網(wǎng)絡(luò)資產(chǎn)識別技術(shù)是一種綜合性的網(wǎng)絡(luò)掃描技術(shù)�����,它綜合了操作系統(tǒng)類型掃描和應(yīng)用端口的深度掃描�,相較于NMAP的操作系統(tǒng)指紋識別,網(wǎng)絡(luò)資產(chǎn)識別技術(shù)是在操作系統(tǒng)類型識別的基礎(chǔ)上側(cè)重于網(wǎng)絡(luò)資產(chǎn)的類型識別��。網(wǎng)絡(luò)資產(chǎn)識別技術(shù)可以通過IP地址掃描和資源管理�����,建立網(wǎng)絡(luò)資產(chǎn)管理基準(zhǔn)�,實(shí)現(xiàn)對非法接入的快速檢測和定位,并可根據(jù)策略要求自動(dòng)進(jìn)行檢測非法接入和隔離控制��。
網(wǎng)絡(luò)資產(chǎn)識別技術(shù)可自動(dòng)收集網(wǎng)絡(luò)內(nèi)部所有主機(jī)的 IP 地址和其對應(yīng)的 MAC 地址����,通過IP 和 MAC 的虛擬綁定技術(shù)建立IP 地址資源管理的基準(zhǔn),系統(tǒng)通過比對基準(zhǔn)表可實(shí)現(xiàn)對非法接入的檢測��,包括未知 MAC 地址接入(已接入網(wǎng)絡(luò)�,物理鏈路已經(jīng)連通��,由于 IP 地址配置不當(dāng)無法正常進(jìn)行通訊的主機(jī))和“隱形”非法接入(即接入時(shí)開啟防火墻���,無法通過掃描方式探測)�����。
利用網(wǎng)絡(luò)資產(chǎn)識別技術(shù)對私接路由設(shè)備進(jìn)行識別����,其工作流程可簡單概述如下:
1.通過ICMP、SNMP���、TCP以及UDP掃描技術(shù)�����,快速發(fā)現(xiàn)在線資產(chǎn)�。
2.通過操作系統(tǒng)掃描技術(shù)��,識別資產(chǎn)的操作系統(tǒng)��,可將操作系統(tǒng)分為windows和非windows系統(tǒng)兩種�,非windows系統(tǒng)又可分為類linux(如Redhat、Kylin�����、Ubuntu����、Debian等)����、類Unix(Sun Solaris��、FreeBSD���、IBM AIX��、HP-UX等)��、Android�、MAC OS(IOS)等�,其中路由設(shè)備的操作系統(tǒng)特征以類Linux和類Unix兩大類為主。
3.結(jié)合常見應(yīng)用端口的深度掃描�,判斷資產(chǎn)類型,區(qū)分可識別資產(chǎn)和待識別資產(chǎn)�����,針對視頻監(jiān)控網(wǎng)絡(luò)�����,可識別資產(chǎn)可以分為windows終端�、windows服務(wù)器、linux服務(wù)器�、Unix服務(wù)器、網(wǎng)絡(luò)設(shè)備����、打印設(shè)備、視頻監(jiān)控設(shè)備�、WIFI監(jiān)聽設(shè)備、RFID reader����、安全運(yùn)維設(shè)備等,綜合操作系統(tǒng)指紋和資產(chǎn)類型的特征指紋形成該資產(chǎn)的指紋特征庫�����,以NAT接入的路由設(shè)備會落在待識別資產(chǎn)類別里����。
4.針對出現(xiàn)資產(chǎn)類型識別沖突的設(shè)備(如因端口映射引起),需要進(jìn)一步判斷是否由NAT接入方式引發(fā)��。
5.針對待識別資產(chǎn)可繼續(xù)采用全TCP端口掃描以及常見UDP端口(如SNMP����、SSDP����、SIP��、ONVIF等)掃描�����,對資產(chǎn)類型進(jìn)行再識別�,并剔除可識別資產(chǎn),通過匹配NAT接入模式下路由設(shè)備的特征庫(系統(tǒng)內(nèi)置了TP-LINK��、D-LINK����、FAST、水星�����、騰達(dá)���、極路由���、NETGEAR等市場主流品牌的無線路由設(shè)備的特征庫),判斷該設(shè)備的技術(shù)特征是否與上述特征庫匹配����。
6.通過輪詢方式,可檢測網(wǎng)絡(luò)資產(chǎn)的指紋特征是否發(fā)生了變更�,以此確認(rèn)資產(chǎn)是否發(fā)生了設(shè)備替換。
技術(shù)優(yōu)點(diǎn)在于:
(1)通過資產(chǎn)梳理可以快速區(qū)分可識別資產(chǎn)和未識別資產(chǎn)��。
(2)通過特征匹配��,能夠比較準(zhǔn)確識別NAT接入設(shè)備��。
(3)通過對資產(chǎn)指紋特征前后比對����,能夠發(fā)現(xiàn)設(shè)備替換式或冒用式接入設(shè)備。
缺點(diǎn)是因采用掃描機(jī)制����,存在漏報(bào)和誤報(bào)可能。(作者: 栗紅梅 黃小平)
