静默设备的识别方法、装置及计算机设备、存储介质

文献发布时间：2023-06-19 13:48:08

技术领域

本申请涉及网络领域，具体而言，涉及一种静默设备的识别方法、装置及计算机设备、存储介质。

背景技术

近年来随着计算机技术的迅猛发展，IT资产正逐步成为企业和组织运行、管理的重要工具和支撑，企业和组织的业务不断壮大的同时，各种业务支持平台、管理系统越来越多，web服务器、存储设备、网络设备、安全设备越来越复杂，带给管理员的资产管理工作也愈发困难，久而久之，日积月累，产生大量的无主资产、僵尸资产，并且这些资产长时间无人维护导致存在大量的漏洞及配置违规，为企业和组织安全带来极大的隐患，更为严重的是管理员无法察觉，不能有效的做好防护措施。

发明内容

本申请实施例的目的在于提供一种静默设备的识别方法、装置及计算机设备、存储介质，至少用以发现网络中的静默设备。

为此，本申请第一方面公开一种静默设备的识别方法，该方法包括以下步骤：

获取目标设备的流量数据；

将所述目标设备的流量数据与第一预设业务数据库进行比对，并得到比对结果，所述第一预设业务数据库存储有不属于静默设备的业务类型信息；

根据所述比对结果判断所述目标设备是否为静默设备。

本申请能够通过获取目标设备的流量数据，进而将目标设备的流量数据与第一预设业务数据库进行比对，并得到比对结果，其中，第一预设业务数据库存储有不属于静默设备的业务类型信息；最终，根据比对结果能够判断目标设备是否为静默设备。在上述步骤中，通过判断目标设备的流量数据是否与业务功能相关，进而能够确定目标设备当前是否还参与实现业务应用服务，进而当目标设备不参与实现业务应用服务，可将目标设备作为静默设备筛选出，从而避免这些目标设备配置违规和所造成的安全漏洞，避免为企业和组织安全带来极大的隐患。

相对而言，在现有技术中，企业和组织的业务不断壮大过程，企业的业务变更频繁，且业务系统的设备的数据越来越多、设备之间的联系越来复杂，进而在编辑配置过程中，难以精确配置每一台目标设备，例如，业务系统中的目标设备所完成的业务功能可被编辑人员配置，目标设备A在第一阶段用于完成A1功能，而在第二阶段，目标设备A可被配置为完成A2功能，或者目标设备A被配置为无需参与完成一个业务功能，因此在编辑配置的过程中，随着需求的改变，业务系统中的一台设备会由原先参与完成业务功能变成不参与完成业务功能。这样一来，随着时间的增加，产生了大量的无主资产、僵尸资产，并且这些资产长时间无人维护导致存在大量的漏洞及配置违规的，为企业和组织安全带来极大的隐患，且管理员无法察觉，不能有效的做好防护措施。

在本申请中，作为一种可选的实施方式，所述将所述目标设备的流量数据与第一预设业务数据库进行比对，包括：

根据所述目标设备的流量数据确定所述目标设备的业务类型；

判断所述目标设备的业务类型是否属于所述第一预设业务数据库中的业务类型，若是，则确定所述目标设备不属于静默设备。

在本可选的实施方式中，通过目标设备的流量数据可确定目标设备的业务类型，进而判断目标设备的业务类型是否属于第一预设业务数据库中的业务类型，若是，则确定目标设备不属于静默设备。

在本申请中，作为一种可选的实施方式，在所述判断所述目标设备的业务类型是否属于所述第一预设业务数据库中的业务类型之后，所述确定所述目标设备不属于静默设备之前，所述识别方法还包括：

当所述目标设备的业务类型属于所述第一预设业务数据库中的业务类型时，判断所述目标设备在预设周期内的流量发生次数，若所述目标设备在预设周期内的流量发生次数小于预设阈值，则确定所述目标设备属于静默设备。

在一些场景中，目标设备的业务类型属于第一预设业务数据库中的业务类型，但是该目标设备的流量发生次数较低，例如，目标设备的流量发生次数为每个月一次，此类目标设备也可认为属于静默设备，因此，为了识别此类目标设备，可在判断出目标设备的业务类型属于第一预设业务数据库中的业务类型时，进一步通过目标设备的流量发生次数判断目标设备是否属于静默设备。

