[发明专利]一种基于流量感知的网络资产拓扑识别方法

说明书

一种基于流量感知的网络资产拓扑识别方法，包括主动流量探测和被动流量探测；主动流量探测包括以下步骤：S1、采集端口存活情况；S2、发送协议探测包；S3、获取端口响应信息；S4、提取设备专有信息，并与厂商信息进行匹配；S5、建立设备指纹库；S6、建立网络资产拓扑图形；被动流量探测包括以下步骤：S1、部署旁路流量镜像；S2、收集二层广播通讯、三层IP通讯报文；S3、加载过滤规则，提取网络资产指纹；S4、建立网络资产指纹库；S5、对拓扑图形进行补充。本发明中，通过主动流量探测和被动流量探测相结合，使网络资产探测结果更加准确和全面；同时设置网络资产变更警示，确保网络资产指纹库的准确性，提高网络资产的使用安全。

技术领域

本发明涉及网络资产识别技术领域，尤其涉及一种基于流量感知的网络资产拓扑识别方法。

背景技术

网络资产主要是计算机(或通讯)网络中使用的各种设备。主要包括网络设备(路由、交换等)和安全设备(防火墙等)，目前大量互联网上暴露的设备，已成为攻击者发动大规模DDoS攻击的首选，如果我们捕获了被恶意利用的物联网设备，并已经对这些设备做到精准识别，那就可以通过指纹搜索出互联上暴露出的该类型全部的设备，将这些设备列入重点观测对象，通过预提前的防策略来减低未来攻击带来的影响。网络安全风险评估从网络资产识别开始，所以能否对网络产进行精准的识别对物联网安全研究有着重要意义。

中国发明专利公告号为CN109977990A提出的一种基于概念格的网络资产相似性度量方法，通过准确描述网络资产属性特征，可以显著简化网络资产识别过程，能够有效解决网络资产识别过程中差异程度难以量化的问题。但通过主动扫描的方式来探测存活端口记录，识别方式较为单一，且此种方式存在一些缺陷与不足，如跨网设备识别的问题、链路防护设备的影响等，存在网络资产漏报的可能，同时主动扫描占用网络资源，对网络的使用造成较大负担。

发明内容

(一)发明目的

为解决背景技术中存在的技术问题，本发明提出一种基于流量感知的网络资产拓扑识别方法，主动流量探测通过主动扫描，能识别存活资产的各类指纹信息，进而能协助判断目标资产是什么设备或系统，运行什么服务或应用，被动流量探测通过旁路部署流量镜像的方式，可实现网络存活资产的“被动发现”，被动流量探测不需要占用网络，减小网络负担，通过主动流量探测和被动流量探测相结合，使网络资产探测结果更加准确和全面；同时设置网络资产变更警示，确保网络资产指纹库的准确性，提高网络资产的使用安全。

(二)技术方案

本发明提出了一种基于流量感知的网络资产拓扑识别方法，包括主动流量探测和被动流量探测；

主动流量探测包括以下步骤：

S1、采集全网的网络地址的端口存活情况；

S2、对存活的地址端口发送协议探测包；

S3、获取存活端口的响应信息，响应信息称为标语，即Banner；

S4、分析Banner信息，提取设备专有信息，并与厂商信息进行匹配；

S5、匹配成功，则输出设备的对应指纹特征，建立设备指纹库；S6、建立网络资产拓扑图形；

被动流量探测包括以下步骤：

S1、部署旁路流量镜像；

S2、收集存活IP资产的二层广播通讯、三层IP通讯报文；

S3、对采集的流量特征信息加载不同的过滤规则，提取网络资产指纹；

S4、建立网络资产指纹库；

S5、对主动流量探测中第六步的拓扑图形进行补充。

优选的，提出基于Banner匹配的指纹生成方法，包括以下步骤：