一种基于物联网流量的资产自动发现的方法专利检索-中间件软件专利检索查询-专利查询网

一种基于 物联网流量的资产自动发现的方法

阅读：1040发布：2020-06-11

专利汇可以提供一种基于物联网流量的资产自动发现的方法专利检索，专利查询，专利分析的服务。并且本发明公开了一种基于物联网流量的资产自动发现的方法，包括在需要资产发现的物联网环境中进行交换机端口流量镜像；通过流量镜像分析物联网流量；通过已分析出来的资产信息进行主动扫描；生成资产发现报告。本发明的方法可解决在物联网中多资产情况下，物联网资产管理越来越困难，管理人力财力投入也越来越大，且没有通用的方案进行资产管理和发现的技术难题，能够实现自动发现和管理物联网内的大量资产，同时也解决了主动扫描发现资产目标效率不高、资产agent部署兼容性低等问题。，下面是一种基于物联网流量的资产自动发现的方法专利的具体信息内容。

权利要求

1.一种基于物联网流量的资产自动发现的方法，其特征在于，包括以下步骤：
A.进行物联网流量资产发现设备的部署、流量数据的镜像以及程序初始化，包括：分析程序初始化、协议识别特征库、资产服务特征库及mac地址特征库的初始化；
B.对网卡接收到的流量数据即获取流量数据，进行流量数据的预处理并进入流量数据分析流程；
C.利用协议识别特征库中的特征进行数据比对，判断该流量数据是属于哪个网络层协议，若该流量数据不符合目前能够解析的任何网络层协议，则进入步骤D，否则，进入步骤E；
D.从数据报文中获取源、目的mac地址，使用mac地址特征库进行设备类型识别，然后将源、目的mac资产设备信息进行入库，并退出流量分析流程进入步骤L；
E.进行网络层协议解析，并使用mac地址特征库进行设备类型识别，然后判断解析的网络层协议是否为IP协议，若为非IP协议，则进入步骤F，否则进入步骤G；
F.查找是否已经有相应的会话信息，如果有则将此次解析关联到已有会话，如果没有则新建会话，并将源、目的mac资产设备信息进行入库，并退出流量分析流程进入步骤L；
G.解析出源IP、目的IP以及IP层协议，分析该源IP、目的IP的活跃性，并判断传输层协议是否为TCP协议或UDP协议，若不是则进入步骤H，否则进入步骤I；
H.查找是否已经有相应的会话信息，如果有则将此次解析关联到已有会话，如果没有则新建会话，并将源、目的mac、源IP、目的IP资产设备信息进行入库，并退出流量分析流程进入步骤L；
I.解析出源port、目的port、TCP或UDP层协议，通过资产服务特征库识别源port或目的port属于何种服务协议并进行活跃端口分析；
J.若应用层协议为明文认证服务协议，则通过协议解析获取用户名及密码进行弱密码识别，若应用层协议为DNS协议，则通过协议解析获取域名信息，并进行DGA域名识别；
K.查找是否已经有相应的会话信息，如果有则将此次解析关联到已有会话，如果没有则新建会话，并将包括源、目的mac、源IP、目的IP、资产服务、是否弱密码、是否DGA域名的资产设备信息进行入库，然后退出流量分析流程进入步骤L；
L.通过物联网流量资产发现设备定期检查资产属性库，通过已经从流量中发现的资产设备信息找到资产IP信息，并定义此次找到的资产IP信息为活跃资产信息；
M.针对资产IP信息对该资产上所开启的服务进行探测，同时探测资产IP的属性信息；
N.针对资产IP信息对该资产上所开启的服务进行弱口令探测；
O.针对资产IP信息对主动探测结果进行资产属性入库。
2.根据权利要求1所述的一种基于物联网流量的资产自动发现的方法，其特征在于，所述步骤A具体包括以下步骤：
A1.进行物联网流量资产发现设备的部署到交换机端口X；
A2.将交换机其他端口流量镜像到交换机端口X；
A3.进入程序初始化，包括：分析程序初始化，获取与交换机端口X连接网卡的信息并获取网卡的分析句柄、协议识别特征库初始化、资产服务特征库初始化、mac地址特征库初始化。
3.根据权利要求2所述的一种基于物联网流量的资产自动发现的方法，其特征在于，所述步骤A2中交换机其他端口为交换机除端口X外的其他部分端口。
4.根据权利要求2所述的一种基于物联网流量的资产自动发现的方法，其特征在于，所述步骤A3中，协议识别特征库中至少包含网络层协议特征、传输层协议特征、应用层协议特征。
5.根据权利要求2所述的一种基于物联网流量的资产自动发现的方法，其特征在于，所述步骤A3中，资产服务特征库包括http服务及其中间件指纹和/或MQTT服务及其中间件指纹。
6.根据权利要求1所述的一种基于物联网流量的资产自动发现的方法，其特征在于，所述步骤B中流量数据的预处理至少包括数据以太帧格式解析，网络层协议解析。
7.根据权利要求1所述的一种基于物联网流量的资产自动发现的方法，其特征在于，所述步骤J中，具体是通过DGA域名检测算法进行DGA域名识别。
8.根据权利要求1至7中任一所述的一种基于物联网流量的资产自动发现的方法，其特征在于，所述步骤M中，资产IP的属性信息至少包括系统版本、额外端口、服务版本信息。

