網(wǎng)絡(luò)資產(chǎn)識(shí)別技術(shù)是一種綜合性的網(wǎng)絡(luò)掃描技術(shù)��,它綜合了操作系統(tǒng)類型掃描和應(yīng)用端口的深度掃描,相較于NMAP的操作系統(tǒng)指紋識(shí)別����,網(wǎng)絡(luò)資產(chǎn)識(shí)別技術(shù)是在操作系統(tǒng)類型識(shí)別的基礎(chǔ)上側(cè)重于網(wǎng)絡(luò)資產(chǎn)的類型識(shí)別。網(wǎng)絡(luò)資產(chǎn)識(shí)別技術(shù)可以通過IP地址掃描和資源管理�,建立網(wǎng)絡(luò)資產(chǎn)管理基準(zhǔn),實(shí)現(xiàn)對(duì)非法接入的快速檢測(cè)和定位�����,并可根據(jù)策略要求自動(dòng)進(jìn)行檢測(cè)非法接入和隔離控制���。
網(wǎng)絡(luò)資產(chǎn)識(shí)別技術(shù)可自動(dòng)收集網(wǎng)絡(luò)內(nèi)部所有主機(jī)的 IP 地址和其對(duì)應(yīng)的 MAC 地址����,通過IP 和 MAC 的虛擬綁定技術(shù)建立IP 地址資源管理的基準(zhǔn)�����,系統(tǒng)通過比對(duì)基準(zhǔn)表可實(shí)現(xiàn)對(duì)非法接入的檢測(cè)����,包括未知 MAC 地址接入(已接入網(wǎng)絡(luò),物理鏈路已經(jīng)連通��,由于 IP 地址配置不當(dāng)無法正常進(jìn)行通訊的主機(jī))和“隱形”非法接入(即接入時(shí)開啟防火墻�����,無法通過掃描方式探測(cè))����。
利用網(wǎng)絡(luò)資產(chǎn)識(shí)別技術(shù)對(duì)私接路由設(shè)備進(jìn)行識(shí)別,其工作流程可簡(jiǎn)單概述如下:
1.通過ICMP�、SNMP、TCP以及UDP掃描技術(shù)�,快速發(fā)現(xiàn)在線資產(chǎn)。
2.通過操作系統(tǒng)掃描技術(shù)�,識(shí)別資產(chǎn)的操作系統(tǒng),可將操作系統(tǒng)分為windows和非windows系統(tǒng)兩種����,非windows系統(tǒng)又可分為類linux(如Redhat、Kylin����、Ubuntu、Debian等)���、類Unix(Sun Solaris��、FreeBSD�、IBM AIX、HP-UX等)�����、Android��、MAC OS(IOS)等�,其中路由設(shè)備的操作系統(tǒng)特征以類Linux和類Unix兩大類為主。
3.結(jié)合常見應(yīng)用端口的深度掃描���,判斷資產(chǎn)類型�,區(qū)分可識(shí)別資產(chǎn)和待識(shí)別資產(chǎn)���,針對(duì)視頻監(jiān)控網(wǎng)絡(luò)��,可識(shí)別資產(chǎn)可以分為windows終端���、windows服務(wù)器、linux服務(wù)器��、Unix服務(wù)器���、網(wǎng)絡(luò)設(shè)備����、打印設(shè)備�����、視頻監(jiān)控設(shè)備����、WIFI監(jiān)聽設(shè)備、RFID reader�����、安全運(yùn)維設(shè)備等���,綜合操作系統(tǒng)指紋和資產(chǎn)類型的特征指紋形成該資產(chǎn)的指紋特征庫(kù)��,以NAT接入的路由設(shè)備會(huì)落在待識(shí)別資產(chǎn)類別里�����。
4.針對(duì)出現(xiàn)資產(chǎn)類型識(shí)別沖突的設(shè)備(如因端口映射引起)���,需要進(jìn)一步判斷是否由NAT接入方式引發(fā)��。
5.針對(duì)待識(shí)別資產(chǎn)可繼續(xù)采用全TCP端口掃描以及常見UDP端口(如SNMP�����、SSDP�、SIP��、ONVIF等)掃描�,對(duì)資產(chǎn)類型進(jìn)行再識(shí)別,并剔除可識(shí)別資產(chǎn)��,通過匹配NAT接入模式下路由設(shè)備的特征庫(kù)(系統(tǒng)內(nèi)置了TP-LINK�、D-LINK、FAST�、水星、騰達(dá)�����、極路由���、NETGEAR等市場(chǎng)主流品牌的無線路由設(shè)備的特征庫(kù))�����,判斷該設(shè)備的技術(shù)特征是否與上述特征庫(kù)匹配�。
6.通過輪詢方式�����,可檢測(cè)網(wǎng)絡(luò)資產(chǎn)的指紋特征是否發(fā)生了變更�,以此確認(rèn)資產(chǎn)是否發(fā)生了設(shè)備替換。
技術(shù)優(yōu)點(diǎn)在于:
(1)通過資產(chǎn)梳理可以快速區(qū)分可識(shí)別資產(chǎn)和未識(shí)別資產(chǎn)����。
(2)通過特征匹配,能夠比較準(zhǔn)確識(shí)別NAT接入設(shè)備�。
(3)通過對(duì)資產(chǎn)指紋特征前后比對(duì),能夠發(fā)現(xiàn)設(shè)備替換式或冒用式接入設(shè)備�����。
缺點(diǎn)是因采用掃描機(jī)制���,存在漏報(bào)和誤報(bào)可能�����。(作者: 栗紅梅 黃小平)
