一种网络资产智能识别方法及系统与流程

本发明属于信息安全技术领域，具体涉及一种网络资产智能识别方法及系统。

背景技术：

随着信息化建设的快速发展，网络的建设规模越来越大，分布越来越广，网络中接入的设备种类、设备数量快速增长。目前常见的设备资产管理系统主要从设备的采购、设备使用及设备报废环节进行设备资产的生命周期的管理工作，设备采购时进行人工登记、分配，部分设备资产管理系统以及大多数网络运维管理系统会对重要设备(例如业务服务器、网络设备等)的运行状态进行监控管理，但对于大多数的普通设备，仅记录分配的部门、人员等信息，对于设备的使用以及网络的接入运行状态无法进行监控，然后在设备淘汰时进行报废记录。在整个设备资产管理过程中，仅能够实现对重要的设备的运行监控管理，而对于大多数的设备仍基于人工登记建立的设备资产列表，无法适用网络资产的动态调整和变化需要，在日常的网络运维管理和安全管理中，仍面临着众多管理难题：1)普遍缺乏对整个网络中所有设备资产的统一监控和管理能力，作为管理人员或运维人员无法有效的掌握整个网络的设备资产情况，无法了解各类资产的分布和活动情况，对网络和业务系统的安全稳定的运行造成影响；2)设备资产分配使用后，设备如何使用，是否按照登记信息进行使用，设备是否被替换等无法进行跟踪管理，造成设备资产的登记信息与实际接入的设备信息差异越来越大，资产登记信息陈旧，信息严重缺失，网络规模越大，差异越大。3)随着无线技术的快速发展和普及，通过便携式无线设备(无线ap、随身wifi设备等)接入到内部网络的情况已普遍存在，同时随着个人终端(智能手机、平板电脑、笔记本等)的普及和快速发展，将个人终端设备随意接入内部网络的行为普遍存在，甚至私自搭建网中网(通过无线设备扩充网络等)等情况时有发生，而这些情况在现有的资产管理系统或者运维系统中无任何记录，更无法监管，导致安全策略严重疏漏，管理部门却缺乏有效的监控和管理技术手段发现和管理这些违规行为，严重影响内部网络的安全运行。

针对设备资产类别的识别技术，网络空间测绘技术是近几年新出现的技术，主要应用于互联网设备的发现和资产识别，该技术是通过主动扫描的方式，寻找网络上存在的设备，并通过端口扫描方式，获取设备开放的端口和开放的服务类型，然后根据获得的应用服务的旗标信息为设备添加标注性的标签。该技术主要目的是获取设备开放服务的标志信息，以提供相关的数据检索和设备资产的人工判断。由于该技术主要针对互联网环境研发，对于单位内部网络的资产发现和识别仍存在不足：1)对于内部网络环境中启用防火墙等访问控制的设备，该技术无法发现该设备的存在，导致设备发现不完全；2)该技术仅将设备开放服务的各类旗标信息进行获取和标识，并不会对设备资产类型进行判断，仍然需要人工查询后，根据经验判断设备的资产种类；3)该技术无法发现和标识哑终端设备等众多的设备类型信息，例如仅分配ip地址，但不提供管理服务的无线类设备、个人智能终端、ip电话、门禁系统、网络设备等，导致网络中存在的大量设备仍然无法管理。

技术实现要素：

本发明的目的是通过以下技术方案实现的。

本发明是针对现有资产管理方面的不足，提供一种针对网络中运行的设备资产的自动发现与设备资产类别的智能识别技术，本发明采用基于网络的主动式远程扫描方式，实现对网络中所有设备的自动发现，然后通过对设备的网络特征的采集，根据设备的特征组合，实现设备资产类别的智能识别与分类。

具体的，根据本发明的第一个方面，提供了一种网络资产智能识别方法，包括如下步骤：获取扫描地址范围；扫描所述地址范围以发现在线设备；采集所述在线设备的网络特征；基于所述网络特征，识别所述在线设备的资产类别。

优选的，所述扫描采用以下方式的一种或多种：ping、tcp扫描、udp扫描、snmp网络设备信息获取。

优选的，所述扫描所述地址范围以发现在线设备，包括：从所述地址范围中获取具体ip地址列表，首先采用多线程并发方式针对每个ip地址判断是否能够ping通，若能够通讯，则将ip地址直接写入在线设备ip地址列表，若不能ping通，则针对无法ping通的地址进一步采用tcp协议，判断是否有常规网络端口开放；若有常规网络端口开放，则将该ip地址加入在线设备ip地址列表并记录状态，若常规网络端口均无法连接，则启用udp协议进行常规网络端口通信判断，若能够通讯，则将ip地址写入在线设备ip地址列表并记录状态，若常规网络端口都无法通讯，则针对该ip地址尝试tcp全端口扫描，扫描过程中若发现端口能够通讯，则将ip写入在线设备ip地址列表并记录状态，若无任何端口能够通讯，则将该ip地址作为无效地址丢弃；在扫描过程中，启用独立的过程对已发现的在线设备ip地址采用snmp协议尝试通讯，若能够正常通讯，则进一步判断是否为网络设备，若无法通讯或非网络设备，则丢弃，若是网络设备，则直接读取网络设备的arp数据表，并将列表中的地址与已扫描到的在线设备ip地址进行比对和补充；当地址范围内所有ip地址均扫描完毕后，本轮次扫描完成，将生成的在线设备ip地址列表导出。

优选的，所述采集所述在线设备的网络特征，包括：采用操作系统指纹识别、端口扫描、应用服务协议识别、应用服务信息识别方式相结合，获取设备的操作系统类型与版本、设备开放的端口列表与端口特征旗标信息、对外提供的应用服务类别、应用服务标识信息。

优选的，所述基于所述网络特征，识别所述在线设备的资产类别，包括：根据所述网络特征，对设备类别进行初步分类；进一步扫描获取设备的品牌、型号、设备描述信息，结合扫描到的操作系统类型与版本、设备开放的端口列表与端口特征旗标信息、对外提供的应用服务类别、应用服务标识信息进行组合，将所有设备资产类型分为：终端设备、应用服务器设备、网络设备、视频设备、网络打印设备、安全运维设备、byod设备。

优选的，所述基于所述网络特征，识别所述在线设备的资产类别，包括：根据每台设备扫描获得的操作系统类型及版本信息、开放的端口获得的各类旗标信息、各类应用服务类别、版本以及旗标信息，判断并分类设备的种类，将采用终端类操作系统且无固定应用服务的设备作为终端设备；将采用服务器类操作系统类型以及提供常用应用服务的设备作为应用服务设备，并进一步获取应用服务器各类应用的相关信息；将采用嵌入式操作系统，启用视频类应用协议或者服务旗标信息确认为视频应用服务的设备，作为视频类设备，然后进一步采用视频类应用进行进一步的协议判断、设备品牌、型号、类型信息的获取；将采用网络操作系统并启用网络服务的设备作为网络设备；采用网络操作系统、嵌入式操作系统，且应用服务旗标信息确认为安全类产品作为安全运维设备，并进一步获取设备的品牌、型号、类型信息；将启用网络打印、复印以及扫描服务的设备作为网络打印设备；将采用智能终端类操作系统的设备作为byod设备。

根据本发明的第二个方面，提供了一种网络资产智能识别系统，包括：地址获取模块，用于获取扫描地址范围；扫描模块，用于扫描所述地址范围以发现在线设备；特征采集模块，用于采集所述在线设备的网络特征；资产类别识别模块，基于所述网络特征，识别所述在线设备的资产类别。

根据本发明的第三个方面，提供了一种电子设备，包括：存储器和处理器；所述存储器，用于存储计算机程序；其中，所述处理器执行所述存储器中的计算机程序，以实现如上所述的方法。

根据本发明的第四个方面，提供了一种电子设备，包括如上所述的系统。

根据本发明的第五个方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时用于实现如上所述的方法。

本发明的优点在于：采用该发明可以在短时间内快速摸清网络内部各设备资产的分布与活动状态，并对设备的类别进行自动分类统计，用户可以根据扫描结果与既有的资产管理列表结果进行比对，便于用户进行资产摸底，逐步建立和完善内部网络的设备资产信息库。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

附图1示出了根据本发明实施方式的一种网络资产智能识别方法流程图。

附图2示出了根据本发明实施方式的在线设备扫描发现实现过程流程图。

附图3示出了根据本发明实施方式的设备资产类别智能识别实现流程图。

附图4示出了根据本发明实施方式的一种网络资产智能识别系统结构图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明描述了一种针对网络中运行的设备资产的自动发现与设备资产类别的智能识别技术，本发明采用基于网络的主动式远程扫描方式，实现对网络中所有设备的自动发现，然后通过对设备的网络特征的采集，根据设备的特征组合，实现设备资产类别的智能识别与分类，从而建立整个网络的设备资产实时信息库。采用该发明单位管理人员和运维人员可以在短时间内通过技术手段快速摸清网络内部各设备资产的分布与活动状态，并对设备的类别进行自动分类统计，为进一步的网络运维管理和安全管理提供基础数据依据。

本发明的具体架构逻辑如下：

本发明技术的具体架构逻辑如图1所示，是本发明进行设备资产自动发现及设备资产类别智能识别的处理流程，包括如下步骤：

s1、获取扫描地址范围

根据网络实际情况确定网络采用的ip地址范围；

s2、在线设备扫描发现

对设定的ip地址范围，采用基于网络的主动扫描方式，对地址范围内的每个ip地址进行在线判断。该过程采用ping、tcp扫描、udp扫描、snmp网络设备信息获取等多种方式结合，可实现对目标所有设备在线情况的准确判断。

其中，步骤s2在线设备扫描发现实现过程如图2所示：

从地址范围中获取具体ip地址列表，首先采用多线程并发方式针对每个ip地址判断是否能够ping通，若能够通讯，则将ip地址直接写入在线设备ip地址列表，若不能ping通，则针对无法ping通的地址进一步采用tcp协议，判断是否有常规网络端口(例如21、80、135、139、445等)开放，若有端口开放，则将该ip地址加入在线设备列表并记录状态，若常规网络端口均无法连接，则启用udp协议进行常规网络端口通信判断，若能够通讯，则将ip地址写入在线设备ip地址列表并记录状态，若常规端口都无法通讯，则针对该ip地址尝试tcp全端口(1-65535)扫描，扫描过程中若发现端口能够通讯，则将ip写入在线设备ip地址列表并记录状态，若无任何端口能够通讯，则将该ip地址作为无效地址丢弃。在扫描过程中，启用独立的过程对已发现的在线设备ip地址采用snmp协议(简单网络管理协议(snmp，simplenetworkmanagementprotocol))尝试通讯，若能够正常通讯，则进一步判断是否为网络设备(交换机)，若无法通讯或非网络设备，则丢弃，若是网络设备，则直接读取网络设备的arp(地址解析协议，即arp(addressresolutionprotocol))数据表(保存该交换机学习到的进行网络通讯的ip地址列表)，并将列表中的地址与已扫描到的在线设备ip地址进行比对和补充。当地址范围内所有ip地址均扫描完毕后，本轮次扫描完成，可将生成的在线设备ip地址列表导出，供后续环节使用。

s3、设备网络特征采集

对发现的所有设备，采用基于网络的主动扫描方式，判断收集设备的各类网络特征信息。该过程主要采用操作系统指纹识别、端口扫描、应用服务协议识别、应用服务信息识别等方式相结合，获取设备的操作系统类型与版本、设备开放的端口列表与端口特征旗标信息、对外提供的应用服务类别、应用服务标识信息等基本网络特征，为下一步设备资产类别识别提供依据。

s4、设备资产类别智能识别

根据扫描到的设备的基本网络特征，对设备类别进行初步分类，然后进一步扫描获取设备的品牌、型号、设备描述等信息，结合扫描到的操作系统类型与版本、设备开放的端口列表与端口特征旗标信息、对外提供的应用服务类别、应用服务标识信息等特征进行组合，完成设备资产类别的智能分类，可将所有设备资产类型分为：终端设备、应用服务器设备、网络设备、视频设备、网络打印设备、安全运维设备、byod(byod(bringyourowndevice)，自携设备)设备以及其他设备等种类。

步骤s4设备资产类别智能识别实现过程如图3所示：

根据每台设备扫描获得的操作系统类型及版本信息、开放的端口获得的各类旗标信息、各类应用服务类别、版本以及旗标信息等内容，判断并分类设备的种类，将采用终端类操作系统且无固定应用服务的设备作为终端设备；将采用服务器类操作系统类型以及提供常用应用服务(例如web、数据库、文件、存储等)的设备作为应用服务设备，并进一步获取应用服务器各类应用的相关信息；将采用嵌入式操作系统，启用视频类应用协议或者服务旗标信息确认为视频应用服务的设备，作为视频类设备，然后进一步采用视频类应用进行进一步的协议判断、设备品牌、型号、类型等信息的获取；将采用网络操作系统并启用网络服务(例如路由转发等)的设备作为网络设备；采用网络操作系统、嵌入式操作系统等操作系统类型，且应用服务旗标信息确认为安全类产品(例如防火墙、ids、防病毒等)作为安全运维设备，并进一步获取设备的品牌、型号、类型等信息；将启用网络打印、复印以及扫描等应用服务的设备作为网络打印设备；将采用智能终端类操作系统的设备作为byod设备，除此之外的设备作为其他设备处理。

s5、设备资产信息库

将扫描的各类结果写入数据库进行保存。在本发明的优选实施例中，步骤s5可以有，但在某些实施例的情况下，也可以不进行保存以节省存储空间。

如图4所示，为根据本发明的一种网络资产智能识别系统100，包括：

地址获取模块101，用于获取扫描地址范围；

扫描模块102，用于扫描所述地址范围以发现在线设备；

特征采集模块103，用于采集所述在线设备的网络特征；

资产类别识别模块104，基于所述网络特征，识别所述在线设备的资产类别。

相对于目前常见的资产管理系统、运维管理系统以及网络空间测绘技术等相关的技术，本发明采用的技术实现具有设备发现能力强，设备资产智能分类准确等优点。

传统的资产管理系统主要依靠人工方式实现资产的登记和管理，但设备是否接入网络，是否正常使用，传统的资产管理系统无法实现有效的监控管理，而运维管理系统具备一定的设备资产发现和运行监控的能力，但其主要侧重重要的服务器、网络设备的运维管理，而无法实现对整个网络中所有设备的管理工作，网络空间测绘技术能够在一定程度上发现设备，并进行设备资产信息的标签式管理，但其设备发现的能力不足，无法标识对外不提供服务的设备，也无法明确标识设备的资产类型。本发明采用多种方式的主动式扫描方式相结合，可以实现只要设备接入至内部网络，即可发现设备，具有完善的设备主动发现能力。同时，本发明采用设备多种信息的组合判断，可实现设备类别的准确的智能识别和分类，从而可以直观的反馈出网络中所有设备的资产类型和分布情况。另外，通过本发明完成对整个网络的资产发现与分类后，管理人员可方便的进行设备资产的比对以及违规设备的发现和管理工作，从而为整个网络的稳定运行和安全管理提供基础数据依据。

需要说明的是：

在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述，构造这类装置所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的虚拟机的创建装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。