内网资产识别方法、装置、电子设备及存储介质与流程

1.本技术涉及信息安全技术领域，具体而言，涉及一种内网资产识别方法、装置、电子设备及存储介质。


背景技术：

2.近年来，随着互联网应用的普及，网络流量日益增大，使得安全事件的发生成为可能，从而形成了安全风险。在企业安全运营体系中，资产安全是所有安全的基础。因此，对内网资产的识别显得尤为重要。
3.目前，内网资产的识别一般是基于网段进行识别，比如预先划分了一些属于内网资产的内网网段，然后基于这些内网网段来识别出内网资产，但是这种方式对于公网网段私用的场景并不适用，也就是说无法识别出该场景下的内网资产，使得无法对内网资产进行全面且准确地识别。


技术实现要素：

4.本技术实施例的目的在于提供一种内网资产识别方法、装置、电子设备及存储介质，用以改善现有的识别方式无法对内网资产进行全面且准确地识别的问题。
5.第一方面，本技术实施例提供了一种内网资产识别方法，所述方法包括：
6.获取流量携带的端口信息以及ip信息；
7.根据所述端口信息以及所述ip信息，识别所述流量中的内网ip段，并将所述内网ip段对应的设备确定为内网资产。
8.在上述实现过程中，通过流量携带的端口信息以及ip信息这两个信息相结合来识别流量中的内网ip段，该内网ip段对应的设备即为内网资产，如此实现内网资产的识别，由于ip信息和端口信息更能体现设备的通信特点(即内网中各设备之间的通信特点可以通过ip信息和端口信息表征出来)，适用于任何局域网的通信环境(包括公网网段私用的场景)，所以基于这两个信息能够有效识别出内网资产，本方案不依赖网段进行内网资产识别，相比于现有方式仅根据网段进行内网资产识别的方式，本技术的识别方式能够更全面且准确地对内网资产进行识别。
9.可选地，所述根据所述端口信息以及所述ip信息，识别所述流量中的内网ip段，包括：
10.统计所述流量中同一目的ip对应的目的端口的端口数量，以及统计所述流量中同一目的ip对应的源ip的ip数量；
11.基于所述端口数量以及所述ip数量，识别所述流量中的内网ip段。
12.在上述实现过程中，结合端口数量以及ip数量来识别内网资产，如此可提高内网资产识别的准确性。
13.可选地，所述基于所述端口数量以及所述ip数量，识别所述流量中的内网ip段，包括：
14.若同一目的ip对应的目的端口没有命中端口白名单，且所述端口数量大于第一阈值，则将该目的ip和对应的ip c段缓存到端口识别表中；
15.若同一目的ip对应的源ip的ip数量大于第二阈值，且该目的ip对应报文的三次握手时间的均值大于第三阈值，则将该目的ip的ip c段缓存到ip识别表中；
16.若所述ip识别表与所述端口识别表中存在相同的ip c段，则确定该相同的ip c段为第一内网ip段。
17.在上述实现过程中，若有ip c段同时命中ip识别表和端口识别表，则表明该ip c段确实为内网ip段，也即基于ip和端口结合来识别内网ip段的准确性更高。
18.可选地，所述将所述目的端口对应的目的ip和ip c段缓存到端口识别表中之后，还包括：
19.若所述端口识别表中有不同目的ip具有相同的ip c段，则确定该ip c段为第二内网ip段。一般内网中的设备具有相同的ip c段，所以如果不同目的ip具有相同的ip c段，则可认为其是内网ip段。
20.可选地，所述方法还包括：
21.若所述目的端口命中所述端口白名单，则确定所述目的端口对应的目的ip的ip c段为第三内网ip段；
22.若所述三次握手时间的均值小于或等于第三阈值，则确定所述同一目的ip的ip c段为第四内网ip段。
23.在上述实现过程中，端口白名单中包含一些默认的端口，其一般是内网端口，所以如果命中端口白名单，则认为其是内网ip段。一般内网中的设备之间通信的三次握手时间较短，所以若三次握手时间的均值小于阈值，则确定其为内网ip段。
24.可选地，若所述目的端口命中所述端口白名单，则确定所述目的端口对应的目的ip的ip c段为第三内网ip段，包括：
25.若所述目的端口命中系统固定端口白名单，则确定该目的端口对应的ip c段为所述第三内网ip段；
26.若所述目的端口命中软件默认端口白名单且该目的端口对应的目的ip的端口数量大于第四阈值，则确定该目的ip的ip c段为所述第三内网ip段。
27.在上述实现过程中，若端口命中软件默认端口白名单，则再结合端口数量进行判断，这是因为软件默认端口白名单中的端口是一些动态端口，可以由用户自定义，所以结合端口数量能够更准确识别出其中的内网ip段。
28.可选地，所述方法还包括：
29.对内网ip段中具有相同ip b段的ip c段按照上下限进行扩充，将扩充获得的ip c段保存至ip c段表中，所述内网ip段包括所述第一内网ip段、第二内网ip段、所述第三内网ip段以及所述第四内网ip段；
30.确定所述ip c段表中的ip c段为最终的内网ip段。
31.在上述实现过程中，通过对内网ip段中具有相同ip b段的ip c段进行扩充，在确保其扩充的ip c段是内网ip段的基础上，可以实现更多的内网ip段的识别。
32.可选地，所述将扩充获得的ip c段保存至ip c段表中之后，所述方法还包括：
33.将所述第三内网ip段、所述第四内网ip段、所述端口识别表以及所述ip识别表中
对应的流量信息缓存到临时识别表中；
34.从所述临时识别表中提取所有源ip的ip c段以及各个ip c段的出现次数至ip总表中；
35.将所述ip c段表与所述ip总表进行比对，筛选出其中出现次数在前预设比例的相同的ip c段，并将筛选出的ip c段缓存至内网ip段表中；
36.确定所述内网ip段表中的ip c段为最终的内网ip段。
37.在上述实现过程中，通过对临时识别表中的ip c段进行筛选，如此可从中筛选出真正的内网ip段，从而能够更为精确地识别出内网资产。
38.可选地，所述将筛选出的ip c段缓存至内网ip段表中之后，还包括：
39.从所述临时识别表中提取所有目的ip到目的ip表中；
40.若所述临时识别表中的目的ip对应的ip c段在所述内网ip段表中，则将与该目的ip对应的源ip与所述目的ip表进行比对；
41.若源ip在所述目的ip表中，则将该源ip对应的ip c段保存至ip c段表中。
42.在上述实现过程中，通过结合目的ip表，识别出临时识别表中源ip对应的ip c段是否为内网ip段，从而可扩大内网ip段的识别范围，达到自动聚类的效果，不仅加强了内网资产识别的准确性，还提高了内网资产识别的全面性。
43.第二方面，本技术实施例提供了一种内网资产识别装置，所述装置包括：
44.信息获取模块，用于获取流量携带的端口信息以及ip信息；
45.识别模块，用于根据所述端口信息以及所述ip信息，识别所述流量中的内网ip段，并将所述内网ip段对应的设备确定为内网资产。
46.第三方面，本技术实施例提供一种电子设备，包括处理器以及存储器，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，运行如上述第一方面提供的所述方法中的步骤。
47.第四方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
48.本技术的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本技术实施例了解。本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
49.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
50.图1为本技术实施例提供的一种内网资产识别方法的流程图；
51.图2为本技术实施例提供的一种内网资产识别装置的结构框图；
52.图3为本技术实施例提供的一种用于执行内网资产识别方法的电子设备的结构示意图。
具体实施方式
53.下面将结合本技术实施例中附图，对本技术实施例中的技术方案进行清楚、完整地描述。
54.需要说明的是，本发明实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上，鉴于此，本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，字符“/”，如无特殊说明，一般表示前后关联对象是一种“或”的关系。
55.本技术实施例提供一种内网资产识别方法，该方法通过流量携带的端口信息以及ip信息这两个信息相结合来识别流量中的内网ip段，该内网ip段对应的设备即为内网资产，如此实现内网资产的识别，由于ip信息和端口信息更能体现设备的通信特点(即内网中各设备之间的通信特点可以通过ip信息和端口信息表征出来)，适用于任何局域网的通信环境(包括公网网段私用的场景)，所以基于这两个信息能够有效识别出内网资产，本方案不依赖网段进行内网资产识别，相比于现有方式仅根据网段进行内网资产识别的方式，本技术的识别方式能够更全面且准确地对内网资产进行识别。
56.请参照图1，图1为本技术实施例提供的一种内网资产识别方法的流程图，该方法包括如下步骤：
57.步骤s110：获取流量携带的端口信息以及ip信息。
58.本技术实施例的内网资产识别方法的执行主体可以是部署在内网中的采集设备，比如传感器，该传感器可以用于采集网络流量，可以在网络的多个位置合理部署该传感器，以尽量采集更全面的网络流量。或者，采集设备也可以如防火墙等设备，这些设备可用于采集网络流量，然后识别出流量中的内网ip段后，可知晓哪些设备是内网资产，从而后续可以对这些内网资产进行安全检测等操作。为了描述的便利，下述实施例中均以采集设备为统称进行描述。
59.这里的流量可以是实时流量，也可以是缓存中的流量，如采集设备可将获取的流量缓存起来，然后每隔一段时间对缓存的流量进行内网资产识别。
60.流量包括大量的报文，这些报文中携带有端口信息以及ip信息，即四元组信息，包括源端口、源ip地址、目的端口和目的ip地址，这里的端口信息包括源端口和目的端口以及这些端口的相应统计信息，比如端口数量等，ip信息包括源ip地址和目的ip地址以及这些ip地址的相应统计信息，比如这些ip地址对应的ip c段、以及ip数量等。
61.步骤s120：根据端口信息以及ip信息，识别流量中的内网ip段，并将该内网ip段对应的设备确定为内网资产。
62.其中，内网ip段对应的设备即为内网资产。由于端口信息以及ip信息能够表征设备之间的通信特点，比如对于内网中的设备，其通信端口可能是固定的，或者是一些默认的端口，其ip信息也有一定的规律，所以基于这两者信息可以区分出哪些流量是内网设备之间的通信流量，哪些流量是外部流量，从而实现对内网资产的准确识别。
63.在上述实现过程中，通过流量携带的端口信息以及ip信息这两个信息相结合来识别流量中的内网ip段，该内网ip段对应的设备即为内网资产，如此实现内网资产的识别，由于ip信息和端口信息更能体现设备的通信特点(即内网中各设备之间的通信特点可以通过
ip信息和端口信息表征出来)，适用于任何局域网的通信环境(包括公网网段私用的场景)，所以基于这两个信息能够有效识别出内网资产，本方案不依赖网段进行内网资产识别，相比于现有方式仅根据网段进行内网资产识别的方式，本技术的识别方式能够更全面且准确地对内网资产进行识别。
64.在上述实施例的基础上，基于端口信息以及ip信息，识别流量中的内网ip段，具体包括：
65.统计流量中同一目的ip对应的目的端口的端口数量，以及统计流量中同一目的ip对应的源ip的ip数量，基于端口数量以及ip数量，识别流量中的内网ip段。
66.端口数量统计的示例如：比如，缓存的流量中包括50个报文，每个报文中包含一个目的ip和目的端口，然后统计这些目的ip对应的目的端口的端口数量，这里统计时，针对同一目的端口只统计一次(比如有3个报文中的目的ip均为195.1.1.1，其对应的目的端口为20,20,23这三个，其中目的端口20则只统计一次，此时该目的ip对应的端口数量即为2)，相当于这里统计的是同一目的ip对应的目的端口的类别的数量，所以统计出来的端口数量应小于或等于50。所以可统计每个目的ip对应的目的端口的端口数量，比如通过统计，得到目的ip：195.1.1.1对应的目的端口的端口数量为2，目的ip：195.1.1.2对应的目的端口的端口数量为3等。
67.ip数量统计的示例如：比如，缓存的流量中包括50个报文，可获取这50个报文中的目的ip，获取的目的ip的数量小于或等于50个，比如一共有30个目的ip(其中有些报文中的目的ip相同)，则统计这30个目的ip中每个目的ip对应的源ip的ip数量，比如目的ip：195.1.1.1在50个报文中有10个报文都是这个目的ip，则该目的ip对应的源ip的ip数量则为10，如此可统计获得每个目的ip对应的源ip数量。
68.在具体识别时，若同一目的ip对应的目的端口没有命中端口白名单，且对应的端口数量大于第一阈值，则将该目的ip和对应的ip c段缓存到端口识别表中；若同一目的ip对应的源ip的ip数量大于第二阈值，则且该目的ip对应报文的三次握手时间的均值大于第三阈值，则将该目的ip的ip c段缓存到ip识别表中；若ip识别表与端口识别表中存在相同的ip c段，则确定该相同的ip c段为第一内网ip段。
