[发明专利]一种网络空间测绘过程中对象特征的识别方法

说明书

本发明提供了一种网络空间测绘过程中对象特征的识别方法，包括以下步骤：第一步，对IP全球网段进行扫描，获得IP网段的开放端口；第二步，解析扫描获得的IP网段的开放端口，预定义开放端口的通信协议；第三步，根据预定义的开放端口的通信协议，向开放端口发送特定数据包；第四步，根据端口的反馈情况，判断特定端口服务端的特征信息。本发明的方法降低了网络空间测绘过程中整体的时间和系统资源消耗。

技术领域

本发明属于网络空间测绘领域，具体涉及一种网络空间测绘过程中对象特征的识别方法。

背景技术

网络空间测绘是网络资产管理的一种形式，通过对全部或者特定IP网段进行扫描，获得IP网段的全部端口信息、对应的软件和硬件信息，从而为测绘者获得IP网段的概貌特征提供基本的依据。

网络空间测绘过程中，当扫描获得IP网段的开放端口后，需要获取该端口所对应的软件硬件信息，这就要求首先了解网络端口所使用的通信协议。

CN102546625A公开了一种半监督聚类集成的协议识别方法，其包括，对网络上各中数据包进行采集；对接收的网络数据进行解析，把数据包各字段进行提取，统计；把网络数据进行解析后得到的网络数据的特征代码与预设在数据库的各特征代码进行匹配，如果匹配成功，那么表示该数据包是相应的协议；对不能匹配成功的数据进行聚类分析，使用多个基聚类器对数据包进行聚类，并把结果进行反馈，修改先验标签值；以及，把对网络数据包进行聚类的结果与已知的各协议进行一个半监督的统计学习，训练一个判别学习器。该发明提高了协议识别率。

CN107404492A公开了一种通讯网络中设备的识别方法，涉及网络通讯领域，包括S1：交换机中端口接入的设备定时向所述交换机中其它处于Link up状态的端口发送协议报文，所述协议报文包括特有的目的mac地址和私有的以太网类型；S2：处于Link up状态的端口接收协议报文，将协议报文发送至交换机的CPU；S3：CPU解析协议报文，并判断协议报文数据中的协议内容是否符合认证设备的标识特征，所述协议内容包括报文格式、协议类型以及发送协议报文的设备的mac地址；若是，则将协议报文发送端口设置为Forwarding状态，并将协议报文发送端口接入的设备标识为已认证设备，若否，则将协议报文发送端口设置为Block状态。该发明通过发送特定协议报文的方式来判断设备是否认证。

上述发明都提及了通过检测数据包来判断设备的一定状态，但是都没有提供用于空间测绘环境下，对网络中的软件和硬件对象进行特征识别的方法。

发明内容

本发明提供一种网络空间测绘过程中对象特征的识别方法，包括以下步骤：第一步，对IP全球网段进行扫描，获得IP网段的开放端口；第二步，解析扫描获得的IP网段的开放端口，预定义开放端口的通信协议；第三步，根据预定义的开放端口的通信协议，向开放端口发送特定数据包；第四步，根据端口的反馈情况，判断特定端口服务端的特征信息。

对IP全球网段进行扫描，采取的是高并发的扫描方式；或者对IP全球网段进行并发扫描是基于分布式架构，在分布式架构中，扫描任务被分解后，分配到合适的处理资源中，从而针对IP全球网段的多个节点实现分布式扫描；分布式扫描与分布式处理，以及分布式数据存储同时执行。

其中端口的反馈情况包括无反馈、有反馈；在无反馈的情况下，继续发送特定数据包，检测端口的反馈情况；在有反馈的情况下，分析数据包的组成，获取服务端的特征信息。

其中在本地建立端口-协议预定义数据库，将扫描获得的IP网段开放端口与端口-协议预定义数据库进行比较，为IP网段开放端口预定义一个或者多个通信协议。

其中端口-协议预定义数据库中的每个端口具有多个对应协议，对应协议具有不同的优先级。

其中在发送数据包后，开启倒计时器；倒计时满后无数据包反馈，根据协议优先级顺序发送下一特定数据包。

本发明的有益效果在于：