本發(fā)明涉及網(wǎng)絡安全的技術領域,特別涉及一種服務器設備的智能識別方法����。
背景技術:
服務器是一種高性能計算機,作為網(wǎng)絡的節(jié)點���,存儲����、處理網(wǎng)絡上80%的數(shù)據(jù)�����、信息�����,因此也被稱為網(wǎng)絡的靈魂�����。也可以這樣講,服務器指一個管理資源并為用戶提供服務的計算機軟件��,通常分為文件服務器���、數(shù)據(jù)庫服務器和應用程序服務器�。相對于普通PC來說���,服務器在穩(wěn)定性��、安全性��、性能等方面都要求更高,因此CPU�、芯片組、內(nèi)存��、磁盤系統(tǒng)�、網(wǎng)絡等硬件和普通計算機有所不同,在質(zhì)量與處理器數(shù)據(jù)性能上更出色����。一般我們很難看到真正的服務器�����,因為服務器一般均放置在機房重點����,閑人一般均是免進的�。而我們每天瀏覽的網(wǎng)站,其實數(shù)據(jù)均在服務器��,服務器在計算機網(wǎng)絡領域中起到至關重要的作用����。
目前,服務器識別主要依靠人工注冊識別方法����,導致網(wǎng)絡內(nèi)私自搭建的違規(guī)服務器和一些重新安裝系統(tǒng)、分配新網(wǎng)絡地址后的服務器發(fā)現(xiàn)不了的情況���,導致網(wǎng)絡安全性降低��,存在安全性隱患的問題��,為了解決上述問題��,有必要提出一種服務器設備的智能識別方法�����,通過多種探測手段的綜合判定方式來智能識別服務器�,達到對探測范圍內(nèi)的服務器進行準確識別的目的,對網(wǎng)絡安全起到監(jiān)管的作用�����。
技術實現(xiàn)要素:
本發(fā)明的目的在于克服上述現(xiàn)有技術的不足����,提供一種服務器設備的智能識別方法,其旨在解決現(xiàn)有技術中服務器識別主要依靠人工注冊識別方法���,導致網(wǎng)絡內(nèi)私自搭建的違規(guī)服務器和一些重新安裝系統(tǒng)��、分配新網(wǎng)絡地址后的服務器發(fā)現(xiàn)不了的技術問題���。
為實現(xiàn)上述目的��,本發(fā)明提出了一種服務器設備的智能識別方法�,基于多種探測手段結合的綜合判定方式來達到對探測范圍內(nèi)的服務器進行準確識別的目的��,包括如下步驟:
A)����、使用掃描工具對設備的操作系統(tǒng)進行探測��,獲取設備的操作系統(tǒng)和端口開放服務���,使用抓包工具抓取與設備IP通訊的數(shù)據(jù)包����;
B)����、對獲取的操作系統(tǒng)和端口開放服務進行識別判斷,對數(shù)據(jù)包進行大數(shù)據(jù)分析判斷����,具體判斷如下:
a)、對設備的操作系統(tǒng)進行識別����,當識別為windows server、linux操作系統(tǒng)時設定相似度為30%����;而當為服務器專用操作系統(tǒng)時��,設定相似度為90%���;
b)、對設備的端口開放服務進行識別�,當識別到服務器設備開啟了通用服務時設定相似度為30%,而當識別到設備開啟了服務器特有的端口服務時設定相似度為90%��;
c)���、對數(shù)據(jù)包進行大數(shù)據(jù)分析����,分析鏈路信息及流量信息���,對于某IP有多條鏈路與其連接����,或下行流量很大且遠大于上行流量時�����,判定為疑似服務器�,并設定相似度為30%;
C)�����、相似度累加并綜合判定�����,將步驟B)中對設備操作系統(tǒng)識別結果�、端口開放服務識別結果及對數(shù)據(jù)包進行大數(shù)據(jù)分析結果的相似度上報設備,通過設備進行累加�,并進行綜合判定,當綜合相似度大于等于90%���,則判定該設備為服務器����;若綜合相似度低于90%�,則判定該設備不是服務器。
作為優(yōu)選��,所述的步驟A中的掃描工具包括NMap掃描工具、綠盟科技的掃描器���。
作為優(yōu)選��,所述的步驟A中的抓包工具包括httpwatch����、httpanalyzerstdv�����、Wireshark�����、Charles���、Fiddler���,所述的抓包工具抓包對象為交換機鏡像數(shù)據(jù)。
作為優(yōu)選����,所述的步驟b)中的通用服務包括web服務��、Oracle服務��,當通用服務為web服務時,利用掃描工具對web服務的頁面標題或內(nèi)容進行探測�,當探測到web服務的頁面標題或內(nèi)容時,設定相似度為50%���,否則���,相似度仍為30%。
作為優(yōu)選�����,所述的步驟b)中的服務器特有的端口服務包括Vmware_ESX/ESXI服務�。
本發(fā)明的有益效果:與現(xiàn)有技術相比,本發(fā)明提供的一種服務器設備的智能識別方法���,采用操作系統(tǒng)識別����、端口開放服務���、web服務的頁面標題或內(nèi)容探測及抓包分析四種方法��,并對四種方法采用相似度累加的方式進行綜合分析來判斷設備是否為服務器���,采用多種檢測手段相結合的方式來達到準確判別服務器的目的�,改善了目前通常用一種方法難以準確識別服務器的情況���,且可通過設備自動識別���,較人工注冊識別更為智能化,準確度也更高����,對網(wǎng)絡安全起到監(jiān)管的作用。
本發(fā)明的特征及優(yōu)點將通過實施例結合附圖進行詳細說明��。
【附圖說明】
圖1是本發(fā)明實施例一種服務器設備的智能識別方法的流程圖��。
【具體實施方式】
為使本發(fā)明的目的�����、技術方案和優(yōu)點更加清楚明了��,下面通過附圖中及實施例,對本發(fā)明進行進一步詳細說明���。但是應該理解����,此處所描述的具體實施例僅僅用以解釋本發(fā)明����,并不用于限制本發(fā)明的范圍���。此外����,在以下說明中���,省略了對公知結構和技術的描述��,以避免不必要地混淆本發(fā)明的概念���。
參閱圖1,本發(fā)明實施例提供一種服務器設備的智能識別方法����,基于多種探測手段結合的綜合判定方式來達到對探測范圍內(nèi)的服務器進行準確識別的目的�����,包括如下步驟:
A)�����、使用掃描工具對設備的操作系統(tǒng)進行探測���,獲取設備的操作系統(tǒng)和端口開放服務,使用抓包工具抓取與設備IP通訊的數(shù)據(jù)包�����。
其中�����,掃描工具包括NMap掃描工具��、綠盟科技的掃描器����,抓包工具包括httpwatch�����、httpanalyzerstdv����、Wireshark����、Charles、Fiddler����,所述的抓包工具抓包對象為交換機鏡像數(shù)據(jù)��。
在本發(fā)明實施例中�,采用NMap掃描工具進行掃描。
B)�����、對獲取的操作系統(tǒng)和端口開放服務進行識別判斷���,對數(shù)據(jù)包進行大數(shù)據(jù)分析判斷��,具體判斷如下:
a)��、對設備的操作系統(tǒng)進行識別����,當識別為windows server、linux操作系統(tǒng)時設定相似度為30%�����;而當為服務器專用操作系統(tǒng)時��,設定相似度為90%�����。
b)�����、對設備的端口開放服務進行識別�,當識別到設備開啟了通用服務時設定相似度為30%,而當識別到設備開啟了服務器特有的端口服務時設定相似度為90%��。
進一步地,通用服務包括web服務��、Oracle服務�,服務器特有的端口服務包括Vmware_ESX/ESXI服務。當通用服務為web服務時����,利用掃描工具對web服務的頁面標題或內(nèi)容進行探測,當探測到web服務的頁面標題或內(nèi)容時����,設定相似度為50%,否則�,相似度仍為30%。
c)��、對數(shù)據(jù)包進行大數(shù)據(jù)分析�����,分析鏈路信息及流量信息���,對于某IP有多條鏈路與其連接,或下行流量很大且遠大于上行流量時��,判定為疑似服務器���,并設定相似度為30%�。
C)、相似度累加并綜合判定����,將步驟B)中對服務器設備操作系統(tǒng)識別結果、端口開放服務識別結果及對數(shù)據(jù)包進行大數(shù)據(jù)分析結果的相似度上報設備�����,通過設備進行累加����,并進行綜合判定,當綜合相似度大于等于90%�,則判定該設備為服務器;若綜合相似度低于90%��,則判定該設備不是服務器���。
本發(fā)明一種服務器設備的智能識別方法���,采用操作系統(tǒng)識別、端口開放服務、web服務的頁面標題或內(nèi)容探測及抓包分析四種方法�,并對四種方法采用相似度累加的方式進行綜合分析來判斷設備是否為服務器,采用多種檢測手段相結合的方式來達到準確判別服務器的目的���,改善了目前通常用一種方法難以準確識別服務器的情況�,且可通過設備自動識別�����,較人工注冊識別更為智能化�����,準確度也更高��,對網(wǎng)絡安全起到監(jiān)管的作用��。
以上所述僅為本發(fā)明的較佳實施例而已���,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�、等同替換或改進等,均應包含在本發(fā)明的保護范圍之內(nèi)���。