在本申请中，作为一种可选的实施方式，所述根据所述比对结果判断所述目标设备是否为静默设备，还包括：

当所述目标设备的业务类型不属于所述第一预设业务数据库中的业务类型时，判断所述目标设备的业务类型是否属于所述第二预设业务数据库中的业务类型，若是则确定所述目标设备为静默设备。

在本申请中，作为一种可选的实施方式，所述获取目标设备的流量数据，包括：

识别所述目标设备是否产生流量数据；

当所述目标设备产生流量数据时，则从所述目标设备所在交换机的镜像口获取所述目标设备在预设周期内所产生的流量数据；

当所述目标设备未产生流量数据，在预设周期向所述目标设备发送请求报文并获取所述目标设备响应所述请求报文而产生流量数据。

在一些场景中，目标设备可以有两种类型，一种目标设备为已连接到网络中，且已开启业务服务功能，即能够用于提供业务服务并产生流量数据，而另一种目标设备为已连接到网络中，但是其未开启业务服务功能而无任何流量产生。针对两种类型的目标设备，本可选的实施方式采用了两种数据采集方式，即当目标设备产生流量数据时，则从目标设备所在交换机的镜像口获取目标设备在预设周期内所产生的流量数据；当目标设备未产生流量数据，在预设周期向目标设备发送请求报文并获取目标设备响应请求报文而产生流量数据，这样一来，能够采集不同的类型目标设备的流量数据。

在本申请中，作为一种可选的实施方式，在所述获取目标设备的流量数据之后，所述识别方法还包括：

计算所述目标设备在所述预设周期内的第一时间节点的流量大小；

计算所述目标设备在所述预设周期内的第二时间节点的流量大小；

根据所述目标设备在所述预设周期内的第一时间节点的流量大小，和目标设备在所述预设周期内的第二时间节点的流量大小判断所述目标设备是否为增量设备，若是，则确定所述目标设备为静默设备。

在一些应用场景中，由于目标设备的流量数据可能是自主产生的，也可能是被动产生的(被动产生流量数据的目标设备为静默设备)，为了识别目标设备的是否为自主产生，可先判断目标设备为增量设备，即计算目标设备在预设周期内的第一时间节点的流量大小、计算目标设备在预设周期内的第二时间节点的流量大小、根据目标设备在预设周期内的第一时间节点的流量大小，和目标设备在预设周期内的第二时间节点的流量大小判断目标设备是否为增量设备，其中，如果目标设备为增量设备，则表示目标设备是在采集设备发送报文后才产生流量数据。这样一来，通过判断目标设备是否为增量设备就确定目标设备是否为静默设备。

在本申请中，作为一种可选的实施方式，所述获取目标设备的流量数据，包括：

当所述目标设备的流量数据包括至少两个所述目标设备的流量数据时，根据所述目标设备的IP将属于相同所述目标设备的数量数据关联为一个所述目标设备的流量数据。

在一些场景中，采集设备可能在一时段内，同时采集多台目标设备的数据，为了便于分析，可将IP下的多条流量数据进行关联。

本申请第二方面公开一种计算机设备，所述识别设备包括：

获取模块，用于获取目标设备的流量数据；

比对模块，用于将所述目标设备的流量数据与第一预设业务数据库进行比对，并得到比对结果，所述第一预设业务数据库存储有不属于静默设备的业务类型信息；

判断模块，用于根据所述比对结果判断所述目标设备是否为静默设备。

本申请的装置能够通过获取目标设备的流量数据，进而将目标设备的流量数据与第一预设业务数据库进行比对，并得到比对结果，其中，第一预设业务数据库存储有不属于静默设备的业务类型信息；最终，根据比对结果能够判断目标设备是否为静默设备。在上述步骤中，通过判断目标设备的流量数据是否与业务功能相关，进而能够确定目标设备当前是否还参与实现业务应用服务，进而当目标设备不参与实现业务应用服务，可将目标设备作为静默设备筛选出，从而避免这些目标设备配置违规和所造成的安全漏洞，避免为企业和组织安全带来极大的隐患。

