本發(fā)明涉及網絡安全，尤其涉及一種資產識別和排查方法、裝置、設備及存儲介質。

背景技術：

1、隨著互聯網技術、云技術的廣泛應用，企業(yè)信息化建設進入高速發(fā)展時期。企業(yè)的信息化系統(tǒng)越來越多，網絡結構越來越復雜，it設備資產數量急劇增長，大大增加了企業(yè)資產安全管理工作的難度。隨著時間的流逝、企業(yè)人員的變更，極易產生了大量的無主資產、僵尸資產。這些資產長時間無人維護，導致存在較多的安全漏洞及配置違規(guī)，為企業(yè)網絡安全帶來極大隱患，成為企業(yè)信息安全的軟肋。

2、目前，常見未知資產識別方法包括：

3、1、基于流量報文分析的檢測方法：對流量報文進行解析，得到待識別資產的屬性數據，包括：訪問端ip地址、服務端ip地址、服務端端口號，然后分析ip地址是否在企業(yè)的內網地址段內、且是否在已管理的內網資產清單中，從而確定未知資產。

4、2、基于交換機配置分析的檢測方法：通過多次采集方式交換機配置信息，包括交換機端口列表、arp緩存表和lldp鄰居關系表等，然后分析ip地址是否在企業(yè)已管理的內網資產清單中，從而確定未知資產。

5、3、基于網絡遠程掃描的分析方法：對指定網段和指定端口范圍進行存活掃描后得到存活資產，再對存活資產進行掃描探測，獲取所存活資產的詳細信息并入庫，再與已納管資產進行比對，發(fā)現未知資產。

6、然而，基于流量報文分析的檢測方法存在以下缺點：依賴預設的已管理資產ip清單，同時針對發(fā)現的未知資產，無法縮窄排查資產責任人范圍，存在未知資產認領落地難的問題?；诮粨Q機配置分析的檢測方法存在以下缺點：交換機配置有緩存周期，存在的ip未必存活，同時針對發(fā)現的未知資產，無法縮窄排查資產責任人范圍，存在未知資產認領落地難的問題。基于網絡遠程掃描的分析方法存在以下缺點：遠程掃描依賴網絡可達的前提條件，如果未知資產未開放端口、禁ping，則無法發(fā)現未知資產，同時針對發(fā)現的未知資產ip，無法縮窄排查資產責任人范圍，存在未知資產認領落地難的問題。

技術實現思路

1、基于此，有必要針對上述技術問題，提供一種資產識別和排查方法、裝置、設備及存儲介質，以解決上述技術問題中存在的至少一個問題。

2、本發(fā)明提供一種資產識別和排查方法，包括：

3、獲取各個資產的網絡連接信息，其中，所述網絡連接信息包括資產ip和外部ip地址；

4、若所述外部ip地址與資產ip地址庫的各個ip地址匹配失敗，則將所述外部ip地址作為未知資產的ip地址，其中，所述未知資產是指ip地址不在所述資產ip地址庫內對應的資產；

5、基于各個資產的網絡連接信息，查詢與所述未知資產存在網絡連接的其他資產的資產ip；

6、基于采集到的各個資產的網卡接口信息，確定與所述未知資產處于同一個子網的其他資產的資產ip；

7、基于與所述未知資產存在網絡連接的其他資產的資產ip及其關聯的資產屬性信息、與所述未知資產處于同一個子網的其他資產的資產ip及其關聯的資產屬性信息，生成預警信息以供資產負責人進行排查，其中，所述資產屬性信息包括資產負責人信息。

8、可選地，根據本發(fā)明提供的一種資產識別和排查方法，所述若所述外部ip地址與資產ip地址庫的各個ip地址匹配失敗，則判定匹配失敗的資產屬于未知資產之前，還包括：

9、獲取網絡安全管理平臺同步的各個ip地址、人工上報的各個資產的ip地址；

10、將所述網絡安全管理平臺同步的各個ip地址、人工上報的ip地址以各個資產的網卡接口信息中的網卡ip地址存儲至所述資產ip地址庫中。

11、可選地，根據本發(fā)明提供的一種資產識別和排查方法，所述若所述外部ip地址與資產ip地址庫的各個ip地址匹配失敗，則判定匹配失敗的資產屬于未知資產之前，還包括：

12、按照預設的內網ip規(guī)則，對各所述外部ip地址進行過濾；

13、將過濾處理后的外部ip地址與所述資產ip地址庫的各個ip地址進行匹配。

14、可選地，根據本發(fā)明提供的一種資產識別和排查方法，所述網卡接口信息包括各個資產的資產ip和子網信息；

15、所述基于采集到的各個資產的網卡接口信息，確定與所述未知資產處于同一個子網的其他資產的資產ip，包括：

16、根據所述未知資產的ip地址以及各個資產對應的子網信息，查詢得到與所述未知資產處于同一個子網的其他資產的資產ip。

17、可選地，根據本發(fā)明提供的一種資產識別和排查方法，所述網絡連接信息還包括本地ip地址；所述基于各個資產的網絡連接信息，查詢與所述未知資產存在網絡連接的其他資產的資產ip，包括：

18、基于各個資產的網絡連接信息中的本地ip地址和外部ip地址以及所述未知資產的ip地址，查詢得到與所述未知資產存在網絡連接的其他資產的資產ip。

19、可選地，根據本發(fā)明提供的一種資產識別和排查方法，所述資產屬性信息包括資產的資產信息、網絡連接信息和進程信息；

20、所述資產信息包括資產ip、設備類型、歸屬部門、資產責任人信息、直連訪問信息和agent信息；

21、所述進程信息包括資產ip、pid、ppid、啟動用戶、啟動命令、運行時間和啟動時間。

22、可選地，根據本發(fā)明提供的一種資產識別和排查方法，所述基于與所述未知資產存在網絡連接的其他資產的資產ip及其關聯的資產屬性信息、與所述未知資產處于同一個子網的其他資產的資產ip及其關聯的資產屬性信息，生成預警信息以供資產負責人進行排查，包括：

23、基于每一所述其他資產的資產ip，查詢得到關聯的資產信息、網絡連接信息和進程信息；

24、基于任一所述其他資產關聯的資產信息、網絡連接信息和進程信息，生成所述預警信息，并將所述預警信息發(fā)送至對應的資產負責人進行排查。

25、本發(fā)明還提供一種資產識別和排查裝置，包括：

26、獲取模塊，用于獲取各個資產的網絡連接信息，其中，所述網絡連接信息包括資產ip和外部ip地址；

27、匹配模塊，用于若所述外部ip地址與資產ip地址庫的各個ip地址匹配失敗，則將所述外部ip地址作為未知資產的ip地址，其中，所述未知資產是指ip地址不在所述資產ip地址庫內對應的資產；

28、查詢模塊，用于基于各個資產的網絡連接信息，查詢與所述未知資產存在網絡連接的其他資產的資產ip；

29、確定模塊，用于基于采集到的各個資產的網卡接口信息，確定與所述未知資產處于同一個子網的其他資產的資產ip；

30、預警排查模塊，用于基于與所述未知資產存在網絡連接的其他資產的資產ip及其關聯的資產屬性信息、與所述未知資產處于同一個子網的其他資產的資產ip及其關聯的資產屬性信息，生成預警信息以供資產負責人進行排查，其中，所述資產屬性信息包括資產負責人信息。

31、本發(fā)明還提供一種計算機設備，包括存儲器、處理器以及存儲在所述存儲器中并可在所述處理器上運行的計算機可讀指令，所述處理器執(zhí)行所述計算機可讀指令時實現上述資產識別和排查方法。

32、本發(fā)明還提供一個或多個存儲有計算機可讀指令的可讀存儲介質，所述計算機可讀指令被處理器執(zhí)行時實現上述資產識別和排查方法。

33、上述資產識別和排查方法、裝置、設備及存儲介質，包括：獲取各個資產的網絡連接信息，其中，所述網絡連接信息包括資產ip和外部ip地址；若所述外部ip地址與資產ip地址庫的各個ip地址匹配失敗，則將所述外部ip地址作為未知資產的ip地址，其中，所述未知資產是指ip地址不在所述資產ip地址庫內對應的資產；基于各個資產的網絡連接信息，查詢與所述未知資產存在網絡連接的其他資產的資產ip；基于采集到的各個資產的網卡接口信息，確定與所述未知資產處于同一個子網的其他資產的資產ip；基于與所述未知資產存在網絡連接的其他資產的資產ip及其關聯的資產屬性信息、與所述未知資產處于同一個子網的其他資產的資產ip及其關聯的資產屬性信息，生成預警信息以供資產負責人進行排查，其中，所述資產屬性信息包括資產負責人信息。通過基于資產的網絡連接信息中的外部ip地址，來對比資產ip地址庫的ip地址，識別得到未知資產；進而根據網絡連接信息，確定與未知資產ip產生網絡連接的資產，以及根據網卡接口信息，確定與未知資產ip處在在同一子網的資產，實現了利用未知資產ip的關聯性（存在網絡連接以及處在同一子網），縮窄了未知資產ip的排查對象范圍，進而結合資產關聯的資產屬性信息，生成預警信息以供資產負責人進行排查，提高資產識別和排查的效率。