69.其中，端口白名单是预设的，其中包括一些固定端口的信息，比如一些系统固定用途的端口信息，如端口号为21,22,23等端口，以及包含一些常用软件的默认使用端口信息，如端口号为1158,1433等端口。如果目的端口没有命中端口白名单，即目的端口不是端口白名单中的任意一个端口，则可初步判断该目的端口对应的目的ip可能不是内网ip段，还需要结合其他信息来进一步判断。即进一步判断该端口数量是否大于第一阈值(第一阈值的取值可以根据实际情况灵活设置)，如果是，可将目的ip和ip c段先缓存到端口识别表中，这是因为一般只有内网设备才会提供多种服务，所以其同一个ip可能对应的端口数量较多，因此可以暂时将其缓存到端口识别表中(这里端口识别表可先记为port_c_internal)，后续再结合ip识别表进一步判断。
70.若ip数量大于第二阈值(第二阈值的具体取值可根据实际情况灵活设置)，说明该目的ip对应的设备很大可能也是内网设备，然后再获取三次握手时间的均值(这里获取均值时，可以是实时计算获取的，也可以是之前就已经计算好的，在需要时直接获取的)，三次握手时间判定可以作为内网资产识别的辅助判定，一般来说，局域网内设备的握手时间都
比较短，若均值大于第三阈值(第三阈值的取值可以根据实际情况灵活设置)，则表明该目的ip对应的设备可能是内网资产，可暂时将目的ip的ip c段缓存到ip识别表中，后续结合端口识别表进一步判断。
71.端口识别表中有一些目的ip和ip c段，ip识别表中缓存有一些ip c段，这些目的ip和ip c段对应的设备可以认为是疑似内网资产，所以再将两者结合来进一步准确识别中其中的内网资产。若ip识别表与端口识别表中存在相同的ip c段，比如在端口识别表中查找与ip识别表中的ip c段相同的ip c段，或者反过来，在ip识别表中查找与端口识别表中的ip c段相同的ip c段，也就是说，ip识别表与端口识别表中的相同的ip c段可确定为第一内网ip段，即这些相同的ip c段对应的设备则可以认为是内网资产。
72.在上述实现过程中，若有ip c段同时命中ip识别表和端口识别表，则表明该ip c段确实为内网ip段，也即基于ip和端口结合来识别内网ip段的准确性更高。
73.另外，端口识别表中存储的是目的ip与该目的ip对应的ip c段，不同的目的ip对应的ip c段如果相同，则可认为是内网ip段，所以若端口识别表中有不同目的ip具有相同的ip c段，则可确定该ip c段为第二内网ip段，该第二内网ip段对应的设备可以认为是内网资产。
74.比如，端口识别表中有一目的ip：10.1.1.2，其对应的ip c段为1，若还有另外两个不同目的ip：10.1.1.3和10.1.1.4，这两个目的ip的ip c段也为1，则可认为这个ip c段(1)为内网ip段。当然，这里统计时，是指至少有两个不同目的ip对应了相同的ip c段，这样该ip c段才是内网ip段，否则，就不是内网ip段。或者这里还可以加入数量阈值判断，比如如果对应相同的ip c段的不同目的ip的数量大于一定阈值(该阈值比如可以设置为3或4等，具体可根据实际情况设置)时，则确定该ip c段为内网ip段。
75.上述实施例中阐述了目的端口没有命中端口白名单时，结合端口数量来进一步识别内网ip段，而若目的端口命中了端口白名单，此时可确定该目的端口对应的ip c段为第三内网ip段，该第三内网ip段对应的设备可认为是内网资产。这里的ip c段是指目的端口对应的目的ip的ip c段。
76.在实际情况中，这里的端口白名单还可以细分，比如分为系统固定端口白名单和软件默认端口白名单，系统固定端口白名单中的端口是系统默认端口，一般不会被随意篡改(如ssh连接服务、打印机服务等)，所以若目的端口命中了系统固定端口白名单，则可确定该目的端口对应的ip c段为第三内网ip段。
77.软件默认端口白名单中的端口是一些动态端口，可以由用户自定义，因此还需要加上数量判定更为准确，所以若目的端口命中软件默认端口白名单且该目的端口对应的目的ip的端口数量大于第四阈值(该阈值的具体取值可根据实际情况灵活设置)，则确定该目的ip的ip c段为第三内网ip段。
78.比如，若某个目的端口为1158，且该目的端口1158命中软件默认端口白名单，则统计流量中该目的端口1158对应的目的ip(比如10.1.1.1)端口数量，也即统计流量中目的ip(10.1.1.1)对应的目的端口的端口数量(比如该目的ip对应的目的端口包括1158、1433、1642，则其端口数量为3)，其中如果目的ip(10.1.1.1)对应的目的端口的端口数量大于第四阈值，则将目的ip(10.1.1.1)的ip c段作为内网ip段，否则，就认为不是内网ip段。
79.另外，在基于ip信息识别时，若同一目的ip对应的源ip的ip数量大于第二阈值，则
计算该目的ip对应报文的三次握手时间的均值，若均值小于或等于第三阈值，则确定同一目的ip的ip c段为第四内网ip段(因为一般内网设备的三次握手时间比较短，所以如果均值小于或等于第三阈值，则可确定是内网资产)。
80.在上述实现过程中，端口白名单中包含一些默认的端口，其一般是内网端口，所以如果命中端口白名单，则认为其是内网ip段。一般内网中的设备之间通信的三次握手时间较短，所以若三次握手时间的均值小于阈值，则确定其为内网ip段。
81.在上述实施例的基础上，上述实施例中识别出了第一内网ip段、第二内网ip段、第三内网ip段和第四内网ip段，这些内网ip段对应的设备均可认为是内网资产，但是在实际情况下，可能实际上还包括有更多的内网ip段没有被识别到，所以，还可以通过以下方式进一步识别内网ip段：
82.对内网ip段中具有相同ip b段的ip c段按照上下限进行扩充，将扩充获得的ip c段保存只ip c段表中，这里的内网ip段即包括上述的第一内网ip段、第二内网ip段、第三内网ip段和第四内网ip段，然后确定ip c段表中的ip c段为最终的内网ip段。
83.为了便于描述，这里可以将第一内网ip段、第二内网ip段、第三内网ip段和第四内网ip段所包含的所有ip段记为white_current_ip(即内网ip段)，然后统计white_current_ip中保存的所有ip c段，不统计ip，并对具有相同ip b段的ip c段按照上下限进行c段扩充，比如10.1.1.1和10.1.6.6这两个ip地址具有相同的ip b段，则可将其ip c段按照上下限进行扩充，具体的扩充方式可以是从10.1.1.x扩充到10.1.6.x，比如扩充的ip c段包括10.1.2.x、10.1.3.x、10.1.4.x、10.1.5.x，也就是将white_current_ip中的最小ip c段到最大ip c段这之间的ip c段扩充进去。
84.这样扩充的理由是因为ip c段表中的ip c段已经可以确定是内网ip段了，那么按照上述方式扩充得到的ip c段也应该是内网ip段，如此可以实现对内网ip段的扩充，增大了内网ip段的识别范围，在确保其扩充的ip c段是内网ip段的基础上，可以实现更多的内网ip段的识别。
85.在一些实施方式中，为了使得识别更为准确，这里还可以统计具有相同ip b段的ip c段的数量，如果数量超过指定阈值时，才进行扩充，因为数量超过指定阈值则表明这些ip c段的数量较多，大概率只能内网设备能提供这么多服务，所以对其进行扩充后的ip c段更有可能是内网ip段，如此提高了内网ip段扩充的准确性。
86.在上述实施例的基础上，为了进一步提高内网ip段识别的准确性，还可以在进行ip c段扩充后，将第三内网ip段、第四内网ip段、端口识别表以及ip识别表中对应的四元组流量信息缓存到临时识别表中，然后从临时识别表中提取所有源ip的ip c段以及各个ip c段的出现次数至ip总表中，将ip c段表与ip总表进行比对，筛选出其中出现次数在前预设比例的相同的ip c段，并将筛选出的ip c段缓存至内网ip段表中，然后确定内网ip段表中的ip c段为最终的内网ip段。
87.为了便于描述，上述的临时识别表可记为ip_all_info，ip_all_info中存储有对应的流量信息，包括四元组信息，所以可以从ip_all_info中提取所有源ip的ip c段，以及这些ip c段的出现次数，保存在ip总表中，ip总表记为all_src_ip_c_dict。例如，ip_all_info中提取的一个源ip为195.1.1.1，其对应的ip c段为195.1.1.x，然后可统计195.1.1.x在ip_all_info的出现次数，比如为5次，则将195.1.1.x-5这样的对应关系保存在all_src_
ip_c_dict中。
88.ip c段表中包括扩充得到的一些ip c段，ip c段表可记为white_ip_c，将white_ip_c与all_src_ip_c_dict进行比对，筛选出相同的ip c段，即存在交集的ip c段，然后从all_src_ip_c_dict获取这些相同的ip c段的出现次数，将出现次数在前设定比例(该设定比例可以根据实际情况设置，比如前50％)的ip c段筛选出来缓存到内网ip段表中，内网ip段表可记为intranet_c_top，比如将这些相同ip c段的出现次数按照由大到小的顺序排列，筛选出前50％的ip c段存入intranet_c_top中，或者也可以是将出现次数大于预设次数(预设次数也可根据实际情况设置，比如设置为3)的ip c段存入intranet_c_top中。
89.这样筛选的原因是因为一个ip c段内的ip对应的设备既是服务端，又是客户端，那么就认为是内网设备，而出现次数在前50％的ip c段更大概率是内网ip段，这里的50％是一个阈值，越低代表是内网ip段的可能性越高。
90.在上述实施例的基础上，为了识别出更多的内网ip段，比如一个内网资产既做服务端又做客户端，则其ip c段是内网ip段，所以为了识别这种场景下的内网资产，还可以从临时识别表中提取所有目的ip到目的ip表中，若临时识别表中的目的ip对应的ip c段在内网ip段表中，则将与该目的ip对应的源ip与目的ip表进行比对，若源ip在目的ip表中，则将该员ip对应的ip c段保存至ip c段表中，ip c段表中的ip c段即为最终的内网ip段。
91.其中，目的ip表记为all_dst_ip，若ip_all_info中的目的ip的ip c段在内网ip段表中，则将与该目的ip相连的所有源ip与目的ip表all_dst_ip进行比对，如果源ip在all_dst_ip中，则认为这个源ip的ip c段也是内网ip段，则保存到ip c段表中。
92.然后每隔一段时间对white_current_ip中的ip c段进行更新，然后重复执行上述的ip c段扩充的步骤到后面的“该源ip对应的ip c段保存至ip c段表中”这些过程，从而可每隔一段时间对内网ip段进行重新识别和扩充。
93.在上述实现过程中，通过结合目的ip表，识别出临时识别表中源ip对应的ip c段是否为内网ip段，从而可扩大内网ip段的识别范围，达到自动聚类的效果，不仅加强了内网资产识别的准确性，还提高了内网资产识别的全面性。
94.请参照图2，图2为本技术实施例提供的一种内网资产识别装置200的结构框图，该装置200可以是电子设备上的模块、程序段或代码。应理解，该装置200与上述图1方法实施例对应，能够执行图1方法实施例涉及的各个步骤，该装置200具体的功能可以参见上文中的描述，为避免重复，此处适当省略详细描述。
95.可选地，所述装置200包括：
96.信息获取模块210，用于获取流量携带的端口信息以及ip信息；
97.识别模块220，用于根据所述端口信息以及所述ip信息，识别所述流量中的内网ip段，并将所述内网ip段对应的设备确定为内网资产。
98.可选地，所述识别模块220，用于统计所述流量中同一目的ip对应的目的端口的端口数量，以及统计所述流量中同一目的ip对应的源ip的ip数量；基于所述端口数量以及所述ip数量，识别所述流量中的内网ip段。
99.可选地，所述识别模块220，用于若同一目的ip对应的目的端口没有命中端口白名单，且所述端口数量大于第一阈值，则将该目的ip和对应的ip c段缓存到端口识别表中；若同一目的ip对应的源ip的ip数量大于第二阈值，且该目的ip对应报文的三次握手时间的均
值大于第三阈值，则将该目的ip的ip c段缓存到ip识别表中；若所述ip识别表与所述端口识别表中存在相同的ip c段，则确定该相同的ip c段为第一内网ip段。
100.可选地，所述识别模块220，用于若所述端口识别表中有不同目的ip具有相同的ip c段，则确定该ip c段为第二内网ip段。
101.可选地，所述识别模块220，用于若所述目的端口命中所述端口白名单，则确定所述目的端口对应的目的ip的ip c段为第三内网ip段；若所述三次握手时间的均值小于或等于第三阈值，则确定所述同一目的ip的ip c段为第四内网ip段。
102.可选地，所述识别模块220，用于若所述目的端口命中系统固定端口白名单，则确定该目的端口对应的ip c段为所述第三内网ip段；若所述目的端口命中软件默认端口白名单且该目的端口对应的目的ip的端口数量大于第四阈值，则确定该目的ip的ip c段为所述第三内网ip段。
103.可选地，所述识别模块220，用于对内网ip段中具有相同ip b段的ip c段按照上下限进行扩充，将扩充获得的ip c段保存至ip c段表中，所述内网ip段包括所述第一内网ip段、第二内网ip段、所述第三内网ip段以及所述第四内网ip段；确定所述ip c段表中的ip c段为最终的内网ip段。
104.可选地，所述识别模块220，用于将所述第三内网ip段、所述第四内网ip段、所述端口识别表以及所述ip识别表中对应的流量信息缓存到临时识别表中；从所述临时识别表中提取所有源ip的ip c段以及各个ip c段的出现次数至ip总表中；将所述ip c段表与所述ip总表进行比对，筛选出其中出现次数在前预设比例的相同的ip c段，并将筛选出的ip c段缓存至内网ip段表中；确定所述内网ip段表中的ip c段为最终的内网ip段。
105.可选地，所述识别模块220，用于从所述临时识别表中提取所有目的ip到目的ip表中；若所述临时识别表中的目的ip对应的ip c段在所述内网ip段表中，则将与该目的ip对应的源ip与所述目的ip表进行比对；若源ip在所述目的ip表中，则将该源ip对应的ip c段保存至所述ip c段表中。
106.需要说明的是，本领域技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再重复描述。
107.请参照图3，图3为本技术实施例提供的一种用于执行内网资产识别方法的电子设备的结构示意图，所述电子设备可以包括：至少一个处理器310，例如cpu，至少一个通信接口320，至少一个存储器330和至少一个通信总线340。其中，通信总线340用于实现这些组件直接的连接通信。其中，本技术实施例中设备的通信接口320用于与其他节点设备进行信令或数据的通信。存储器330可以是高速ram存储器，也可以是非易失性的存储器(non-volatile memory)，例如至少一个磁盘存储器。存储器330可选的还可以是至少一个位于远离前述处理器的存储装置。存储器330中存储有计算机可读取指令，当所述计算机可读取指令由所述处理器310执行时，电子设备执行上述图1所示方法过程。
108.可以理解，图3所示的结构仅为示意，所述电子设备还可包括比图3中所示更多或者更少的组件，或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
109.本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，执行如图1所示方法实施例中电子设备所执行的方法过程。
110.本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如，包括：
111.获取流量携带的端口信息以及ip信息；
112.根据所述端口信息以及所述ip信息，识别所述流量中的内网ip段，并将所述内网ip段对应的设备确定为内网资产。
113.综上所述，本技术实施例提供一种内网资产识别方法、装置、电子设备及存储介质，该方法通过流量携带的端口信息以及ip信息这两个信息相结合来识别流量中的内网ip段，该内网ip段对应的设备即为内网资产，如此实现内网资产的识别，由于ip信息和端口信息更能体现设备的通信特点(即内网中各设备之间的通信特点可以通过ip信息和端口信息表征出来)，适用于任何局域网的通信环境(包括公网网段私用的场景)，所以基于这两个信息能够有效识别出内网资产，本方案不依赖网段进行内网资产识别，相比于现有方式仅根据网段进行内网资产识别的方式，本技术的识别方式能够更全面且准确地对内网资产进行识别。
114.在本技术所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
115.另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
116.再者，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
117.在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
118.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。

技术特征：
1.一种内网资产识别方法，其特征在于，所述方法包括：获取流量携带的端口信息以及ip信息；根据所述端口信息以及所述ip信息，识别所述流量中的内网ip段，并将所述内网ip段对应的设备确定为内网资产。2.根据权利要求1所述的方法，其特征在于，所述根据所述端口信息以及所述ip信息，识别所述流量中的内网ip段，包括：统计所述流量中同一目的ip对应的目的端口的端口数量，以及统计所述流量中同一目的ip对应的源ip的ip数量；基于所述端口数量以及所述ip数量，识别所述流量中的内网ip段。3.根据权利要求2所述的方法，其特征在于，所述基于所述端口数量以及所述ip数量，识别所述流量中的内网ip段，包括：若同一目的ip对应的目的端口没有命中端口白名单，且所述端口数量大于第一阈值，则将该目的ip和对应的ip c段缓存到端口识别表中；若同一目的ip对应的源ip的ip数量大于第二阈值，且该目的ip对应报文的三次握手时间的均值大于第三阈值，则将该目的ip的ip c段缓存到ip识别表中；若所述ip识别表与所述端口识别表中存在相同的ip c段，则确定该相同的ip c段为第一内网ip段。4.根据权利要求3所述的方法，其特征在于，所述将所述目的端口对应的目的ip和ip c段缓存到端口识别表中之后，还包括：若所述端口识别表中有不同目的ip具有相同的ip c段，则确定该ip c段为第二内网ip段。5.根据权利要求3所述的方法，其特征在于，所述方法还包括：若所述目的端口命中所述端口白名单，则确定所述目的端口对应的目的ip的ip c段为第三内网ip段；若所述三次握手时间的均值小于或等于第三阈值，则确定所述同一目的ip的ip c段为第四内网ip段。6.根据权利要求5所述的方法，其特征在于，若所述目的端口命中所述端口白名单，则确定所述目的端口对应的目的ip的ip c段为第三内网ip段，包括：若所述目的端口命中系统固定端口白名单，则确定该目的端口对应的ip c段为所述第三内网ip段；若所述目的端口命中软件默认端口白名单且该目的端口对应的目的ip的端口数量大于第四阈值，则确定该目的ip的ip c段为所述第三内网ip段。7.根据权利要求5或6所述的方法，其特征在于，所述方法还包括：对内网ip段中具有相同ip b段的ip c段按照上下限进行扩充，将扩充获得的ip c段保存至ip c段表中，所述内网ip段包括所述第一内网ip段、第二内网ip段、所述第三内网ip段以及所述第四内网ip段；确定所述ip c段表中的ip c段为最终的内网ip段。8.根据权利要求7所述的方法，其特征在于，所述将扩充获得的ip c段保存至ip c段表中之后，所述方法还包括：
将所述第三内网ip段、所述第四内网ip段、所述端口识别表以及所述ip识别表中对应的流量信息缓存到临时识别表中；从所述临时识别表中提取所有源ip的ip c段以及各个ip c段的出现次数至ip总表中；将所述ip c段表与所述ip总表进行比对，筛选出其中出现次数在前预设比例的相同的ip c段，并将筛选出的ip c段缓存至内网ip段表中；确定所述内网ip段表中的ip c段为最终的内网ip段。9.根据权利要求8所述的方法，其特征在于，所述将筛选出的ip c段缓存至内网ip段表中之后，还包括：从所述临时识别表中提取所有目的ip到目的ip表中；若所述临时识别表中的目的ip对应的ip c段在所述内网ip段表中，则将与该目的ip对应的源ip与所述目的ip表进行比对；若源ip在所述目的ip表中，则将该源ip对应的ip c段保存至所述ip c段表中。10.一种内网资产识别装置，其特征在于，所述装置包括：信息获取模块，用于获取流量携带的端口信息以及ip信息；识别模块，用于根据所述端口信息以及所述ip信息，识别所述流量中的内网ip段，并将所述内网ip段对应的设备确定为内网资产。11.一种电子设备，其特征在于，包括处理器以及存储器，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，运行如权利要求1-9任一所述的方法。12.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时运行如权利要求1-9任一所述的方法。

技术总结
本申请提供一种内网资产识别方法、装置、电子设备及存储介质，涉及信息安全技术领域。该方法通过流量携带的端口信息以及IP信息这两个信息相结合来识别流量中的内网IP段，该内网IP段对应的设备即为内网资产，如此实现内网资产的识别，由于IP信息和端口信息更能体现设备的通信特点(即内网中各设备之间的通信特点可以通过IP信息和端口信息表征出来)，适用于任何局域网的通信环境(包括公网网段私用的场景)，所以基于这两个信息能够有效识别出内网资产，本方案不依赖网段进行内网资产识别，相比于现有方式仅根据网段进行内网资产识别的方式，本申请的识别方式能够更全面且准确地对内网资产进行识别。内网资产进行识别。内网资产进行识别。


技术研发人员：白杨 汤良
受保护的技术使用者：奇安信科技集团股份有限公司
技术研发日：2023.05.04
技术公布日：2023/8/28