[发明专利]一种基于主动和被动相结合的全网设备感知系统和感知方法

摘要

本发明涉及一种基于主动和被动相结合的全网设备感知系统和感知方法。该感知系统包括：A、发现层：包括SNMP发现；探针发现；ICMP发现；被动发现；B、缓存层：负责接收发现层的发现结果，向识别层发送识别请求，调度识别层进行识别，最后将识别的结果发送到缓存层汇总，缓存层将各发现模块获取的整体信息汇总并将设备信息推送给其它业务系统；C、识别层：被动识别层和主动识别层。本发明的有益效果：本发明不依赖于在设备上安装客户端，可以适应复杂的网络环境。而且通过被动识别速度快的优势，可以快速识别设备状态变化。并且结合了主动识别的优点，可以主动探测到被动无法获取到的信息，使获取的设备信息更加全面、丰富。 1

主权项

1.一种基于主动和被动相结合的全网设备感知系统，其特征在于包括：

A、发现层：

通过多种手段获取全网的网络设备，并形成设备信息列表，通过以下一种或几种发现方式获取：

1) SNMP发现：SNMP用于发现IPMAC、以上联设备和上联端口；

2) 探针发现：通过在多个点部署小网段资源监测点或独立部署的探针，进行探测探针所在的网段的所有设备；

3) ICMP发现：按网段进行ICMP扫描；

4) 被动发现：对接入到网格上的设备，通过配置端口镜像，将网络数据包镜像到本系统，获取网络流量；

B、缓存层：

负责接收发现层的发现结果，向识别层发送识别请求，调度识别层进行识别，最后将识别的结果发送到缓存层汇总，缓存层将各发现模块获取的整体信息汇总并将设备信息推送给其它业务系统；

C、识别层：

识别层主要分为两大部分：被动识别层和主动识别层，用于将缓存层发送来的信息进行识别和处理，并将识别和处理后的信息发送到缓存层；

被动识别层

被动识别层通过对被动发现的网络设备的流量信息进行解包和分析，获取设备的特征信息，所述的特征信息包括有协议特征数据和行为特征数据；

主动识别层

主动识别层通过一系列的扫描程序，主动向设备发送探测包，并通过分析设备的响应来获取设备的信息。

2.一种基于主动和被动相结合的全网设备感知方法，其特征在于包括

A、发现和识别网络设备的网络信息，并形成设备信息列表，通过以下一种或几种发现方式获取：

（1）SNMP发现：通过SNMP获取网络信息，包括设备的上联设备和上联端口；通过上联设备用来快速地查找或定位设备，并能直接在网络设备上标注；通过上联端口进行位置报警或基于背板功能；

（2）探针发现：通过在多个点部署小网段资源监测点或独立部署的探针，进行探测探针所在的网段的所有设备；

（3）ICMP发现：按网段进行ICMP扫描；

（4）被动发现：对接入到网格上的设备，通过配置端口镜像，将网络数据包镜像到本系统，获取网络流量；

B、进行缓存处理：当发现层发现网络设备之后，将发现的设备信息发送给缓存层，此时缓存层只获取到了设备的最基本信息，然后缓存层向识别层发送识别请求，识别层各模块接收到识别请求之后对该设备进行多项识别，最后将识别的结果发送到缓存层汇总，缓存层将各发现模块获取的整体信息汇总并将设备信息推送给其它业务系统；

C、识别处理：识别处理分为被动识别和主动识别两部分；用于将缓存层发送来的信息进行识别和处理，并将识别和处理后的信息发送到缓存层；

（1）被动识别：通过对网络流量信息进行解包和分析，获取设备的特征信息；

对获取的网络流量进行数据解析：获取到网络流量之后，对其进行分层拆包解析，获取可以进行识别的信息，分析模块可以将其中的特征提取出来，形成系统的指纹特征；

提取特征：解析之后的数据包，变为一系列协议特征数据和用户数据，通过对协议特征数据进行收集，并对用户数据综合进行行为分析，分别形成协议特征数据和行为特征数据，综合提取出设备指纹;

（2）主动识别：

通过一系列的扫描程序，主动向设备发送探测包，并通过分析设备的响应来获取设备的信息，所述的信息包括识别设备的操作系统、服务信息，通过一系列特征包探测，获取到设备网络协议栈的特征信息，通过与预置数据库特征比对，获取到设备的操作系统信息；通过端口扫描，获取设备的服务信息，通过多种主动请求并分析响应的方式，获取设备的信息，并上报给缓存层，基线对此汇总后发送给业务对此处理。