CN116708253B - 设备识别方法、装置、设备及介质 - Google Patents

设备识别方法、装置、设备及介质 Download PDF

Info

Publication number
CN116708253B
CN116708253B CN202310982781.8A CN202310982781A CN116708253B CN 116708253 B CN116708253 B CN 116708253B CN 202310982781 A CN202310982781 A CN 202310982781A CN 116708253 B CN116708253 B CN 116708253B
Authority
CN
China
Prior art keywords
protocol
result
network
identification
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310982781.8A
Other languages
English (en)
Other versions
CN116708253A (zh
Inventor
龚亮华
邱强
方永成
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fengtai Technology Beijing Co ltd
Original Assignee
Fengtai Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fengtai Technology Beijing Co ltd filed Critical Fengtai Technology Beijing Co ltd
Priority to CN202310982781.8A priority Critical patent/CN116708253B/zh
Publication of CN116708253A publication Critical patent/CN116708253A/zh
Application granted granted Critical
Publication of CN116708253B publication Critical patent/CN116708253B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Analysis (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Mathematical Optimization (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Algebra (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请属于互联网技术领域,尤其涉及设备识别方法、装置、设备及介质。方法包括:捕获网络流量,并对网络流量进行基于协议的拆分,得到多个数据包;数据包具有至少一个协议类别;解析协议类别相同的数据包集合,得到网络设备在协议类别下的解析结果;根据网络设备在至少两个协议类别下的解析结果,得到第一结果,第一结果为网络设备的识别结果。本申请能够更为高效地实现网络流量的解析,具有更好的时效性,还能够更全面地获得该网络设备的特征,进而得到更准确的识别结果。

Description

设备识别方法、装置、设备及介质
技术领域
本申请属于互联网技术领域,尤其涉及设备识别方法、装置、设备及介质。
背景技术
传统上,企业和组织在管理和保护其网络资产方面面临着诸多挑战。准确地了解和掌握网络中存在的设备资产,并对其进行细致的画像是至关重要的。这些设备资产可能包括服务器、路由器、交换机、终端设备等,其数量庞大且不断变化。然而,传统的设备/资产发现方法常常受限于管理混乱、人员手动配置和漏洞,导致信息不完整、更新滞后和资源浪费。
因此,如何提供一种更为高效的设备识别方法成为了业内亟需解决的技术问题。
发明内容
本申请实施例提供了设备识别方法、装置、设备及介质,可以解决设备/资产发现方法信息不完整、更新滞后和资源浪费的问题。
第一方面,本申请实施例提供了一种设备识别方法,包括:
捕获网络流量,并对所述网络流量进行基于协议的拆分,得到多个数据包;所述数据包具有至少一个协议类别;
解析所述协议类别相同的数据包集合,得到网络设备在所述协议类别下的解析结果;
根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果,所述第一结果为所述网络设备的识别结果。
上述方法通过协议类别拆分网络流量为多个数据包,并根据同类协议的共有特质解析得到该类别下网络设备的解析结果,能够更为高效地实现网络流量的解析,同时,这种解析不依赖于识别主体的主动通信,通过网络设备之间的通信流量即可完成,具有更好的时效性;在此基础上,对于特定的网络设备,通过至少两个协议类别下的解析结果,能够更全面地获得该网络设备的特征,进而得到更准确的识别结果。
在第一方面的一种可能的实现方式中,所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤包括:
根据所述网络设备在至少两个所述协议类别下的解析结果,得到所述网络设备的特征向量;
在设备指纹库中确定与所述特征向量对应的设备指纹,并根据所述设备指纹得到第一结果;其中,所述设备指纹用于标识和区分所述网络设备。
上述方法通过引入预设的设备指纹库,使得特征向量与设备识别结果的对应关系更为明确,从而能够更为快速地得到第一结果;同时,设备指纹库的引入还为新设备识别、新方法识别提供了良好的迭代基础,可以通过更新设备指纹库的方式引入算法或设备上的更新。
在第一方面的一种可能的实现方式中,所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤前,还包括:
通过如下步骤中的至少一个获取所述设备指纹库中的设备指纹:
以已知设备间通信产生的网络流量为输入,运行指纹模型得到所述设备指纹的至少一部分,其中,所述指纹模型是通过样本和标签训练得到的机器学习模型;
时序分析已知设备间的通信会话,得到所述设备指纹的至少一部分;
统计分析以已知设备间通信产生的网络流量,得到所述设备指纹的至少一部分。
上述方法通过多个维度(机器学习、时序分析、统计分析)构建设备指纹,能够使得流量相似地不同设备能够得以更好地区分,提升设备识别的精度。
在第一方面的一种可能的实现方式中,所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤后,还包括:
根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果;其中,所述第二结果是资产设备的识别结果,所述资产设备是一个或多个所述网络设备的载体。
上述方法在网络设备识别得到的特征的基础上,进行资产设备的识别,能够为网络中的资产管理和安全保护提供良好的基础。
在第一方面的一种可能的实现方式中,所述根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果的步骤后,还包括:
根据所述第二结果,或者,根据所述第二结果和所述网络流量,建立所述资产设备和/或所述网络设备间的关系模型;其中,所述关系模型包括设备拓扑结构和通信关联信息。
上述方法在资产设备识别的基础上,构建关系模型,从而提供对设备特征和行为的深入理解,为网络管理和安全检测提供基础数据。
在第一方面的一种可能的实现方式中,所述根据所述第二结果,或者,根据所述第二结果和所述网络流量,建立所述资产设备和/或所述网络设备间的关系模型的步骤后,还包括:
根据所述关系模型得到所述资产设备和/或所述网络设备间的通信关系和交互模式,所述通信关系和所述交互模式用于识别潜在的网络攻击路径。
上述方法在资产设备识别的基础上,通过通信关系和交互模式明确信息路径,从而为潜在的网络攻击路径识别提供了良好的基础。
在第一方面的一种可能的实现方式中,所述根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果的步骤后,还包括:
根据所述第二结果,或者,根据所述第二结果和所述网络流量,得到所述资产设备的画像;其中,所述画像包括所述资产设备的硬件配置、软件版本以及安全漏洞中的至少一个。
上述方法在资产设备识别的基础上,建立设备资产的细致画像,提供对设备特征和行为的深入理解,为网络管理和安全监测提供基础数据和洞察力。
第二方面,本申请实施例提供了一种设备识别装置,包括:
捕获模块,用于捕获网络流量,并对所述网络流量进行基于协议的拆分,得到多个数据包;所述数据包具有至少一个协议类别,所述协议类别包括硬件识别协议、操作系统识别协议、服务识别协议以及客户端识别协议;
解析模块,用于解析所述协议类别相同的数据包集合,得到网络设备在所述协议类别下的解析结果;
识别模块,用于根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果,所述第一结果为所述网络设备的识别结果。
第三方面,本申请实施例提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面中任一项所述的设备识别方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一项所述的设备识别方法。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一项所述的设备识别方法。
可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的设备识别方法的流程示意图;
图2是本申请实施例提供的设备识别系统的架构示意图;
图3是本申请实施例提供的设备识别系统模块的流程示意图;
图4是本申请实施例提供的设备识别装置的结构示意图;
图5是本申请实施例提供的终端设备的结构示意图;
附图标记:
捕获模块401;
解析模块402;
识别模块403;
终端设备50;
处理器501;
存储器502;
计算机程序503。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
另外,在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
随着网络数据格式的种类和数据协议的增多,导致网络数据极为庞大和复杂,一方面提升了管理和查询上的复杂度,另一方面也为基于数据的分析工作提供了良好的途径。
因此,流量分析技术是复杂网络数据下实现分析的一种强大的工具,可用于实时检测、监测和分析网络通信。流量数据包含了设备之间的通信交互信息,可以提供宝贵的洞察力,帮助识别、定位和理解网络中的设备资产。
实现一种基于流量的设备资产识别、资产画像的方法和系统是对于解决传统的资产发现问题、弊端有着极大的益处。其优势在于利用流量分析的实时性和全面性,它能够动态地跟踪设备资产的变化,并及时更新资产画像,提供准确和及时的信息。通过自动识别和追踪设备资产,生成包括设备类型、操作系统等详细信息的资产画像。
本申请实施例提供一种设备识别方法,如图1所示,包括:
步骤102,捕获网络流量,并对所述网络流量进行基于协议的拆分,得到多个数据包;所述数据包具有至少一个协议类别;
在一个可选的实施方式中,所述协议类别包括硬件识别协议、操作系统识别协议、服务识别协议以及客户端识别协议。
步骤104,解析所述协议类别相同的数据包集合,得到网络设备在所述协议类别下的解析结果;
步骤106,根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果,所述第一结果为所述网络设备的识别结果。
本实施例的执行主体可以为一种部署有设备识别模块的系统,该系统可能包括其它功能模块以在本实施例的基础上拓展出更多的关联功能,例如,该系统可能为资产识别和风险评估系统。
本实施例步骤102中,捕获这一动作应当理解为捕获网络设备间的通信流量,而非本实施例执行主体(例如,设备识别模块)与网络设备间的通信流量,也就是说,本实施例的方案是被动识别方案,执行主体并不主动发送信息以获得特定或不特定的网络设备的回应。
事实上,主动发送信息以进行识别的方案可以要求网络设备给出特定的回应,这种方案的执行主体在对应于步骤102的步骤中应当为发送识别信息并接收网络设备返回的响应信号,这种方案中,响应信号是针对执行主体的请求进行的,除设备识别外,并不包括其它的功能,因此存在着伪造虚假回应的可能,同时,对设备本身也将产生不安全的因素。
也就是说,主动探测会发送网络报文进行探测,这种行为虽然在一定程度上有助于发现潜在的安全问题,但也存在一些不安全因素,其中不安全的因素主要为以下几方面:
1.触发安全防御机制: 有些主动探测可能会被目标系统误认为是恶意行为,从而触发安全防御机制。例如,某些安全设备可能将主动扫描视为潜在的攻击行为,并对扫描来源进行封锁或限制。
2.影响网络性能: 大规模的主动探测活动可能导致网络拥塞,影响正常网络服务的可用性和性能。
3.合规问题:在一些场合中,部分网络是不允许主动探测的行为存在的。
而本实施例采用的被动识别的方案,捕获的流量是网络设备间通信以完成特定目的(例如,请求服务,请求数据,调用接口等),虚假流量将导致设备无法完成其既定目的,而未完成既定目的的流量同样能够被捕获,因此,被动识别的方案在可靠性方面更具优势。
本实施例中,对所述网络流量进行基于协议的拆分有赖于拆分依据的设置,在一种可选的实施方式中,可以以单个数据包内仅具有一种协议的数据作为划分依据,这种实施方式下,虽然单个数据包仅具有一种协议,但一种协议仍然可能具有多个协议类别,例如ICMP(Internet Control Message Protocol)协议可以解析得到网络设备的操作系统,还可以解析得到目标设备的网络可达性、延迟和丢包率等信息,从而为设备硬件识别提供基础,则可以理解ICMP协议既属于硬件识别协议,又属于操作系统识别协议。
具有多个协议类别、单个协议的数据包在步骤104针对不同类别执行时,可能被反复调用,仍然以ICMP协议的第一数据包为例,在步骤104针对硬件识别协议这一类别执行时,第一数据包将被调用,步骤104针对操作系统识别协议这一类别执行时,第一数据包再次被调用。
具有某些特定类别协议的数据包(记为第二数据包)可能在步骤104中完全不被调用,即第二数据包的协议不属于任何一个预设的协议类别,在这种实施方式下,步骤102中基于协议的拆分步骤还应当包括过滤协议不属于任何一个预设的协议类别的数据。
作为示例而非限定,下面将对一些协议的类别划分进行介绍。
1、硬件识别协议,包括:
SNMP(Simple Network Management Protocol):SNMP是用于网络设备管理的协议,可以通过解析SNMP协议、获取硬件设备的配置信息、性能指标、系统状态等。
ICMP(Internet Control Message Protocol):ICMP是用于在IP网络中传递控制消息的协议,可以通过解析ICMP协议,获取请求和接收响应来获取目标设备的网络可达性、延迟和丢包率等信息。
SSH(Secure Shell):SSH是一种加密的远程登录协议,通过解析SSH协议,查询设备的系统信息,包括硬件配置、操作系统版本等。
WMI(Windows Management Instrumentation):WMI是用于在Windows操作系统中管理设备和应用程序的基础架构,通过解析WMI协议,获取硬件设备的信息,如CPU、内存、硬盘等。
HTTP(Hypertext Transfer Protocol):虽然HTTP主要用于Web通信,但一些硬件设备也提供了基于HTTP的管理接口,通过解析HTTP协议,可以获取设备的信息和配置。
Modbus协议:Modbus是一种用于工业自动化系统的通信协议,可以通过解析Modbus协议,获取连接的硬件设备的状态和数据。
SNMPv3(Simple Network Management Protocol version 3):SNMP的安全版本,提供了加密和认证功能,解析SNMPv3协议,用于获取网络设备的详细配置和性能信息。
IPMI(Intelligent Platform Management Interface):用于远程管理服务器硬件的接口标准,通过解析IPMI协议,获取服务器的传感器数据、日志信息和系统状态。
NTP(Network Time Protocol):用于同步网络中设备的时间,通过解析NTP协议可以获得硬件设备的信息,如型号、制造商等。
SSDP(Simple Service Discovery Protocol):用于在局域网中发现UPnP(Universal Plug and Play)设备,通过解析SSDP协议,可以获取设备的基本信息和服务功能。
CoAP(Constrained Application Protocol):一种用于物联网设备通信的协议,通过解析CoAP协议,获取设备的传感器数据和状态信息。
LLDP(Link Layer Discovery Protocol):用于发现连接在局域网上的邻近设备,可以通过解析LLDP协议,可以获取设备的标识、接口信息和设备类型。
SMB(Server Message Block):一种用于在计算机网络上共享文件、打印机和其他资源的协议,可以通过解析SMB协议获取共享资源的信息和配置。
UPnP(Universal Plug and Play):用于自动发现和配置网络设备的协议,通过解析UPnP协议获取设备的描述信息和支持的服务功能。
SOAP(Simple Object Access Protocol):用于在网络上交换结构化的信息,通过解析SOAP协议,获取设备的状态和属性信息。
RDP(Remote Desktop Protocol):用于远程访问和控制计算机桌面的协议,通过解析RDP协议获取远程计算机的硬件信息和系统配置。
2、操作系统识别协议,包括:
HTTP(Hypertext Transfer Protocol):通过解析HTTP协议,可以获取服务器的User-Agent信息中的操作系统类型和版本号。
ICMP(Internet Control Message Protocol):通过解析ICMP协议,可以使用ICMP请求,获取目标主机的操作系统类型和网络配置信息。
SSH(Secure Shell):通过解析SSH协议,获取SSH的连接信息,获取远程主机的操作系统类型和版本号。
Telnet:通过解析Telnet协议,Telnet协议可以用于获取到连接主机的连接信息并获取操作系统信息。
SNMP(Simple Network Management Protocol):通过解析SNMP协议,可以获取网络设备的操作系统信息和性能指标。
WMI(Windows Management Instrumentation):通过解析WMI接口,可以获得操作系统的版本、安装的软件等信息。
SMB(Server Message Block):通过解析SMB协议,可以获取远程主机的操作系统信息。
LDAP(Lightweight Directory Access Protocol):通过解析LDAP协议,可以获取存储在目录中的操作系统相关信息。
NetBIOS(Network Basic Input/Output System):通过解析NetBIOS协议,可以在局域网中获取主机的操作系统和工作组名称等信息。
RDP(Remote Desktop Protocol):通过解析RDP协议,可以获得远程主机的操作系统信息。
DNS(Domain Name System):通过解析DNS协议,可以获取主机的操作系统信息,例如使用PTR记录查询。
DHCP(Dynamic Host Configuration Protocol):通过解析DHCP协议,可以获取DHCP服务器为客户端分配IP地址时,客户端的操作系统信息。
NTP(Network Time Protocol):通过解析NTP协议,类似于上述的硬件设备信息获取方式,可以获得某些NTP服务器的操作系统信息。
Finger:通过解析Finger协议,可以获得远程主机上的用户信息,有时也会包含操作系统信息。
SSDP(Simple Service Discovery Protocol):通过解析SSDP协议,类似于硬件设备信息获取方式,SSDP也可以获取主机的操作系统信息,特别是针对UPnP设备。
3、服务识别协议,包括:
DNS(Domain Name System):通过解析DNS协议,可以获取DNS查询服务的相关记录,如MX记录、SRV记录等来获取服务信息。
HTTP(Hypertext Transfer Protocol):通过解析HTTP协议,可以获取服务器的响应头信息中的服务类型和版本号。
FTP(File Transfer Protocol):通过解析FTP协议,可以通过FTP连接到服务器并获取服务器的响应信息中的服务类型和版本号。
SMTP(Simple Mail Transfer Protocol):通过解析SMTP协议,可用于获取电子邮件的传输信息,可以获取SMTP会话中的响应信息、获取邮件服务器的信息。
POP3(Post Office Protocol 3):类似于SMTP,POP3协议也用于电子邮件的传输,可以通过解析POP3协议,获取邮件服务器的信息。
IMAP(Internet Message Access Protocol):IMAP协议也用于电子邮件的传输和访问,通过解析IMAP的协议,获取邮件服务器的信息。
SNMP(Simple Network Management Protocol):可以通过解析SNMP协议,获取网络设备和服务的信息,包括服务类型和版本号。
NTP(Network Time Protocol):通过解析NTP协议,类似于上述的硬件设备信息获取方式,可以获得某些NTP服务器的操作系统信息。
SSH(Secure Shell):通过解析SSH协议,可以获取远程主机上运行的服务的信息。
Telnet:通过解析Telnet协议,可以获取主机上运行的服务的信息。
DNS-SD(DNS Service Discovery):DNS-SD协议用于服务的发现,可以通过解析DNS-SD协议获取局域网内可用的服务信息。
UPnP(Universal Plug and Play):UPnP协议中包含了配置网络中的设备信息和服务信息,可以通过解析UPnP协议查询获取设备和服务的信息。
IRC(Internet Relay Chat):IRC协议用于即时聊天,可以通过解析IRC协议获取聊天服务器的信息。
RPC(Remote Procedure Call):RPC协议用于远程过程调用,可以通过解析RPC协议获取远程服务器上运行的服务的信息。
SSL/TLS(Secure Sockets Layer/Transport Layer Security):通过SSL/TLS握手过程,解析相关协议获取服务的加密协议和版本号等信息。
4、客户端识别协议,包括
HTTP(Hypertext Transfer Protocol):解析HTTP协议,通过HTTP请求头中的User-Agent字段可以获取客户端的浏览器信息和操作系统信息。
SNMP(Simple Network Management Protocol):可以通过解析SNMP协议获取网络设备和客户端设备的信息,包括硬件类型、操作系统等。
DHCP(Dynamic Host Configuration Protocol):通过解析DHCP协议获取动态分配IP地址和配置网络参数,可以获取客户端的IP地址和MAC地址等信息。
DNS(Domain Name System):解析DNS协议可获取客户端的IP地址和主机名等信息。
DHCPv6(Dynamic Host Configuration Protocol for IPv6):类似于DHCP,DHCPv6用于IPv6地址和配置的动态分配,通过解析DHCPv6协议可以获取IPv6客户端的信息。
RADIUS(Remote Authentication Dial-In User Service):RADIUS协议用于用户身份验证和授权,通过解析RADIUS协议,可以获取客户端的身份信息。
SIP(Session Initiation Protocol):SIP协议用于建立、修改和终止多媒体会话,通过解析SIP协议,获取客户端的SIP地址和设备信息。
IMAP(Internet Message Access Protocol):类似于SMTP,IMAP协议也用于电子邮件的传输和访问,通过解析IMAP协议,可以获取客户端的信息。
POP3(Post Office Protocol 3):POP3协议也用于电子邮件的传输和访问,通过解析POP3协议,可以获取客户端的信息。
IRC(Internet Relay Chat):IRC协议用于即时聊天,通过解析IRC协议可以获取客户端的聊天客户端信息。
SSH(Secure Shell):通过解析SSH协议,可以获取客户端的操作系统信息和SSH客户端信息。
Telnet:通过解析Telnet协议可以获取到客户端的信息。
NTP(Network Time Protocol):NTP协议用于时间同步,通过解析NTP协议,可以获取客户端的时间和时区等信息。
VPN(Virtual Private Network):通过解析VPN协议可以获取客户端的IP地址和网络配置信息。
WMI(Windows Management Instrumentation):WMI协议用于管理和监控Windows操作系统,通过解析VMI协议可以获取客户端的硬件和操作系统信息。
值得说明的是,上述示例仅是本实施例的一个可选实施方式,在一些其它的可选实施方式中,还可以存在其它的未示出的协议类别。
本实施例的有益效果在于:
通过协议类别拆分网络流量为多个数据包,并根据同类协议的共有特质解析得到该类别下网络设备的解析结果,能够更为高效地实现网络流量的解析,同时,这种解析不依赖于识别主体的主动通信,通过网络设备之间的通信流量即可完成,具有更好的时效性;在此基础上,对于特定的网络设备,通过至少两个协议类别下的解析结果,能够更全面地获得该网络设备的特征,进而得到更准确的识别结果。
根据上述实施例,在又一实施例中:
所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤包括:
根据所述网络设备在至少两个所述协议类别下的解析结果,得到所述网络设备的特征向量;
在设备指纹库中确定与所述特征向量对应的设备指纹,并根据所述设备指纹得到第一结果;其中,所述设备指纹用于标识和区分所述网络设备。
所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤前,还包括:
通过如下步骤中的至少一个获取所述设备指纹库中的设备指纹:
以已知设备间通信产生的网络流量为输入,运行指纹模型得到所述设备指纹的至少一部分,其中,所述指纹模型是通过样本和标签训练得到的机器学习模型;
时序分析已知设备间的通信会话,得到所述设备指纹的至少一部分;
统计分析以已知设备间通信产生的网络流量,得到所述设备指纹的至少一部分。
值得说明的是,对于预期获取的设备指纹而言,不同类型的设备可能需要通过不同的方式(如上指出的时序分析、统计分析、机器学习,还可能存在其它未给出示例的方式)获取其指纹,反之,一些方式可能无法获得特定设备的指纹信息,因此,需要配置多维度的指纹获取方式。
本实施例中,需要首先构建设备指纹,从而实现基于设备指纹的识别,具体地:
设备指纹识别:通过分析流量中的特征信息,识别设备的唯一指纹,用于设备的标识和区分。流量特征和识别设备的唯一指纹的对应关系是通过对流量数据进行分析和建模来获得的。设备指纹是根据设备的网络行为和通信特征生成的唯一标识,用于识别和区分不同的设备。设备指纹是用于唯一标识设备的标识符,通过对设备的网络行为和通信特征进行建模和生成。
设备指纹可以包括设备的MAC地址、IP地址、操作系统信息、网络协议、设备类型等特征,以及基于流量分析和机器学习等技术生成的其他特征。设备指纹用于对设备进行唯一标识和区分,是识别设备的重要依据。与设备指纹相比,设备识别的结果是根据流量中提取的特征与设备指纹库中的对应关系进行匹配或分类的过程。设备识别的结果是确定流量所属的具体设备或设备类型。设备识别的过程涉及将流量特征转化为特征向量,并通过比对设备指纹库中的对应关系来确定流量的设备身份。设备识别的结果是对流量所属设备的判断和推断,用于设备管理、安全监测、流量分析等应用。针对流量相同或者相似的情况下,确定设备的唯一指纹可以利用使用更多的特征、统计分析、时序分析、机器学习和模型训练、多维度组合等多种方式方法来解决。
值得特别说明的是,虽然在同一个网段下,mac地址和设备信息是一一绑定关系,通过mac地址可识别到真实的设备,但是如果出现了跨路由、跨网段的情况,那么mac地址和设备之间的关系就不能做到严格对应,那么此时需要引入设备指纹中的其它特征,如IP等数据配合以多维度的形式定位到设备。
网络设备指纹库:维护一个设备指纹库,用于设备的匹配和识别。
作为示例而非限定,设备指纹的获取可以通过如下步骤实现。
设备指纹识别的过程是利用现有的存储操作系统指纹识别信息的数据库,接入流量,通过分析网络通信的特征来确定远程主机的操作系统类型的过程。获取流量指纹主要通过分析目标主机响应的流量来识别操作系统类型。
识别技术的主要步骤可分为:
(1)接入并解析流量:通过接入流量并提取流量中的各个关键信息(包括于操作系统相关的信息等)。
(2)与数据库进行匹配:从提取到的关键信息中获得其关键特征,并与数据库中的预定义指纹进行匹配,该数据库包含了大量已知的操作系统指纹,其中包括各种操作系统版本、内核版本、特定标志位等。
(3)确定设备指纹:根据匹配的数据信息,依据最佳匹配或匹配程度来确定主机的指纹。
特别需要注意的是,指纹识别技术是基于统计和模式匹配的,并且不是绝对准确的。有时候,目标主机可能会采取措施来混淆指纹识别,或者数据库中可能缺少某些特定操作系统的指纹,从而导致识别结果不准确。因此在匹配不到指纹库的情况下,设备指纹的识别是需要结合其它的方式来进行验证的。
进一步地,流量特征的示例性获取方案如下:
不同的设备之间的流量特征是不一样的,简单的来说明,MAC 地址是用于标识网络设备的物理地址,它由 12 个十六进制字符组成,通常以六组两个字符的形式表示(例如:00:1A:2B:3C:4D:5E)。其中,前三组字符表示设备制造商的唯一标识,也称为 MAC 地址的前缀。设备制造商通常会向 IEEE 注册其唯一的 MAC 地址前缀,以便在全球范围内识别和区分其生产的设备。因此,通过接入的流量并提取其关键的物理地址等信息,例如将mac的地址与设备信息的匹配库进行数据对应,通过匹配得到的设备制造商信息,我们可以推断出设备的类型和制造商。通常,不同制造商的设备可能有不同的流量行为或特征,因此通过设备制造商信息,可以初步了解设备的特征,也即流量的特征。
在上述两个示例的基础上,流量特征与指纹的匹配过程可以:针对指纹相似且设备制造商相同的情况,利用其它分析出来的信息去进行匹配和区分。
本实施例的有益效果在于:
通过引入预设的设备指纹库,使得特征向量与设备识别结果的对应关系更为明确,从而能够更为快速地得到第一结果;同时,设备指纹库的引入还为新设备识别、新方法识别提供了良好的迭代基础,可以通过更新设备指纹库的方式引入算法或设备上的更新。
通过多个维度(机器学习、时序分析、统计分析)构建设备指纹,能够使得流量相似地不同设备能够得以更好地区分,提升设备识别的精度。
根据上述实施例,在又一实施例中:
所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤后,还包括:
根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果;其中,所述第二结果是资产设备的识别结果,所述资产设备是一个或多个所述网络设备的载体。
可以理解,网络设备在一些实施例中被认为是布置在网络中的虚拟模块或实体设备,而资产设备通常被认为是实体设备,特别地,对于虚拟模块形式的网络设备而言,可能存在多个网络设备部署在同一个资产设备上。
所述根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果的步骤后,还包括:
根据所述第二结果,或者,根据所述第二结果和所述网络流量,建立所述资产设备和/或所述网络设备间的关系模型;其中,所述关系模型包括设备拓扑结构和通信关联信息。
参考上述资产识别和风险评估系统的执行主体示例,在这一示例的基础上,本实施例的附加特征可以理解为资产识别和风险评估系统中的资产发现模块,其算法说明如下:
基于流量解析和设备识别的结果,使用算法来发现和识别网络中的设备资产,其发现和识别的主要方式是通过流量解析和设备识别结果来获取,可具体分为流量解析、设备识别、设备指纹识别、资产信息获取。针对资产发现算法的具体操作可分为网络扫描、设备识别、设备指纹识别、资产信息整合几部分,其中设备发现和识别的准确性受多种因素的影响,包括网络环境、设备配置、设备类型多样性等。因此,在实际应用中,需要根据具体情况选择合适的算法和工具,并不断优化和更新识别规则,以提高发现和识别的准确性和覆盖范围。
进一步地,资产发现模块还包括一个建模单元,即:建立设备之间的关系模型,包括设备拓扑结构、通信关联等。
本实施例的有益效果在于:
在网络设备识别得到的特征的基础上,进行资产设备的识别,能够为网络中的资产管理和安全保护提供良好的基础。
在资产设备识别的基础上,构建关系模型,从而提供对设备特征和行为的深入理解,为网络管理和安全检测提供基础数据。
根据上述任一实施例,在又一实施例中:
所述根据所述第二结果,或者,根据所述第二结果和所述网络流量,建立所述资产设备和/或所述网络设备间的关系模型的步骤后,还包括:
根据所述关系模型得到所述资产设备和/或所述网络设备间的通信关系和交互模式,所述通信关系和所述交互模式用于识别潜在的网络攻击路径。
所述根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果的步骤后,还包括:
根据所述第二结果,或者,根据所述第二结果和所述网络流量,得到所述资产设备的画像;其中,所述画像包括所述资产设备的硬件配置、软件版本以及安全漏洞中的至少一个。
示例性地,下面将提供一获取资产画像的具体实施方式:
1.IP地址和Mac地址:从流量数据中提取Windows设备的IP地址和MAC地址。IP地址可以帮助我们确定设备在网络中的位置,而MAC地址可以帮助我们确定设备的制造商。
2.通过浏览器UA可以获取到:
(1)操作系统信息,User-Agent 中可能包含操作系统的类型和版本信息,例如 "Windows NT 10.0" 表示使用的是 Windows 10 操作系统。
(2)设备类型,在一些移动设备的User-Agent中,可能包含设备类型信息,例如"Mobile"表示是移动设备,"Tablet"表示是平板设备。
(3)引擎信息,User-Agent 中可能包含渲染引擎的信息,例如 "AppleWebKit/537.36" 表示使用的是 WebKit 渲染引擎。
(4)应用程序信息,有些应用程序发送的请求也会包含自己的 User-Agent 信息,以标识自己的应用程序版本和平台。
3.网络通信模式: 分析设备与其他主机之间的通信模式,例如是否有HTTP、DNS、SMTP等通信。
4.DNS解析: 分析设备的DNS解析请求,识别访问的域名和网络活动。
5.时间戳: 分析流量数据中的时间戳,以确定设备的活动时间模式。
6.加密流量: 分析是否有加密流量,可能暗示设备使用了安全通信协议(例如HTTPS)。
参考上述资产识别和风险评估系统的执行主体示例,在这一示例的基础上,本实施例的附加特征可以理解为资产识别和风险评估系统中的资产画像模块和资产关联分析模块。
资产关联分析模块的功能包括:
资产关联关系分析:分析设备之间的通信关系和交互模式,识别潜在的攻击路径和风险。
资产演变跟踪:跟踪设备的演化和变化,包括设备的新增、删除和配置变更等。
资产画像模块的功能包括:
资产信息采集:采集设备的基本信息,如操作系统、开放端口、服务和应用程序等。
资产特征提取:从流量数据中提取设备的行为特征、安全特征和性能特征等。
资产画像生成:根据资产信息和特征,生成设备的详细画像,包括硬件配置、软件版本、安全漏洞等。
本实施例的有益效果在于:
在资产设备识别的基础上,通过通信关系和交互模式明确信息路径,从而为潜在的网络攻击路径识别提供了良好的基础。
在资产设备识别的基础上,建立设备资产的细致画像,提供对设备特征和行为的深入理解,为网络管理和安全监测提供基础数据和洞察力。
根据上述任一实施例,下面将提供一完整、具体的实施例,以便更好地理解本申请方案。
本实施例中,执行主体为资产识别和风险评估系统,参考图2,该系统除上述实施例中提及的资产关联分析模块、资产画像模块、资产发现模块、设备识别模块外,还包括流量收集模块、流量解析模块以及数据存储和管理模块。
其中,流量收集模块可以理解为执行步骤102的主体,其具体功能包括:
网络流量捕获:通过网络嗅探、端口扫描等技术捕获网络流量数据。
流量数据过滤:对捕获到的流量数据进行过滤,去除无关或噪声数据。
流量数据存储:将经过过滤的流量数据存储起来,以便后续分析和处理。
流量解析模块可以理解为执行步骤104的主体,其具体功能包括:
流量协议解析:对捕获到的流量数据进行协议解析,提取出协议头部、载荷和元数据等信息。
流量重组和重构:将拆分的流量数据包重组和重构,以还原完整的通信会话。
图3示出了本实施例的模块应用流程图,参考图2:
网络中的流量收集方式可以分为网络流量捕获、网络流量过滤、网络流量存储三部分,通过这三部分来对网络资产测绘的过程进行分解处理,并通过这种方式获取到流量源数据,再通过后续的源数据进行不同维度的处理分析,进而对资产进行探测和资产画像。
从实际的资产发现和资产画像实施步骤上分析,首先需要解决的是通过抓包的方式来获得源流量,本实施例提供多种抓包方式以满足对流量通道的数据包进行捕获的需要,具体地,既可以利用wireshark等开源工具,也可以利用gopacket、jnetpcap等代码资源包进行流量抓包,制定相关的流量匹配规则,过滤得到最后需要分析的数据流量包。
结合工控现场环境,针对数据流量包的解析,可分为网络流量数据直接解析、网络指纹识别技术、应用层解析技术三种方法。
方法1-网络流量数据直接解析:通过网络数据直接解析可以mac,通过与建立的私有mac仓库进行比对,当匹配上mac后,这对不同的硬件厂商,对其进行特殊标记。
方法2-网络指纹识别技术:利用Nmap工具捕获攻击者的操作系统信息,其中涉及网络指纹识别技术大致有端口扫描分析、协议分析、应用指纹识别、TCP/IP堆栈指纹、ICMP(Internet Control Message Protocol)指纹识别等,利用这些网络指纹识别技术可以提取出攻击者的攻击特征、硬件信息、操作系统信息和应用程序的相关信息。
方法3-应用层解析技术:在这些识别技术的基础上还可以利用其它一些流量指纹数据来进行流量数据包的解析,包括针对SSH协议、MYSQL协议、SSL/TLS (Secure SocketsLayer/Transport Layer Security)等协议进行数据包的解析,获取攻击者的浏览器及主机信息等。具体包括:
(1)HTTP User-Agent 头部:当客户端通过 HTTP 协议发送请求时,请求头部中的User-Agent 字段通常包含有关客户端的信息,其中包括操作系统名称和版本号。
(2)DHCP(Dynamic Host Configuration Protocol):在计算机通过 DHCP 获取IP 地址时,DHCP 请求中包含客户端的标识信息,其中包括操作系统版本。
(3)SMB(Server Message Block):SMB 是一种用于文件和打印共享的协议。在SMB 通信过程中,客户端和服务器之间的通信包含有关客户端操作系统版本的信息。
(4)SNMP(Simple Network Management Protocol):SNMP 用于网络设备的管理和监控。SNMP 请求和响应中包含有关设备操作系统和版本的信息。
(5)DNS 请求:在域名解析的过程中,DNS 请求中的一些字段包含客户端的信息,其中包括操作系统版本。
(6)NTP(Network Time Protocol):NTP 用于同步计算机的时间。在 NTP 通信中,客户端和时间服务器之间的通信包含有关客户端操作系统版本的信息。
(7)ICMP(Internet Control Message Protocol):ICMP 是用于网络控制和错误报告的协议。某些 ICMP 消息包含有关发送该消息的设备的操作系统版本信息。
(8)RDP:会在握手或身份验证过程中传递操作系统相关信息。
(9)SSH:会在握手或身份验证过程中传递操作系统相关信息。
(10)MYSQL:包含客户端版本、客户端操作系统、服务端版本、服务器操作系统信息。
针对之前捕获的数据,在经历过一番数据过滤之后,得到了与资产相关的数据,包括设备信息、操作系统版本、应用程序列表、开放端口、网络流量数据等,再经过数据清洗和预处理操作,去除重复项、错误数据或无效数据,并进行数据格式化和标准化,以便后续的分析和建模。
下面将提供一个HTTP识别的具体示例。
User-Agent
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML,like Gecko) Chrome/114.0.0.0 Safari/537.36
提取信息
客户端
Chrome/114.0.0.0 Safari/537.36
硬件
x64
操作系统
Windows NT 10.0; Win64
请求地址
http://192.168.101.223:8081/api/base/captcha
提取信息
服务器地址
192.168.101.223
WEB服务端口
8081
对资产间的数据有了初步整理之后,通过对数据的关键特征进行提取,如设备类型、操作系统类型和版本、应用程序类型和版本、网络通信模式等,基于提取的特征数据,使用数据分析和建模技术进行资产画像。可以应用机器学习算法、统计分析方法或图像处理技术来识别模式、进行分类或聚类分析,以描绘出资产的特征和属性,最后利用检测规则对资产特征和属性进行安全分类并导入持久化存储库中,便于后续的程序调用。
本实施例的有益效果在于:
利用本工具可以准确发现和分类网络中的设备资产,对每个设备进行唯一标识和识别,生成详尽的设备画像,建立设备之间的关联关系和拓扑结构,检测异常流量和潜在安全威胁,关联分析安全事件和威胁情报,实现全面的资产数据管理和查询。这些技术效果有助于组织全面了解网络资产、快速发现安全威胁,并提供有效的安全管理和响应机制。同时,通过利用网络扫描和监测、设备日志分析、网络流量分析、主动探测和轮询的方式来动态的对设备资产的变换进行追踪,实时监控网络内的设备资产。
特别地,作为示例而非限定,本申请各实施例可以应用于:
1.企业网络安全:可用于企业内部网络的设备资产管理和安全防护,帮助企业发现潜在的安全威胁,并提供有效的安全事件分析和响应机制。
2.数据中心安全:适用于数据中心环境的设备资产发现和画像,帮助数据中心管理员准确了解和管理设备,提高整体安全性和可靠性。
3.云安全:可用于云环境中的设备资产管理和安全监测,提供全面的云安全画像和威胁分析,帮助用户保护云资源和数据的安全。
4.网络服务提供商:对于网络服务提供商来说,该技术可用于网络资产管理和网络安全监测,帮助提供更可靠的网络服务和安全保护。
5.安全产品和解决方案:该技术方案可用于开发各类网络安全产品和解决方案,为用户提供强大的安全防护功能和威胁分析能力。目前,各类主体对工业控制系统信息安全缺乏统一认识,部分运营单位和地方主管部门只注重生产效益而严重忽视信息安全隐患。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
对应于上文实施例所述的设备识别方法,图2示出了本申请实施例提供的设备识别装置的结构框图,为了便于说明,仅示出了与本申请实施例相关的部分。
参照图4,该装置包括:
捕获模块401,用于捕获网络流量,并对所述网络流量进行基于协议的拆分,得到多个数据包;所述数据包具有至少一个协议类别,所述协议类别包括硬件识别协议、操作系统识别协议、服务识别协议以及客户端识别协议;
解析模块402,用于解析所述协议类别相同的数据包集合,得到网络设备在所述协议类别下的解析结果;
识别模块403,用于根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果,所述第一结果为所述网络设备的识别结果。
在一个可选的实施方式中,识别模块403包括:
特征向量单元,用于根据所述网络设备在至少两个所述协议类别下的解析结果,得到所述网络设备的特征向量;
指纹比对单元,用于在设备指纹库中确定与所述特征向量对应的设备指纹,并根据所述设备指纹得到第一结果;其中,所述设备指纹用于标识和区分所述网络设备。
在一个可选的实施方式中,该装置还包括:
指纹获取模块,用于通过如下步骤中的至少一个获取所述设备指纹库中的设备指纹:
以已知设备间通信产生的网络流量为输入,运行指纹模型得到所述设备指纹的至少一部分,其中,所述指纹模型是通过样本和标签训练得到的机器学习模型;
时序分析已知设备间的通信会话,得到所述设备指纹的至少一部分;
统计分析以已知设备间通信产生的网络流量,得到所述设备指纹的至少一部分。
在一个可选的实施方式中,该装置还包括:
资产识别模块,用于根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果;其中,所述第二结果是资产设备的识别结果,所述资产设备是一个或多个所述网络设备的载体。
在一个可选的实施方式中,该装置还包括:
关系模型模块,用于根据所述第二结果,或者,根据所述第二结果和所述网络流量,建立所述资产设备和/或所述网络设备间的关系模型;其中,所述关系模型包括设备拓扑结构和通信关联信息。
在一个可选的实施方式中,该装置还包括:
潜在攻击模块,用于根据所述关系模型得到所述资产设备和/或所述网络设备间的通信关系和交互模式,所述通信关系和所述交互模式用于识别潜在的网络攻击路径。
在一个可选的实施方式中,该装置还包括:
资产画像模块,用于根据所述第二结果,或者,根据所述第二结果和所述网络流量,得到所述资产设备的画像;其中,所述画像包括所述资产设备的硬件配置、软件版本以及安全漏洞中的至少一个。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例还提供了一种终端设备,如图5所示,该终端设备50包括:至少一个处理器501、存储器502以及存储在所述存储器中并可在所述至少一个处理器上运行的计算机程序503,所述处理器执行所述计算机程序时实现上述任意各个方法实施例中的步骤。
本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在移动终端上运行时,使得移动终端执行时实现可实现上述各个方法实施例中的步骤。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质。例如U盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/网络设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/网络设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。

Claims (10)

1.一种设备识别方法,其特征在于,包括:
捕获网络流量,并对所述网络流量进行基于协议的拆分,得到多个数据包;所述数据包具有至少一个协议类别;其中,所述协议类别包括硬件识别协议、操作系统识别协议、服务识别协议以及客户端识别协议;
解析所述协议类别相同的数据包集合,得到网络设备在所述协议类别下的解析结果;
根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果,所述第一结果为所述网络设备的识别结果。
2.如权利要求1所述的设备识别方法,其特征在于,所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤包括:
根据所述网络设备在至少两个所述协议类别下的解析结果,得到所述网络设备的特征向量;
在设备指纹库中确定与所述特征向量对应的设备指纹,并根据所述设备指纹得到第一结果;其中,所述设备指纹用于标识和区分所述网络设备。
3.如权利要求2所述的设备识别方法,其特征在于,所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤前,还包括:
通过如下步骤中的至少一个获取所述设备指纹库中的设备指纹:
以已知设备间通信产生的网络流量为输入,运行指纹模型得到所述设备指纹的至少一部分,其中,所述指纹模型是通过样本和标签训练得到的机器学习模型;
时序分析已知设备间的通信会话,得到所述设备指纹的至少一部分;
统计分析已知设备间通信产生的网络流量,得到所述设备指纹的至少一部分。
4.如权利要求1至3中任一项所述的设备识别方法,其特征在于,所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤后,还包括:
根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果;其中,所述第二结果是资产设备的识别结果,所述资产设备是一个或多个所述网络设备的载体。
5.如权利要求4所述的设备识别方法,其特征在于,所述根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果的步骤后,还包括:
根据所述第二结果,或者,根据所述第二结果和所述网络流量,建立所述资产设备和/或所述网络设备间的关系模型;其中,所述关系模型包括设备拓扑结构和通信关联信息。
6.如权利要求5所述的设备识别方法,其特征在于,所述根据所述第二结果,或者,根据所述第二结果和所述网络流量,建立所述资产设备和/或所述网络设备间的关系模型的步骤后,还包括:
根据所述关系模型得到所述资产设备和/或所述网络设备间的通信关系和交互模式,所述通信关系和所述交互模式用于识别潜在的网络攻击路径。
7.如权利要求4所述的设备识别方法,其特征在于,所述根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果的步骤后,还包括:
根据所述第二结果,或者,根据所述第二结果和所述网络流量,得到所述资产设备的画像;其中,所述画像包括所述资产设备的硬件配置、软件版本以及安全漏洞中的至少一个。
8.一种设备识别装置,其特征在于,包括:
捕获模块,用于捕获网络流量,并对所述网络流量进行基于协议的拆分,得到多个数据包;所述数据包具有至少一个协议类别;其中,所述协议类别包括硬件识别协议、操作系统识别协议、服务识别协议以及客户端识别协议;
解析模块,用于解析所述协议类别相同的数据包集合,得到网络设备在所述协议类别下的解析结果;
识别模块,用于根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果,所述第一结果为所述网络设备的识别结果。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的方法。
CN202310982781.8A 2023-08-07 2023-08-07 设备识别方法、装置、设备及介质 Active CN116708253B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310982781.8A CN116708253B (zh) 2023-08-07 2023-08-07 设备识别方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310982781.8A CN116708253B (zh) 2023-08-07 2023-08-07 设备识别方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN116708253A CN116708253A (zh) 2023-09-05
CN116708253B true CN116708253B (zh) 2023-10-13

Family

ID=87836085

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310982781.8A Active CN116708253B (zh) 2023-08-07 2023-08-07 设备识别方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN116708253B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118368139B (zh) * 2024-06-13 2024-10-01 苏州元脑智能科技有限公司 一种群组管理方法、产品、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101605126A (zh) * 2008-06-11 2009-12-16 中国科学院计算技术研究所 一种多协议数据分类识别的方法和系统
CN104270392A (zh) * 2014-10-24 2015-01-07 中国科学院信息工程研究所 一种基于三分类器协同训练学习的网络协议识别方法及系统
CN111277570A (zh) * 2020-01-10 2020-06-12 中电长城网际系统应用有限公司 数据的安全监测方法和装置、电子设备、可读介质
CN113328985A (zh) * 2021-04-07 2021-08-31 西安交通大学 一种被动物联网设备识别方法、系统、介质及设备
CN113746849A (zh) * 2021-09-07 2021-12-03 深信服科技股份有限公司 一种网络中的设备识别方法、装置、设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9225732B2 (en) * 2011-11-29 2015-12-29 Georgia Tech Research Corporation Systems and methods for fingerprinting physical devices and device types based on network traffic

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101605126A (zh) * 2008-06-11 2009-12-16 中国科学院计算技术研究所 一种多协议数据分类识别的方法和系统
CN104270392A (zh) * 2014-10-24 2015-01-07 中国科学院信息工程研究所 一种基于三分类器协同训练学习的网络协议识别方法及系统
CN111277570A (zh) * 2020-01-10 2020-06-12 中电长城网际系统应用有限公司 数据的安全监测方法和装置、电子设备、可读介质
CN113328985A (zh) * 2021-04-07 2021-08-31 西安交通大学 一种被动物联网设备识别方法、系统、介质及设备
CN113746849A (zh) * 2021-09-07 2021-12-03 深信服科技股份有限公司 一种网络中的设备识别方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN116708253A (zh) 2023-09-05

Similar Documents

Publication Publication Date Title
Sivanathan et al. Can we classify an iot device using tcp port scan?
US8549650B2 (en) System and method for three-dimensional visualization of vulnerability and asset data
Natarajan et al. NSDMiner: Automated discovery of network service dependencies
Vigna et al. NetSTAT: A network-based intrusion detection system
US10547674B2 (en) Methods and systems for network flow analysis
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
US7761918B2 (en) System and method for scanning a network
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
CN116708253B (zh) 设备识别方法、装置、设备及介质
Husák et al. Security monitoring of http traffic using extended flows
CN113691566A (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
CN114611576A (zh) 电网中终端设备的精准识别技术
Vaarandi Detecting anomalous network traffic in organizational private networks
Musa et al. An investigation into peer-to-peer network security using wireshark
Haseeb et al. Iot attacks: Features identification and clustering
CN112333174B (zh) 一种反射型DDos的IP扫描探测系统
Sourour et al. Network security alerts management architecture for signature-based intrusions detection systems within a NAT environment
US11789743B2 (en) Host operating system identification using transport layer probe metadata and machine learning
Oujezsky et al. Modeling botnet C&C traffic lifespans from NetFlow using survival analysis
Spiekermann et al. Impact of virtual networks on anomaly detection with machine learning
Mukti et al. Integration of Low Interaction Honeypot and ELK Stack as Attack Detection Systems on Servers
Paravathi et al. Packet Sniffing
Burke et al. Tracking botnets on Nation Research and Education Network
Efiong et al. GRASSMARLIN-based Metadata Extraction of Cyber-Physical Systems Intrusion Detection in CyberSCADA Networks
Redding Using peer-to-peer technology for network forensics

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant