本發明提出一種基于被動測量的設備識別方法，包括如下步驟：步驟1：不同設備之間通信產生的流量數據轉化成圖結構，將設備作為節點，刻畫每個節點在圖中的重要程度，以此進行聚類分析，找出服務器設備；步驟2：針對上述服務器設備，分別得到與其通聯的終端列表，并使用明確數字刻畫終端與服務器通聯的流量級別，以此進行聚類分析，分離同屬于終端的主機和網絡地址轉換設備，即NAT設備；步驟3：對已經確定的NAT設備運行驗證分析方法，判斷其后面是否存在服務器。本發明構建了被動測量引導下的網絡測繪模型，以提高測量實效、降低測量復雜度和被測網絡負載。

技術領域

本發明涉及網絡安全測繪和被動測量技術領域，尤其涉及一種基于被動測量的設備識別方法。

背景技術

如今黑客攻擊的方式更加多樣，針對的設備更加廣泛，利用的漏洞更加復雜，造成的威脅更加嚴重，特定的安全漏洞往往威脅某一類網絡設備，這突顯出了全面統計網絡空間設備的分布情況及屬性的重要性和緊迫性。

在大規模的行業內部網絡中，每天產生的流量數據數以億計。流量數據反映了內部網絡真實的狀態，對于全面統計網絡空間中的設備分布情況以及預警設備潛在威脅均具有很強的實用意義。

通常情況下，NAT(網絡地址轉換)設備以終端的角色出現在流量數據中，這就會使得隱藏在NAT設備背后的主機或服務器以NAT設備的身份任意訪問內網中服務資源。利用這一特點，攻擊者可能使用隱藏在NAT設備后面的計算機從事非法活動，例如發起攻擊、進行掃描、竊取數據、惡意下載、違規提供數據服務等，將會導致非常嚴重的問題。因此通過分析數據流量，定期檢測并過濾出未經授權的NAT設備變得很必要。

網絡測繪是網絡測量的延伸，網絡測量技術用于網絡測繪。根據測量方式，網絡空間測繪技術可分為主動測量和被動測量兩類。對于大規模的行業內部網絡，主動測量并不是一種好的方式，主要表現在：(1)內部網絡受傳輸帶寬局限，無法支持開展主動遍歷測量，容易造成網絡擁塞。(2)內部網絡中部署了各類安全防護產品，主動測量容易被識別為攻擊，阻斷測量。(3)內部網絡設置了嚴格的網絡邊界和訪問控制措施，主動測量難以做到可達性和覆蓋性。

發明內容

為了解決以上技術問題，本發明考慮到不同的服務器存儲著不同的資源，可能存在這樣的NAT設備，與特定服務器產生的流量很高，但在總流量分析中流量級別不明顯。如果依次遍歷服務器得到通聯列表，通過分析流量過濾出與之連接的NAT設備，這樣會達到更好的分類效果。因此，針對上述主動測量存在問題，本發明構建了被動測量引導下的網絡測繪模型，以提高測量實效、降低測量復雜度和被測網絡負載。

本發明的目標是對流量數據中出現的設備進行識別，以實現對內部網絡的測繪描述。為此，引入了社交關系圖的思路，提出了針對圖結構和流量分析的無監督學習框架，通過圖特征聚類方法確定內網中存在的服務器設備和主機設備，通過流量級別聚類確定內網中存在的NAT設備。此外，內網中NAT設備后面網絡設備發生的通聯關系并不會出現在流量數據中，但是這些設備也屬于內網中的網絡設備資產。解決方法是引入一套驗證分析方法，用于判定是否有隱藏在NAT設備后面的服務器。

根據本發明的一個方面，提出的一種基于被動測量的設備識別方法，包括如下步驟：

步驟1：將不同設備之間通信產生的流量數據轉化成圖結構，將設備作為節點，刻畫每個節點在圖中的重要程度，以此進行聚類分析，找出服務器設備；

步驟2：針對上述服務器設備，分別得到與其通聯的終端列表，并使用明確數字刻畫終端與服務器通聯的流量級別，以此進行聚類分析，分離同屬于終端的主機和網絡地址轉換設備，即NAT設備；

步驟3：對已經確定的NAT設備運行驗證分析方法，判斷其后面是否存在服務器。

進一步的，所述步驟1具體包括：