CN110324310A

CN110324310A - 网络资产指纹识别方法、系统及设备

Info

Publication number: CN110324310A
Application number: CN201910423990.2A
Authority: CN
Inventors: 刚占慧; 汪礼俊; 张洪; 赵慧; 杨安; 赵阳光; 鞠远; 孙立立; 黄海波; 杨杰; 赵凯丽; 朱丽娜; 周瑞坤; 张晓帆; 高羽茜; 陈皓; 李俊; 陈雪鸿
Original assignee: China Industrial Control Systems Cyber Emergency Response Team
Current assignee: China Industrial Control Systems Cyber Emergency Response Team
Priority date: 2019-05-21
Filing date: 2019-05-21
Publication date: 2019-10-11
Anticipated expiration: 2039-05-21
Also published as: CN110324310B

Abstract

本发明公开了一种网络资产指纹识别方法、系统及设备，所述方法包括：通过异步无状态扫描机制对目标IP段下的存活主机进行探测，将存活主机地址保存到资产扫描队列，对所述资产扫描队列下的存活主机进行资产识别任务分发；对预先存储的常见资产指纹数据设置初始的指纹命中率，调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别。

Description

网络资产指纹识别方法、系统及设备

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络资产指纹识别方法、系统及设备。

背景技术

随着网络技术的迅速发展，国家对网络安全的重视程度越来越高，接入互联网的主机数量以惊人的速度增长，而网络资产作为业务系统正常运行的基础，系统化的监管十分必要。据Gartner显示，目前全球只有不到25％的组织机构具有适当的IT资产管理机制，给网络资产带来了严重的安全隐患，如何有效的进行网络资产指纹识别和风险管理成为大多数企业和组织面临的巨大挑战。因此，如何全方位掌握开放端口、协议、域名、设备类型、型号、厂商、应用名称、版本、操作系统、WEB服务、应用组件、开发框架、脚本语言、CMS相关的网络资产信息，并基于识别的资产信息，了解网络空间资产中的漏洞风险防护是否有效，评估漏洞在识别的网络资产指纹库中的影响分布，帮助行业监管部门掌握资产安全现状并有效解决风险隐患。

如上所述，现有技术中存在如下的不足：

1.传统的资产探测技术往往依靠TCP三次握手机制，扫描速度受限制；

2.依赖人工使用漏洞扫描工具进行不定期的安全检查，缺乏自动化、标准化的手段；

3.网络资产监管不全面，难以在新漏洞爆发时快速评估受影响资产的分布与占比，无法及时、准确的对网络资产进行风险预警；

因此如何全面、及时、准确的识别资产指纹信息，发现最新安全漏洞、发布实时预警通报是现有技术亟待解决的问题。

发明内容

本发明实施例提供了一种网络资产指纹识别方法、系统及设备，用于解决现有联网系统和设备存在的资产监管不严，安全漏洞易攻难防、事件处置低效的问题。

本发明实施例提供一种网络资产指纹识别方法，包括：

通过异步无状态扫描机制对目标IP段下的存活主机进行探测，将存活主机地址保存到资产扫描队列，对所述资产扫描队列下的存活主机进行资产识别任务分发；

对预先存储的常见资产指纹数据设置初始的指纹命中率，调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别。

优选地，所述方法进一步包括：

在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新。

优选地，所述方法进一步包括：

将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配，获取存活主机的潜在风险漏洞；

通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证；

将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示。

优选地，通过异步无状态扫描机制对目标IP段下的存活主机进行探测具体包括：

根据用户设定的目标IP段、端口以及扫描方式，采用无状态请求的高速探测技术，由驱动程序直接发送数据包，绕过系统内核和TCP/IP协议栈对连接数量的限制，将请求与响应分开完成，并采用异步多线程机制，对目标IP段下的存活主机及开放端口情况进行探测。

优选地，对所述资产扫描队列下的存活主机进行资产识别任务分发具体包括：

采用任务分发调度策略，根据配置的存活主机探测方法、存活主机识别内容、存活主机开放端口参数和识别发现的存活主机数量进行资产识别任务的负载均衡和调配，对所述资产扫描队列下的存活主机进行资产识别任务分发。

优选地，在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新具体包括：

将常见资产指纹数据按照指纹类别、指纹重要性作为评定指标，设置初始指纹命中率；

依据所述初始指纹命中率及资产类别，设置各条路径的权重，其中，所述路径为存活主机与已有资产指纹匹配过程中的路径；

依据路径向量指纹被匹配到的特征次数、路径被访问次数以及路径的权重动态更新指纹命中率。

优选地，对预先存储的常见资产指纹数据设置初始的指纹命中率，调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别具体包括：

通过接收发送的TCP协议包应答内容及Banner信息，通过签名比对确定目标主机的应用名称及版本信息；

通过接收发送的TCP/UDP/ICMP应答数据包内容与固有的操作系统规则库对比，判定目标主机的操作系统类型；

通过解析探测响应信息，得到主机的服务信息、开启的服务、设备类型及域名、WEB服务响应头及完整的响应主体信息；

判定是否为WEB服务，若是则基于指纹规则特征库，采用关键词、正则和特征Hash的匹配方法，根据meta信息、header信息和session信息识别主机响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS，其中，所述指纹规则特征库具体包括：常见资产指纹数据、以及已知的端口、协议、响应信息按照MD5加密算法形成资产指纹特征；

根据所述指纹命中率选择最优的资产指纹信息；

将识别到的最优的资产指纹信息存入数据库，其中，所述资产指纹信息具体包括：开放的端口、协议、应用名称、版本、操作系统类型，WEB服务响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS及完整的响应主体信息。

优选地，将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配，获取存活主机的潜在风险漏洞具体包括：

采用基于规则匹配的技术，将资产指纹数据与网络安全漏洞库进行内容匹配，发现可能存在的安全漏洞，并自动查找确认安全漏洞是否存在公开的编号和已有利用方式，其中，所述网络安全漏洞库具体包括：公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验；

对匹配到的安全漏洞的信息进行存储。

优选地，通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证具体包括：

通过对漏洞扫描脚本、漏洞验证程序、攻击载荷和漏洞挖掘工具的增加、删除和修改操作配置，构建通用的风险验证环境；

在所述风险验证环境下，采用相应的验证方法对Structs2远程代码执行漏洞、Apache Tomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞、以及数据信息泄露漏洞进行真实性验证；

对存在的安全漏洞发布风险预警通报；

将漏洞验证结果进行存储，并进行缓存。

优选地，将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示具体包括：

将通过预警通报得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析，评估该漏洞对识别资产指纹的主机分布及危害程度，形成资产安全分析态势报告后邮件发送给相关负责人，其中，所述资产安全分析态势报告具体包括：风险信息外，主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。

本发明实施例还提供一种网络资产指纹识别系统，包括：

探测模块，用于通过异步无状态扫描机制对目标IP段下的存活主机进行探测；

任务分发模块，用于将存活主机地址保存到资产扫描队列，对所述资产扫描队列下的存活主机进行资产识别任务分发；

识别模块，用于对预先存储的常见资产指纹数据设置初始的指纹命中率，调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别。

优选地，所述系统进一步包括：

更新模块，用于在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新；

匹配模块，用于将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配，获取存活主机的潜在风险漏洞；

验证模块，用于通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证；

报告模块，用于将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示。

优选地，所述探测模块具体用于：根据用户设定的目标IP段、端口以及扫描方式，采用无状态请求的高速探测技术，由驱动程序直接发送数据包，绕过系统内核和TCP/IP协议栈对连接数量的限制，将请求与响应分开完成，并采用异步多线程机制，对目标IP段下的存活主机及开放端口情况进行探测；

所述任务分发模块具体用于：采用任务分发调度策略，根据配置的存活主机探测方法、存活主机识别内容、存活主机开放端口参数和识别发现的存活主机数量进行资产识别任务的负载均衡和调配，对所述资产扫描队列下的存活主机进行资产识别任务分发；