本申请第三方面公开一种计算机设备，包括：

处理器；以及

存储器，配置用于存储机器可读指令，所述指令在由所述处理器执行时，执行本申请第一方面的静默设备的识别方法。

本申请的设备能够通过获取目标设备的流量数据，进而将目标设备的流量数据与第一预设业务数据库进行比对，并得到比对结果，其中，第一预设业务数据库存储有不属于静默设备的业务类型信息；最终，根据比对结果能够判断目标设备是否为静默设备。在上述步骤中，通过判断目标设备的流量数据是否与业务功能相关，进而能够确定目标设备当前是否还参与实现业务应用服务，进而当目标设备不参与实现业务应用服务，可将目标设备作为静默设备筛选出，从而避免这些目标设备配置违规和所造成的安全漏洞，避免为企业和组织安全带来极大的隐患。

本申请第四方面公开一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行本申请第一方面的静默设备的识别方法。

本申请的存储介质能够通过获取目标设备的流量数据，进而将目标设备的流量数据与第一预设业务数据库进行比对，并得到比对结果，其中，第一预设业务数据库存储有不属于静默设备的业务类型信息；最终，根据比对结果能够判断目标设备是否为静默设备。在上述步骤中，通过判断目标设备的流量数据是否与业务功能相关，进而能够确定目标设备当前是否还参与实现业务应用服务，进而当目标设备不参与实现业务应用服务，可将目标设备作为静默设备筛选出，从而避免这些目标设备配置违规和所造成的安全漏洞，避免为企业和组织安全带来极大的隐患。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本申请公开的一种静默设备的识别方法的流程示意图；

图2是本申请公开的一种静默设备的识别装置的结构示意图；

图3是本申请公开的一种计算机设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

实施例一

请参阅图1，图1是本申请公开的一种静默设备的识别方法的流程示意图。如图1所示，本申请实施例的方法包括以下步骤：

101、获取目标设备的流量数据；

102、根据目标设备的流量数据与第一预设业务数据库进行比对，并得到比对结果，第一预设业务数据库存储有不属于静默设备的业务类型信息；

103、根据比对结果判断目标设备是否为静默设备。

在本申请实施例中，目标设备可以业务系统中的设备，其中，业务系统用于实现特定业务场景下的业务功能，例如，业务系统可以是由多台分布式设置的服务器组成，其中，该业务系统可以用于实现安全事件的扫描和处理。

需要说明的是，对于业务系统实现何种业务功能，本申请实施例对此不作限定。

在本申请实施例中，业务系统的多台目标设备之间可以通过有线或者无线的方式进行通信，其中，目标设备如果与其他目标设备发生通信，则能够产生流量。

在本申请实施例中，业务系统的目标设备可用于执行一项总业务功能中的一项子业务功能，也可以用于单独执行一项业务功能。

在本申请实施例中，对步骤102的第一预设业务数据库存储了不属于静默设备的业务类型信息，即第一预设业务数据库存储了业务应用服务的业务类型信息，其中，第一预设业务数据库的业务类型信息包括应用服务名称、应用服务端口、端口描述信息。具体地，如表1所示，当一台目标设备的应用服务名称为“Web服务、数据库服务、邮件服务、远程连接服务中的一种时，可确定该目标设备为非静默设备。

在本申请实施例中，目标设备的应用服务名称根据目标设备中的流量数据确定，具体地，如表1所示，当目标设备的流量中携带http、https信息时，可确定目标设备的应用服务名称为Web服务。

在本申请实施例中，可选地，根据目标设备中的流量数据中的两个或两个以上的信息确定目标设备中的应用服务名称，例如，当目标设备的流量中携带http、https信息时，进一步判断目标设备的流量中的应用服务端口是否属于“80端口、443端口”，若均不属于“80端口、443端口”则将目标设备的应用服务名称定义在业务应用服务之外的名称，即目标设备没有执行业务应用服务。

在本申请实施例中，可选地，当根据目标设备中的流量数据中的两个或两个以上的信息确定目标设备中的应用服务名称时，根据两个信息之间的对应关系进一步确定目标设备中的应用服务名称，例如，当目标设备的流量中携带http信息时，判断目标设备的应用服务端口是否为80端口，若目标设备的应用服务端口是443端口，则目标设备的http信息与80端口对应不上，进而也能够将目标设备的应用服务名称定义在业务应用服务之外的名称。

在本申请实施例中，当目标设备的流量中携带Oracle、MySQL、SqlServer信息时，可确定目标设备的应用服务名称为数据库服务。

在本申请实施例中，进一步可选地，根据Oracle、MySQL、SqlServer与端口对应关系进一步确定目标设备的应用服务名称，其中，1521端口对应Oracle，3306端口对应MySQ，1433端口对应SqlServerD，其中，如果是1521端口对应的MySQ等情况，可将目标设备的应用服务名称定义在业务应用服务之外的名称。

在本申请实施例中，当目标设备的流量中携带pop3、Smtp信息时，可确定目标设备的应用服务名称为邮件服务。

在本申请实施例中，可选地，根据pop3、Smtp的端口对应关系进一步确定目标设备的应用服务名称，其中，110端口对应pop3，而25端口对应Smtp，其中，如果目标设备的25端口对应的pop3，可将目标设备的应用服务名称定义在业务应用服务之外的名称。

在本申请实施例中，当目标设备的流量中携带ssh、telnet、rdp、winrm信息时，可确定目标设备的应用服务名称为远程连接服务。

在本申请实施例中，可选地，根据ssh、telnet、rdp、winrm与端口对应关系进一步确定目标设备的应用服务名称，具体地，22端口对应ssh，23端口对应telnet，3389端口对应rdp，5985端口对应winrm，其中，如果ssh、telnet、rdp、winrm的端口对应不正确，例如，22端口对应winrm，可将目标设备的应用服务名称定义在业务应用服务之外的名称。

表1

在本申请实施例中，将目标设备的流量数据与第一预设业务数据库进行比对所得到比对结果可以是目标设备的应用服务名称不属于第一预设业务数据库定义的远程连接服务、邮件服务、数据库服务Web服务中的一种，比对结果也可以是属于程连接服务、邮件服务、数据库服务Web服务中的一种。

下面针对步骤101、102、103进行更加详细的说明。

在本申请实施例，作为一种可选的实施方式，步骤102中的根据目标设备的流量数据与第一预设业务数据库进行比对，包括以下子步骤：

根据目标设备的流量数据确定目标设备的业务类型；

判断目标设备的业务类型是否属于第一预设业务数据库中的业务类型，若是，则确定目标设备不属于静默设备。

在本申请实施例中，作为一种可选的实施方式，在步骤：判断目标设备的业务类型是否属于第一预设业务数据库中的业务类型之后，步骤：确定目标设备不属于静默设备之前，本申请实施例的识别方法还包括以下步骤：

当目标设备的业务类型属于第一预设业务数据库中的业务类型时，判断目标设备在预设周期内的流量发生次数，若目标设备在预设周期内的流量发生次数小于预设阈值，则确定目标设备属于静默设备。

在本申请实施例中，作为一种可选的实施方式，步骤：根据比对结果判断目标设备是否为静默设备，还包括以下子步骤：

当目标设备的业务类型不属于第一预设业务数据库中的业务类型时，判断目标设备的业务类型是否属于第二预设业务数据库中的业务类型，若是则确定目标设备为静默设备。

在本申请实施例中，第二预设业务数据库存储有属于静默设备的业务类型信息，具体地，第二预设业务数据库的业务类型信息为NTP、DNS、AD的一种。

在本申请实施例中，如表2所示，当目标设备的流量数据包括“NTP、DNS、AD”中一种时，可确定目标设备属于静默设备，其中，NTP表征目标设备仅提供时钟同步服务、DNS表征目标设备仅提供域名服务、而AD表征目标设备提供AD域服务(Active Directory WebServices)。

表2

在本申请实施例中，当目标设备的流量数据对应的端口为9389端口、53端口、123端口时，也能够确定目标设备为静默设备。

在本申请实施例中，作为一种可选的实施方式，获取目标设备的流量数据，包括：

识别目标设备是否产生流量数据；

当目标设备产生流量数据时，则从目标设备所在交换机的镜像口获取目标设备在预设周期内所产生的流量数据；

当目标设备未产生流量数据，在预设周期向目标设备发送请求报文并获取目标设备响应请求报文而产生流量数据。

在本可选的实施方式中，目标设备的流量数据可通过流量采集设备采集并存储，当需要使用目标设备的流量数据时，可从流量采集设备获取目标设备的流量数据。

在本可选的实施方式中，可选地，针对在采集数据前无法产生流量数据的目标设备，可通过采集设备主动向该目标设备发送报文，使得该目标设备产生针对报文的响应/回包，例如，如向处于网络中的目标设备发送icmp ping、tcp ping、udp ping、arp request报文，使得目标设备接收到发包请求时进行响应从而产生流量数据。

在本申请中，作为一种可选的实施方式，在步骤101：获取目标设备的流量数据，包括以下子步骤：

当目标设备的流量数据包括至少两个目标设备的流量数据时，根据目标设备的IP将属于相同目标设备的数量数据关联为一个目标设备的流量数据。

在一些场景中，采集设备可能在一时段内，同时采集多台目标设备的数据，为了便于分析，可将IP下的多条流量数据进行关联。与此同时，采集设备的采集时间可以一天、一周、一月中的一种。

在本申请实施例中，作为一种可选的实施方式，在步骤101：获取目标设备的流量数据之后，本申请实施例的识别方法还包括以下步骤：

计算目标设备在预设周期内的第一时间节点的流量大小；

计算目标设备在预设周期内的第二时间节点的流量大小；

根据目标设备在预设周期内的第一时间节点的流量大小，和目标设备在预设周期内的第二时间节点的流量大小判断目标设备是否为增量设备，若是，则确定目标设备为静默设备。

实施例二

请参阅图2，图2是本申请实施例公开的一种静默设备的识别装置，该装置包括以下功能模块：

获取模块201，用于获取目标设备的流量数据；

比对模块202，用于根据目标设备的流量数据与第一预设业务数据库进行比对，并得到比对结果，第一预设业务数据库存储有不属于静默设备的业务类型信息；

判断模块203，用于根据比对结果判断目标设备是否为静默设备。

需要说明的是，关于静默设备的识别装置的其他详细说明，请参阅本申请实施例一，本申请实施例对此不作赘述。

实施例三

请参阅图3，图3是本申请实施例公开的一种计算机设备的结构示意图。如图3所示，本申请实施例的计算机设备，包括：

处理器301；以及

存储器302，配置用于存储机器可读指令，指令在由处理器301执行时，执行本申请实施例一的静默设备的识别方法。

本申请实施例公开一种存储介质，存储介质存储有计算机程序，计算机程序被处理器执行本申请实施例一的静默设备的识别方法。

本申请的计算机设备能够通过获取目标设备的流量数据，进而将目标设备的流量数据与第一预设业务数据库进行比对，并得到比对结果，其中，第一预设业务数据库存储有不属于静默设备的业务类型信息；最终，根据比对结果能够判断目标设备是否为静默设备。在上述步骤中，通过判断目标设备的流量数据是否与业务功能相关，进而能够确定目标设备当前是否还参与实现业务应用服务，进而当目标设备不参与实现业务应用服务，可将目标设备作为静默设备筛选出，从而避免这些目标设备配置违规和所造成的安全漏洞，避免为企业和组织安全带来极大的隐患。

实施例四

本申请实施例公开一种存储介质，存储介质存储有计算机程序，计算机程序被处理器执行本申请实施例一的静默设备的识别方法。

在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

再者，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

需要说明的是，功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
专利发明人：郭立春;
专利申请人：北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司;

上一篇：基于领域自适应卷积神经网络的电子鼻漂移补偿方法
下一篇：一种浮动调节式薄膜加工用模头机构