP地址与数据资产库进行匹配，可以得到数据资产库未收录的电子设备的IP地址，即可以得到影子资产（即未收录的电子设备）。进而可以对影子资产进行管理，降低企业被攻击的风险。其中，第一请求报文和第一响应报文包括数据链路层、网络层、传输层、应用层中的任意一层或多层的协议报文，可以避免防火墙过滤（某一层的协议报文）导致探测在线设备过程中遗漏部分在线设备的问题。

在一种可能的实现方式中，数据链路层的协议报文包括地址解析协议（addressresolution protocol，ARP）报文；网络层的协议报文包括控制报文协议（internetcontrol message protocol，ICMP）；传输层的协议报文包括传输控制协议（transmissioncontrol protocol，TCP）报文、用户数据报协议（user datagram protocol，UDP）报文、流控制传输协议(stream control transmission protocol，SCTP)报文中的至少一种；应用层的协议报文包括网络基本输入输出系统（network basic input/output system，NetBIOS）协议报文、服务器信息块（server message block，SMB）协议报文中的至少一种。这样，通过数据链路层、网络层、传输层、应用层中的任意一层或多层的协议报文共同对在线电子设备进行探测，可以避免防火墙过滤（某一层的协议报文）导致探测在线设备过程中遗漏部分在线设备的问题。

在一种可能的实现方式中，数据资产库中还包括已收录的电子设备的开放端口，方法还包括：向在线电子设备发送第二请求报文，第二请求报文用于请求在线电子设备的开放端口；接收在线电子设备发送的第二响应报文，第二响应报文用于指示在线电子设备的开放端口；将在线电子设备的开放端口与数据资产库进行匹配，得到未收录的开放端口，数据资产库中包括已收录的开放端口。这样，第一电子设备可以将在线电子设备的开放端口与数据资产库进行匹配，得到未收录的开放端口，未收录的开放端口也属于影子资产。进而可以对影子资产进行管理，降低企业被攻击的风险。

在一种可能的实现方式中，第二请求报文和第二响应报文包括TCP报文、UDP报文或SCTP报文中的至少一种。

在一种可能的实现方式中，数据资产库中还包括已收录的电子设备的端口服务，方法还包括：向在线电子设备发送第三请求报文，第三请求报文用于请求在线电子设备的端口服务；接收在线电子设备发送的第三响应报文，第三响应报文用于指示在线电子设备的端口服务；将在线电子设备的端口的服务与数据资产库进行匹配，得到未收录的端口服务，数据资产库中包括已收录的端口服务。这样，第一电子设备可以将在线电子设备的端口服务与数据资产库进行匹配，得到未收录的端口服务，未收录的端口服务也属于影子资产。进而可以对影子资产进行管理，降低企业被攻击的风险。

在一种可能的实现方式中，在线电子设备的端口服务包括安全外壳（secureshell，SSH）服务，Thrift服务，超文本传输协议（hyper text transfer protocol，HTTP）服务，超文本传输安全协议（hyper text transfer protocol over secure socket layer，HTTPS）服务，MS SQL数据库服务，WWW代理服务，Redis数据库服务中的至少一种。应该理解的是，不同的端口可以对应不同的端口服务。例如，22端口对应的服务可以为SSH服务，60020端口可以对应Hbase的Thrift服务，80端口对应HTTP服务，443端口对应HTTPS服务（提供加密和通过安全端口传输的另一种HTTP），1433端口对应MS SQL数据库服务，8080端对应WWW代理服务，6379端口对应Redis数据库服务。

在一种可能的实现方式中，方法还包括：确定未收录的电子设备分别对应的资产责任人；向资产责任人发送风险告警，风险告警用于指示资产责任人对未收录的电子设备进行管理，以降低企业被攻击的风险。例如，主机A可以邮件或者通讯软件的方式向影子资产的资产责任人发送风险告警。例如，该风险告警的内容可以为“检测到新的网络资产（新的主机、端口或服务），请注意管理”。

在一种可能的实现方式中，确定未收录的电子设备分别对应的资产责任人包括：根据未收录电子设备的设备信息确定资产责任人，其中，设备信息包括媒体访问控制MAC地址和/或主机名。确定资产责任人后，可以向资产责任人发送风险告警，以降低企业被攻击的风险。

在一种可能的实现方式中，根据未收录电子设备的设备信息确定资产责任人之前，方法还包括：向未收录电子设备发送第四请求报文，第四请求报文用于请求未收录电子设备的设备信息；接收未收录电子设备发送的第四响应报文，第四响应报文用于指示未收录电子设备的设备信息。即可以通过第四请求报文和第四响应报文获取未收录电子设备的设备信息。在一些实施例中，可以通过第四请求报文和第四响应报文获取全部在线电子设备的设备信息，从在线电子设备的设备信息中确定出未收录电子设备的设备信息。

在一种可能的实现方式中，第四请求报文和第四响应报文包括网络基本输入输出系统NetBIOS协议报文或服务器信息块SMB协议报文。

在一种可能的实现方式中，多个第二电子设备包括物理电子设备和/或虚拟电子设备。虚拟电子设备可以包括云设备（云服务器）。

在一种可能的实现方式中，获取网段信息包括：定时获取网段信息。这样，第一电子设备可以定时探测在线的电子设备，避免遗漏影子资产。

第二方面，本申请实施例提供一种网络资产探测方法，应用于包括第一电子设备和多个第二电子设备的系统，包括：第一电子设备获取网段信息，网段信息包括多个第二电子设备的IP地址；第一电子设备基于多个第二电子设备的IP地址向多个第二电子设备分别发送第一请求报文，第一请求报文用于探测多个第二电子设备是否在线；多个第二电子设备中的在线电子设备分别接收第一电子设备发送的第一请求报文；在线电子设备为多个第二电子设备中在线的电子设备；在线电子设备分别向第一电子设备发送第一响应报文；第一电子设备接收在线电子设备分别发送的第一响应报文；第一电子设备将在线电子设备的IP地址与数据资产库进行匹配，得到未收录的电子设备的IP地址，其中，数据资产库中包括已收录的电子设备的IP地址。

第三方面，本申请提供一种计算机可读存储介质，该计算机可读存储介质包括计算机指令。当计算机指令在电子设备（如手机）上运行时，使得该电子设备执行如第一方面及其任一种可能的设计方式所述的方法。

第四方面，本申请提供一种计算机程序产品，当所述计算机程序产品在计算机上运行时，使得所述计算机执行如第一方面及其任一种可能的设计方式所述的方法。

第五方面，本申请实施例提供了一种网络资产探测装置，包括处理器，处理器和存储器耦合，存储器存储有程序指令，当存储器存储的程序指令被处理器执行时使得所述装置实现上述第一方面及其任一种可能的设计方式所述的方法。所述装置可以为电子设备或服务器设备；或可以为电子设备或服务器设备中的一个组成部分，如芯片。

第六方面，本申请实施例提供了一种网络资产探测装置，所述装置可以按照功能划分为不同的逻辑单元或模块，各单元或模块执行不同的功能，以使得所述装置执行上述第一方面及其任一种可能的设计方式所述的方法。

第七方面，本申请提供一种芯片系统，该芯片系统包括一个或多个接口电路和一个或多个处理器。该接口电路和处理器通过线路互联。上述芯片系统可以应用于包括通信模块和存储器的电子设备。该接口电路用于从电子设备的存储器接收信号，并向处理器发送接收到的信号，该信号包括存储器中存储的计算机指令。当处理器执行该计算机指令时，电子设备可以执行如第一方面及其任一种可能的设计方式所述的方法。

可以理解地，上述提供的第三方面所述的计算机可读存储介质，第四方面所述的计算机程序产品、第五方面、第六方面所述的装置以及第七方面所述的芯片系统，所能达到的有益效果，可参考如第一方面及其任一种可能的设计方式中的有益效果，此处不再赘述。

