CN116567062B - 基于流量日志发现资产的方法、装置、电子设备及介质 - Google Patents

基于流量日志发现资产的方法、装置、电子设备及介质 Download PDF

Info

Publication number
CN116567062B
CN116567062B CN202310828889.1A CN202310828889A CN116567062B CN 116567062 B CN116567062 B CN 116567062B CN 202310828889 A CN202310828889 A CN 202310828889A CN 116567062 B CN116567062 B CN 116567062B
Authority
CN
China
Prior art keywords
asset
network
link
network path
port number
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310828889.1A
Other languages
English (en)
Other versions
CN116567062A (zh
Inventor
李�远
余鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Abt Networks Co ltd
Original Assignee
Beijing Abt Networks Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Abt Networks Co ltd filed Critical Beijing Abt Networks Co ltd
Priority to CN202310828889.1A priority Critical patent/CN116567062B/zh
Publication of CN116567062A publication Critical patent/CN116567062A/zh
Application granted granted Critical
Publication of CN116567062B publication Critical patent/CN116567062B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于流量日志发现资产的方法、装置、电子设备及介质,其方法包括:根据目标软件的业务逻辑对应的流量获取待检测的网络流量日志;基于深度优先算法对所述待检测的网络流量日志进行计算,得到资产发现链路;提取所述资产发现链路中的资产列表;聚合所述资产列表中的信息得到网络资产定位信息;根据所述网络资产定位信息确定资产类别。本发明可全面覆盖所有资产,提高了检测的完整性和检测的效率。

