網絡資產識別技術是一種綜合性的網絡掃描技術,它綜合了操作系統類型掃描和應用端口的深度掃描,相較于NMAP的操作系統指紋識別,網絡資產識別技術是在操作系統類型識別的基礎上側重于網絡資產的類型識別。網絡資產識別技術可以通過IP地址掃描和資源管理,建立網絡資產管理基準,實現對非法接入的快速檢測和定位,并可根據策略要求自動進行檢測非法接入和隔離控制。
網絡資產識別技術可自動收集網絡內部所有主機的 IP 地址和其對應的 MAC 地址,通過IP 和 MAC 的虛擬綁定技術建立IP 地址資源管理的基準,系統通過比對基準表可實現對非法接入的檢測,包括未知 MAC 地址接入(已接入網絡,物理鏈路已經連通,由于 IP 地址配置不當無法正常進行通訊的主機)和“隱形”非法接入(即接入時開啟防火墻,無法通過掃描方式探測)。
利用網絡資產識別技術對私接路由設備進行識別,其工作流程可簡單概述如下:
1.通過ICMP、SNMP、TCP以及UDP掃描技術,快速發現在線資產。
2.通過操作系統掃描技術,識別資產的操作系統,可將操作系統分為windows和非windows系統兩種,非windows系統又可分為類linux(如Redhat、Kylin、Ubuntu、Debian等)、類Unix(Sun Solaris、FreeBSD、IBM AIX、HP-UX等)、Android、MAC OS(IOS)等,其中路由設備的操作系統特征以類Linux和類Unix兩大類為主。
3.結合常見應用端口的深度掃描,判斷資產類型,區分可識別資產和待識別資產,針對視頻監控網絡,可識別資產可以分為windows終端、windows服務器、linux服務器、Unix服務器、網絡設備、打印設備、視頻監控設備、WIFI監聽設備、RFID reader、安全運維設備等,綜合操作系統指紋和資產類型的特征指紋形成該資產的指紋特征庫,以NAT接入的路由設備會落在待識別資產類別里。
4.針對出現資產類型識別沖突的設備(如因端口映射引起),需要進一步判斷是否由NAT接入方式引發。
5.針對待識別資產可繼續采用全TCP端口掃描以及常見UDP端口(如SNMP、SSDP、SIP、ONVIF等)掃描,對資產類型進行再識別,并剔除可識別資產,通過匹配NAT接入模式下路由設備的特征庫(系統內置了TP-LINK、D-LINK、FAST、水星、騰達、極路由、NETGEAR等市場主流品牌的無線路由設備的特征庫),判斷該設備的技術特征是否與上述特征庫匹配。
6.通過輪詢方式,可檢測網絡資產的指紋特征是否發生了變更,以此確認資產是否發生了設備替換。
技術優點在于:
(1)通過資產梳理可以快速區分可識別資產和未識別資產。
(2)通過特征匹配,能夠比較準確識別NAT接入設備。
(3)通過對資產指紋特征前后比對,能夠發現設備替換式或冒用式接入設備。
缺點是因采用掃描機制,存在漏報和誤報可能。(作者: 栗紅梅 黃小平)
