【技术实现步骤摘要】
本申请涉及互联网安全,尤其涉及一种网络资产探测方法和装置。
技术介绍
1、随着企业数字化发展和业务场景多元化(例如,云上(公有云、私有云、混合云)、云下等场景),企业内部的数字资产结构和复杂性迅速增加,不在企业掌控下的电子设备、端口、软件及服务等也越来越多。这些不在企业掌控下的电子设备、端口及服务可以称为影子资产。影子资产本身存储大量敏感业务信息,导致企业存在被攻击的风险。因此企业要梳理、识别、管控所有的网络资产就变得异常重要。
技术实现思路
1、本申请实施例提供一种网络资产探测方法和装置,能够有效识别企业的影子资产,降低企业被攻击的风险。
2、第一方面,本申请实施例提供一种网络资产探测方法,应用于第一电子设备,包括:获取预设网络的网段信息,网段信息包括多个第二电子设备的网际协议(internetprotocol,ip)地址;基于多个第二电子设备的ip地址向多个第二电子设备分别发送第一请求报文,第一请求报文用于探测多个第二电子设备是否在线;接收多个第二电子设备中的在线电子设备分别发送的第一响应报文,在线电子设备为多个第二电子设备中在线的电子设备;其中,第一请求报文和第一响应报文包括数据链路层、网络层、传输层、应用层中的任意一层或多层的协议报文;将在线电子设备的ip地址与数据资产库进行匹配,得到未收录的电子设备的ip地址,其中,数据资产库中包括已收录的电子设备的ip地址。
3、基于本申请实施例提供的方法,第一电子设备可以向多个第二电子设备发送第一请求报文,以探
4、在一种可能的实现方式中,数据链路层的协议报文包括地址解析协议(addressresolution protocol,arp)报文;网络层的协议报文包括控制报文协议(internetcontrol message protocol,icmp);传输层的协议报文包括传输控制协议(transmissioncontrol protocol,tcp)报文、用户数据报协议(user datagram protocol,udp)报文、流控制传输协议(stream control transmission protocol,sctp)报文中的至少一种;应用层的协议报文包括网络基本输入输出系统(network basic input/output system,netbios)协议报文、服务器信息块(server message block,smb)协议报文中的至少一种。这样,通过数据链路层、网络层、传输层、应用层中的任意一层或多层的协议报文共同对在线电子设备进行探测,可以避免防火墙过滤(某一层的协议报文)导致探测在线设备过程中遗漏部分在线设备的问题。
5、在一种可能的实现方式中,数据资产库中还包括已收录的电子设备的开放端口,方法还包括:向在线电子设备发送第二请求报文,第二请求报文用于请求在线电子设备的开放端口;接收在线电子设备发送的第二响应报文,第二响应报文用于指示在线电子设备的开放端口;将在线电子设备的开放端口与数据资产库进行匹配,得到未收录的开放端口,数据资产库中包括已收录的开放端口。这样,第一电子设备可以将在线电子设备的开放端口与数据资产库进行匹配,得到未收录的开放端口,未收录的开放端口也属于影子资产。进而可以对影子资产进行管理,降低企业被攻击的风险。
6、在一种可能的实现方式中,第二请求报文和第二响应报文包括tcp报文、udp报文或sctp报文中的至少一种。
7、在一种可能的实现方式中,数据资产库中还包括已收录的电子设备的端口服务,方法还包括:向在线电子设备发送第三请求报文,第三请求报文用于请求在线电子设备的端口服务;接收在线电子设备发送的第三响应报文,第三响应报文用于指示在线电子设备的端口服务;将在线电子设备的端口服务与数据资产库进行匹配,得到未收录的端口服务,数据资产库中包括已收录的端口服务。这样,第一电子设备可以将在线电子设备的端口服务与数据资产库进行匹配,得到未收录的端口服务,未收录的端口服务也属于影子资产。进而可以对影子资产进行管理,降低企业被攻击的风险。
8、在一种可能的实现方式中,在线电子设备的端口服务包括安全外壳(secureshell,ssh)服务,thrift服务,超文本传输协议(hyper text transfer protocol,http)服务,超文本传输安全协议(hyper text transfer protocol over secure socket layer,https)服务,ms sql数据库服务,www代理服务,redis数据库服务中的至少一种。应该理解的是,不同的端口可以对应不同的端口服务。例如,22端口对应的服务可以为ssh服务,60020端口可以对应hbase的thrift服务,80端口对应http服务,443端口对应https服务(提供加密和通过安全端口传输的另一种http),1433端口对应ms sql数据库服务,8080端对应www代理服务,6379端口对应redis数据库服务。
9、在一种可能的实现方式中,方法还包括:确定未收录的电子设备分别对应的资产责任人;向资产责任人发送风险告警,风险告警用于指示资产责任人对未收录的电子设备进行管理,以降低企业被攻击的风险。例如,主机a可以邮件或者通讯软件的方式向影子资产的资产责任人发送风险告警。例如,该风险告警的内容可以为“检测到新的网络资产(新的主机、端口或服务),请注意管理”。
10、在一种可能的实现方式中,确定未收录的电子设备分别对应的资产责任人包括:根据未收录电子设备的设备信息确定资产责任人,其中,设备信息包括媒体访问控制mac地址和/或主机名。确定资产责任人后,可以向资产责任人发送风险告警,以降低企业被攻击的风险。
11、在一种可能的实现方式中,根据未收录电子设备的设备信息确定资产责任人之前,方法还包括:向未收录电子设备发送第四请求报文,第四请求报文用于请求未收录电子设备的设备信息;接收未收录电子设备发送的第四响应报文,第四响应报文用于指示未收录电子设备的设备信息。即可以通过第四请求报文和第四响应报文获取未收录电子设备的设备信息。在一些实施例中,可以通过第四请求报文和第四响应报文获取全部在线电子设备的设备信息,从在线电子设备的设备信息中确定出未收录电子设备的设备信息。
12、在一种可能的实现方式中,第四请求报文和第四响应报文包括网络基本输入输出系统netbios协议报文或服务器信息块smb协议报文。
1本文档来自技高网...
【技术保护点】
1.一种网络资产探测系统,包括第一电子设备和多个第二电子设备,其特征在于,包括:
2.根据权利要求1所述的系统,其特征在于,
3.根据权利要求1或2所述的系统,其特征在于,所述第一电子设备还用于:
4.根据权利要求3所述的系统,其特征在于,
5.根据权利要求3所述的系统,其特征在于,所述第一电子设备还用于:
6.根据权利要求5所述的系统,其特征在于,
7.根据权利要求1或2所述的系统,其特征在于,所述第一电子设备还用于:
8.根据权利要求7所述的系统,其特征在于,所述第一电子设备还用于:
9.根据权利要求8所述的系统,其特征在于,所述第一电子设备还用于:
10.根据权利要求9所述的系统,其特征在于,
11.根据权利要求1或2所述的系统,其特征在于,
12.根据权利要求1或2所述的系统,其特征在于,所述第一电子设备还用于:
13.一种第一电子设备,其特征在于,所述第一电子设备包括收发器、处理器和存储器;所述存储器存储有程序指令;所述处理器用
14.一种第二电子设备,其特征在于,所述第二电子设备包括收发器、处理器和存储器;所述存储器存储有程序指令;所述处理器用于运行所述存储器存储的所述程序指令,使得所述第二电子设备执行如权利要求1-12任一项所述的系统中所述第二电子设备执行的方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括程序指令,当所述程序指令在第一电子设备上运行时,使得所述第一电子设备执行如权利要求1-12任一项所述的系统中所述第一电子设备执行的方法;或者,
...【技术特征摘要】
1.一种网络资产探测系统,包括第一电子设备和多个第二电子设备,其特征在于,包括:
2.根据权利要求1所述的系统,其特征在于,
3.根据权利要求1或2所述的系统,其特征在于,所述第一电子设备还用于:
4.根据权利要求3所述的系统,其特征在于,
5.根据权利要求3所述的系统,其特征在于,所述第一电子设备还用于:
6.根据权利要求5所述的系统,其特征在于,
7.根据权利要求1或2所述的系统,其特征在于,所述第一电子设备还用于:
8.根据权利要求7所述的系统,其特征在于,所述第一电子设备还用于:
9.根据权利要求8所述的系统,其特征在于,所述第一电子设备还用于:
10.根据权利要求9所述的系统,其特征在于,
11.根据权利要求1或2所述的系统,其特征在于,
12.根据...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。