一种基于网络流量提取行为特征的终端计算机识别方法与流程

【】本发明涉及计算机识别的，特别是一种基于网络流量提取行为特征的终端计算机识别方法。

背景技术

0、
背景技术：

1、随着经济的迅猛发展，学校、企业、政府、医院的固定资产规模急剧膨胀，其构成日趋复杂，管理难度越来越大。尤其是随着学校、企业、政府、医院内部推行的后勤、财务、人事、分配等各项改革的深化，对终端计算机管理工作不断提出新要求。终端计算机管理工作一直是学校、企业、政府管理的—个薄弱环节，管理基础工作不够规范，计算机安全控制体系尚不完善，家底不清、帐帐、帐实不符、资产流失的现象依然存在。

2、近几年来，为加强终端计算机管理工作，囯内一些学校、企业、政府进行了有益的探索，开发管理软件，部分软件还提供了主动扫描功能，确实能有效识别出部分终端计算机设备技术上有了一定的进步。然而仍然存在一类终端，它开启了终端防火墙，常规扫描无法将其识别，现提出一种基于网络流量提取行为特征的终端计算机识别方法。

技术实现思路

0、
技术实现要素：

1、本发明的目的就是解决现有技术中的问题，提出一种基于网络流量提取行为特征的终端计算机识别方法，能够有效地识别终端计算机。

2、为实现上述目的，本发明提出了一种基于网络流量提取行为特征的终端计算机识别方法，包括以下步骤：

3、s1.通过网络流量提取待探测设备的特征：

4、s1.1通过ping判断设备的在离线时间；

5、s1.2通过对网络流量的采集分析dns协议获取待探测设备曾访问过的域名以及设备的操作系统，通过流量采集获取设备曾访问过的主机；

6、s2.若步骤s1中获取到任意一个终端计算机特征，则认为该待探测设备为终端计算机。

7、作为优选，所述终端计算机特征包括操作系统、访问域名、访问目标主机和开关机时间。

8、作为优选，s1.1中，在网络环境中部署扫描服务器，通过ping扫描发现网络中的终端计算机，并记录其开关机时间。

9、作为优选，s1.2的具体步骤为：

10、a.搭建获取流量镜像数据的环境：在核心交换机上旁路部署网关硬件设备，并将所有流经核心交换机的网络流量信息通过镜像形式提供给网关硬件设备；

11、b.网关硬件设备实时分析得到的镜像流量信息，分离出流信息和dns数据，统计数据流的源目的ip及源目的端口，并对域名请求报文信息进行深度分析，判断是否存在操作系统特征及应用软件特征。

12、作为优选，所述步骤s2中，若通过步骤s1提取的待探测设备的特征，至少满足下述三个条件中的任意一个，则待探测设备是终端计算机；

13、条件一：该设备开关机时间存在规律；

14、条件二：该设备有访问网络环境中的应用系统；

15、条件三：该设备有windows特征的dns和常用软件相关dns信息。

16、本发明的有益效果：与传统扫描识别终端计算机不同，本发明通过网络流量识别终端计算机，识别更加准确，同时能有效处理开启防火墙等问题，提升了终端计算机发现率。

17、本发明的特征及优点将通过实施例结合附图进行详细说明。

技术特征：

1.一种基于网络流量提取行为特征的终端计算机识别方法，其特征在于：包括以下步骤：

2.如权利要求1所述的一种基于网络流量提取行为特征的终端计算机识别方法，其特征在于：所述终端计算机特征包括操作系统、访问域名、访问目标主机和开关机时间。

3.如权利要求1所述的一种基于网络流量提取行为特征的终端计算机识别方法，其特征在于：s1.1中，在网络环境中部署扫描服务器，通过ping扫描发现网络中的终端计算机，并记录其开关机时间。

4.如权利要求1所述的一种基于网络流量提取行为特征的终端计算机识别方法，其特征在于：s1.2的具体步骤为：

5.如权利要求1所述的一种基于网络流量提取行为特征的终端计算机识别方法，其特征在于：所述步骤s2中，若通过步骤s1提取的待探测设备的特征，至少满足下述三个条件中的任意一个，则待探测设备是终端计算机；

技术总结
本发明提出了一种基于网络流量提取行为特征的终端计算机识别方法，包括以下步骤：S1.通过网络流量提取待探测设备的特征：S1.1通过ping判断设备的在离线时间；S1.2通过对网络流量的采集分析DNS协议获取待探测设备曾访问过的域名以及设备的操作系统，通过流量采集获取设备曾访问过的主机；S2.若步骤S1中获取到任意一个终端计算机特征，则认为该待探测设备为终端计算机。与传统扫描识别终端计算机不同，本发明通过网络流量识别终端计算机，识别更加准确，同时能有效处理开启防火墙等问题，提升了终端计算机发现率。

技术研发人员：蒋行杰,赵雨农,蔡镐,陈荣俊,邵森龙
受保护的技术使用者：浙江远望信息股份有限公司
技术研发日：
技术公布日：2024/1/15