Description

基于流量日志发现资产的方法、装置、电子设备及介质
技术领域
本发明涉及互联网安全技术领域,尤其涉及一种基于流量日志发现资产的方法、装置、电子设备及介质。
背景技术
资产发现技术是一种网络安全技术,它通过扫描整个网络寻找连接到企业网络的设备、主机、服务器、移动设备、应用程序和服务等,提取其相关信息,如IP地址、操作系统类型、应用程序版本、补丁状态等帮助企业管理者了解其网络拓扑和资产情况,识别网络风险,并选择适当的安全策略来保护这些资产。
现有技术中基于主动扫描和基于被动扫描等多种方法来识别未知资产,主要依赖于扫描器设备和人工手动梳理来识别未知资产。
基于主动扫描识别未知资产存在的问题:在对大量资产进行扫描时,扫描器需要占用大量时间和资源,导致扫描效率低下且对于网络分布广泛、复杂异构的环境,扫描器无法全面覆盖所有资产,导致资产发现不完整,从而误判率较高。基于被动扫描识别未知资产存在的问题:需要对大量的数据进行分析和比对,而且需要专业的技术人员进行处理,成本较高、效率低。
发明内容
有鉴于此,有必要提供一种基于流量日志发现资产的方法、装置、电子设备及介质,用以解决资产发现不完整导致误判率高的问题。
为了解决上述问题,本发明提供一种基于流量日志发现资产的方法,包括:
根据目标软件的业务逻辑对应的流量获取待检测的网络流量日志;
基于深度优先算法对所述待检测的网络流量日志进行计算,得到资产发现链路;
提取所述资产发现链路中的资产列表;
聚合所述资产列表中的信息得到网络资产定位信息;
根据所述网络资产定位信息确定资产类别。
在一些可能的实现方式中,所述基于深度优先算法对所述待检测的网络流量日志进行计算,得到资产发现链路,包括:
基于深度优先算法对所述待检测的网络流量日志进行聚合生成网络途径链路;
对所述网络途径链路进行计算,得到所述网络途径链路中每个网络途径链路的综合评分;
根据所述每个网络途径链路的综合评分与预设的评分阈值的大小关系确定所述资产发现链路。
在一些可能的实现方式中,所述网络途径链路为有向无环图。
在一些可能的实现方式中,所述对所述网络途径链路进行计算,得到所述网络途径链路中每个网络途径链路的综合评分,包括:
获取所述网络途径链路中每个节点的特征值;
基于线性加权算法对所述网络途径链路中每个节点的特征值进行计算,得到所述网络途径链路中每个网络途径链路的综合评分。
在一些可能的实现方式中,所述根据所述每个网络途径链路的综合评分与预设的评分阈值的大小关系确定所述资产发现链路,包括:
将所述每个网络途径链路的综合评分小于预设的评分阈值的网络途径链路确定为所述资产发现链路。
在一些可能的实现方式中,所述网络资产定位信息包括:IP地址、端口号和总流量,所述根据所述网络资产定位信息确定资产类别,包括:
在所述端口号与预设的端口号集合匹配成功的情况下,将确定所述端口号对应的资产信息为活跃资产添加到资产管理中;
在所述端口号与预设的端口号集合匹配不成功且所述总流量不超过预设总流量阈值的情况下,将确定所述端口号对应的资产信息为活跃资产并添加到资产管理模块中;
在所述端口号与预设的端口号集合匹配不成功且所述总流量超过预设总流量阈值的情况下,使用扫描器对所述IP地址进行扫描得到扫描信息,若扫描信息中存在活跃端口和返回信息,将确定所述端口号对应的资产信息为活跃资产并添加到资产管理模块中;
在所述端口号不存在且所述IP地址在预设网段内的情况下,将确定所述端口号对应的资产信息为在线资产并添加到资产管理模块中;
在所述端口号不存在且所述IP地址不在预设网段内的情况下,用扫描器进行扫描,若有返回信息确定资产为在线资产并添加到资产管理模块中。
在一些可能的实现方式中,所述资产管理模块,用于
根据资产对应的设备哈希码将资产分到默认类型资产组或特定资产组。
另一方面,本发明还提供了一种转发远程服务器接口的装置,包括:
待检测流量日志获取单元,用于根据目标软件的业务逻辑获取的待检测的网络流量日志;
资产发现单元,用于基于深度优先算法对所述待检测的网络流量日志进行计算,得到资产发现链路;
资产列表确定单元,用于提取所述资产发现链路中的资产列表;
资产定位单元,用于聚合所述资产列表中的信息得到网络资产定位信息;
资产类别确定单元,用于根据所述网络资产定位信息确定资产类别。
另一方面,本发明还提供了一种电子设备,包括存储器和处理器,其中,
所述存储器,用于存储程序;
所述处理器,与所述存储器耦合,用于执行所述存储器中存储的所述程序,以实现上述任意一种实现方式中所述的一种基于流量日志发现资产的方法中的步骤。
另一方面,本发明还提供了一种计算机可读存储介质,用于存储计算机可读取的程序或指令,所述程序或指令被处理器执行时能够实现上述任意一种实现方式中所述的一种基于流量日志发现资产的方法中的步骤。