说明书全文

一种基于物联网流量的资产自动发现的方法

技术领域

[0001] 本发明涉及物联网资产发现技术领域，特别涉及一种基于物联网流量的资产自动发现的方法。

背景技术

[0002] 随着物联网的飞速发展，国家发展进入了智能物联网时代，各种物理环境如家庭、企业办公、工厂生产、交通管理、航空大厅、医院大厅等等，物联网资产几乎无处不在，物联网资产也越来越多。

[0003] 目前，物联网飞速发展，物联网智能设备也是每年成指数级增长，对于物联网中各种资产的发现和管理却没有很好的解决方案，而现有的物联网方面的资产发现主要有如下方案：

[0004] (1)主动扫描方案，该方案存在无法发现物联网内无网络层协议的资产设备、主动扫描容易被封禁、跨网络扫描结果偏差等问题；

[0005] (2)资产设备agent方案，该方案需要在资产设备上安装agent程序，需要资产设备拥有一定的计算能力，存在兼容性差、无法发现物联网内无网络层协议的资产设备等问题；

[0006] (3)协议发现方案，该方案是通过已有资产发现协议或者自定义协议进行资产发现，存在兼容性差、跨公司产品无法使用等问题。

发明内容

[0007] 本发明的目的是克服上述背景技术中不足，提供一种基于物联网流量的资产自动发现的方法，可解决在物联网中多资产情况下，物联网资产管理越来越困难，管理人力财力投入也越来越大，且没有通用的方案进行资产管理和发现的技术难题，能够实现自动发现和管理物联网内的大量资产，同时也解决了主动扫描发现资产目标效率不高、资产agent部署兼容性低等问题。

[0008] 为了达到上述的技术效果，本发明采取以下技术方案：

[0009] 一种基于物联网流量的资产自动发现的方法，包括以下步骤：

[0010] A.进行物联网流量资产发现设备的部署、流量数据的镜像以及程序初始化，包括：分析程序初始化、协议识别特征库、资产服务特征库及mac地址特征库的初始化；

[0011] B.待网卡接收到流量数据即获取流量数据，进行流量数据的预处理并进入流量数据分析流程；

[0012] C.利用协议识别特征库中的特征进行数据比对，判断该流量数据是属于哪个网络层协议，若该流量数据不符合目前能够解析的任何网络层协议，则进入步骤D，否则，进入步骤E；

[0013] D.从数据报文中获取源、目的mac地址，使用mac地址特征库进行设备类型识别，然后将源、目的mac资产设备信息进行入库，并退出流量分析流程进入步骤L；

[0014] E.进行网络层协议解析，并使用mac地址特征库进行设备类型识别，然后判断解析的网络层协议是否为IP协议，若为非IP协议，则进入步骤F，否则进入步骤G；

[0015] F.查找是否已经有相应的会话信息，如果有则将此次解析关联到已有会话，如果没有则新建会话，并将源、目的mac资产设备信息进行入库，并退出流量分析流程进入步骤L；

[0016] G.解析出源IP、目的IP以及IP层协议，分析该源IP、目的IP的活跃性，并判断传输层协议是否为TCP协议或UDP协议，若不是则进入步骤H，否则进入步骤I；

[0017] H.查找是否已经有相应的会话信息，如果有则将此次解析关联到已有会话，如果没有则新建会话，并将源、目的mac、源IP、目的IP资产设备信息进行入库，并退出流量分析流程进入步骤L；

[0018] I.解析出源port、目的port、TCP或UDP层协议，通过资产服务特征库识别源port或目的port属于何种服务协议并进行活跃端口分析；

[0019] J.若应用层协议为明文认证服务协议，则通过协议解析获取用户名及密码进行弱密码识别，若应用层协议为DNS协议，则通过协议解析获取域名信息，并进行DGA域名识别；

[0020] K.查找是否已经有相应的会话信息，如果有则将此次解析关联到已有会话，如果没有则新建会话，并将包括源、目的mac、源IP、目的IP、资产服务、是否弱密码、是否DGA域名的资产设备信息进行入库，然后退出流量分析流程进入步骤L；

[0021] L.通过物联网流量资产发现设备定期检查资产属性库，通过已经从流量中发现的资产设备信息找到资产IP信息，并定义此次找到的资产IP信息为活跃资产信息；

[0022] M.针对资产IP信息对该资产上所开启的服务进行探测，同时探测资产IP的属性信息；

[0023] N.针对资产IP信息对该资产上所开启的服务进行弱口令探测；

[0024] O.针对资产IP信息对主动探测结果进行资产属性入库。

[0025] 进一步地，所述步骤A具体包括以下步骤：

[0026] A1.进行物联网流量资产发现设备的部署到交换机端口X，以便分析经过该交换机的所有流量信息；

[0027] A2.将交换机其他端口流量镜像到交换机端口X；

[0028] A3.进入程序初始化，包括：分析程序初始化，获取与交换机端口X连接网卡的信息并获取网卡的分析句柄，以便后续获取经过该网卡的网络流量、协议识别特征库初始化、资产服务特征库初始化、mac地址特征库初始化，根据源、目的mac地址可识别部分设备的类型，如B03956前缀的mac为Netgear的设备。

[0029] 进一步地，所述步骤A2中交换机其他端口为交换机除端口X外的其他部分端口。

[0030] 进一步地，所述步骤A3中，协议识别特征库中至少包含网络层协议特征、传输层协议特征、应用层协议特征，如arp、ip、tcp、udp、mqtt、coap、dns等。

[0031] 进一步地，所述步骤A3中，资产服务特征库包括http服务及其中间件指纹和/或MQTT服务及其中间件指纹。

[0032] 进一步地，所述步骤B中流量数据的预处理至少包括数据以太帧格式解析，网络层协议解析。

[0033] 进一步地，所述步骤J中具体是通过DGA域名检测算法进行DGA域名识别。

[0034] 进一步地，所述步骤M中，资产IP的属性信息至少包括系统版本、额外端口、服务版本信息。

[0035] 本发明与现有技术相比，具有以下的有益效果：

[0036] 本发明的基于物联网流量的资产自动发现的方法，可应用于物联网中所有资产的管理和发现，以物联网流量为基础，支持多种物联网专用协议，结合主动扫描流量与镜像流量进行分析，支持分布式部署，很好的解决了主动扫描易被封禁、兼容性差等问题，只需要进行流量镜像即可自动发现相关物联网资产，能够实现自动发现和管理物联网内的大量资产，同时也解决了主动扫描发现资产目标效率不高、资产agent部署兼容性低等问题。附图说明

[0037] 图1是交换机端口镜像部署示意图。

[0038] 图2是物联网流量资产发现设备整体部署示意图。

[0039] 图3为本发明的基于物联网流量的资产自动发现的方法的流程示意图。

具体实施方式

[0040] 下面结合本发明的实施例对本发明作进一步的阐述和说明。

[0041] 实施例：

[0042] 实施例一：

[0043] 一种基于物联网流量的资产自动发现的方法，能够解决物联网中资产以及资产属性自动发现困难问题；是一种以物联网流量为基础，结合主动扫描流量与镜像流量进行分析；对于物联网中的资产，包括IP、端口、服务、资产类型等资产属性自动发现和识别的方法，如图3所示，具体包括以下步骤：

[0044] 步骤1：部署物联网流量资产发现设备到交换机端口X，以便分析经过该交换机的所有流量信息。

[0045] 步骤2：将交换机其他端口流量镜像到交换机端口X，具体可选择分析交换机某些端口流量，如图1及图2所示，分别为本实施例中交换机端口镜像部署示意图及物联网流量资产发现设备整体部署示意图。

[0046] 步骤3：进入程序初始化，具体包括：

[0047] 步骤3.1：分析程序初始化，获取与交换机端口X连接网卡的信息，获取该网卡的分析句柄，以便后续获取经过该网卡的网络流量；

[0048] 步骤3.2：初始化协议识别特征库，协议识别特征库内至少包括网络层协议、传输层协议、应用层协议特征，如arp、ip、tcp、udp、mqtt、coap、dns等；

[0049] 步骤3.3：初始化资产服务特征库，资产服务特征库包括如http服务及其中间件指纹、mqtt服务及其中间件指纹等；

[0050] 步骤3.4：初始化mac地址前缀特征库，可根据源、目的mac地址识别部分设备的类型，如B03956前缀的mac为Netgear的设备。

[0051] 步骤4：等待网卡接收到流量数据则获取流量数据，并进行预处理，然后开始进行流量分析流程，本实施例中，预处理包括数据以太帧格式解析，网络层协议解析。

[0052] 步骤6：利用协议识别特征库中的特征进行数据比对，判断该流量数据是属于哪个网络层协议，若该流量数据不符合目前能够解析的任何网络层协议，则进入步骤7，否则，进入步骤8；

[0053] 步骤7：从数据报文中获取源、目的mac地址，使用mac地址特征库进行设备类型识别，然后将源、目的mac资产设备信息进行入库，并退出流量分析流程进入步骤15；

[0054] 步骤8：进行网络层协议解析，并使用mac地址特征库进行设备类型识别，然后判断解析的网络层协议是否为IP协议，若为非IP协议，则进入步骤9，否则进入步骤10；

[0055] 步骤9：查找是否已经有相应的会话信息，如果有则将此次解析关联到已有会话，如果没有则新建会话，并将源、目的mac资产设备信息进行入库，并退出流量分析流程进入步骤15；

[0056] 步骤10：解析出源IP、目的IP以及IP层协议，分析该源IP、目的IP的活跃性，并判断传输层协议是否为TCP协议或UDP协议，若不是则进入步骤11，否则进入步骤12；

[0057] 步骤11：查找是否已经有相应的会话信息，如果有则将此次解析关联到已有会话，如果没有则新建会话，并将源、目的mac、源IP、目的IP资产设备信息进行入库，并退出流量分析流程进入步骤15；

[0058] 步骤12：解析出源port、目的port、TCP或UDP层协议，通过资产服务特征库识别源port或目的port属于何种服务协议并进行活跃端口分析；

[0059] 步骤13：若应用层协议为telnet、http等明文认证服务协议，则通过协议解析获取用户名及密码进行弱密码识别，若应用层协议为DNS协议，则通过协议解析获取域名信息，并通过DGA域名检测算法进行DGA域名识别；

[0060] 步骤14：查找是否已经有相应的会话信息，如果有则将此次解析关联到已有会话，如果没有则新建会话，并将包括源、目的mac、源IP、目的IP、资产服务、是否弱密码、是否DGA域名等资产设备信息进行入库，然后退出流量分析流程进入步骤15；

[0061] 步骤15：通过物联网流量资产发现设备定期检查资产属性库，通过已经从流量中发现的资产设备信息找到资产IP信息，并定义此次找到的资产IP信息为活跃资产信息；

[0062] 步骤16：针对资产IP信息对该资产上所开启的服务进行探测，同时探测资产IP的系统版本、额外端口、服务版本等信息；

[0063] 步骤17：针对资产IP信息对该资产上所开启的服务进行弱口令探测；

[0064] 步骤18：针对资产IP信息对主动探测结果进行资产属性入库。

[0065] 由上可知，本发明的技术方案主要用于物联网环境下，实现资产和资产属性的自动发现，在资产管理中加入本发明的方法，可提高资产管理的高效性、资产发现的完整性，且本发明的技术方案以物联网流量为基础，支持多种物联网专用协议，结合主动扫描流量与镜像流量进行分析，支持分布式部署，很好的解决了主动扫描易被封禁、兼容性差等问题，只需要进行流量镜像即可自动发现相关物联网资产。

[0066] 可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。

标题	发布/更新时间	阅读量
数据的读写方法及消息化的分布式文件系统	2020-05-08	309
电子文件加密中间件管控系统及方法	2020-05-08	18
用于在广播覆盖区域内提供单播表示的方法和装置	2020-05-11	212
一种用于构建多业务场景自动化流水线的方法	2020-05-08	699
一种基于智能终端的IPTV中间件启动控制方法及系统	2020-05-08	611
一种基于全业务统一数据中心的XML数据接入方法及系统	2020-05-08	91
基于设备全生命周期的信息监控系统	2020-05-11	237
用于车辆的自适应平台中的容错执行的中间件支撑件	2020-05-08	781
一种基于Corba中间件技术与Ad hoc网络的机器人无线通讯系统	2020-05-08	356
蹦床	2020-05-08	94

一种基于物联网流量的资产自动发现的方法

一种基于物联网流量的资产自动发现的方法

技术领域

背景技术

发明内容

具体实施方式

该功能需要专业版企业版VIP权限，您可以：