CN117857411A - 一种基于混合方式的资产识别方法 - Google Patents
一种基于混合方式的资产识别方法 Download PDFInfo
- Publication number
- CN117857411A CN117857411A CN202311738149.5A CN202311738149A CN117857411A CN 117857411 A CN117857411 A CN 117857411A CN 202311738149 A CN202311738149 A CN 202311738149A CN 117857411 A CN117857411 A CN 117857411A
- Authority
- CN
- China
- Prior art keywords
- asset
- information
- target
- library
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000001514 detection method Methods 0.000 claims abstract description 162
- 230000004083 survival effect Effects 0.000 claims description 54
- 230000005540 biological transmission Effects 0.000 claims description 27
- 230000004927 fusion Effects 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 14
- 238000012216 screening Methods 0.000 claims description 14
- 238000013459 approach Methods 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 9
- 239000000523 sample Substances 0.000 claims description 7
- 238000003032 molecular docking Methods 0.000 claims description 6
- 238000012360 testing method Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 5
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 9
- 241000700605 Viruses Species 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000005206 flow analysis Methods 0.000 description 2
- KKIMDKMETPPURN-UHFFFAOYSA-N 1-(3-(trifluoromethyl)phenyl)piperazine Chemical compound FC(F)(F)C1=CC=CC(N2CCNCC2)=C1 KKIMDKMETPPURN-UHFFFAOYSA-N 0.000 description 1
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011112 process operation Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Abstract
本申请涉及一种基于混合方式的资产识别方法,属于资产识别技术领域,其方法包括:获取探测区域、探测方式和探测工具,并基于所述探测区域、探测方式和所述探测工具建立对待测资产的探测任务;所述探测方式包括主动探测和被动匹配;根据所述探测任务对待测资产进行探测,得到待测资产信息;基于预设的资产IP库和预设的公网IP库对所述待测资产信息进行比对,得到目标资产信息;根据预设的资产识别规则对所述目标资产信息进行比对分析,得到完整资产信息,完成对所述待测资产的识别。本申请具有有效提高对网络资产识别的准确性的效果。
Description
技术领域
本申请涉及资产识别技术领域,尤其是涉及一种基于混合方式的资产识别方法。
背景技术
随着企业网络的不断壮大,各种业务平台和管理系统越来越多,部分业务也从传统的物理机房延伸到云上资源,导致业务平台和管理系统的资产类型越来越多和范围越来越广泛;同时,资产生命周期管理的时间跨度也越来越长、资产分布范围也越来越分散,最后导致企业存在大量的隐形资产,这些隐形资产通常会被管理员逐渐遗忘,从而导致隐形资产长时间无人维护,进而存在安全风险。
在现有技术中,通常通过在业务平台和管理系统上安装客户端的方式主动对隐形资产进行摸排和识别。识别方法为,通过主动向目标网络资产发送构造的探测数据包,并从返回的响应数据包的相关信息中提取目标特征,与内置特征库中的特征指纹进行匹配,来实现对隐形资产的探测。
针对以上现有技术,申请人认为,由于通过客户端的方式对隐形资产进行摸排和识别为主动探测的方式,探测目标可能会针对部分常见的探测数据包请求进行过滤,使得部分隐形资产无法被识别出,进而无法准确识别隐形资产。
发明内容
