本公開涉及網(wǎng)絡，具體涉及到一種資產(chǎn)測繪方法及裝置。

背景技術：

1、在現(xiàn)代網(wǎng)絡空間安全中，對于it相關的測繪扮演著重要角色。

2、常見的資產(chǎn)測繪方式，包括主動探測和被動探測兩種，或者混合主動探測和被動探測，如下：

3、1.端口掃描：這是確定目標主機開放端口情況的基本手段。通過端口掃描可以了解哪些tcp或udp端口是開放的，并嘗試與這些端口建立連接；

4、2.協(xié)議識別：在端口掃描的基礎上，通過開放的端口來匹配可能運行的協(xié)議，并嘗試建立相應的協(xié)議連接，以進一步探索目標主機的信息；

5、3.banner抓?。篵anner是網(wǎng)絡服務在被訪問時展示的標識信息，通過抓取banner可以得知服務類型及其版本信息，這有助于識別具體的軟件和服務；

6、4.證書分析：分析服務器所使用的ssl/tls證書，可以獲得關于服務器身份和加密強度的信息；

7、5.特征匹配：收集資產(chǎn)的元數(shù)據(jù)，如title、header等，然后通過這些特征去匹配已知的資產(chǎn)特征庫，從而識別出資產(chǎn)的類型和屬性；

8、6.綜合分析：單一特征往往不足以準確判斷資產(chǎn)性質(zhì)，因此需要結(jié)合多個特征進行綜合分析，提高識別的準確性。

9、完全通過資產(chǎn)指紋庫的人工擴充已經(jīng)不能滿足現(xiàn)實的需要；而且通過主動的探測方法也無法測繪一些開啟了主機防火墻的資產(chǎn)；另外，主動探測方法對于掃描一些udp服務則表現(xiàn)得十分不好，主要是時間過長；但是完全依賴于被動嗅探的方式無法解決應用加密（主要是網(wǎng)站）的問題。

技術實現(xiàn)思路

1、本公開的主要目的在于提供一種資產(chǎn)測繪方法及裝置，以解決相關技術中存在的問題。

2、為了實現(xiàn)上述目的，根據(jù)本公開的第一方面，提供了一種資產(chǎn)測繪方法，包括被動抓取待探測系統(tǒng)的網(wǎng)絡流量；對所述網(wǎng)絡流量進行操作系統(tǒng)的識別，如果無法得到識別的結(jié)果則主動發(fā)送探測包進行操作系統(tǒng)的探測，其中，在預構(gòu)建的操作系統(tǒng)級別指紋識別庫中進行指紋特征匹配，所述操作系統(tǒng)級別指紋識別庫包括tcp特征；對所述網(wǎng)絡流量進行應用的識別，其中，在預構(gòu)建的應用特征指紋庫中進行指紋特征的匹配，如果無法匹配到，則基于訓練完成的神經(jīng)網(wǎng)絡模型進行識別。

3、可選地，方法還包括如果所述網(wǎng)絡流量為加密方式傳輸，則針對網(wǎng)絡流量中預設類型流量，主動發(fā)送探測包進行探測，以識別出對應的應用。

4、可選地，基于udp單播協(xié)議或廣播的協(xié)議獲取探測用信息，以基于所述信息進行識別。

5、可選地，所述tcp特征包括tcp版本、初始存活時間、window尺寸、tcp選項或者ipv6擴展頭長度、window?的比例、最大分段尺寸mss、tcp選項的布局方式、是否允許分段的信息。

6、可選地，如果無法匹配到，則基于訓練完成的神經(jīng)網(wǎng)絡模型進行識別包括：?對網(wǎng)絡流量進行預處理，得到網(wǎng)絡流量中的文本；將所述文本輸入至訓練完成的神經(jīng)網(wǎng)絡模型中，以識別出所述文本對應的廠商信息、產(chǎn)品信息。

7、根據(jù)本公開的第二方面，提供了一種資產(chǎn)測繪裝置，包括網(wǎng)絡流量被動獲取單元，被配置成被動抓取待探測系統(tǒng)的網(wǎng)絡流量；操作系統(tǒng)識別單元，被配置成對所述網(wǎng)絡流量進行操作系統(tǒng)的識別，如果無法得到識別的結(jié)果則主動發(fā)送探測包進行操作系統(tǒng)的探測，其中，在預構(gòu)建的操作系統(tǒng)級別指紋識別庫中進行指紋特征匹配，所述操作系統(tǒng)級別指紋識別庫包括tcp特征；應用識別單元，被配置成對所述網(wǎng)絡流量進行應用的識別，其中，在預構(gòu)建的應用特征指紋庫中進行指紋特征的匹配，如果無法匹配到，則基于訓練完成的神經(jīng)網(wǎng)絡模型進行識別。

8、可選地，裝置還包括主動探測單元，被配置成如果所述網(wǎng)絡流量為加密方式傳輸，則針對網(wǎng)絡流量中預設類型流量，主動發(fā)送探測包進行探測，以識別出對應的應用。

9、可選地，基于udp單播協(xié)議或廣播的協(xié)議獲取探測用信息，以基于所述信息進行識別。

10、根據(jù)本公開的第三方面，提供了一種計算機可讀存儲介質(zhì)，存儲有計算機指令，所述計算機指令用于使所述計算機執(zhí)行第一方面任意一項實現(xiàn)方式所述的方法。

11、根據(jù)本公開的第四方面，提供了一種電子設備，包括：至少一個處理器；以及與所述至少一個處理器通信連接的存儲器；其中，所述存儲器存儲有可被所述至少一個處理器執(zhí)行的計算機程序，所述計算機程序被所述至少一個處理器執(zhí)行，以使所述至少一個處理器執(zhí)行第一方面任意一項實現(xiàn)方式所述的方法。

12、本實施例資產(chǎn)測繪方法及裝置，其中方法包括被動抓取待探測系統(tǒng)的網(wǎng)絡流量；對所述網(wǎng)絡流量進行操作系統(tǒng)的識別，如果無法得到識別的結(jié)果則主動發(fā)送探測包進行操作系統(tǒng)的探測，其中，在預構(gòu)建的操作系統(tǒng)級別指紋識別庫中進行指紋特征匹配，所述操作系統(tǒng)級別指紋識別庫包括tcp特征；對所述網(wǎng)絡流量進行應用的識別，其中，在預構(gòu)建的應用特征指紋庫中進行指紋特征的匹配，如果無法匹配到，則基于訓練完成的神經(jīng)網(wǎng)絡模型進行識別。通過以被動探測為主，主動探測為輔的測繪手段能夠高效無害地實現(xiàn)資產(chǎn)的全面測繪?？朔讼嚓P技術中資產(chǎn)測繪全面性、測繪效率、測繪安全性有待提高的問題。

技術特征：

1.一種資產(chǎn)測繪方法，其特征在于，包括：

2.根據(jù)權利要求1所述的資產(chǎn)測繪方法，其特征在于，所述方法還包括如果所述網(wǎng)絡流量為加密方式傳輸，則針對網(wǎng)絡流量中預設類型流量，主動發(fā)送探測包進行探測，以識別出對應的應用。

3.根據(jù)權利要求2所述的資產(chǎn)測繪方法，其特征在于，基于udp單播協(xié)議或廣播的協(xié)議獲取探測用信息，以基于所述信息進行識別。

4.?根據(jù)權利要求1所述的資產(chǎn)測繪方法，其特征在于，所述tcp特征包括tcp版本、初始存活時間、window尺寸、tcp選項或者ipv6擴展頭長度、window?的比例、最大分段尺寸mss、tcp選項的布局方式、是否允許分段的信息。

5.根據(jù)權利要求1所述的資產(chǎn)測繪方法，其特征在于，如果無法匹配到，則基于訓練完成的神經(jīng)網(wǎng)絡模型進行識別包括：

6.一種資產(chǎn)測繪裝置，其特征在于，包括：

7.根據(jù)權利要求6所述的資產(chǎn)測繪裝置，其特征在于，裝置還包括主動探測單元，被配置成如果所述網(wǎng)絡流量為加密方式傳輸，則針對網(wǎng)絡流量中預設類型流量，主動發(fā)送探測包進行探測，以識別出對應的應用。

8.根據(jù)權利要求7所述的資產(chǎn)測繪裝置，其特征在于，基于udp單播協(xié)議或廣播的協(xié)議獲取探測用信息，以基于所述信息進行識別。

9.一種計算機可讀存儲介質(zhì)，其特征在于，所述計算機可讀存儲介質(zhì)存儲有計算機指令，所述計算機指令用于使所述計算機執(zhí)行權利要求1-5任意一項所述的方法。

10.一種電子設備，其特征在于，包括：至少一個處理器；以及與所述至少一個處理器通信連接的存儲器；其中，所述存儲器存儲有可被所述至少一個處理器執(zhí)行的計算機程序，所述計算機程序被所述至少一個處理器執(zhí)行，以使所述至少一個處理器執(zhí)行權利要求1-5任意一項所述的方法。

技術總結(jié)
本公開實施例公開了資產(chǎn)測繪方法及裝置，其中方法包括被動抓取待探測系統(tǒng)的網(wǎng)絡流量；對所述網(wǎng)絡流量進行操作系統(tǒng)的識別，如果無法得到識別的結(jié)果則主動發(fā)送探測包進行操作系統(tǒng)的探測，其中，在預構(gòu)建的操作系統(tǒng)級別指紋識別庫中進行指紋特征匹配，所述操作系統(tǒng)級別指紋識別庫包括TCP特征；對所述網(wǎng)絡流量進行應用的識別，其中，在預構(gòu)建的應用特征指紋庫中進行指紋特征的匹配，如果無法匹配到，則基于訓練完成的神經(jīng)網(wǎng)絡模型進行識別。通過以被動探測為主，主動探測為輔的測繪手段能夠高效無害地實現(xiàn)資產(chǎn)的全面測繪?？朔讼嚓P技術中資產(chǎn)測繪全面性、測繪效率、測繪安全性有待提高的問題。

技術研發(fā)人員：請求不公布姓名,請求不公布姓名
受保護的技術使用者：南京聚銘網(wǎng)絡科技有限公司
技術研發(fā)日：
技術公布日：2024/12/19