一种网络资产发现方法、装置和存储介质,该方法包括:监听网络流量数据,解析所述网络流量数据得到资产基本信息;根据所述资产基本信息对网络资产进行分类;根据网络资产的类型对所述网络资产进行探测。通过该方法,一方面能够实现在对网络资产进行探测时,探测工具只需要扫描从流量中获取到的资产基本信息,可以指数级降低需要扫描的资产基本信息;另一方面,能够基于分类后的资产类型指定小范围的扫描任务,大幅减少扫描次数,极大的提高网络资产发现的效率。产发现的效率。产发现的效率。
【技术实现步骤摘要】
一种网络资产发现方法、装置和存储介质
[0001]本公开涉及但不限于网络安全
,尤其一种网络资产发现方法、装置和存储介质。
技术介绍
[0002]用户在网络环境中的资产(包括服务器、终端、网络设备等)越来越受到用户的重视,因此,我们需要通过发现并识别出用户网络中的资产和资产类型,帮助用户找到需要重点关注的资产,以便在监控重点资产出现安全风险或者漏洞后快速响应和处置,保障资产安全。
[0003]现有技术大多是通过Nmap、Masscann等端口扫描工具对指定网段做全量IP和端口扫描,发现网络上的资产信息,包括:IP、端口、提供的服务、服务的版本、硬件、操作系统等信息。然而,全量IP和端口扫描会存在扫描所需时间过长、扫描请求可能会被防火墙等安全设备拦截、产生告警等问题。
技术实现思路
[0004]以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。
[0005]本公开一实施例提供了一种网络资产发现方法,所述方法包括:
[0006]监听网络流量数据,解析所述网络流量数据得到资产基本信息;
[0007]根据所述资产基本信息对网络资产进行分类;
[0008]根据网络资产的类型对所述网络资产进行探测。
[0009]本公开一实施例还提供了一种网络资产发现装置,包括处理器以及存储有计算机程序的存储器,其中,所述处理器执行所述计算机程序时能够实现如本公开任一实施例所述的网络资产发现方法。
[0010]本公开一实施例还提供了一种非瞬态计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其中,所述计算机程序时被处理器执行时能够实现本公开任一实施例所述的网络资产发现方法。
[0011]本公开的网络资产发现方法、装置和存储介质,通过监测网络流量数据,并根据解析网络流量数据得到的资产基本信息对网络资产进行初步分类,一方面能够实现在对网络资产进行探测时,探测工具只需要扫描从流量中获取到的资产基本信息,可以指数级降低需要扫描的资产基本信息;另一方面,能够基于分类后的资产类型指定小范围的扫描任务,大幅减少扫描次数,极大的提高网络资产发现的效率。
[0012]在阅读并理解了附图和详细描述后,可以明白其他方面。
附图说明
[0013]图1为本公开一实施例网络资产发现方法的流程图;
[0014]图2为本公开一实施例网络资产发现的具体流程图;
[0015]图3为本公开一实施例网络资产发现装置的结构图。
具体实施方式
[0016]本公开描述了多个实施例,但是该描述是示例性的,而不是限制性的,并且对于本领域的普通技术人员来说显而易见的是,在本公开所描述的实施例包含的范围内可以有更多的实施例和实现方案。尽管在附图中示出了许多可能的特征组合,并在具体实施方式中进行了讨论,但是所公开的特征的许多其它组合方式也是可能的。除非特意加以限制的情况以外,任何实施例的任何特征或元件可以与任何其它实施例中的任何其他特征或元件结合使用,或可以替代任何其它实施例中的任何其他特征或元件。
[0017]本公开包括并设想了与本领域普通技术人员已知的特征和元件的组合。本公开已经公开的实施例、特征和元件也可以与任何常规特征或元件组合,以形成由权利要求限定的独特的专利技术方案。任何实施例的任何特征或元件也可以与来自其它专利技术方案的特征或元件组合,以形成另一个由权利要求限定的独特的专利技术方案。因此,应当理解,在本公开中示出和/或讨论的任何特征可以单独地或以任何适当的组合来实现。因此,除了根据所附权利要求及其等同替换所做的限制以外,实施例不受其它限制。此外,可以在所附权利要求的保护范围内进行各种修改和改变。
[0018]此外,在描述具有代表性的实施例时,说明书可能已经将方法和/或过程呈现为特定的步骤序列。然而,在该方法或过程不依赖于本文所述步骤的特定顺序的程度上,该方法或过程不应限于所述的特定顺序的步骤。如本领域普通技术人员将理解的,其它的步骤顺序也是可能的。因此,说明书中阐述的步骤的特定顺序不应被解释为对权利要求的限制。此外,针对该方法和/或过程的权利要求不应限于按照所写顺序执行它们的步骤,本领域技术人员可以容易地理解,这些顺序可以变化,并且仍然保持在本公开实施例的精神和范围内。
[0019]本公开一实施例提供了一种网络资产发现方法,如图1所示,所述网络资产发现方法可以按以下步骤执行:
[0020]步骤S110,监听网络流量数据,解析所述网络流量数据得到资产基本信息;所述资产基本信息包括IP地址、端口、应用协议信息等;
[0021]步骤S120,根据所述资产基本信息对网络资产进行分类;
[0022]步骤S130,根据网络资产类型对所述网络资产进行探测。
[0023]其中,监听网络流量数据可以通过在用户的核心交换机安装流量监测软件,分析用户的网络拓扑,获取用户关注的网络中的流量镜像,从而可以从镜像中获取网络原始报文。此外,监听网络流量数据可以设置为监听预设时间内的网络流量,比如可以为一天(24h)。
[0024]本实施的网络资产发现方法,通过监测网络流量数据,并根据解析网络流量数据得到的资产基本信息对网络资产进行初步分类,一方面能够实现在对网络资产进行探测时,探测工具只需要扫描从流量中获取到的资产基本信息,可以指数级降低需要扫描的资产基本信息;另一方面,能够基于分类后的资产类型指定小范围的扫描任务,大幅减少扫描次数,极大的提高网络资产发现的效率。
[0025]在本公开一示例性的实施例中,所述解析所述网络流量数据得到资产基本信息,
包括:解析目标网络报文得到报文中的IP地址;
[0026]所述根据所述资产基本信息对网络资产进行分类,包括:
[0027]对解析得到的每一IP地址,统计目的IP地址为该IP地址的报文在包含该IP地址的所有报文中的占比,在该占比大于或等于设定的第一占比阈值时,确定该IP地址对应的网络资产的类型为服务器;其中,所述第一占比阈值可以为80%。
[0028]对解析得到的每一IP地址,统计源IP地址为该IP地址的报文在包含该IP地址的所有报文中的占比,在该占比大于或等于设定的第二占比阈值时,确定该IP地址对应的网络资产的类型为终端;其中,所述第二占比阈值可以为80%。
[0029]在本实施例的一示例中,所述目标网络报文可以是指监听到的所有报文;或者所述目标网络报文也可以是指报文中的端口为指定的知名服务端口的报文;其中,所述知名服务器端口可以包括:web服务器端口、数据库服务器端口、和文件服务器端口;所述web服务器端口可以包括80、443、8080和8443,所述数据库服务器端口可以包括1521和3306,所述文件服务器端口可以包括139和445。上述端口仅为示例,知名服务器端口不限于此。
[0030]本实施例的网络资产发现方法,通过判断资产是否包含知名服务器端口,能够快速识别出服务器类型的资产,提升网络资产发现的性能。比如,在用户只需本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络资产发现方法,所述方法包括:监听网络流量数据,解析所述网络流量数据得到资产基本信息;根据所述资产基本信息对网络资产进行分类;根据网络资产的类型对所述网络资产进行探测。2.根据权利要求1所述的方法,其特征在于:所述根据网络资产的类型对所述网络资产进行探测,包括:根据分类结果,将不同类型的网络资产分到不同的探测任务集;及根据需要探测的网络资产的类型选择相应的探测任务集,对选择的探测任务集中的网络资产进行探测。3.根据权利要求2所述的方法,其特征在于:所述解析所述网络流量数据得到资产基本信息,包括:解析目标网络报文得到报文中的IP地址;所述根据所述资产基本信息对网络资产进行分类,包括:对解析得到的每一IP地址,统计目的IP地址为该IP地址的报文在包含该IP地址的所有报文中的占比,在该占比大于或等于设定的第一占比阈值时,确定该IP地址对应的网络资产的类型为服务器。4.根据权利要求3所述的方法,其特征在于:所述解析所述网络流量数据得到资产基本信息,包括:解析目标网络报文得到报文中的IP地址;所述根据所述资产基本信息对网络资产进行分类,包括:对解析得到的每一IP地址,统计源IP地址为该IP地址的报文在包含该IP地址的所有报文中的占比,在该占比大于或等于设定的第二占比阈值时,确定该IP地址对应的网络资产的类型为终端。5.根据权利要求3或4所述的方法,其特征在于:所述目标网络报文是指监听到的所有报文;或者,所述目标网络报文是指报文中的端口为指定的知名服务端口的报文。6.根据权利要求5所述的...
【专利技术属性】
技术研发人员:蒋春华,
申请(专利权)人:北京兰云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。