本发明涉及网络安全的技术领域,特别涉及一种服务器设备的智能识别方法。
背景技术:
服务器是一种高性能计算机,作为网络的节点,存储、处理网络上80%的数据、信息,因此也被称为网络的灵魂。也可以这样讲,服务器指一个管理资源并为用户提供服务的计算机软件,通常分为文件服务器、数据库服务器和应用程序服务器。相对于普通PC来说,服务器在稳定性、安全性、性能等方面都要求更高,因此CPU、芯片组、内存、磁盘系统、网络等硬件和普通计算机有所不同,在质量与处理器数据性能上更出色。一般我们很难看到真正的服务器,因为服务器一般均放置在机房重点,闲人一般均是免进的。而我们每天浏览的网站,其实数据均在服务器,服务器在计算机网络领域中起到至关重要的作用。
目前,服务器识别主要依靠人工注册识别方法,导致网络内私自搭建的违规服务器和一些重新安装系统、分配新网络地址后的服务器发现不了的情况,导致网络安全性降低,存在安全性隐患的问题,为了解决上述问题,有必要提出一种服务器设备的智能识别方法,通过多种探测手段的综合判定方式来智能识别服务器,达到对探测范围内的服务器进行准确识别的目的,对网络安全起到监管的作用。
技术实现要素:
本发明的目的在于克服上述现有技术的不足,提供一种服务器设备的智能识别方法,其旨在解决现有技术中服务器识别主要依靠人工注册识别方法,导致网络内私自搭建的违规服务器和一些重新安装系统、分配新网络地址后的服务器发现不了的技术问题。
为实现上述目的,本发明提出了一种服务器设备的智能识别方法,基于多种探测手段结合的综合判定方式来达到对探测范围内的服务器进行准确识别的目的,包括如下步骤:
A)、使用扫描工具对设备的操作系统进行探测,获取设备的操作系统和端口开放服务,使用抓包工具抓取与设备IP通讯的数据包;
B)、对获取的操作系统和端口开放服务进行识别判断,对数据包进行大数据分析判断,具体判断如下:
a)、对设备的操作系统进行识别,当识别为windows server、linux操作系统时设定相似度为30%;而当为服务器专用操作系统时,设定相似度为90%;
b)、对设备的端口开放服务进行识别,当识别到服务器设备开启了通用服务时设定相似度为30%,而当识别到设备开启了服务器特有的端口服务时设定相似度为90%;
c)、对数据包进行大数据分析,分析链路信息及流量信息,对于某IP有多条链路与其连接,或下行流量很大且远大于上行流量时,判定为疑似服务器,并设定相似度为30%;
C)、相似度累加并综合判定,将步骤B)中对设备操作系统识别结果、端口开放服务识别结果及对数据包进行大数据分析结果的相似度上报设备,通过设备进行累加,并进行综合判定,当综合相似度大于等于90%,则判定该设备为服务器;若综合相似度低于90%,则判定该设备不是服务器。
作为优选,所述的步骤A中的扫描工具包括NMap扫描工具、绿盟科技的扫描器。
作为优选,所述的步骤A中的抓包工具包括httpwatch、httpanalyzerstdv、Wireshark、Charles、Fiddler,所述的抓包工具抓包对象为交换机镜像数据。
作为优选,所述的步骤b)中的通用服务包括web服务、Oracle服务,当通用服务为web服务时,利用扫描工具对web服务的页面标题或内容进行探测,当探测到web服务的页面标题或内容时,设定相似度为50%,否则,相似度仍为30%。
作为优选,所述的步骤b)中的服务器特有的端口服务包括Vmware_ESX/ESXI服务。
本发明的有益效果:与现有技术相比,本发明提供的一种服务器设备的智能识别方法,采用操作系统识别、端口开放服务、web服务的页面标题或内容探测及抓包分析四种方法,并对四种方法采用相似度累加的方式进行综合分析来判断设备是否为服务器,采用多种检测手段相结合的方式来达到准确判别服务器的目的,改善了目前通常用一种方法难以准确识别服务器的情况,且可通过设备自动识别,较人工注册识别更为智能化,准确度也更高,对网络安全起到监管的作用。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明实施例一种服务器设备的智能识别方法的流程图。
【具体实施方式】
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图中及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
参阅图1,本发明实施例提供一种服务器设备的智能识别方法,基于多种探测手段结合的综合判定方式来达到对探测范围内的服务器进行准确识别的目的,包括如下步骤:
A)、使用扫描工具对设备的操作系统进行探测,获取设备的操作系统和端口开放服务,使用抓包工具抓取与设备IP通讯的数据包。
其中,扫描工具包括NMap扫描工具、绿盟科技的扫描器,抓包工具包括httpwatch、httpanalyzerstdv、Wireshark、Charles、Fiddler,所述的抓包工具抓包对象为交换机镜像数据。
在本发明实施例中,采用NMap扫描工具进行扫描。
B)、对获取的操作系统和端口开放服务进行识别判断,对数据包进行大数据分析判断,具体判断如下:
a)、对设备的操作系统进行识别,当识别为windows server、linux操作系统时设定相似度为30%;而当为服务器专用操作系统时,设定相似度为90%。
b)、对设备的端口开放服务进行识别,当识别到设备开启了通用服务时设定相似度为30%,而当识别到设备开启了服务器特有的端口服务时设定相似度为90%。
进一步地,通用服务包括web服务、Oracle服务,服务器特有的端口服务包括Vmware_ESX/ESXI服务。当通用服务为web服务时,利用扫描工具对web服务的页面标题或内容进行探测,当探测到web服务的页面标题或内容时,设定相似度为50%,否则,相似度仍为30%。
c)、对数据包进行大数据分析,分析链路信息及流量信息,对于某IP有多条链路与其连接,或下行流量很大且远大于上行流量时,判定为疑似服务器,并设定相似度为30%。
C)、相似度累加并综合判定,将步骤B)中对服务器设备操作系统识别结果、端口开放服务识别结果及对数据包进行大数据分析结果的相似度上报设备,通过设备进行累加,并进行综合判定,当综合相似度大于等于90%,则判定该设备为服务器;若综合相似度低于90%,则判定该设备不是服务器。
本发明一种服务器设备的智能识别方法,采用操作系统识别、端口开放服务、web服务的页面标题或内容探测及抓包分析四种方法,并对四种方法采用相似度累加的方式进行综合分析来判断设备是否为服务器,采用多种检测手段相结合的方式来达到准确判别服务器的目的,改善了目前通常用一种方法难以准确识别服务器的情况,且可通过设备自动识别,较人工注册识别更为智能化,准确度也更高,对网络安全起到监管的作用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。