CN117614668A - 一种企业互联网暴露面资产探测系统及其方法 - Google Patents

一种企业互联网暴露面资产探测系统及其方法 Download PDF

Info

Publication number
CN117614668A
CN117614668A CN202311562250.XA CN202311562250A CN117614668A CN 117614668 A CN117614668 A CN 117614668A CN 202311562250 A CN202311562250 A CN 202311562250A CN 117614668 A CN117614668 A CN 117614668A
Authority
CN
China
Prior art keywords
scanning
network
detection
module
asset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311562250.XA
Other languages
English (en)
Inventor
崔艳鹏
胡建伟
张志豪
崔博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Xidian Network Security Research Institute
Xi'an Humen Network Technology Co ltd
Xidian University
Original Assignee
Chengdu Xidian Network Security Research Institute
Xi'an Humen Network Technology Co ltd
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Xidian Network Security Research Institute, Xi'an Humen Network Technology Co ltd, Xidian University filed Critical Chengdu Xidian Network Security Research Institute
Priority to CN202311562250.XA priority Critical patent/CN117614668A/zh
Publication of CN117614668A publication Critical patent/CN117614668A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Abstract

本发明提供了一种企业互联网暴露面资产探测系统及其方法,涉及互联网安全探测技术领域,目的是实现资产探测自动分类以省去资产需要人工登记的繁琐步骤且优化展示交互方式,包括Server端和多个Agent端,Agent端分别连接到Server端;Agent端用于获取对应代理网段的暴露面资产分布情况,并作为扫描结果发给Server端;Server端用于接收扫描结果、对扫描结果进行分析处理、绘制成网络拓扑图并进行交互展示。本发明具有资产探测更高效可靠、展示方式更清晰直观的优点。