采用上述实施例的有益效果是:本发明提供的一种基于流量日志发现资产的方法,针对目标软件的流量日志进行分析,通过动态配置的业务应用关系来精确识别出与业务相关联的资产,采用深度优先算法进行业务应用资产拓扑图的搜索生成资产发现链路,有助于遍历整个业务应用上相关联的整个网络拓扑结构,从而全面识别所有资产,对资产发现链路中的资产进一步判定,保证发现资产的全面性。
附图说明
图1为本发明提供的一种基于流量日志发现资产的方法一实施例的方法流程图;
图2为本发明提供的一种基于流量日志发现资产的装置的一个实施例结构示意图;
图3为本发明提供的电子设备的一个实施例结构示意图。
具体实施方式
下面结合附图来具体描述本发明的优选实施例,其中,附图构成本申请一部分,并与本发明的实施例一起用于阐释本发明的原理,并非用于限定本发明的范围。
图1为本发明提供的一种基于流量日志发现资产的方法的一个实施例流程示意图,如图1所示,一种基于流量日志发现资产的方法,包括:
S101、根据目标软件的业务逻辑对应的流量获取待检测的网络流量日志;
S102、基于深度优先算法对所述待检测的网络流量日志进行计算,得到资产发现链路;
S103、提取所述资产发现链路中的资产列表;
S104、聚合所述资产列表中的信息得到网络资产定位信息;
S105、根据所述网络资产定位信息确定资产类别。
与现有技术相比,本实施例提供的一种基于流量日志发现资产的方法,针对目标软件的流量日志进行分析,通过动态配置的业务应用关系来精确识别出与业务相关联的资产,采用深度优先算法进行业务应用资产拓扑图的搜索生成资产发现链路,有助于遍历整个业务应用上相关联的整个网络拓扑结构,从而全面识别所有资产,对资产发现链路中的资产进一步判定,保证发现资产的全面性。
在步骤S101中,流量数据按照TCP/IP体系结构进行分层解析,从而获得相关的资产流量信息表,将相关的资产流量信息存储起来,以方便后续对资产流量数据进行分析,以便生成统一管理的资产。可以将资产流量信息表示成如下表1:
表1
需要说明的是,为了检测目标软件网络流量日志对应的资产信息,回溯一段时间范围内的流量日志,例如1小时或者2小时等,可根据具体情况设置时间范围,过滤出目标软件需要检测的网络流量日志的范围。
在本发明的一些实施例中,所述基于深度优先算法对所述待检测的网络流量日志进行计算,得到资产发现链路,包括:
基于深度优先算法对所述待检测的网络流量日志进行聚合生成网络途径链路;
对所述网络途径链路进行计算,得到所述网络途径链路中每个网络途径链路的综合评分;
根据所述每个网络途径链路的综合评分与预设的评分阈值的大小关系确定所述资产发现链路。
在本发明的一些实施例中,所述网络途径链路为有向无环图。
需要说明的是,一个完整的业务往往包含多个应用,这些应用之间可能存在协作、依赖或交互等关系,可以通过定义一个业务的起始应用和终止应用来完成一次业务的闭环,而每个应用至少存在一个起始端点和终止端点,而每个端点上存在多个可能的资产。在本发明的具体实施例中,所述有向无环图的每个节点根据目标软件的应用id(app_id)、源ip(src_ip)、目的ip(dst_ip)进行聚合生成疑似资产。
在本发明的一些实施例中,所述对所述网络途径链路进行计算,得到所述网络途径链路中每个网络途径链路的综合评分,包括:
获取所述网络途径链路中每个节点的特征值;
基于线性加权算法对所述网络途径链路中每个节点的特征值进行计算,得到所述网络途径链路中每个网络途径链路的综合评分。
在本发明的一些实施例中,所述根据所述每个网络途径链路的综合评分与预设的评分阈值的大小关系确定所述资产发现链路,包括:
将所述每个网络途径链路的综合评分小于预设的评分阈值的网络途径链路确定为所述资产发现链路。
在本发明的具体实施例中,根据网络传输途径链路中的每个节点的特征值,利用线性加权算法来计算每条链路的综合评分,具体的线性加权算法:W(u) = w1 * f1(u) +w2 * f2(u) + ... + wk * fk(u),其中u表示当前节点,fi(u)表示表示第 i 个特征在节点 u 上的值,wi 表示第 i 个特征的权重系数。每个节点的特征值可以通过对流量日志进行聚合得到,特征值如下表2:
表2
对于每个节点,根据选定的特征计算其相应的权重值。可以使用不同的计算方法,如线性加权、指数加权或者基于深度学习的模型预测等方法。针对每个节点的最终评分进行动态调整和优化,从而生成最佳评分模型。根据网络途径链路生成的评分是否超过阈值来判断对应链路是否为满足条件的资产发现链路。如存在满足阈值的对应链路,则判定该链路为资产发现链路,以方便进行下一步资产判定。
在本发明的一些实施例中,所述网络资产定位信息包括:IP地址、端口号和总流量,所述根据所述网络资产定位信息确定资产类别,包括:
在所述端口号与预设的端口号集合匹配成功的情况下,将确定所述端口号对应的资产信息为活跃资产添加到资产管理中;
在所述端口号与预设的端口号集合匹配不成功且所述总流量不超过预设总流量阈值的情况下,将确定所述端口号对应的资产信息为活跃资产并添加到资产管理模块中;
在所述端口号与预设的端口号集合匹配不成功且所述总流量超过预设总流量阈值的情况下,使用扫描器对所述IP地址进行扫描得到扫描信息,若扫描信息中存在活跃端口和返回信息,将确定所述端口号对应的资产信息为活跃资产并添加到资产管理模块中;
在所述端口号不存在且所述IP地址在预设网段内的情况下,将确定所述端口号对应的资产信息为在线资产并添加到资产管理模块中;
在所述端口号不存在且所述IP地址不在预设网段内的情况下,用扫描器进行扫描,若有返回信息确定资产为在线资产并添加到资产管理模块中。
在本发明的具体实施例中,以资产发现链路中的数据作为数据源,提取所有疑似发现资产列表,资产发现链路获得的数据结构如表3:
表3
提取表3中资产发现链路中疑似的资产列表代码如下:
[
{
"asset_info": {
"ip": "1.1.1.1",
"total_byte": "30MB",
"sport": 80
}
},
{
"asset_info": {
"ip": "1.1.1.1",
"total_byte": "40MB",
"sport": 80
}
},
{
"asset_info": {
"ip": "1.11.1.1",
"total_byte": "30MB",
"sport": 80
}
},
{
"asset_info": {
"ip": "1.12.1.11",
"total_byte": "30MB",
"dport": 3306
}
},
{
"asset_info": {
"ip": "11.1.1.11",
"total_byte": "30MB",
"dport": 9200
}
}
]
根据表3中的信息聚合所有资产信息,包括包含IP(ip)、端口(port)、总流量(total_byte),具体代码如下:
[
{
"asset_info": {
"ip": "1.1.1.1",
"total_byte": "70MB",
"port": [
80
]
}
},
{
"asset_info": {
"ip": "1.11.1.1",
"total_byte": "30MB",
"port": [
81
]
}
},
{
"asset_info": {
"ip": "1.12.1.11",
"total_byte": "30MB",
"port": [
3306
]
}
},
{
"asset_info": {
"ip": "11.1.1.11",
"total_byte": "30MB",
"port": [
9200
]
}
}
]
根据端口是否存在来进行判断相应的资产是否存在,如:
资产信息为ip:1.12.1.11 port:3306 的端口与常见中间件服务mysql的端口匹配,则判定该疑似资产存在服务确定为资产,添加到资产管理里面去。
资产信息为ip:1.12.1.11 port:81 端口存在且总流量满足阈值,但与常见的服务端口不匹配,则可以将当前ip用扫描器进行扫描,如下图所示,如果存在活跃端口和返回的banner信息,则判定该疑似资产活跃为资产,添加到资产管理里面去。
若端口不存在,则根据当前的疑似资产列表的ip进行分析,如:
资产信息为IP:1.11.1.1,192.168.223.11 不存在端口,资产IP192.168.223.11在配置的192.168.*.*网段内,则判定该资产存在添加到资产管理中去资产信息为IP:1.11.1.1 不存在配置的端口,则用扫描器进行扫描,若有返回信息则添加到资产管理中去。
在本发明的一些实施例中,所述资产管理模块,用于
根据资产对应的设备哈希码将资产分到默认类型资产组或特定资产组。
在本发明的具体实施例中,针对从资产判定模块生成的资产按照如下流程进行添加管理定位到特定若干资产组,每一个特定资产组就是一个重点关注的业务区域,具体流程如下图所示:
根据资产所对应的设备hash查找ip范围:hash值由 IP地址的C段范围+设备型号+操作系统版本组成,如:192.168.1.1 对应的hash值为:192.168.desktop.windows 对应的ip范围是192.168.*.*网段,设备型号是笔记本电脑,操作系统是windows。
如果对应的ip存在默认的IP范围则判断该范围是否与对应的资产组节点绑定,否则添加到default(默认)资产组中去,如192.168.*.*绑定的资产组节点为办公区。
如果该ip绑定了对应的资产组节点,则判断是否在相应资产组定义的ip范围内,否则添加到default(默认)资产组中去:如192.168.1.1对应的资产组节点范围为192.168.*.*,但该资产组节点对应三个ip范围192.168.10.*,192.168.11.*,192.168.12.*,代表办公1区,办公2区,办公3区,不在ip范围内,添加到default(默认)资产组。
在本发明的实施例中,通过资产管理对资产实现了分类管理,将上述识别的资产下挂到特定资产组,有利于对资产采用差异化的管理方式和快速定位,提高了资产的管理效率。
为了更好实施本发明实施例中的一种基于流量日志发现资产的方法,在一种基于流量日志发现资产的方法基础之上,对应地,如图2所示,本发明实施例还提供了一种基于流量日志发现资产的装置,一种基于流量日志发现资产的装置200包括:
待检测流量日志获取单元201,用于根据目标软件的业务逻辑获取的待检测的网络流量日志;
资产发现单元202,用于基于深度优先算法对所述待检测的网络流量日志进行计算,得到资产发现链路;
资产列表确定单元203,用于提取所述资产发现链路中的资产列表;
资产定位单元204,用于聚合所述资产列表中的信息得到网络资产定位信息;
资产类别确定单元205,用于根据所述网络资产定位信息确定资产类别。
上述实施例提供的一种基于流量日志发现资产的装置200可实现上述自一种基于流量日志发现资产的方法实施例中描述的技术方案,上述各模块或单元具体实现的原理可参见上述一种基于流量日志发现资产的方法实施例中的相应内容,此处不再赘述。
如图3所示,本发明还相应提供了一种电子设备300。该电子设备300包括处理器301、存储器302及显示器303。图3仅示出了电子设备300的部分组件,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
处理器301在一些实施例中可以是一中央处理器(Central Processing Unit,CPU),微处理器或其他数据处理芯片,用于运行存储器302中存储的程序代码或处理数据,例如本发明中的一种基于流量日志发现资产的方法。
在一些实施例中,处理器301可以是单个服务器或服务器组。服务器组可为集中式或分布式的。在一些实施例中,处理器301可为本地的或远程的。在一些实施例中,处理器301可实施于云平台。在一实施例中,云平台可包括私有云、公共云、混合云、社区云、分布式云、内部间、多重云等,或以上的任意组合。
存储器302在一些实施例中可以是电子设备300的内部存储单元,例如电子设备300的硬盘或内存。存储器302在另一些实施例中也可以是电子设备300的外部存储设备,例如电子设备300上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
进一步地,存储器303还可既包括电子设备300的内部储存单元也包括外部存储设备。存储器302用于存储安装电子设备300的应用软件及各类数据。
显示器303在一些实施例中可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。显示器303用于显示在电子设备300的信息以及用于显示可视化的用户界面。电子设备300的部件301-303通过系统总线相互通信。
在一实施例中,当处理器301执行存储器302中的一种基于流量日志发现资产的程序时,可实现以下步骤:
根据目标软件的业务逻辑对应的流量获取待检测的网络流量日志;
基于深度优先算法对所述待检测的网络流量日志进行计算,得到资产发现链路;
提取所述资产发现链路中的资产列表;
聚合所述资产列表中的信息得到网络资产定位信息;
根据所述网络资产定位信息确定资产类别。
应当理解的是:处理器301在执行存储器302中的一种基于流量日志发现资产的程序时,除了上面的功能之外,还可实现其他功能,具体可参见前面相应方法实施例的描述。
进一步地,本发明实施例对提及的电子设备300的类型不作具体限定,电子设备300可以为手机、平板电脑、个人数字助理(personaldigitalassistant,PDA)、可穿戴设备、膝上型计算机(laptop)等便携式电子设备。便携式电子设备的示例性实施例包括但不限于搭载IOS、android、microsoft或者其他操作系统的便携式电子设备。上述便携式电子设备也可以是其他便携式电子设备,诸如具有触敏表面(例如触控面板)的膝上型计算机(laptop)等。还应当理解的是,在本发明其他一些实施例中,电子设备300也可以不是便携式电子设备,而是具有触敏表面(例如触控面板)的台式计算机。
本领域技术人员可以理解,实现上述实施例方法的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读存储介质中。其中,所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。

Claims (9)

1.一种基于流量日志发现资产的方法,其特征在于,包括:
根据目标软件的业务逻辑对应的流量获取待检测的网络流量日志;
基于深度优先算法对所述待检测的网络流量日志进行计算,得到资产发现链路;
提取所述资产发现链路中的资产列表;
聚合所述资产列表中的信息得到网络资产定位信息;
根据所述网络资产定位信息确定资产类别;
所述基于深度优先算法对所述待检测的网络流量日志进行计算,得到资产发现链路,包括:
基于深度优先算法对所述待检测的网络流量日志进行聚合生成网络途径链路;
对所述网络途径链路进行计算,得到所述网络途径链路中每个网络途径链路的综合评分;
根据所述每个网络途径链路的综合评分与预设的评分阈值的大小关系确定所述资产发现链路。
2.根据权利要求1所述的一种基于流量日志发现资产的方法,其特征在于,所述网络途径链路为有向无环图。
3.根据权利要求1所述的一种基于流量日志发现资产的方法,其特征在于,所述对所述网络途径链路进行计算,得到所述网络途径链路中每个网络途径链路的综合评分,包括:
获取所述网络途径链路中每个节点的特征值;
基于线性加权算法对所述网络途径链路中每个节点的特征值进行计算,得到所述网络途径链路中每个网络途径链路的综合评分。
4.根据权利要求1所述的一种基于流量日志发现资产的方法,其特征在于,所述根据所述每个网络途径链路的综合评分与预设的评分阈值的大小关系确定所述资产发现链路,包括:
将所述每个网络途径链路的综合评分小于预设的评分阈值的网络途径链路确定为所述资产发现链路。
5.根据权利要求1所述的一种基于流量日志发现资产的方法,其特征在于,所述网络资产定位信息包括:IP地址、端口号和总流量;所述根据所述网络资产定位信息确定资产类别,包括:
在所述端口号与预设的端口号集合匹配成功的情况下,将确定所述端口号对应的资产信息为活跃资产添加到资产管理中;
在所述端口号与预设的端口号集合匹配不成功且所述总流量不超过预设总流量阈值的情况下,将确定所述端口号对应的资产信息为活跃资产并添加到资产管理模块中;
在所述端口号与预设的端口号集合匹配不成功且所述总流量超过预设总流量阈值的情况下,使用扫描器对所述IP地址进行扫描得到扫描信息,若扫描信息中存在活跃端口和返回信息,将确定所述端口号对应的资产信息为活跃资产并添加到资产管理模块中;
在所述端口号不存在且所述IP地址在预设网段内的情况下,将确定所述端口号对应的资产信息为在线资产并添加到资产管理模块中;
在所述端口号不存在且所述IP地址不在预设网段内的情况下,用扫描器进行扫描,若有返回信息确定资产为在线资产并添加到资产管理模块中。
6.根据权利要求5所述的一种基于流量日志发现资产的方法,其特征在于,所述资产管理模块,用于根据资产对应的设备哈希码将资产分到默认类型资产组或特定资产组。
7.一种基于流量日志发现资产的装置,其特征在于,包括:
待检测流量日志获取单元,用于根据目标软件的业务逻辑获取的待检测的网络流量日志;
资产发现单元,用于基于深度优先算法对所述待检测的网络流量日志进行计算,得到资产发现链路;
资产列表确定单元,用于提取所述资产发现链路中的资产列表;
资产定位单元,用于聚合所述资产列表中的信息得到网络资产定位信息;
资产类别确定单元,用于根据所述网络资产定位信息确定资产类别;
所述基于深度优先算法对所述待检测的网络流量日志进行计算,得到资产发现链路,包括:
基于深度优先算法对所述待检测的网络流量日志进行聚合生成网络途径链路;
对所述网络途径链路进行计算,得到所述网络途径链路中每个网络途径链路的综合评分;
根据所述每个网络途径链路的综合评分与预设的评分阈值的大小关系确定所述资产发现链路。
8.一种电子设备,其特征在于,包括存储器和处理器,其中,
所述存储器,用于存储程序;
所述处理器,与所述存储器耦合,用于执行所述存储器中存储的所述程序,以实现上述权利要求1至6中任意一项所述的一种基于流量日志发现资产的方法中的步骤。
9.一种计算机可读存储介质,其特征在于,用于存储计算机可读取的程序或指令,所述程序或指令被处理器执行时能够实现上述权利要求1至6中任意一项所述的一种基于流量日志发现资产的方法中的步骤。
CN202310828889.1A 2023-07-07 2023-07-07 基于流量日志发现资产的方法、装置、电子设备及介质 Active CN116567062B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310828889.1A CN116567062B (zh) 2023-07-07 2023-07-07 基于流量日志发现资产的方法、装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310828889.1A CN116567062B (zh) 2023-07-07 2023-07-07 基于流量日志发现资产的方法、装置、电子设备及介质

Publications (2)

Publication Number Publication Date
CN116567062A CN116567062A (zh) 2023-08-08
CN116567062B true CN116567062B (zh) 2023-09-26

Family

ID=87486497

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310828889.1A Active CN116567062B (zh) 2023-07-07 2023-07-07 基于流量日志发现资产的方法、装置、电子设备及介质

Country Status (1)

Country Link
CN (1) CN116567062B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112688810A (zh) * 2020-12-23 2021-04-20 苏州三六零智能安全科技有限公司 网络资产信息获取方法、设备及可读存储介质
CN113949582A (zh) * 2021-10-25 2022-01-18 绿盟科技集团股份有限公司 一种网络资产的识别方法、装置、电子设备及存储介质
CN114615016A (zh) * 2022-02-09 2022-06-10 广东能源集团科学技术研究院有限公司 一种企业网络安全评估方法、装置、移动终端及存储介质
WO2022170132A1 (en) * 2021-02-05 2022-08-11 Bit Discovery Inc. Asset ranking and classification systems and methods
CN116319074A (zh) * 2023-05-12 2023-06-23 北京安博通科技股份有限公司 一种基于多源日志的失陷设备检测方法、装置及电子设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112688810A (zh) * 2020-12-23 2021-04-20 苏州三六零智能安全科技有限公司 网络资产信息获取方法、设备及可读存储介质
WO2022170132A1 (en) * 2021-02-05 2022-08-11 Bit Discovery Inc. Asset ranking and classification systems and methods
CN113949582A (zh) * 2021-10-25 2022-01-18 绿盟科技集团股份有限公司 一种网络资产的识别方法、装置、电子设备及存储介质
CN114615016A (zh) * 2022-02-09 2022-06-10 广东能源集团科学技术研究院有限公司 一种企业网络安全评估方法、装置、移动终端及存储介质
CN116319074A (zh) * 2023-05-12 2023-06-23 北京安博通科技股份有限公司 一种基于多源日志的失陷设备检测方法、装置及电子设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
企业开放网络环境下的IP资产主动发现技术研究;邓晓东等;广东通信技术;第2-4节 *

Also Published As

Publication number Publication date
CN116567062A (zh) 2023-08-08

Similar Documents

Publication Publication Date Title
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
US20210019674A1 (en) Risk profiling and rating of extended relationships using ontological databases
US11025674B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
Arshad et al. SAMADroid: a novel 3-level hybrid malware detection model for android operating system
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US10902114B1 (en) Automated cybersecurity threat detection with aggregation and analysis
US7530105B2 (en) Tactical and strategic attack detection and prediction
EP2564341B1 (en) Behavioral signature generation using clustering
US8701192B1 (en) Behavior based signatures
CN109361643B (zh) 一种恶意样本的深度溯源方法
CN104067283B (zh) 识别移动环境的木马化应用程序
CN113486351A (zh) 一种民航空管网络安全检测预警平台
US20160021174A1 (en) Computer implemented method for classifying mobile applications and computer programs thereof
US8190647B1 (en) Decision tree induction that is sensitive to attribute computational complexity
US8150779B1 (en) Validating the detection of spam based entities in social networking contexts
Bryant et al. Improving SIEM alert metadata aggregation with a novel kill-chain based classification model
US20210136120A1 (en) Universal computing asset registry
CN111885033B (zh) 基于多源安全检测框架的机器学习场景检测方法及系统
CN102867038A (zh) 文件类型的确定方法和装置
CN112019519B (zh) 网络安全情报威胁度的检测方法、装置和电子装置
WO2014021865A1 (en) Conjoint vulnerability identifiers
CN113961923A (zh) 一种威胁情报获取方法、装置、设备及存储介质
CN111988341A (zh) 数据处理方法、装置、计算机系统和存储介质
CN113609493A (zh) 钓鱼网站的识别方法、装置、设备及介质
CN114357447A (zh) 攻击者威胁评分方法及相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant