本發明涉及計算機信息處理領域，尤其是通過被動網絡行為探測實現物聯網終端網絡指紋測繪設計，包括測繪設備，測繪設備從交換機中獲取鏡像流量，并從鏡像流量中獲取MAC地址，通過獲取的MAC地址查詢國際地址段注冊廠商；測繪設備擬合已獲取的MAC地址中的所有Net flow，跟蹤Net flow并做應用層協議深入探測；通過對應用協議中payload內容做基于AM算法的多模匹配，獲取UA字段；測繪設備對探測完成的應用層協議作類別查詢，判斷其服務所屬的業務類型；測繪設備依據查詢完成的應用層協議類別判斷服務端、客戶端行為，并最終明確客戶端和服務端的身份，本發明可以擴大測繪設備的測繪范圍同時能夠不影響現有IDS防御策略，對安全防御策略無影響。

技術領域

本發明涉及計算機信息處理領域，尤其涉及通過被動網絡行為探測實現物聯網終端網絡指紋測繪設計。

背景技術

在網絡環境，終端網絡指紋跟人的指紋類似，通過分析終端會產生什么樣的網絡流量，開放什么樣的網絡服務，訪問什么樣的網絡服務，來給這個終端做個指紋畫像；主要用途是從多個角度描述一個在網終端的狀態。

市場上該設備存在的缺陷：市場上網絡指紋的測繪是向目標主機每個端口發起請求誘探數據包，主機在該端口的服務收到包后，返回服務器信息(誘探結果)，根據誘探結果分析網絡終端設備指紋；這種方式需要：

條件1：測繪端可以主動向目標主機發起數據包；

條件2：測繪端能接收主機到主機的反饋；

存在缺點：

1：需要發送服務誘探數據包，對網絡環境額外增加壓力；

2：端口掃描是網絡基本入侵行為，易被IDS探測到，正常業務中需要更改IDS規則，導致安全防范降低。

綜上所述，需要對目前市場上所采用的網絡指紋測繪方法進行調整。

發明內容

本發明的目的是為了解決現有技術中存在的缺點，而提出的通過被動網絡行為探測實現物聯網終端網絡指紋測繪設計。

為達到以上目的，本發明采用的技術方案為：通過被動網絡行為探測實現物聯網終端網絡指紋測繪設計，包括測繪設備，包括以下步驟：

(i)測繪設備從交換機中獲取鏡像流量，并從鏡像流量中獲取MAC地址，通過獲取的MAC地址查詢國際地址段注冊廠商；

(ii)測繪設備擬合已獲取的MAC地址中的所有Net flow，跟蹤Net flow并做應用層協議深入探測；通過對應用協議中payload內容做基于AM算法的多模匹配，獲取UA字段；

(iii)測繪設備對探測完成的應用層協議作類別查詢，判斷其服務所屬的業務類型；

(iv)測繪設備依據查詢完成的應用層協議類別判斷服務端、客戶端行為，并最終明確客戶端和服務端的身份。

進一步的，所述鏡像流量的獲取是單向的，測繪設備不主動發送誘探數據且不做端口掃描。

進一步的，所述客戶端和服務端的判斷步驟如下：

(i)獲取該客戶端和/或服務端的通信網絡行為；

對從MAC地址中獲取的Net flow進行分析，在網絡會話中終端網絡身份是“接收者”的一方為服務端，網絡會話中終端網絡身份是“發送者”的一方為客戶端。

與現有技術相比，本發明具有以下有益效果：

1.通過將指紋測繪設備安裝在交換機網絡節點中，配置交換機，將所有需要測繪的終端的網絡流量鏡像到測繪設備中；測繪設備只做鏡像流量的被動網絡行為探測，采集的鏡像流量是單向的，不主動發任何誘探數據，對網絡環境無額外壓力；