网络资产识别技术是一种综合性的网络扫描技术,它综合了操作系统类型扫描和应用端口的深度扫描,相较于NMAP的操作系统指纹识别,网络资产识别技术是在操作系统类型识别的基础上侧重于网络资产的类型识别。网络资产识别技术可以通过IP地址扫描和资源管理,建立网络资产管理基准,实现对非法接入的快速检测和定位,并可根据策略要求自动进行检测非法接入和隔离控制。
网络资产识别技术可自动收集网络内部所有主机的 IP 地址和其对应的 MAC 地址,通过IP 和 MAC 的虚拟绑定技术建立IP 地址资源管理的基准,系统通过比对基准表可实现对非法接入的检测,包括未知 MAC 地址接入(已接入网络,物理链路已经连通,由于 IP 地址配置不当无法正常进行通讯的主机)和“隐形”非法接入(即接入时开启防火墙,无法通过扫描方式探测)。
利用网络资产识别技术对私接路由设备进行识别,其工作流程可简单概述如下:
1.通过ICMP、SNMP、TCP以及UDP扫描技术,快速发现在线资产。
2.通过操作系统扫描技术,识别资产的操作系统,可将操作系统分为windows和非windows系统两种,非windows系统又可分为类linux(如Redhat、Kylin、Ubuntu、Debian等)、类Unix(Sun Solaris、FreeBSD、IBM AIX、HP-UX等)、Android、MAC OS(IOS)等,其中路由设备的操作系统特征以类Linux和类Unix两大类为主。
3.结合常见应用端口的深度扫描,判断资产类型,区分可识别资产和待识别资产,针对视频监控网络,可识别资产可以分为windows终端、windows服务器、linux服务器、Unix服务器、网络设备、打印设备、视频监控设备、WIFI监听设备、RFID reader、安全运维设备等,综合操作系统指纹和资产类型的特征指纹形成该资产的指纹特征库,以NAT接入的路由设备会落在待识别资产类别里。
4.针对出现资产类型识别冲突的设备(如因端口映射引起),需要进一步判断是否由NAT接入方式引发。
5.针对待识别资产可继续采用全TCP端口扫描以及常见UDP端口(如SNMP、SSDP、SIP、ONVIF等)扫描,对资产类型进行再识别,并剔除可识别资产,通过匹配NAT接入模式下路由设备的特征库(系统内置了TP-LINK、D-LINK、FAST、水星、腾达、极路由、NETGEAR等市场主流品牌的无线路由设备的特征库),判断该设备的技术特征是否与上述特征库匹配。
6.通过轮询方式,可检测网络资产的指纹特征是否发生了变更,以此确认资产是否发生了设备替换。
技术优点在于:
(1)通过资产梳理可以快速区分可识别资产和未识别资产。
(2)通过特征匹配,能够比较准确识别NAT接入设备。
(3)通过对资产指纹特征前后比对,能够发现设备替换式或冒用式接入设备。
缺点是因采用扫描机制,存在漏报和误报可能。(作者: 栗红梅 黄小平)
