CN110233821A

CN110233821A - 一种智能设备网络空间的探测和安全扫描系统及其方法

Info

Publication number: CN110233821A
Application number: CN201910354831.1A
Authority: CN
Inventors: 张淼; 徐国爱; 刘炳楠; 王磊
Original assignee: Beijing University of Posts and Telecommunications
Current assignee: Beijing University of Posts and Telecommunications
Priority date: 2019-04-29
Filing date: 2019-04-29
Publication date: 2019-09-13
Anticipated expiration: 2039-04-29
Also published as: CN110233821B

Abstract

本发明公开了一种智能设备网络空间的探测和安全扫描系统及其方法，其方法包括以下步骤：对网络空间中的不同IP的设备进行探活，筛除网络空间中不存活的IP，将剩余IP按其开放端口分组；对筛分出的若干组IP进行逐层识别，直至将每个IP都生成对应的通用平台枚举名称CPE名；依据生成的CPE名，生成IP与设备的对照列表，进行特征优化后反馈，本发明先对网络空间中的不同IP的设备进行初步筛分，缩短探测时间，对筛分出的IP采用逐层识别的方法去生成CPE名，提高端口扫描效率，成倍的缩短每个IP的端口探测时间，从而整体上提高设备的探测和扫描效率，依据CPE名生成IP与设备的对照列表，进行特征优化后反馈，进一步优化和提升对智能设备的探测和扫描准确率。

Description

一种智能设备网络空间的探测和安全扫描系统及其方法

技术领域

本发明涉及网络安全领域，特别是指一种智能设备网络空间的探测和安全扫描系统及其方法。

背景技术

目前针对智能设备在网络空间中的探测的研究有很多，其中包括开源扫描器Nmap，网络空间搜索引擎Zoomeye、Shodan和Fofa等，针对智能设备的安全研究，首先需要通过探测的手段获取到一定数量的智能设备。目前较为通用的物联网设备探测和识别方法是基于端口探测的扫描方法。

这种方法源于Nmap对设备操作系统及服务的探测和识别。Nmap的主机探测原理与Ping命令相似，通过发送探针到目标主机，根据目标主机的返回包，实现对目标主机的探测和识别。Nmap针对一个IP范围的主机进行存活性探测，默认发送一个TCPACK报文到80端口和一个ICMP回声请求到目标主机，在此基础上，使用者可根据自己的需求，选择不同的探测策略，例如选择发送UDP Ping包，或者ARP Ping包。

另外可以通过连接服务器的特定端口，利用其返回的Banner信息，判断目标设备的类型。网络设备搜索引擎Shodan和Zoomeye通常采用Banner识别的方式实现对服务器或联网设备的识别。在完成对目标设备的探测发现和识别之后，就可以对其进行安全扫描，验证是否存在安全漏洞等安全隐患。

虽然联网设备搜索引擎Shodan和Zoomeye实现了对互联网空间中的设备、网站及其组件等信息的收录。但是Shodan和Zoomeye更侧重于对Web服务器的搜索与识别，而在智能设备探测方面，支持的设备种类和数量都很有限。

其他对于物联网设备探测的研究主要集中在基于Web管理页面特征的识别，从而实现对智能设备类型的识别。这种探测方式的局限性在于如果智能设备不存在Web管理页面，那么将不再能被这种方式发现。

同时，传统的端口扫描算法存在效率低下的问题，针对大批量的IP进行扫描探测时，仅端口扫描就需要相当长的时间。

发明内容

有鉴于此，本发明的目的在于提出一种智能设备网络空间的探测和安全扫描系统及其方法，以解决前述背景技术中的全部缺陷或之一。

基于上述目的本发明提供的智能设备网络空间的探测和安全扫描方法，包括以下步骤：

对网络空间中的不同IP的设备进行探活，筛除网络空间中不存活的IP，将剩余IP按其开放端口分组；

对筛分出的若干组IP进行逐层识别，直至将每个IP都生成对应的通用平台枚举名称CPE名；

依据生成的CPE名，生成IP与设备的对照列表，进行特征优化后反馈。

可选的，对筛分出的若干组IP进行逐层识别包括以下步骤：

端口层：对按开放端口区分的不同组IP发送不同的服务探测数据包，将特征匹配的IP进入下一层，并按照相同的服务进行重新分组；

服务层：对按服务区分的不同组IP进行banner与特征的匹配检测，将特征匹配的IP进入下一层，并按照相同banner进行重新分组；

数据层：对按banner区分的不同组IP进行数据包字段与特征的匹配；将特征匹配的IP生成CPE名。

其中，当端口层、服务层或数据层中的任一层完成了某一特征的完全匹配，则生成CPE名并停止向下一层级推进。

可选的，筛除网络空间中不存活的IP，将剩余IP按其开放端口分组的具体步骤包括：向网络空间中不同IP发送ICMP Echo请求数据包，将对ICMP Echo请求数据包不做响应的IP认定为非存活状态，与对ICMP Echo请求数据包做出响应的IP建立TCP连接，获取其开放端口信息并按开放端口进行分组。

可选的，所述CPE名的描述格式为CPE:/h:<device>:<vendor>:<product>:<version>:<update>:<edition>:<language>。

可选的，还包括以下步骤：向已生成CPE名的设备进行验证性攻击，依据已知的漏洞数据来确认设备已经存在的安全漏洞，根据漏洞的探测结果生成安全风险报告。

一种执行上述智能设备网络空间的探测和安全扫描方法的系统，包括：

探活模块，对网络空间中的不同IP的设备进行探活，筛除不存活的IP，将剩余IP按其开放端口分组；

识别模块；对由探活模块筛分的若干组IP进行逐层识别，直至将每个IP都生成对应的CPE名；

反馈模块；根据识别模块生成的CPE名，生成IP与设备的对照列表，进行特征优化后反馈给识别模块。

可选的，还包括安全扫描模块，所述安全扫描模块可对生成CPE名的设备进行漏洞探测和验证。

可选的，还包括智能设备漏洞库，用于存储已知设备的安全漏洞并可以进行扩展，可将安全扫描模块探测和验证出的新的安全漏洞收入其中。

从上面所述可以看出，本发明提供的智能设备网络空间的探测和安全扫描系统及其方法，具有如下优点：

1、通过探活模块进行初步筛分，过滤掉不存活的智能设备，缩短探测时间。

2、通过识别模块的分组探测和层级递进的策略提高了端口扫描的效率，可成倍的缩短每个IP的每个端口的探测时间，从而整体上提高了设备探测效率。

3、利用反馈模块可以进一步优化和提升识别准确率，将每次扫描识别的中间结果作为反馈模块的输入，进行特征优化，从而逐步的提高特征的准确性，进一步提高了设备识别的准确率。

4、本系统可根据不同的智能设备进行对应漏洞库的配置，逐步扩大智能设备漏洞库的数据量，从而提高安全扫描所能覆盖的安全威胁的范围。

附图说明

图1为本发明的智能设备网络空间的探测和安全扫描方法的流程图；

图2为本发明的对筛分出的若干组IP进行逐层识别的步骤流程图；

图3为本发明的一个实施例的智能设备网络空间的探测和安全扫描系统的示意图；

图4为本发明的另一实施例的智能设备网络空间的探测和安全扫描系统的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，此外本发明所提到的方向和位置用语，例如「上」、「中」、「下」、「前」、「后」、「左」、「右」、「内」、「外」、「侧面」等，仅是参考附加图式的方向和位置，因此，使用的方向和位置用语是用以说明及理解本发明，而非用以限制本发明后续实施例对此不再一一说明。

如图1所示，本发明提供的智能设备网络空间的探测和安全扫描方法，包括以下步骤：

步骤S101，对网络空间中的不同IP的设备进行探活，筛除网络空间中不存活的IP，将剩余IP按其开放端口分组；

步骤S102，对筛分出的若干组IP进行逐层识别，直至将每个IP都生成对应的通用平台枚举名称CPE名；

步骤S103，依据生成的CPE名，生成IP与设备的对照列表，进行特征优化后反馈。

本发明的智能设备网络空间的探测和安全扫描方法，先对网络空间中的不同IP的设备进行初步筛分，过滤掉不存活的智能设备，缩短探测时间，对筛分出的IP采用逐层识别的方法去生成CPE名，提高了对IP的端口扫描效率，成倍的缩短每个IP的端口探测时间，从而整体上提高设备的探测和扫描效率，依据CPE名生成IP与设备的对照列表，进行特征优化后反馈，进一步优化和提升对智能设备的探测和扫描准确率。

进一步的，如图2所示，对筛分出的若干组IP进行逐层识别包括以下步骤：

步骤S201，端口层：对按开放端口区分的不同组IP发送不同的服务探测数据包，将特征匹配的IP进入下一层，并按照相同的服务进行重新分组；

步骤S202，服务层：对按服务区分的不同组IP进行banner与特征的匹配检测，将特征匹配的IP进入下一层，并按照相同banner进行重新分组；

步骤S203，数据层：对按banner区分的不同组IP进行数据包字段与特征的匹配；将特征匹配的IP生成CPE名；

在进行逐层识别时，是依据已知的智能设备特征，通过验证特征与每次获得的数据的匹配程度来决定每个目标设备的探测是否推进到下一层级，并且在层级推进的过程中，重新确定分组，将不存活的设备筛除，剩下的先根据开放端口的不同来分组，对于不同端口的分组，发送对应的服务探测数据包，根据特征是否匹配决定是否进入下一层，然后进行重新分组，相同服务的IP进入新的分组中，由于大部分TCP服务都具有其特殊的banner，根据探测数据中banner与特征的匹配程度更新分组，通常来说，在该层探测中，已经有部分设备的类型可被完全确定，若该设备的特征已经被完全探测出，则停止对该设备的继续推进，直接生成CPE名即可，经过对IP服务层的探测后，依据数据包字段的特征与待测IP的特征进行再次匹配，从而将设备的CPE名生成，采用分组探测和层级递进的策略提高了端口扫描的效率，可成倍的缩短每个IP的每个端口的探测时间，从而从整体上提高了设备探测效率。

进一步的，筛除网络空间中不存活的IP，将剩余IP按其开放端口分组的具体步骤包括：向网络空间中不同IP发送ICMP Echo请求数据包，将对ICMP Echo请求数据包不做响应的IP认定为非存活状态，与对ICMP Echo请求数据包做出响应的IP建立TCP连接，获取其开放端口信息并按开放端口进行分组，依据现有智能设备的安全防护情况，一般不存在智能设备本身阻塞ICMP Echo数据包的现象，因此采用ICMP Echo的请求数据包可便捷快速的进行设备探活，对于存活的智能设备，与其建立TCP连接，当TCP连接建立后，智能设备的开放端口信息也随之得到，依据开放端口的不同将待测IP进行分组处理，并进行层级探测识别。

进一步的，所述CPE名的描述格式为CPE:/h:<device>:<vendor>:<product>:<version>:<update>:<edition>:<language>，CPE是一种用于信息技术系统、软件和软件包的结构化命名机制，基于统一资源标识符URI的通用语法，CPE以标准化方式为软件应用程序、操作系统和硬件进行命名，常规的通用平台枚举名称CPE名是一个包含以下七个有序字段的统一资源定位符URL：cpe:/<p art>:<vendor>:<product>:<version>:<update>:<edition>:<language>，上述字段中，<part>字段不可为空且仅从a(applications，应用)、h(hardware platfor ms，硬件平台)和o(operating system，操作系统)中选择，为了更加适合智能设备探测结果的描述，在本CPE名中，删除不必要的<part>选项a和o，即<part>字段固定为h，同时加入字段<device>代表设备种类，利用CPE名对探测结果进行描述，能够比较清晰的反应出智能设备的种类和版本信息，根据与目标设备通信的数据包信息，可以提取出上节所述的智能设备特征；同时，利用这些特征，对探测过程进行修正，从而能够提取出更加精确的特征。

进一步的，还包括以下步骤：向已生成CPE名的设备进行验证性攻击，依据已知的漏洞数据来确认设备已经存在的安全漏洞，根据漏洞的探测结果生成安全风险报告，当系统完成对智能设备的探测识别后，对设备进行漏洞验证，依据已知的漏洞信息快速检测出智能设备是否包含安全漏洞，并且对新探测到的漏洞进行存储记录，不断的扩展已知的漏洞数据，从而提高扫描出的安全威胁的范围。

一种执行智能设备网络空间的探测和安全扫描方法的系统，包括：

探活模块1，对网络空间中的不同IP的设备进行探活，筛除不存活的IP，将剩余IP按其开放端口分组；

识别模块2；对由探活模块1筛分的若干组IP进行逐层识别，直至将每个IP都生成对应的CPE名；

反馈模块3；根据识别模块2生成的CPE名，生成IP与设备的对照列表，进行特征优化后反馈给识别模块2。

参照图3，本发明的智能设备网络空间的探测和安全扫描系统，通过探活模块1先对网络空间中不同IP的设备进行探活，对存活的IP进行分组处理，先探活再分组的方式相比传统直接检测IP开放端口的方式，减少了不必要的连接尝试，节省了网络资源，提高了探测效率，再由识别模块2对筛选出的IP进行逐层递进识别，在识别过程中，将每一层产生的中间数据作为智能设备特征分析的原始数据，并且在层级递进的过程中，可以不断更新分组，从而提高探测效率，通过识别模块2将每个IP识别出并生成对应的CPE名，依据生成的CPE名，对探测结果进行描述，能够清晰的反应出智能设备的种类和版本信息，然后制定IP与设备的对照列表，在不断更新分组的过程中，自然的将设备进行分类，相同类的设备存在一定的共性，提取其中的智能设备的特征，并将其扩充或优化已有的设备特征集，并通过反馈模块3反馈给识别模块2，提高识别模块2对IP识别的准确率和效率。

进一步的，如图4所示，还包括安全扫描模块4，所述安全扫描模块4可对生成CPE名的设备进行漏洞探测和验证，对已经生成CPE名的设备进行验证性的攻击，根据已知设备的漏洞信息来验证和识别生成CPE名的设备是否包含漏洞，并将信息反馈给用户，使用户知悉各个智能设备可能存在的风险。

进一步的，如图4所示，还包括智能设备漏洞库5，用于存储已知设备的安全漏洞并可以进行扩展，可将安全扫描模块4探测和验证出的新的安全漏洞收入其中，不断的丰富设备的漏洞信息，从而提高安全扫描模块4所能覆盖的安全威胁的范围。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本发明的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本发明难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本发明难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本发明的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本发明的具体实施例对本发明进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM))可以使用所讨论的实施例。

本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本发明的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种智能设备网络空间的探测和安全扫描方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的智能设备网络空间的探测和安全扫描方法，其特征在于，对筛分出的若干组IP进行逐层识别包括以下步骤：

3.根据权利要求1所述的智能设备网络空间的探测和安全扫描方法，其特征在于，筛除网络空间中不存活的IP，将剩余IP按其开放端口分组的具体步骤包括：向网络空间中不同IP发送ICMP Echo请求数据包，将对ICMP Echo请求数据包不做响应的IP认定为非存活状态，与对ICMP Echo请求数据包做出响应的IP建立TCP连接，获取其开放端口信息并按开放端口进行分组。

4.根据权利要求1所述的智能设备网络空间的探测和安全扫描方法，其特征在于，所述CPE名的描述格式为CPE:/h:<device>:<vendor>:<product>:<version>:<update>:<edition>:<language>。

5.根据权利要求1所述的智能设备网络空间的探测和安全扫描方法，其特征在于，还包括以下步骤：向已生成CPE名的设备进行验证性攻击，依据已知的漏洞数据来确认设备已经存在的安全漏洞，根据漏洞的探测结果生成安全风险报告。

6.一种执行权利要求1-5任一所述的智能设备网络空间的探测和安全扫描方法的系统，其特征在于，包括：

探活模块(1)，对网络空间中的不同IP的设备进行探活，筛除不存活的IP，将剩余IP按其开放端口分组；

识别模块(2)；对由探活模块(1)筛分的若干组IP进行逐层识别，直至将每个IP都生成对应的CPE名；

反馈模块(3)；根据识别模块(2)生成的CPE名，生成IP与设备的对照列表，进行特征优化后反馈给识别模块(2)。

7.根据权利要求6所述的智能设备网络空间的探测和安全扫描系统，其特征在于，还包括安全扫描模块(4)，所述安全扫描模块(4)可对生成CPE名的设备进行漏洞探测和验证。

8.根据权利要求7所述的智能设备网络空间的探测和安全扫描系统，其特征在于，还包括智能设备漏洞库(5)，用于存储已知设备的安全漏洞并可以进行扩展，可将安全扫描模块(4)探测和验证出的新的安全漏洞收入其中。