本申请属于互联网技术领域,尤其涉及设备识别方法、装置、设备及介质。方法包括:捕获网络流量,并对网络流量进行基于协议的拆分,得到多个数据包;数据包具有至少一个协议类别;解析协议类别相同的数据包集合,得到网络设备在协议类别下的解析结果;根据网络设备在至少两个协议类别下的解析结果,得到第一结果,第一结果为网络设备的识别结果。本申请能够更为高效地实现网络流量的解析,具有更好的时效性,还能够更全面地获得该网络设备的特征,进而得到更准确的识别结果。而得到更准确的识别结果。而得到更准确的识别结果。
【技术实现步骤摘要】
设备识别方法、装置、设备及介质
[0001]本申请属于互联网
,尤其涉及设备识别方法、装置、设备及介质。
技术介绍
[0002]传统上,企业和组织在管理和保护其网络资产方面面临着诸多挑战。准确地了解和掌握网络中存在的设备资产,并对其进行细致的画像是至关重要的。这些设备资产可能包括服务器、路由器、交换机、终端设备等,其数量庞大且不断变化。然而,传统的设备/资产发现方法常常受限于管理混乱、人员手动配置和漏洞,导致信息不完整、更新滞后和资源浪费。
[0003]因此,如何提供一种更为高效的设备识别方法成为了业内亟需解决的技术问题。
技术实现思路
[0004]本申请实施例提供了设备识别方法、装置、设备及介质,可以解决设备/资产发现方法信息不完整、更新滞后和资源浪费的问题。
[0005]第一方面,本申请实施例提供了一种设备识别方法,包括:捕获网络流量,并对所述网络流量进行基于协议的拆分,得到多个数据包;所述数据包具有至少一个协议类别;解析所述协议类别相同的数据包集合,得到网络设备在所述协议类别下的解析结果;根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果,所述第一结果为所述网络设备的识别结果。
[0006]上述方法通过协议类别拆分网络流量为多个数据包,并根据同类协议的共有特质解析得到该类别下网络设备的解析结果,能够更为高效地实现网络流量的解析,同时,这种解析不依赖于识别主体的主动通信,通过网络设备之间的通信流量即可完成,具有更好的时效性;在此基础上,对于特定的网络设备,通过至少两个协议类别下的解析结果,能够更全面地获得该网络设备的特征,进而得到更准确的识别结果。
[0007]在第一方面的一种可能的实现方式中,所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤包括:根据所述网络设备在至少两个所述协议类别下的解析结果,得到所述网络设备的特征向量;在设备指纹库中确定与所述特征向量对应的设备指纹,并根据所述设备指纹得到第一结果;其中,所述设备指纹用于标识和区分所述网络设备。
[0008]上述方法通过引入预设的设备指纹库,使得特征向量与设备识别结果的对应关系更为明确,从而能够更为快速地得到第一结果;同时,设备指纹库的引入还为新设备识别、新方法识别提供了良好的迭代基础,可以通过更新设备指纹库的方式引入算法或设备上的更新。
[0009]在第一方面的一种可能的实现方式中,所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤前,还包括:通过如下步骤中的至少一个获取所述设备指纹库中的设备指纹:以已知设备间通信产生的网络流量为输入,运行指纹模型得到所述设备指纹的至少一部分,其中,所述指纹模型是通过样本和标签训练得到的机器学习模型;时序分析已知设备间的通信会话,得到所述设备指纹的至少一部分;统计分析以已知设备间通信产生的网络流量,得到所述设备指纹的至少一部分。
[0010]上述方法通过多个维度(机器学习、时序分析、统计分析)构建设备指纹,能够使得流量相似地不同设备能够得以更好地区分,提升设备识别的精度。
[0011]在第一方面的一种可能的实现方式中,所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤后,还包括:根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果;其中,所述第二结果是资产设备的识别结果,所述资产设备是一个或多个所述网络设备的载体。
[0012]上述方法在网络设备识别得到的特征的基础上,进行资产设备的识别,能够为网络中的资产管理和安全保护提供良好的基础。
[0013]在第一方面的一种可能的实现方式中,所述根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果的步骤后,还包括:根据所述第二结果,或者,根据所述第二结果和所述网络流量,建立所述资产设备和/或所述网络设备间的关系模型;其中,所述关系模型包括设备拓扑结构和通信关联信息。
[0014]上述方法在资产设备识别的基础上,构建关系模型,从而提供对设备特征和行为的深入理解,为网络管理和安全检测提供基础数据。
[0015]在第一方面的一种可能的实现方式中,所述根据所述第二结果,或者,根据所述第二结果和所述网络流量,建立所述资产设备和/或所述网络设备间的关系模型的步骤后,还包括:根据所述关系模型得到所述资产设备和/或所述网络设备间的通信关系和交互模式,所述通信关系和所述交互模式用于识别潜在的网络攻击路径。
[0016]上述方法在资产设备识别的基础上,通过通信关系和交互模式明确信息路径,从而为潜在的网络攻击路径识别提供了良好的基础。
[0017]在第一方面的一种可能的实现方式中,所述根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果的步骤后,还包括:根据所述第二结果,或者,根据所述第二结果和所述网络流量,得到所述资产设备的画像;其中,所述画像包括所述资产设备的硬件配置、软件版本以及安全漏洞中的至少一个。
[0018]上述方法在资产设备识别的基础上,建立设备资产的细致画像,提供对设备特征和行为的深入理解,为网络管理和安全监测提供基础数据和洞察力。
[0019]第二方面,本申请实施例提供了一种设备识别装置,包括:捕获模块,用于捕获网络流量,并对所述网络流量进行基于协议的拆分,得到多个
数据包;所述数据包具有至少一个协议类别,所述协议类别包括硬件识别协议、操作系统识别协议、服务识别协议以及客户端识别协议;解析模块,用于解析所述协议类别相同的数据包集合,得到网络设备在所述协议类别下的解析结果;识别模块,用于根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果,所述第一结果为所述网络设备的识别结果。
[0020]第三方面,本申请实施例提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面中任一项所述的设备识别方法。
[0021]第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一项所述的设备识别方法。
[0022]第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中任一项所述的设备识别方法。
[0023]可以理解的是,上述第二方面至第五方面的有益效果可以参见上述第一方面中的相关描述,在此不再赘述。
附图说明
[0024]为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0025]图1是本申请实施例提供的设备识别方法的流程示意图;图2是本申请实施例提供的设本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种设备识别方法,其特征在于,包括:捕获网络流量,并对所述网络流量进行基于协议的拆分,得到多个数据包;所述数据包具有至少一个协议类别;解析所述协议类别相同的数据包集合,得到网络设备在所述协议类别下的解析结果;根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果,所述第一结果为所述网络设备的识别结果。2.如权利要求1所述的设备识别方法,其特征在于,所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤包括:根据所述网络设备在至少两个所述协议类别下的解析结果,得到所述网络设备的特征向量;在设备指纹库中确定与所述特征向量对应的设备指纹,并根据所述设备指纹得到第一结果;其中,所述设备指纹用于标识和区分所述网络设备。3.如权利要求2所述的设备识别方法,其特征在于,所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤前,还包括:通过如下步骤中的至少一个获取所述设备指纹库中的设备指纹:以已知设备间通信产生的网络流量为输入,运行指纹模型得到所述设备指纹的至少一部分,其中,所述指纹模型是通过样本和标签训练得到的机器学习模型;时序分析已知设备间的通信会话,得到所述设备指纹的至少一部分;统计分析以已知设备间通信产生的网络流量,得到所述设备指纹的至少一部分。4.如权利要求1至3中任一项所述的设备识别方法,其特征在于,所述根据所述网络设备在至少两个所述协议类别下的解析结果,得到第一结果的步骤后,还包括:根据所述第一结果,或者,根据所述第一结果和所述网络流量,得到第二结果;其中,所述第二结果是资产设备的识别结果,所述资产设备是一个或多个所述网络设备的载体。5.如权利要求4所述的设备识别方法,其特征在于,所述根据所述第一结果,或者,根据所述第一结果...
【专利技术属性】
技术研发人员:龚亮华,邱强,方永成,
申请(专利权)人:烽台科技北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。