基于标签评分的资产自动识别方法、系统及设备技术方案

本发明专利技术涉及资产识别技术领域，特别是涉及一种基于标签评分的资产自动识别方法、系统及设备。方法包括以下步骤：S1，根据获取的网络流量数据包生成画像表；S2，从所述画像表中提取出资产评分数据，根据多个维度、多个层级的指标，按照权重比例计算得到用于资产判别的分值。本发明专利技术的方法建立了多维度、多个层级的资产识别指标，得到的分值较为客观地对资产进行描述和评估，提高了资产识别的效率和准确度。提高了资产识别的效率和准确度。提高了资产识别的效率和准确度。

【技术实现步骤摘要】
基于标签评分的资产自动识别方法、系统及设备


[0001]本专利技术涉及资产识别
，特别是涉及一种基于标签评分的资产自动识别方法、系统及设备。

技术介绍

[0002]在进行网络安全分析时，核心是梳理出网络资产并进行统一管理。但绝大多数网络管理员都不清楚自己网络系统中有哪些资产，因此手动梳理出来的资产有限且不全面。因此需要资产自动识别技术，帮助网络管理员梳理清楚网络中的资产。
[0003]当前的资产识别技术主要基于主动探测的网络扫描技术，包括ICMP、TCP以及UDP等扫描技术来快速发现在线资产，即对需要探测识别的目标网络资产发送数据包，并等待设备回应，如果回应，则探测，到响应设备资产的IP和MAC信息。
[0004]基于主动探测的网络扫描技术，作为资产识别技术来说，存在缺点主要有：
[0005]1、在采用网络扫描机制时，如果目标主机不是存活状态则不会响应请求，因此存在漏报情况。
[0006]2、网络扫描机制发送探测数据包，等待目标主机回应，但实际网络中进行回应的设备不一定是系统网络中的真实资产，因此对资产识别的准确率较低。
[0007]因此，本专利技术主要是基于被动探测，根据网络流量数据的特征进行资产识别，作为最接近的现有技术，专利《基于网络流量特征智能梳理资产的方法、计算机程序及存储介质》公开了以下方法：基于被动流量识别，持续对流量进行分析并对所有产生流量有活跃网络行为的活跃主机打上画像标签；通过活跃主机的画像标签，根据资产类型的特性进行可行性概率计算，完成该主机资产类型的鉴别。
[0008]虽然该专利中在进行资产类型判定时采用了打分的方式，但是并没有针对客户端和服务端给出全面的打分指标，并且也没有考虑每一指标对资产确定影响的大小，使得最后的得分不能为高效准确的判别做支撑；并且计算中并没有考虑时间的积累，若只是根据某一时刻的数据进行打分具有偶然性，判断不准确；另外，该方案中并没有考虑当从流量数据中提取特征值时，面对大量的特征提取，如何减小系统中内存的消耗，提高效率。

技术实现思路

[0009]本专利技术为了克服上述问题，建立了多维度、多层级的资产识别指标，考虑了各指标的权重，提出了一种基于标签评分的资产自动识别方法、系统及设备。有效提高了资产识别的准确度。
[0010]为了实现上述专利技术目的，本专利技术提供了以下技术方案：
[0011]一种基于标签评分的资产自动识别方法，包括以下步骤：
[0012]S1，根据获取的网络流量数据包生成画像表；
[0013]S2，从所述画像表中提取出资产评分数据，根据多个维度、多个层级的指标，按照权重比例计算得到用于资产判别的分值。
[0014]作为本专利技术的优选方案，所述分值是根据服务资产评分指标和/或IP资产评分指标进行计算的。
[0015]作为本专利技术的优选方案，所述服务资产评分指标包括基本信息维度、活动维度和客户端维度。
[0016]作为本专利技术的优选方案，所述基本信息维度包括主机名称、主机别名、所属网段和协议。
[0017]作为本专利技术的优选方案，所述活动维度包括累积提供服务天数、服务活跃度类型分布、服务活跃时段分布。
[0018]作为本专利技术的优选方案，所述客户端维度包括访问客户端总占比、客户端分布范围、工作时段和非工作时段访问客户端比例。
[0019]作为本专利技术的优选方案，所述IP资产评分指标包括服务器属性和客户端属性。
[0020]作为本专利技术的优选方案，所述客户端属性包括访问服务器数量、访问资产服务器占比、访问服务分值等级和累积出现天数。
[0021]在设定打分指标时，并不是一概而论，而是根据服务资产和IP资产分类，根据各类别的资产的特性分别设置了多层级评分指标，对于每一个指标，给出了具体的获取方式、计算方式和评分策略，通过加权计算，有效提高了资产识别的准确度。
[0022]作为本专利技术的优选方案，步骤S1中，将网络流量数据包按时预设分层级的时间段进行聚合，并且每一层都对流量数据打上不同的网络特性标签，得到画像表。
[0023]根据实时获取的网络流量数据包生成画像表的过程中，通过对流量数据逐层汇聚进行一段时间内指标数据的统计，在每一层都对流量打上不同的网络特性标签，进行网络资产画像。
[0024]作为本专利技术的优选方案，所述分层级的时间段包括天、小时。数据汇聚过程中，由小时表聚合为天表，在资产评分数据获取时考虑了时间的积累，避免了只是根据某一时刻的数据进行打分具有偶然性，兼顾了资产判别的高效性和准确性。
[0025]作为本专利技术的优选方案，从所述网络流量数据包中筛选出部分数据进行聚合。
[0026]作为本专利技术的优选方案，生成的画像表包括IP画像表和服务画像表，所述服务画像表按照服务端IP+服务端端口聚合生成；所述IP画像表按照IP聚合生成。
[0027]作为本专利技术的优选方案，所述筛选出部分数据包括从七元组信息中筛选出三元组信息。
[0028]作为本专利技术的优选方案，筛选出的三元组信息包括：客户端IP、服务端IP、服务端端口。网络资产的画像是对流量数据逐层汇聚后得到的，汇聚过程中对数据进行了筛选，只通过关键数据生成画像表，避免了大量数据的提取和计算造成的内存消耗。
[0029]作为本专利技术的优选方案，所述从七元组信息中筛选出三元组信息具体包括：将实时获取的七元组信息按照小时聚合生成三元组小时表，再将所述三元组小时表按照天聚合，生成三元组天表。通过实时获取的七元组原始表聚合得到三元组小时表，再根据三元组小时表聚合得到三元组天表，通过小时表层级的聚合可以每小时释放一次内存，不会影响系统性能。并且通过三元组小时表中生成的字段来计算三元组天表也不容易造成数据的丢失和遗漏。
[0030]作为本专利技术的优选方案，步骤还包括：
[0031]S15，分别对服务画像表和IP画像表打上服务和IP天级别指标，所述服务和IP天级别指标包括当天服务提供方提供服务的最早和最晚时间点、当天访问该服务的客户端中属于内网客户端的个数、当天该IP在网络中首次和最后出现时间点、当天该IP是否在工作时段活跃。
[0032]作为本专利技术的优选方案，在步骤S1实时获取网络流量中的数据包之后还包括以下步骤：根据划定的内外网范围，从所述数据包中删除外网流量数据，仅内网流量数据包进入到后续资产识别流程。
[0033]作为本专利技术的优选方案，步骤S1中还包括以下步骤：将所述画像表和资产台账进行对比，找到待确定资产，对于既不是资产又不是非资产的服务或IP，生成待确定资产，相应步骤S3中，计算所述待确定资产的资产判别分值。将所述画像表和资产台账进行对比，找到待确定资产，对于既不是资产又不是非资产的服务或IP，生成待确定资产，并计算所述待确定资产的资产判别分值。上述步骤使得在资产判别的分值之前，先筛选出待确定资产，然后计算资产判别分值，而不是所有资产都要计算，对于已经明确是资产的对象不再进行计算，提高了计算的效率。
[0034]基于相同的构本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于标签评分的资产自动识别方法，其特征在于，包括以下步骤：S1，根据获取的网络流量数据包生成画像表；S2，从所述画像表中提取出资产评分数据，根据多个维度、多个层级的指标，按照权重比例计算得到用于资产判别的分值。2.如权利要求1所述的一种基于标签评分的资产自动识别方法，其特征在于，所述分值是根据服务资产评分指标和/或IP资产评分指标进行计算的。3.如权利要求2所述的一种基于标签评分的资产自动识别方法，其特征在于，所述服务资产评分指标包括基本信息维度、活动维度和客户端维度。4.如权利要求3所述的一种基于标签评分的资产自动识别方法，其特征在于，所述基本信息维度包括主机名称、主机别名、所属网段和协议。5.如权利要求3所述的一种基于标签评分的资产自动识别方法，其特征在于，所述活动维度包括累积提供服务天数、服务活跃度类型分布、服务活跃时段分布。6.如权利要求3所述的一种基于标签评分的资产自动识别方法，其特征在于，所述客户端维度包括访问客户端总占比、客户端分布范围、工作时段和非工作时段访问客户端比例。7.如权利要求2所述的一种基于标签评分的资产自动识别方法，其特征在于，所述IP资产评分指标包括服务器属性和客户端属性。8.如权利要求7所述的一种基于标签评分的资产自动识别方法，其特征在于，所述客户端属性包括访问服务器数量、访问资产服务器占比、访问服务分值等级和累积出现天数。9.如权利要求1
‑
8任一所述的一种基于标签评分的资产自动识别方法，其特征在于，步骤S1中，将网络流量数据包按预设分层级的时间段进行聚合，并且每一层都对流量数据打上不同的网络特性标签，得到画像表。10.如权利要求9所述的一种基于标签评分的资产自动识别方法，其特征在于，所述分层级的时间段包括天、小时。11.如权利要求10所述的一种基于标签评分的资产自动识别方法，其特征在于，从所述网络流量数据包中筛选出部分数据进行聚合。12.如权利要求11所述的一种基于标签评分的资产自动识别方法，其特征在于，生成的画像表包括IP画像表和服务画像表，所述服务画像表按照服务端IP+服务端端口聚合生成；所述IP画像表按照IP聚合生成。13.如权利要求12所述的一种基于标签评分的资产自动识别方法，其特征在于，所述筛选出部分数据包括从七元组信息中筛选出三元组信息。...

【专利技术属性】
技术研发人员：张雪梅，李元雄，
申请(专利权)人：科来网络技术股份有限公司，
类型：发明
国别省市：