本發明提出了一種基于主動探測與流量分析結合的資產發現方法，包括：采用主動高速網絡掃描和被動發現網絡流量分析兩者相結合的方式，探測網絡資產信息。采用主動發現高速網絡掃描，包括：主動向未知網絡發送資產探測指令，從返回數據包的相關信息中提取目標指紋，與指紋庫中的指紋進行比對，以實現對網絡主機、開放端口、操作系統、服務及應用類型的探測，獲取網絡的資產信息；被動發現網絡流程分析，包括：對持續性監聽的已知網絡中的未發現資產，采集目標網絡的流量，對流量中應用層協議數據包的指紋特征進行分析，獲取網絡的資產信息。本發明解決了用戶的痛點問題，減輕了運維人員的時間成本，讓其更注重業務上的安全。

技術領域

本發明涉及互聯網技術領域，特別涉及一種基于主動探測與流量分析結合的資產發現方法。

背景技術

近幾年，隨著企業業務的多樣化以及各類支撐平臺和信息管理系統的增多，網絡規模不斷擴大，網絡設備、主機、安全設備等越來越復雜，信息安全管理部門同業務部門之間協調難度也日益凸顯。傳統的探針為支撐的網絡探測方法已經難以滿足現實場景的需求，一些基于網絡掃描、網絡流量分析、搜索引擎等技術的新型網絡資產發現技術得到了重視。

用戶有時候經常需要對一定范圍內的主機或應用系統進行摸排。傳統基于人工統計，基于客戶端進行統計的困難非常大且效率非常低。

傳統網絡資產探測、人工統計是最原始的資產探測方法。基于客戶端的自動統計方法需要在每臺設備上安裝客戶端，成本較高，效率低下，可能還會影響到業務系統的正常流轉。

(1)SNMP協議

廣為使用的網絡協議，它使用嵌入到網絡設施中的代理軟件來收集網絡通信信息和有關網絡設備的統計數據。代理不斷地收集統計數據，如所收到的字節數等，并把這些數據記錄到一個管理信息庫(MIB)中，網管員通過向代理的MIB發出查詢信號就可以得到這些信息。

缺點：每個目標主機需要開啟SNMP協議，繁瑣的過程且導致安全問題層出不窮。

(2)MassCan和Zmap

為了發現主機服務層次的安全風險，通常第一件事就是掃描端口確定服務開放狀況，一個端口就代表著一個通信渠道，通常使用的端口掃描工具有Nmap、Masscan、Zmap等，各有優劣性。Nmap指紋識別較為完善，Masscan較為快速，Zmap較為中庸，為了滿足全端口快速掃描又不會造成漏報。

ZMapMasscan基于異步無狀態掃描工具對掃描機制進行了改進，但通常只能進行端口掃描和主機發現，對操作系統、服務及應用的探測則無能為力。

發明內容

本發明的目的旨在至少解決所述技術缺陷之一。

為此，本發明的目的在于提出一種基于主動探測與流量分析結合的資產發現方法。

為了實現上述目的，本發明的實施例提供一種基于主動探測與流量分析結合的資產發現方法，采用主動高速網絡掃描和被動發現網絡流量分析兩者相結合的方式，探測網絡資產信息，其中，

(1)采用主動發現高速網絡掃描，包括如下步驟：

主動向未知網絡發送資產探測指令，從返回數據包的相關信息中提取目標指紋，與指紋庫中的指紋進行比對，以實現對網絡主機、開放端口、操作系統、服務及應用類型的探測，獲取網絡的資產信息；

(2)被動發現網絡流程分析，包括如下步驟：

對持續性監聽的已知網絡中的未發現資產，采集目標網絡的流量，對流量中應用層協議數據包的指紋特征進行分析，獲取網絡的資產信息。

進一步，針對主動發現，所述從返回數據包的相關信息中提取目標指紋，包括操作系統信息、協議類型及版本、應用軟件類型及版本、WEB服務類型及版本。