[发明专利]一种基于流量感知的网络资产拓扑识别方法

权利要求书

1.一种基于流量感知的网络资产拓扑识别方法，其特征在于，包括主动流量探测和被动流量探测；

主动流量探测包括以下步骤：

S1、采集全网的网络地址的端口存活情况；

S2、对存活的地址端口发送协议探测包；

S3、获取存活端口的响应信息，响应信息称为标语，即Banner；

S4、分析Banner信息，提取设备专有信息，并与厂商信息进行匹配；

S5、匹配成功，则输出设备的对应指纹特征，建立设备指纹库；

S6、建立网络资产拓扑图形；

被动流量探测包括以下步骤：

S1、部署旁路流量镜像；

S2、收集存活IP资产的二层广播通讯、三层IP通讯报文；

S3、对采集的流量特征信息加载不同的过滤规则，提取网络资产指纹；

S4、建立网络资产指纹库；

S5、对主动流量探测中第六步的拓扑图形进行补充。

2.根据权利要求1所述的基于流量感知的网络资产拓扑识别方法，提出基于Banner匹配的指纹生成方法，其特征在于，包括以下步骤：

S1、在物联网设备相关厂商官网或电商网站中进行搜索，找到这些物联网设备的产品相关信息，例如厂商、设备类型、型号/版本等；

S2、收集网络空间探测数据，提取Banner；

S3、将收集到的资产信息在探测返回Banner中进行正则匹配，如果匹配成功，则识别成功输出指纹。

3.根据权利要求1所述的基于流量感知的网络资产拓扑识别方法，提出资产变更警示方法，其特征在于，包括以下步骤：

S1、采集全网的网络地址的端口存活情况；

S2、对存活的地址端口发送协议探测包；

S3、获取存活端口的响应信息，响应信息称为标语，即Banner；

S4、分析Banner信息提取设备指纹，并与指纹库信息进行匹配，若前后探测指纹不一致，则输出警示信息；

S5、确认人员根据警示信息确认网络资产信息后，决定是否对网络资产指纹库进行更新。

4.根据权利要求1所述的基于流量感知的网络资产拓扑识别方法，其特征在于，拓扑图形从上往下依次为区域层、资产分类层、具体资产的基本信息层、具体资产的详细信息层。

5.根据权利要求1所述的基于流量感知的网络资产拓扑识别方法，其特征在于，主动流量探测S4步骤中，首先对Banner信息进行协议解析，然后根据过滤规则对数据进行过滤，对信息中与设备有关的字段进行提取，最后提取网络资产的待识别数据。

6.根据权利要求1所述的基于流量感知的网络资产拓扑识别方法，其特征在于，主动流量探测S4步骤中，建立物联网信息库，物联网信息库包括厂商官网和电商官网。

7.根据权利要求3所述的基于流量感知的网络资产拓扑识别方法，其特征在于，资产变更警示方法的S4步骤中，警示信息包括异常情况的区域、IP地址、原设备信息、原设备联系人即联系方式。

8.根据权利要求4所述的基于流量感知的网络资产拓扑识别方法，其特征在于，具体资产的基本信息包括硬件信息和IP信息，具体资产的详细信息包括机器名、所有者、所有者联系方式和部门负责人。