设置更新模块具体用于：将常见资产指纹数据按照指纹类别、指纹重要性作为评定指标，设置初始指纹命中率；依据所述初始指纹命中率及资产类别，设置各条路径的权重，其中，所述路径为存活主机与已有资产指纹匹配过程中的路径；依据路径向量指纹被匹配到的特征次数、路径被访问次数以及路径的权重动态更新指纹命中率。

所述识别模块具体用于：通过接收发送的TCP协议包应答内容及Banner信息，通过签名比对确定目标主机的应用名称及版本信息；通过接收发送的TCP/UDP/ICMP应答数据包内容与固有的操作系统规则库对比，判定目标主机的操作系统类型；通过解析探测响应信息，得到主机的服务信息、开启的服务、设备类型及域名、WEB服务响应头及完整的响应主体信息；判定是否为WEB服务，若是则基于指纹规则特征库，采用关键词、正则和特征Hash的匹配方法，根据meta信息、header信息和session信息识别主机响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS，其中，所述指纹规则特征库具体包括：常见资产指纹数据、以及已知的端口、协议、响应信息按照MD5加密算法形成资产指纹特征；根据所述指纹命中率选择最优的资产指纹信息；将识别到的最优的资产指纹信息存入数据库，其中，所述资产指纹信息具体包括：开放的端口、协议、应用名称、版本、操作系统类型，WEB服务响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS及完整的响应主体信息。

优选地，所述匹配模块具体用于：采用基于规则匹配的技术，将资产指纹数据与网络安全漏洞库进行内容匹配，发现可能存在的安全漏洞，并自动查找确认安全漏洞是否存在公开的编号和已有利用方式，其中，所述网络安全漏洞库具体包括：公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验；对匹配到的安全漏洞的信息进行存储；

所述验证模块具体用于：通过对漏洞扫描脚本、漏洞验证程序、攻击载荷和漏洞挖掘工具的增加、删除和修改操作配置，构建通用的风险验证环境；在所述风险验证环境下，采用相应的验证方法对Structs2远程代码执行漏洞、Apache Tomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞、以及数据信息泄露漏洞进行真实性验证；对存在的安全漏洞发布风险预警通报；将漏洞验证结果进行存储，并进行缓存。

所述报告模块具体用于：将通过预警通报得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析，评估该漏洞对识别资产指纹的主机分布及危害程度，形成资产安全分析态势报告后邮件发送给相关负责人，其中，所述资产安全分析态势报告具体包括：风险信息外，主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。

本发明实施例还提供一种网络资产指纹识别设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述方法的步骤。

采用本发明实施例，本发明通过对全网海量资产的精细化识别，结合规则库、漏洞库、插件式扫描程序和挖掘工具对资产脆弱性进行评估和验证，建立积极的网络安全防御体系，帮助行业监管部门快速掌握全网资产安全现状，为安全机构及人员在漏洞大规模扩散前做好修补和防护，最大程度减少安全风险带来的隐患。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是本发明实施例的网络资产指纹识别方法的详细处理流程图；

图2是本发明实施例的网络资产指纹识别系统的示意图。

具体实施方式

本发明实施例涉及一种网络资产指纹识别和风险预警的方法、系统及设备，本发明实施例的技术方案通过异步无状态扫描机制探测网络空间中的存活主机；通过任务分发调度策略识别存活主机的资产指纹信息并更新指纹权重；采用基于指纹特征规则匹配的方式发现主机资产潜在风险；执行自定义漏洞扫描程序和漏洞挖掘工具对潜在风险进行验证，发布风险预警通报。

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

方法实施例

根据本发明实施例，提供了一种网络资产指纹识别方法，方法具体包括：

步骤1，通过异步无状态扫描机制对目标IP段下的存活主机进行探测，将存活主机地址保存到资产扫描队列，对资产扫描队列下的存活主机进行资产识别任务分发；步骤1具体包括：

采用任务分发调度策略，根据配置的存活主机探测方法、存活主机识别内容、存活主机开放端口参数和识别发现的存活主机数量进行资产识别任务的负载均衡和调配，对资产扫描队列下的存活主机进行资产识别任务分发。

步骤2，对预先存储的常见资产指纹数据设置初始的指纹命中率，调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别。步骤2具体包括：

根据所述指纹命中率选择最优的资产指纹信息；其中，所述指纹命中率是指选择所述资产指纹的概率或权重。

在本发明实施例中，执行了上述操作之后，还可以执行如下操作：

步骤3，在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新；步骤3具体包括：

依据初始指纹命中率及资产类别，设置各条路径的权重，其中，路径为存活主机与已有资产指纹匹配过程中的路径；

步骤4，将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配，获取存活主机的潜在风险漏洞；步骤4具体包括：

采用基于规则匹配的技术，将资产指纹数据与网络安全漏洞库进行内容匹配，发现可能存在的安全漏洞，并自动查找确认安全漏洞是否存在公开的编号和已有利用方式，其中，网络安全漏洞库具体包括：公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验；

对匹配到的安全漏洞的信息进行存储。

步骤5，通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证；步骤5具体包括：

在风险验证环境下，采用相应的验证方法对Structs2远程代码执行漏洞、ApacheTomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞、以及数据信息泄露漏洞进行真实性验证；

对存在的安全漏洞发布风险预警通报；

将漏洞验证结果进行存储，并使进行缓存。

步骤6，将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示。步骤6具体包括：

将通过预警通报得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析，评估该漏洞对识别资产指纹的主机分布及危害程度，形成资产安全分析态势报告后邮件发送给相关负责人，其中，资产安全分析态势报告具体包括：风险信息外，主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。

综上，从上述技术方案可以看出，本发明实施例：

1)对录入的资产IP段采用异步无状态请求的方式探测主机存活性，发现存活主机。

2)主动探测与指纹规则特征匹配的方法，配合任务分发调度策略识别大规模存活主机的资产指纹信息。

3)资产指纹权重更新策略，依据匹配到的指纹次数、访问次数、路径权重更新资产指纹的命中率。

4)基于规则的特征匹配策略，对探测的资产指纹信息和对端口、协议、响应信息执行MD5加密算法形成资产指纹特征规则库，按照关键词，正则和特征Hash方式完成匹配，完成存活主机网络资产指纹的探测。

5)结合探测的资产指纹信息和网络安全漏洞库信息，挖掘主机可能存在的风险。

6)自定义的插件式漏洞扫描机制与漏洞挖掘工具结合对风险主机信息进行漏洞验证与风险预警通报。

7)依据端口、操作系统、产品、版本、服务器资产指纹内容，提取漏洞特征后与大规模资产数据库关联、分析，形成安全态势分析报告，邮件通知相关负责人。

本发明实施例公开的一种网络资产探测和风险预警的方法，通过采用异步无状态高速探测技术、主动探测技术和规则特征匹配的识别技术实现对网络空间中海量IP进行主机存活性探测和资产指纹识别的全面掌握，并结合已有资产指纹库，实现精细化资产识别，为后续的渗透测试、漏洞挖掘和资产态势研判提供有利的数据支撑。

同时，该方法提出的自定义插件式漏洞风险挖掘和验证技术，确保了漏洞检测与验证能力可与最新漏洞同步更新，降低了应急响应时间及人力成本，为及时修复信息系统的安全问题提供了有利条件，通过将资产指纹信息与网络安全漏洞库进行关联比对分析，产出安全分析报告，帮助行业监管机构全面感知全网安全态势，确保了在漏洞扩散前督促安全人员做好修补和防护，降低因漏洞风险造成的安全隐患，提升网络信息安全风险发现能力和防范能力。

以下结合附图，对本发明实施例的上述技术方案进行举例说明。

图1是本发明实施的网络资产指纹识别方法的详细处理流程图，如图1所示，具体包括如下处理：

1)步骤10，通过异步无状态扫描机制探测目标IP段下的主机存活情况，发现存活主机；

根据用户设定的目标地址段、端口、扫描方式等参数，采用无状态请求的高速探测技术，由驱动程序直接发送数据包，绕过系统内核和TCP/IP协议栈对连接数量的限制，将请求与响应分开完成，采用异步多线程机制，最高效的利用网络带宽，减少由于线程同步造成的时间损耗，完成目标IP地址段中存活主机及开放端口情况的判断，对于发现的存活主机，执行步骤20及后续步骤，否则跳过当前主机进入下一个主机存活性探测。

2)步骤20，将存活主机地址存入资产扫描队列，对存活主机进行资产识别任务分发；

采用任务分发调度策略，根据配置的探测方法、识别内容、检测开放端口参数和识别发现的存活主机数量进行任务的负载均衡和调配，保证每个下级扫描引擎都能合理的执行识别与检测任务。

3)步骤30，设定初始指纹命中率(权重)，按照路径寻优策略自动更新指纹权重；

具体步骤包括：

步骤301，初始化指纹命中率，将近2000种常见资产指纹数据按照指纹类别、指纹重要性作为评定指标，设置资产指纹初始命中率；

步骤302，依据指纹权重及资产类别，设置各条路径的权重；新主机与已有资产指纹匹配过程中的路径.

步骤303，识别主机资产指纹过程中依据路径向量指纹被匹配到的特征次数、路径被访问次数以及边向量权重动态更新指纹命中率，该机制提高了指纹识别的准确率，丰富了资产指纹特征规则库的准确性。

4)步骤40，资产探测引擎通过主动探测与指纹规则特征库匹配结合的识别技术，对目标主机的资产指纹识别；

将包含的300种已知的端口、协议、响应信息按照MD5加密算法形成资产指纹特征，作为进行指纹比对的规则特征样本库，比对按照关键词、正则和特征Hash进行匹配，具体包括如下步骤：

步骤401，通过接收发送的TCP协议包应答内容及Banner信息，通过签名比对确定目标主机的应用名称及版本信息；

步骤402，通过接收发送的TCP/UDP/ICMP应答数据包内容与固有的操作系统规则库对比，判定目标主机的操作系统类型；

步骤403，通过解析探测响应信息，得到主机的服务信息、开启的服务、设备类型及域名,WEB服务响应头及完整的响应主体信息。

步骤404，判定是否为WEB服务，若是则进一步根据meta信息、header信息、session的一些信息识别主机响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS。

步骤405，将识别到的资产指纹信息，包括开放的端口、协议、应用名称、版本、操作系统类型，WEB服务响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS及完整的响应主体信息存入数据库。

5)步骤50，结合识别的资产信息与网络安全漏洞库制定匹配规则，记录主机资产潜在风险漏洞；

步骤501，采用基于规则匹配的技术，根据公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验，形成一套网络安全漏洞库，以此为基准构建漏洞库匹配规则；

步骤502，将步骤30得到的资产指纹数据与该漏洞库进行内容匹配，发现可能存在的安全漏洞，并自动查找确认漏洞是否存在公开的编号和已有利用方式，公开编号可涉及CVE、CNVD、CNNVD、NVD、ICSA来源；

步骤503，对匹配到的漏洞风险信息进行存储，存储信息至少包含主机IP地址、端口、协议、域名、软件服务类型、版本号、漏洞名称、类型、编号、公开时间、危害级别、影响范围、内容描述和解决方案信息。

6)步骤60，利用自定义的漏洞扫描机制与漏洞挖掘工具对潜在的资产漏洞进行验证与风险预警通报；

该验证机制主要用于弥补步骤50规则匹配技术的准确性问题，具体包含以下步骤：

步骤601，通过对漏洞扫描脚本(PoC)、漏洞验证程序(Exp)、攻击载荷和漏洞挖掘工具的增加、删除和修改操作配置，构建通用的风险验证环境；

步骤602，具体的漏洞验证内容至少包含：Structs2远程代码执行漏洞、ApacheTomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞(Mysql、SSH、Redis、Kibana)、数据信息泄露漏洞；

步骤603，对网络资产风险信息真实性进行核验后，对存在的安全漏洞发布风险预警通报；

步骤604，将漏洞验证结果进行存储，并使用Elasticsearch和Redis进行缓存；

7)步骤70，将验证的漏洞风险信息与用户资产数据关联分析形成资产安全态势报告，通知相关负责人。

将步骤60预警得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析，评估该漏洞对识别资产指纹的主机分布及危害程度，形成资产安全分析态势报告后邮件发送给相关负责人；

态势报告中除包含步骤503中的风险信息外，还应包括主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。

本发明实施例可以对目标系统进行扫描和信息收集，当攻击者准备对目标系统进行入侵时，一般先要通过漏洞扫描工具收集目标主机或目标网络的详细信息，从中发现系统的漏洞或脆弱点，根据漏洞的特性选择相应的入侵方法进行攻击。为了及时对黑客的攻击进行防范，网络安全管理人员可以利用漏洞扫描工具提前进行系统环境的信息收集和分析，发现网络或系统中有可能存在的安全问题，及时采取相应的防范措施，使系统免受黑客的攻击。

本发明实施例有利于对漏洞和计算机系统脆弱性的发掘以增强其防范能力，从而维护计算机系统和网络系统的安全，防止信息泄漏，降低、减少并消除经济政治等方面的风险。网络安全管理人员利用漏洞扫描工具提前进行系统环境的信息收集和分析，发现网络或系统中有可能存在的安全问题，及时采取相应的防范措施，使系统免受黑客的攻击。

系统实施例

根据本发明的实施例，提供了一种网络资产指纹识别系统，如图2所示，根据本发明实施例的网络资产指纹识别系统具体包括：

探测模块200，用于通过异步无状态扫描机制对目标IP段下的存活主机进行探测；探测模块200具体用于：根据用户设定的目标IP段、端口以及扫描方式，采用无状态请求的高速探测技术，由驱动程序直接发送数据包，绕过系统内核和TCP/IP协议栈对连接数量的限制，将请求与响应分开完成，并采用异步多线程机制，对目标IP段下的存活主机及开放端口情况进行探测；

任务分发模块210，用于将存活主机地址保存到资产扫描队列，对资产扫描队列下的存活主机进行资产识别任务分发；任务分发模块210具体用于：采用任务分发调度策略，根据配置的存活主机探测方法、存活主机识别内容、存活主机开放端口参数和识别发现的存活主机数量进行资产识别任务的负载均衡和调配，对资产扫描队列下的存活主机进行资产识别任务分发；

优选地，本发明实施例还可以包括更新模块，用于在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新；更新模块具体用于：将常见资产指纹数据按照指纹类别、指纹重要性作为评定指标，设置初始指纹命中率；依据初始指纹命中率及资产类别，设置各条路径的权重，其中，路径为存活主机与已有资产指纹匹配过程中的路径；依据路径向量指纹被匹配到的特征次数、路径被访问次数以及路径的权重动态更新指纹命中率。

识别模块220，用于对预先存储的常见资产指纹数据设置初始的指纹命中率，调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别。识别模块220具体用于：通过接收发送的TCP协议包应答内容及Banner信息，通过签名比对确定目标主机的应用名称及版本信息；通过接收发送的TCP/UDP/ICMP应答数据包内容与固有的操作系统规则库对比，判定目标主机的操作系统类型；通过解析探测响应信息，得到主机的服务信息、开启的服务、设备类型及域名、WEB服务响应头及完整的响应主体信息；判定是否为WEB服务，若是则基于指纹规则特征库，采用关键词、正则和特征Hash的匹配方法，根据meta信息、header信息和session信息识别主机响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS，其中，所述指纹规则特征库具体包括：常见资产指纹数据、以及已知的端口、协议、响应信息按照MD5加密算法形成资产指纹特征；根据所述指纹命中率选择最优的资产指纹信息；将识别到的最优的资产指纹信息存入数据库，其中，所述资产指纹信息具体包括：开放的端口、协议、应用名称、版本、操作系统类型，WEB服务响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS及完整的响应主体信息。

优选地，在本发明实施例中，上述系统进一步包括：

匹配模块，用于将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配，获取存活主机的潜在风险漏洞；匹配模块具体用于：采用基于规则匹配的技术，将资产指纹数据与网络安全漏洞库进行内容匹配，发现可能存在的安全漏洞，并自动查找确认安全漏洞是否存在公开的编号和已有利用方式，其中，网络安全漏洞库具体包括：公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验；对匹配到的安全漏洞的信息进行存储；

验证模块，用于通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证；验证模块具体用于：通过对漏洞扫描脚本、漏洞验证程序、攻击载荷和漏洞挖掘工具的增加、删除和修改操作配置，构建通用的风险验证环境；在风险验证环境下，采用相应的验证方法对Structs2远程代码执行漏洞、Apache Tomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞、以及数据信息泄露漏洞进行真实性验证；对存在的安全漏洞发布风险预警通报；将漏洞验证结果进行存储，并使进行缓存。

报告模块，用于将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示。报告模块具体用于：将通过预警通报得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析，评估该漏洞对识别资产指纹的主机分布及危害程度，形成资产安全分析态势报告后邮件发送给相关负责人，其中，资产安全分析态势报告具体包括：风险信息外，主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。

装置实施例

本发明实施例提供一种网络资产指纹识别设备，包括：存储器1010、处理器及存储在存储器上并可在处理器上运行的计算机程序，计算机程序被处理器执行时实现如下方法步骤：

对匹配到的安全漏洞的信息进行存储。

对存在的安全漏洞发布风险预警通报；

将漏洞验证结果进行存储，并使进行缓存。

综上，本发明实施例提出一种网络资产指纹识别和风险预警的方法，实现对网络资产指纹信息的快速、准确识别，完成风险预警通报，为安全人员及时修补、预防安全风险提供基础数据支撑，为行业监管机构掌握全网安全态势提供有利依据。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种网络资产指纹识别方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，所述方法进一步包括：

3.如权利要求1所述的方法，其特征在于，所述方法进一步包括：

4.如权利要求1所述的方法，其特征在于，通过异步无状态扫描机制对目标IP段下的存活主机进行探测具体包括：

5.如权利要求1所述的方法，其特征在于，对所述资产扫描队列下的存活主机进行资产识别任务分发具体包括：

6.如权利要求2所述的方法，其特征在于，在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新具体包括：

7.如权利要求1所述的方法，其特征在于，对预先存储的常见资产指纹数据设置初始的指纹命中率，调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别具体包括：

根据所述指纹命中率选择最优的资产指纹信息；

8.如权利要求3所述的方法，其特征在于，将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配，获取存活主机的潜在风险漏洞具体包括：

对匹配到的安全漏洞的信息进行存储。

9.如权利要求3所述的方法，其特征在于，通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证具体包括：

在所述风险验证环境下，采用相应的验证方法对Structs2远程代码执行漏洞、ApacheTomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞、以及数据信息泄露漏洞进行真实性验证；

对存在的安全漏洞发布风险预警通报；

将漏洞验证结果进行存储，并进行缓存。

10.如权利要求3所述的方法，其特征在于，将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示具体包括：

11.一种网络资产指纹识别系统，其特征在于，包括：

12.如权利要求11所述的系统，其特征在于，所述系统进一步包括：

13.如权利要求11所述的系统，其特征在于，

所述探测模块具体用于：根据用户设定的目标IP段、端口以及扫描方式，采用无状态请求的高速探测技术，由驱动程序直接发送数据包，绕过系统内核和TCP/IP协议栈对连接数量的限制，将请求与响应分开完成，并采用异步多线程机制，对目标IP段下的存活主机及开放端口情况进行探测；

14.如权利要求12所述的系统，其特征在于，

所述匹配模块具体用于：采用基于规则匹配的技术，将资产指纹数据与网络安全漏洞库进行内容匹配，发现可能存在的安全漏洞，并自动查找确认安全漏洞是否存在公开的编号和已有利用方式，其中，所述网络安全漏洞库具体包括：公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验；对匹配到的安全漏洞的信息进行存储；

15.一种网络资产指纹识别设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至10中任一项所述的方法。