为了有效提高对网络资产识别的准确性,本申请提供一种基于混合方式的资产识别方法。
第一方面,本申请提供的一种基于混合方式的资产识别方法采用如下的技术方案:
一种基于混合方式的资产识别方法,包括:
获取探测区域、探测方式和探测工具,并基于所述探测区域、探测方式和所述探测工具建立对待测资产的探测任务;所述探测方式包括主动探测和被动匹配;
根据所述探测任务对待测资产进行探测,得到待测资产信息;
基于预设的资产IP库和预设的公网IP库对所述待测资产信息进行比对,得到目标资产信息;
根据预设的资产识别规则对所述目标资产信息进行比对分析,得到完整资产信息,完成对所述待测资产的识别。
通过采用上述技术方案,对网络资产的识别不仅采用主动探测的方式还采用被动匹配的方式,从而有效提高了对网络资产识别的准确性;同时,首先建立探测任务,再根据资产识别规则对目标资产信息进行比对分析,进一步有效提高了对网络资产识别的准确性。
可选的,所述根据所述探测任务对待测资产进行探测,得到待测资产信息,包括:
若所述探测方式为主动探测,对TCP/IP五层模型中的传输层、网络层和数据链路层进行资产存活扫描,得到存活资产,并获取所述存活资产的存活资产信息;
对所述存活资产信息进行整合,得到待测资产信息。
通过采用上述技术方案,在主动探测时,对TCP/IP五层模型中的三层进行资产存活扫描,便于对隐形资产进行全面扫描识别。
可选的,所述若所述探测方式为主动探测,对TCP/IP五层模型中的传输层、网络层和数据链路层进行资产存活扫描,得到存活资产,包括:
根据所述数据链路层的地址解析协议探测目标资产,并调用三层协议对所述目标资产进行跨网段探测,得到存活资产;
根据所述网络层的控制报文协议探测存活的目标主机,并调用目标工具在所述目标主机中探测并得到存活资产;
根据所述传输层的传输通信协议向待测主机发送测试数据包,并获取反馈数据包;
若所述反馈数据包为目标数据包,则判定目标主机为存活状态且目标主机的第一资产为开放状态;
基于预设的端口扫描程序,扫描所述目标主机的目标端口,得到端口反馈包,若端口反馈包为目标反馈包,则判定所述目标端口为开放状态;
根据所述目标端口,探测并得到所述第一资产中的所述存活资产。
通过采用上述技术方案,对TCP/IP五层模型中的传输层、网络层和数据链路层进行资产存活扫描时,传输层、网络层和数据链路层采用不同的存活资产探测方式,便于有效对存活资产进行识别。
可选的,所述若所述探测方式为主动探测,对TCP/IP五层模型中的传输层、网络层和数据链路层进行资产存活扫描,得到存活资产,还包括:
根据所述数据链路层的地址解析协议探测目标资产,并调用三层协议对所述目标资产进行跨网段探测,得到存活资产;
根据所述网络层的控制报文协议探测存活的目标主机,并调用目标工具在所述目标主机中探测并得到存活资产;
向待测主机的数据端口发送第一数据包,并获取返回数据包;
若所述返回数据包为目标回复包,判定所述数据端口为不开放端口,并在所述数据端口中筛除所述不开放端口,得到开放端口;
根据所述开放端口,探测并得到存活资产。
通过采用上述技术方案,传输层采用端口扫描方式探测存活资产,即通过返回数据包即可确定不开放端口,在得到不开放端口后根据数据端口将不开放端口进行筛除,即可得到开放端口,并得到存活资产,提高了传输层探测存活资产的灵活性。
可选的,所述基于预设的资产IP库和预设的公网IP库对所述待测资产信息进行比对,得到目标资产信息,包括:
根据应用层的服务协议进行协议探测,得到服务信息;
将服务信息与所述待测资产信息进行融合,得到融合资产信息,并将所述融合资产信息分别与所述资产IP库和所述公网IP库进行比对,判断所述融合资产信息是否命中所述资产IP库;
若命中所述资产IP库,将所述目标资产信息与预设的资产指纹进行比对;
若未命中所述资产IP库,命中所述公网IP库,丢弃所述融合资产信息;
若未命中所述资产IP库且未命中所述公网IP库,将所述融合资产信息作为目标资产信息,并将所述目标资产信息存储至所述备用库中。
通过采用上述技术方案,若融合资产信息未命中资产IP库,且未命中公网IP库,表明融合资产信息为隐形资产,从而便于提高对隐形资产识别的准确性。
可选的,所述根据所述探测任务对待测资产进行探测,得到待测资产信息,还包括:
若所述探测方式为主动探测,根据不同探测区域的目标网络,调用访问工具;
根据所述访问工具发起主动探测,获取得到待测资产信息。
通过采用上述技术方案,主动探测的探测方式还可首先根据不同探测区域的目标网络调用访问工具,并根据访问工具探测得到探测资产信息,即主动探测的方式并非仅有一种,通过多种主动探测方式,便于对隐形资产进行更准确的识别。
可选的,所述根据所述探测任务对待测资产进行探测,得到待测资产信息,还包括:
若所述探测方式为被动匹配,对当前网络的核心流量进行镜像处理,并截取网络数据包,获取得到网络数据包中的待测资产信息。
通过采用上述技术方案,在探测方式为被动匹配时,对核心流量进行镜像处理,并截取网络数据包即可获取得到待测资产信息,对隐形资产的探测方式包括主动探测和被动探测两种,有效提高了对隐形资产识别的准确性。
可选的,所述根据所述探测任务对待测资产进行探测,得到待测资产信息,还包括:
若所述探测方式为被动匹配,通过预设的对接日志分析类系统获取待测资产信息。
通过采用上述技术方案,在探测方式为被动匹配时,还可通过对接日志分析类系统获取待测资产信息,即被动匹配的方式为多种,提高资产识别探测的灵活性的同时,进一步提高了对隐形资产识别的准确性。
可选的,所述基于预设的资产IP库和预设的公网IP库对所述待测资产信息进行比对,得到目标资产信息,包括:
将所述待测资产信息与所述资产IP库和所述公网IP库进行比对,判断所述待测资产信息是否命中所述资产IP库;
若命中所述资产IP库,将所述待测资产信息作为目标资产信息,并将所述目标资产信息与预设的目标资产指纹进行比对;
若未命中所述资产IP库,命中所述公网IP库,丢弃所述待测资产信息;
若未命中所述资产IP库且未命中所述公网IP库,将所述待测资产信息存储至所述备用库中。
通过采用上述技术方案,在探测方式为被动匹配时,将命中资产IP库的待测资产信息作为目标资产信息,即探测方式不同,目标资产信息不同,便于对隐形资产的资产信息进行更精确的识别。
可选的,所述根据预设的资产识别规则对所述目标资产信息进行比对分析,得到完整资产信息,完成对所述待测资产的识别,包括:
在命中所述资产IP库的所述目标资产信息中提取资产IP,并基于所述资产IP筛选所述对接日志分析类系统内的系统日志;
提取所述系统日志中的日志资产信息,并对与预设的资产IP规则库内的资产IP匹配的日志资产信息进行资产有效性筛选,得到完整资产信息,完成对所述待测资产的识别。
通过采用上述技术方案,在命中资产IP库的目标资产信息中提取资产IP,而后即可对与资产IP规则库内的资产IP匹配的日志资产信息进行资产有效性筛选,得到完整资产信息,完成对待测资产的识别,便于对待测资产的识别。
综上所述,本申请具有以下至少一种有益技术效果:
1.对网络资产的识别不仅采用主动探测的方式还采用被动匹配的方式,从而有效提高了对网络资产识别的准确性;同时,首先建立探测任务,再根据资产识别规则对目标资产信息进行比对分析,进一步有效提高了对网络资产识别的准确性。
2.传输层采用端口扫描方式探测存活资产,即通过返回数据包即可确定不开放端口,在得到不开放端口后根据数据端口将不开放端口进行筛除,即可得到开放端口,并得到存活资产,提高了传输层探测存活资产的灵活性。
3.在探测方式为被动匹配时,还可通过对接日志分析类系统获取待测资产信息,即被动匹配的方式为多种,提高资产识别探测的灵活性的同时,进一步提高了对隐形资产识别的准确性。
附图说明
图1是本申请实施例一种基于混合方式的资产识别方法的其中一种实施方式的流程示意图。
图2是本申请实施例一种基于混合方式的资产识别方法的其中一种实施方式的流程示意图。
图3是本申请实施例一种基于混合方式的资产识别方法的其中一种实施方式的流程示意图。
图4是本申请实施例一种基于混合方式的资产识别方法的其中一种实施方式的流程示意图。
图5是本申请实施例一种基于混合方式的资产识别方法的其中一种实施方式的流程示意图。
图6是本申请实施例一种基于混合方式的资产识别方法的其中一种实施方式的流程示意图。
图7是本申请实施例一种基于混合方式的资产识别方法的其中一种实施方式的流程示意图。
图8是本申请实施例一种基于混合方式的资产识别方法的其中一种实施方式的流程示意图。
具体实施方式
以下结合附图1至8对本申请作进一步详细说明。
本申请实施例公开一种基于混合方式的资产识别方法。
参照图1,一种基于混合方式的资产识别方法包括如下步骤:
S101、获取探测区域、探测方式和探测工具,并基于探测区域、探测方式和探测工具建立对待测资产的探测任务;探测方式包括主动探测和被动匹配。
隐形资产即指被遗忘的网络资产,网络资产探测的目的是探测目标范围内在线的主机及其开放的端口、服务、操作系统等信息。目标范围内在线的主机即指探测区域,为人为设置;开放的端口、服务、操作系统等信息指网络资产信息。
网络资产指具有网络连接的任何对于企业具有价值的资源。可将网络资产分类为硬件和软件,其中硬件包括各种通信、计算、存储类等设备;软件通常指运行在硬件上的各类服务,例如Web服务、数据库、操作系统等。本实施例中,网络资产指资产分类为软件的资产。
探测工具指用于探测网络资产所使用的工具,由于探测方式包括主动探测和被动匹配,则探测工具本实施例中,包括主动探测工具和被动探测工具。例如在主动探测中,对网络层中的网络资产进行探测时,为了发现存活主机,调用Ping测试主机是否存活,则Ping为主动探测工具。Ping是工作在TCP/IP网络体系结构中应用层的一个服务命令,主要用于向特定的目的主机发送ICMP(Internet Control Message Protocol 因特网报文控制协议)请求报文。
在设置好探测方式、探测工具和探测区域后,即表明探测任务为通过探测工具在探测区域内以探测方式进行探测。
主动探测指通过主动向目标网络资产发送构造的数据包,并从返回数据包的相关信息中提取目标指纹,与资产指纹库中的指纹进行比对,来实现对开放端口、操作系统、服务及应用类型的探测。返回数据包的相关信息包括各层协议内容、包重传时间等。
被动匹配指采集目标网络的流量,对流量中应用层HTTP,FTP,SMTP等协议数据包中的特殊字段banner或IP、TCP三次握手、DHCP等协议数据包的指纹特征进行分析,从而实现对网络资产信息的被动探测。
S102、根据探测任务对待测资产进行探测,得到待测资产信息。
待测资产信息指通过探测任务探测的网络资产信息,例如IP地址、端口信息、操作系统、MAC信息、网络位置等信息。
S103、基于预设的资产IP库和预设的公网IP库对待测资产信息进行比对,得到目标资产信息。
