CN117439898B - 网络设备识别方法、网络设备识别设备和存储介质 - Google Patents
网络设备识别方法、网络设备识别设备和存储介质 Download PDFInfo
- Publication number
- CN117439898B CN117439898B CN202311774623.XA CN202311774623A CN117439898B CN 117439898 B CN117439898 B CN 117439898B CN 202311774623 A CN202311774623 A CN 202311774623A CN 117439898 B CN117439898 B CN 117439898B
- Authority
- CN
- China
- Prior art keywords
- rule
- level
- matching result
- open port
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000001514 detection method Methods 0.000 claims abstract description 15
- 230000004044 response Effects 0.000 claims description 32
- 238000005457 optimization Methods 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 5
- 206010033799 Paralysis Diseases 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 238000000605 extraction Methods 0.000 description 9
- 230000006399 behavior Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2425—Traffic characterised by specific attributes, e.g. priority or QoS for supporting services specification, e.g. SLA
- H04L47/2433—Allocation of priorities to traffic types
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络设备识别方法、网络设备识别设备和存储介质,属于网络安全技术领域。所述方法包括:识别目标设备的开放端口;确定规则级别,接收所述开放端口的报文,基于所述规则级别对所述报文进行规则识别,得到匹配结果;根据所述匹配结果,提取指纹,确定所述目标设备的识别结果。本申请通过多层级优化探测报文的发送顺序和数量,确保能够有效地识别目标设备的类型和属性,同时也极大地降低了对目标设备和网络的负担,进一步降低了网络拥塞和设备瘫痪的风险。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及网络设备识别方法、网络设备识别设备和计算机可读存储介质。
背景技术
网络设备识别是指通过分析网络中的流量、报文、设备指纹等信息,以确定网络中特定设备的过程。通过网络设备识别,可以获取关于网络拓扑、设备类型和属性等方面的信息,并建立与设备相关的知识库。
全量暴力扫描探测是一种通过发送大量预置的报文、请求不同的服务或协议,并观察设备的响应行为来推断设备类型和属性的网络设备识别方法。尽管这种方法在识别设备类型和属性方面较为全面,但它可能对目标网络造成负担。大量的探测报文通过网络传输,会占用大部分的网络带宽,由于网络设备无法及时处理和转发大量的报文,导致数据传输延迟增加、数据包丢失,并最终造成网络拥塞的问题。
上述内容仅用于辅助理解本申请的技术方案,并不代表承认上述内容是现有技术。
发明内容
本申请的主要目的在于提供一种网络设备识别方法,旨在解决由于发送大量的探测报文占用网络带宽,导致网络设备无法及时处理和转发大量的报文,进而造成网络拥塞的问题。
为实现上述目的,本申请提供一种网络设备识别方法,所述网络设备识别方法包括以下步骤:
识别目标设备的开放端口;
确定规则级别,接收所述开放端口的报文,基于所述规则级别对所述报文进行规则识别,得到匹配结果;
根据所述匹配结果,提取指纹,确定所述目标设备的识别结果。
可选地,所述规则级别为一级,所述确定规则级别,接收所述开放端口的报文,基于所述规则级别对所述报文进行规则识别,得到匹配结果的步骤包括:
监听所述开放端口,判断所述开放端口是否主动发送报文;
若所述开放端口未主动发送报文,则确定所述规则级别为二级;
若所述开放端口主动发送报文,则接收所述开放端口发送的报文,并基于一级规则进行规则识别,得到所述匹配结果;
判断所述匹配结果的命中特征,若所述匹配结果命中模糊特征,则确定所述规则级别为二级,否则,执行所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果的步骤。
可选地,所述规则级别为二级,所述确定规则级别,接收所述开放端口的报文,基于所述规则级别对所述报文进行规则识别,得到匹配结果的步骤包括:
判断所述开放端口的报文类型,基于所述报文类型和所述开放端口建立连接并发送对应的报文;
接收所述开放端口的响应报文,并基于二级规则进行规则识别,得到所述匹配结果。
可选地,所述报文类型为TCP/UDP报文,所述接收所述开放端口的响应报文,并基于二级规则进行规则识别,得到所述匹配结果的步骤包括:
判断是否接收到所述开放端口的响应报文,若未接收到所述响应报文,则确定所述规则级别为四级;
否则,接收所述开放端口的响应报文,并基于二级规则进行规则识别,得到所述匹配结果;
判断所述匹配结果的命中特征,若所述匹配结果未命中明确特征,所述识别结果为不能识别,否则,执行所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果的步骤。
可选地,所述报文类型为HTTP报文,所述HTTP报文的URI结构为IP与端口号,所述接收所述开放端口的响应报文,并基于二级规则进行规则识别,得到所述匹配结果的步骤包括:
判断是否接收到所述开放端口的响应报文,若未接收到所述响应报文,则确定所述规则级别为三级;
否则,接收所述开放端口的响应报文,并基于二级规则进行规则识别,得到所述匹配结果;
判断所述匹配结果的命中特征,若所述匹配结果的命中特征为模糊特征,确定所述规则级别为三级,否则,执行所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果的步骤。
可选地,所述规则级别为三级,所述确定规则级别,接收所述开放端口的报文,基于所述规则级别对所述报文进行规则识别,得到匹配结果的步骤包括:
发送特殊URI的HTTP报文至所述开放端口;
接收所述开放端口的响应报文,并基于三级规则进行规则识别,得到所述匹配结果;
判断所述匹配结果的命中特征,若所述匹配结果未命中明确特征,所述识别结果为不能识别,否则,执行所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果的步骤。
可选地,所述规则级别为四级,所述确定规则级别,接收所述开放端口的报文,基于所述规则级别对所述报文进行规则识别,得到匹配结果的步骤包括:
发送全量探测报文至所述开放端口;
接收所述开放端口的响应报文,并基于四级规则进行规则识别,得到所述匹配结果;
执行所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果的步骤。
可选地,所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果的步骤之后,还包括:
根据所述识别结果,提取其他指纹信息;
根据所述其他指纹信息,进行规则优化和扩展。
此外,为实现上述目的,本申请还提供一种网络设备识别设备,所述网络设备识别设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络设备识别程序,所述网络设备识别程序配置为实现如上所述的网络设备识别方法的步骤。
此外,为实现上述目的,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络设备识别程序,所述网络设备识别程序被处理器执行时实现如上所述的网络设备识别方法的步骤。
本申请通过在识别目标设备的开放端口后,根据优先级明确或模糊确定下一步需要发送的探测报文,有效地减少识别过程中对目标设备和目标网络的资源占用。在确定规则级别后,接收开放端口的报文,并基于规则级别对报文进行规则识别,得到匹配结果的方式,可以根据识别规则及结果动态调整发送的探测报文,排除大量无效的探测报文,进一步减少对目标设备和网络资源的占用,并提高了网络设备的识别效率和准确性。
附图说明
图1为本申请网络设备识别方法第一实施例的流程示意图;
图2为本申请网络设备识别方法第二实施例的流程示意图;
图3为本申请网络设备识别方法第一实施例的逻辑流程图;
图4为本申请实施例方案涉及的硬件运行环境的网络设备识别设备的结构示意图;
图5为本申请第一实施例中用于网络设备识别的任务树模型示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本申请。
本方法基于多层级规则的网络设备识别,通过识别目标设备的开放端口,并根据优先级明确或模糊确定下一步需要发送的探测报文,从而有效地减少了对目标设备和目标网络的资源占用。在确定规则级别后,接收开放端口的报文,并使用规则识别方法进行匹配,得到了相应的结果。根据这些匹配结果,我们可以动态地调整发送的探测报文,排除大量无效的探测报文,从而减少了对目标设备和网络资源的占用。
为了更好的理解上述技术方案,下面将参照附图更详细地描述本申请的示例性实施例。虽然附图中显示了本申请的示例性实施例,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
第一实施例
在通过全量暴力扫描探测的方法进行网络设备的识别时,大量的探测报文可能会对目标网络造成负担,甚至导致目标网络拥塞的问题。对于目标设备而言,大量的探测报文可能会超出其处理能力的范围,造成设备资源的极度占用,导致设备响应缓慢甚至无法正常运行的问题。
因此,本申请通过采用任务树的思想,当上一级报文符合判定特征时,根据预设规则进行下一级别的扫描和判定,直到任务树结束,从而实现网络设备的识别。
在本实施例中,基于图1示出的流程示意图,对本申请提出的网络设备识别方法,作进一步地解释说明。
参照图1,所述网络设备识别方法包括以下步骤:
步骤S100:识别目标设备的开放端口;
在本实施例中,目标设备的开放端口通常与设备的服务和协议相关联,可以提供有用的信息用于设备识别。
作为一种识别开放端口的可选实施方案,使用端口扫描工具,例如Nmap、Masscan等,对目标设备进行主动的端口扫描。这些工具通过发送特定的网络报文来测试目标设备的响应,从而确定设备上开放的端口。
在本实施方案中,当使用端口扫描工具识别目标设备的开放端口时,首先根据目标设备的IP地址或域名,通过执行扫描命令,将所配置的参数传递给端口扫描工具,并发起端口扫描操作。这会触发工具向目标设备发送特定的网络报文,以测试设备的响应。通过分析扫描工具返回的扫描结果,包括目标设备上开放的端口列表、响应时间、服务信息等,确定设备上开放的端口。
作为另一种识别开放端口的可选实施方案,在识别目标设备的开放端口时,在网络中设置被动监听器。通过监视目标设备与其他设备之间的通信,记录设备与外部进行通信的端口信息,并进一步分析和识别开放的端口。
可选地,还可以通过对目标设备的流量分析,根据其与网络中其他设备之间的通信模式和连接行为,获得目标设备的开放端口。
进一步地,识别目标设备的开放端口作为任务树的母节点,根据端口扫描结果,能够确定下一步进行规则识别的任务节点。如果存在开放端口,则进入规则识别的节点,如果不存在开放端口,则认为无法进行网络设备的识别。
步骤S200:确定规则级别,接收所述开放端口的报文,基于所述规则级别对所述报文进行规则识别,得到匹配结果;
在本实施例中,可以根据确定的规则级别和开放端口报文,使用规则集合对报文进行识别。每个级别的规则集合可以根据需求和准确性要求进行定义和调整。规则的准确性和严格度越高,可能能够提供更精确的设备识别结果。
需要说明的是,规则集合的具体形式和内容可能会因识别需求、规则级别和可用资源的不同而有所变化。
作为一种确定规则级别的可选实施方案,可以基于预设的规则集,根据开放端口的普遍性或特殊性,确定具体的规则级别。常见且广泛使用的开放端口可以使用较低级别规则进行识别,而不常见或特殊的开放端口可能需要较高级别的规则。
可选地,还可以根据设备识别的精确度要求,确定具体的规则级别。如果需要高精确度的设备识别结果,可能需要使用较高级别的规则,而如果精确度要求较低,可以使用较低级别的规则等。
需要说明的是,确定规则级别的方法和实施方案可以根据具体需求进行调整和自定义。考虑到不同的因素和要求,可以灵活选择合适的规则级别和规则集合,以获得满足精确度、性能和可行性等方面要求的设备识别结果。
进一步地,作为一种进行规则识别的具体实施方案,当基于一级规则进行规则识别时,首先需要监听网络设备开放端口,根据监听结果判定目标设备的开放端口是否主动发送报文。
作为一种监听开放端口的可选实施方案,通过网络流量监控工具,捕获并分析目标设备发送的报文。从报文的流量中可以观察到该端口主动发送的报文,也可以得到开放端口是否主动的结论。
可选地,在监听开放端口时,还可以通过抓包工具或网络安全设备进行。
若开放端口并未主动发送报文,则进入下一级别的规则识别,否则,接收该报文,根据一级规则进行特征匹配。根据特征匹配的规则,能够进一步确定后续步骤。若匹配结果命中明确特征,则结束规则识别的过程,若匹配结果命中模糊特征,同样进入下一级别的规则识别。
进一步地,当基于二级规则进行规则识别时,首先需要判断开放端口使用的报文类型,根据具体的报文类型,和开放端口建立连接并发送相应的报文以获取响应。通过接收响应报文,将响应报文根据二级规则进行特征匹配,得到匹配结果。
示例性地,当开放端口的报文类型为TCP(Transmission Control Protocol,传输控制协议)或UDP(User Datagram Protocol,用户数据协议)报文时,当发送相应的TCP或UDP报文至目标设备后。若目标设备没有响应,则根据任务树的规则,对目标设备基于四级规则进行规则识别。若接收到目标设备的响应报文,根据二级规则中的特征,进行特征匹配。根据匹配结果,在命中明确特征的情况下,结束识别,未命中明确特征的情况下,说明该网络设备不能识别。
示例性地,当开放端口的报文类型为HTTP(Hypertext Transfer Protocol,超文本传输协议)报文,并且访问目标设备时需要访问目标设备的特定端口的网页,该网页的URI(Uniform Resource Identifier,统一资源标识符)的组成结构为IP(InternetProtocol,网络协议)地址与端口号,例如:http://192.168.0.100:8808/的情况下,当发送相应的报文至目标设备后。若目标设备没有响应,对目标设备基于三级规则进行规则识别。若接收到目标设备的相应报文,根据二级规则中的特征,进行特征匹配。根据匹配结果,在命中模糊特征的情况下,同样对目标设备基于三级规则进行规则识别,否则,结束识别。
进一步地,当基于三级规则进行规则识别时,针对的是二级规则识别中无法通过IP和端口号组成的URI完成设备识别的情况。首先需要针对特殊URI发送HTTP报文至目标设备的开放端口,例如http://IP:12345/index.html等。接收开放端口的响应报文,根据三级规则的特征进行特征匹配。根据匹配结果,在命中明确特征的情况下,结束识别,否则,认定该目标设备不可识别。
进一步地,当基于四级规则进行规则识别时,针对的是二级规则识别中使用TCP或UDP报文进行通信的设备无响应的情况。针对该情况,可以直接发送全量报文进行探测。
在本实施方案中,参照图5,图5为本实施方案涉及的任务树模型示意图。通过上述任务树模型中多层级的规则识别和判定,在最后进行全量报文探测时,报文量已经通过逐级过滤,得到了大量减少和优化,同时仍然能够提取到重要的特征信息。
需要说明的是,根据实际需求和复杂程度,可以增加或减少任务树的层级。如果任务比较简单,可以将任务树简化为较少的层级;如果任务比较复杂,可以增加更多的层级以提高规则识别的精度。每个层级在识别上一个层级无法处理的情况时,应根据实际情况选择相应的任务节点进行进一步的规则识别。这可以根据目标设备、网络环境和识别要求来进行调整和排列。
在每个层级的任务节点中,明确特征是指可以直接匹配的特定值或模式,而模糊特征是指可能存在多种变体或选择性的特征。规则应包括明确特征和模糊特征,以充分考虑设备和网络的变化。
步骤S300:根据所述匹配结果,提取指纹,确定所述目标设备的识别结果。
在本实施例中,根据匹配结果,可进一步进行指纹提取,提取设备的特定信息,如厂商名称、型号、操作系统版本等。将指纹信息与已知的设备数据库进行匹配,确定目标设备的具体识别结果。
作为一种提取指纹的可选实施方案,在进行指纹提取时,针对设备信息的特定格式,进行解析和提取。例如,对于厂商名称、型号和操作系统版本,可以编写相应的解析规则,从匹配结果中提取出特定的设备标识符、版本标识符等信息。
作为另一种可选实施方案,对于特定的协议,进行深入解析并提取设备指纹信息。例如,在HTTP协议中,可以解析用户代理字段来识别设备的厂商和型号。
可选地,还可以通过深度包分析技术,对报文进行全面解读,提取各个层次的设备信息,例如,可以根据协议字段、报文结构等特征进行指纹提取和设备信息的识别。
进一步地,还可以通过智能引擎,结合多种指纹提取技术和数据源,进行综合的指纹识别。智能引擎可以集成多个数据源和识别算法,通过综合分析和判定,产生更准确、全面的设备指纹和识别结果。
在本实施例公开的技术方案中,参照图3,图3为本实施例的逻辑流程图。通过充分利用多层级规则和筛选机制,能够在网络设备识别中提高识别的效率和准确性,同时降低了资源消耗,为网络设备识别提供了一种高效可行的方案,一定程度上避免了网络拥塞和网络设备瘫痪的问题。
第二实施例
基于同一发明构思,本方案还提供了第二实施例。在本实施例中,基于图2示出的流程示意图,对本申请网络设备识别方法,作进一步的解释说明。
参照图2,所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果之后,还包括:
步骤S400:根据所述识别结果,提取其他指纹信息;
在本实施例中,根据识别结果能够获取目标设备的基本信息,如设备类型、操作系统以及应用程序等。这些信息可以作为后续指纹信息提取的基础。借助已有的指纹库或规则集来提取其他指纹信息。这些指纹库可以包含设备的特征、标识和行为等信息。根据设备类型和操作系统,选择相应的指纹库用于提取其他指纹信息。
示例性地,在提取操作系统指纹时,利用设备的操作系统类型和版本信息,进一步提取操作系统指纹信息。根据设备的操作系统类型和版本信息,将其与操作系统指纹库中的指纹信息进行匹配。可以使用字符串匹配算法或正则表达式来实现匹配过程。一旦匹配成功,可以从操作系统指纹库中提取相关的指纹信息。这些信息可以涵盖操作系统的补丁级别、内核版本、特殊功能标志和配置选项等。
示例性地,在提取应用程序指纹时,根据已知设备的应用程序类型和版本信息,可以推断设备上可能运行的其他应用程序。根据已知应用程序类型和版本信息,将其与应用程序指纹库中的指纹信息进行匹配。一旦匹配成功,可以从应用程序指纹库中获取相关的其他应用程序信息。这些信息可以涵盖其他应用程序的类型、版本、特定特征以及可能的安全漏洞等。
示例性地,通过分析设备的网络流量、协议使用和配置信息,提取相关的指纹信息。例如,识别设备的协议扩展功能、配置选项和网络拓扑等。可以使用已有的网络协议和配置指纹库或规则集进行匹配和提取。
步骤S500:根据所述其他指纹信息,进行规则优化和扩展。
在本实施例中,通过规则优化和扩展,可以提高指纹匹配和识别的准确性和覆盖范围,从而更全面地了解设备和应用程序的特征和行为。
作为一种进行规则优化扩展的可选实施方案,当提取到其他指纹信息时,首先根据其他指纹信息,识别和提取出潜在的关键特征。这可以通过深度学习等技术实现。选择最具区分度和重要性的特征,作为规则优化的基础。其次,将不同特征进行组合和组织,以构建更加全面和准确的规则。可以基于特征之间的关联性和相关性,设计合适的组合方式,提高规则对于复杂情况的适应性。
作为另一种进行规则优化扩展的可选实施方案,可以基于行为模式进行识别。通过观察设备的行为模式,如访问模式、通信模式、流量模式等,将其作为指纹信息的一部分。基于设备的独特行为模式,创建规则以进行设备识别,并持续更新和验证这些规则。
进一步地,还可以通过分析网络拓扑信息,识别设备之间的关联关系,如设备的父子关系、邻居关系等。这有助于进一步优化规则,以提高设备识别的准确性,特别是在复杂网络环境中。
进一步地,在进行规则的优化和更新后,还需要根据实际应用程序和设备的发展和更新,定期更新和验证指纹库。跟踪新发布的应用程序、协议扩展、配置选项和新特性等,以及常见的安全漏洞和风险,将相关的指纹信息及时更新到指纹库中。
进一步地,在完成网络设备的识别后,通过分析指纹匹配的结果和统计数据,例如识别成功率、误识别率、漏识别率等,以发现规则的漏洞和不足之处。根据分析结果,对规则进行进一步优化和调整。
在本实施例公开的技术方案中,通过规则优化和扩展,可以提高指纹匹配和识别的准确性和覆盖范围,从而更全面地了解设备和应用程序的特征和行为。这有助于进一步提高应用程序指纹提取的效果和安全识别的可靠性。
参照图4,图4为本申请实施例方案涉及的硬件运行环境的网络设备识别设备结构示意图。
如图4所示,该网络设备识别设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图4中示出的结构并不构成对网络设备识别设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图4所示,作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及网络设备识别程序。
在图4所示的网络设备识别设备中,网络接口1004主要用于与其他设备进行数据通信;用户接口1003主要用于与用户进行数据交互;本申请网络设备识别设备中的处理器1001、存储器1005可以设置在网络设备识别设备中,所述网络设备识别设备通过处理器1001调用存储器1005中存储的网络设备识别程序,并执行本发明实施例提供的网络设备识别方法。
此外,为实现上述目的,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络设备识别程序,所述网络设备识别程序被处理器执行时实现如上所述的网络设备识别方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述 实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通 过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体 现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光 盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (9)
1.一种网络设备识别方法,其特征在于,所述网络设备识别方法包括以下步骤:
识别目标设备的开放端口;
确定规则级别,接收所述开放端口的报文,基于所述规则级别对所述报文进行规则识别,得到匹配结果;
根据所述匹配结果,提取指纹,确定所述目标设备的识别结果;
其中,当所述规则级别为一级时,所述确定规则级别,接收所述开放端口的报文,基于所述规则级别对所述报文进行规则识别,得到匹配结果的步骤包括:
监听所述开放端口,判断所述开放端口是否主动发送报文;
若所述开放端口未主动发送报文,则确定所述规则级别为二级;
若所述开放端口主动发送报文,则接收所述开放端口发送的报文,并基于一级规则进行规则识别,得到所述匹配结果;
判断所述匹配结果的命中特征,若所述匹配结果命中模糊特征,则确定所述规则级别为二级,否则,执行所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果的步骤。
2.如权利要求1所述的网络设备识别方法,其特征在于,当所述规则级别为二级时,所述确定规则级别,接收所述开放端口的报文,基于所述规则级别对所述报文进行规则识别,得到匹配结果的步骤包括:
判断所述开放端口的报文类型,基于所述报文类型和所述开放端口建立连接并发送对应的报文;
接收所述开放端口的响应报文,并基于二级规则进行规则识别,得到所述匹配结果。
3.如权利要求2所述的网络设备识别方法,其特征在于,所述报文类型为TCP或UDP报文,所述接收所述开放端口的响应报文,并基于二级规则进行规则识别,得到所述匹配结果的步骤包括:
判断是否接收到所述开放端口的响应报文,若未接收到所述响应报文,则确定所述规则级别为四级;
否则,接收所述开放端口的响应报文,并基于二级规则进行规则识别,得到所述匹配结果;
判断所述匹配结果的命中特征,若所述匹配结果未命中明确特征,所述识别结果为不能识别,否则,执行所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果的步骤。
4.如权利要求2所述的网络设备识别方法,其特征在于,所述报文类型为HTTP报文,所述HTTP报文的URI结构为IP与端口号,所述接收所述开放端口的响应报文,并基于二级规则进行规则识别,得到所述匹配结果的步骤包括:
判断是否接收到所述开放端口的响应报文,若未接收到所述响应报文,则确定所述规则级别为三级;
否则,接收所述开放端口的响应报文,并基于二级规则进行规则识别,得到所述匹配结果;
判断所述匹配结果的命中特征,若所述匹配结果的命中特征为模糊特征,确定所述规则级别为三级,否则,执行所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果的步骤。
5.如权利要求1所述的网络设备识别方法,其特征在于,所述规则级别为三级,所述确定规则级别,接收所述开放端口的报文,基于所述规则级别对所述报文进行规则识别,得到匹配结果的步骤包括:
发送特殊URI的HTTP报文至所述开放端口;
接收所述开放端口的响应报文,并基于三级规则进行规则识别,得到所述匹配结果;
判断所述匹配结果的命中特征,若所述匹配结果未命中明确特征,所述识别结果为不能识别,否则,执行所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果的步骤。
6.如权利要求1所述的网络设备识别方法,其特征在于,所述规则级别为四级,所述确定规则级别,接收所述开放端口的报文,基于所述规则级别对所述报文进行规则识别,得到匹配结果的步骤包括:
发送全量探测报文至所述开放端口;
接收所述开放端口的响应报文,并基于四级规则进行规则识别,得到所述匹配结果;
执行所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果的步骤。
7.如权利要求1所述的网络设备识别方法,其特征在于,所述根据所述匹配结果,提取指纹,确定所述目标设备的识别结果的步骤之后,还包括:
根据所述识别结果,提取其他指纹信息;
根据所述其他指纹信息,进行规则优化和扩展。
8.一种网络设备识别设备,其特征在于,所述网络设备识别设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络设备识别程序,所述网络设备识别程序配置为实现如权利要求1至7中任一项所述的网络设备识别方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络设备识别程序,所述网络设备识别程序被处理器执行时实现如权利要求1至7任一项所述的网络设备识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311774623.XA CN117439898B (zh) | 2023-12-22 | 2023-12-22 | 网络设备识别方法、网络设备识别设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311774623.XA CN117439898B (zh) | 2023-12-22 | 2023-12-22 | 网络设备识别方法、网络设备识别设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117439898A CN117439898A (zh) | 2024-01-23 |
| CN117439898B true CN117439898B (zh) | 2024-03-12 |
Family
ID=89556974
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311774623.XA Active CN117439898B (zh) | 2023-12-22 | 2023-12-22 | 网络设备识别方法、网络设备识别设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117439898B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6741974B1 (en) * | 2000-06-02 | 2004-05-25 | Lockheed Martin Corporation | Genetically programmed learning classifier system for complex adaptive system processing with agent-based architecture |
| CN101500012A (zh) * | 2009-02-27 | 2009-08-05 | 中国人民解放军信息工程大学 | 一种报文分类方法和系统 |
| CN101562612A (zh) * | 2009-05-26 | 2009-10-21 | 中兴通讯股份有限公司 | 一种构造匹配规则表及识别报文类型的方法和装置 |
| CN102255874A (zh) * | 2010-05-19 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种安全接入方法及汇聚设备 |
| CN112380253A (zh) * | 2020-11-12 | 2021-02-19 | 北京知道创宇信息技术股份有限公司 | 报文规则匹配方法、装置、电子设备和可读存储介质 |
| CN113949748A (zh) * | 2021-10-15 | 2022-01-18 | 北京知道创宇信息技术股份有限公司 | 一种网络资产识别方法、装置、存储介质及电子设备 |
| WO2023029871A1 (zh) * | 2021-08-30 | 2023-03-09 | 华为技术有限公司 | 发送报文的方法、发送报文的控制方法及装置 |
| CN115955347A (zh) * | 2022-12-21 | 2023-04-11 | 北京天融信网络安全技术有限公司 | 一种入侵防御规则处理方法、装置、设备及介质 |
| CN116405578A (zh) * | 2023-03-07 | 2023-07-07 | 杭州迪普科技股份有限公司 | 一种资产识别方法及装置 |
-
2023
- 2023-12-22 CN CN202311774623.XA patent/CN117439898B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6741974B1 (en) * | 2000-06-02 | 2004-05-25 | Lockheed Martin Corporation | Genetically programmed learning classifier system for complex adaptive system processing with agent-based architecture |
| CN101500012A (zh) * | 2009-02-27 | 2009-08-05 | 中国人民解放军信息工程大学 | 一种报文分类方法和系统 |
| CN101562612A (zh) * | 2009-05-26 | 2009-10-21 | 中兴通讯股份有限公司 | 一种构造匹配规则表及识别报文类型的方法和装置 |
| CN102255874A (zh) * | 2010-05-19 | 2011-11-23 | 杭州华三通信技术有限公司 | 一种安全接入方法及汇聚设备 |
| CN112380253A (zh) * | 2020-11-12 | 2021-02-19 | 北京知道创宇信息技术股份有限公司 | 报文规则匹配方法、装置、电子设备和可读存储介质 |
