本申请涉及通信技术,特别涉及一种分析网络设备安全的方法及设备。
背景技术:
网络设备的安全设备网络内的设备进行扫描,记录网络内的发生不同类型的安全事件。各类型的安全事件至少包括,运输层协议目的端口号及其对应的漏洞、弱口令、配置风险等风险信息、源ip地址、目的ip地址、攻击阶段信息。
网络内部的设备增加时,网络运维人员需要对新增的网络设备进行安全维护。但是,一旦网络运维人员不能及时发现这些网络内部的新增网络设备,导致网络内部出现脱管的网络设备时,即使网络安全设备已经扫描到内网中存在网络风险的安全事件时,导致运维人员无法及时获取新增网络设备的何种应用程序的服务存在的风险,也无法分析网络设备的风险端口(运输层协议端口)类型。
技术实现要素:
本申请的目的在于提供一种分析网络设备安全的方法及设备,主动探测分析网络设备的应用服务的安全风险。
一种分析网络设备安全的方法,该方法包括:逐一扫描网络内的多个指定ip地址或指定ip地址网段;扫描每个ip地址对应的全部运输层协议端口;将全部运输层协议端口不超过指定端口阈值的ip地址对应的网络设备识别为待分析网络设备;获取待分析网络设备的各运输层协议端口对应的服务;确定安全事件的运输层协议端口与待分析网络设备的任一运输层协议端口匹配;根据安全事件获取待分析网络设备的匹配运输层协议端口的对应服务存在的风险。
一种分析网络设备安全的设备,该设备包括处理器以及计算机可读存储介质,处理器执行计算机可读存储介质存储的计算机可读指令执行以下处理:逐一扫描网络内的多个指定ip地址或指定ip地址网段;扫描每个ip地址对应的全部运输层协议端口;将全部运输层协议端口不超过指定端口阈值的ip地址对应的网络设备识别为待分析网络设备;获取待分析网络设备的各运输层协议端口对应的服务;确定安全事件的运输层协议端口与待分析网络设备的任一运输层协议端口匹配;根据安全事件获取待分析网络设备的匹配运输层协议端口的对应服务存在的风险。
本申请通过主动探测获取网络内网络设备,结合已扫描到的安全事件识别网络设备的应用程序存在的风险以及风险端口类型。
附图说明
图1为本申请提供的分析网络安全方法实施例的流程图;
图2为图1获取运输层协议端口对应的服务的流程图;
图3为本申请提供的分析网络安全设备实施例的示意图。
具体实施方式
将以多个附图所示的多个例子进行详细说明。在以下详细描述中,多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路,以免使这些例子的难于理解。术语“包括”表示包括但不限于;术语“含有”表示包括但不限于;术语“以上”、“以内”以及“以下”包含本数;术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
图1为本申请提供的分析网络安全方法实施例的流程图,该方法包括:
步骤101,逐一扫描网络内的多个指定ip地址或指定ip地址网段。
安全设备启动一个任务通过扫描探测网络内部的网络设备。该安全设备的启动任务调用,按照设置的发包速率向每个ip地址发送报文,进行端口扫描。
在通信领域内,端口通常是指tcp/udp端口,用以识别设备上运行的应用程序。本申请中,端口/端口号、运输层协议端口/运输层协议端口号都是指tcp/udp端口/端口号,目的端口也是指tcp/udp目的端口。
步骤102,扫描每个ip地址对应的全部运输层协议端口。
步骤103,将全部运输层协议端口不超过指定端口阈值的ip地址对应的网络设备识别为待分析网络设备。
由于防火墙设备的端口既需要向网络内部开放,也需要向互联网开放,不需要进行风险端口类型分析。因此,设置的指定端口阈值是为了识别扫描到的设备是否为防火墙。因此,当安全设备调用的端口扫描器扫描到任一ip地址的运输层协议端口超过指定端口阈值时,表明该ip地址对应的主机/网络设备的几乎所有的网络层协议端口都开放,可能是防火墙设备,因此跳过该ip地址,扫描下一个ip地址。
步骤104,获取待分析网络设备的各运输层协议端口对应的服务。
步骤105,确定安全事件的运输层协议端口与待分析网络设备的任一运输层协议端口匹配。
步骤106,根据安全事件获取待分析网络设备的匹配运输层协议端口的对应服务存在的风险。
因为安全设备记录的各类型的安全事件至少包括,运输层协议目的端口号(如目的udp端口)及其对应的漏洞、弱口令、配置风险等风险信息、源ip地址、目的ip地址、攻击阶段信息。安全设备将各安全事件的目的端口与发现获得端口及服务进行关联分析获取该ip地址对应的主机/网络上服务存在的漏洞、弱口令、配置等风险。
如图2所示,安全设备获取运输层协议端口对应的服务的包括以下步骤:
步骤201,判断运输层协议端口是否对应web服务;若是,执行步骤202,若否,执行步骤203;
步骤202,获取web服务的统一资源定位系统地址url和标题title;
步骤203,获取非web服务的服务名称和协议。
本申请中,安全设备还可以预置有风险端口类型规则,根据安全事件记录的源ip地址、目的ip地址确定待分析网络设备的匹配运输层协议端口的风险端口类型。
表1-1和表1-2所示为“向互联网暴露的端口的规则”。当安全事件的事件类型、源ip地址、目的ip地址、攻击阶段与表1-1或表1-2相符,则该端口的风险端口类型是对互联网暴露的高危端口。本领域人员可以根据网络环境下的安全事件扩展规则类别,本申请不做限定。
表1-1
表1-2
表2-1、2-2为“向内网暴露的端口的规则”。本申请不限定本领域人员根据网络环境国扩展“向内网暴露的端口的规则”的类别。
表2-1
表2-2
图1和图2所示方法能够通过主动探测到网络内部的网络设备,根据安全识别网络设备的应用程序的服务存在的风险,分析网络设备的风险端口类型。
图3所示为本申请提供的一种分析网络设备安全的设备30,该设备30包括:处理器以及计算机可读存储介质,处理器执行计算机可读存储介质存储的计算机可读指令执行以执行图1及图2所示的处理。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
1.一种分析网络设备安全的方法,其特征在于,所述方法包括:
逐一扫描所述网络内的多个指定ip地址或指定ip地址网段;
扫描每个ip地址对应的全部运输层协议端口;
将全部运输层协议端口不超过指定端口阈值的ip地址对应的网络设备识别为待分析网络设备;
获取所述待分析网络设备的各运输层协议端口对应的服务;
确定安全事件的运输层协议端口与所述待分析网络设备的任一运输层协议端口匹配;
根据所述安全事件获取所述待分析网络设备的匹配运输层协议端口的对应服务存在的风险。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述安全事件记录的源ip地址、目的ip地址确定所述待分析网络设备的匹配运输层协议端口的风险端口类型。
3.根据权利要求2所述的方法,其特征在于,
根据所述安全事件记录的源ip地址和目的ip地址分别是外网ip地址、内网ip地址,确定所述端口风险类型是对互联网暴露的风险运输层协议端口。
4.根据权利要求2所述的方法,其特征在于,
根据所述安全事件记录的源ip地址和目的ip地址分别是内网ip地址、外网ip地址,确定所述端口风险类型是对内网暴露的风险运输层协议端口。
5.根据权利要求1所述的方法,其特征在于,获取所述待分析网络设备的各运输层协议端口对应的服务包括:
为对应web服务的运输层协议端口获取统一资源定位系统地址和标题;
为对应非web服务的运输层协议端口获取服务名称和协议。
6.一种分析网络设备安全的设备,其特征在于,所述设备包括处理器以及计算机可读存储介质,所述处理器执行所述计算机可读存储介质存储的计算机可读指令执行以下处理:
逐一扫描所述网络内的多个指定ip地址或指定ip地址网段;
扫描每个ip地址对应的全部运输层协议端口;
将全部运输层协议端口不超过指定端口阈值的ip地址对应的网络设备识别为待分析网络设备;
获取所述待分析网络设备的各运输层协议端口对应的服务;
确定安全事件的运输层协议端口与所述待分析网络设备的任一运输层协议端口匹配;
根据所述安全事件获取所述待分析网络设备的匹配运输层协议端口的对应服务存在的风险。
7.根据权利要求6所述的设备,其特征在于,所述处理器执行所述计算机可读存储介质存储的计算机可读指令还执行以下处理:
根据所述安全事件记录的源ip地址、目的ip地址确定所述待分析网络设备的匹配运输层协议端口的风险端口类型。
8.根据权利要求7所述的设备,其特征在于,所述处理器执行所述计算机可读存储介质存储的计算机可读指令,执行根据所述安全事件记录的源ip地址、目的ip地址确定所述待分析网络设备的匹配运输层协议端口的风险端口类型的处理包括:
根据所述安全事件记录的源ip地址和目的ip地址分别是外网ip地址、内网ip地址,确定所述端口风险类型是对互联网暴露的风险运输层协议端口。
9.根据权利要求7所述的设备,其特征在于,所述处理器执行所述计算机可读存储介质存储的计算机可读指令,执行根据所述安全事件记录的源ip地址、目的ip地址确定所述待分析网络设备的匹配运输层协议端口的风险端口类型的处理包括:
根据所述安全事件记录的源ip地址和目的ip地址分别是内网ip地址、外网ip地址,确定所述端口风险类型是对内网暴露的风险运输层协议端口。
10.根据权利要求6所述的设备,其特征在于,所述处理器执行所述计算机可读存储介质存储的计算机可读指令,执行获取所述待分析网络设备的各运输层协议端口对应的服务包括:
为对应web服务的运输层协议端口获取统一资源定位系统地址和标题;
为对应非web服务的运输层协议端口获取服务名称和协议。
技术总结