Description

一种企业互联网暴露面资产探测系统及其方法
技术领域
本发明涉及互联网安全探测技术领域,具体而言,涉及一种企业互联网暴露面资产探测系统及其方法。
背景技术
随着互联网的快速发展,互联网信息安全问题越来越多被关注。
在互联网资产管理方面,现有的企业互联网资产管理系统,存在以下问题:其一,针对的资产过于笼统,注重在探测手法上的实现,并未对重点资产进行关注,这也就导致运维人员不知道那些资产应该是重点关注的对象,而资产管理的目的在于守护更重要的资产,因此资产的探测应该站在攻击者的角度进行分类,以暴露在攻击者的角度出发,对资产进行分类探测、分类处理;其二,基于NetBIOS协议的识别,并不是都是有用的,Windows系统当中并非是都开启NetBIOS的服务,这时候我们就应该做出针对性的探测,如SMB扫描等;其三,在最后的展示方面,展示直接与系统的运维人员进行交互,一个更直观的展示尤为重要,展示的资产应该根据重要程度分等级的向运维人员展示输出,让运维人员知道那些资产才是更容易受攻击的资产;其四,没有考虑企业网络环境复杂的问题,如存在不同网段不能互通的问题。
因此为了解决以上问题,需要对互联网资产的探测管理进行优化。
发明内容
本发明的目的在于提供一种企业互联网暴露面资产探测系统及其方法,其可以实现资产探测自动分类以省去资产需要人工登记的繁琐步骤且优化展示交互方式。
本发明的实施例通过以下技术方案实现:
本能发明首先提供一种企业互联网暴露面资产探测系统,包括Server端和多个Agent端,Agent端分别连接到Server端;
所述Agent端用于获取对应代理网段的暴露面资产分布情况,并作为扫描结果发给所述Server端;
所述Server端用于接收所述扫描结果、对所述扫描结果进行分析处理、绘制成网络拓扑图并进行交互展示。
优选地,所述Agent端包括IP探测模块、端口扫描与服务识别模块、网络层次与网络连通测试模块和命令交互模块;
所述IP探测模块用于探测存活IP;
所述端口扫描与服务识别模块用于确定服务识别的范围;
所述网络层次与网络连通测试模块用于确定目标设备所处网络的深度;
所述命令交互模块用于获取所述Server端下发的扫描任务并执行所述扫描任务,也将扫描认为的扫描结果传回给所述Server端。
优选地,所述IP探测模块的探测方式包括基于ICMP Ping扫描、TCP扫描、ARP探测、SMB扫描和NetBIOS探测;
所述端口扫描与服务识别模块的扫描和识别方式包括TCP SYN扫描;
所述网络层次与网络连通测试模块的探测方式包括Traceroute路由探测;
所述命令交互模块通过Socket与所述Server端交流。
优选地,所述Server端包括命令交互模块、多个暴露面资产分类定级模块、数据汇总网络拓扑绘制模块和展示与用户交互模块;
所述命令交互模块用于接收来自所述Agent的扫描结果,以及将扫描任务下发给所述Agent端;
第一暴露面资产分类定级模块用于根据资产所处网络的深度对资产进行定级分类;
第二暴露面资产分类定级模块用于根据开放服务的数量和易受攻击的程度对开放服务进行分类定级;
所述数据汇总网络拓扑绘制模块用于根据所述Agent端传回的数据绘制网络拓扑图;
所述展示与用户交互模块用于提供展示和交互界面。
本发明还提供一种企业互联网暴露面资产探测方法,应用于以上任意一项所述一种企业互联网暴露面资产探测系统,包括以下步骤:
所述Server端向所述Agent端下发扫描任务;
所述Agent端执行所述扫描任务获取对应代理网段的暴露面资产分布情况,并作为扫描结果回发到所述Server端;
所述Server端讲所述扫描结果绘制成网络拓扑图并进行交互展示。
优选地,所述Agent端执行所述扫描任务包括以下步骤:
接受来自所述Server端的扫描任务;
探测存活IP;
通过端口扫描确定服务识别的范围;
确定目标设备所处网络的深度;
向所述Server端返回扫描结果。
优选地,所述探测存活IP时,判断系统是否为Windows系统,若为Window系统则探测方式包括SMB扫描和NetBios探测,若非Window系统则探测方式包括ICMP Ping扫描、TCP扫描、ARP探测。
优选地,所述确定服务识别的范围的方式包括TCP SYN扫描;
所述确定目标设备所处网络的深度的探测方式包括Traceroute路由探测;
所述Agent端与所述Server端的交流通过Socket。
优选地,所述Server端讲所述扫描结果绘制成网络拓扑图并进行交互展示时,还根据资产所处网络的深度对资产进行定级分类且根据开放服务的数量和易受攻击的程度对开放服务进行分类定级,并根据分类定级结果进行展示。
本发明实施例的技术方案至少具有如下优点和有益效果:
本发明能够搜集企业的暴露面资产,并将资产易受攻击的程度以及整体网络层次直观的展示给运维人员,省去资产需要人工登记的繁琐步骤;
本发明能够更好的保护企业的资产,并且在应急响应时对遭受攻击的资产进行快速定位;
本发明通过Agent的代理方式能够对内网复杂的网络环境进行准确完整的暴露面资产探测;
本发明还能通过内网复杂的网络设备进行针对性的扫描探测,使探测的结果更加的准确与全面。
附图说明
图1为本发明实施例1提供的一种企业互联网暴露面资产探测系统的结构示意图;
图2为本发明实施例x提供的Agent端执行扫描任务的流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
实施例1
本实施例提供一种企业互联网暴露面资产探测系统,包括Server端和多个Agent端,Agent端分别连接到Server端;
所述Agent端用于获取对应代理网段的暴露面资产分布情况,并作为扫描结果发给所述Server端;
