[发明专利]针对WEB服务器资产的自动识别方法

权利要求书

1.针对WEB服务器资产的自动识别方法，其特征在于包括以下步骤：

S1、采集流量作为数据包；

S2、从内存中获取数据包，判断数据包中的端口是否为常规端口；如果数据包属于常规端口，执行步骤S4；如果数据包属于非常规端口；执行步骤S3；

引擎启动时，会在内存中完成匹配HTTP协议的特征串初始化，将特征串采用多模匹配的方式进行预编译处理；

特征串的特征1：请求方法特征串，包含GET，POST，HEAD，PUT，DELETE，OPTIONS，CONNECT，TRACE，PATCH，MOVE，COPY，LINK，UNLINK，WRAPPED，Extension-mothed；特征2：HTTP版本特征串，HTTP/1.1；特征3：请求头特征串，包含Referer:，Accept:，Accept-Encoding:，Accept-Language:，Content-Type:，User-Agent:，Host:，Cookie:，Date:，Pragma:，Range:，Location:，Server:，Last-modified:；

基于特征串对数据包进行多模匹配，若非常规端口的报文符合特征即认为是HTTP协议；

然后根据数据包中的五元组建立会话信息；如果会话中协议类型是HTTP协议，执行步骤S4；如果会话中协议类型不是HTTP协议，执行步骤S3；

所述五元组为源IP、源端口、目的IP、目的端口和传输层协议；

S3、对会话中客户端方向报文长度不为0的数据包进行特征匹配：如果匹配成功，设定该会话的协议类型为HTTP协议并将数据包传送到协议解析模块，执行步骤S4；如果匹配失败，数据包丢弃；

S4、从数据包中还原出HTTP行为的HTTP审计日志，将HTTP审计日志发送到资产识别模块，执行步骤S5；

S5、资产识别，将资产信息进行备案；

包括以下步骤：

步骤1：提取HTTP审计日志的目的地址

根据HTTP协议解析后还原的HTTP审计日志，提取目的地址信息，作为WEB服务器资产的IP；

步骤2：提取HTTP审计日志的域名信息

根据HTTP协议解析后还原的HTTP审计日志，提取HOST域名信息，作为WEB服务器资产的域名；

HTTP审计日志就是从数据包中已经解析还原出的行为信息，包含如下信息：客户端IP和端口、服务端IP和端口、请求方法、URL、请求头以及HOST；所以从审计日志中提取目的端口和HOST域名信息，是可以直接提取的。