[发明专利]一种识别网络设备厂商的方法和计算设备

说明书

本发明公开了一种识别网络设备厂商的方法，包括步骤：将来自未知网络设备、并包括设备标识信息的报文划分为多个集合，每个集合内的报文均相似；对于每个集合，在该集合中选择预定数目条报文；对其中每条报文分别进行第一识别，以分别得到每条报文对应的网络设备的第一厂商，第一识别包括：提取该条报文中设备标识信息所包含的网络地址；获取网络地址指向的网络内容；根据网络内容中的第一特定字段内容得到该条报文对应的网络设备的第一厂商；如果每条报文的第一厂商均相同，确定该集合内所有报文对应的网络设备的厂商均为该第一厂商。本发明还公开了一种对应的计算设备和计算机可读存储介质。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种识别网络设备厂商的方法和计算设备。

背景技术

随着网络通信技术的迅速发展、所承载信息的日益丰富，互联网以及其中的各种网络设备已成为人类社会重要的基础设施。网络设备通常都会具有设备标识信息(banner)，在新的网络漏洞或僵尸网络爆发的时候，安全研究人员可以根据网络设备的设备标识信息来识别其厂商，继而评估受到影响的厂商以及对应的网络设备类型。还可以根据识别出的网络设备的数量以及分布范围来评定漏洞影响范围。因此，对网络设备厂商进行识别对维护网络安全有重要意义。

目前通用的方式是使用正则表达式去对网络设备的设备标识信息进行匹配，如果匹配成功，则表明该网络设备属于该正则表达式对应的厂商。然而，由于各厂商在设备标识信息中展示厂商信息的方式、位置和格式各不相同，无法使用计算设备去自动化的编写对应的正则表达式，必须人工编写。这就导致了识别门槛高，识别效率低，同时人力成本高的问题。

因此，迫切需要一种更先进的识别网络设备厂商的方案。

发明内容

为此，本发明提供一种识别网络设备厂商的方案，以力图解决或者至少缓解上面存在的至少一个问题。

根据本发明的一个方面，提供了一种识别网络设备厂商的方法，包括步骤：将来自未知网络设备、并包括设备标识信息的报文划分为多个集合，每个集合内的报文均相似；对于每个集合，在该集合中选择预定数目条报文；对其中每条报文分别进行第一识别，以分别得到每条报文对应的网络设备的第一厂商，第一识别包括：提取该条报文中设备标识信息所包含的网络地址；获取该网络地址指向的网络内容；根据该网络内容中的第一特定字段内容得到该条报文对应的网络设备的第一厂商；如果每条报文的第一厂商均相同，确定该集合内所有报文对应的网络设备的厂商均为该第一厂商。

可选地，在根据本发明的方法中，第一识别还包括：如果网络内容不存在第一特定字段内容，或者根据第一特定字段内容得到的第一厂商有多个，则确定该条报文的第一识别失败。

可选地，在根据本发明的方法中，方法还包括步骤：对其中每条报文分别进行第二识别，以分别得到每条报文对应的网络设备的第二厂商，第二识别包括：基于该条报文中设备标识信息与已知的厂商数据库之间的匹配，得到该报文对应的网络设备的第二厂商；如果每条报文的第二厂商均相同，确定该集合内所有报文对应的网络设备的厂商均为该第二厂商。

可选地，在根据本发明的方法中，第二识别还包括：如果设备标识信息与已知的厂商数据库之间匹配失败，则确定该条报文的第二识别失败。

可选地，在根据本发明的方法中，方法还包括步骤：对其中每条报文分别进行第三识别，以分别得到每条报文对应的网络设备的第三厂商，第三识别包括：判断该条报文是否为特定网络协议；若是，与该报文对应的网络设备通过特定网络协议建立连接，并获取其数字证书；根据该数字证书中的第二特定字段内容得到该条报文对应的网络设备的第三厂商；如果每条报文的第三厂商均相同，确定该集合内所有报文对应的网络设备的厂商均为该第三厂商。

可选地，在根据本发明的方法中，第三识别还包括：如果该条报文不为特定网络协议、或者数字证书不存在第二特定字段内容、或者根据第二字段内容得到的第三厂商为特殊厂商，则确定该条报文的第三识别失败。