CN117499267B - 网络设备的资产测绘方法、设备及存储介质 - Google Patents

网络设备的资产测绘方法、设备及存储介质 Download PDF

Info

Publication number
CN117499267B
CN117499267B CN202311841990.7A CN202311841990A CN117499267B CN 117499267 B CN117499267 B CN 117499267B CN 202311841990 A CN202311841990 A CN 202311841990A CN 117499267 B CN117499267 B CN 117499267B
Authority
CN
China
Prior art keywords
asset
message
information
target
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311841990.7A
Other languages
English (en)
Other versions
CN117499267A (zh
Inventor
陈缘
董兴水
周悦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Everything Safety Technology Co ltd
Original Assignee
Shenzhen Everything Safety Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Everything Safety Technology Co ltd filed Critical Shenzhen Everything Safety Technology Co ltd
Priority to CN202311841990.7A priority Critical patent/CN117499267B/zh
Publication of CN117499267A publication Critical patent/CN117499267A/zh
Application granted granted Critical
Publication of CN117499267B publication Critical patent/CN117499267B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了网络设备的资产测绘方法、设备及存储介质,涉及网络安全技术领域,该方法包括:在所述网络通信设备接收到网络设备发送的报文后,根据预设筛选规则确定对应的目标报文;所述网络通信设备将所述目标报文发送至所述探测服务器;在所述探测服务器的系统中确定已探测设备的资产数据,并根据接收到的所述目标报文的解析数据,确定对应的对比结果;根据所述对比结果维护资产测绘统计报告并保存。解决了无法发现错误配置IP地址的资产设备的技术问题,从而可以识别影子资产。

Description

网络设备的资产测绘方法、设备及存储介质
技术领域
本申请涉及网络安全技术领域,尤其涉及网络设备的资产测绘方法、设备及存储介质。
背景技术
资产测绘是指通过技术手段探测互联网或企业的网络空间中的网络资产,其中包括设备名称、设备IP(Internet Protocol,互联网协议)、设备类型、操作系统、生产厂商、开放端口以及通信协议等信息。
在相关的资产测绘的方案中,一般是通过部署二层或者三层的探测设备,主动发送报文或者联动网络设备等方式,向处于局域网中的在线设备发送对应的报文,从而获取到在线设备的资产信息。由于主动探测需要通过路由器并基于IP地址连接在线设备,而联动网络设备探测网络设备,则需要流量经过网关设备或者同网段设备,二者都需要确定网络设备的IP地址,对于没有配置正确IP地址就接入局域网的网络设备,主动探测不能及时发现并记录资产设备,这导致无法发现错误配置IP地址的资产设备。
上述内容仅用于辅助理解本申请的技术方案,并不代表承认上述内容是现有技术。
发明内容
本申请提供一种网络设备的资产测绘方法、设备及存储介质,旨在解决无法发现错误配置IP地址的资产设备的问题。
为实现上述目的,本申请提供的一种网络设备的资产测绘方法,应用于资产测绘系统,所述资产测绘系统设置有网络通信设备,以及探测服务器,所述网络设备的资产测绘方法包括以下步骤:
在所述网络通信设备接收到网络设备发送的报文后,根据预设筛选规则确定对应的目标报文;
所述网络通信设备将所述目标报文发送至所述探测服务器;
在所述探测服务器的系统中确定已探测设备的资产数据,并根据接收到的所述目标报文的解析数据,确定对应的对比结果;
根据所述对比结果维护资产测绘统计报告并保存。
可选地,所述在所述探测服务器的系统中确定已探测设备的资产数据,并根据接收到的所述目标报文的解析数据,确定对应的对比结果的步骤包括:
获取所述探测服务器中的所述资产数据,并于所述资产数据中确定第一识别特征;
根据所述目标报文的各层级信息进行逐层报文解析并生成第二识别特征,其中,所述各层级信息包括数据链路层、传输层、网络层以及应用层;
于所述第一识别特征中查找是否存在与所述第二识别特征不匹配的目标识别特征,若存在,获取所述目标识别特征;
根据所述目标识别特征确定对应的设备信息,将所述设备信息与所述目标识别特征关联并确定为目标资产数据。
可选地,所述根据所述目标报文的各层级信息进行逐层报文解析并生成第二识别特征的步骤之后,还包括:
于所述第一识别特征和所述第二识别特征中确定匹配的识别特征,并根据所述识别特征确定对应的IP地址;
将所述IP地址通过所述探测服务器反馈至对应的网络设备,以使所述网络设备根据所述IP地址更改配置信息。
可选地,所述根据所述目标识别特征确定对应的设备信息,将所述设备信息与所述目标识别特征关联并确定为目标资产数据的步骤之后,还包括:
获取所述目标资产数据;
根据所述探测服务器上的行为分析模块确定所述目标资产数据对应的行为信息和威胁信息;
根据所述行为信息和所述威胁信息,并基于预设威胁评估模型生成威胁评估报告。
可选地,所述根据所述对比结果维护资产测绘统计报告并保存的步骤包括:
所述根据所述对比结果维护资产测绘统计报告并保存的步骤包括:
当所述对比结果为存在与所述资产数据不匹配的所述解析数据时,将不匹配的所述解析数据补充至所述资产测绘统计报告;
否则,获取与所述解析数据匹配的所述资产数据的目标IP地址,并根据所述目标IP地址修改所述解析数据对应的网络设备的地址信息。
可选地,所述根据所述行为信息和所述威胁信息,并基于预设威胁评估模型生成威胁评估报告的步骤之后,还包括:
获取所述资产测绘统计报告,以及获取所述威胁评估报告;
将所述资产测绘统计报告和所述威胁评估报告关联,并确定各资产数据的威胁系数;
根据所述威胁系数的优先级生成所述各资产数据的排序队列,并确定处于预设位置的风险资产数据;
将所述风险资产数据与对应的目标威胁评估报告关联并发送至对应的运维端,以使所述运维端根据所述目标威胁评估报告制定所述风险资产数据对应的控制策略。
可选地,所述根据预设筛选规则确定对应的目标报文的步骤包括:
获取所述报文对应的报文信息,并确定报文筛选规则;
当所述报文信息符合所述报文筛选规则中的任一项时,判断所述报文信息符合,并将所述报文信息对应的报文确定为目标报文。
可选地,所述在所述网络通信设备接收到网络设备发送的报文后,根据预设筛选规则确定对应的目标报文的步骤之前,还包括:
获取配置规则信息,所述配置规则信息包括地址参数、协议参数以及端口参数;
根据所述配置规则信息生成报文筛选规则并保存,其中,所述报文筛选规则为所述配置规则信息中的各参数对应的预设范围。
此外,为实现上述目的,本申请还提供一种网络设备的资产测绘设备,所述网络设备的资产测绘设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络设备的资产测绘程序,所述网络设备的资产测绘程序配置为实现如上所述的网络设备的资产测绘方法的步骤。
此外,为实现上述目的,本申请还提供一种存储介质,所述存储介质上存储有网络设备的资产测绘程序,所述网络设备的资产测绘程序被处理器执行时实现如上所述的网络设备的资产测绘方法的步骤。
本申请提供网络设备的资产测绘方法、设备及存储介质,在所述网络通信设备接收到网络设备发送的报文后,根据预设筛选规则确定对应的目标报文,然后由所述网络通信设备将所述目标报文发送至所述探测服务器,从而在所述探测服务器的系统中确定已探测设备的资产数据,并根据接收到的所述目标报文的解析数据,确定对应的对比结果,最后根据所述对比结果维护资产测绘统计报告并保存,以实现识别影子资产。
附图说明
图1为本申请网络设备的资产测绘方法的第一实施例的流程示意图;
图2为本申请实施例方案涉及的网络拓扑图;
图3为本申请网络设备的资产测绘方法的第二实施例的流程示意图;
图4为本申请网络设备的资产测绘方法的第三实施例的流程示意图;
图5为本申请实施例涉及的网络设备的资产测绘设备的硬件运行环境的架构示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图作进一步说明。
具体实施方式
本申请的网络设备的资产测绘方法,在所述网络通信设备接收到网络设备发送的报文后,根据预设筛选规则确定对应的目标报文;所述网络通信设备将所述目标报文发送至所述探测服务器;在所述探测服务器的系统中确定已探测设备的资产数据,并根据接收到的所述目标报文的解析数据,确定对应的对比结果;根据所述对比结果维护资产测绘统计报告并保存,解决了无法发现错误配置IP地址的资产设备的技术问题,从而可以识别影子资产。
当局域网中的某些网络设备,因为人工失误或者机器故障导致没有配置正确的IP地址,通过不正确的IP地址接入到所在的网络环境中时,传统的资产探测设备无法正常发现这些设备,从而形成影子资产,即无法被正常发现的网络设备。
为了更好的理解上述技术方案,下面将参照附图更详细地描述本申请的示例性实施例。虽然附图中显示了本申请的示例性实施例,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
实施例一
请参照图1,在第一实施例中,所述网络设备的资产测绘方法包括以下步骤:
步骤S10:在所述网络通信设备接收到网络设备发送的报文后,根据预设筛选规则确定对应的目标报文。
在本实施例中,所述网络设备需要先接入局域网,通过将所述网络设备的以太网端口连接到局域网中的所述网络通信设备上,或者以无线的方式,通过认证完成后接入所述局域网。所述网络通信设备包括但不限于交换机、路由器以及网关设备等用于实现网络通信和数据传输的设备,所述网络设备包括但不限于PC设备以及摄像机等有一定价值的设备。在所述网络设备接入所述局域网后,会基于网络协议在所述局域网中发送报文,所述网络通信设备通过接收该报文,并通过预先配置的筛选规则进而筛选出符合的目标报文。
应当理解的是,所述网络设备连接局域网后,通常会发送连接报文,确认连接状态并通知局域网中的其他设备。在确认连接后,会基于SSDP(Simple Service DiscoveryProtocol,简单服务发现协议)协议,在所述局域网中发送报文。SSDP是一种基于IP的发现协议,用于在网络中寻找设备和服务。它使用UDP(User Datagram Protocol,用户数据报协议)广播消息来发现设备和服务。还可以基于MDNS(Multicast DNS,多播DNS)协议发送报文,其中,MDNS是一种零配置服务,使用与单播域名系统DNS基本相同的编程接口,数据包格式和操作语义,可以允许系统在局域网中广播查询其他资源的名称,从而使网络通信设备可以通过报文接收到所述网络设备的配置信息。
作为一种可选地实施方式,所述网络通信设备获取到所述网络设备发送的报文的方式,还可以是网络通信设备向局域网内的各网络设备发送报文获取请求,从而获取各网络设备的报文,通过由网络通信设备向处于局域网中的网络设备发送请求,并在获取阶段就对报文进行筛选,从而提高获取报文的精准率。
可选地,在本实施例中,所述步骤S10包括:
获取所述报文对应的报文信息,并确定所述报文筛选规则;当所述报文信息符合所述报文筛选规则中的任一项时,判断所述报文信息符合,并将所述报文信息对应的报文确定为目标报文。
具体的,根据预设的规则对报文进行筛选。这些规则可以是基于源IP地址、目的IP地址、协议类型、端口号等条件进行匹配。当报文满足规则时,系统将其标记为需要进一步处理或筛选的报文。
进一步地,在本实施例中,所述步骤S10之前,还包括:
获取配置规则信息,所述配置规则信息包括地址参数、协议参数以及端口参数;根据所述配置规则信息生成所述报文筛选规则并保存,其中,所述报文筛选规则为所述配置规则信息中的各参数对应的预设范围。
具体的,所述地址参数、协议参数以及端口参数为网络设备的信息,通过预先设置此类信息的范围,从而可以对接收到的报文进行筛选,即将不符合配置规则信息中的地址参数、协议参数以及端口参数所限制的范围。应当理解的是,这里的配置规则信息不仅只局限于上述参数,还可以包括关键字以及时间戳等可用于筛选报文的条件参数。
作为一种可选地筛选报文的实施方式,根据报文的内容进行筛选。这通常需要对报文内容的解析和分析,以确定是否包含特定的关键字、模式或语义。基于报文内容对报文筛选可以过滤垃圾邮件、恶意软件,从而提高报文的安全性。
作为另一种可选地筛选报文的实施方式,基于时间范围对报文进行筛选,根据报文的时间戳或发送时间进行筛选,系统可以根据时间范围对报文进行过滤,例如只保留特定时间段内的报文,或只保留在特定时间段内发送的报文。从而可以提高报文筛选的精准率。
示例性的,还可以通过制定ACL(Access Control List,访问控制列表)筛选对应报文。其中,ACL的流策略规则是用于控制网络流量的一系列规则,是基于源地址、目的地址、端口号、协议等条件进行匹配,并根据匹配结果对流量进行相应的处理。ACL的流策略规则通常由一系列的ACE(Access Control Entry,访问控制条目)组成,每个ACE定义了一个匹配条件和相应的动作。当数据包与ACL中的某个ACE匹配时,系统将执行该ACE所定义的动作。常见的动作包括允许、拒绝、丢弃等,例如,一个ACL的流策略规则可以指定只允许来自特定源地址的数据包通过,而拒绝来自其他地址的数据包。ACL的流策略规则还可以与网络设备的其他功能结合使用,如防火墙、路由器等。通过配置ACL对报文进行筛选,可以实现对筛选过程的精细控制,提高网络的安全性和性能。
步骤S20:所述网络通信设备将所述目标报文发送至所述探测服务器。
在本实施例中,所述网络通信设备在将所述目标报文发送至所述探测服务器之前,还需要与所述探测服务器建立连接,应当理解的是,在连接之前,需要确定网络设备的存在和可达性。可以使用一些网络协议(如SSDP、MDNS等)来发现和识别网络设备。网络设备在接收到发现请求后,会响应并返回其自身的信息如IP地址、端口号等至所述探测服务器。所述目标报文为所述通信设备发送的报文,所述网络通信设备将筛选得到的所述目标报文通过组播中继的方式,转发至所述探测服务器。
作为一种可选地实施方式,还可以通过在所述网络通信设备和所述探测服务器之间建立VPN(Virtual Private Network,虚拟专业网络)隧道,通过所述VPN隧道传输报文等信息,从而提高数据通信的安全性。
具体的,VPN是一种可以在公共网络上建立加密通道的技术,一般将公共网络上的数据打包后,通过隧道方式传输到私有网络中,从而实现安全的通信。在VPN隧道中,需要使用一些安全协议和技术来保护数据的机密性和完整性,其中,这些协议和技术包括隧道协议、数据加密、流量控制、防火墙设置以及安全认证,隧道协议为选择一种隧道协议,如PPP、L2TP等,用于在公共网络和私有网络之间建立一个安全的隧道;数据加密为使用加密算法对数据进行加密,确保数据在传输过程中不被泄露或篡改;安全认证为进行身份认证,确保只有合法的用户才能访问公司的内部网络资源;流量控制为限制每个网络设备的带宽和流量,防止恶意网络设备抢占有限的网络资源;防火墙设置为在一些边界路由器或者防火墙上设置相应的安全策略,过滤掉可能攻击内部网络的非法请求和数据包。
应当理解的是,组播中继是指在组播通信中,用于接收组播源发送的组播报文,并将其转发给组播成员的设备或服务。在组播通信中,可将组播中继设立在网络通信设备中,组播中继会接收到网络设备发送的组播报文,并将其转发给探测服务器所在的子网。这样,探测服务器就可以接收到网络设备发送的组播报文,从而实现了组播通信。
步骤S30:在所述探测服务器的系统中确定已探测设备的资产数据,并根据接收到的所述目标报文的解析数据,确定对应的对比结果。
在本实施例中,所述探测服务器中预存有已探测设备的资产数据,所述资产数据保存在数据库中,通过触发获取资产数据指令,获取已存储的所述资产数据。所述解析数据为所述探测服务器解析所述目标报文所得到的,其中包括但不限于设备的MAC(MediaAccess Control,媒体访问控制)地址、IP、开放端口号等设备信息。所述资产数据中包括有其他网络设备的设备信息,通过将两者数据对比,从而可以确定所述解析数据是否为已存储的资产数据。
作为一种可选地实施方式,将所述解析数据与所述资产数据对比的方式,可以是通过使用预设算法,对于其中的为文字的字段值,可以使用相关性分析算法,确定二者的关联度,从而提高数据对比的效率。
具体的,将所述解析数据与所述资产数据对比,可以使用KMP(字符串匹配)算法,从资产数据的第一个字符开始匹配,若当前字符匹配成功,则继续匹配下一个字符,直到整个模式串匹配成功或失败。对于所述资产数据和所述解析数据中为文字的部分,可以先采用语义分析算法,对文字部分进行解析,再通过相关性算法确定二者的关联度,以预设的阈值确定该关联度对应的数据是否是匹配的。
步骤S40:根据所述对比结果维护资产测绘统计报告并保存。
在本实施例中,所述资产测绘统计报告保存有已探测到的网络设备的所有资产数据,并且保存的格式为将网络设备的设备编号与设备参数关联。所述对比结果可以是解析数据与资产数据匹配,也可以是二者不匹配,匹配对应的维护动作是将解析数据补充至所述资产测绘统计报告,相反,不匹配则不需要补充。
可选地,在本实施例中,所述步骤S40包括:
当所述对比结果为存在与所述资产数据不匹配的所述解析数据时,将不匹配的所述解析数据补充至所述资产测绘统计报告;否则,获取与所述解析数据匹配的所述资产数据的目标IP地址,并根据所述目标IP地址修改所述解析数据对应的网络设备的地址信息。
具体的,与所述已探测设备的资产数据不匹配的所述解析数据,即为影子资产数据。应当理解的是,所述影子资产数据为IP地址配置错误的网络设备,在接入局域网后发送的报文,因此,需要在所述资产测绘统计报告中补充该网络设备的设备信息,从而记录影子资产。反之,当所述解析数据与所述资产数据匹配,且不同点为IP地址,则可知所述解析数据对应的网络设备为已探测设备,只是IP地址配置错误,则需要在所述资产测绘统计报告中修改所述解析数据对应的网络设备的IP地址,或者备注该网络设备新增一个IP地址。最后还需要通过网络通信设备将正确的目标IP地址反馈至对应的网络设备,以使该网络设备修改自身地址信息,进而防止IP地址错误无法正常使用网络。
示例性的,如图2所示,图2为本申请实施例方案涉及的网络拓扑图。图中所示的影子资产和正常识别的资产为网络设备,与之连接的交换机为网络通信设备。所述网络设备将向交换机发送组播报文,由图可知报文中携带有IP地址、端口号以及协议信息。交换机接收到后将其转发至探测服务器,由探测服务器对接收到的报文进行解析,从而生成IP地址、端口号以及协议信息,并根据已探测到的设备数据,若该报文为正常识别的资产所发送的报文,则过滤。若为影子资产的发送的报文,则在资产测绘报告中记录所述报文对应的数据。
在本实施例提供的技术方案中,通过在网络通信设备中根据预设筛选规则,筛选出符合的报文进行转发,可以避免流量过大占用网络带宽,导致服务器处理效率低下。通过在所述探测服务器中根据已探测设备的资产数据与目标报文的解析数据对比,可以确定未被探测的影子资产,从而可以实现识别影子资产。
实施例二
请参照图3,在第三实施例中,所述步骤S30包括以下步骤:
步骤S31:获取所述探测服务器中的所述资产数据,并于所述资产数据中确定第一识别特征。
在本实施例中,所述资产数据为已探测设备的资产数据,是所述探测服务器存储在数据库中。通过在数据库中获取所有已探测设备的资产数据,并提取所述资产数据中的第一识别特征,所述第一识别特征包括已探测设备的IP地址、Mac地址、端口号以及协议信息等。
作为一种可选地实施方式,确定所述第一识别特征的方式,可以是通过以已探测设备的设备标识为关键字,在数据库中查询与设备标识关联的表,表中记载有所述设备标识对应的第一识别特征,以提高确定第一识别特征的速度。
步骤S32:根据所述目标报文的各层级信息进行逐层报文解析并生成第二识别特征,其中,所述各层级信息包括数据链路层、传输层、网络层以及应用层。
在本实施例中,所述目标报文是经过网络通信设备筛选过的报文,并且由所述网络通信设备转发至所述探测服务器。在所述探测服务器中,基于报文解析算法对所述目标报文进行逐层解析,从而获取到第二识别特征,其中,所述第二识别特征包括所述网络设备的IP地址、Mac地址、端口号以及协议信息等。
作为一种可选地实施方式,对目标报文进行逐层解析的方式,可以按照OSI(OpenSystem Interconnect,开放式系统互联)参考模型进行逐层解析,从而获取所述目标报文携带的信息。
示例性的,OSI模型是计算机网络体系结构的一种标准,它将网络协议分成七个层次,分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。对于各层级的解析,具体的方法如下,解析物理层时,需要识别和提取比特流中的信号,并将其转换为二进制数据。数据链路层负责将比特流组合成帧,并进行错误检测和流量控制。在解析数据链路层时,需要识别和提取帧的各个部分,包括数据字段和帧头字段。网络层负责将数据包从源地址发送到目的地址,一般通过IP协议进行数据包的传输,并根据IP地址进行路由选择。解析网络层时,需要识别和提取IP头部的各个字段,例如版本号、头部长度、服务类型、总长度、标识符、标志位等。
传输层负责在源端和目的端之间建立、管理和终止会话,通过TCP或UDP协议进行数据传输,并提供端到端的数据传输服务。解析时,需要识别和提取TCP或UDP头部中的各个字段,例如源端口、目的端口、序列号、确认号等。会话层负责在通信过程中建立、管理和终止会话,通过各种会话协议进行会话控制和数据传输。解析时,需要识别和提取会话协议的各个字段,例如会话标识符、会话关联信息等。表示负责将数据转换成能被应用层理解的格式,并进行加密和解密等操作。解析时,需要识别和提取表示协议的各个字段,例如数据类型、编码方式、加密算法等。应用层直接面向用户的程序或服务,通过各种应用协议进行数据的传输和处理。解析时,需要识别和提取应用协议的各个字段,例如用户信息、文件名、服务器响应等。
进一步地,在本实施例中,所述步骤S32之后,还包括:
于所述第一识别特征和所述第二识别特征中确定匹配的识别特征,并根据所述识别特征确定对应的IP地址;将所述IP地址通过所述探测服务器反馈至对应的网络设备,以使所述网络设备根据所述IP地址更改配置信息。
具体的,若所述第一识别特征与所述第二识别特征不匹配的仅为IP地址,则所述第二识别特征对应的网络设备的IP地址配置错误。所述探测服务器会确定所述第一识别特征对应的IP地址,并将所述IP地址,基于网络协议并以反馈至所述网络设备,或者将所述IP地址通过网络通信设备反馈至所述网络设备。
步骤S33:于所述第一识别特征中查找是否存在与所述第二识别特征不匹配的目标识别特征,若存在,获取所述目标识别特征。
步骤S34:根据所述目标识别特征确定对应的设备信息,将所述设备信息与所述目标识别特征关联并确定为目标资产数据。
在本实施例中,当所述第一识别特征与所述第二识别特征,不只是IP地址不同,并且Mac地址、端口号、设备信息以及协议信息都不同时,即所述第二识别特征对应的网络设备为影子资产,因配置了错误的IP地址导致探测服务器未探测到该影子资产。然后将所述第二识别特征确定为所述目标识别特征,所述目标识别特征对应有设备信息,将二者关联并确定为影子资产,即目标资产数据。
在本实施例提供的技术方案中,通过将已探测设备的第一识别特征,与通过网络设备转发的目标报文的第二识别特征对比,确定其中非正常使用的MAC/IP地址的网络设备,可以识别出影子资产,通过确定匹配的识别特征,进而确定配置错误IP地址的非影子资产,并将正确的IP地址配置给该网络设备,可以防止网络设备因配置信息错误,不能正常运转的问题。
实施例三
请参照图4,在第四实施例中,在所述步骤S34之后,还包括:
步骤S50:获取所述目标资产数据;根据所述探测服务器上的行为分析模块确定所述目标资产数据对应的行为信息和威胁信息。
在本实施例中,所述目标资产数据为所述步骤S34中确定的,通过所述探测服务器对比得出的,与已探测设备的资产数据不匹配的网络设备的目标资产数据,即影子资产。所述行为分析模块包括数据处理、行为识别以及行为分析,根据所述目标资产数据,通过所述行为分析模块进行数据处理,并对数据处理得到的行为数据通过行为识别和行为分析,从而确定对应的行为信息和威胁信息。其中,所述行为信息包括网络设备的配置信息、运行状态信息、网络流量数据等,所述威胁信息是指网络设备可能受到的攻击、入侵或其他安全威胁,这些威胁可以包括网络病毒、恶意软件、黑客攻击等。
具体的,所述探测服务器与所述目标资产数据对应的网络设备还可以建立连接,并实时监测所述网络设备产生的数据,还可以通过获取所述网络设备所生成的日志,从而确定所述网络设备的行为信息和威胁信息。
步骤S60:根据所述行为信息和所述威胁信息,并基于预设威胁评估模型生成威胁评估报告。
在本实施例中,所述预设威胁评估模型是预先建立的,根据历史攻击事件、漏洞信息、威胁情报等信息作为所述威胁评估模型的输入参数,并根据收集的数据建立相应的威胁模型,其中该数据包括识别威胁的来源、攻击手段、目标等。继而确定用于评估威胁的指标,例如攻击频率、攻击成功率、影响范围等。最后,基于上述威胁建模和评估指标,建立威胁评估模型,所述威胁评估模型可以是数学模型、算法或框架,用于对威胁进行量化和评估。
应当理解的是,在建立模型之后,还需要通过输入参数对所述威胁评估模型进行验证,或者根据收集到的数据验证。当网络设备发生变化或者新的威胁出现时,威胁评估模型需要持续更新和改进,这包括添加新的威胁类型、调整评估指标、优化模型算法等。
进一步地,在本实施例中,所述步骤S60之后,还包括:
获取所述资产测绘统计报告,以及获取所述威胁评估报告;将所述资产测绘统计报告和所述威胁评估报告关联,并确定各资产数据的威胁系数;根据所述威胁系数的优先级生成所述各资产数据的排序队列,并确定处于预设位置的风险资产数据;将所述风险资产数据与对应的目标威胁评估报告关联并发送至对应的运维端,以使所述运维端根据所述目标威胁评估报告制定所述风险资产数据对应的控制策略。
具体的,所述资产测绘统计报告中保存有网络设备的设备编号,并且所述威胁评估报告中也包含网络设备的设备编号,根据所述设备编号,将设备编号相同的信息关联,从而可以快速查找到所述网络设备的信息,以及对应的威胁评估信息。所述威胁系数为所述网络设备被攻击的可能性,系数值越高,则可能性越大,反之则越小,根据所述威胁系数的大小重新排序所述网络设备的序列,并确定其中威胁系数较高的网络设备的设备数据,将所述设备数据确定为风险资产数据,并将该风险资产数据关联的目标威胁评估报告反馈至运维端。
在本实施例提供的技术方案中,通过威胁评估模型评估网络设备,可以发现潜在的威胁和攻击行为并进行记录。通过将威胁评估模型与资产测绘统计报告关联,并将威胁系数高的网络设备的威胁评估报告反馈至运维端,可以对潜在的威胁和攻击行为进行告警。
由于本申请实施例所介绍的系统,为实施本申请实施例的方法所采用的系统,故而基于本申请实施例所介绍的方法,本领域所属人员能够了解该系统的具体结构及变形,故而在此不再赘述。凡是本申请实施例的方法所采用的系统都属于本申请所欲保护的范围。
作为一种实施方案,图5为本申请实施例方案涉及的网络设备的资产测绘设备的硬件运行环境的架构示意图。
如图5所示,该网络设备的资产测绘设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002,网络接口1003,存储器1004。其中,通信总线1002用于实现这些组件之间的连接通信。网络接口1003可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1004可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1004可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图5中示出的结构并不构成对网络设备的资产测绘设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图5所示,作为一种存储介质的存储器1004中可以包括操作系统、网络通信模块以及网络设备的资产测绘程序。其中,操作系统是管理和控制网络设备的资产测绘设备的硬件和软件资源的程序,网络设备的资产测绘程序以及其他软件或程序的运行。
在图5所示的网络设备的资产测绘设备中,网络接口1003主要用于连接终端,与终端进行数据通信;处理器1001可以用于调用存储器1004存储的网络设备的资产测绘程序。
在本实施例中,网络设备的资产测绘设备包括:存储器1004、处理器1001及存储在所述存储器上并可在所述处理器上运行的网络设备的资产测绘程序,其中:
处理器1001调用存储器1004中存储的网络设备的资产测绘程序时,执行以下操作:
在所述网络通信设备接收到网络设备发送的报文后,根据预设筛选规则确定对应的目标报文;
所述网络通信设备将所述目标报文发送至所述探测服务器;
在所述探测服务器的系统中确定已探测设备的资产数据,并根据接收到的所述目标报文的解析数据,确定对应的对比结果;
根据所述对比结果维护资产测绘统计报告并保存。
在一实施例中,处理器1001调用存储器1004中存储的网络设备的资产测绘程序时,执行以下操作:
获取所述探测服务器中的所述资产数据,并于所述资产数据中确定第一识别特征;
根据所述目标报文的各层级信息进行逐层报文解析并生成第二识别特征,其中,所述各层级信息包括数据链路层、传输层、网络层以及应用层;
于所述第一识别特征中查找是否存在与所述第二识别特征不匹配的目标识别特征,若存在,获取所述目标识别特征;
根据所述目标识别特征确定对应的设备信息,将所述设备信息与所述目标识别特征关联并确定为目标资产数据。
在一实施例中,处理器1001调用存储器1004中存储的网络设备的资产测绘程序时,执行以下操作:
于所述第一识别特征和所述第二识别特征中确定匹配的识别特征,并根据所述识别特征确定对应的IP地址;
将所述IP地址通过所述探测服务器反馈至对应的网络设备,以使所述网络设备根据所述IP地址更改配置信息。
在一实施例中,处理器1001调用存储器1004中存储的网络设备的资产测绘程序时,执行以下操作:
获取所述目标资产数据;
根据所述探测服务器上的行为分析模块确定所述目标资产数据对应的行为信息和威胁信息;
根据所述行为信息和所述威胁信息,并基于预设威胁评估模型生成威胁评估报告。
在一实施例中,处理器1001调用存储器1004中存储的网络设备的资产测绘程序时,执行以下操作:
当所述对比结果为存在与所述资产数据不匹配的所述解析数据时,将不匹配的所述解析数据补充至所述资产测绘统计报告;
否则,获取与所述解析数据匹配的所述资产数据的目标IP地址,并根据所述目标IP地址修改所述解析数据对应的网络设备的地址信息。
在一实施例中,处理器1001调用存储器1004中存储的网络设备的资产测绘程序时,执行以下操作:
获取所述资产测绘统计报告,以及获取所述威胁评估报告;
将所述资产测绘统计报告和所述威胁评估报告关联,并确定各资产数据的威胁系数;
根据所述威胁系数的优先级生成所述各资产数据的排序队列,并确定处于预设位置的风险资产数据;
将所述风险资产数据与对应的目标威胁评估报告关联并发送至对应的运维端,以使所述运维端根据所述目标威胁评估报告制定所述风险资产数据对应的控制策略。
在一实施例中,处理器1001调用存储器1004中存储的网络设备的资产测绘程序时,执行以下操作:
获取所述报文对应的报文信息,并确定报文筛选规则;
当所述报文信息符合所述报文筛选规则中的任一项时,判断所述报文信息符合,并将所述报文信息对应的报文确定为目标报文。
在一实施例中,处理器1001调用存储器1004中存储的网络设备的资产测绘程序时,执行以下操作:
获取配置规则信息,所述配置规则信息包括地址参数、协议参数以及端口参数;
根据所述配置规则信息生成报文筛选规则并保存,其中,所述报文筛选规则为所述配置规则信息中的各参数对应的预设范围。
此外,本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令,计算机程序可以存储于一存储介质中,该存储介质为计算机可读存储介质。该程序指令被网络设备的资产测绘设备中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本申请还提供一种存储介质,所述存储介质存储有网络设备的资产测绘程序,所述网络设备的资产测绘程序被处理器执行时实现如上实施例所述的网络设备的资产测绘方法的各个步骤。
其中,所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的存储介质。
需要说明的是,由于本申请实施例提供的存储介质,为实施本申请实施例的方法所采用的存储介质,故而基于本申请实施例所介绍的方法,本领域所属人员能够了解该存储介质的具体结构及变形,故而在此不再赘述。凡是本申请实施例的方法所采用的存储介质都属于本申请所欲保护的范围。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
应当注意的是,在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本申请可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (6)

1.一种网络设备的资产测绘方法,其特征在于,应用于资产测绘系统,所述资产测绘系统设置有网络通信设备,以及探测服务器,所述网络设备的资产测绘方法包括以下步骤:
在所述网络通信设备接收到网络设备发送的报文后,根据预设筛选规则确定对应的目标报文;
所述网络通信设备将所述目标报文发送至所述探测服务器;
获取所述探测服务器中的资产数据,并于所述资产数据中确定第一识别特征;
根据所述目标报文的各层级信息进行逐层报文解析并生成第二识别特征,其中,所述各层级信息包括数据链路层、传输层、网络层以及应用层;
于所述第一识别特征中查找是否存在与所述第二识别特征不匹配的目标识别特征,若存在,获取所述目标识别特征;
根据所述目标识别特征确定对应的设备信息,将所述设备信息与所述目标识别特征关联并确定为目标资产数据;
将不匹配的所述第二识别特征补充至资产测绘统计报告;
否则,获取与所述第二识别特征匹配的所述资产数据的目标IP地址,并根据所述目标IP地址修改所述第二识别特征对应的网络设备的地址信息;
所述根据所述目标识别特征确定对应的设备信息,将所述设备信息与所述目标识别特征关联并确定为目标资产数据的步骤之后,还包括:
获取所述目标资产数据;
根据所述探测服务器上的行为分析模块确定所述目标资产数据对应的行为信息和威胁信息;
根据所述行为信息和所述威胁信息,并基于预设威胁评估模型生成威胁评估报告;
获取所述资产测绘统计报告,以及获取所述威胁评估报告;
将所述资产测绘统计报告和所述威胁评估报告关联,并确定各资产数据的威胁系数;
根据所述威胁系数的优先级生成所述各资产数据的排序队列,并确定处于预设位置的风险资产数据;
将所述风险资产数据与对应的目标威胁评估报告关联并发送至对应的运维端,以使所述运维端根据所述目标威胁评估报告制定所述风险资产数据对应的控制策略。
2.如权利要求1所述的网络设备的资产测绘方法,其特征在于,所述根据所述目标报文的各层级信息进行逐层报文解析并生成第二识别特征的步骤之后,还包括:
于所述第一识别特征和所述第二识别特征中确定匹配的识别特征,并根据所述识别特征确定对应的IP地址;
将所述IP地址通过所述探测服务器反馈至对应的网络设备,以使所述网络设备根据所述IP地址更改配置信息。
3.如权利要求1所述的网络设备的资产测绘方法,其特征在于,所述根据预设筛选规则确定对应的目标报文的步骤包括:
获取所述报文对应的报文信息,并确定报文筛选规则;
当所述报文信息符合所述报文筛选规则中的任一项时,判断所述报文信息符合,并将所述报文信息对应的报文确定为目标报文。
4.如权利要求1所述的网络设备的资产测绘方法,其特征在于,所述在所述网络通信设备接收到网络设备发送的报文后,根据预设筛选规则确定对应的目标报文的步骤之前,还包括:
获取配置规则信息,所述配置规则信息包括地址参数、协议参数以及端口参数;
根据所述配置规则信息生成报文筛选规则并保存,其中,所述报文筛选规则为所述配置规则信息中的各参数对应的预设范围。
5.一种网络设备的资产测绘设备,其特征在于,所述网络设备的资产测绘设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络设备的资产测绘程序,所述网络设备的资产测绘程序配置为实现如权利要求1至4任一项所述的网络设备的资产测绘方法的步骤。
6.一种存储介质,其特征在于,所述存储介质上存储有网络设备的资产测绘程序,所述网络设备的资产测绘程序被处理器执行时实现如权利要求1至4任一项所述的网络设备的资产测绘方法的步骤。
CN202311841990.7A 2023-12-29 2023-12-29 网络设备的资产测绘方法、设备及存储介质 Active CN117499267B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311841990.7A CN117499267B (zh) 2023-12-29 2023-12-29 网络设备的资产测绘方法、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311841990.7A CN117499267B (zh) 2023-12-29 2023-12-29 网络设备的资产测绘方法、设备及存储介质

Publications (2)

Publication Number Publication Date
CN117499267A CN117499267A (zh) 2024-02-02
CN117499267B true CN117499267B (zh) 2024-03-26

Family

ID=89672964

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311841990.7A Active CN117499267B (zh) 2023-12-29 2023-12-29 网络设备的资产测绘方法、设备及存储介质

Country Status (1)

Country Link
CN (1) CN117499267B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107733581A (zh) * 2017-10-11 2018-02-23 杭州安恒信息技术有限公司 基于全网环境下的快速互联网资产特征探测方法及装置
CN111756598A (zh) * 2020-06-23 2020-10-09 北京凌云信安科技有限公司 一种基于主动探测与流量分析结合的资产发现方法
CN112260861A (zh) * 2020-10-13 2021-01-22 上海奇甲信息科技有限公司 一种基于流量感知的网络资产拓扑识别方法
KR102244036B1 (ko) * 2020-08-24 2021-04-23 주식회사 로그프레소 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법
CN113949748A (zh) * 2021-10-15 2022-01-18 北京知道创宇信息技术股份有限公司 一种网络资产识别方法、装置、存储介质及电子设备
CN115733646A (zh) * 2021-08-31 2023-03-03 中国移动通信集团浙江有限公司 网络安全威胁评估方法、装置、设备及可读存储介质
CN116070218A (zh) * 2023-03-28 2023-05-05 北京六方云信息技术有限公司 工业资产的探测方法、终端设备及存储介质
CN116938776A (zh) * 2023-08-01 2023-10-24 北京华顺信安信息技术有限公司 一种网络资产测绘的方法、装置、电子设备及介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107733581A (zh) * 2017-10-11 2018-02-23 杭州安恒信息技术有限公司 基于全网环境下的快速互联网资产特征探测方法及装置
CN111756598A (zh) * 2020-06-23 2020-10-09 北京凌云信安科技有限公司 一种基于主动探测与流量分析结合的资产发现方法
KR102244036B1 (ko) * 2020-08-24 2021-04-23 주식회사 로그프레소 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법
CN112260861A (zh) * 2020-10-13 2021-01-22 上海奇甲信息科技有限公司 一种基于流量感知的网络资产拓扑识别方法
CN115733646A (zh) * 2021-08-31 2023-03-03 中国移动通信集团浙江有限公司 网络安全威胁评估方法、装置、设备及可读存储介质
CN113949748A (zh) * 2021-10-15 2022-01-18 北京知道创宇信息技术股份有限公司 一种网络资产识别方法、装置、存储介质及电子设备
CN116070218A (zh) * 2023-03-28 2023-05-05 北京六方云信息技术有限公司 工业资产的探测方法、终端设备及存储介质
CN116938776A (zh) * 2023-08-01 2023-10-24 北京华顺信安信息技术有限公司 一种网络资产测绘的方法、装置、电子设备及介质

Also Published As

Publication number Publication date
CN117499267A (zh) 2024-02-02

Similar Documents

Publication Publication Date Title
US7317693B1 (en) Systems and methods for determining the network topology of a network
US7801980B1 (en) Systems and methods for determining characteristics of a network
US11063960B2 (en) Automatic generation of attribute values for rules of a web application layer attack detector
US8046833B2 (en) Intrusion event correlation with network discovery information
Coull et al. Playing Devil's Advocate: Inferring Sensitive Information from Anonymized Network Traces.
US8844041B1 (en) Detecting network devices and mapping topology using network introspection by collaborating endpoints
US8474043B2 (en) Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
US10693908B2 (en) Apparatus and method for detecting distributed reflection denial of service attack
US20140245435A1 (en) Out-of-band ip traceback using ip packets
US20100309800A1 (en) Network Monitoring And Intellectual Property Protection Device, System, And Method
US20120177051A1 (en) Data forwarding method, data processing method, system and relevant devices
JP6737610B2 (ja) 通信装置
CN108650237B (zh) 一种基于存活时间的报文安全检查方法及系统
CN117499267B (zh) 网络设备的资产测绘方法、设备及存储介质
CN114584352B (zh) 多网络互联的网络违规外联检测方法、装置及系统
CN115883574A (zh) 工业控制网络中的接入设备识别方法及装置
Schwartzenberg Using machine learning techniques for advanced passive operating system fingerprinting
EP2819365A1 (en) Network traffic inspection
Kock A signature-based Approach to DDoS Attack Mitigation Using BGP Flowspec Rules
KR20110009813A (ko) 올아이피네트워크 환경의 공격 탐지 및 추적 시스템 및 방법
Arjmandpanah‐Kalat et al. Design and performance analysis of an efficient single flow IP traceback technique in the AS level
CN113965343B (zh) 一种基于局域网的终端设备隔离方法及装置
EP3697056A1 (en) System and method for securing a network communication session
Nerakis IPv6 host fingerprint
Youm Overview of Traceback Mechanisms and Their Applicability

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant