一种网络资产智能识别方法及系统转让专利
申请号 : CN201910218694.9
文献号 : CN110336684B
文献日 : 2022-03-18
发明人 : 考其瑞
申请人 : 北京天防安全科技有限公司
摘要 :
权利要求 :
1.一种网络资产智能识别方法,其特征在于,包括如下步骤:获取扫描地址范围;
扫描所述地址范围以发现在线设备,包括:从所述地址范围中获取具体IP地址列表,首先采用多线程并发方式针对每个IP地址判断是否能够ping通,若能够通讯,则将IP地址直接写入在线设备IP地址列表,若不能ping通,则针对无法ping通的地址进一步采用TCP协议,判断是否有常规网络端口开放;
若有常规网络端口开放,则将该IP地址加入在线设备IP地址列表并记录状态,若常规网络端口均无法连接,则启用UDP协议进行常规网络端口通信判断,若能够通讯,则将IP地址写入在线设备IP地址列表并记录状态,若常规网络端口都无法通讯,则针对该IP地址尝试TCP全端口扫描,扫描过程中若发现端口能够通讯,则将IP写入在线设备IP地址列表并记录状态,若无任何端口能够通讯,则将该IP地址作为无效地址丢弃;
在扫描过程中,启用独立的过程对已发现的在线设备IP地址采用SNMP协议尝试通讯,若能够正常通讯,则进一步判断是否为网络设备,若无法通讯或非网络设备,则丢弃,若是网络设备,则直接读取网络设备的ARP数据表,并将列表中的地址与已扫描到的在线设备IP地址进行比对和补充;
当地址范围内所有IP地址均扫描完毕后,本轮次扫描完成,将生成的在线设备IP地址列表导出;
采集所述在线设备的网络特征,包括:采用操作系统指纹识别、端口扫描、应用服务协议识别、应用服务信息识别方式相结合,获取设备的操作系统类型与版本、设备开放的端口列表与端口特征旗标信息、对外提供的应用服务类别、应用服务标识信息;
基于所述网络特征,识别所述在线设备的资产类别,包括:根据所述网络特征,对设备类别进行初步分类;
进一步扫描获取设备的品牌、型号、设备描述信息,结合扫描到的操作系统类型与版本、设备开放的端口列表与端口特征旗标信息、对外提供的应用服务类别、应用服务标识信息进行组合,将所有设备资产类型分为:终端设备、应用服务器设备、网络设备、视频设备、网络打印设备、安全运维设备、BYOD设备。
2.根据权利要求1所述的一种网络资产智能识别方法,其特征在于,所述扫描采用以下方式的一种或多种:ping、TCP扫描、UDP扫描、SNMP网络设备信息获取。
3.根据权利要求1所述的一种网络资产智能识别方法,其特征在于,所述基于所述网络特征,识别所述在线设备的资产类别,包括:根据每台设备扫描获得的操作系统类型及版本信息、开放的端口获得的各类旗标信息、各类应用服务类别、版本以及旗标信息,判断并分类设备的种类,将采用终端类操作系统且无固定应用服务的设备作为终端设备;将采用服务器类操作系统类型以及提供常用应用服务的设备作为应用服务设备,并进一步获取应用服务器各类应用的相关信息;将采用嵌入式操作系统,启用视频类应用协议或者服务旗标信息确认为视频应用服务的设备,作为视频类设备,然后进一步采用视频类应用进行进一步的协议判断、设备品牌、型号、类型信息的获取;将采用网络操作系统并启用网络服务的设备作为网络设备;采用网络操作系统、嵌入式操作系统,且应用服务旗标信息确认为安全类产品作为安全运维设备,并进一步获取设备的品牌、型号、类型信息;将启用网络打印、复印以及扫描服务的设备作为网络打印设备;将采用智能终端类操作系统的设备作为BYOD设备。
4.一种网络资产智能识别系统,其特征在于,包括:地址获取模块,用于获取扫描地址范围;
扫描模块,用于扫描所述地址范围以发现在线设备,包括:从所述地址范围中获取具体IP地址列表,首先采用多线程并发方式针对每个IP地址判断是否能够ping通,若能够通讯,则将IP地址直接写入在线设备IP地址列表,若不能ping通,则针对无法ping通的地址进一步采用TCP协议,判断是否有常规网络端口开放;
若有常规网络端口开放,则将该IP地址加入在线设备IP地址列表并记录状态,若常规网络端口均无法连接,则启用UDP协议进行常规网络端口通信判断,若能够通讯,则将IP地址写入在线设备IP地址列表并记录状态,若常规网络端口都无法通讯,则针对该IP地址尝试TCP全端口扫描,扫描过程中若发现端口能够通讯,则将IP写入在线设备IP地址列表并记录状态,若无任何端口能够通讯,则将该IP地址作为无效地址丢弃;
在扫描过程中,启用独立的过程对已发现的在线设备IP地址采用SNMP协议尝试通讯,若能够正常通讯,则进一步判断是否为网络设备,若无法通讯或非网络设备,则丢弃,若是网络设备,则直接读取网络设备的ARP数据表,并将列表中的地址与已扫描到的在线设备IP地址进行比对和补充;
当地址范围内所有IP地址均扫描完毕后,本轮次扫描完成,将生成的在线设备IP地址列表导出;
特征采集模块,用于采集所述在线设备的网络特征,包括:采用操作系统指纹识别、端口扫描、应用服务协议识别、应用服务信息识别方式相结合,获取设备的操作系统类型与版本、设备开放的端口列表与端口特征旗标信息、对外提供的应用服务类别、应用服务标识信息;
资产类别识别模块,基于所述网络特征,识别所述在线设备的资产类别,包括:根据所述网络特征,对设备类别进行初步分类;进一步扫描获取设备的品牌、型号、设备描述信息,结合扫描到的操作系统类型与版本、设备开放的端口列表与端口特征旗标信息、对外提供的应用服务类别、应用服务标识信息进行组合,将所有设备资产类型分为:终端设备、应用服务器设备、网络设备、视频设备、网络打印设备、安全运维设备、BYOD设备。
5.一种电子设备,包括:存储器和处理器;
所述存储器,用于存储计算机程序;
其中,所述处理器执行所述存储器中的计算机程序,以实现如权利要求1‑4中任一项所述的方法。
6.一种电子设备,其特征在于,包括如权利要求4所述的系统。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时用于实现如权利要求1‑3中任一项所述的方法。
说明书 :
一种网络资产智能识别方法及系统
技术领域
背景技术
使用及设备报废环节进行设备资产的生命周期的管理工作,设备采购时进行人工登记、分
配,部分设备资产管理系统以及大多数网络运维管理系统会对重要设备(例如业务服务器、
网络设备等)的运行状态进行监控管理,但对于大多数的普通设备,仅记录分配的部门、人
员等信息,对于设备的使用以及网络的接入运行状态无法进行监控,然后在设备淘汰时进
行报废记录。在整个设备资产管理过程中,仅能够实现对重要的设备的运行监控管理,而对
于大多数的设备仍基于人工登记建立的设备资产列表,无法适用网络资产的动态调整和变
化需要,在日常的网络运维管理和安全管理中,仍面临着众多管理难题:1)普遍缺乏对整个
网络中所有设备资产的统一监控和管理能力,作为管理人员或运维人员无法有效的掌握整
个网络的设备资产情况,无法了解各类资产的分布和活动情况,对网络和业务系统的安全
稳定的运行造成影响;2)设备资产分配使用后,设备如何使用,是否按照登记信息进行使
用,设备是否被替换等无法进行跟踪管理,造成设备资产的登记信息与实际接入的设备信
息差异越来越大,资产登记信息陈旧,信息严重缺失,网络规模越大,差异越大。3)随着无线
技术的快速发展和普及,通过便携式无线设备(无线AP、随身wifi设备等)接入到内部网络
的情况已普遍存在,同时随着个人终端(智能手机、平板电脑、笔记本等)的普及和快速发
展,将个人终端设备随意接入内部网络的行为普遍存在,甚至私自搭建网中网(通过无线设
备扩充网络等)等情况时有发生,而这些情况在现有的资产管理系统或者运维系统中无任
何记录,更无法监管,导致安全策略严重疏漏,管理部门却缺乏有效的监控和管理技术手段
发现和管理这些违规行为,严重影响内部网络的安全运行。
设备,并通过端口扫描方式,获取设备开放的端口和开放的服务类型,然后根据获得的应用
服务的旗标信息为设备添加标注性的标签。该技术主要目的是获取设备开放服务的标志信
息,以提供相关的数据检索和设备资产的人工判断。由于该技术主要针对互联网环境研发,
对于单位内部网络的资产发现和识别仍存在不足:1)对于内部网络环境中启用防火墙等访
问控制的设备,该技术无法发现该设备的存在,导致设备发现不完全;2)该技术仅将设备开
放服务的各类旗标信息进行获取和标识,并不会对设备资产类型进行判断,仍然需要人工
查询后,根据经验判断设备的资产种类;3)该技术无法发现和标识哑终端设备等众多的设
备类型信息,例如仅分配IP地址,但不提供管理服务的无线类设备、个人智能终端、IP电话、
门禁系统、网络设备等,导致网络中存在的大量设备仍然无法管理。
发明内容
实现对网络中所有设备的自动发现,然后通过对设备的网络特征的采集,根据设备的特征
组合,实现设备资产类别的智能识别与分类。
征;基于所述网络特征,识别所述在线设备的资产类别。
讯,则将IP地址直接写入在线设备IP地址列表,若不能ping通,则针对无法ping通的地址进
一步采用TCP协议,判断是否有常规网络端口开放;若有常规网络端口开放,则将该IP地址
加入在线设备IP地址列表并记录状态,若常规网络端口均无法连接,则启用UDP协议进行常
规网络端口通信判断,若能够通讯,则将IP地址写入在线设备IP地址列表并记录状态,若常
规网络端口都无法通讯,则针对该IP地址尝试TCP全端口扫描,扫描过程中若发现端口能够
通讯,则将IP写入在线设备IP地址列表并记录状态,若无任何端口能够通讯,则将该IP地址
作为无效地址丢弃;在扫描过程中,启用独立的过程对已发现的在线设备IP地址采用SNMP
协议尝试通讯,若能够正常通讯,则进一步判断是否为网络设备,若无法通讯或非网络设
备,则丢弃,若是网络设备,则直接读取网络设备的ARP数据表,并将列表中的地址与已扫描
到的在线设备IP地址进行比对和补充;当地址范围内所有IP地址均扫描完毕后,本轮次扫
描完成,将生成的在线设备IP地址列表导出。
本、设备开放的端口列表与端口特征旗标信息、对外提供的应用服务类别、应用服务标识信
息。
合扫描到的操作系统类型与版本、设备开放的端口列表与端口特征旗标信息、对外提供的
应用服务类别、应用服务标识信息进行组合,将所有设备资产类型分为:终端设备、应用服
务器设备、网络设备、视频设备、网络打印设备、安全运维设备、BYOD设备。
务类别、版本以及旗标信息,判断并分类设备的种类,将采用终端类操作系统且无固定应用
服务的设备作为终端设备;将采用服务器类操作系统类型以及提供常用应用服务的设备作
为应用服务设备,并进一步获取应用服务器各类应用的相关信息;将采用嵌入式操作系统,
启用视频类应用协议或者服务旗标信息确认为视频应用服务的设备,作为视频类设备,然
后进一步采用视频类应用进行进一步的协议判断、设备品牌、型号、类型信息的获取;将采
用网络操作系统并启用网络服务的设备作为网络设备;采用网络操作系统、嵌入式操作系
统,且应用服务旗标信息确认为安全类产品作为安全运维设备,并进一步获取设备的品牌、
型号、类型信息;将启用网络打印、复印以及扫描服务的设备作为网络打印设备;将采用智
能终端类操作系统的设备作为BYOD设备。
模块,用于采集所述在线设备的网络特征;资产类别识别模块,基于所述网络特征,识别所
述在线设备的资产类别。
上所述的方法。
产管理列表结果进行比对,便于用户进行资产摸底,逐步建立和完善内部网络的设备资产
信息库。
附图说明
的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
具体实施方式
施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本公开,并且能够将本公
开的范围完整的传达给本领域的技术人员。
发现,然后通过对设备的网络特征的采集,根据设备的特征组合,实现设备资产类别的智能
识别与分类,从而建立整个网络的设备资产实时信息库。采用该发明单位管理人员和运维
人员可以在短时间内通过技术手段快速摸清网络内部各设备资产的分布与活动状态,并对
设备的类别进行自动分类统计,为进一步的网络运维管理和安全管理提供基础数据依据。
结合,可实现对目标所有设备在线情况的准确判断。
通,则针对无法ping通的地址进一步采用TCP协议,判断是否有常规网络端口(例如21、80、
135、139、445等)开放,若有端口开放,则将该IP地址加入在线设备列表并记录状态,若常规
网络端口均无法连接,则启用UDP协议进行常规网络端口通信判断,若能够通讯,则将IP地
址写入在线设备IP地址列表并记录状态,若常规端口都无法通讯,则针对该IP地址尝试TCP
全端口(1‑65535)扫描,扫描过程中若发现端口能够通讯,则将IP写入在线设备IP地址列表
并记录状态,若无任何端口能够通讯,则将该IP地址作为无效地址丢弃。在扫描过程中,启
用独立的过程对已发现的在线设备IP地址采用SNMP协议(简单网络管理协议(SNMP,Simple
Network Management Protocol))尝试通讯,若能够正常通讯,则进一步判断是否为网络设
备(交换机),若无法通讯或非网络设备,则丢弃,若是网络设备,则直接读取网络设备的ARP
(地址解析协议,即ARP(Address Resolution Protocol))数据表(保存该交换机学习到的
进行网络通讯的IP地址列表),并将列表中的地址与已扫描到的在线设备IP地址进行比对
和补充。当地址范围内所有IP地址均扫描完毕后,本轮次扫描完成,可将生成的在线设备IP
地址列表导出,供后续环节使用。
识别等方式相结合,获取设备的操作系统类型与版本、设备开放的端口列表与端口特征旗
标信息、对外提供的应用服务类别、应用服务标识信息等基本网络特征,为下一步设备资产
类别识别提供依据。
端口列表与端口特征旗标信息、对外提供的应用服务类别、应用服务标识信息等特征进行
组合,完成设备资产类别的智能分类,可将所有设备资产类型分为:终端设备、应用服务器
设备、网络设备、视频设备、网络打印设备、安全运维设备、BYOD(BYOD(Bring Your Own
Device),自携设备)设备以及其他设备等种类。
类操作系统且无固定应用服务的设备作为终端设备;将采用服务器类操作系统类型以及提
供常用应用服务(例如web、数据库、文件、存储等)的设备作为应用服务设备,并进一步获取
应用服务器各类应用的相关信息;将采用嵌入式操作系统,启用视频类应用协议或者服务
旗标信息确认为视频应用服务的设备,作为视频类设备,然后进一步采用视频类应用进行
进一步的协议判断、设备品牌、型号、类型等信息的获取;将采用网络操作系统并启用网络
服务(例如路由转发等)的设备作为网络设备;采用网络操作系统、嵌入式操作系统等操作
系统类型,且应用服务旗标信息确认为安全类产品(例如防火墙、IDS、防病毒等)作为安全
运维设备,并进一步获取设备的品牌、型号、类型等信息;将启用网络打印、复印以及扫描等
应用服务的设备作为网络打印设备;将采用智能终端类操作系统的设备作为BYOD设备,除
此之外的设备作为其他设备处理。
一定的设备资产发现和运行监控的能力,但其主要侧重重要的服务器、网络设备的运维管
理,而无法实现对整个网络中所有设备的管理工作,网络空间测绘技术能够在一定程度上
发现设备,并进行设备资产信息的标签式管理,但其设备发现的能力不足,无法标识对外不
提供服务的设备,也无法明确标识设备的资产类型。本发明采用多种方式的主动式扫描方
式相结合,可以实现只要设备接入至内部网络,即可发现设备,具有完善的设备主动发现能
力。同时,本发明采用设备多种信息的组合判断,可实现设备类别的准确的智能识别和分
类,从而可以直观的反馈出网络中所有设备的资产类型和分布情况。另外,通过本发明完成
对整个网络的资产发现与分类后,管理人员可方便的进行设备资产的比对以及违规设备的
发现和管理工作,从而为整个网络的稳定运行和安全管理提供基础数据依据。
的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种
编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发
明的最佳实施方式。
和技术,以便不模糊对本说明书的理解。
例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保
护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面
的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,
遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身
都作为本发明的单独实施例。
元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或
子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何
组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任
何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权
利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代
替。
范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任
意之一都可以以任意的组合方式来使用。
微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的虚拟机的创建装置中的一
些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的
一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现
本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这
样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提
供。
不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未
列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的
元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实
现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项
来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名
称。
都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范
围为准。