所述Server端用于接收所述扫描结果、对所述扫描结果进行分析处理、绘制成网络拓扑图并进行交互展示。
本实施例的系统的部署是为了解决企业内不同网段之间网络不通无法探测的问题。
在实际部署执行的时候,Agent端可以获取对应代理网段的暴露面资产分布情况,暴露面资产指的是存活IP、每个IP地址提供的端口服务等一切可能被攻击者利用的网络信息;因此,其主要功能包括探测该区域存活的IP地址、每个IP地址上开放的端口服务信息,并将搜集到的信息上传到Server端,并且接收来自Server端的命令并执行。
一个案例参阅图1,图1中设置了一个Server端,然后在隔离区和内网服务器各有一个DMZ端。
实施例2
本实施例基于实施例1的技术方案,对Agent端做进一步说明。
在本实施例中,所述Agent端包括IP探测模块、端口扫描与服务识别模块、网络层次与网络连通测试模块和命令交互模块;
所述IP探测模块用于探测存活IP;
所述端口扫描与服务识别模块用于确定服务识别的范围;
所述网络层次与网络连通测试模块用于确定目标设备所处网络的深度;
所述命令交互模块用于获取所述Server端下发的扫描任务并执行所述扫描任务,也将扫描认为的扫描结果传回给所述Server端。
进一步地,所述IP探测模块的探测方式包括基于ICMP Ping扫描、TCP扫描、ARP探测、SMB扫描和NetBIOS探测;基于ICMP Ping扫描是探测存活IP最简单的方法,在实际网络环境中有时可能存在禁ping的情况,届时采用TCP扫描的方式进行探测,针对处在内网当中的情况,可以使用ARP探测,同时也可以获取唯一的MAC地址,更为特殊的情况是,针对处在内网中的Windows系统,可以采用SMB扫描与NetBIOS探测的方式进行多协议探测,从而提高探测的准确度。
所述端口扫描与服务识别模块的扫描和识别方式包括TCP SYN扫描;TCP SYN扫描技术的优势是显而易见的,其扫描原理是向主机的目标端口发送SYN请求连接。目标接收到SYN包后调用SYN/ACK响应,探测主机接收到SYN/ACK后使用RST请求中断连接建立,这样未完成完整的TCP请求,因此目标主机也不会记录,而且会增加扫描的速率。进行了端口开放性探测之后使用特定的网络探测包,获取目标端口返回的Banner信息,根据Banner信息确定目标所开放的服务。Masscan基于自定义的TCP堆栈使得扫描速度加快,但是对服务识别的准确率却没有Nmap高,因此可以采用Masscan对IP进行探测,再将探测的结果作为端口扫描的范围进行端口扫描,最后对服务进一次识别。
所述网络层次与网络连通测试模块的探测方式包括Traceroute路由探测;针对资产的重要程度评级,首先需要确定目标设备所处网络的深度,与攻击者访问目标资产的难度,如处在DMZ区域的服务器和处在内网服务器区域的服务器,访问的难度就不尽相同,因此通过Traceroute进行路由探测,探知当前区域所处的网络深度。对于两主机之间是否相互连通,TCP空闲扫描(Idle Scan)不仅可以利用TCP协议中的一些特殊机制来隐藏扫描者的身份信息,也可以通过此方法判断目标两主机是否能够进行网络互通。它利用了TCP昔人已中的PID(Identification Number)功能来识别是否进行了一次连接尝试。
所述命令交互模块通过Socket与所述Server端交流。此模块通过Socket与Server端进行交流,获取Server端下发的扫描任务并执行,也将扫描的结果通过Socket传回给Server端。
实施例3
本实施例基于实施例1的技术方案,对Server端做进一步说明。
作为本实施例的优选方案,所述Server端包括命令交互模块、多个暴露面资产分类定级模块、数据汇总网络拓扑绘制模块和展示与用户交互模块;
所述命令交互模块用于接收来自所述Agent的扫描结果,以及将扫描任务下发给所述Agent端;
第一暴露面资产分类定级模块用于根据资产所处网络的深度对资产进行定级分类;此处设置是因为所处网络的深度不同,访问的难度也不同,如处在DMZ的服务器将直接与互联网进行数据交互,能直接收到攻击者的攻击,而处在内网的如OA系统,则需要通过内网穿透等手段才能进行访问攻击,所以根据资产所处网络的深度可以将其进行定级分类;
第二暴露面资产分类定级模块用于根据开放服务的数量和易受攻击的程度对开放服务进行分类定级;该设置则是因为所开放的服务越多遭受攻击的可能性也就越大,因此,可针对开放服务的多少和易受攻击的程度进行分类定级;
所述数据汇总网络拓扑绘制模块用于根据所述Agent端传回的数据绘制网络拓扑图;具体则是进一步分析处理,根据探测的网络深度与网络连通性,形成网络拓扑图。并根据不同的分级进行分区展示,给用户直观的重要程度展示效果;
所述展示与用户交互模块用于提供展示和交互界面。
实施例4
本实施例提供一种企业互联网暴露面资产探测方法,应用于以上任意一项实施例所述一种企业互联网暴露面资产探测系统,包括以下步骤:
所述Server端向所述Agent端下发扫描任务;
所述Agent端执行所述扫描任务获取对应代理网段的暴露面资产分布情况,并作为扫描结果回发到所述Server端;
所述Server端讲所述扫描结果绘制成网络拓扑图并进行交互展示。
实施例5
本实施例基于实施例4的技术方案,参阅图2,对Agent端执行所述扫描任务做进一步说明。
在本实施例中,所述Agent端执行所述扫描任务包括以下步骤:
接受来自所述Server端的扫描任务;
探测存活IP;
通过端口扫描确定服务识别的范围;
确定目标设备所处网络的深度;
向所述Server端返回扫描结果。
进一步地,所述探测存活IP时,判断系统是否为Windows系统,若为Window系统则探测方式包括SMB扫描和NetBios探测,若非Window系统则探测方式包括ICMP Ping扫描、TCP扫描、ARP探测。
另一方面,所述确定服务识别的范围的方式包括TCP SYN扫描;
所述确定目标设备所处网络的深度的探测方式包括Traceroute路由探测;
所述Agent端与所述Server端的交流通过Socket。
在本实施例中,Agent通过在不同的网络区域充当代理,能够解决不同网段的资产能够被搜集探测到,而且在于Server交流的过程中能够执行命令,如Windows系统还可尝试SMB扫描,漏洞探测、以及密码喷洒发现弱口令以及默认用户等,内网往往是比较薄弱的区域,通过Agent代理可以使得更加的安全。而通过Traceroute可以探测此网络的深度,通过端口服务的扫描可以区分提供服务的多少评估出易受攻击的可能性。
实施例6
本实施例基于实施例4的技术方案,对Server端的展示工作做进一步说明。
作为优选方案,所述Server端讲所述扫描结果绘制成网络拓扑图并进行交互展示时,还根据资产所处网络的深度对资产进行定级分类且根据开放服务的数量和易受攻击的程度对开放服务进行分类定级,并根据分类定级结果进行展示。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种企业互联网暴露面资产探测系统,其特征在于,包括Server端和多个Agent端,Agent端分别连接到Server端;
所述Agent端用于获取对应代理网段的暴露面资产分布情况,并作为扫描结果发给所述Server端;
所述Server端用于接收所述扫描结果、对所述扫描结果进行分析处理、绘制成网络拓扑图并进行交互展示。
2.根据权利要求1所述的一种企业互联网暴露面资产探测系统,其特征在于,所述Agent端包括IP探测模块、端口扫描与服务识别模块、网络层次与网络连通测试模块和命令交互模块;
所述IP探测模块用于探测存活IP;
所述端口扫描与服务识别模块用于确定服务识别的范围;
所述网络层次与网络连通测试模块用于确定目标设备所处网络的深度;
所述命令交互模块用于获取所述Server端下发的扫描任务并执行所述扫描任务,也将扫描认为的扫描结果传回给所述Server端。
3.根据权利要求2所述的一种企业互联网暴露面资产探测系统,其特征在于,所述IP探测模块的探测方式包括基于ICMP Ping扫描、TCP扫描、ARP探测、SMB扫描和NetBIOS探测;
所述端口扫描与服务识别模块的扫描和识别方式包括TCP SYN扫描;
所述网络层次与网络连通测试模块的探测方式包括Traceroute路由探测;
所述命令交互模块通过Socket与所述Server端交流。
4.根据权利要求1所述的一种企业互联网暴露面资产探测系统,其特征在于,所述Server端包括命令交互模块、多个暴露面资产分类定级模块、数据汇总网络拓扑绘制模块和展示与用户交互模块;
所述命令交互模块用于接收来自所述Agent的扫描结果,以及将扫描任务下发给所述Agent端;
第一暴露面资产分类定级模块用于根据资产所处网络的深度对资产进行定级分类;
第二暴露面资产分类定级模块用于根据开放服务的数量和易受攻击的程度对开放服务进行分类定级;
所述数据汇总网络拓扑绘制模块用于根据所述Agent端传回的数据绘制网络拓扑图;
所述展示与用户交互模块用于提供展示和交互界面。
5.一种企业互联网暴露面资产探测方法,应用于权利要求1-4任意一项所述一种企业互联网暴露面资产探测系统,其特征在于,包括以下步骤:
所述Server端向所述Agent端下发扫描任务;
所述Agent端执行所述扫描任务获取对应代理网段的暴露面资产分布情况,并作为扫描结果回发到所述Server端;
所述Server端讲所述扫描结果绘制成网络拓扑图并进行交互展示。
6.根据权利要求5所述的一种企业互联网暴露面资产探测方法,其特征在于,所述Agent端执行所述扫描任务包括以下步骤:
接受来自所述Server端的扫描任务;
探测存活IP;
通过端口扫描确定服务识别的范围;
确定目标设备所处网络的深度;
向所述Server端返回扫描结果。
7.根据权利要求6所述的一种企业互联网暴露面资产探测方法,其特征在于,所述探测存活IP时,判断系统是否为Windows系统,若为Window系统则探测方式包括SMB扫描和NetBios探测,若非Window系统则探测方式包括ICMP Ping扫描、TCP扫描、ARP探测。
8.根据权利要求6所述的一种企业互联网暴露面资产探测方法,其特征在于,所述确定服务识别的范围的方式包括TCP SYN扫描;
所述确定目标设备所处网络的深度的探测方式包括Traceroute路由探测;
所述Agent端与所述Server端的交流通过Socket。
9.根据权利要求5所述的一种企业互联网暴露面资产探测方法,其特征在于,所述Server端讲所述扫描结果绘制成网络拓扑图并进行交互展示时,还根据资产所处网络的深度对资产进行定级分类且根据开放服务的数量和易受攻击的程度对开放服务进行分类定级,并根据分类定级结果进行展示。
CN202311562250.XA 2023-11-21 2023-11-21 一种企业互联网暴露面资产探测系统及其方法 Pending CN117614668A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311562250.XA CN117614668A (zh) 2023-11-21 2023-11-21 一种企业互联网暴露面资产探测系统及其方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311562250.XA CN117614668A (zh) 2023-11-21 2023-11-21 一种企业互联网暴露面资产探测系统及其方法

Publications (1)

Publication Number Publication Date
CN117614668A true CN117614668A (zh) 2024-02-27

Family

ID=89950744

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311562250.XA Pending CN117614668A (zh) 2023-11-21 2023-11-21 一种企业互联网暴露面资产探测系统及其方法

Country Status (1)

Country Link
CN (1) CN117614668A (zh)

Similar Documents

Publication Publication Date Title
CN111756598A (zh) 一种基于主动探测与流量分析结合的资产发现方法
US9584487B2 (en) Methods, systems, and computer program products for determining an originator of a network packet using biometric information
CN110113345B (zh) 一种基于物联网流量的资产自动发现的方法
US9451036B2 (en) Method and apparatus for fingerprinting systems and operating systems in a network
US8272054B2 (en) Computer network intrusion detection system and method
Deri et al. Effective traffic measurement using ntop
US20070297349A1 (en) Method and System for Collecting Information Relating to a Communication Network
EP2372954B1 (en) Method and system for collecting information relating to a communication network
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
KR101893253B1 (ko) 네트워크 도달 가능성 기반의 자동화된 침투 경로 예측 장치 및 방법
CN111541670A (zh) 一种新型动态蜜罐系统
CN114338068A (zh) 多节点漏洞扫描方法、装置、电子设备及存储介质
CN104333538A (zh) 一种网络设备准入方法
CN114900377B (zh) 一种基于诱导数据包的违规外联监测方法及系统
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
CN117614668A (zh) 一种企业互联网暴露面资产探测系统及其方法
CN113206828B (zh) 一种分析网络设备安全的方法及设备
CN114629725A (zh) 一种用户域哑终端管理方法、装置、系统和存储介质
JP4484190B2 (ja) ルーター探索システム、ルーター探索方法、及びルーター探索プログラム
CN111669376B (zh) 一种内网安全风险识别的方法和装置
CN117857411A (zh) 一种基于混合方式的资产识别方法
CN114173323A (zh) 基于端和云结合的钓鱼WiFi检测方法
CN117938413A (zh) 一种设备入网控制方法、装置、设备及介质
CN115827395A (zh) 办公软件的异常处理方法及设备
CN118018283A (zh) 一种异常数据信息处理方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination