CN108900351B - 内网设备类型识别方法及装置 - Google Patents
内网设备类型识别方法及装置 Download PDFInfo
- Publication number
- CN108900351B CN108900351B CN201810772584.2A CN201810772584A CN108900351B CN 108900351 B CN108900351 B CN 108900351B CN 201810772584 A CN201810772584 A CN 201810772584A CN 108900351 B CN108900351 B CN 108900351B
- Authority
- CN
- China
- Prior art keywords
- devices
- equipment
- active
- inactive
- intranet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/54—Presence management, e.g. monitoring or registration for receipt of user log-on information, or the connection status of the users
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种内网设备类型识别方法及装置,该方法包括:基于内网环境中所有存活设备,根据监听到的特定协议包进行解析,获取所有活跃设备的Mac地址和设备连接关系图;设备连接关系图为目标存活设备的网络连接关系图,目标存活设备包括所有活跃设备和部分不活跃设备,或者所有活跃设备和所有不活跃设备;向不活跃设备发送主动探测包,以获取所有不活跃设备的Mac地址;根据设备连接关系图、所有活跃设备的Mac地址、所有不活跃设备的Mac地址,获取内网环境中所有存活设备的设备类型。本发明实施例提供的内网设备类型识别方法及装置,采用主被动协同方式识别内网设备类型,能有效减少发送探测包的次数,降低对目标网络的干扰。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种内网设备类型识别方法及装置。
背景技术
网络设备类型识别技术是通过目标设备的网络特征来识别其设备类型信息。网络设备泛指所有连接到计算机网络中的物理设备,这些设备之间的通信需要借助于计算机网络来完成。根据网络设备在计算机网络中扮演的角色和提供的功能,网络设备可分为打印机、网络摄像头、办公PC、路由器等。近年来,由于计算机网络的飞速发展,网络架构由传统公网直连的方式逐渐变为网络地址转换(Network Address Translation,简称NAT)方式,数量庞大、鱼龙混杂的设备走向了内网环境,内网其网络资源更敏感、安全防御更薄弱,为了能够更好地掌握内网网络资产分布状态及威胁风险态势,对内网网络空间设备进行快速探测和识别成为了一种必要手段。
在现有的设备识别技术中,需要对网络中所有可能存活的网络设备的多个端口发送大量的探测包,根据端口探测的响应信息使用字符串匹配或机器学习的方式推测设备的类型信息。
现有设备识别方式由于需要发送大量探测包,通常会消耗巨大的硬件资源和带宽,同时,大量的网络探测也可能会影响内网网络链路质量,造成内网服务不稳定等。
发明内容
本发明实施例为解决上述技术缺陷,提供一种内网设备类型识别方法及装置。
第一方面,本发明实施例提供一种内网设备类型识别方法,包括:
基于内网环境中所有存活设备,根据监听到的特定协议包进行解析,获取所有活跃设备的Mac地址和设备连接关系图;所述设备连接关系图为目标存活设备的网络连接关系图,所述目标存活设备包括所有活跃设备和部分不活跃设备,或者所有活跃设备和所有不活跃设备;
向不活跃设备发送主动探测包,以获取所有不活跃设备的Mac地址;
根据所述设备连接关系图、所有活跃设备的Mac地址、所有不活跃设备的Mac地址,获取内网环境中所有存活设备的设备类型。
第二方面,本发明实施例提供一种内网设备类型识别装置,包括:
被动监听模块,用于基于内网环境中所有存活设备,根据监听到的特定协议包进行解析,获取所有活跃设备的Mac地址和设备连接关系图;所述设备连接关系图为目标存活设备的网络连接关系图,所述目标存活设备包括所有活跃设备和部分不活跃设备,或者所有活跃设备和所有不活跃设备;
主动探测模块,用于向不活跃设备发送主动探测包,以获取所有不活跃设备的Mac地址;
识别模块,用于根据所述设备连接关系图、所有活跃设备的Mac地址、所有不活跃设备的Mac地址,获取内网环境中所有存活设备的设备类型。
第三方面,本发明实施例提供一种内网设备类型识别设备,包括存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如第一方面所述的内网设备类型识别方法。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述的内网设备类型识别方法。
本发明实施例提供的内网设备类型识别方法及装置,充分考虑了局域网的网络特征,采用主被动协同的方式,使用局域网轻量级协议做设备识别,只需对内网发送少量数据包即可识别出设备的类型,能有效减少整个探测过程向目标网络发送探测包次数,有效降低对目标网络的干扰。
附图说明
图1为本发明实施例内网设备组成图;
图2为本发明实施例内网设备类型识别方法的流程示意图;
图3为本发明实施例根据MDNS数据包获取一设备类型的示意图;
图4为本发明实施例根据MDNS数据包获取另一设备类型的示意图;
图5为本发明实施例根据SSDP数据包获取又一设备类型的示意图;
图6为本发明实施例内网设备类型识别方法示意图;
图7为本发明实施例内网设备类型识别装置的结构示意图;
图8为本发明实施例内网设备类型识别设备的实体结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
为解决现有技术中,对网络设备进行设备识别时,需要对大量端口发送大量探测包,可能造成网络拥堵、服务不稳定的问题,本发明实施例提出一种轻量级、低打扰的网络设备识别方法,通过主被动协同的方式,只需对目标网络发送少量数据包,即可识别出设备的类型,甚至对于某些网络设备,可以不用发送数据包,即可识别出设备的类型。
图1为本发明实施例内网设备组成图,如图1所示,包括:
S1,子网范围;
S2,存活设备;
S3,活跃设备;
S1-S3,可能存活的不活跃设备;
S2-S3,存活的不活跃设备。
如图1所示,首先设整个网络范围设为集合S1,S1里包括该网络范围内的所有设备,包括存活设备和不存活设备,其内网所有存活设备设为S2所示的范围。存活设备是相对于不存活设备而言的,不存活设备即宕机设备,无法响应任何请求。本发明实施例中的操作均是对于存活设备而言的,即如图1中所示的S2部分。
存活设备包括活跃设备和不活跃设备两大类。
如图1所示,其内网所有活跃设备为S3所示的范围,活跃设备是存活设备中正在工作中的设备,能够以一定的频率发送协议包,并被与内网连接的主机捕捉到。
由于S2代表的是存活设备,S3代表的是活跃设备,而存活设备包括活跃设备和不活跃设备,故图1中的S2-S3代表的是存活的不活跃设备,而S1-S3代表的是可能存活的不活跃设备。
图2为本发明实施例内网设备类型识别方法的流程示意图,如图2所示,包括:
步骤21,基于内网环境中所有存活设备,根据监听到的特定协议包进行解析,获取所有活跃设备的Mac地址和设备连接关系图;所述设备连接关系图为目标存活设备的网络连接关系图,所述目标存活设备包括所有活跃设备和部分不活跃设备,或者所有活跃设备和所有不活跃设备;
步骤22,向不活跃设备发送主动探测包,以获取所有不活跃设备的Mac地址;
步骤23,根据所述设备连接关系图、所有活跃设备的Mac地址、所有不活跃设备的Mac地址,获取内网环境中所有存活设备的设备类型。
首先,有一台与内网连接的主机,基于内网环境中的所有存活设备,被动监听特定协议包。本发明实施例充分考虑了内网网络环境和公网网络环境其使用协议的差异,在内网网络环境中,除了使用运行在公网上的通信协议外,通常还会使用许多内网专有协议,如地址解析协议(Address Resolution Protocol,以下简称ARP)、简单服务发现协议(SimpleService Discovery Protocol,以下简称SSDP)和组播DNS(multicast DNS,以下简称MDNS)等广播或组播协议,而这类内网专有协议中包含了很多能用于设备识别的信息,如ARP数据包中包含的Mac地址信息、SSDP中的设备描述信息、MDNS域名字符串隐含的设备信息以及内网设备的连接信息等。本发明实施例中的特定协议包即为基于各内网专有协议的组播数据包或广播数据包。
被动监听特定协议包即是监听活跃设备发送的协议包,活跃设备即如图1所示的S3代表的范围。通过解析该特定协议包的内容,能够获取到活跃设备的Mac地址信息,并建立设备连接关系图。其中,该设备连接关系图为目标存活设备的网络连接关系图,所述目标存活设备包括所有活跃设备和部分不活跃设备,或者所有活跃设备和所有不活跃设备。
由于被动监听只能够获取到活跃设备的Mac地址,而不能获得不活跃设备的Mac地址,故需要对不活跃设备发起主动探测。由于本发明实施例中的所有操作都是限定在存活设备中,故在本发明实施例中的不活跃设备的具体含义是指存活但不活跃的设备,即如图1所示的S2-S3代表的范围,以下实施例中所有的不活跃设备的含义均与此处相同。
虽然之前已经获取到内网活跃设备的Mac地址信息、设备连接关系图和部分活跃设备的精确设备类型,但这仅限活跃设备,即如图1所示的S3,内网网络中仍然存在很多不能确定的设备,其未产生组播或广播流量,不能确定其是否存活,即如图1所示的S1-S3部分,对于这类设备本发明实施例首先采用ARP主动探测的方式,确定出内网中存活的但不活跃的设备,即如图1所示的S2-S3部分,然后对S2-S3这部分设备进行SSDP主动探测,SSDP协议虽然是组播协议,但仍然支持使用单播方式进行通信,通过向S2-S3中的设备发送单播SSDP Search All类型的数据包,根据响应可获取其部分设备的精确设备类型。
由该与内网连接的主机向不活跃设备发送主动探测包,主动探测包也是基于内网专有协议的组播数据包或广播数据包,如ARP主动探测包、SSDP主动探测包等。不活跃设备对该主动探测包发出响应数据包,解析该响应数据包的内容,即可获取不活跃设备的Mac地址信息。
Mac地址,即为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责Mac地址。因此一个主机会有一个Mac地址,而每个网络位置会有一个专属于它的IP地址。
Mac地址是网卡决定的,是固定的。形象地说,Mac地址就如同我们身份证上的身份证号码,具有全球唯一性。
得到活跃设备和不活跃设备的Mac地址信息后,结合设备连接关系图,即可获取内网环境中所有存活设备的设备类型。具体的,根据活跃设备的Mac地址信息,能够获知活跃设备的大致设备类型,再结合设备连接关系图,进一步确定活跃设备的设备类型。Mac地址是由全球惟一的一个固定组织来分配的,未经认证和授权的厂家无权生产网卡。每块网卡都有一个固定的***,并且任何正规厂家生产的网卡上都直接标明了***,一般为一组12位的16进制数。其中前6位代表网卡的生产厂商。可根据设备的Mac地址信息获得其厂商信息,而每个厂商通常都生产某一类型的设备,如海康威视生产视频监控设备,TP-Link生产路由设备等,因此可以根据厂商信息推测其大致的设备类型,同时根据已经获取的设备的连接关系能间接推测出未知设备的类型,如和打印机设备连接的设备一般为主机设备,视频监控设备不会和打印机设备产生连接关系。通过设备连接信息可更精确地推测设备的类型,最终探测出内网所有存活设备及其型号信息。
本发明实施例提供的内网设备类型识别方法,充分考虑了局域网的网络特征,使用局域网轻量级协议做设备识别,能够有效减少***开销。对于活跃设备,采用被动监听组播或广播数据包方式进行设备属性的识别。对于不活跃设备,采用主动探测的方式,根据不活跃设备的响应数据包结合设备连接关系进行设备属性识别。这种主被动协同的方式,只需对内网发送少量数据包即可识别出设备的类型,能有效减少整个探测过程向目标网络发送探测包次数,有效降低对目标网络的干扰。
在上述实施例的基础上,所述根据监听到的特定协议包进行解析,获取所有活跃设备的Mac地址和设备连接关系图,具体包括:
监听并解析所述内网环境中的组播数据包,根据解析结果获取部分活跃设备的设备类型;
监听并解析所述内网环境中的广播数据包,根据解析结果获取所有活跃设备的Mac地址信息,建立设备连接关系图。
首先,针对活跃设备,监听并解析内网环境中的组播数据包,具体的,所述组播数据包为MDNS数据包和/或SSDP数据包。根据解析的内容可直接获取部分活跃设备的设备类型,下面分别以MDNS数据包和SSDP数据包为例说明。
MDNS,即组播DNS协议,主要实现了在没有传统DNS服务器的情况下使局域网内的主机实现相互发现和通信,在一个没有常规DNS服务器的小型网络内,可以使用MDNS来实现类似DNS的编程接口、包格式和操作语义。数据包可分为Request和Response两类,Request数据包是由请求者发起的域名解析,Response数据包是对应域名的设备发起的响应信息,两类数据包都是以组播的方式在局域网中传播,而域名信息为一个文本字符串,其中含有许多可用于设备识别的特征,通过为每种设备类型建立特征字符串指纹库,可以识别内网中一部分设备具体的类型信息。
图3为本发明实施例根据MDNS数据包获取一设备类型的示意图,如图3所示,根据解析到的内容可知某设备的Mac地址为10.10.12.85,其对应的设备类型为MacBook办公设备。
图4为本发明实施例根据MDNS数据包获取另一设备类型的示意图,如图4所示,该设备的Mac地址为10.10.12.209,其对应的设备类型为打印机设备。
SSDP协议是UPnP(Plugin and Play)技术的核心协议之一,提供了在局部网络里面发现设备的机制,该协议的数据包可分Search和Notify两类,都是以组播方式进行传播,Search类数据包提供服务发现的能力,即发现组内成员中某一特定类型设备或服务;Notify类数据包提供服务通知的能力,即通知组内成员本机提供的设备或服务。通过被动监听SSDP数据包,可以识别内网中存在的设备和服务。
图5为本发明实施例根据SSDP数据包获取又一设备类型的示意图,如图5所示,根据Server字段信息,可以得出Mac地址为10.10.12.210的设备对应的是一个打印机设备。
然后,再监听并解析内网环境中的广播数据包,具体的,该广播数据包可以为ARP数据包,根据解析的内容获取活跃设备的Mac地址信息,并建立设备连接关系图。设备连接关系图是目标存活设备的网络连接关系图,所述目标存活设备包括所有活跃设备和部分不活跃设备,或者所有活跃设备和所有不活跃设备。设备连接关系图的建立是在监听并解析广播数据包之后,获取活跃设备的Mac地址信息的过程中同步完成的。下面将以ARP广播数据包为例说明获取Mac地址和建立设备连接关系图的过程。
ARP是根据IP地址获取物理地址(Mac地址)的一个TCP/IP协议。ARP的通信方式为广播请求,单播响应,即内网中的某一设备想要和内网中另一设备进行通信时候,如果仅知道对方IP地址不知道对方的Mac地址,需要使用ARP广播的方式询问网络中该IP对应的Mac地址,同时附带通知网络中其他主机自身的Mac地址,此时能够获取到该设备与其他设备的连接关系,对应IP地址的设备收到此请求后,会单播回应给请求主机其Mac地址。根据上述机制,通过该步骤可以获取内网活跃设备的Mac地址信息,以及内网设备连接关系图。
得到活跃设备的Mac地址信息能够基本判定活跃设备类型的大致范围,再结合部分活跃设备的设备类型和设备连接关系图,即可得到所有活跃设备的设备类型。
本发明实施例提供的内网设备类型识别方法,通过监听并解析内网环境中的组播数据包,获取部分活跃设备的精确设备类型,再通过监听并解析内网中的广播数据包得到活跃设备的Mac地址信息和设备连接关系图,综合部分活跃设备的精确设备类型,活跃设备的Mac地址信息和设备连接关系图来共同推测得到所有活跃设备的设备类型。使用Mac地址对设备进行识别的方式克服了传统识别方法完全依赖软件信息进行判别可能造成误差的问题,因为Mac地址是设备硬件属性,通常情况不会被修改,因此能够更准确地刻画设备的属性。将设备连接的行为特征作为内网设备识别的向量,充分挖掘了不同类型设备的行为差异和不同设备业务相关性的知识,能更有效标定未知设备的类型。
在上述实施例的基础上,所述向不活跃设备发送主动探测包,以获取所有不活跃设备的Mac地址,具体包括:
向所述不活跃设备发送ARP主动探测包,获取所述不活跃设备的第一响应包信息;
根据所述第一响应包信息得到所述所有不活跃设备的Mac地址。
更具体的,在所述向所述不活跃设备发送ARP主动探测包,获取所述第一响应包信息后,所述方法还包括:
向所述不活跃设备发送SSDP主动探测包,获取所述不活跃设备的第二响应包信息;
根据所述第二响应包信息得到部分不活跃设备的设备类型。
针对不活跃设备,无法直接被动监听其内网中的数据包,故需要主动向不活跃设备发起探测。首先向所有不活跃设备发送ARP主动探测包,不活跃设备接收到该主动探测包后,需要作出响应,即第一响应包。此时获取第一响应包信息,解析该第一响应包的内容,得到所有不活跃设备的Mac地址。
然后,再向不活跃设备发送SSDP主动探测包,获取不活跃设备发出的第二响应包,解析该第二响应包的内容,得到部分不活跃设备的精确设备类型。
在上述实施例的基础上,所述根据所述设备连接关系图、所有活跃设备的Mac地址、所有不活跃设备的Mac地址,获取内网环境中所有存活设备的设备类型,具体包括:
根据所述所有活跃设备的Mac地址得到所有活跃设备的第一类型范围;根据所述第一类型范围、所述部分活跃设备的设备类型和所述设备连接关系图推测剩余活跃设备的设备类型;
根据所述所有不活跃设备的Mac地址得到所有不活跃设备的第二类型范围;根据所述第二类型范围、所述部分不活跃设备的设备类型和所述设备连接关系图推测剩余不活跃设备的设备类型。
在前面的步骤中已经获取到了内网存活设备中活跃设备的Mac地址信息和不活跃设备的Mac地址信息,部分活跃设备的精确设备类型信息和部分不活跃设备的精确设备类型信息,以及设备连接信息。Mac地址是由全球惟一的一个固定组织来分配的,未经认证和授权的厂家无权生产网卡。每块网卡都有一个固定的***,并且任何正规厂家生产的网卡上都直接标明了***,一般为一组12位的16进制数。其中前6位代表网卡的生产厂商。可根据设备的Mac地址信息获得其厂商信息,而每个厂商通常都生产某一类型的设备,据此来获得剩余活跃设备的第一类型范围和剩余不活跃设备的第二类型范围。其中,剩余活跃设备指的是所有活跃设备中除掉已经确定精确设备类型剩下的活跃设备,同样的,剩余不活跃设备指的是所有不活跃设备中除掉已经确定精确设备类型剩下的不活跃设备。
如海康威视生产视频监控设备,TP-Link生产路由设备等,因此可以根据厂商信息推测其大致的设备类型,同时根据已经获取的部分设备的精确设备类型信息以及设备的连接关系能间接推测出未知设备的类型,如和打印机设备连接的设备一般为主机设备,视频监控设备不会和打印机设备产生连接关系。通过设备连接信息可更精确地推测设备的类型,最终探测出内网所有存活设备及其型号信息。
综上所述,本发明实施例中的内网设备类型识别方法具体如下:
1、针对活跃设备,监听并解析内网环境中的MDNS、SSDP等组播数据包,获取部分活跃设备的精确设备类型;
2、针对活跃设备,监听并解析内网环境中ARP等广播数据包,获取活跃设备的Mac地址信息,并建立设备关系连接图;
3、针对不活跃设备,向其发送ARP主动探测包,获取不活跃设备的第一响应包信息,根据第一响应包信息得到所有不活跃设备的Mac地址;
4、针对不活跃设备,向其发送SSDP主动探测包,获取不活跃设备的第二响应包信息,根据第二响应包信息得到部分不活跃设备的精确设备类型;
5、根据活跃设备的Mac地址、部分活跃设备的精确设备类型以及设备连接关系图得到剩余活跃设备的设备类型,根据不活跃设备的Mac地址、部分不活跃设备的精确设备类型以及设备连接关系图得到剩余不活跃设备的设备类型,进而得到了内网环境中所有存活设备的设备类型。
本发明实施例提供的内网设备类型识别方法,充分考虑了局域网的网络特征,使用局域网轻量级协议做设备识别,能够有效减少***开销。对于活跃设备,采用被动监听组播或广播数据包方式进行设备属性的识别。对于不活跃设备,采用主动探测的方式,根据不活跃设备的响应数据包结合设备连接关系进行设备属性识别。这种主被动协同的方式,只需对内网发送少量数据包即可识别出设备的类型,能有效减少整个探测过程向目标网络发送探测包次数,有效降低对目标网络的干扰。
下面将结合附图对本发明实施例的方案的流程进行更详细的说明。
图6为本发明实施例内网设备类型识别方法示意图,如图6所示,包括:
601,基于选定的目标网络进行设备识别;
602,针对活跃设备,被动监听内网环境中的特定协议包,其中,特定协议包包括MDNS和SSDP组播数据包,以及ARP广播数据包;
603,针对不活跃设备,发起ARP主动探测;
604,针对不活跃设备,发起SSDP主动探测;
605,根据步骤602中的MDNS被动监听和SSDP被动监听得到部分活跃设备的精确类型,根据步骤602中的ARP被动监听得到活跃设备的Mac地址信息;
606,根据步骤602中的ARP被动监听得到设备连接关系图;
607,根据步骤603中的ARP主动探测得到捕获玉设备的Mac地址信息,根据步骤604中的SSDP主动探测得到部分不活跃设备的精确设备类型;
608,根据活跃设备的Mac地址信息、部分活跃设备的精确设备类型和设备连接关系得到剩余活跃设备的设备类型;
609,根据不活跃设备的Mac地址信息、部分不活跃设备的精确设备类型和设备连接关系得到剩余不活跃设备的设备类型;
610,根据步骤608和步骤609的结果,综合得到所有存活设备的设备类型。
本发明实施例提供的内网设备类型识别方法,充分考虑了局域网的网络特征,使用局域网轻量级协议做设备识别,能够有效减少***开销。对于活跃设备,采用被动监听组播或广播数据包方式进行设备属性的识别。对于不活跃设备,采用主动探测的方式,根据不活跃设备的响应数据包结合设备连接关系进行设备属性识别。这种主被动协同的方式,只需对内网发送少量数据包即可识别出设备的类型,能有效减少整个探测过程向目标网络发送探测包次数,有效降低对目标网络的干扰。
图7为本发明实施例内网设备类型识别装置的结构示意图,如图7所示,包括:被动监听模块71、主动探测模块72和识别模块73,其中,被动监听模块71用于基于内网环境中所有存活设备,根据监听到的特定协议包进行解析,获取所有活跃设备的Mac地址和设备连接关系图;所述设备连接关系图为目标存活设备的网络连接关系图,所述目标存活设备包括所有活跃设备和部分不活跃设备,或者所有活跃设备和所有不活跃设备;主动探测模块72用于向不活跃设备发送主动探测包,以获取所有不活跃设备的Mac地址;识别模块73用于根据所述设备连接关系图、所有活跃设备的Mac地址、所有不活跃设备的Mac地址,获取内网环境中所有存活设备的设备类型。
被动监听模块71被动监听特定协议包即是监听活跃设备发送的协议包。通过解析该特定协议包的内容,被动监听模块71能够获取到活跃设备的Mac地址信息,并建立设备连接关系图。其中,该设备连接关系图为目标存活设备的网络连接关系图,所述目标存活设备包括所有活跃设备和部分不活跃设备,或者所有活跃设备和所有不活跃设备。
由于被动监听只能够获取到活跃设备的Mac地址,而不能获得不活跃设备的Mac地址,故需要对不活跃设备发起主动探测。由主动探测模块72向不活跃设备发送主动探测包,如ARP主动探测包,不活跃设备对该主动探测包发出响应数据包,主动探测模块72解析该响应数据包的内容,即可获取不活跃设备的Mac地址信息。
得到活跃设备和不活跃设备的Mac地址信息后,识别模块73结合设备连接关系图,即可获取内网环境中所有存活设备的设备类型。具体的,识别模块73根据活跃设备的Mac地址信息,能够获知活跃设备的大致设备类型,再结合设备连接关系图,进一步确定活跃设备的设备类型。Mac地址是由全球惟一的一个固定组织来分配的,未经认证和授权的厂家无权生产网卡。每块网卡都有一个固定的***,并且任何正规厂家生产的网卡上都直接标明了***,一般为一组12位的16进制数。其中前6位代表网卡的生产厂商。可根据设备的Mac地址信息获得其厂商信息,而每个厂商通常都生产某一类型的设备,如海康威视生产视频监控设备,TP-Link生产路由设备等,因此可以根据厂商信息推测其大致的设备类型,同时根据已经获取的设备的连接关系能间接推测出未知设备的类型,如和打印机设备连接的设备一般为主机设备,视频监控设备不会和打印机设备产生连接关系......通过设备连接信息可更精确地推测设备的类型,最终探测出内网所有存活设备及其型号信息。本发明实施例提供的装置是用于执行上述各方法实施例的,具体的流程和详细介绍请参见上述各方法实施例,此处不再赘述。
本发明实施例提供的内网设备类型识别装置,充分考虑了局域网的网络特征,使用局域网轻量级协议做设备识别,能够有效减少***开销。对于活跃设备,采用被动监听组播或广播数据包方式进行设备属性的识别。对于不活跃设备,采用主动探测的方式,根据不活跃设备的响应数据包结合设备连接关系进行设备属性识别。这种主被动协同的方式,只需对内网发送少量数据包即可识别出设备的类型,能有效减少整个探测过程向目标网络发送探测包次数,有效降低对目标网络的干扰。
图8示例了一种内网设备类型识别设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)81、通信接口(Communications Interface)82、存储器(memory)83和总线84,其中,处理器81,通信接口82,存储器83通过总线84完成相互间的通信。总线84可以用于内网设备类型识别设备与内网存活设备之间的信息传输。处理器81可以调用存储器83中的逻辑指令,以执行如下方法:基于内网环境中所有存活设备,根据监听到的特定协议包进行解析,获取所有活跃设备的Mac地址和设备连接关系图;所述设备连接关系图为目标存活设备的网络连接关系图,所述目标存活设备包括所有活跃设备和部分不活跃设备,或者所有活跃设备和所有不活跃设备;向不活跃设备发送主动探测包,以获取所有不活跃设备的Mac地址;根据所述设备连接关系图、所有活跃设备的Mac地址、所有不活跃设备的Mac地址,获取内网环境中所有存活设备的设备类型。
此外,上述的存储器83中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例提供一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储计算机指令,该计算机指令使计算机执行上述实施例所提供的内网设备类型识别方法,例如包括:基于内网环境中所有存活设备,根据监听到的特定协议包进行解析,获取所有活跃设备的Mac地址和设备连接关系图;所述设备连接关系图为目标存活设备的网络连接关系图,所述目标存活设备包括所有活跃设备和部分不活跃设备,或者所有活跃设备和所有不活跃设备;向不活跃设备发送主动探测包,以获取所有不活跃设备的Mac地址;根据所述设备连接关系图、所有活跃设备的Mac地址、所有不活跃设备的Mac地址,获取内网环境中所有存活设备的设备类型。
以上所述仅为本发明的优选实施例,并不用于限制本发明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充,但并不会偏离本发明的精神或者超越所附权利要求书定义的范围。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种内网设备类型识别方法,其特征在于,包括:
基于内网环境中所有存活设备,根据监听到的特定协议包进行解析,获取所有活跃设备的Mac地址和设备连接关系图;所述设备连接关系图为目标存活设备的网络连接关系图,所述目标存活设备包括所有活跃设备和部分不活跃设备,或者所有活跃设备和所有不活跃设备;
向不活跃设备发送主动探测包,以获取所有不活跃设备的Mac地址;
根据所述设备连接关系图、所有活跃设备的Mac地址、所有不活跃设备的Mac地址,获取内网环境中所有存活设备的设备类型;
其中,所述根据监听到的特定协议包进行解析,获取所有活跃设备的Mac地址和设备连接关系图,具体包括:
监听并解析所述内网环境中的组播数据包,根据解析结果获取部分活跃设备的设备类型;
监听并解析所述内网环境中的广播数据包,根据解析结果获取所有活跃设备的Mac地址信息,建立设备连接关系图。
2.根据权利要求1所述的方法,其特征在于,所述组播数据包为MDNS数据包和/或SSDP数据包。
3.根据权利要求1所述的方法,其特征在于,所述广播数据包为ARP数据包。
4.根据权利要求1所述的方法,其特征在于,所述向不活跃设备发送主动探测包,以获取所有不活跃设备的Mac地址,具体包括:
向所述不活跃设备发送ARP主动探测包,获取所述不活跃设备的第一响应包信息;
根据所述第一响应包信息得到所述所有不活跃设备的Mac地址。
5.根据权利要求4所述的方法,其特征在于,在所述向所述不活跃设备发送ARP主动探测包,获取所述第一响应包信息后,所述方法还包括:
向所述不活跃设备发送SSDP主动探测包,获取所述不活跃设备的第二响应包信息;
根据所述第二响应包信息得到部分不活跃设备的设备类型。
6.根据权利要求5所述的方法,其特征在于,所述根据所述设备连接关系图、所有活跃设备的Mac地址、所有不活跃设备的Mac地址,获取内网环境中所有存活设备的设备类型,具体包括:
根据所述所有活跃设备的Mac地址得到所有活跃设备的第一类型范围;根据所述第一类型范围、所述部分活跃设备的设备类型和所述设备连接关系图推测剩余活跃设备的设备类型;
根据所述所有不活跃设备的Mac地址得到所有不活跃设备的第二类型范围;根据所述第二类型范围、所述部分不活跃设备的设备类型和所述设备连接关系图推测剩余不活跃设备的设备类型。
7.一种内网设备类型识别装置,其特征在于,包括:
被动监听模块,用于基于内网环境中所有存活设备,根据监听到的特定协议包进行解析,获取所有活跃设备的Mac地址和设备连接关系图;所述设备连接关系图为目标存活设备的网络连接关系图,所述目标存活设备包括所有活跃设备和部分不活跃设备,或者所有活跃设备和所有不活跃设备;
主动探测模块,用于向不活跃设备发送主动探测包,以获取所有不活跃设备的Mac地址;
识别模块,用于根据所述设备连接关系图、所有活跃设备的Mac地址、所有不活跃设备的Mac地址,获取内网环境中所有存活设备的设备类型;
其中,所述根据监听到的特定协议包进行解析,获取所有活跃设备的Mac地址和设备连接关系图,具体包括:
监听并解析所述内网环境中的组播数据包,根据解析结果获取部分活跃设备的设备类型;
监听并解析所述内网环境中的广播数据包,根据解析结果获取所有活跃设备的Mac地址信息,建立设备连接关系图。
8.一种内网设备类型识别设备,其特征在于,包括存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至6任一所述的方法。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至6任一项所述的内网设备类型识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810772584.2A CN108900351B (zh) | 2018-07-13 | 2018-07-13 | 内网设备类型识别方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810772584.2A CN108900351B (zh) | 2018-07-13 | 2018-07-13 | 内网设备类型识别方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108900351A CN108900351A (zh) | 2018-11-27 |
CN108900351B true CN108900351B (zh) | 2020-11-27 |
Family
ID=64349156
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810772584.2A Active CN108900351B (zh) | 2018-07-13 | 2018-07-13 | 内网设备类型识别方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108900351B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111934946A (zh) * | 2020-07-16 | 2020-11-13 | 深信服科技股份有限公司 | 网络设备识别方法、装置、设备及可读存储介质 |
CN112073988A (zh) * | 2020-07-31 | 2020-12-11 | 中国科学院信息工程研究所 | 一种局域网内隐藏摄像头的探测方法 |
CN112087532B (zh) * | 2020-08-28 | 2023-04-07 | ***通信集团黑龙江有限公司 | 信息获取方法、装置、设备及存储介质 |
CN112995358B (zh) * | 2021-04-21 | 2021-07-23 | 中国人民解放军国防科技大学 | 大规模网络地址转换流量识别方法、装置及计算机设备 |
CN113938404B (zh) * | 2021-10-12 | 2023-04-07 | 北京恒安嘉新安全技术有限公司 | 一种资产探测方法、装置、设备、***及存储介质 |
CN114244755B (zh) * | 2021-12-15 | 2023-11-14 | 北京恒安嘉新安全技术有限公司 | 一种资产探测方法、装置、设备及存储介质 |
CN114679738B (zh) * | 2022-03-24 | 2023-01-24 | 中咨数据有限公司 | 一种网络通信信号异常诊断分析方法、设备及存储介质 |
CN115190106A (zh) * | 2022-06-17 | 2022-10-14 | 苏州迈科网络安全技术股份有限公司 | 一种基于mdns协议的设备感知方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105704654A (zh) * | 2016-02-17 | 2016-06-22 | 深圳市贝美互动科技有限公司 | 一种无线通信方法及装置 |
CN106063306A (zh) * | 2014-03-03 | 2016-10-26 | 三菱电机株式会社 | 无线通信***和无线通信装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101193044B (zh) * | 2006-11-21 | 2010-05-12 | 北京大学 | 实时监测网络活动的重定向方法和装置 |
US9386155B2 (en) * | 2009-01-28 | 2016-07-05 | Virtual Hold Technology, Llc | Communication device for establishing automated call back using queues |
US9218628B2 (en) * | 2011-01-24 | 2015-12-22 | Beet, Llc | Method and system for generating behavior profiles for device members of a network |
CN104717107B (zh) * | 2015-03-27 | 2019-03-26 | 北京奇安信科技有限公司 | 网络设备探测的方法、装置及*** |
CN107154940A (zh) * | 2017-05-11 | 2017-09-12 | 济南大学 | 一种物联网漏洞扫描***及扫描方法 |
CN107294797B (zh) * | 2017-08-24 | 2020-06-09 | 广东电网有限责任公司电力科学研究院 | 网络拓扑结构识别方法和*** |
-
2018
- 2018-07-13 CN CN201810772584.2A patent/CN108900351B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106063306A (zh) * | 2014-03-03 | 2016-10-26 | 三菱电机株式会社 | 无线通信***和无线通信装置 |
CN105704654A (zh) * | 2016-02-17 | 2016-06-22 | 深圳市贝美互动科技有限公司 | 一种无线通信方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN108900351A (zh) | 2018-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108900351B (zh) | 内网设备类型识别方法及装置 | |
CN110113345B (zh) | 一种基于物联网流量的资产自动发现的方法 | |
Sivanathan et al. | Can we classify an iot device using tcp port scan? | |
US20180048540A1 (en) | Wireless terminal type identification method and system in router bridge networking mode | |
JP5390798B2 (ja) | ネットワーク機器についての早期警告のための方法と装置 | |
EP3219087B1 (en) | Methods, systems, and computer readable media for facilitating the resolving of endpoint hostnames in test environments with firewalls, network address translators(nats), or clouds | |
US8078735B2 (en) | Information processing system, tunnel communication device, tunnel communication method, and program | |
EP2297648B1 (en) | Network controller based pass-through communication mechanism between local host and management controller | |
US9215234B2 (en) | Security actions based on client identity databases | |
WO2019165775A1 (zh) | 一种局域网设备的搜索方法及搜索*** | |
US11949697B2 (en) | Hierarchical scanning of internet connected assets | |
CN112637364B (zh) | 建立p2p连接的方法、客户端及*** | |
WO2021197292A1 (zh) | 用于检测dhcp劫持的方法和设备 | |
CN111447089A (zh) | 终端资产识别方法和装置,及计算机可读存储介质 | |
CN111683162A (zh) | 一种基于流量识别的ip地址管理方法和装置 | |
US10097418B2 (en) | Discovering network nodes | |
CN111953810B (zh) | 识别代理互联网协议地址的方法、装置及存储介质 | |
US11411797B2 (en) | Device management method and related device | |
Naaz et al. | Investigating DHCP and DNS Protocols Using Wireshark | |
US10015179B2 (en) | Interrogating malware | |
KR101783014B1 (ko) | 공유단말 검출 방법 및 그 장치 | |
CN115766252A (zh) | 一种流量异常检测方法、装置、电子设备及存储介质 | |
JP4484190B2 (ja) | ルーター探索システム、ルーター探索方法、及びルーター探索プログラム | |
WO2014037028A1 (en) | A method of operating a switch or access node in a network and a processing apparatus configured to implement the same | |
CN107317869B (zh) | 一种节点nat类型探测方法、装置以及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |