(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211326048.2 (22)申请日 2022.10.27 (71)申请人 杭州海康威视数字技 术股份有限公 司 地址 310051 浙江省杭州市滨江区阡 陌路 555号 (72)发明人 王滨　刘松　万里　赵海涛　 史治国　何承润　 (74)专利代理 机构 北京博思佳知识产权代理有 限公司 1 1415 专利代理师 杨春香 (51)Int.Cl. H04L 67/54(2022.01) H04L 67/12(2022.01) H04L 69/30(2022.01) (54)发明名称 基于多层协同的视频物联网设备安全发现 方法及装置 (57)摘要 本申请实施例提供一种基于多层协同的视 频物联网设备安全发现方法及装置。 本申请实施 例中， 通过协同数据链路层及网络层动态发现物 联网设备， 比如通过第一类网卡中的第一网卡， 向属于同一局域网中的物联网设备发送探测请 求数据包来发现第一类配对信息 （网络层信息） ， 以及通过第二类网卡中的第二网卡， 向局域网中 的物联网设备发送链路探测报文来发现第二类 配对信息 （数据链路层信息） ， 根据各第一类配对 信息和各第二类配对信息确定属于同一物联网 设备的第一类配对信息和第二类配对信息， 最终 实现了通过协同数据链路层及网络层动态发现 物联网设备， 避免现有仅仅通过二层链路数据中 暴露的物联网设备的设备信息来发现物联网设 备所带来的技 术问题。 权利要求书2页 说明书9页 附图5页 CN 115426398 A 2022.12.02 CN 115426398 A 1.一种基于多层协同的视频物联网设备安全发现方法， 其特征在于， 该方法应用于网 络设备， 该 方法包括： 通过被部署的第一类网卡中的至少一个第 一网卡， 向属于同一局域网中的物联网设备 发送探测请求数据包； 所述探测请求数据包支持网络层协议或者支持网络层以上协议； 根据接收到的来自物联网设备返回的探测响应数据包， 确定第一类配对信息； 所述第 一类配对信息 至少包括： 物联网设备的IP地址和MAC地址； 通过被部署的第二类网卡中的至少一个第 二网卡， 向所述局域网中的物联网设备发送 链路探测报文； 根据接收到的来自物联网设备返回的链路响应报文， 确定第二类配对信息； 所述第二 类配对信息 至少包括： 物联网设备的MAC地址和设备资产信息； 根据已确定的各第 一类配对信 息和各第 二类配对信 息， 确定属于同一物联网设备的第 一类配对信息和 第二类配对信息， 同一物联网设备的第一类配对信息和 第二类配对信息用 于配合表示物联网设备。 2.根据权利要求1所述的方法， 其特征在于， 所述通过被部署的第 一类网卡中的至少一 个第一网卡， 向属于同一局域网中的物联网设备发送探测请求数据包， 包括： 针对每一所述第 一网卡， 获得所述第 一网卡被配置的对应的探测方式， 其中， 所述探测 方式为SYN探测方式、 IC MP探测方式、 ARP探测方式 中的至少一个； 按照所述探测方式构造对应所述探测方式的探测请求数据包并向属于同一局域网中 的物联网设备发送。 3.根据权利要求1所述的方法， 其特 征在于， 所述链路 响应报文通过以下步骤确定： 当接收到一报文时， 若该报文 的目标MAC地址为所述第二网卡的MAC地址， 且该报文还 携带有预设响应特 征， 则确定该报文为 来自物联网设备返回的链路 响应报文。 4.根据权利要求1或3所述的方法， 其特征在于， 在所述向所述局域网中的物联网设备 发送链路探测报文之前， 所述方法还 包括： 使能所述第 二类网卡中的至少一个第 二网卡被配置的监 听功能； 所述监 听功能用于监 听目标MAC地址为所述第二网卡的MAC地址的链路层报文。 5.根据权利要求1或3所述的方法， 其特征在于， 在所述根据接收到的来自物联网设备 返回的链路 响应报文， 确定第二类 配对信息之前， 所述方法还 包括： 通过已使能的流 量过滤功能， 过 滤发向所述至少一个第二网卡的网络层流 量。 6.根据权利要求1所述的方法， 其特征在于， 所述根据已确定的各第 一类配对信 息和各 第二类配对信息， 确定属于同一物联网设备的第一类 配对信息和第二类 配对信息， 包括： 以第一类配对信息中存在的MAC地址为关键字， 在各第二类配对信息中查找到包含该 关键字的第二类配对信息， 将该第一类配对信息和查找到的第二类配对信息确定为属于同 一物联网设备的第一类 配对信息和第二类 配对信息； 或者， 以第二类配对信息中存在的MAC地址为关键字， 在各第一类配对信息中查找到包含该 关键字的第一类配对信息， 将该第二类配对信息和查找到的第一类配对信息确定为属于同 一物联网设备的第一类 配对信息和第二类 配对信息 。 7.根据权利要求1或6所述的方法， 其特 征在于， 所述方法还 包括： 针对第一类配对信息中存在的MAC地址， 若发现第二类配对信息中不存在该MAC地址，权　利　要　求　书 1/2 页 2 CN 115426398 A 2则返回执行通过被部署的第二类网卡中的至少一个第二网卡， 向所述局域网中的物联网设 备发送链路探测报文的步骤； 针对第二类配对信息中存在的MAC地址， 若发现第一类配对信息中不存在该MAC地址， 则返回执行通过被部署的第一类网卡中的至少一个第一网卡， 向所述局域网中的物联网设 备发送探测请求数据包的步骤。 8.一种基于多层协同的视频物联网设备安全发现装置， 其特征在于， 该装置应用于网 络设备， 该装置包括： 探测请求数据包发送模块， 用于通过被部署的第一类网卡中的至少一个第一网卡， 向 属于同一局域网中的物联网设备发送探测请求数据包； 所述探测请求数据包支持网络层协 议或者支持网络层以上协议； 第一类配对信息确定模块， 用于根据接收到的来自物联网设备返回的探测响应数据 包， 确定第一类 配对信息； 所述第一类 配对信息 至少包括： 物联网设备的IP地址和MAC地址； 链路探测报文发送模块， 用于通过被部署的第二类网卡中的至少一个第二网卡， 向所 述局域网中的物联网设备发送 链路探测报文； 第二类配对信息确定模块， 用于根据接收到的来自物联网设备返回的链路响应报文， 确定第二类配对信息； 所述第二类配对信息至少包括： 物联网设备的MAC地址和设备资产信 息； 物联网设备确定模块， 用于根据已确定的各第一类配对信息和各第二类配对信息， 确 定属于同一物联网设备的第一类配对信息和 第二类配对信息， 同一物联网设备的第一类配 对信息和第二类 配对信息用于配合表示物联网设备。 9.根据权利要求8所述的装置， 其特 征在于， 所述探测请求数据包发送模块具体用于： 针对每一所述第 一网卡， 获得所述第 一网卡被配置的对应的探测方式， 其中， 所述探测 方式为SYN探测方式、 IC MP探测方式、 ARP探测方式 中的至少一个； 按照所述探测方式构造对应所述探测方式的探测请求数据包并向属于同一局域网中 的物联网设备发送。 10.一种电子设备， 其特 征在于， 电子设备包括机器可读存 储介质、 处 理器； 所述机器可读存 储介质存 储有能够被处 理器执行的机器可 执行指令； 所述处理器用于读取所述机器可执行指令， 以实现如权利要求1 ‑7任一项所述的设备 发现方法的步骤。权　利　要　求　书 2/2 页 3 CN 115426398 A 3