资产IP库与公网IP库均为预设,资产IP库内存储有资产的IP地址,公网IP库存储有公网IP,即用公网连接互联网的非保留地址。在获取到待测资产信息后,可基于待测资产信息得到公网IP和资产IP,即可将待测资产信息的公网IP与公网IP库进行比对,将资产IP与资产IP库进行比对,以判断待测资产信息是否为目标资产信息,若是,即可得到目标资产信息。
S104、根据预设的资产识别规则对目标资产信息进行比对分析,得到完整资产信息,完成对待测资产的识别。
资产识别规则指将资产指纹与预设的资产指纹库进行比对。
根据预设的资产识别规则对目标资产信息进行比对分析,得到完整资产信息指按照已知的资产指纹库对目标资产信息进行比对分析,即可形成完整资产信息,并启动资产探测工具进行验证,完成资产新增、更新等操作后,即表明完成了对待测资产的识别。
本实施例的实施原理为:对网络资产的识别不仅采用主动探测的方式还采用被动匹配的方式,从而有效提高了对网络资产识别的准确性;同时,首先建立探测任务,再根据资产识别规则对目标资产信息进行比对分析,进一步有效提高了对网络资产识别的准确性。
在图1所示实施例的步骤S102中,在探测方式为主动探测时,可对TCP/IP五层模型中的传输层、网络层和数据链路层进行探测扫描。具体通过图2所示实施方式进行详细说明。
参照图2,根据探测任务对待测资产进行探测,得到待测资产信息,包括如下步骤:
S201、若探测方式为主动探测,对TCP/IP五层模型中的传输层、网络层和数据链路层进行资产存活扫描,得到存活资产,并获取存活资产的存活资产信息。
TCP/IP五层模型包括应用层、传输层、网络层、数据链路层和物理层。
在探测方式为主动探测时,对待测资产进行探测时,按照TCP/IP五层模型中传输层、网络层和数据链路层每层的协议,构造具有信息探测能力的数据包,即可对待测资产进行资产存活扫描。具体的,通过数据包对每层分别进行资产MAC的扫描、资产IP的扫描、端口的扫描、服务的扫描。
在对待测资产进行存活扫描后即可从返回的数据包中提取出存活资产,并获取存活资产的存活资产信息。
S202、对存活资产信息进行整合,得到待测资产信息。
将存活资产信息按照资产IP、资产MAC、端口、协议等进行整合,用于将存活资产信息形成完整资产信息,得到待测资产信息。
本实施方式提供的基于混合方式的资产识别方法,在主动探测时,对TCP/IP五层模型中的三层进行资产存活扫描,便于对隐形资产进行全面扫描识别。
在图2所示实施方式的步骤S201中,可对传输层、网络层和数据链路层采用不同的存活资产探测方式。具体通过图3所示实施方式进行详细说明。
参照图3,若探测方式为主动探测,对TCP/IP五层模型中的传输层、网络层和数据链路层进行资产存活扫描,得到存活资产,包括如下步骤:
S301、根据数据链路层的地址解析协议探测目标资产,并调用三层协议对目标资产进行跨网段探测,得到存活资产。
在探测方式为主动探测时,首先进行资产MAC、资产IP探测,即通过数据链路层的ARP协议探测目标资产的IP和MAC。ARP协议即为地址解析协议。由于ARP协议不可进行跨网段探测,故本实施例中为了扩大目标资产的探测范围,调用三层协议,对目标资产进行跨网段IP探测,得到存活资产。
三层协议指IP协议、DHCP协议和NAT技术。其中IP协议是用于TCP/IP协议簇中的网络层协议,用于使计算机网络相互连接进行通信;DHCP协议是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:一是为内部网络或网络服务供应商自动分配IP地址,二是作为用户或内部网络管理员对所有计算机中央进行管理的手段;NAT技术指网络地址转换,当内部网的主机分配到本地IP地址后,又需与因特网上的主机通信时,即可采用NAT方法。
S302、根据网络层的控制报文协议探测存活的目标主机,并调用目标工具在目标主机中探测并得到存活资产。
控制报文协议为ICMP协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。通过网络层的控制报文协议即可探测目标主机是否存活。存活主机用于表述目标主机地址状态,确定目标主机是否存活即确定目标主机是否开机并在线,且能对探测包做出回应。
通过控制报文协议可确定网络通信情况或目标主机的状态,通过调用Ping、Fping、Hping发现资产IP,即可探测并得到存活资产。Fping为小型命令行工具,用于向网络主机发送ICMP协议回应请求;Hping为命令行下使用的TCP/IP数据包组装和分析工具,其包括路由跟踪模式,用于在两个相互包含的通道之间传送文件。
S303、根据传输层的传输通信协议向待测主机发送测试数据包,并获取反馈数据包。
本实施例中,传输层采用TCP方式,TCP是一种面向连接的、可靠的传输通信协议,可发送SYN数据包,若目标主机返回SYN/ACK或者RST数据包,即可证明目标主机为存活状态。即传输通信协议为TCP协议,测试数据包为SYN数据包,反馈数据包用于确定目标主机是否存活。具体的,SYN表示建立连接,ACK表示应答,RST表示连接重置。流程如下:首先发送SYN数据包用于探测资产IP;其次目标地址反馈并返回SYN/ACK或者RST数据包,表明此IP为开放状态。
S304、若反馈数据包为目标数据包,则判定目标主机为存活状态且目标主机的第一资产为开放状态。
由步骤S303可知,目标地址反馈并返回SYN/ACK或者RST数据包,表明此IP为开放状态,即表明第一资产为开放状态,目标数据包指SYN/ACK或者RST数据包。
S305、基于预设的端口扫描程序,扫描目标主机的目标端口,得到端口反馈包,若端口反馈包为目标反馈包,则判定目标端口为开放状态。
在确定资产IP为开放状态且目标主机为存活状态时,需确定端口是否开放,此时即基于端口扫描程序对目标主机的目标端口进行扫描,并获取目标端口返回的端口反馈包,若端口反馈包为目标反馈包则判定目标端口为开放状态。具体的,目标反馈包为SYN+ACK。若端口反馈包不为SYN+ACK,则表明端口不开放。
S306、根据目标端口,探测并得到第一资产中的存活资产。
在目标端口开放的状态下,即可探测并得到第一资产中的存活资产。
本实施方式提供的基于混合方式的资产识别方法,对TCP/IP五层模型中的传输层、网络层和数据链路层进行资产存活扫描时,传输层、网络层和数据链路层采用不同的存活资产探测方式,便于有效对存活资产进行识别。
在图2所示实施方式的步骤S201中,针对传输层的资产主动探测除TCP这种方式外,还可为UDP方式。具体通过图4所示实施方式进行详细说明。
参照图4,若探测方式为主动探测,对TCP/IP五层模型中的传输层、网络层和数据链路层进行资产存活扫描,得到存活资产,还包括如下步骤:
S401、根据数据链路层的地址解析协议探测目标资产,并调用三层协议对目标资产进行跨网段探测,得到存活资产。
S402、根据网络层的控制报文协议探测存活的目标主机,并调用目标工具在目标主机中探测并得到存活资产。
需要说明的是,步骤S401至步骤S402中的主动探测方式下的数据链路层和网络层的探测与步骤S301至步骤S302一致。不同的是,步骤S403至步骤S404的传输层的主动探测方式为UDP方式。UDP用于利用IP提供面向无连接的网络通信服务。若目标主机处于活跃状态,但目标端口为关闭状态,此时会返回一个ICMP数据包;如果主机处于不活跃状态,则不会返回任何信息。
S403、向待测主机的数据端口发送第一数据包,并获取返回数据包。
本实施例中,第一数据包为UDP数据包,即事先构造UDP数据包,后向待测主机的数据端口发送UDP数据包,并接收返回的返回数据包。
S404、若返回数据包为目标回复包,判定数据端口为不开放端口,并在数据端口中筛除不开放端口,得到开放端口。
由于接收的返回数据包为多个,此时遍历返回数据包,并判断数据端口返回的返回数据包是否为ICMP回复包即目标回复包,若为目标回复包,表明数据端口未开放,为不开放端口,此时则在所有数据端口中筛除不开放端口,剩余的数据端口即为开放端口。
S405、根据开放端口,探测并得到存活资产。
在得到开放端口后,即可根据开放端口探测并得到存活资产。
本实施方式提供的基于混合方式的资产识别方法,传输层采用端口扫描方式探测存活资产,即通过返回数据包即可确定不开放端口,在得到不开放端口后根据数据端口将不开放端口进行筛除,即可得到开放端口,并得到存活资产,提高了传输层探测存活资产的灵活性。
在图3或图4所示实施方式中,对资产的识别均为主动探测,可通过资产IP库和公网IP库对待测资产信息进行比对,得到目标资产信息。具体通过图5所示实施方式进行详细说明。
参照图5,基于预设的资产IP库和预设的公网IP库对待测资产信息进行比对,得到目标资产信息,包括如下步骤:
S501、根据应用层的服务协议进行协议探测,得到服务信息。
应用层的服务协议可以为域名系统DNS协议、FTP文件传输协议、telnet远程终端协议、HTTP超文本传送协议、SMTP电子邮件协议、POP3邮件读取协议、Telnet远程登录协议、SNMP简单网络管理协议、TFTP简单文件传送协议等。此时可通过应用层的服务协议获取服务信息,包括服务器地址、服务器端口号、公网IP、资产IP等。
S502、将服务信息与待测资产信息进行融合,得到融合资产信息,并将融合资产信息分别与资产IP库和公网IP库进行比对,判断融合资产信息是否命中资产IP库。
将服务信息与待测资产信息进行融合,即可完善待测资产信息,得到融合资产信息,此时将融合资产信息的资产IP与资产IP库进行比对,将公网IP与公网IP库进行比对,即可判断融合资产信息是命中资产IP库还是公网IP库。
S503、若命中资产IP库,将目标资产信息与预设的资产指纹进行比对。
资产指纹为已知,若融合资产信息命中资产IP库,表明融合资产为隐形资产,此时即将目标资产信息与资产指纹进行比对,用于对融合资产的IP、MAC、端口等进行更新。
S504、若未命中资产IP库,命中公网IP库,丢弃融合资产信息。
若融合资产信息未命中资产IP库,但命中公网IP库,表明融合资产信息并非隐形资产,此时丢弃融合资产信息。
S505、若未命中资产IP库且未命中公网IP库,将融合资产信息作为目标资产信息,并将目标资产信息存储至备用库中。
若融合资产信息未命中资产IP库且未命中公网IP库,此时则将融合资产信息作为目标资产信息存储至备用库中,用于后续对隐形资产进行识别。后续的识别可为软件识别亦可为人为识别。
本实施方式提供的基于混合方式的资产识别方法,若融合资产信息未命中资产IP库,且未命中公网IP库,表明融合资产信息为隐形资产,从而便于提高对隐形资产识别的准确性。
在图1所示实施例的步骤S102中,在探测方式为主动探测时,还可通过主动联动管理系统方式对隐形资产进行主动探测。具体通过图6所示实施方式进行详细说明。
参照图6,根据探测任务对待测资产进行探测,得到待测资产信息,还包括如下步骤:
S601、若探测方式为主动探测,根据不同探测区域的目标网络,调用访问工具。
本实施例中,主动探测方式为主动联动管理系统方式,即通过联动漏扫扫描、基线核查、病毒查杀、虚拟资源系统获取资产IP、资产名称、用户账号、进程运行、端口、操作系统、业务运行等资产信息。
在采用此方式进行主动探测前,需首先根据人为设定的不同探测区域的目标网络,调用具备目标网络访问权限的工具,即访问工具。
S602、根据访问工具发起主动探测,获取得到待测资产信息。
在调用访问工具后,即可发起主动探测,获取得到待测资产信息。
具体的,在主动联动管理系统方式中,根据访问工具进行探测的方式有四种:
第一种为侵入式扫描方式:漏洞扫描系统对目标网络进行侵入式扫描,扫描完成后收集IP、端口、漏洞、系统版本等资产;
第二种为远程登录验证方式:基线核查系统远程登录资产,收集资产IP、操作系统、版本号、进程、端口、应用等资产信息;
第三种为Agent方式:病毒查杀时需要植入主机和服务器中,故通过病毒查收控制端进行对终端agent的进程进行资产探测;
第四种为API对接:虚拟云主机的开通、使用、挂起和回收,需要通过虚拟资源系统进行管理,故虚拟资源系统拥有完善和精准的私有云资产信息,通过API主动调度虚拟资源系统的资产数据库信息,即可获取虚拟云资产信息信息和动态变化信息,扩展了整体资产管理范围。
若探测方式为被动匹配时,本实施例中,采用两种被动探测方式对待测资产进行探测。
采用第一种被动探测方式对待测资产进行探测的步骤,根据探测任务对待测资产进行探测,得到待测资产信息,包括:
若探测方式为被动匹配,对当前网络的核心流量进行镜像处理,并截取网络数据包,获取得到网络数据包中的待测资产信息。
第一种被动探测方式为流量分析方式,对当前网络的核心流量进行镜像处理首先需确定镜像端口,并将对应的流量放到这个端口,之后截取镜像的网络数据包,即可获取到网络数据包中的IP、端口、服务、操作系统版本信息等,即待测资产信息。
采用第二种被动探测方式对待测资产进行探测的步骤,根据探测任务对待测资产进行探测,得到待测资产信息,还包括:
若探测方式为被动匹配,通过预设的对接日志分析类系统获取待测资产信息。
第二种被动探测方式为日志分析方式,通过对接日志审计、SIME等日志分析类产品或者平台获取资产相关属性,即首先通过对接日志分析类系统获取资产IP、SYSLOG信息。syslog日志是系统日志的一种,即SYSLOG信息指系统日志信息。待测资产信息即为资产IP、SYSLOG信息。
本实施例中,被动匹配的方式为两种,提高资产识别探测的灵活性的同时,进一步提高了对隐形资产识别的准确性。
本实施方式提供的基于混合方式的资产识别方法,主动探测的探测方式还可首先根据不同探测区域的目标网络调用访问工具,并根据访问工具探测得到探测资产信息,即主动探测的方式并非仅有一种,通过多种主动探测方式,便于对隐形资产进行更准确的识别。
在图1所示实施例的步骤S103中,在探测方式为被动探测时,目标资产信息与主动探测时不同。具体通过图7所示实施方式进行详细说明。
参照图7,基于预设的资产IP库和预设的公网IP库对待测资产信息进行比对,得到目标资产信息,包括如下步骤:
S701、将待测资产信息与资产IP库和公网IP库进行比对,判断待测资产信息是否命中资产IP库。
S702、若命中资产IP库,将待测资产信息作为目标资产信息,并将目标资产信息与预设的目标资产指纹进行比对。
在主动探测方式中,目标资产信息为未命中资产IP库和未命中公网IP库的待测资产信息,在被动探测方式中,目标资产信息为命中资产IP库的待测资产信息。
若待测资产信息命中资产IP库,若被动探测方式为流量分析方式,将待测资产信息与已知的目标资产指纹进行比对,用于确定资产信息。
S703、若未命中资产IP库,命中公网IP库,丢弃待测资产信息。
若目标资产信息未命中资产IP库,但命中公网IP库,表明目标资产信息并非隐形资产,此时丢弃目标资产信息。
S704、若未命中资产IP库且未命中公网IP库,将待测资产信息存储至备用库中。
若目标资产信息未命中资产IP库且未命中公网IP库,此时则将目标资产信息存储至备用库中,用于后续对隐形资产进行识别。后续的识别可为软件识别亦可为人为识别。
本实施方式提供的基于混合方式的资产识别方法,在探测方式为被动匹配时,将命中资产IP库的待测资产信息作为目标资产信息,即探测方式不同,目标资产信息不同,便于对隐形资产的资产信息进行更精确的识别。
在图1所示实施例的步骤S104中,可通过目标资产信息完成对待测资产的识别。具体通过图8所示实施方式进行详细说明。
参照图8,根据预设的资产识别规则对目标资产信息进行比对分析,得到完整资产信息,完成对待测资产的识别,包括如下步骤:
S801、在命中资产IP库的目标资产信息中提取资产IP,并基于资产IP筛选对接日志分析类系统内的系统日志。
若被动探测方式为日志分析方式时,则需首先从命中资产IP库的目标资产信息中提取资产IP,并按照资产IP筛选对接日志分析类系统的系统日志,即syslog日志。
S802、提取系统日志中的日志资产信息,并对与预设的资产IP规则库内的资产IP匹配的日志资产信息进行资产有效性筛选,得到完整资产信息,完成对待测资产的识别。
日志资产信息包括IP、MAC、端口、操作系统、业务名称、系统版本、进程、用户信息等。资产IP规则库内存储有有效资产的有效资产信息,例如资产IP等,即在提取日志资产信息后,即首先筛选出与资产IP规则库内匹配的资产IP,即有效性筛选,在有效性筛选后即可得到完成资产信息,完成对待测资产的识别。
本实施方式提供的基于混合方式的资产识别方法,在命中资产IP库的目标资产信息中提取资产IP,而后即可对与资产IP规则库内的资产IP匹配的日志资产信息进行资产有效性筛选,得到完整资产信息,完成对待测资产的识别,便于对待测资产的识别。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,故:凡依本申请的结构、形状、原理所做的等效变化,均应涵盖于本申请的保护范围之内。
Claims (10)
1.一种基于混合方式的资产识别方法,其特征在于,包括:
获取探测区域、探测方式和探测工具,并基于所述探测区域、探测方式和所述探测工具建立对待测资产的探测任务;所述探测方式包括主动探测和被动匹配;
根据所述探测任务对待测资产进行探测,得到待测资产信息;
基于预设的资产IP库和预设的公网IP库对所述待测资产信息进行比对,得到目标资产信息;
根据预设的资产识别规则对所述目标资产信息进行比对分析,得到完整资产信息,完成对所述待测资产的识别。
2.根据权利要求1所述的一种基于混合方式的资产识别方法,其特征在于,所述根据所述探测任务对待测资产进行探测,得到待测资产信息,包括:
若所述探测方式为主动探测,对TCP/IP五层模型中的传输层、网络层和数据链路层进行资产存活扫描,得到存活资产,并获取所述存活资产的存活资产信息;
对所述存活资产信息进行整合,得到待测资产信息。
3.根据权利要求2所述的一种基于混合方式的资产识别方法,其特征在于,所述若所述探测方式为主动探测,对TCP/IP五层模型中的传输层、网络层和数据链路层进行资产存活扫描,得到存活资产,包括:
根据所述数据链路层的地址解析协议探测目标资产,并调用三层协议对所述目标资产进行跨网段探测,得到存活资产;
根据所述网络层的控制报文协议探测存活的目标主机,并调用目标工具在所述目标主机中探测并得到存活资产;
根据所述传输层的传输通信协议向待测主机发送测试数据包,并获取反馈数据包;
若所述反馈数据包为目标数据包,则判定目标主机为存活状态且目标主机的第一资产为开放状态;
基于预设的端口扫描程序,扫描所述目标主机的目标端口,得到端口反馈包,若端口反馈包为目标反馈包,则判定所述目标端口为开放状态;
根据所述目标端口,探测并得到所述第一资产中的所述存活资产。
4.根据权利要求2所述的一种基于混合方式的资产识别方法,其特征在于,所述若所述探测方式为主动探测,对TCP/IP五层模型中的传输层、网络层和数据链路层进行资产存活扫描,得到存活资产,还包括:
根据所述数据链路层的地址解析协议探测目标资产,并调用三层协议对所述目标资产进行跨网段探测,得到存活资产;
根据所述网络层的控制报文协议探测存活的目标主机,并调用目标工具在所述目标主机中探测并得到存活资产;
向待测主机的数据端口发送第一数据包,并获取返回数据包;
若所述返回数据包为目标回复包,判定所述数据端口为不开放端口,并在所述数据端口中筛除所述不开放端口,得到开放端口;
根据所述开放端口,探测并得到存活资产。
5.根据权利要求3或4任一项所述的一种基于混合方式的资产识别方法,其特征在于,所述基于预设的资产IP库和预设的公网IP库对所述待测资产信息进行比对,得到目标资产信息,包括:
根据应用层的服务协议进行协议探测,得到服务信息;
将服务信息与所述待测资产信息进行融合,得到融合资产信息,并将所述融合资产信息分别与所述资产IP库和所述公网IP库进行比对,判断所述融合资产信息是否命中所述资产IP库;
若命中所述资产IP库,将所述目标资产信息与预设的资产指纹进行比对;
若未命中所述资产IP库,命中所述公网IP库,丢弃所述融合资产信息;
若未命中所述资产IP库且未命中所述公网IP库,将所述融合资产信息作为目标资产信息,并将所述目标资产信息存储至所述备用库中。
6.根据权利要求1所述的一种基于混合方式的资产识别方法,其特征在于,所述根据所述探测任务对待测资产进行探测,得到待测资产信息,还包括:
若所述探测方式为主动探测,根据不同探测区域的目标网络,调用访问工具;
根据所述访问工具发起主动探测,获取得到待测资产信息。
7.根据权利要求2所述的一种基于混合方式的资产识别方法,其特征在于,所述根据所述探测任务对待测资产进行探测,得到待测资产信息,还包括:
若所述探测方式为被动匹配,对当前网络的核心流量进行镜像处理,并截取网络数据包,获取得到网络数据包中的待测资产信息。
8.根据权利要求6所述的一种基于混合方式的资产识别方法,其特征在于,所述根据所述探测任务对待测资产进行探测,得到待测资产信息,还包括:
若所述探测方式为被动匹配,通过预设的对接日志分析类系统获取待测资产信息。
9.根据权利要求8所述的一种基于混合方式的资产识别方法,其特征在于,所述基于预设的资产IP库和预设的公网IP库对所述待测资产信息进行比对,得到目标资产信息,包括:
将所述待测资产信息与所述资产IP库和所述公网IP库进行比对,判断所述待测资产信息是否命中所述资产IP库;
若命中所述资产IP库,将所述待测资产信息作为目标资产信息,并将所述目标资产信息与预设的目标资产指纹进行比对;
若未命中所述资产IP库,命中所述公网IP库,丢弃所述待测资产信息;
若未命中所述资产IP库且未命中所述公网IP库,将所述待测资产信息存储至所述备用库中。
10.根据权利要求9所述的一种基于混合方式的资产识别方法,其特征在于,所述根据预设的资产识别规则对所述目标资产信息进行比对分析,得到完整资产信息,完成对所述待测资产的识别,包括:
在命中所述资产IP库的所述目标资产信息中提取资产IP,并基于所述资产IP筛选所述对接日志分析类系统内的系统日志;
提取所述系统日志中的日志资产信息,并对与预设的资产IP规则库内的资产IP匹配的日志资产信息进行资产有效性筛选,得到完整资产信息,完成对所述待测资产的识别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311738149.5A CN117857411A (zh) | 2023-12-16 | 2023-12-16 | 一种基于混合方式的资产识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311738149.5A CN117857411A (zh) | 2023-12-16 | 2023-12-16 | 一种基于混合方式的资产识别方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117857411A true CN117857411A (zh) | 2024-04-09 |
Family
ID=90535350
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311738149.5A Pending CN117857411A (zh) | 2023-12-16 | 2023-12-16 | 一种基于混合方式的资产识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117857411A (zh) |
-
2023
- 2023-12-16 CN CN202311738149.5A patent/CN117857411A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9847965B2 (en) | Asset detection system | |
US20070297349A1 (en) | Method and System for Collecting Information Relating to a Communication Network | |
CN104205774B (zh) | 网络地址储存库管理 | |
US8955036B2 (en) | System asset repository management | |
CN104169937B (zh) | 机会系统扫描 | |
Jin et al. | Hop-count filtering: an effective defense against spoofed DDoS traffic | |
US8844041B1 (en) | Detecting network devices and mapping topology using network introspection by collaborating endpoints | |
Deri et al. | Effective traffic measurement using ntop | |
CN111756598A (zh) | 一种基于主动探测与流量分析结合的资产发现方法 | |
EP1695486B1 (en) | Method and system for collecting information relating to a communication network | |
US20090182864A1 (en) | Method and apparatus for fingerprinting systems and operating systems in a network | |
CN112398782A (zh) | 网络资产的识别方法、装置、介质及设备 | |
US20050259634A1 (en) | Method and apparatus for low-overhead service availability and performance monitoring | |
US10320881B2 (en) | Operating system fingerprint detection | |
Yu et al. | Traffic identification and overlay measurement of Skype | |
CN117857411A (zh) | 一种基于混合方式的资产识别方法 | |
CN109302390A (zh) | 一种漏洞检测方法和装置 | |
JP4484190B2 (ja) | ルーター探索システム、ルーター探索方法、及びルーター探索プログラム | |
CN117614668A (zh) | 一种企业互联网暴露面资产探测系统及其方法 | |
CN115914046A (zh) | VoIP网关识别方法、装置、设备和存储介质 | |
Hunter | A framework for Malicious Host Fingerprinting Using Distributed Network Sensors | |
Schomp | Complexity and Security of the Domain Name System | |
Sas | SnowWall: A Visual Firewall for the Surveillance society | |
CN114884853A (zh) | 一种网络安全设备测试系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |