本发明专利技术提供一种针对WEB服务器资产的自动识别方法:包括以下步骤:S1、采集流量作为数据包;S2、从内存中获取数据包,判断数据包中的端口是否为常规端口;如果数据包属于常规端口,执行步骤S4;如果数据包属于非常规端口;执行步骤S3;S3、对会话中客户端方向报文长度不为0的数据包进行特征匹配:如果匹配成功,设定该会话的协议类型为HTTP协议并将数据包传送到协议解析模块,执行步骤S4;如果匹配失败,数据包丢弃;S4、从数据包中还原出HTTP行为的HTTP审计日志,将HTTP审计日志发送到资产识别模块,执行步骤S5;S5、资产识别。本发明专利技术可以有效的解决非常规端口的WEB服务器资产的识别问题。
【技术实现步骤摘要】
针对WEB服务器资产的自动识别方法
本专利技术涉及一种WEB服务器资产识别方法,具体涉及一种针对WEB服务器资产的自动识别方法。
技术介绍
随着信息化技术的快速发展,网络安全的重要性与日俱增。要满足网络安全检查要求、提升网络安全治理能力,一项重要的基础性工作就是详细、完整的识别组织内部的信息资产,才能尽可能封堵组织内部的安全漏洞、私人服务器,保护数据资产的安全性。因此,需要对现有技术进行改进。
技术实现思路
本专利技术要解决的技术问题是提供一种高效的针对WEB服务器资产的自动识别方法。为解决上述技术问题,本专利技术提供一种针对WEB服务器资产的自动识别方法:包括以下步骤:S1、采集流量作为数据包;S2、从内存中获取数据包,判断数据包中的端口是否为常规端口;如果数据包属于常规端口,执行步骤S4;如果数据包属于非常规端口;执行步骤S3;S3、对会话中客户端方向报文长度不为0的数据包进行特征匹配:如果匹配成功,设定该会话的协议类型为HTTP协议并将数据包传送到协议解析模块,执行步骤S4;如果匹配失败,数据包丢弃;S4、从数据包中还原出HTTP行为的HTTP审计日志,将HTTP审计日志发送到资产识别模块,执行步骤S5;S5、资产识别,将资产信息进行备案。作为对本专利技术针对WEB服务器资产的自动识别方法的改进:步骤S5包括:步骤S51:提取HTTP审计日志的目的地址根据HTTP协议解析后还原的HTTP审计日志,提取目的地址信息,作为WEB服务器资产的IP;步骤S52:提取HTTP审计日志的域名信息根据HTTP协议解析后还原的HTTP审计日志,提取HOST域名信息,作为WEB服务器资产的域名。作为对本专利技术针对WEB服务器资产的自动识别方法的进一步改进:引擎启动时,在内存中完成匹配HTTP协议的特征串初始化,将特征串采用多模匹配的方式进行预编译处理;可基于特征串对数据包进行多模匹配,若非常规端口的报文符合这些特征即认为是HTTP协议;然后根据数据包中的五元组建立会话信息;如果会话中协议类型是HTTP协议,执行步骤S4;如果会话中协议类型不是HTTP协议,执行步骤S3。作为对本专利技术针对WEB服务器资产的自动识别方法的进一步改进:特征串的特征1:请求方法特征串,包含GET,POST,HEAD,PUT,DELETE,OPTIONS,CONNECT,TRACE,PATCH,MOVE,COPY,LINK,UNLINK,WRAPPED,Extension-mothed;特征2:HTTP版本特征串,HTTP/1.1;特征3:请求头特征串,包含Referer:,Accept:,Accept-Encoding:,Accept-Language:,Content-Type:,User-Agent:,Host:,Cookie:,Date:,Pragma:,Range:,Location:,Server:,Last-modified:。作为对本专利技术针对WEB服务器资产的自动识别方法的进一步改进:五元组包括源IP、源端口、目的IP、目的端口和传输层协议。作为对本专利技术针对WEB服务器资产的自动识别方法的进一步改进:HTTP审计日志包括客户端IP和端口、服务端IP和端口、请求方法、URL、请求头、HOST等。本专利技术针对WEB服务器资产的自动识别方法的技术优势为:本专利技术可以有效的解决非常规端口的WEB服务器资产的识别问题。本专利技术通过HTTP协议自动识别和解析,将还原后的HTTP审计日志关联出WEB服务器资产,可以有效的发现WEB服务器资产,快速形成全网的WEB服务器资产识别的能力。(1)HTTP协议自动识别,准确识别出网络流量中常规端口和非常规端口的HTTP协议流量;(2)资产自动识别,对常规端口和非常规端口的HTTP协议流量进行解析,还原后的HTTP审计日志关联出WEB服务器资产,可以有效的发现WEB服务器资产,快速形成全网的WEB服务器资产的自动识别能力。附图说明下面结合附图对本专利技术的具体实施方式作进一步详细说明。图1为针对WEB服务器资产的自动识别方法的流程示意图。具体实施方式下面结合具体实施例对本专利技术进行进一步描述,但本专利技术的保护范围并不仅限于此。实施例1、针对WEB服务器资产的自动识别方法,如图1所示,包括以下步骤:S1、采集流量作为数据包;持续采集网络环境中的流量,以数据包形式保存到内存。S2、从内存中获取数据包,判断数据包中的端口是否为常规端口;提供基于常规端口识别HTTP协议的方法,并把属于常规端口的数据包传递到协议解析模块(步骤S4),非常规端口的数据包传到到协议识别模块(步骤S3)。引擎启动时,会在内存中完成匹配HTTP协议的特征串初始化,将特征串采用多模匹配的方式进行预编译处理。这些特征串的特征1:请求方法特征串,包含GET,POST,HEAD,PUT,DELETE,OPTIONS,CONNECT,TRACE,PATCH,MOVE,COPY,LINK,UNLINK,WRAPPED,Extension-mothed等。特征2:HTTP版本特征串,HTTP/1.1等。特征3:请求头特征串,包含Referer:,Accept:,Accept-Encoding:,Accept-Language:,Content-Type:,User-Agent:,Host:,Cookie:,Date:,Pragma:,Range:,Location:,Server:,Last-modified:等。可基于这些特征串对数据包进行多模匹配,若非常规端口的报文符合这些特征即认为是HTTP协议。然后根据数据包中的五元组(源IP、源端口、目的IP、目的端口、传输层协议)建立会话信息。如果会话中协议类型是HTTP协议,执行步骤S4。如果会话中协议类型不是HTTP协议,执行步骤S3;S3、协议识别;对会话中客户端方向报文长度不为0的数据包进行特征匹配(多模匹配):如果匹配成功,设定该会话的协议类型为HTTP协议并将数据包传送到协议解析模块,执行步骤S4;如果匹配失败,数据包丢弃。S4、协议解析;提供基于HTTP协议标准规范对数据包进行解析和行为还原的方法,从数据包中还原出HTTP行为的HTTP审计日志,将HTTP审计日志发送到资产识别模块,执行步骤S5。S5、资产识别;资产识别模块提供基于HTTP审计日志关联资产的方法,将资产信息进行备案,包括以下步骤:步骤1:提取HTTP审计日志的目的地址根据HTTP协议解析后还原的HTTP审计日志,提取目的地址信息,作为WEB服务器资产的IP。步骤2:提取HTTP审计日志的域名信息根据HTTP协议解析后还原的HTTP审计日志,提取HOST域名信息,作为WEB本文档来自技高网...
【技术保护点】
1.针对WEB服务器资产的自动识别方法,其特征在于:包括以下步骤:/nS1、采集流量作为数据包;/nS2、从内存中获取数据包,判断数据包中的端口是否为常规端口;如果数据包属于常规端口,执行步骤S4;如果数据包属于非常规端口;执行步骤S3;/nS3、对会话中客户端方向报文长度不为0的数据包进行特征匹配:如果匹配成功,设定该会话的协议类型为HTTP协议并将数据包传送到协议解析模块,执行步骤S4;如果匹配失败,数据包丢弃;/nS4、从数据包中还原出HTTP行为的HTTP审计日志,将HTTP审计日志发送到资产识别模块,执行步骤S5;/nS5、资产识别,将资产信息进行备案。/n
【技术特征摘要】
1.针对WEB服务器资产的自动识别方法,其特征在于:包括以下步骤:
S1、采集流量作为数据包;
S2、从内存中获取数据包,判断数据包中的端口是否为常规端口;如果数据包属于常规端口,执行步骤S4;如果数据包属于非常规端口;执行步骤S3;
S3、对会话中客户端方向报文长度不为0的数据包进行特征匹配:如果匹配成功,设定该会话的协议类型为HTTP协议并将数据包传送到协议解析模块,执行步骤S4;如果匹配失败,数据包丢弃;
S4、从数据包中还原出HTTP行为的HTTP审计日志,将HTTP审计日志发送到资产识别模块,执行步骤S5;
S5、资产识别,将资产信息进行备案。
2.根据权利要求1所述的针对WEB服务器资产的自动识别方法,其特征在于:
步骤S5包括:
步骤S51:提取HTTP审计日志的目的地址
根据HTTP协议解析后还原的HTTP审计日志,提取目的地址信息,作为WEB服务器资产的IP;
步骤S52:提取HTTP审计日志的域名信息
根据HTTP协议解析后还原的HTTP审计日志,提取HOST域名信息,作为WEB服务器资产的域名。
3.根据权利要求2所述的针对WEB服务器资产的自动识别方法,其特征在于:
引擎启动时,在内存中完成匹配HTTP协议的特征串初始化,将特征串采用多模匹配的方式进行预编译处理;
可基于特征串对数据包进行多模匹...
【专利技术属性】
技术研发人员:刘元,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。