附图说明

图1为相关技术的一种资产管理存在问题的示意图；

图2为本申请实施例提供的一种系统架构示意图；

图3为本申请实施例提供的信号交互示意图一；

图4为本申请实施例提供的一种ICMP报文的格式的示意图；

图5为本申请实施例提供的一种发送ICMP请求报文和接收ICMP响应报文的示意图；

图6为本申请实施例提供的一种广播ARP请求报文的示意图；

图7为本申请实施例提供的一种防火墙过滤场景的示意图；

图8为本申请实施例提供的一种信号交互示意图二；

图9为本申请实施例提供的一种信号交互示意图三；

图10为本申请实施例提供的一种方法流程示意图；

图11为本申请实施例提供的一种影子资产的示意图；

图12为本申请实施例提供的一种电子设备的结构示意图；

图13为本申请实施例提供的一种电子设备的软件架构示意图；

图14为本申请实施例提供的一种芯片系统的结构示意图。

具体实施方式

为了下述各实施例的描述清楚简洁，首先给出相关概念或技术的简要介绍：

随着企业数字化发展和业务场景多元化（例如，云上（公有云、私有云、混合云）、云下等场景），企业内部的数字资产结构和复杂性迅速增加，资产成千上万，导致企业的资产管理存在诸多问题。如图1所示，企业在进行网络资产管理时可能存在例如不清楚有多少网络资产，不清楚影子资产、网络资产更新和维护不及时，网络资产风险无法治理等问题。导致这些问题的原因是部分网络安全意识较低的技术人员私自在网络上搭建业务系统，这些业务系统游离于企业信息部门的统一管理之外，本身安全性较弱。随着企业的业务架构的调整及人员的变动，这些业务系统更加无人管理、无人知晓。这些业务系统包括电子设备、端口及服务等，这些不在企业掌控下的电子设备、端口及服务可以称为影子资产。影子资产本身存储大量敏感业务信息，且每天都在动态变化，导致企业存在被攻击的风险。因此企业要梳理、识别、管控所有的网络资产就变得异常重要。

目前，可以通过在企业网络中安装客户端工具进行流量镜像分析，或者可以在路由器或交换机中进行流量镜像分析，如通过对入侵防护系统(intrusion preventionsystem，IPS)、网站应用级防火墙（web application firewall, WAF）进行流量镜像分析，得到影子资产。然而，上述流量镜像分析的检测方法要么需要部署客户端工具，成本较高，要么需要通过路由器或交换机进行流量镜像，报文消耗较大，而且只能被动的发现资产，无法实时主动的进行资产的发现。

本申请实施例提供一种网络资产探测方法，能够有效识别和管理企业的影子资产，降低企业被攻击的风险，且成本低，报文消耗少。

如图2所示，为本申请实施例提供的一种网络资产探测系统的结构示意图。该系统包括多个电子设备（第一电子设备和多个第二电子设备）及路由器。多个电子设备可通过路由器接入同一网络（局域网）中。例如，多个电子设备可以为某公司下连接同一内网的多个电子设备。需要说明的是，图2中的多个电子设备可以相同，也可以不同。多个电子设备可以包括物理设备，也可以包括虚拟电子设备。多个电子设备可以包括个人计算机（personalcomputer，PC）、台式计算机、服务器、网络通信设备(路由器、交换机等)、网络安全设备(防火墙等)、平板电脑、手机等，在此不做具体限制。虚拟电子设备可以包括云设备（云服务器）。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请的描述中，除非另有说明，“至少一个”是指一个或多个， “多个”是指两个或多于两个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

为了便于理解，以下结合附图对本申请实施例提供的一种网络资产探测方法进行具体介绍。

如图3所示，本申请实施例提供一种网络资产探测方法，以第一电子设备为主机A为例进行说明，包括：

S301，主机A获取预设网络的网段信息。

主机A可定时从路由器获取预设网络的网段信息。预设网络可以是局域网，例如，虚拟云端局域网（virtual private cloud，VPC）。可以理解地，用户可预先配置路由器。该路由器被配置有局域网的网段信息。局域网的网段信息包括该局域网所包含的所有IP地址。例如，主机A获取的网段信息为192.168.1.1/23，则该网段信息包括510个IP地址，510个IP地址包括：192.168.0.1-192.168.1.254。其中，每个IP地址可对应一个电子设备（也可以称为主机）。

S302，主机A基于网段信息包括的全部IP地址，向全部IP地址对应的主机分别发送ICMP请求报文。

主机A上可以部署网络主机探测器，主机A可以基于定时器任务由网络主机探测器向网段信息包括的全部IP对应的主机分别发送ICMP请求报文。即主机A可以定时向网段信息包括的全部主机分别发送ICMP请求报文。其中，定时器任务的时间间隔例如可以是5分钟、10分钟或30分钟等，本申请不做限定。

其中，ICMP是一种用于在主机和路由器之间传递控制消息的网络层协议。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。其中，主机A向网段信息包括的全部主机发送ICMP请求报文的目的在于确认网段信息包括的全部主机中有多少主机存活，即确认有多少主机在线。主机A发送的ICMP请求报文可到达的主机即为存活主机（在线主机）；主机A发送的ICMP请求报文无法到达的主机即为非存活主机（不在线主机）。其中，主机可以包括物理设备或云设备，本申请不做限定。

例如，假设网段信息包括主机B的IP地址（例如为192 .168 .1 .1）。主机A可基于主机B的IP地址向主机B发送ICMP请求报文，以确认主机B是否可到达，即确认主机B是否在线。若主机A发送的ICMP请求报文可到达主机B，则表明主机B在线；若主机A发送的ICMP请求报文无法达到主机B，则表明主机B不在线。

其中，ICMP报文包括多种类型，例如差错、查询等类型，且不同类型的ICMP报文具有不同的作用。例如差错报文用于传递错误的原因，查询报文用于查询网络是否通畅、主机是否可到达等。本申请实施例中的ICMP请求报文是一种ICMP查询报文。

示例性的，如图4所示，为ICMP报文的格式。ICMP报文包括类型（type）、代码（code）、校验和（checksum）、标识符（identifier）、序列号（sequence number）以及数据（data）。其中，类型占用8比特（bit）位，用于标识ICMP报文的类型。例如，类型字段值为0表示该ICMP报文为回送应答（echo reply）报文（一种ICMP查询报文）；类型字段值为8则表明该ICMP报文为回送请求（echo request）报文（一种ICMP查询报文）；类型字段值为11则表明该ICMP报文为一种ICMP差错报文。代码占用8bit位，其可根据ICMP差错报文的类型，进一步分析错误的原因，代码值不同对应的错误也不相同。例如，类型字段值为11且代码字段值为0，表示错误原因为数据在传输过程中超时了。校验和占用16bit位，ICMP报文发送到目的地后需要对ICMP报文做一个校验，用于查询ICMP报文是否存在错误。标识符占用16bit位，用于对每个发送的ICMP报文进行标识。序列号占用16bit位，用于对发送的每一个ICMP报文进行编号。数据则为ICMP报文中携带的数据。

示例性的，一个ICMP报文可以如下：

Type：8(Echo (ping) request)

Code：0

Checksum：0xefa3[correct]

[Checksum Status：Good]

Identifier（BE）：1484（0x05cc）

Identifier（LE）：52229（0xcc05）

Sequence number（BE）：656(0x290)

Sequence number（LE）：36866(0x9002)

其中，Type为8表明该ICMP报文为ICMP echo request请求报文。

在本申请实施例中，该ICMP请求报文可以为ICMP echo request请求报文。可选的，该ICMP请求报文也可以为其他名称，在此不做具体限制。

S303，主机A接收第一在线主机集合中的每个主机发送的ICMP响应报文。

其中，第一在线主机集合可以包括网段信息指示的全部主机或部分主机。第一在线主机集合中的每个主机可以接收到主机A发送的ICMP请求报文，并可以向主机A发送ICMP响应报文。第一在线主机集合可以以列表的形式存储，该列表中可以包括第一在线主机集合中每个主机的IP地址。下文中提及的其他集合（例如，第二在线主机集合-第九在线主机集合）与第一在线主机集合类似，都可以以列表的形式存储。不同集合对应的列表中包括不同集合分别包括的每个主机的IP地址。

举例来说，以网段信息包括的主机包括主机B为例，对主机B向主机A发送ICMP响应报文的过程进行说明。如图5所示，主机A可通过路由器1、路由器2及路由器3向主机B发送ICMP请求报文。若主机B未开机或未正常连接网络（即主机B不在线），则主机无法接收到主机A发送的ICMP请求报文。若主机B已开机且正常连接网络（即主机B在线），则主机B能够正常接收到主机A发送的ICMP请求报文。主机B接收到该ICMP请求报文后，可向主机A发送ICMP响应报文，以表明主机B已接收到ICMP请求报文。也就是说，主机A接收到主机B发送的ICMP响应报文后，便可以确定主机B在线。若主机B因防火墙拦截策略未接收到广播的ICMP请求报文，也就不会回复ICMP响应报文，此时主机A认为主机B为非存活主机（不在线主机）。

示例性的，主机A可以根据网段信息包括的IP地址分别对应的主机，是否发送ICMP响应报文（即主机A是否从该主机接收到ICMP响应报文）的结果，得到第一列表。例如，第一列表可以如表1所示。

其中，表1可以包括网段信息包括的全部IP地址，以及是否从相应IP对应的主机接收到ICMP响应报文的信息。如表1所示，若主机的IP对应的是否接收到ICMP响应报文的信息为“是”，则认为该主机IP指示的主机在线。若主机的IP对应的是否接收到ICMP响应报文的信息为“否”，则认为该主机IP指示的主机不在线。

在一种可选的实施例中，ICMP响应报文可以为ICMP echo reply响应报文。该ICMPecho reply响应报文的类型字段值为0。可选的，该ICMP响应报文也可以为其他名称，在此不做具体限制。

S304，主机A基于网段信息包括的全部IP地址，向全部IP地址对应的主机分别发送ARP请求报文。

主机A可以定时向网段信息包括的全部主机分别发送ARP请求报文。其中，定时器任务的时间间隔例如可以是5分钟、10分钟或30分钟等，本申请不做限定。

其中，ARP是一种根据IP地址获取物理地址的数据链路层协议。主机A可以将包含目标IP地址的ARP请求广播到局域网上的所有主机，并接收返回消息，以此确定目标IP地址对应的主机是否在线。即主机A广播ARP请求报文的目的在于确认网段信息指示的全部主机中有多少主机存活，即确认有多少主机在线。主机A可以广播多个ARP请求报文，每个ARP请求报文中包括一个IP地址。局域网上的所有主机中的每个主机接收到广播的ARP请求报文后，如果确定自身的IP包含于该ARP请求报文，则可以向主机A发送ARP响应报文。可以认为发送ARP响应报文的主机即为存活主机（在线主机），可以认为未发送ARP响应报文的主机即为非存活主机（不在线主机）。

例如，假设网段信息包括主机C的IP地址（例如为192 .168 .1 .2），以及主机D的IP地址（例如为192 .168 .1 .3）。如图6所示，主机A可基于主机C和主机D的IP地址广播ARP请求报文1（ARP请求报文1中包括主机C的IP地址）和ARP请求报文2（ARP请求报文2中包括主机D的IP地址），以确认主机C和主机D是否可到达，也就是确认主机C和主机D是否在线。主机C和主机D接收到广播的ARP请求报文1和ARP请求报文2后，如果确定自身的IP包含于其中一个ARP请求报文（例如，ARP请求报文1或ARP请求报文2），则可以向主机A发送ARP响应报文（ARP响应报文1和ARP响应报文2）。主机A可以确定主机C和主机D为存活主机（在线主机）。若主机C和主机D因防火墙拦截策略未接收到广播的ARP请求报文，也就不会回复ARP响应报文，此时主机A认为主机C和主机D为非存活主机（不在线主机）。

示例性的，ARP报文可以包括目的MAC地址、源MAC地址、帧类型、硬件类型、协议类型、硬件地址长度、协议地址长度、操作类型（op）、发送端以太网地址、发送者IP地址、目的以太网地址、目的IP地址等12个字段。其中以太网首部14字节（bytes），ARP字段28字节。其中，目的MAC地址表示ARP请求的目的以太网地址。源MAC地址表示发送ARP请求的以太网地址。帧类型表示数据类型，ARP请求和ARP应答此字段为：0x0806。硬件类型：表示硬件地址的类型（其中，值为1表示以太网地址，其他还可能表示令牌环地址）。协议类型：表示要映射的协议地址类型（其中，0x0800表示IP地址，其他还可能是ICMP/IGMP）。硬件地址长度：指出该报文中硬件地址的长度（ARP报文中，它的值为6）。协议地址长度：指出该报文中协议地址的长度（ARP报文中，它的值为4）。op：操作字段，共有4种类型（1.ARP请求，2.ARP应答，3.RARP请求，4.RARP应答）。发送者MAC地址：发送方设备的硬件地址。发送者ip地址：发送方设备的IP地址。目的MAC地址：接收方设备的硬件地址。目的Iip地址：接收方设备的IP地址。

S305，主机A接收第二在线主机集合中的每个主机发送的ARP响应报文。

其中，第二在线主机集合可以包括网段信息包括的全部主机或部分主机。第二在线主机集合中的每个主机可以接收到主机A发送的ARP请求报文，并可以向主机A发送ARP响应报文。

示例性的，主机A可以根据网段信息包括的IP地址分别对应的主机是否发送ARP响应报文（即主机A是否从该主机接收到ARP响应报文）的结果得到第二列表。例如，第二列表可以如表2所示。

其中，表2可以包括网段信息包括的全部IP，以及是否从相应IP对应的主机接收到ARP响应报文的信息。如表2所示，若主机的IP对应的是否接收到ARP响应报文的信息为“是”，则认为该主机IP指示的主机在线。若主机的IP对应的是否接收到ARP响应报文的信息为“否”，则认为该主机IP指示的主机不在线。

S306，主机A基于网段信息包括的全部IP地址，向全部IP地址对应的主机发送TCP请求报文、UDP请求报文、SCTP请求报文中的至少一种。

主机A可以定时向网段信息包括的全部主机分别发送TCP请求报文、UDP请求报文、SCTP请求报文中的任意一种或多种报文。例如，主机A可以定时向网段信息包括的全部主机分别发送TCP请求报文；或者，主机A可以定时向网段信息包括的全部主机分别发送TCP请求报文和UDP请求报文；或者主机A可以定时向网段信息包括的全部主机分别发送TCP请求报文、UDP请求报文和SCTP请求报文。其中，定时器任务的时间间隔例如可以是5分钟、10分钟或30分钟等，本申请不做限定。

其中，传输控制协议TCP、用户数据报协议UDP和流控制传输协议SCTP都是传输层（transport layer）通信协议。其中，TCP是一种面向连接（连接导向）的、可靠的、基于字节流的传输层通信协议。TCP请求报文可以包括SYN（Synchronize）请求报文或ACK（Acknowledgement）请求报文。UDP是一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务。SCTP是一种基于不可靠传输业务的协议之上的可靠的数据报传输协议。

本申请实施例中，主机A发送TCP请求报文、UDP请求报文、SCTP请求报文的目的在于确认网段信息包括的全部主机中有多少主机存活，即确认有多少主机在线。主机A发送的TCP请求报文、UDP请求报文、SCTP请求报文可到达的主机即为存活主机（在线主机）；主机A发送的TCP请求报文、UDP请求报文、SCTP请求报文无法到达的主机即为非存活主机（不在线主机）。

S307，主机A接收第三在线主机集合中的每个主机发送的TCP响应报文、UDP响应报文、SCTP响应报文中的至少一种。

其中，第三在线主机集合可以包括网段信息指示的全部主机或部分主机。第三在线主机集合中的每个主机可以接收到主机A发送的TCP请求报文、UDP请求报文、SCTP请求报文中的至少一种，并可以向主机A发送TCP响应报文、UDP响应报文、SCTP响应报文中的至少一种。

示例性的，主机A可以根据网段信息包括的IP地址分别对应的主机是否发送TCP响应报文、UDP响应报文、SCTP响应报文中的至少一种（即主机A是否从该主机接收到TCP响应报文、UDP响应报文、SCTP响应报文中的至少一种）的结果得到第三列表。例如，第三列表可以如表3所示。

其中，表3可以包括网段信息包括的全部IP，以及是否从相应IP对应的主机接收到TCP响应报文、UDP响应报文、SCTP响应报文中的至少一种的信息。如表3所示，若主机的IP对应的是否接收到TCP响应报文、UDP响应报文、SCTP响应报文中的至少一种的信息为“是”，则认为该主机IP指示的主机在线。若主机的IP对应的是否接收到TCP响应报文、UDP响应报文、SCTP响应报文中的至少一种的信息为“否”，则认为该主机IP指示的主机不在线。

可选的，主机A还可以基于网段信息包括的全部IP地址，向全部IP地址对应的主机发送SMB请求报文或NetBIOS协议报文，以确认网段信息包括的全部主机中有多少主机在线。其中，SMB协议和NetBIOS协议都是应用层的通信协议。具体过程可以参考上述步骤S302-步骤S303、步骤S304-步骤S305或步骤S306-步骤S307的相关描述，在此不做赘述。

需要说明的是，步骤S302-步骤S303、步骤S304-步骤S305以及步骤S306-步骤S307之间没有必然的执行先后顺序。可以先执行步骤S302-步骤S303，再执行步骤S304-步骤S305，然后再执行步骤S306-步骤S307。也可以先执行步骤S304-步骤S305，再执行步骤S302-步骤S303，然后再执行步骤S306-步骤S307。或者可以同时执行步骤S302-步骤S303、步骤S304-步骤S305以及步骤S306-步骤S307，本申请不做限定。

需要说明的是，第一在线主机集合、第二在线主机集合和第三在线主机集合可以有重叠（完全相同或部分相同）。例如，有些主机即可以接收主机A发送的ICMP请求报文，并向主机A发送ICMP响应报文；也可以接收主机A广播的ARP请求报文，并向主机A发送ARP响应报文；还可以接收主机A发送的TCP请求报文、UDP请求报文、SCTP请求报文中的至少一种，并向主机A发送TCP响应报文、UDP响应报文、SCTP响应报文中的至少一种。而有些主机可以接收主机A发送的ICMP请求报文，并向主机A发送ICMP响应报文，也可以接收主机A广播的ARP请求报文，并向主机A发送ARP响应报文，但由于防火墙过滤无法接收主机A广播的TCP请求报文、UDP请求报文、SCTP请求报文中的至少一种，也就无法向主机A发送TCP响应报文、UDP响应报文、SCTP响应报文中的至少一种；另一些主机可以接收主机A发送的ICMP请求报文，并向主机A发送ICMP响应报文，也可以接收主机A广播的TCP请求报文、UDP请求报文、SCTP请求报文中的至少一种，并向主机A发送TCP响应报文、UDP响应报文、SCTP响应报文中的至少一种，但由于防火墙过滤无法接收主机A广播的ARP请求报文，并向主机A发送ARP响应报文。

主机A可以对第一在线主机集合、第二在线主机集合和第三在线主机集合取并集得到第四在线主机集合，可以认为第四在线主机集合中包括局域网的全部在线主机。可以避免因防火墙过滤导致的网络资产探测遗漏（遗漏某些在线主机）的问题。

本申请提供的方法，基于网段信息探测在线主机，相比传统部署客户端工具的方法，无需部署客户端工具，无需在路由器或交换机中进行旁路部署，只需极少的探测报文即可探测到在线设备，成本更低。本申请通过二层~四层协议报文探测在线主机，可以避免因防火墙过滤导致的网络资产探测遗漏（遗漏某些在线主机）的问题。相比相关技术通过路由器或交换机进行流量镜像的方法，本申请提供的方法的报文消耗较小。

其中，二层~四层协议报文可以包括传输层、数据链路层、网络层、应用层中的任意一层或多层的协议报文。其中，传输层、数据链路层、网络层、应用层可以是TCP/IP协议栈或开放式系统互联(open system interconnect，OSI)/国际标准化组织（internationalorganization for standardization，ISO）定义的七层通信协议栈中的概念层。示例性的，数据链路层的协议报文包括ARP报文；网络层的协议报文包括ICMP报文；传输层的协议报文包括TCP报文、UDP报文、SCTP中的至少一种；应用层的协议报文包括NetBIOS协议报文、SMB协议报文中的至少一种。当然，传输层、数据链路层、网络层或应用层还可以包括其他类型的协议报文，本申请不做限定。

示例性的，以主机M为例，假设防火墙可以过滤发送至主机M的ARP请求报文，以及TCP请求报文、UDP请求报文、SCTP请求报文。如图7中的（b）和（c）所示，主机M无法接收到ARP请求报文、TCP请求报文、UDP请求报文、SCTP请求报文。进而主机M也就无法回复ARP响应报文、TCP响应报文、UDP响应报文、SCTP响应报文。从而主机A无法根据ARP请求报文，以及TCP请求报文、UDP请求报文、SCTP请求报文判断主机M是否在线。然而，由于防火墙不过滤ICMP请求报文，如图7中的（a）所示，主机M仍可以接收ICMP请求报文，并可以回复ICMP响应报文，从而主机A可以根据主机M回复的ICMP响应报文确定主机M在线。

上述举例以防火墙过滤的报文包括ARP请求报文，以及TCP请求报文、UDP请求报文、SCTP请求报文为例。实际应用中，防火墙可能过滤二层~四层协议中任意一层或多层的报文，本申请不做限定。

S308，主机A向在线主机发送查询请求报文，该查询请求报文用于请求在线主机的设备信息。

其中，在线主机包括上文中第四在线主机集合或下文中第九在线主机集合中的全部主机。主机A可以定时向在线主机分别发送查询请求报文，以获取在线主机的设备信息。这样，无需人工查询，通过定时查询可以及时掌握在线主机的设备信息，提高了查询效率。

其中，查询请求报文可以为Name query NBSTAT请求报文。Name query NBSTAT请求报文是NetBIOS协议的一种报文（即NetBIOS协议报文）。主机A向在线主机发送Namequery NBSTAT请求报文的目的在于获取在线主机的设备信息。其中，设备信息可以包括MAC地址和主机名称（可以简称为主机名）中的至少一种。

可选的，查询请求报文可以为SMB协议报文，例如session setup request报文。或者，查询请求报文可以为ARP报文，本申请不做限定。

S309，主机A接收在线主机发送的查询响应报文。

其中，查询响应报文可以为Name query Response NBSTAT报文。Name queryResponse NBSTAT报文中可以包括主机的设备信息，设备信息可以包括MAC地址、主机名信息。Name query Response NBSTAT报文中还可以携带其他信息，例如用户名，本申请不做限定。

示例性的，以在线主机包括主机B为例，主机B发送的Name query ResponseNBSTAT报文包括主机B的MAC地址（例如，60:f2:62:56:49:97）和主机名（例如，DESKTOP-LMISJ23）。

其中，主机名可以是NetBIOS name，NetBIOS name主要用于局域网中计算机之间的相互访问。例如，NetBIOS name可以为DESKTOP-LMISJ23。

可选的，查询响应报文可以为SMB协议报文，例如session setup response报文。或者，查询响应报文可以为ARP报文，本申请不做限定。

示例性的，主机A可以根据在线主机发送的查询响应报文的结果得到在线主机对应的MAC地址和主机名。例如，如表4所示，示出了在线主机的IP对应的MAC地址和主机名。

当然，表4中还可以包括更多在线主机的IP、MAC地址和主机名，本申请不做限定。

应该理解的是，主机的MAC地址是唯一的，主机的IP地址可能改变（主机的IP地址可以动态分配）。通过检测在线主机的MAC地址可以确定主机的历史挂账IP，即主机曾经使用过哪些IP（同一个MAC地址对应过多个IP地址），根据主机的历史挂账IP可以对主机进行更好地管理。

S310，主机A向在线主机发送TCP请求报文，TCP请求报文用于请求在线主机的端口开放情况。

主机A可以与在线主机建立TCP连接，建立TCP连接（即完成三次握手）后，主机A可以向在线主机发送TCP请求报文，以获取在线主机对外开放的端口（即开放端口）。

主机A可以定时向在线主机发送TCP请求报文获取在线主机对外开放的端口（即开放端口）。这样，无需人工查询，通过定时查询可以及时掌握在线主机对外开放的端口，提高了查询效率。

示例性的，以在线主机包括主机B为例，主机A可以向主机B发送TCP请求报文，该TCP请求报文用于请求主机B的端口开放情况。

可选的，主机A可以向在线主机发送UDP请求报文或SCTP请求报文查询在线主机的端口开放情况，本申请不做限定。

S311，主机A接收在线主机发送的TCP响应报文。

其中，TCP响应报文可以指示主机自身的端口开放情况。示例性的，以在线主机包括主机B为例，主机B发送的TCP响应报文可以指示主机B开放的端口。例如，主机B开放的端口可以包括22端口、60020端口、443端口、1433端口、80端口、8080端口和6379端口等。

可选的，主机A接收在线主机发送的UDP响应报文或SCTP响应报文获取在线主机的端口开放情况，本申请不做限定。

S312，主机A向在线主机发送端口服务请求报文，端口服务请求报文用于请求在线主机的端口对应的服务。

主机A可以定时向在线主机发送端口服务请求报文，以确定在线主机对外开放的端口对应的服务（即端口服务）。这样，无需人工查询，通过定时查询可以及时掌握在线主机对外开放的端口对应的服务，提高了查询效率。

其中，不同端口可以对应不同类型的端口服务请求报文。例如，端口为22端口时，端口服务请求报文可以为SSH协议的请求探测报文。又例如，端口为80端口时，端口服务请求报文可以为HTTP协议的请求探测报文。

示例性的，以在线主机包括主机B，主机B的开放端口包括22端口为例，主机A可以向主机B发送SSH协议的请求探测报文，若主机B回复标准的SSH协议的响应报文，则表明主机B的22端口对应的服务是SSH服务。

S313，主机A接收在线主机发送的端口服务响应报文。

其中，端口服务响应报文可以指示主机开放的端口对应的服务。示例性的，以在线主机包括主机B为例，主机B发送的端口服务响应报文可以指示主机B开放的端口对应的服务。

例如，主机B开放的端口可以包括22端口、60020端口、443端口、1433端口、80端口、8080端口和6379端口等。其中，22端口对应的服务可以为SSH服务，60020端口可以对应Hbase的Thrift服务，80端口对应HTTP服务，443端口对应HTTPS服务（提供加密和通过安全端口传输的另一种HTTP），1433端口对应MS SQL数据库服务，8080端对应WWW代理服务，6379端口对应Redis数据库服务，其中，Redis是一种非关系型数据库。

S314，将在线主机的IP地址与数据资产库进行匹配，得到未收录的主机的IP地址。

其中，数据资产库中包括已纳入管理的主机的IP地址。数据资产库中未收录的IP地址就是未纳入管理的主机的IP地址。可选的，数据资产库中还可以包括已纳入管理的主机的MAC地址和/或主机名。

示例性的，假设数据资产库如表5所示，表5中包括纳入管理的主机的IP地址、MAC地址和主机名。

以数据资产库如表5所示，在线主机的IP地址、MAC地址和主机名如表4所示为例，将表4与表5进行匹配（即对比表5和表4），可以确定出主机N（IP为192.168.0.3，主机名为DESKTOP-LMISJ24，MAC地址为60:f2:62:56:49:98）未收录在数据资产库，可以确定主机N是未纳入管理的主机，即影子资产。

当然，表5中还可以包括更多在线主机的IP、MAC地址和主机名，本申请不做限定。

可选的，数据资产库中还包括已纳入管理的主机的端口和服务信息。

示例性的，数据资产库可以如表6所示，表6中包括纳入管理的主机的IP、MAC地址、主机名和端口和服务信息。

若主机A获取了在线主机的端口和/或服务信息，可以将在线主机的端口和/或服务信息与数据资产库进行匹配，得到未纳入管理的端口和服务。这些未纳入管理的端口和服务也属于影子资产。

S315，主机A根据影子资产进行安全预警。

在一些实施例中，主机A可以邮件或者通讯软件的方式向影子资产的资产责任人发送风险告警。例如，该风险告警的内容可以为“检测到新的网络资产（新的主机、端口或服务），请注意管理”。

本申请实施例提供的方法，通过向网段信息指示的IP地址对应的电子设备发送请求报文（例如，ICMP报文、ARP报文等），可以探测到在线电子设备，而后可以将在线电子设备的IP地址与数据资产库进行匹配，可以得到未收录的电子设备的IP地址，即可以得到影子资产（即未收录的电子设备）。进而可以对影子资产进行管理，降低企业被攻击的风险。需要说明的是，其中，请求报文（第一请求报文）可以包括数据链路层、网络层、传输层、应用层中的任意一层或多层的协议报文（例如，ICMP报文、ARP报文、TCP报文、UDP报文、SCTP、NetBIOS协议报文、SMB协议报文中的一种或多种），可以避免防火墙过滤（某一层的协议报文）导致探测在线设备过程中遗漏部分在线设备的问题。

在一些实施例中，如图8所示，上述步骤S302-步骤S307可以替换为如下步骤：

S320，主机A基于网段信息包括的全部IP地址在局域网广播ARP请求报文。

S321，主机A接收第二在线主机集合中的每个主机发送的ARP响应报文。

步骤S320-步骤S321可以参考步骤S304-步骤S305的描述，在此不做赘述。

S322，主机A向第五在线主机集合中的每个主机分别发送ICMP请求报文。

其中，第五在线主机集合可以包括网段信息包括的全部主机中未发送ARP响应报文的主机。第五在线主机集合中的主机可能由于防火墙过滤或其他原因导致未能接收到ARP请求报文，因而未能向主机A发送ARP响应报文。因此，为了避免防火墙过滤导致遗漏在线主机，可以向第五在线主机集合中的主机分别发送ICMP请求报文，以探测第五在线主机集合中的主机是否在线。

S323，主机A接收第六在线主机集合中的每个主机分别发送的ICMP响应报文。

其中，第六在线主机集合可以包括第五在线主机集合中的部分或全部主机。第六在线主机集合中的每个主机可以接收ICMP请求报文，并发送ICMP响应报文。

S324，主机A向第七在线主机集合中的每个主机分别发送TCP请求报文、UDP请求报文、SCTP请求报文中的至少一种。

其中，第七在线主机集合可以包括第五在线主机集合中未发送ICMP响应报文的主机。第七在线主机集合中的主机可能由于防火墙过滤或其他原因导致未能接收到ICMP请求报文，因而未能向主机A发送ICMP响应报文。因此，为了避免防火墙过滤导致遗漏在线主机，可以向第七在线主机集合中的主机分别发送TCP请求报文、UDP请求报文、SCTP请求报文中的至少一种，以探测第七在线主机集合中的主机是否在线。

S325，主机A接收第八在线主机集合中的每个主机发送的TCP响应报文、UDP响应报文、SCTP响应报文中的至少一种。

其中，第八在线主机集合可以包括第七在线主机集合中的部分或全部主机。第八在线主机集合中的每个主机可以接收TCP请求报文、UDP请求报文、SCTP请求报文中的至少一种，并发送TCP响应报文、UDP响应报文、SCTP响应报文中的至少一种。

主机A可以对第二在线主机集合、第六在线主机集合和第八在线主机集合取并集得到第九在线主机集合，可以认为第九在线主机集合中包括局域网的全部在线主机。

也即，主机A可以先通过一种请求报文（例如，请求报文a）探测在线主机，再向未接收到请求报文a的响应报文的主机发送另一种请求报文（例如，请求报文b）继续探测在线主机，以此类推，尽可能避免由于防火墙过滤导致在网络资产探测过程中遗漏在线主机。

其中，请求报文a和请求报文b不同。请求报文a或请求报文b可以包括ICMP报文、ARP报文、TCP报文、UDP报文、SCTP、NetBIOS协议报文、SMB协议报文中的一种或多种。

图9示出了本申请实施例提供的另一种网络资产探测方法的流程，该网络资产探测方法包括：

S901，第一电子设备获取预设网络的网段信息。

第一电子设备可以定时获取网段信息。网段信息包括多个第二电子设备的IP地址。多个第二电子设备包括物理电子设备和/或虚拟电子设备。

S902，第一电子设备基于多个第二电子设备的IP地址向多个第二电子设备分别发送第一请求报文。

第一请求报文用于探测多个第二电子设备是否在线。其中，第一请求报文包括数据链路层、网络层、传输层、应用层中的任意一层或多层的协议报文。数据链路层的协议报文包括ARP报文；网络层的协议报文包括ICMP报文；传输层的协议报文包括TCP报文、UDP报文、SCTP报文中的至少一种；应用层的协议报文包括NetBIOS协议报文、SMB协议报文中的至少一种。

步骤S902可以参考步骤S302、步骤S304和步骤S306，或者，步骤S902可以参考步骤S320、步骤S322和步骤S324，在此不做赘述。

S903，多个第二电子设备中的在线电子设备可以分别接收第一电子设备发送的第一请求报文。

其中，在线电子设备为多个第二电子设备中在线的电子设备。在线电子设备可以包括多个。

S904，在线电子设备分别向第一电子设备发送第一响应报文。

其中，第一响应报文和第一请求报文是具有对应关系。例如，第一请求报文为ARP报文（APR请求报文）时，第一响应报文为ARP报文（ARP响应报文）。

S905，第一电子设备接收多个第二电子设备中的在线电子设备分别发送的第一响应报文。

步骤S905可以参考步骤S303、步骤S305和步骤S307，或者，步骤S905可以参考步骤S321、步骤S323和步骤S325，在此不做赘述。在线电子设备（例如，主机）可以包括上文中第四在线主机集合或第九在线主机集合中的全部主机。

S906，第一电子设备将在线电子设备的IP地址与数据资产库进行匹配，得到未收录的电子设备的IP地址，其中，数据资产库中包括已收录的电子设备的IP地址。

第一电子设备可以确定未收录的电子设备分别对应的资产责任人，向资产责任人发送风险告警，风险告警用于指示资产责任人对未收录的电子设备进行管理。

可选的，第一电子设备还可以向未收录电子设备发送第四请求报文，第四请求报文用于请求未收录电子设备的设备信息；接收未收录电子设备发送的第四响应报文，第四响应报文用于指示未收录电子设备的设备信息。其中，设备信息可以包括MAC地址和/或主机名。第四请求报文和第四响应报文包括NetBIOS协议报文或SMB协议报文。第一电子设备可以根据未收录电子设备的设备信息确定相应的资产责任人，向资产责任人发送风险告警。

下面以第一请求报文包括ARP报文、ICMP报文、TCP报文、UDP报文、NetBIOS协议报文和SMB协议报文为例对本申请实施例提供的网络资产探测方法进行说明。如图10所示，首先，可以根据网段信息同时或依次向网段信息指示的全部主机发送ARP报文、ICMP报文、TCP报文、UDP报文、NetBIOS协议报文、SMB协议报文。基于第一请求报文探测是否存在在线主机。若存在在线主机，将在线主机的IP地址添加到在线主机IP列表中。然后，再判断在线主机IP列表中的在线主机是否收录在数据资产库（例如，CMDB）中。若在线主机收录在CMDB中，可以结束流程。若在线主机未收录在CMDB中，可以将在线主机作为影子资产保存起来（例如，保存到影子资产列表中）。进一步识别影子资产的MAC地址和主机名，根据影子资产的MAC地址和主机名确定影子资产的资产责任人，向影子资产的资产责任人发送风险告警。

进一步的，图9所示的实施例还可以包括以下步骤：

S907，第一电子设备向在线电子设备发送第二请求报文，第二请求报文用于请求在线电子设备的开放端口。

第二请求报文包括传输层的协议报文，例如可以包括TCP报文、UDP报文或SCTP报文中的至少一种。

步骤S907可以参考步骤S310，在此不做赘述。

S908，第一电子设备接收在线电子设备发送的第二响应报文，第二响应报文用于指示在线电子设备的开放端口。

其中，第二响应报文和第二请求报文是具有对应关系。步骤S908可以参考步骤S311，在此不做赘述。

S909，第一电子设备将在线电子设备的开放端口与数据资产库进行匹配，得到未收录的开放端口，数据资产库中包括已收录的开放端口。

步骤S909可以参考步骤S314中的相关描述，在此不做赘述。

S910，第一电子设备向在线电子设备发送第三请求报文，第三请求报文用于请求在线电子设备的端口服务。

步骤S910可以参考步骤S312，在此不做赘述。

S911，第一电子设备接收在线电子设备发送的第三响应报文，第三响应报文用于指示在线电子设备的端口服务。

其中，在线电子设备的端口服务包括为安全外壳SSH服务，Thrift服务，超文本传输协议HTTP服务，超文本传输安全协议HTTPS服务，MS SQL数据库服务，WWW代理服务，Redis数据库服务中的至少一种。

步骤S911可以参考步骤S313，在此不做赘述。

S912，第一电子设备将在线电子设备的端口的服务与数据资产库进行匹配，得到未收录的端口服务，数据资产库中包括已收录的端口服务。

步骤S912可以参考步骤S314中的相关描述，在此不做赘述。

可选的，第一电子设备还可以获取在线电子设备的操作系统类型，在线电子设备的操作系统类型例如可以包括Linux和Windows等，本申请不做限定。

可选的，第一电子设备可以对在线电子设备的开放端口、端口服务和操作类型进行统计，以便更好地管理在线电子设备。或者，第一电子设备可以对影子资产包括的开放端口、端口服务和影子资产对应的操作类型进行统计，以便更好地管理影子资产。

示例性的，如图11所示中的（a）所示，可以对影子资产包括的的开放端口进行统计，60%的开放端口为22端口，20%的开放端口为443端口，12%的开放端口为80端口，8%开放端口为其他端口。如图11所示中的（b）所示，可以对影子资产包括的端口服务进行统计，60%的端口服务为SSH服务，20%的端口服务为HTTPS服务，12%的端口服务为HTTP服务，8%的端口服务为其他服务。如图11所示中的（c）所示，可以对影子资产包括的电子设备对应的操作系统进行统计，23%的电子设备可以为Linux操作系统，69%的电子设备可以为Windows操作系统，11%的电子设备可以为其他操作系统。

基于本申请实施例提供的方法，第一电子设备通过向网段信息指示的IP地址对应的电子设备发送第一请求报文，可以探测到在线电子设备。第一电子设备可以将在线电子设备的IP地址与数据资产库进行匹配，可以得到未收录的电子设备的IP地址，即可以得到影子资产（即未收录的电子设备）。进而可以对影子资产进行管理，降低企业被攻击的风险。其中，第一请求报文或第一响应报文包括数据链路层、网络层、传输层、应用层中的任意一层或多层的协议报文，可以避免防火墙过滤（某一层的协议报文）导致探测在线设备过程中遗漏部分在线设备的问题。

上述实施例中的第一电子设备的结构可以如电子设备100的结构。图12为本申请实施例提供的一种电子设备100的结构示意图。如图12所示，电子设备100可以包括处理器110，外部存储器接口120，内部存储器121，通用串行总线（universal serial bus，USB）接口130，充电管理模块140，电源管理模块141，电池142，天线1，天线2，移动通信模块150，无线通信模块160，音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，传感器模块180，按键190，马达191，指示器192，摄像头193，显示屏194，以及用户标识模块（subscriber identification module，SIM）卡接口195等。

其中，传感器模块180可以包括压力传感器180A，陀螺仪传感器180B，气压传感器180C，磁传感器180D，加速度传感器180E，距离传感器180F，接近光传感器180G，指纹传感器180H，温度传感器180J，触摸传感器180K，环境光传感器180L，骨传导传感器180M等。

可以理解的是，本实施例示意的结构并不构成对电子设备100的具体限定。在另一些实施例中，电子设备100可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

处理器110可以包括一个或多个处理单元，例如：处理器110可以包括应用处理器（application processor，AP），调制解调处理器，图形处理器（graphics processingunit，GPU），图像信号处理器（image signal processor，ISP），控制器，存储器，视频编解码器，数字信号处理器（digital signal processor，DSP），基带处理器，和/或神经网络处理器（neural-network processing unit，NPU）等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。

充电管理模块140用于从充电器接收充电输入。充电管理模块140为电池142充电的同时，还可以通过电源管理模块141为电子设备供电。

电源管理模块141用于连接电池142，充电管理模块140与处理器110。电源管理模块141接收电池142和/或充电管理模块140的输入，为处理器110，内部存储器121，外部存储器，显示屏194，摄像头193，和无线通信模块160等供电。在其他一些实施例中，电源管理模块141也可以设置于处理器110中。在另一些实施例中，电源管理模块141和充电管理模块140也可以设置于同一个器件中。

电子设备100的无线通信功能可以通过天线1，天线2，移动通信模块150，无线通信模块160，调制解调处理器以及基带处理器等实现。

天线1和天线2用于发射和接收电磁波信号。电子设备100中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将天线1复用为无线局域网的分集天线。

移动通信模块150可以提供应用在电子设备100上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器，开关，功率放大器，低噪声放大器（low noise amplifier，LNA）等。移动通信模块150可以由天线1接收电磁波，并对接收的电磁波进行滤波，放大等处理，传送至调制解调处理器进行解调。移动通信模块150还可以对经调制解调处理器调制后的信号放大，经天线1转为电磁波辐射出去。

调制解调处理器可以包括调制器和解调器。其中，调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后，被传递给应用处理器。应用处理器通过音频设备（不限于扬声器170A，受话器170B等）输出声音信号，或通过显示屏194显示图像或视频。

无线通信模块160可以提供应用在电子设备100上的包括WLAN（如无线保真（wireless fidelity，Wi-Fi）网络），蓝牙（bluetooth，BT），全球导航卫星系统（globalnavigation satellite system，GNSS），调频（frequency modulation，FM），近距离无线通信技术（near field communication，NFC），红外技术（infrared，IR）等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波，将电磁波信号调频以及滤波处理，将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号，对其进行调频，放大，经天线2转为电磁波辐射出去。

在一些实施例中，电子设备100的天线1和移动通信模块150耦合，天线2和无线通信模块160耦合，使得电子设备100可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统（global system for mobile communications，GSM），通用分组无线服务（general packet radio service，GPRS），码分多址接入（codedivision multiple access，CDMA），宽带码分多址（wideband code division multipleaccess，WCDMA），时分码分多址（time-division code division multiple access，TD-SCDMA），长期演进（long term evolution，LTE），BT，GNSS，WLAN，NFC，FM，和/或IR技术等。所述GNSS可以包括全球卫星定位系统（global positioning system，GPS），全球导航卫星系统（global navigation satellite system，GLONASS），北斗卫星导航系统（beidounavigation satellite system，BDS），准天顶卫星系统（quasi-zenith satellitesystem，QZSS）和/或星基增强系统（satellite based augmentation systems，SBAS）。

电子设备100通过GPU，显示屏194，以及应用处理器等实现显示功能。GPU为图像处理的微处理器，连接显示屏194和应用处理器。GPU用于执行数学和几何计算，用于图形渲染。处理器110可包括一个或多个GPU，其执行程序指令以生成或改变显示信息。

显示屏194用于显示图像，视频等。该显示屏194包括显示面板。显示面板可以采用液晶显示屏（liquid crystal display，LCD），发光二极管（light-emitting diode，LED），有机发光二极管（organic light-emitting diode，OLED），有源矩阵有机发光二极体或主动矩阵有机发光二极体（active-matrix organic light emitting diode，AMOLED），柔性发光二极管（flex light-emitting diode，FLED），Miniled，MicroLed，Micro-oLed，量子点发光二极管（quantum dot light emitting diodes，QLED）等。

电子设备100可以通过ISP，摄像头193，视频编解码器，GPU，显示屏194以及应用处理器等实现拍摄功能。ISP 用于处理摄像头193反馈的数据。摄像头193用于捕获静态图像或视频。数字信号处理器用于处理数字信号，除了可以处理数字图像信号，还可以处理其他数字信号。视频编解码器用于对数字视频压缩或解压缩。电子设备100可以支持一种或多种视频编解码器。这样，电子设备100可以播放或录制多种编码格式的视频，例如：动态图像专家组（moving picture experts group，MPEG）1，MPEG2，MPEG3，MPEG4等。

摄像头193可以包括1~N个。每个摄像头包括感光元件（CCD/CMOS），可以通过感光元件（CCD/CMOS）进行感光，收集光子并转换成电荷。

例如，电子设备可以包括2个前置摄像头和3个后置摄像头。其中，前置摄像头可以包括前置主摄像头和TOF摄像头。其中，TOF摄像头可以包括TX和RX，TX可以用于发射光信号（红外光或激光脉冲），RX可以用于接收成像。TX例如可以为红外光发射器。RX例如可以为互补金属氧化物半导体（complementary metal oxide semiconductor，CMOS）或者电荷耦合器件（charge coupled device，CCD）图像感应器。可选的，前置摄像头还可以包括前置副摄像头。

其中，后置摄像头例如可以包括后置主摄像头、广角摄像头（也可以称为超广角摄像头）和远焦摄像头等。当然，后置摄像头还可以包括其他类型的摄像头，例如，还可以包括深度摄像头模组、黑白摄像头模组、微距摄像头模组等，本申请不做限定。其中，后置主摄像头可以为广角摄像头，后置主摄像头与超广角摄像头的视角可以不同。

外部存储器接口120可以用于连接外部存储卡，例如Micro SD卡，实现扩展电子设备100的存储能力。外部存储卡通过外部存储器接口120与处理器110通信，实现数据存储功能。例如将音乐，视频等文件保存在外部存储卡中。内部存储器121可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。处理器110通过运行存储在内部存储器121的指令，从而执行电子设备100的各种功能应用以及数据处理。例如，在本申请实施例中，处理器110可以通过执行存储在内部存储器121中的指令，内部存储器121可以包括存储程序区和存储数据区。其中，存储程序区可存储操作系统，至少一个功能所需的应用程序（比如声音播放功能，图像播放功能等）等。存储数据区可存储电子设备100使用过程中所创建的数据（比如音频数据，电话本等）等。此外，内部存储器121可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器（universal flash storage，UFS）等。

电子设备100可以通过音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，以及应用处理器等实现音频功能。例如音乐播放，录音等。

音频模块170用于将数字音频信息转换成模拟音频信号输出，也用于将模拟音频输入转换为数字音频信号。音频模块170还可以用于对音频信号编码和解码。扬声器170A，也称“喇叭”，用于将音频电信号转换为声音信号。受话器170B，也称“听筒”，用于将音频电信号转换成声音信号。麦克风170C，也称“话筒”，“传声器”，用于将声音信号转换为电信号。耳机接口170D用于连接有线耳机。

按键190包括开机键，音量键等。按键190可以是机械按键。也可以是触摸式按键。电子设备100可以接收按键输入，产生与电子设备100的用户设置以及功能控制有关的键信号输入。马达191可以产生振动提示。马达191可以用于来电振动提示，也可以用于触摸振动反馈。指示器192可以是指示灯，可以用于指示充电状态，电量变化，也可以用于指示消息，未接来电，通知等。SIM卡接口195用于连接SIM卡。SIM卡可以通过插入SIM卡接口195，或从SIM卡接口195拔出，实现和电子设备100的接触和分离。电子设备100可以支持1个或N个SIM卡接口，N为大于1的正整数。SIM卡接口195可以支持Nano SIM卡，Micro SIM卡，SIM卡等。

图13提供一种第一电子设备的软件结构示意图，第一电子设备1300可以包括探测模块1301、匹配模块1302和告警模块1303。其中，探测模块1301、匹配模块1302和告警模块1303可以部署在同一个应用程序中，也可以分别部署在不同的应用程序中，本申请不做限定。示例性的，探测模块1301、匹配模块1302和告警模块1303可以部署在网络主机探测器1304这一应用程序中。其中，探测模块1301可以用于执行步骤S301-步骤S313，步骤S320-步骤S325，步骤S901-步骤S905，步骤S907-步骤S908以及步骤S910-步骤S911，匹配模块1302可以用于执行步骤S314、步骤S906、步骤S909以及步骤S912，告警模块1303可以用于执行步骤S315和步骤S906中的部分内容。

本申请一些实施例提供了一种第一电子设备，该第一电子设备可以包括：触摸屏、存储器和一个或多个处理器。该触摸屏、存储器和处理器耦合。该存储器用于存储计算机程序代码，该计算机程序代码包括计算机指令。当处理器执行计算机指令时，第一电子设备可执行上述方法实施例中第一电子设备执行的各个功能或者步骤。该第一电子设备的结构可以参考图12所示的第一电子设备100的结构。

本申请实施例还提供一种芯片系统（例如，片上系统（system on a chip，SoC）），如图14所示，该芯片系统包括至少一个处理器1401和至少一个接口电路1402。处理器1401和接口电路1402可通过线路互联。例如，接口电路1402可用于从其它装置（例如第一电子设备的存储器）接收信号。又例如，接口电路1402可用于向其它装置（例如处理器1401或者第一电子设备的触摸屏）发送信号。示例性的，接口电路1402可读取存储器中存储的指令，并将该指令发送给处理器1401。当所述指令被处理器1401执行时，可使得第一电子设备执行上述实施例中主设备执行的各个步骤。当然，该芯片系统还可以包含其他分立器件，本申请实施例对此不作具体限定。

本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质包括计算机指令，当所述计算机指令在上述第一电子设备上运行时，使得该第一电子设备执行上述方法实施例中主设备执行的各个功能或者步骤。

本申请实施例还提供一种计算机程序产品，当所述计算机程序产品在第一电子设备上运行时，使得所述第一电子设备执行上述方法实施例中主设备执行的各个功能或者步骤。

通过以上实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备（可以是单片机，芯片等）或处理器（processor）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（read only memory，ROM）、随机存取存储器（random access memory，RAM）、磁碟或者光盘等各种可以存储程序代码的介质。

以上内容，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种网络资产探测方法，应用于第一电子设备，其特征在于，包括：

获取预设网络的网段信息，所述网段信息包括多个第二电子设备的网际协议IP地址；

基于所述多个第二电子设备的IP地址向所述多个第二电子设备中的每个第二电子设备分别发送第一请求报文，所述第一请求报文用于探测所述多个第二电子设备是否在线；

接收第一集合中的每个第二电子设备分别发送的第一响应报文，所述第一集合包括所述多个第二电子设备中的部分第二电子设备；

其中，所述第一请求报文和所述第一响应报文为数据链路层、网络层、传输层、应用层中的任意一层的协议报文；

基于第二集合中每个第二电子设备的IP地址向所述第二集合中的每个第二电子设备分别发送第五请求报文，所述第二集合包括所述网段信息指示的多个第二电子设备中除所述第一集合之外的一个或多个第二电子设备，所述第五请求报文用于探测所述第二集合中的每个第二电子设备是否在线；

接收第三集合中的每个第二电子设备分别发送的第五响应报文，所述第三集合包括所述第二集合中的部分或全部的第二电子设备；

其中，所述第五请求报文和所述第五响应报文为所述数据链路层、所述网络层、所述传输层、所述应用层中的任意一层的协议报文；所述第五请求报文与所述第一请求报文不同；

将在线电子设备的IP地址与数据资产库进行匹配，得到未收录的电子设备的IP地址，其中，所述在线电子设备包括所述第一集合和所述第三集合中的每个第二电子设备，所述数据资产库中包括已收录的电子设备的IP地址。

2.根据权利要求1所述的方法，其特征在于，

所述数据链路层的协议报文包括地址解析协议ARP报文；

所述网络层的协议报文包括控制报文协议ICMP报文；

所述传输层的协议报文包括传输控制协议TCP报文、用户数据报协议UDP报文、流控制传输协议SCTP报文中的至少一种；

所述应用层的协议报文包括网络基本输入输出系统NetBIOS协议报文、服务器信息块SMB协议报文中的至少一种。

3.根据权利要求1或2所述的方法，其特征在于，所述数据资产库中还包括已收录的电子设备的开放端口，所述方法还包括：

向所述在线电子设备发送第二请求报文，所述第二请求报文用于请求所述在线电子设备的开放端口；

接收所述在线电子设备发送的第二响应报文，所述第二响应报文用于指示所述在线电子设备的开放端口；

将所述在线电子设备的开放端口与数据资产库进行匹配，得到未收录的开放端口，所述数据资产库中包括已收录的开放端口。

4.根据权利要求3所述的方法，其特征在于，

所述第二请求报文和所述第二响应报文包括TCP报文、UDP报文或SCTP报文中的至少一种。

5.根据权利要求3所述的方法，其特征在于，所述数据资产库中还包括已收录的电子设备的端口服务，所述方法还包括：

向所述在线电子设备发送第三请求报文，所述第三请求报文用于请求所述在线电子设备的端口服务；

接收所述在线电子设备发送的第三响应报文，所述第三响应报文用于指示所述在线电子设备的端口服务；

将所述在线电子设备的端口的服务与数据资产库进行匹配，得到未收录的端口服务，所述数据资产库中包括已收录的端口服务。

6.根据权利要求5所述的方法，其特征在于，

所述在线电子设备的端口服务包括安全外壳SSH服务，Thrift服务，超文本传输协议HTTP服务，超文本传输安全协议HTTPS服务，MS SQL数据库服务，WWW代理服务，Redis数据库服务中的至少一种。

7.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：

确定所述未收录的电子设备分别对应的资产责任人；

向所述资产责任人发送风险告警，所述风险告警用于指示所述资产责任人对所述未收录的电子设备进行管理。

8.根据权利要求7所述的方法，其特征在于，所述确定所述未收录的电子设备分别对应的资产责任人包括：

根据所述未收录电子设备的设备信息确定所述资产责任人，其中，所述设备信息包括媒体访问控制MAC地址和/或主机名。

9.根据权利要求8所述的方法，其特征在于，所述根据所述未收录电子设备的设备信息确定所述资产责任人之前，所述方法还包括：

向所述未收录的电子设备发送第四请求报文，所述第四请求报文用于请求所述未收录的电子设备的设备信息；

接收所述未收录的电子设备发送的第四响应报文，所述第四响应报文用于指示所述未收录的电子设备的设备信息。

10.根据权利要求9所述的方法，其特征在于，

所述第四请求报文和所述第四响应报文包括网络基本输入输出系统NetBIOS协议报文或服务器信息块SMB协议报文。

11.根据权利要求1或2所述的方法，其特征在于，

所述多个第二电子设备包括物理电子设备和/或虚拟电子设备。

12.根据权利要求1或2所述的方法，其特征在于，所述获取预设网络的网段信息包括：

定时获取所述预设网络的所述网段信息。

13.一种网络资产探测方法，应用于包括第一电子设备和多个第二电子设备的系统，其特征在于，包括：

第一电子设备获取网段信息，所述网段信息包括多个第二电子设备的网际协议IP地址；

所述第一电子设备基于所述多个第二电子设备的IP地址向所述多个第二电子设备中的每个第二电子设备分别发送第一请求报文，所述第一请求报文用于探测所述多个第二电子设备是否在线；

第一集合中的每个第二电子设备分别向所述第一电子设备发送第一响应报文，所述第一集合包括所述多个第二电子设备中的部分第二电子设备；

所述第一电子设备接收所述第一集合中的每个第二电子设备分别发送的所述第一响应报文；

所述第一电子设备基于第二集合中每个第二电子设备的IP地址向所述第二集合中的每个第二电子设备分别发送第五请求报文，所述第二集合包括所述网段信息指示的多个第二电子设备中除所述第一集合之外的一个或多个第二电子设备，所述第五请求报文用于探测所述第二集合中的每个第二电子设备是否在线；

所述第一电子设备接收第三集合中的每个第二电子设备分别发送的第五响应报文，所述第三集合包括所述第二集合中的部分或全部的第二电子设备；

所述第一电子设备将在线电子设备的IP地址与数据资产库进行匹配，得到未收录的电子设备的IP地址，其中，所述在线电子设备包括所述第一集合和所述第三集合中的每个第二电子设备，所述数据资产库中包括已收录的电子设备的IP地址。

14.一种电子设备，其特征在于，所述电子设备包括收发器、处理器和存储器；所述存储器存储有程序指令；所述处理器用于运行所述存储器存储的所述程序指令，使得所述电子设备执行如权利要求1-13任一项所述的方法。

15.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括程序指令，当所述程序指令在电子设备上运行时，使得所述电子设备执行如权利要求1-13任一项所述的方法。