| WO2023029871A1 (zh) * | 2021-08-30 | 2023-03-09 | 华为技术有限公司 | 发送报文的方法、发送报文的控制方法及装置 |
| CN113949748A (zh) * | 2021-10-15 | 2022-01-18 | 北京知道创宇信息技术股份有限公司 | 一种网络资产识别方法、装置、存储介质及电子设备 |
| CN115955347A (zh) * | 2022-12-21 | 2023-04-11 | 北京天融信网络安全技术有限公司 | 一种入侵防御规则处理方法、装置、设备及介质 |
| CN116405578A (zh) * | 2023-03-07 | 2023-07-07 | 杭州迪普科技股份有限公司 | 一种资产识别方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 杜俏俏 ; 王建 ; 赵悦 ; 宋乐 ; .基于众核网络处理器的用户语义识别系统.计算机技术与发展.(07),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117439898A (zh) | 2024-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210097113A1 (en) | Client application fingerprinting based on analysis of client requests | |
| CN109067586B (zh) | DDoS攻击检测方法及装置 | |
| Abutair et al. | CBR-PDS: a case-based reasoning phishing detection system | |
| US20070016960A1 (en) | NTO input validation technique | |
| CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
| CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN109905288A (zh) | 一种应用服务分类方法及装置 | |
| CN110704816B (zh) | 接口破解的识别方法、装置、设备及存储介质 | |
| CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| CN113704772B (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
| CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
| CN113746804B (zh) | Dns隐蔽信道检测方法、装置、设备及存储介质 | |
| KR102189127B1 (ko) | 행위 기반 룰 처리 장치 및 그 처리 방법 | |
| CN112367340B (zh) | 一种内网资产风险评估方法、装置、设备及介质 | |
| CN112702321B (zh) | 分布式交易限流方法、装置、设备及存储介质 | |
| CN117439898B (zh) | 网络设备识别方法、网络设备识别设备和存储介质 | |
| Lampesberger et al. | An on-line learning statistical model to detect malicious web requests | |
| US9843559B2 (en) | Method for determining validity of command and system thereof | |
| CN110851828A (zh) | 基于多维度特征的恶意url监测方法、装置和电子设备 | |
| CN115296892B (zh) | 数据信息服务系统 | |
| CN108650274B (zh) | 一种网络入侵检测方法及系统 | |
| CN111314326A (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
| CN116192527A (zh) | 攻击流量检测规则生成方法、装置、设备及存储介质 | |
| WO2023060664A1 (zh) | 异常设备识别方法、装置、计算机设备和存储介质 | |
| CN115442109A (zh) | 网络攻击结果的确定方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |