全流量采集分析(NTA)产品主机和用户“资产识别”实现原理
字数 1380 2025-08-22 12:22:59

全流量采集分析(NTA)产品中主机和用户资产识别实现原理

一、概述

网络流量分析(NTA)产品中的资产识别功能是网络安全运营的重要组成部分,主要通过主动和被动两种方式识别网络中的设备和服务。本文重点介绍被动资产识别技术,即通过监听和分析网络流量来识别网络资产。

二、被动资产识别技术原理

被动资产识别通过解析网络流量中包含主机信息的协议字段来实现,主要优势包括:

  • 无需主动扫描,不影响业务
  • 适合持续监控
  • 适用于不允许干扰的环境

三、关键协议及识别方法

3.1 DHCP协议识别

协议功能:动态主机配置协议,用于自动分配IP地址和网络配置参数。

关键字段

  • Option:Host Name:包含客户端主机名
  • MAC地址:前3字节可识别供应商
  • IP地址:分配的客户端IP

示例

ip,172.16.1.38
mac,Apple_04:a5:7b (f8:ff:c2:04:a5:7b)
主机名,jeremiahs-MBP

注意事项

  • 捕获的MAC地址可能是最近一跳设备的地址
  • 复杂网络环境中需仔细甄别

3.2 NBNS协议识别

协议功能:NetBIOS名称服务,用于局域网内的名称解析。

关键字段

  • NBNS Name Registration请求报文中包含主机名
  • 结合IP、MAC和主机名可标识设备

示例
Windows主机NBNS请求报文中可见主机名"DESKTOP-HVKYP4S"

3.3 Active Directory环境识别

Kerberos协议

AS-REQ请求报文

  • 包含域环境名、域控IP、域控主机名
  • 可提取客户端IP、主机名和用户名

示例

域环境名,www.pcapworkshop[.]net
域控IP,172.16.1[.]16
域控主机名,PCAPWORKSHOP-DC
Windows客户端,172.16.1[.]141
Windows客户端主机名,DESKTOP-HSJD5R8
Windows客户端用户名,Rene McCollum

TGS-REP响应报文

  • 包含域控主机名

LDAP协议

  • 可找到用户名、姓氏及其他主机信息标识符

3.4 HTTP协议识别

User-Agent字段

  • 可识别平台类型(Windows、Apple、Linux、Android)
  • 但可靠性因加密流量和伪造行为而降低

Windows版本识别

Windows NT 10.0;Win64;x64 → Windows 10或11
Windows NT 6.3 → Windows 8.1
Windows NT 6.2 → Windows 8
Windows NT 6.1 → Windows 7
Windows NT 6.0 → Windows Vista
Windows NT 5.1 → Windows XP

注意事项

  • 现代浏览器(Chrome/Edge/Firefox)已将Windows版本号固定在NT 10.0
  • 从2023年起,Chrome将所有Windows版本报告为NT 10.0

Android设备识别
示例字段:"Android 13; Pixel 4a (5G)"

四、实现流程

  1. 流量捕获:监听网络流量
  2. 协议解析:识别并解析目标协议(DHCP、NBNS等)
  3. 字段提取:从协议报文中提取关键信息
  4. 资产关联:将IP、MAC、主机名等信息关联
  5. 资产入库:存储并建立索引
  6. 资产展示:对单个实体进行资产可视化

五、应用价值

  1. 告警研判:帮助分析安全事件影响范围
  2. 资产管理:维护网络资产清单
  3. 取证定位:快速定位受害实体
  4. 安全评估:了解网络资产状况

六、局限性

  1. 依赖流量:无通信则无法识别
  2. 精确度限制:不如主动识别准确
  3. 环境复杂性:需处理中间设备干扰
  4. 加密影响:HTTPS等加密协议限制信息获取

七、最佳实践

  1. 组合使用:结合主动和被动识别技术
  2. 多协议关联:交叉验证不同协议获取的信息
  3. 持续更新:定期更新识别规则和特征
  4. 异常检测:监控异常资产探测行为

八、总结

被动资产识别是NTA产品的重要功能,通过解析DHCP、NBNS、Kerberos等协议的关键字段,能够在不干扰业务的情况下持续监控网络资产。虽然存在一定局限性,但与主动识别技术结合使用,可实现对网络资产的全面、准确和实时管理。

全流量采集分析(NTA)产品中主机和用户资产识别实现原理 一、概述 网络流量分析(NTA)产品中的资产识别功能是网络安全运营的重要组成部分,主要通过主动和被动两种方式识别网络中的设备和服务。本文重点介绍被动资产识别技术,即通过监听和分析网络流量来识别网络资产。 二、被动资产识别技术原理 被动资产识别通过解析网络流量中包含主机信息的协议字段来实现,主要优势包括: 无需主动扫描,不影响业务 适合持续监控 适用于不允许干扰的环境 三、关键协议及识别方法 3.1 DHCP协议识别 协议功能 :动态主机配置协议,用于自动分配IP地址和网络配置参数。 关键字段 : Option:Host Name :包含客户端主机名 MAC地址 :前3字节可识别供应商 IP地址 :分配的客户端IP 示例 : 注意事项 : 捕获的MAC地址可能是最近一跳设备的地址 复杂网络环境中需仔细甄别 3.2 NBNS协议识别 协议功能 :NetBIOS名称服务,用于局域网内的名称解析。 关键字段 : NBNS Name Registration请求报文中包含主机名 结合IP、MAC和主机名可标识设备 示例 : Windows主机NBNS请求报文中可见主机名"DESKTOP-HVKYP4S" 3.3 Active Directory环境识别 Kerberos协议 AS-REQ请求报文 : 包含域环境名、域控IP、域控主机名 可提取客户端IP、主机名和用户名 示例 : TGS-REP响应报文 : 包含域控主机名 LDAP协议 可找到用户名、姓氏及其他主机信息标识符 3.4 HTTP协议识别 User-Agent字段 : 可识别平台类型(Windows、Apple、Linux、Android) 但可靠性因加密流量和伪造行为而降低 Windows版本识别 : 注意事项 : 现代浏览器(Chrome/Edge/Firefox)已将Windows版本号固定在NT 10.0 从2023年起,Chrome将所有Windows版本报告为NT 10.0 Android设备识别 : 示例字段:"Android 13; Pixel 4a (5G)" 四、实现流程 流量捕获 :监听网络流量 协议解析 :识别并解析目标协议(DHCP、NBNS等) 字段提取 :从协议报文中提取关键信息 资产关联 :将IP、MAC、主机名等信息关联 资产入库 :存储并建立索引 资产展示 :对单个实体进行资产可视化 五、应用价值 告警研判 :帮助分析安全事件影响范围 资产管理 :维护网络资产清单 取证定位 :快速定位受害实体 安全评估 :了解网络资产状况 六、局限性 依赖流量 :无通信则无法识别 精确度限制 :不如主动识别准确 环境复杂性 :需处理中间设备干扰 加密影响 :HTTPS等加密协议限制信息获取 七、最佳实践 组合使用 :结合主动和被动识别技术 多协议关联 :交叉验证不同协议获取的信息 持续更新 :定期更新识别规则和特征 异常检测 :监控异常资产探测行为 八、总结 被动资产识别是NTA产品的重要功能,通过解析DHCP、NBNS、Kerberos等协议的关键字段,能够在不干扰业务的情况下持续监控网络资产。虽然存在一定局限性,但与主动识别技术结合使用,可实现对网络资产的全面、准确和实时管理。