【技术实现步骤摘要】
一种基于被动测量的设备识别方法
本专利技术涉及网络安全测绘和被动测量
,尤其涉及一种基于被动测量的设备识别方法。
技术介绍
如今黑客攻击的方式更加多样,针对的设备更加广泛,利用的漏洞更加复杂,造成的威胁更加严重,特定的安全漏洞往往威胁某一类网络设备,这突显出了全面统计网络空间设备的分布情况及属性的重要性和紧迫性。在大规模的行业内部网络中,每天产生的流量数据数以亿计。流量数据反映了内部网络真实的状态,对于全面统计网络空间中的设备分布情况以及预警设备潜在威胁均具有很强的实用意义。通常情况下,NAT(网络地址转换)设备以终端的角色出现在流量数据中,这就会使得隐藏在NAT设备背后的主机或服务器以NAT设备的身份任意访问内网中服务资源。利用这一特点,攻击者可能使用隐藏在NAT设备后面的计算机从事非法活动,例如发起攻击、进行扫描、窃取数据、恶意下载、违规提供数据服务等,将会导致非常严重的问题。因此通过分析数据流量,定期检测并过滤出未经授权的NAT设备变得很必要。网络测绘是网络测量的延伸,网络测量技术用于网络...
【技术保护点】
1.一种基于被动测量的设备识别方法,其特征在于:/n步骤1:不同设备之间通信产生的流量数据转化成图结构,将设备作为节点,刻画每个节点在图中的重要程度,以此进行聚类分析,找出服务器设备;/n步骤2:针对上述服务器设备,分别得到与其通联的终端列表,并使用明确数字刻画终端与服务器通联的流量级别,以此进行聚类分析,分离同属于终端的主机和网络地址转换设备,即NAT设备;/n步骤3:对已经确定的NAT设备运行验证分析方法,判断其后面是否存在服务器。/n
【技术特征摘要】
1.一种基于被动测量的设备识别方法,其特征在于:
步骤1:不同设备之间通信产生的流量数据转化成图结构,将设备作为节点,刻画每个节点在图中的重要程度,以此进行聚类分析,找出服务器设备;
步骤2:针对上述服务器设备,分别得到与其通联的终端列表,并使用明确数字刻画终端与服务器通联的流量级别,以此进行聚类分析,分离同属于终端的主机和网络地址转换设备,即NAT设备;
步骤3:对已经确定的NAT设备运行验证分析方法,判断其后面是否存在服务器。
2.根据权利要求1所述的一种基于被动测量的设备识别方法,其特征在于:
所述步骤1具体包括:
(11)计算出每个节点的邻域平均度,将节点从小到大排序;选取节点的邻域平均度小于阈值α的设备用来确定服务器设备,所述阈值α的取值范围为0<α<1,确定服务器设备的待选节点集;
(12)以服务器设备待选节点集中所有节点的二维特征作为待聚类数据,其中一个维度是每个节点的关联度,另一个维度是每个节点的要塞指数;
(13)基于密度的聚类算法对待聚类数据进行聚类分析,聚类结果中,离群点属于服务器,簇内点属于终端。
3.根据权利要求1所述的一种基于被动测量的设备识别方法,其特征在于:
所述步骤2具体包括:
(21)针对每台服务器,找到与其通联的终端列表;
(22)收集每台服务器对应的终端列表中所有节点的三维特征作为待聚类数据,三维特征分别是通联次数、通联数据包数量以及通联数据总量;
(23)基于密度的聚类算法进行聚类分析,离群点属于NAT设备,簇内点属于主机。
4.根据权利要求1所述的一种基于被动测量的设备识别方法,其特征在于:
所述步骤3具体包括:
(31)对流量数据提取三元组,分别为源IP、目的IP和通信协议;
(32)若通信双方均为终端,那么通信双方至少有一方为NAT设备,并且该NAT设备后面隐藏着服务器;
(33)若源IP为服务器,目的IP为NAT设备且使用协议有TCP,那么该NAT设备后面的服务器与该服务器发生了通联;
(34)若源IP为服务器,目...
【专利技术属性】
技术研发人员:于爱民,张浩,蔡利君,孟丹,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。