IP资产管理方法及装置、非易失性存储介质、电子设备与流程

本技术涉及网络安全领域，具体而言，涉及一种ip资产管理方法及装置、非易失性存储介质、电子设备。

背景技术：

1、随着近几年各种网络安全问题的爆发，网络安全漏洞层出不穷，导致任何人都不敢也无法确保应用系统不具备漏洞。安全从业人员逐渐意识到网络安全防护最有效的方法是尽量减小暴露在网络中的互联网协议(internet protocol，ip)地址，所以现在对于网络中ip资产的管理越来越被重视，只有在网络ip资产准确的前提下，才能在网络安全防护时做到有的放矢。

2、企业能够将ip资产管理好的前提是能够将企业内部的资产梳理清楚，能够测绘出自己网络中的所有资产情况，并能够采取有效的手段对入网、退网、状态异常的网络资产进行管控，防止因网络中出现未知资产而造成安全风险。因此对企业而言，做好局域网内的资产测绘及管理，是做好企业网络安全的重要前提。网络ip资产管理与网络安全的关系如图1所示。

3、如图1，如果资产管理混乱，则会导致未纳管的资产处于无法进行管控的状态，也就容易被黑客进行攻击，如果被攻破，则会导致业务瘫痪、网络中断及信息泄露等严重损害企业利益的后果。

4、目前在企业网络ip资产探测及管理中，主要面临的问题有：1.企业内部网络设备管理混乱；2.ip资产的主动上报时效性不高；3.企业内部存在私接、瞒报等情况；4.无有效手段自动化手段管理ip资产，进行ip资产状态的更新。上述4个问题，会导致企业网络内的ip资产处于不可控的状态，让企业网络暴露出更多不可控的风险，引发未知的网络安全问题。

5、针对上述问题，经过网络资产测绘后，将资产进行全面管控，发现全量资产，然后进行安全管控全覆盖，最终可以让企业在资产管理方面合法合规，同时避免了隐形的安全风险。

6、传统的进行资产探测及发现的手段主要集中在主动扫描的方式上，很多厂家一直在改进扫描机制，提升扫描效率。但不管如何改进，对于开启系统防火墙功能的资产，扫描器ip地址可能无权限访问该资产，这将导致扫描手段经常无法发现一些资产的存在。

7、后来又出现了使用流量分析手段进行ip资产发现的方法。流量分析手段可提供网络链路流量存储、全数据分析能力。借助对局域网内全部流量的分析，管理员可以对局域网内各个ip资产相关数据包进行抓取和识别，从中识别出主动发送数据包的ip地址。使用流量分析手段进行ip资产发现，可以很好地解决扫描器无法访问到未知资产而导致的遗漏，只要该ip资产向外发送数据包，那就能被流量分析手段抓取到。但该手段属于被动分析手段，对于那些对外不发流量的静默资产的发现效率就差一些。

8、除此之外，还有通过采集网络中所有交换机的地址解析协议(addressresolution protocol，arp)表进行资产发现的方法，此方法获取ip地址和媒体访问控制(media access control，mac)地址的对应关系是比较准确的，但因arp表存在老化时间，超过老化时间的arp条目会被删除，而接入网络的终端经常变化时，ip地址和mac地址的对应关系不确定，导致该方法发现的资产可能存在缺漏。因此针对此方法，需要提供一种长期的监测流程，以提高资产发现的准确性。

9、传统资产发现技术的优缺点如下表所示。

10、

11、相关技术在资产测绘阶段都是使用基于上述三种方法中的一种或者多种，通过合理增加一些预处理的方法进行调优，最终都具有不错的准确性。但是，相关技术并未提出动态监测ip资产状态变化方法，诸如ip资产由在线变化为长时间离线、由离线变化为在线等，在针对ip资产状态变化时，提出的相应的管理方法也无法实现对ip资产的动态处置及管理，诸如对未纳管资产的封堵、资产上线时的自动解封等安全相关的接入管控措施。即，相关技术未针对企业网络进行ip资产状态改变的动态监测，也未提出动态监测ip资产状态变化方法。

