CN111343167B - 一种基于网络的信息处理方法及电子设备 - Google Patents
一种基于网络的信息处理方法及电子设备 Download PDFInfo
- Publication number
- CN111343167B CN111343167B CN202010102379.2A CN202010102379A CN111343167B CN 111343167 B CN111343167 B CN 111343167B CN 202010102379 A CN202010102379 A CN 202010102379A CN 111343167 B CN111343167 B CN 111343167B
- Authority
- CN
- China
- Prior art keywords
- information
- network
- target device
- operating system
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于网络的信息处理方法及电子设备,该方法包括:向第一网络设备发送请求命令,以使第一网络设备响应请求命令,基于流经其自身的数据流生成相应的镜像流量,并将镜像流量发出;接收镜像流量,基于镜像流量获取网络中的目标设备对应的数据特征;基于数据特征确定目标设备的操作***;将操作***和数据特征输入到预设行为模型中,以基于预设行为模型确定相应的目标设备的资产信息。该信息处理方法能够不主动的对整个网络进行扫描探测操作,便能够根据镜像流量准确获得网络中的目标设备的资产信息。
Description
技术领域
本申请涉及网络信息和网络安全领域,特别涉及一种基于网络的信息处理方法及电子设备。
背景技术
随着信息化的发展,互联网信息***的安全问题也越来越受关注。在日益严峻的信息安全形势下,准确了解特定网络中(具有支配性质的所辖网络中)资产、应用的基本情况和安全状态非常重要。但是,目前在获取上述资产信息时,是以主动探测的形式进行(如通过主动探测资产端口的方式),是通过发送特定的网络探测数据包到目标资产,并对目标资产响应的返回结果进行资产的识别分析,才能得到相应的资产信息。而目前由于网络环境复杂、或网络安全防护策略保护等限制,会导致发送数据包的探测操作失败,从而无法识别网络中的资产。
发明内容
本申请实施例的目的在于提供一种基于网络的信息处理方法及电子设备,该信息处理方法能够不对整个网络进行扫描探测操作,便能够获得网络中的设备的资产信息,避免了因主动扫描探测时被阻断或给网络带来侵扰的现象。
为了解决上述技术问题,本申请的实施例采用了如下技术方案:一种基于网络的信息处理方法,包括:
向第一网络设备发送请求命令,以使所述第一网络设备响应所述请求命令,基于流经其自身的数据流生成相应的镜像流量,并将所述镜像流量发出;
接收所述镜像流量,基于所述镜像流量获取网络中的目标设备对应的数据特征;
基于所述数据特征确定所述目标设备的操作***;
将所述操作***和所述数据特征输入到预设行为模型中,以基于所述预设行为模型确定相应的所述目标设备的资产信息。
作为可选,其中,所述数据特征包括以下中的一个或多个:服务信息,资源更新信息以及表征流量与时间关系的第一关系信息。
作为可选,所述的接收所述镜像流量,基于所述镜像流量获取网络中的目标设备对应的数据特征,包括:
基于所述镜像流量,获取所述目标设备对应的地址信息和通信协议信息;
将所述地址信息和所述通信协议信息两者,与预设规则库进行比对,并根据比对结果获取所述目标设备对应的服务信息。
作为可选,所述数据特征还包括程序安装方式信息,所述的基于所述数据特征确定所述目标设备的操作***,包括:
至少基于所述程序安装方式信息和所述资源更新信息确定所述目标设备的操作***。
作为可选,所述的将所述操作***和所述数据特征输入到预设行为模型中,以基于所述预设行为模型确定相应的所述目标设备的资产信息,包括:
将所述目标设备的所述操作***、所述第一关系信息和所述服务信息输入到所述预设行为模型中,以使所述预设行为模型在确定的所述操作***的基础上,基于所述预设行为模型中数据特征与输出结论之间的推导关系,确定相应的所述目标设备的资产信息。
作为可选,所述目标设备包括终端设备和服务器设备;
所述服务信息包括文件传输服务信息、DNS解析服务、WEB访问服务和即时通信服务。
作为可选,所述方法还包括:
对接收到的所述镜像流量进行预处理操作,其中,
所述预处理操作包括:
对所述镜像流量进行数据格式的转化,以使所述镜像流量中的数据符合预设格式标准;
通过所述目标设备对应的地址信息获取服务域名信息,并将所述服务域名信息补充到所述镜像流量中;
将所述镜像流量中的额外数据过滤掉。
作为可选,所述方法还包括:
在所述目标设备对应的数据特征发生变化且变化程度超过预设变化范围的情况下,基于变化后的所述数据特征对所述预设行为模型进行更新操作。
本申请实施例还提供了一种电子设备,包括:
请求模块,其配置为向第一网络设备发送请求命令,以使所述第一网络设备响应所述请求命令,基于流经其自身的数据流生成相应的镜像流量,并将所述镜像流量发出;
获取模块,其配置为接收所述镜像流量,基于所述镜像流量获取网络中的目标设备对应的数据特征;
处理模块,其配置为基于所述数据特征确定所述目标设备的操作***;将所述操作***和所述数据特征输入到预设行为模型中,以基于所述预设行为模型确定相应的所述目标设备的资产信息。
作为可选,其中,所述数据特征包括以下中的一个或多个:服务信息,资源更新信息以及表征流量与时间关系的第一关系信息。
作为可选,所述获取模块进一步配置为:
基于所述镜像流量,获取所述目标设备对应的地址信息和通信协议信息;
将所述地址信息和所述通信协议信息两者,与预设规则库进行比对,并根据比对结果获取所述目标设备对应的服务信息。
作为可选,所述数据特征还包括程序安装方式信息,所述处理模块进一步配置为:至少基于所述程序安装方式信息和所述资源更新信息确定所述目标设备的操作***。
本申请实施例的有益效果在于:该信息处理方法能够不主动的对整个网络进行扫描探测操作,而是通过被动的接收到镜像流量,便能够根据镜像流量获得网络中的目标设备的资产信息,避免了因主动扫描探测时被阻断或给网络带来侵扰的现象,同时也能够准确的获得网络中目标设备的资产信息,如目标设备的身份信息,目标设备中的Web应用等关于目标设备的详细信息。
附图说明
图1为本申请实施例的基于网络的信息处理方法的流程图;
图2为本申请实施例的图1中步骤S2的一个实施例的流程图;
图3为本申请实施例的基于网络的信息处理方法的一个具体实施例的流程图;
图4为本申请实施例的信息处理方法中操作***发现过程的时序图;
图5为本申请实施例的电子设备的连接结构关系图;
图6为本申请实施例的电子设备的结构示意图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
图1为本申请实施例的基于网络的信息处理方法的流程图,本申请实施例的一种基于网络的信息处理方法,该方法可以应用在网络中,如具有自身支配能力的客户网络、内部网络、局域网等,并对该网络中的资产(如设备或设备上的应用等)的相关信息进行获取,如图1所示并结合图4和图5,该方法包括以下步骤:
S1,向第一网络设备发送请求命令,以使所述第一网络设备响应所述请求命令,基于流经其自身的数据流生成相应的镜像流量,并将所述镜像流量发出。
第一网络设备是网络中主干设备,所有网络与外部的互联网进行数据交互而形成的数据流均会流经该第一网络设备,例如第一网络设备为本实施例的网络中主要的交换机,交换机通过防火墙与外部的互联网连接以使网络与外部的互联网连接,而网络中目标设备(资产)则可以通过该第一网络设备与外部的互联网进行交互。例如,本实施例中可以在网络中设置相应的电子设备,如该电子设备包括控制台和主机,通过主机连接第一网络设备,并向第一网络设备发送请求命令,以向第一网络设备请求获取镜像流量,该方式不用主动的对网络中的设备进行扫描,避免主动探测被干扰后不能准确获得网络中的目标设备(资产)的资产信息的现象。镜像流量为对第一网络设备的数据流进行镜像操作后的流量,镜像流量的内容与流经第一网络设备的数据流的内容相同,第一网络设备在接收到请求命令后,基于流经其自身的数据流生成相应的镜像流量,并将该镜像流量发送给电子设备。
S2,接收所述镜像流量,基于所述镜像流量获取网络中的目标设备对应的数据特征,其中所述数据特征包括以下中的一个或多个:服务信息,资源更新信息以及表征流量与时间关系的第一关系信息。
具体来说,接收到第一网络设备发送的镜像流量后,能够对镜像流量进行数据分析,由于镜像流量中包括了网络中的众多目标设备在进行数据交互过程中产生的目标数据,因此基于目标数据可以获取各个目标设备对应的数据特征,如获取设备的服务信息,资源更新信息以及表征流量与时间关系的第一关系信息等,因此对镜像流量进行分析后能够获取目标设备对应的数据特征,再对该数据特征进行标注等操作,以在使用数据特征时可以根据标注信息对其进行调用。
S3,基于所述数据特征确定所述目标设备的操作***。
目标设备可以是服务器、终端设备(如PC设备)以及其他网络设备等。目标设备的操作***可以为Windows操作***、Linux操作***等,本实施例中在确定目标设备的资产信息之前需要首先确定操作***。由于数据特征能够表征目标设备的所有通信情况,因此可以从数据特征中至少部分特征来确定操作***。例如,表征目标设备在进行程序安装过程中的安装方式的信息,即程序安装方式信息;表征操作***进行资源更新过程相关情况的资源更新信息,表征操作***进行打补丁操作相关信息的补丁更新信息等均为目标设备的数据特征。基于上述的数据特征可以判断并确定目标设备的操作***,如是Windows操作***,或者是Linux操作***。
S4,将所述操作***和所述数据特征输入到预设行为模型中,以基于所述预设行为模型确定相应的所述目标设备的资产信息。
预设行为模型表征了操作***在网络中进行通讯的行为规则,该预设行为模型中规定了目标设备的数据特征与输出结论之间的推导关系,预设行为模型可以预设构建,并在使用过程中根据数据特征的变化而对其进行更新,以使其适用于当前的网络状态。资产信息包括目标设备的身份信息,以及目标设备中的Web应用等关于目标设备的详细信息,通过资产信息可以使用户及时了解网络中的资产的相关情况。本实施中,将目标设备的操作***和数据特征输入到预设行为模型中,通过预设行为模型计算得到目标设备的资产信息,例如在Windows操作***下,通过数据特征中的服务信息,以及表征流量与时间关系的第一关系信息可以判断目标设备为终端设备,进而判断终端设备中的Web应用等。
该信息处理方法能够不主动的对整个网络进行扫描探测操作,而是通过被动的接收到镜像流量,便能够根据镜像流量获得网络中的设备的资产信息,避免了因主动扫描探测时被阻断或给网络带来侵扰的现象,同时也能够准确的获得网络中目标设备的资产信息,如目标设备的身份信息,目标设备中的Web应用等关于目标设备的详细信息。
在本申请的一个实施例中,所述的接收所述镜像流量,基于所述镜像流量获取网络中的目标设备对应的数据特征,如图2所示,包括以下步骤:
S21,基于所述镜像流量,获取所述目标设备对应的地址信息和通信协议信息。
目标设备在网络中对应有相应的地址信息,如具有IP地址,能够基于该地址信息从网络中寻找到该目标设备,另外,目标设备对应的通信协议信息包括多种协议,如TCP/IP协议,NetBEUI协议,IPX/SPX协议等,在目标设备进行通信时可以基于上述协议进行数据交互,本实施例中可以从镜像流量中的目标设备对应的目标数据中,获得该目标设备对应的地址信息和通信协议信息。
S22,将所述地址信息和所述通信协议信息两者,与预设规则库进行比对,并根据比对结果获取所述目标设备对应的服务信息。
预设规则库可以是基于地址信息和通信协议信息推导服务信息的推导信息,包括地址信息和通信协议信息,与服务信息之间的关联关系。在地址信息和通信协议信息被确定的基础上,通过地址信息和通信协议信息两者,与预设规则库进行比对的对比结果中,获取到目标设备对应的服务信息。例如通过目标设备的IP地址以及交互时使用的通信协议,可以获得该目标设备的服务信息,如WEB服务、邮件服务、远程登录服务(ssh telnet rdpsmb winrm wmi snmp等)、文件传输服务(ftp)、即时通讯服务、DNS服务、VPN服务、时钟服务***升级更新服务、备份服务、异常反馈服务、资源库更新服务等。而确定的服务信息可以作为预设行为模型中的重要输入参数,以保证预设行为模型的精确计算过程。
在本申请的一个实施例中,所述数据特征还包括程序安装方式信息,所述的基于所述数据特征确定所述目标设备的操作***,包括以下步骤:至少基于所述程序安装方式信息和所述资源更新信息确定所述目标设备的操作***。
结合图4具体来说,程序安装方式信息为目标设备中安装程序的过程的相关信息,例如目标设备在安装软件时是通过用户输入的安装包进行安装,以及该安装包的来源信息。资源更新信息可以是目标设备在进行设备资源更新的过程中产生的相关信息,如操作***进行打补丁的方式,以及资源的下载方式等信息。本实施例中,至少基于程序安装方式信息和资源更新信息确定目标设备的操作***。例如,程序安装包通过程序出品商的服务器获得(具有相关获取信息),打补丁的方式也是用户主动的从不同于操作***的第三方处获得(相应的具有补丁获取信息),则根据上述相关信息则可以确定目标设备的操作***是Windows操作***;而如果程序安装包是来源于操作***本身的社区(该社区具有相关的社区信息),从该操作***的厂商建立的服务器中获取,并且操作***打补丁的方式也是基于操作***社区来获取(也具有相关的社区补丁获取信息),则可以基于上述相关信息认为该操作***为Linux操作***。
在本申请的一个实施例中,所述的将所述操作***和所述数据特征输入到预设行为模型中,以基于所述预设行为模型确定相应的所述目标设备的资产信息,包括:
将所述目标设备的所述操作***、所述第一关系信息和所述服务信息输入到所述预设行为模型中,以使所述预设行为模型在确定的所述操作***的基础上,基于所述预设行为模型中数据特征与输出结论之间的推导关系,确定相应的所述目标设备的资产信息。
具体来说,本实施例中可以先行确定目标设备的操作***,在确定的操作***的基础上,利用预设行为模型,并根据输入预设行为模型的第一关系信息和服务信息来确定目标设备的资产信息。进一步的,预设行为模型中设置有数据特征与输出结论之间的推导关系,包括第一关系信息和服务信息两者与输出结论之间的推导关系,以及其他数据特征与输出结论之间的推导关系。服务信息包括:WEB服务、邮件服务、远程登录服务(sshtelnet rdp smb winrm wmi snmp等)、文件传输服务(ftp)、即时通讯服务、DNS服务、VPN服务、时钟服务***升级更新服务、备份服务、异常反馈服务、资源库更新服务等。第一关系信息表征了流量与时间关系,例如在一天中的不同时间段与目标设备对应的流量之间的关系,如第一目标设备是上行流量大,下行流量小,白天上行流量大,晚上上行流量小;第二目标设备是上行流量大,输出流量大,白天和晚上的流量差别小。
本实施例中,基于预设行为模型中数据特征与输出结论之间的推导关系,确定相应的目标设备的资产信息。结合上述内容,举例来说,数据特征包括第一关系信息和服务信息。对第一目标设备进行判断,在确定了第一目标设备的操作***的情况下,如果其上行流量小、下行流量大、白天上行流量大、晚上上行流量少、具备文件传输服务、具备DNS解析服务、具备WEB访问服务与即时通讯服务等则可以通过预设行为模型做出判断,确定第一目标设备为终端设备(PC设备);对第二目标设备进行判断,在确定了第二目标设备的操作***的情况下,如果上行流量小、输出流量大、具备远程登录服务、对外提供WEB服务、具备FTP服务或邮件服务等则可以通过预设行为模型做出判断,确定第二目标设备为服务器设备。当然还可以通过目标设备对应的其他的数据特征进行判断,例如基于数据特征中是否存在社交信息的情况来对目标设备进行判断,如果有则认为是终端设备,进而确定相应的资产信息。
在本申请的一个实施例中,所述目标设备包括终端设备和服务器设备;所述服务信息包括文件传输服务信息、DNS解析服务、WEB访问服务和即时通信服务。
在本申请的一个实施例中,所述方法还包括:对接收到的所述镜像流量进行预处理操作,其中,如图3所示,所述预处理操作包括:
S5,对所述镜像流量进行数据格式的转化,以使所述镜像流量中的数据符合预设格式标准;
S6,通过所述目标设备对应的地址信息获取服务域名信息,并将所述服务域名信息补充到所述镜像流量中;
S7,将所述镜像流量中的额外数据过滤掉。
具体来说,接收到镜像流量后,需要对镜像流量进行格式化整理,标准化镜像流量的数据格式以使该镜像流量符合预设格式标准,便于对镜像流量进行进一步的处理,保证处理数据过程的准确程度。此外,镜像流量中可能会出现数据不完整的现象,从而影响对数据特征的判断,此时可以根据已经存在于镜像流量中的数据来对部分的特定内容进行补充,如通过目标设备对应的IP地址关联到DNS库找出对应的服务域名信息,并将服务域名信息补充到镜像流量中,从而完善镜像流量以便随后对目标设备对应的数据特征进行准确的判断。另外,本实施例中的预处理操作还可以对镜像流量进行降噪处理,将额外数据过滤掉,例如将一些干扰数据或对判断过程没有贡献的数据过滤掉,以免由于额外数据而引起误判。
在本申请的一个实施例中,所述方法还包括:在所述目标设备对应的数据特征发生变化且变化程度超过预设变化范围的情况下,基于变化后的所述数据特征对所述预设行为模型进行更新操作。
具体来说,网络在使用过程中,流经第一网路设备的数据流量可能会发生变化(如随着网络的业务的变化而出现数据流量的变化),使得获取到的镜像流量会发生变化,数据特征也会发生变化,本实施例中可以获取相关的变化数据,并在变化数据的变化程度超过预设变化范围的情况下,基于变化数据对预设行为模型进行更新操作,使得预设行为模型更加完善,可以适用于变化后的网络。
本申请实施例还提供了一种电子设备,该电子设备可以应用在网络中,如图6所示,并结合图4和图5,电子设备包括:
请求模块,其配置为向第一网络设备发送请求命令,以使所述第一网络设备响应所述请求命令,基于流经其自身的数据流生成相应的镜像流量,并将所述镜像流量发出。
第一网络设备是网络中主干设备,所有网络与外部的互联网进行数据交互而形成的数据流均会流经该第一网络设备,例如第一网络设备为本实施例的网络中主要的交换机,交换机通过防火墙与外部的互联网连接以使网络与外部的互联网连接,而网络中目标设备(资产)则可以通过该第一网络设备与外部的互联网进行交互。本实施例中电子设备的请求模块连接第一网络设备,并向第一网络设备发送请求命令,以向第一网络设备请求获取镜像流量,该方式不用主动的对网络中的设备进行扫描,避免主动探测被干扰后不能准确获得网络中的目标设备(资产)的资产信息的现象。镜像流量为对第一网络设备的数据流进行镜像操作后的流量,镜像流量的内容与流经第一网络设备的数据流的内容相同,第一网络设备在接收到请求命令后,基于流经其自身的数据流生成相应的镜像流量,并将该镜像流量发送给电子设备。
获取模块,其配置为接收所述镜像流量,基于所述镜像流量获取网络中的目标设备对应的数据特征,其中所述数据特征包括以下中的一个或多个:服务信息,资源更新信息以及表征流量与时间关系的第一关系信息。
具体来说,获取模块接收到第一网络设备发送的镜像流量后,能够对镜像流量进行数据分析,由于镜像流量中包括了网络中的众多目标设备在进行数据交互过程中产生的目标数据,因此获取模块基于目标数据可以获取各个目标设备对应的数据特征,如获取设备的服务信息,资源更新信息以及表征流量与时间关系的第一关系信息等,因此获取模块对镜像流量进行分析后能够获取目标设备对应的数据特征,再对该数据特征进行标注等操作,以在使用数据特征时可以根据标注信息对其进行调用。
处理模块,其配置为基于所述数据特征确定所述目标设备的操作***;将所述操作***和所述数据特征输入到预设行为模型中,以基于所述预设行为模型确定相应的所述目标设备的资产信息。
目标设备可以是服务器、终端设备(如PC设备)以及其他网络设备等。目标设备的操作***可以为Windows操作***、Linux操作***等,本实施例中处理模块在确定目标设备的资产信息之前需要首先确定操作***。由于数据特征能够表征目标设备的所有通信情况,因此处理模块可以从数据特征中至少部分特征来确定操作***。例如,表征目标设备在进行程序安装过程中的安装方式的信息,即程序安装方式信息;表征操作***进行资源更新过程相关情况的资源更新信息,表征操作***进行打补丁操作相关信息的补丁更新信息等均为目标设备的数据特征。基于上述的数据特征处理模块可以判断并确定目标设备的操作***,如是Windows操作***,或者是Linux操作***。
预设行为模型表征了操作***在网络中进行通讯的行为规则,该预设行为模型中规定了目标设备的数据特征与输出结论之间的推导关系,预设行为模型可以预设构建,并在使用过程中根据数据特征的变化而对其进行更新,以使其适用于当前的网络状态。资产信息包括目标设备的身份信息,以及目标设备中的Web应用等关于目标设备的详细信息,通过资产信息可以使用户及时了解网络中的资产的相关情况。本实施中,处理模块将目标设备的操作***和数据特征输入到预设行为模型中,通过预设行为模型计算得到目标设备的资产信息,例如在Windows操作***下,通过数据特征中的服务信息,以及表征流量与时间关系的第一关系信息可以判断目标设备为终端设备,进而判断终端设备中的Web应用等。
该电子设备能够不主动的对整个网络进行扫描探测操作,而是通过被动的接收到镜像流量,便能够根据镜像流量获得网络中的设备的资产信息,避免了因主动扫描探测时被阻断或给网络带来侵扰的现象,同时也能够准确的获得网络中目标设备的资产信息,如目标设备的身份信息,目标设备中的Web应用等关于目标设备的详细信息。
在本申请的一个实施例中,所述获取模块进一步配置为:
基于所述镜像流量,获取所述目标设备对应的地址信息和通信协议信息;
将所述地址信息和所述通信协议信息两者,与预设规则库进行比对,并根据比对结果获取所述目标设备对应的服务信息。
具体来说,目标设备在网络中对应有相应的地址信息,如具有IP地址,能够基于该地址信息从网络中寻找到该目标设备,另外,目标设备对应的通信协议信息包括多种协议,如TCP/IP协议,NetBEUI协议,IPX/SPX协议等,在目标设备进行通信时可以基于上述协议进行数据交互,本实施例中获取模块可以从镜像流量中的目标设备对应的目标数据中,获得该目标设备对应的地址信息和通信协议信息。
预设规则库可以是基于地址信息和通信协议信息推导服务信息的推导信息,包括地址信息和通信协议信息,与服务信息之间的关联关系。在地址信息和通信协议信息被确定的基础上,获取模块通过地址信息和通信协议信息两者,与预设规则库进行比对的对比结果中,获取到目标设备对应的服务信息。例如通过目标设备的IP地址以及交互时使用的通信协议,可以获得该目标设备的服务信息,如WEB服务、邮件服务、远程登录服务(sshtelnet rdp smb winrm wmi snmp等)、文件传输服务(ftp)、即时通讯服务、DNS服务、VPN服务、时钟服务***升级更新服务、备份服务、异常反馈服务、资源库更新服务等。而确定的服务信息可以作为预设行为模型中的重要输入参数,以保证预设行为模型的精确计算过程。
在本申请的一个实施例中,所述数据特征还包括程序安装方式信息,所述处理模块进一步配置为:至少基于所述程序安装方式信息和所述资源更新信息确定所述目标设备的操作***。
结合图4具体来说,程序安装方式信息为目标设备中安装程序的过程的相关信息,例如目标设备在安装软件时是通过用户输入的安装包进行安装,以及该安装包的来源信息。资源更新信息可以是目标设备在进行设备资源更新的过程中产生的相关信息,如操作***进行打补丁的方式,以及资源的下载方式等信息。本实施例中,处理模块至少基于程序安装方式信息和资源更新信息确定目标设备的操作***。例如,程序安装包通过程序出品商的服务器获得(具有相关获取信息),打补丁的方式也是用户主动的从不同于操作***的第三方处获得(相应的具有补丁获取信息),则处理模块根据上述相关信息则可以确定目标设备的操作***是Windows操作***;而如果程序安装包是来源于操作***本身的社区(该社区具有相关的社区信息),从该操作***的厂商建立的服务器中获取,并且操作***打补丁的方式也是基于操作***社区来获取(也具有相关的社区补丁获取信息),则处理模块可以基于上述相关信息认为该操作***为Linux操作***。
在本申请的一个实施例中,所述处理模块进一步配置为:
将所述目标设备的所述操作***、所述第一关系信息和所述服务信息输入到所述预设行为模型中,以使所述预设行为模型在确定的所述操作***的基础上,基于所述预设行为模型中数据特征与输出结论之间的推导关系,确定相应的所述目标设备的资产信息。
具体来说,本实施例中处理模块可以先行确定目标设备的操作***,在确定的操作***的基础上,利用预设行为模型,并根据输入预设行为模型的第一关系信息和服务信息来确定目标设备的资产信息。进一步的,预设行为模型中设置有数据特征与输出结论之间的推导关系,包括第一关系信息和服务信息两者与输出结论之间的推导关系,以及其他数据特征与输出结论之间的推导关系。服务信息包括:WEB服务、邮件服务、远程登录服务(ssh telnet rdp smb winrm wmi snmp等)、文件传输服务(ftp)、即时通讯服务、DNS服务、VPN服务、时钟服务***升级更新服务、备份服务、异常反馈服务、资源库更新服务等。第一关系信息表征了流量与时间关系,例如在一天中的不同时间段与目标设备对应的流量之间的关系,如第一目标设备是上行流量大,下行流量小,白天上行流量大,晚上上行流量小;第二目标设备是上行流量大,输出流量大,白天和晚上的流量差别小。
本实施例中,基于预设行为模型中数据特征与输出结论之间的推导关系,处理模块确定相应的目标设备的资产信息。结合上述内容,举例来说,数据特征包括第一关系信息和服务信息。对第一目标设备进行判断,在确定了第一目标设备的操作***的情况下,如果其上行流量小、下行流量大、白天上行流量大、晚上上行流量少、具备文件传输服务、具备DNS解析服务、具备WEB访问服务与即时通讯服务等则处理模块可以通过预设行为模型做出判断,确定第一目标设备为终端设备(PC设备);对第二目标设备进行判断,在确定了第二目标设备的操作***的情况下,如果上行流量小、输出流量大、具备远程登录服务、对外提供WEB服务、具备FTP服务或邮件服务等则处理模块可以通过预设行为模型做出判断,确定第二目标设备为服务器设备。当然还可以通过目标设备对应的其他的数据特征进行判断,例如基于数据特征中是否存在社交信息的情况来对目标设备进行判断,如果有则认为是终端设备,进而确定相应的资产信息。
在本申请的一个实施例中,所述目标设备包括终端设备和服务器设备;
所述服务信息包括文件传输服务信息、DNS解析服务、WEB访问服务和即时通信服务。
在本申请的一个实施例中,所述电子设备还包括预处理模块,所述预处理模块配置为:
对接收到的所述镜像流量进行预处理操作,其中,
所述预处理操作包括:
对所述镜像流量进行数据格式的转化,以使所述镜像流量中的数据符合预设格式标准;
通过所述目标设备对应的地址信息获取服务域名信息,并将所述服务域名信息补充到所述镜像流量中;
将所述镜像流量中的额外数据过滤掉。
具体来说,接收到镜像流量后,预处理模块需要对镜像流量进行格式化整理,标准化镜像流量的数据格式以使该镜像流量符合预设格式标准,便于对镜像流量进行进一步的处理,保证处理数据过程的准确程度。此外,镜像流量中可能会出现数据不完整的现象,从而影响对数据特征的判断,此时预处理模块可以根据已经存在于镜像流量中的数据来对部分的特定内容进行补充,如通过目标设备对应的IP地址关联到DNS库找出对应的服务域名信息,并将服务域名信息补充到镜像流量中,从而完善镜像流量以便随后对目标设备对应的数据特征进行准确的判断。另外,本实施例中预处理模块进行的预处理操作还可以对镜像流量进行降噪处理,将额外数据过滤掉,例如将一些干扰数据或对判断过程没有贡献的数据过滤掉,以免由于额外数据而引起误判。
在本申请的一个实施例中,所述电子设备还包括更新模块,所述更新模块配置为:
在所述目标设备对应的数据特征发生变化且变化程度超过预设变化范围的情况下,基于变化后的所述数据特征对所述预设行为模型进行更新操作。
具体来说,网络在使用过程中,流经第一网路设备的数据流量可能会发生变化(如随着网络的业务的变化而出现数据流量的变化),使得获取到的镜像流量会发生变化,数据特征也会发生变化,本实施例中更新模块可以获取相关的变化数据,并在变化数据的变化程度超过预设变化范围的情况下,基于变化数据对预设行为模型进行更新操作,使得预设行为模型更加完善,可以适用于变化后的网络。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。
Claims (7)
1.一种基于网络的信息处理方法,其特征在于,包括:
向第一网络设备发送请求命令,以使所述第一网络设备响应所述请求命令,基于流经其自身的数据流生成相应的镜像流量,并将所述镜像流量发出;
接收所述镜像流量,基于所述镜像流量获取网络中的目标设备对应的数据特征,其中,所述数据特征包括:服务信息,资源更新信息以及表征流量与时间关系的第一关系信息;
基于所述数据特征确定所述目标设备的操作***;
将所述操作***和所述数据特征输入到预设行为模型中,以基于所述预设行为模型确定相应的所述目标设备的资产信息,其中,将所述目标设备的所述操作***、所述第一关系信息和所述服务信息输入到所述预设行为模型中,以使所述预设行为模型在确定的所述操作***的基础上,基于所述预设行为模型中数据特征与输出结论之间的推导关系,确定相应的所述目标设备的资产信息。
2.根据权利要求1所述的方法,其特征在于,所述的接收所述镜像流量,基于所述镜像流量获取网络中的目标设备对应的数据特征,包括:
基于所述镜像流量,获取所述目标设备对应的地址信息和通信协议信息;
将所述地址信息和所述通信协议信息两者,与预设规则库进行比对,并根据比对结果获取所述目标设备对应的服务信息。
3.根据权利要求1所述的方法,其特征在于,所述数据特征还包括程序安装方式信息,所述的基于所述数据特征确定所述目标设备的操作***,包括:
至少基于所述程序安装方式信息和所述资源更新信息确定所述目标设备的操作***。
4.根据权利要求1至3任意一项所述的方法,其特征在于,所述目标设备包括终端设备和服务器设备;
所述服务信息包括文件传输服务信息、DNS解析服务、WEB访问服务和即时通信服务。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
对接收到的所述镜像流量进行预处理操作,其中,
所述预处理操作包括:
对所述镜像流量进行数据格式的转化,以使所述镜像流量中的数据符合预设格式标准;
通过所述目标设备对应的地址信息获取服务域名信息,并将所述服务域名信息补充到所述镜像流量中;
将所述镜像流量中的额外数据过滤掉。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述目标设备对应的数据特征发生变化且变化程度超过预设变化范围的情况下,基于变化后的所述数据特征对所述预设行为模型进行更新操作。
7.一种电子设备,其特征在于,包括:
请求模块,其配置为向第一网络设备发送请求命令,以使所述第一网络设备响应所述请求命令,基于流经其自身的数据流生成相应的镜像流量,并将所述镜像流量发出;
获取模块,其配置为接收所述镜像流量,基于所述镜像流量获取网络中的目标设备对应的数据特征,其中,所述数据特征包括:服务信息,资源更新信息以及表征流量与时间关系的第一关系信息;
处理模块,其配置为基于所述数据特征确定所述目标设备的操作***;将所述操作***和所述数据特征输入到预设行为模型中,以基于所述预设行为模型确定相应的所述目标设备的资产信息,其中,将所述目标设备的所述操作***、所述第一关系信息和所述服务信息输入到所述预设行为模型中,以使所述预设行为模型在确定的所述操作***的基础上,基于所述预设行为模型中数据特征与输出结论之间的推导关系,确定相应的所述目标设备的资产信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010102379.2A CN111343167B (zh) | 2020-02-19 | 2020-02-19 | 一种基于网络的信息处理方法及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010102379.2A CN111343167B (zh) | 2020-02-19 | 2020-02-19 | 一种基于网络的信息处理方法及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111343167A CN111343167A (zh) | 2020-06-26 |
| CN111343167B true CN111343167B (zh) | 2022-08-12 |
Family
ID=71181707
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010102379.2A Active CN111343167B (zh) | 2020-02-19 | 2020-02-19 | 一种基于网络的信息处理方法及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111343167B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114866286B (zh) * | 2022-04-07 | 2023-10-27 | 水利部信息中心 | 一种基于网络流量的梳理影子资产的方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102947801A (zh) * | 2010-05-20 | 2013-02-27 | 埃森哲环球服务有限公司 | 恶意攻击检测和分析 |
| CN110661669A (zh) * | 2019-10-11 | 2020-01-07 | 云南电网有限责任公司德宏供电局 | 一种基于icmp、tcp、udp协议的网络设备的网络拓扑自动发现方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7133916B2 (en) * | 2003-07-28 | 2006-11-07 | Etelemetry, Inc. | Asset tracker for identifying user of current internet protocol addresses within an organization's communications network |
| US20170048312A1 (en) * | 2015-08-12 | 2017-02-16 | Brocade Communications Systems, Inc. | Sdn-based mirroring of traffic flows for in-band network analytics |
| TWI664838B (zh) * | 2017-12-14 | 2019-07-01 | 財團法人工業技術研究院 | 在一網路中監測傳輸量的方法及裝置 |
| CN109995582B (zh) * | 2019-03-13 | 2021-06-08 | 北京国舜科技股份有限公司 | 基于实时状态的资产设备管理***及方法 |
| CN110113345B (zh) * | 2019-05-13 | 2021-04-06 | 四川长虹电器股份有限公司 | 一种基于物联网流量的资产自动发现的方法 |
| CN110311931A (zh) * | 2019-08-02 | 2019-10-08 | 杭州安恒信息技术股份有限公司 | 资产自动发现方法及装置 |
-
2020
- 2020-02-19 CN CN202010102379.2A patent/CN111343167B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102947801A (zh) * | 2010-05-20 | 2013-02-27 | 埃森哲环球服务有限公司 | 恶意攻击检测和分析 |
| CN110661669A (zh) * | 2019-10-11 | 2020-01-07 | 云南电网有限责任公司德宏供电局 | 一种基于icmp、tcp、udp协议的网络设备的网络拓扑自动发现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111343167A (zh) | 2020-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12010096B2 (en) | Dynamic firewall configuration | |
| CN108028835B (zh) | 自动配置服务器和服务器执行的方法 | |
| JP2021527869A (ja) | IoTセキュリティにおけるパターンマッチングベースの検出 | |
| EP2200249A1 (en) | Network analysis | |
| US20230275818A1 (en) | Increasing data availability | |
| US20090122721A1 (en) | Hybrid network discovery method for detecting client applications | |
| CN111343167B (zh) | 一种基于网络的信息处理方法及电子设备 | |
| US11979374B2 (en) | Local network device connection control | |
| US11283881B1 (en) | Management and protection of internet of things devices | |
| US11843946B2 (en) | Device-specific wireless access point password authentication | |
| EP3941100B1 (en) | Network device identification | |
| US11611556B2 (en) | Network connection request method and apparatus | |
| KR20150026187A (ko) | 드로퍼 판별을 위한 시스템 및 방법 | |
| US11765256B2 (en) | Method and device for analyzing service-oriented communication | |
| CN110769010B (zh) | 一种数据管理权限处理方法、装置及计算机设备 | |
| CN114070624A (zh) | 一种报文监测的方法、装置、电子设备及介质 | |
| US20090158386A1 (en) | Method and apparatus for checking firewall policy | |
| JP2010183214A (ja) | パケット解析装置、パケット解析方法およびパケット解析プログラム | |
| CN107070861B (zh) | 抽样流量下物联网设备蠕虫受害节点的发现方法及*** | |
| US11799910B2 (en) | Network connection management | |
| US20230019306A1 (en) | Network device identification | |
| CN110034977B (zh) | 一种设备安全性监测方法及安全性监测设备 | |
| CN110768983B (zh) | 一种报文处理方法和装置 | |
| CN115694848A (zh) | 设备查找方法、装置、***和计算机可读介质 | |
| US20240163668A1 (en) | Apparatuses, computer-implemented methods, and computer program products for managing access of wireless nodes to a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |