[发明专利]一种基于被动测量的设备识别方法

说明书

本发明提出一种基于被动测量的设备识别方法，包括如下步骤：步骤1：不同设备之间通信产生的流量数据转化成图结构，将设备作为节点，刻画每个节点在图中的重要程度，以此进行聚类分析，找出服务器设备；步骤2：针对上述服务器设备，分别得到与其通联的终端列表，并使用明确数字刻画终端与服务器通联的流量级别，以此进行聚类分析，分离同属于终端的主机和网络地址转换设备，即NAT设备；步骤3：对已经确定的NAT设备运行验证分析方法，判断其后面是否存在服务器。本发明构建了被动测量引导下的网络测绘模型，以提高测量实效、降低测量复杂度和被测网络负载。

技术领域

本发明涉及网络安全测绘和被动测量技术领域，尤其涉及一种基于被动测量的设备识别方法。

背景技术

如今黑客攻击的方式更加多样，针对的设备更加广泛，利用的漏洞更加复杂，造成的威胁更加严重，特定的安全漏洞往往威胁某一类网络设备，这突显出了全面统计网络空间设备的分布情况及属性的重要性和紧迫性。

在大规模的行业内部网络中，每天产生的流量数据数以亿计。流量数据反映了内部网络真实的状态，对于全面统计网络空间中的设备分布情况以及预警设备潜在威胁均具有很强的实用意义。

通常情况下，NAT(网络地址转换)设备以终端的角色出现在流量数据中，这就会使得隐藏在NAT设备背后的主机或服务器以NAT设备的身份任意访问内网中服务资源。利用这一特点，攻击者可能使用隐藏在NAT设备后面的计算机从事非法活动，例如发起攻击、进行扫描、窃取数据、恶意下载、违规提供数据服务等，将会导致非常严重的问题。因此通过分析数据流量，定期检测并过滤出未经授权的NAT设备变得很必要。

网络测绘是网络测量的延伸，网络测量技术用于网络测绘。根据测量方式，网络空间测绘技术可分为主动测量和被动测量两类。对于大规模的行业内部网络，主动测量并不是一种好的方式，主要表现在：(1)内部网络受传输带宽局限，无法支持开展主动遍历测量，容易造成网络拥塞。(2)内部网络中部署了各类安全防护产品，主动测量容易被识别为攻击，阻断测量。(3)内部网络设置了严格的网络边界和访问控制措施，主动测量难以做到可达性和覆盖性。

发明内容

为了解决以上技术问题，本发明考虑到不同的服务器存储着不同的资源，可能存在这样的NAT设备，与特定服务器产生的流量很高，但在总流量分析中流量级别不明显。如果依次遍历服务器得到通联列表，通过分析流量过滤出与之连接的NAT设备，这样会达到更好的分类效果。因此，针对上述主动测量存在问题，本发明构建了被动测量引导下的网络测绘模型，以提高测量实效、降低测量复杂度和被测网络负载。

本发明的目标是对流量数据中出现的设备进行识别，以实现对内部网络的测绘描述。为此，引入了社交关系图的思路，提出了针对图结构和流量分析的无监督学习框架，通过图特征聚类方法确定内网中存在的服务器设备和主机设备，通过流量级别聚类确定内网中存在的NAT设备。此外，内网中NAT设备后面网络设备发生的通联关系并不会出现在流量数据中，但是这些设备也属于内网中的网络设备资产。解决方法是引入一套验证分析方法，用于判定是否有隐藏在NAT设备后面的服务器。

根据本发明的一个方面，提出的一种基于被动测量的设备识别方法，包括如下步骤：

步骤1：将不同设备之间通信产生的流量数据转化成图结构，将设备作为节点，刻画每个节点在图中的重要程度，以此进行聚类分析，找出服务器设备；

步骤2：针对上述服务器设备，分别得到与其通联的终端列表，并使用明确数字刻画终端与服务器通联的流量级别，以此进行聚类分析，分离同属于终端的主机和网络地址转换设备，即NAT设备；

步骤3：对已经确定的NAT设备运行验证分析方法，判断其后面是否存在服务器。

进一步的，所述步骤1具体包括：