技术实现思路

1、本技术实施例提供了一种ip资产管理方法及装置、非易失性存储介质、电子设备，以至少解决由于相关技术未针对企业网络进行ip资产状态改变的动态监测，造成的对ip资产的处理效率较低的技术问题。

2、根据本技术实施例的一个方面，提供了一种ip资产管理方法，包括：获取局域网内交换机的地址解析协议arp表，并根据arp表中的目标集合，生成ip资产纳管表，其中，目标集合中至少包括：交换机管理的互联网协议ip地址、媒体访问控制mac地址以及ip地址与mac地址之间的对应关系，ip资产纳管表中包括：目标集合、ip地址的状态、ip地址的属性以及交换机的ip地址，其中，ip地址的状态至少包括：已被占用和未被占用，ip地址的属性至少包括：业务地址；根据ip地址的状态以及ip地址的属性，将ip地址和与ip地址存在对应关系的mac地址进行绑定；根据局域网内的arp报文，确定状态发生转移的ip地址，并根据ip地址的状态转移情况，生成ip资产状态转移表，其中，ip资产状态转移表中至少包括：ip地址、ip地址对应的状态改变前的mac地址、ip地址对应的状态改变后的mac地址以及转移状态，其中，转移状态包括：新终端上线以及旧终端下线；展示ip资产状态转移表，接收对ip资产状态转移表的审核结果，并根据审核结果以及转移状态，对ip地址进行管理。

3、可选地，获取局域网内交换机的地址解析协议arp表，包括：设置第一时间窗口，其中，第一时间窗口的长度与局域网内的节点数量成正比；在第一时间窗口内，设置n个时间间隔，其中，每个时间间隔的长度小于arp缓存有效时长，n为大于1的正整数；根据n个时间间隔，遍历局域网内交换机的arp表，以得到n个arp表。

4、可选地，根据arp表中的目标集合，生成ip资产纳管表，包括：根据n个时间间隔，判断是否到达遍历交换机的arp表的时刻；在到达遍历交换机的arp表的时刻的情况下，从交换机数据库中读取第一交换机的交换机信息，其中，第一交换机为局域网内任意一个交换机；判断是否可以读取到第二交换机的交换机信息，其中，第二交换机为局域网内除第一交换机以外的其他交换机；若不可以读取到第二交换机的交换机信息，将第一交换机的arp表中的目标集合保存至第一交换机对应的ip资产纳管表；若可以读取到第二交换机的交换机信息，基于远程登录协议或安全外壳协议登录第二交换机，并使用第一预设arp命令查看第二交换机的arp表，将第二交换机的arp表中的目标集合保存至第二交换机对应的ip资产纳管表。

5、可选地，获取局域网内交换机的地址解析协议arp表，并根据arp表中的目标集合，生成ip资产纳管表，包括：步骤s1，设置第二时间窗口，并生成初始ip资产纳管表；步骤s2，判断当前时间是否在第二时间窗口内；步骤s3，若当前时间在第二时间窗口内，对局域网内的全部交换机进行遍历；步骤s4，判断是否存在未被遍历过的交换机；步骤s5，在存在未被遍历过的交换机的情况下，获取交换机在三层接口下的网段信息，其中，网段信息包括：ip地址和掩码；根据网段信息确定交换机的网络号地址、网关地址、广播地址以及业务地址，其中，业务地址为交换机供终端设备使用的ip地址；使用第一预设arp命令获取ip地址与mac地址之间的对应关系；根据ip地址与mac地址之间的对应关系、交换机的网络号地址、网关地址、广播地址以及业务地址，更新初始ip资产纳管表，得到ip资产纳管表，在得到ip资产纳管表之后，执行步骤s4；步骤s6，在不存在未被遍历过的交换机的情况下，执行步骤s2；步骤s7，若当前时间不在第二时间窗口内，获取第一ip地址对应的第一信息，并在ip资产纳管表中将第一ip地址的ip地址的状态设置为已被占用，其中，第一ip地址为可以根据ip地址与mac地址之间的对应关系，查找到mac地址的ip地址，第一信息包括：第一ip地址对应的部门、负责人姓名以及负责人联系方式；在ip资产纳管表中将第二ip地址对应的ip地址的状态设置为未被占用，其中，第二ip地址为不可以根据ip地址与mac地址之间的对应关系，查找到mac地址的ip地址。

6、可选地，根据ip地址的状态以及ip地址的属性，将ip地址和与ip地址存在对应关系的mac地址进行绑定，包括：读取ip资产纳管表中的ip地址的状态；若读取到的ip地址的状态为未被占用，读取ip资产纳管表中的ip地址以及交换机ip地址，使用基于安全外壳协议的第一预设脚本，登陆交换机，使用第一预设地址替换ip地址，并使用第二预设地址替换ip地址对应的mac地址；若读取到的ip地址的状态为已被占用，在ip资产纳管表中查找ip地址的属性，在ip地址的属性为网络号、网关地址或广播地址的情况下，不进行任何操作；在ip地址的属性为业务地址的情况下，在ip资产纳管表中查找ip地址、mac地址以及交换机ip地址，并使用基于安全外壳协议的第一预设脚本，登陆交换机ip地址对应的交换机，使用第三预设地址替换ip地址，并使用第四预设地址替换ip地址对应的mac地址。

7、可选地，根据局域网内的arp报文，确定状态发生转移的ip地址，并根据ip地址的状态转移情况，生成ip资产状态转移表，包括：步骤s1，生成初始ip资产状态转移表，生成初始主机流量发送记录表，并设置用于获取交换机的流量数据的目标时长；步骤s2，判断是否收到停止监测信号；步骤s3，在未收到停止监测信号的情况下，获取交换机的流量数据，并将流量数据中的每个数据包的源地址以及报文时间信息添加至初始主机流量发送记录表，得到主机流量发送记录表；步骤s4，判断主机流量发送记录表记录数据的时长是否等于目标时长；步骤s5，在主机流量发送记录表记录数据的时长不等于目标时长的情况下，判断流量数据中是否包括arp报文，若流量数据中包括arp报文，获取arp报文的源ip地址以及源mac地址，将源ip地址作为查找条件，查找ip资产纳管表，并在查找到的ip资产纳管表中查找源ip地址对应的第一mac地址；步骤s6，判断源mac地址与第一mac地址是否相同；步骤s7，在源mac地址与第一mac地址不相同的情况下，将ip资产纳管表中的源ip地址、第一mac地址、交换机ip地址以及ip地址的状态，作为第一新增水平单元格组，添加至初始ip资产状态转移表，并在第一新增水平单元格组中，将转移状态设置为新终端上线；步骤s8，在源mac地址与第一mac地址相同的情况下，重复执行步骤s2和步骤s3。

8、可选地，在主机流量发送记录表记录数据的时长等于目标时长的情况下，方法还包括：在ip资产纳管表中搜索目标ip地址，其中，目标ip地址为目标时长内，未记录至ip资产状态转移表且状态为已被占用的ip地址；将目标ip地址以及目标ip地址对应的目标mac地址、交换机ip地址以及ip地址的状态，作为第二新增水平单元格组，添加至ip资产状态转移表，并在第二新增水平单元格组中，将转移状态设置为旧终端下线。

9、可选地，获取arp报文的源ip地址以及源mac地址之后，方法还包括：将源mac地址转化为第一标识信息；在查找到的ip资产纳管表中查找源ip地址对应的第一mac地址之后，方法还包括：将第一mac地址转化为第二标识信息；判断源mac地址与第一mac地址是否相同，包括：判断第一标识信息与第二标识信息是否相同；在第一新增水平单元格组中，将转移状态设置为新终端上线之后，方法还包括：将第一新增水平单元格组中的第一mac地址转化为第一标识信息。

10、可选地，根据审核结果以及转移状态，对ip地址进行管理，包括：对于第一目标ip地址，登录第一目标ip地址对应的交换机，将第一目标ip地址与第一目标ip地址对应的状态改变前的mac地址进行解绑，将第一目标ip地址与第一目标ip地址对应的状态改变后的mac地址进行绑定，并在ip资产纳管表中更新第一目标ip地址的信息，其中，第一目标ip地址为审核结果为通过，ip地址的状态为已被占用，转移状态为新终端上线的ip地址。

11、可选地，根据审核结果以及转移状态，对ip地址进行管理，包括：对于第二目标ip地址，登录第二目标ip地址对应的交换机，将第二目标ip地址与第二目标ip地址对应的状态改变前的mac地址进行解绑，使用第四预设地址替换第二目标ip地址，并在ip资产纳管表中更新第二目标ip地址的信息，其中，第二目标ip地址为审核结果为通过，ip地址的状态为已被占用，转移状态为旧终端下线的ip地址。

12、可选地，根据审核结果以及转移状态，对ip地址进行管理，包括：对于第三目标ip地址，登录第三目标ip地址对应的交换机，使用第五预设地址替换第三目标ip地址，将第三目标ip地址与第三目标ip地址对应的状态改变后的mac地址进行绑定，并在ip资产纳管表中更新第三目标ip地址的信息，其中，第三目标ip地址为审核结果为通过，ip地址的状态为未被占用，转移状态为新终端上线的ip地址。

13、根据本技术实施例的再一方面，还提供了一种ip资产管理装置，包括：第一生成模块，用于获取局域网内交换机的地址解析协议arp表，并根据arp表中的目标集合，生成ip资产纳管表，其中，目标集合中至少包括：交换机管理的互联网协议ip地址、媒体访问控制mac地址以及ip地址与mac地址之间的对应关系，ip资产纳管表中包括：目标集合、ip地址的状态、ip地址的属性以及交换机的ip地址，其中，ip地址的状态至少包括：已被占用和未被占用，ip地址的属性至少包括：业务地址；绑定模块，用于根据ip地址的状态以及ip地址的属性，将ip地址和与ip地址存在对应关系的mac地址进行绑定；第二生成模块，用于根据局域网内的arp报文，确定状态发生转移的ip地址，并根据ip地址的状态转移情况，生成ip资产状态转移表，其中，ip资产状态转移表中至少包括：ip地址、ip地址对应的状态改变前的mac地址、ip地址对应的状态改变后的mac地址以及转移状态，其中，转移状态包括：新终端上线以及旧终端下线；处理模块，用于展示ip资产状态转移表，接收对ip资产状态转移表的审核结果，并根据审核结果以及转移状态，对ip地址进行管理。

14、根据本技术实施例的再一方面，还提供了一种非易失性存储介质，存储介质包括存储的程序，其中，程序运行时控制存储介质所在的设备执行以上的ip资产管理方法。

15、根据本技术实施例的再一方面，还提供了一种电子设备，包括：存储器和处理器，处理器用于运行存储在存储器中的程序，其中，程序运行时执行以上的ip资产管理方法。

16、根据本技术实施例的再一方面，还提供了一种计算机程序，其中，所述计算机程序被处理器执行时实现以上的ip资产管理方法。

17、根据本技术实施例的再一方面，还提供了一种计算机程序产品，计算机程序产品包括非易失性计算机可读存储介质，其中，非易失性计算机可读存储介质存储计算机程序，计算机程序被处理器执行时实现以上的ip资产管理方法。

18、在本技术实施例中，采用获取局域网内交换机的地址解析协议arp表，并根据arp表中的目标集合，生成ip资产纳管表，其中，目标集合中至少包括：交换机管理的互联网协议ip地址、媒体访问控制mac地址以及ip地址与mac地址之间的对应关系，ip资产纳管表中包括：目标集合、ip地址的状态、ip地址的属性以及交换机的ip地址，其中，ip地址的状态至少包括：已被占用和未被占用，ip地址的属性至少包括：业务地址；根据ip地址的状态以及ip地址的属性，将ip地址和与ip地址存在对应关系的mac地址进行绑定；根据局域网内的arp报文，确定状态发生转移的ip地址，并根据ip地址的状态转移情况，生成ip资产状态转移表，其中，ip资产状态转移表中至少包括：ip地址、ip地址对应的状态改变前的mac地址、ip地址对应的状态改变后的mac地址以及转移状态，其中，转移状态包括：新终端上线以及旧终端下线；展示ip资产状态转移表，接收对ip资产状态转移表的审核结果，并根据审核结果以及转移状态，对ip地址进行管理的方式，通过解析交换机arp表，对局域网中的有效ip地址进行全面地、实时地探测发现，获取局域网中每个ip资产的存活情况，并进行ip资产信息的完善，构建企业网络ip资产纳管表。然后持续进行网络流量分析，结合交换机arp表解析结果，监测ip资产的状态改变情况，并根据ip资产纳管表中的ip资产状态，对ip资产的状态改变进行响应，达到了针对企业网络进行ip资产状态改变的动态监测的目的，从而实现了提升对ip资产的处理效率的技术效果，进而解决了由于相关技术未针对企业网络进行ip资产状态改变的动态监测，造成的对ip资产的处理效率较低的技术问题。

技术特征：

1.一种ip资产管理方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，获取局域网内交换机的地址解析协议arp表，包括：

3.根据权利要求2所述的方法，其特征在于，根据所述arp表中的目标集合，生成ip资产纳管表，包括：

4.根据权利要求1所述的方法，其特征在于，获取局域网内交换机的地址解析协议arp表，并根据所述arp表中的目标集合，生成ip资产纳管表，包括：

5.根据权利要求1至4中任意一项所述的方法，其特征在于，根据所述ip地址的状态以及所述ip地址的属性，将所述ip地址和与所述ip地址存在所述对应关系的mac地址进行绑定，包括：

6.根据权利要求1所述的方法，其特征在于，根据所述局域网内的arp报文，确定状态发生转移的ip地址，并根据所述ip地址的状态转移情况，生成ip资产状态转移表，包括：

7.根据权利要求6所述的方法，其特征在于，在所述主机流量发送记录表记录数据的时长等于所述目标时长的情况下，所述方法还包括：

8.根据权利要求6所述的方法，其特征在于，

9.根据权利要求1所述的方法，其特征在于，根据所述审核结果以及所述转移状态，对所述ip地址进行管理，包括：

10.根据权利要求1或9所述的方法，其特征在于，根据所述审核结果以及所述转移状态，对所述ip地址进行管理，包括：

11.根据权利要求1所述的方法，其特征在于，根据所述审核结果以及所述转移状态，对所述ip地址进行管理，包括：

12.一种ip资产管理装置，其特征在于，包括：

13.一种非易失性存储介质，其特征在于，所述非易失性存储介质包括存储的程序，其中，在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至11中任意一项所述的ip资产管理方法。

14.一种电子设备，其特征在于，包括：存储器和处理器，所述处理器用于运行存储在所述存储器中的程序，其中，所述程序运行时执行权利要求1至11中任意一项所述的ip资产管理方法。

15.一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至11中任意一项所述的ip资产管理方法。

技术总结
本申请公开了一种IP资产管理方法及装置、非易失性存储介质、电子设备。其中，该方法包括：获取局域网内交换机的地址解析协议ARP表，并根据ARP表中的目标集合，生成IP资产纳管表；根据IP地址的状态以及IP地址的属性，将IP地址和与IP地址存在对应关系的MAC地址进行绑定；根据局域网内的ARP报文，确定状态发生转移的IP地址，并根据IP地址的状态转移情况，生成IP资产状态转移表；展示IP资产状态转移表，接收对IP资产状态转移表的审核结果，并根据审核结果以及转移状态，对IP地址进行管理。本申请解决了由于相关技术未针对企业网络进行IP资产状态改变的动态监测，造成的对IP资产的处理效率较低的技术问题。

技术研发人员：符炜,丁永,桑晓宇,邓大冲
受保护的技术使用者：中国电信股份有限公司
技术研发日：
技术公布日：2024/9/23