CN110324310B - 网络资产指纹识别方法、系统及设备 - Google Patents
网络资产指纹识别方法、系统及设备 Download PDFInfo
- Publication number
- CN110324310B CN110324310B CN201910423990.2A CN201910423990A CN110324310B CN 110324310 B CN110324310 B CN 110324310B CN 201910423990 A CN201910423990 A CN 201910423990A CN 110324310 B CN110324310 B CN 110324310B
- Authority
- CN
- China
- Prior art keywords
- asset
- fingerprint
- vulnerability
- information
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明公开了一种网络资产指纹识别方法、系统及设备,所述方法包括:通过异步无状态扫描机制对目标IP段下的存活主机进行探测,将存活主机地址保存到资产扫描队列,对所述资产扫描队列下的存活主机进行资产识别任务分发;对预先存储的常见资产指纹数据设置初始的指纹命中率,调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络资产指纹识别方法、系统及设备。
背景技术
随着网络技术的迅速发展,国家对网络安全的重视程度越来越高,接入互联网的主机数量以惊人的速度增长,而网络资产作为业务系统正常运行的基础,系统化的监管十分必要。据Gartner显示,目前全球只有不到25%的组织机构具有适当的IT资产管理机制,给网络资产带来了严重的安全隐患,如何有效的进行网络资产指纹识别和风险管理成为大多数企业和组织面临的巨大挑战。因此,如何全方位掌握开放端口、协议、域名、设备类型、型号、厂商、应用名称、版本、操作系统、WEB服务、应用组件、开发框架、脚本语言、CMS相关的网络资产信息,并基于识别的资产信息,了解网络空间资产中的漏洞风险防护是否有效,评估漏洞在识别的网络资产指纹库中的影响分布,帮助行业监管部门掌握资产安全现状并有效解决风险隐患。
如上所述,现有技术中存在如下的不足:
1.传统的资产探测技术往往依靠TCP三次握手机制,扫描速度受限制;
2.依赖人工使用漏洞扫描工具进行不定期的安全检查,缺乏自动化、标准化的手段;
3.网络资产监管不全面,难以在新漏洞爆发时快速评估受影响资产的分布与占比,无法及时、准确的对网络资产进行风险预警;
因此如何全面、及时、准确的识别资产指纹信息,发现最新安全漏洞、发布实时预警通报是现有技术亟待解决的问题。
发明内容
本发明实施例提供了一种网络资产指纹识别方法、系统及设备,用于解决现有联网系统和设备存在的资产监管不严,安全漏洞易攻难防、事件处置低效的问题。
本发明实施例提供一种网络资产指纹识别方法,包括:
通过异步无状态扫描机制对目标IP段下的存活主机进行探测,将存活主机地址保存到资产扫描队列,对所述资产扫描队列下的存活主机进行资产识别任务分发;
对预先存储的常见资产指纹数据设置初始的指纹命中率,调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别。
优选地,所述方法进一步包括:
在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新。
优选地,所述方法进一步包括:
将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配,获取存活主机的潜在风险漏洞;
通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证;
将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示。
优选地,通过异步无状态扫描机制对目标IP段下的存活主机进行探测具体包括:
根据用户设定的目标IP段、端口以及扫描方式,采用无状态请求的高速探测技术,由驱动程序直接发送数据包,绕过系统内核和TCP/IP协议栈对连接数量的限制,将请求与响应分开完成,并采用异步多线程机制,对目标IP段下的存活主机及开放端口情况进行探测。
优选地,对所述资产扫描队列下的存活主机进行资产识别任务分发具体包括:
采用任务分发调度策略,根据配置的存活主机探测方法、存活主机识别内容、存活主机开放端口参数和识别发现的存活主机数量进行资产识别任务的负载均衡和调配,对所述资产扫描队列下的存活主机进行资产识别任务分发。
优选地,在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新具体包括:
将常见资产指纹数据按照指纹类别、指纹重要性作为评定指标,设置初始指纹命中率;
依据所述初始指纹命中率及资产类别,设置各条路径的权重,其中,所述路径为存活主机与已有资产指纹匹配过程中的路径;
依据路径向量指纹被匹配到的特征次数、路径被访问次数以及路径的权重动态更新指纹命中率。
优选地,对预先存储的常见资产指纹数据设置初始的指纹命中率,调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别具体包括:
通过接收发送的TCP协议包应答内容及Banner信息,通过签名比对确定目标主机的应用名称及版本信息;
通过接收发送的TCP/UDP/ICMP应答数据包内容与固有的操作系统规则库对比,判定目标主机的操作系统类型;
通过解析探测响应信息,得到主机的服务信息、开启的服务、设备类型及域名、WEB服务响应头及完整的响应主体信息;
判定是否为WEB服务,若是则基于指纹规则特征库,采用关键词、正则和特征Hash的匹配方法,根据meta信息、header信息和session信息识别主机响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS,其中,所述指纹规则特征库具体包括:常见资产指纹数据、以及已知的端口、协议、响应信息按照MD5加密算法形成资产指纹特征;
根据所述指纹命中率选择最优的资产指纹信息;
将识别到的最优的资产指纹信息存入数据库,其中,所述资产指纹信息具体包括:开放的端口、协议、应用名称、版本、操作系统类型,WEB服务响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS及完整的响应主体信息。
优选地,将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配,获取存活主机的潜在风险漏洞具体包括:
采用基于规则匹配的技术,将资产指纹数据与网络安全漏洞库进行内容匹配,发现可能存在的安全漏洞,并自动查找确认安全漏洞是否存在公开的编号和已有利用方式,其中,所述网络安全漏洞库具体包括:公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验;
对匹配到的安全漏洞的信息进行存储。
优选地,通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证具体包括:
通过对漏洞扫描脚本、漏洞验证程序、攻击载荷和漏洞挖掘工具的增加、删除和修改操作配置,构建通用的风险验证环境;
在所述风险验证环境下,采用相应的验证方法对Structs2远程代码执行漏洞、Apache Tomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞、以及数据信息泄露漏洞进行真实性验证;
对存在的安全漏洞发布风险预警通报;
将漏洞验证结果进行存储,并进行缓存。
优选地,将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示具体包括:
将通过预警通报得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析,评估该漏洞对识别资产指纹的主机分布及危害程度,形成资产安全分析态势报告后邮件发送给相关负责人,其中,所述资产安全分析态势报告具体包括:风险信息外,主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。
本发明实施例还提供一种网络资产指纹识别系统,包括:
探测模块,用于通过异步无状态扫描机制对目标IP段下的存活主机进行探测;
任务分发模块,用于将存活主机地址保存到资产扫描队列,对所述资产扫描队列下的存活主机进行资产识别任务分发;
识别模块,用于对预先存储的常见资产指纹数据设置初始的指纹命中率,调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别。
优选地,所述系统进一步包括:
更新模块,用于在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新;
匹配模块,用于将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配,获取存活主机的潜在风险漏洞;
验证模块,用于通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证;
报告模块,用于将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示。
优选地,所述探测模块具体用于:根据用户设定的目标IP段、端口以及扫描方式,采用无状态请求的高速探测技术,由驱动程序直接发送数据包,绕过系统内核和TCP/IP协议栈对连接数量的限制,将请求与响应分开完成,并采用异步多线程机制,对目标IP段下的存活主机及开放端口情况进行探测;
所述任务分发模块具体用于:采用任务分发调度策略,根据配置的存活主机探测方法、存活主机识别内容、存活主机开放端口参数和识别发现的存活主机数量进行资产识别任务的负载均衡和调配,对所述资产扫描队列下的存活主机进行资产识别任务分发;
设置更新模块具体用于:将常见资产指纹数据按照指纹类别、指纹重要性作为评定指标,设置初始指纹命中率;依据所述初始指纹命中率及资产类别,设置各条路径的权重,其中,所述路径为存活主机与已有资产指纹匹配过程中的路径;依据路径向量指纹被匹配到的特征次数、路径被访问次数以及路径的权重动态更新指纹命中率。
所述识别模块具体用于:通过接收发送的TCP协议包应答内容及Banner信息,通过签名比对确定目标主机的应用名称及版本信息;通过接收发送的TCP/UDP/ICMP应答数据包内容与固有的操作系统规则库对比,判定目标主机的操作系统类型;通过解析探测响应信息,得到主机的服务信息、开启的服务、设备类型及域名、WEB服务响应头及完整的响应主体信息;判定是否为WEB服务,若是则基于指纹规则特征库,采用关键词、正则和特征Hash的匹配方法,根据meta信息、header信息和session信息识别主机响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS,其中,所述指纹规则特征库具体包括:常见资产指纹数据、以及已知的端口、协议、响应信息按照MD5加密算法形成资产指纹特征;根据所述指纹命中率选择最优的资产指纹信息;将识别到的最优的资产指纹信息存入数据库,其中,所述资产指纹信息具体包括:开放的端口、协议、应用名称、版本、操作系统类型,WEB服务响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS及完整的响应主体信息。
优选地,所述匹配模块具体用于:采用基于规则匹配的技术,将资产指纹数据与网络安全漏洞库进行内容匹配,发现可能存在的安全漏洞,并自动查找确认安全漏洞是否存在公开的编号和已有利用方式,其中,所述网络安全漏洞库具体包括:公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验;对匹配到的安全漏洞的信息进行存储;
所述验证模块具体用于:通过对漏洞扫描脚本、漏洞验证程序、攻击载荷和漏洞挖掘工具的增加、删除和修改操作配置,构建通用的风险验证环境;在所述风险验证环境下,采用相应的验证方法对Structs2远程代码执行漏洞、Apache Tomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞、以及数据信息泄露漏洞进行真实性验证;对存在的安全漏洞发布风险预警通报;将漏洞验证结果进行存储,并进行缓存。
所述报告模块具体用于:将通过预警通报得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析,评估该漏洞对识别资产指纹的主机分布及危害程度,形成资产安全分析态势报告后邮件发送给相关负责人,其中,所述资产安全分析态势报告具体包括:风险信息外,主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。
本发明实施例还提供一种网络资产指纹识别设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述方法的步骤。
采用本发明实施例,本发明通过对全网海量资产的精细化识别,结合规则库、漏洞库、插件式扫描程序和挖掘工具对资产脆弱性进行评估和验证,建立积极的网络安全防御体系,帮助行业监管部门快速掌握全网资产安全现状,为安全机构及人员在漏洞大规模扩散前做好修补和防护,最大程度减少安全风险带来的隐患。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本发明实施例的网络资产指纹识别方法的详细处理流程图;
图2是本发明实施例的网络资产指纹识别系统的示意图。
具体实施方式
本发明实施例涉及一种网络资产指纹识别和风险预警的方法、系统及设备,本发明实施例的技术方案通过异步无状态扫描机制探测网络空间中的存活主机;通过任务分发调度策略识别存活主机的资产指纹信息并更新指纹权重;采用基于指纹特征规则匹配的方式发现主机资产潜在风险;执行自定义漏洞扫描程序和漏洞挖掘工具对潜在风险进行验证,发布风险预警通报。
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
方法实施例
根据本发明实施例,提供了一种网络资产指纹识别方法,方法具体包括:
步骤1,通过异步无状态扫描机制对目标IP段下的存活主机进行探测,将存活主机地址保存到资产扫描队列,对资产扫描队列下的存活主机进行资产识别任务分发;步骤1具体包括:
根据用户设定的目标IP段、端口以及扫描方式,采用无状态请求的高速探测技术,由驱动程序直接发送数据包,绕过系统内核和TCP/IP协议栈对连接数量的限制,将请求与响应分开完成,并采用异步多线程机制,对目标IP段下的存活主机及开放端口情况进行探测。
采用任务分发调度策略,根据配置的存活主机探测方法、存活主机识别内容、存活主机开放端口参数和识别发现的存活主机数量进行资产识别任务的负载均衡和调配,对资产扫描队列下的存活主机进行资产识别任务分发。
步骤2,对预先存储的常见资产指纹数据设置初始的指纹命中率,调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别。步骤2具体包括:
通过接收发送的TCP协议包应答内容及Banner信息,通过签名比对确定目标主机的应用名称及版本信息;
通过接收发送的TCP/UDP/ICMP应答数据包内容与固有的操作系统规则库对比,判定目标主机的操作系统类型;
通过解析探测响应信息,得到主机的服务信息、开启的服务、设备类型及域名、WEB服务响应头及完整的响应主体信息;
判定是否为WEB服务,若是则基于指纹规则特征库,采用关键词、正则和特征Hash的匹配方法,根据meta信息、header信息和session信息识别主机响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS,其中,所述指纹规则特征库具体包括:常见资产指纹数据、以及已知的端口、协议、响应信息按照MD5加密算法形成资产指纹特征;
根据所述指纹命中率选择最优的资产指纹信息;其中,所述指纹命中率是指选择所述资产指纹的概率或权重。
将识别到的最优的资产指纹信息存入数据库,其中,所述资产指纹信息具体包括:开放的端口、协议、应用名称、版本、操作系统类型,WEB服务响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS及完整的响应主体信息。
在本发明实施例中,执行了上述操作之后,还可以执行如下操作:
步骤3,在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新;步骤3具体包括:
将常见资产指纹数据按照指纹类别、指纹重要性作为评定指标,设置初始指纹命中率;
依据初始指纹命中率及资产类别,设置各条路径的权重,其中,路径为存活主机与已有资产指纹匹配过程中的路径;
依据路径向量指纹被匹配到的特征次数、路径被访问次数以及路径的权重动态更新指纹命中率。
步骤4,将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配,获取存活主机的潜在风险漏洞;步骤4具体包括:
采用基于规则匹配的技术,将资产指纹数据与网络安全漏洞库进行内容匹配,发现可能存在的安全漏洞,并自动查找确认安全漏洞是否存在公开的编号和已有利用方式,其中,网络安全漏洞库具体包括:公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验;
对匹配到的安全漏洞的信息进行存储。
步骤5,通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证;步骤5具体包括:
通过对漏洞扫描脚本、漏洞验证程序、攻击载荷和漏洞挖掘工具的增加、删除和修改操作配置,构建通用的风险验证环境;
在风险验证环境下,采用相应的验证方法对Structs2远程代码执行漏洞、ApacheTomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞、以及数据信息泄露漏洞进行真实性验证;
对存在的安全漏洞发布风险预警通报;
将漏洞验证结果进行存储,并使进行缓存。
步骤6,将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示。步骤6具体包括:
将通过预警通报得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析,评估该漏洞对识别资产指纹的主机分布及危害程度,形成资产安全分析态势报告后邮件发送给相关负责人,其中,资产安全分析态势报告具体包括:风险信息外,主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。
综上,从上述技术方案可以看出,本发明实施例:
1)对录入的资产IP段采用异步无状态请求的方式探测主机存活性,发现存活主机。
2)主动探测与指纹规则特征匹配的方法,配合任务分发调度策略识别大规模存活主机的资产指纹信息。
3)资产指纹权重更新策略,依据匹配到的指纹次数、访问次数、路径权重更新资产指纹的命中率。
4)基于规则的特征匹配策略,对探测的资产指纹信息和对端口、协议、响应信息执行MD5加密算法形成资产指纹特征规则库,按照关键词,正则和特征Hash方式完成匹配,完成存活主机网络资产指纹的探测。
5)结合探测的资产指纹信息和网络安全漏洞库信息,挖掘主机可能存在的风险。
6)自定义的插件式漏洞扫描机制与漏洞挖掘工具结合对风险主机信息进行漏洞验证与风险预警通报。
7)依据端口、操作系统、产品、版本、服务器资产指纹内容,提取漏洞特征后与大规模资产数据库关联、分析,形成安全态势分析报告,邮件通知相关负责人。
本发明实施例公开的一种网络资产探测和风险预警的方法,通过采用异步无状态高速探测技术、主动探测技术和规则特征匹配的识别技术实现对网络空间中海量IP进行主机存活性探测和资产指纹识别的全面掌握,并结合已有资产指纹库,实现精细化资产识别,为后续的渗透测试、漏洞挖掘和资产态势研判提供有利的数据支撑。
同时,该方法提出的自定义插件式漏洞风险挖掘和验证技术,确保了漏洞检测与验证能力可与最新漏洞同步更新,降低了应急响应时间及人力成本,为及时修复信息系统的安全问题提供了有利条件,通过将资产指纹信息与网络安全漏洞库进行关联比对分析,产出安全分析报告,帮助行业监管机构全面感知全网安全态势,确保了在漏洞扩散前督促安全人员做好修补和防护,降低因漏洞风险造成的安全隐患,提升网络信息安全风险发现能力和防范能力。
以下结合附图,对本发明实施例的上述技术方案进行举例说明。
图1是本发明实施的网络资产指纹识别方法的详细处理流程图,如图1所示,具体包括如下处理:
1)步骤10,通过异步无状态扫描机制探测目标IP段下的主机存活情况,发现存活主机;
根据用户设定的目标地址段、端口、扫描方式等参数,采用无状态请求的高速探测技术,由驱动程序直接发送数据包,绕过系统内核和TCP/IP协议栈对连接数量的限制,将请求与响应分开完成,采用异步多线程机制,最高效的利用网络带宽,减少由于线程同步造成的时间损耗,完成目标IP地址段中存活主机及开放端口情况的判断,对于发现的存活主机,执行步骤20及后续步骤,否则跳过当前主机进入下一个主机存活性探测。
2)步骤20,将存活主机地址存入资产扫描队列,对存活主机进行资产识别任务分发;
采用任务分发调度策略,根据配置的探测方法、识别内容、检测开放端口参数和识别发现的存活主机数量进行任务的负载均衡和调配,保证每个下级扫描引擎都能合理的执行识别与检测任务。
3)步骤30,设定初始指纹命中率(权重),按照路径寻优策略自动更新指纹权重;
具体步骤包括:
步骤301,初始化指纹命中率,将近2000种常见资产指纹数据按照指纹类别、指纹重要性作为评定指标,设置资产指纹初始命中率;
步骤302,依据指纹权重及资产类别,设置各条路径的权重;新主机与已有资产指纹匹配过程中的路径.
步骤303,识别主机资产指纹过程中依据路径向量指纹被匹配到的特征次数、路径被访问次数以及边向量权重动态更新指纹命中率,该机制提高了指纹识别的准确率,丰富了资产指纹特征规则库的准确性。
4)步骤40,资产探测引擎通过主动探测与指纹规则特征库匹配结合的识别技术,对目标主机的资产指纹识别;
将包含的300种已知的端口、协议、响应信息按照MD5加密算法形成资产指纹特征,作为进行指纹比对的规则特征样本库,比对按照关键词、正则和特征Hash进行匹配,具体包括如下步骤:
步骤401,通过接收发送的TCP协议包应答内容及Banner信息,通过签名比对确定目标主机的应用名称及版本信息;
步骤402,通过接收发送的TCP/UDP/ICMP应答数据包内容与固有的操作系统规则库对比,判定目标主机的操作系统类型;
步骤403,通过解析探测响应信息,得到主机的服务信息、开启的服务、设备类型及域名,WEB服务响应头及完整的响应主体信息。
步骤404,判定是否为WEB服务,若是则进一步根据meta信息、header信息、session的一些信息识别主机响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS。
步骤405,将识别到的资产指纹信息,包括开放的端口、协议、应用名称、版本、操作系统类型,WEB服务响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS及完整的响应主体信息存入数据库。
5)步骤50,结合识别的资产信息与网络安全漏洞库制定匹配规则,记录主机资产潜在风险漏洞;
步骤501,采用基于规则匹配的技术,根据公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验,形成一套网络安全漏洞库,以此为基准构建漏洞库匹配规则;
步骤502,将步骤30得到的资产指纹数据与该漏洞库进行内容匹配,发现可能存在的安全漏洞,并自动查找确认漏洞是否存在公开的编号和已有利用方式,公开编号可涉及CVE、CNVD、CNNVD、NVD、ICSA来源;
步骤503,对匹配到的漏洞风险信息进行存储,存储信息至少包含主机IP地址、端口、协议、域名、软件服务类型、版本号、漏洞名称、类型、编号、公开时间、危害级别、影响范围、内容描述和解决方案信息。
6)步骤60,利用自定义的漏洞扫描机制与漏洞挖掘工具对潜在的资产漏洞进行验证与风险预警通报;
该验证机制主要用于弥补步骤50规则匹配技术的准确性问题,具体包含以下步骤:
步骤601,通过对漏洞扫描脚本(PoC)、漏洞验证程序(Exp)、攻击载荷和漏洞挖掘工具的增加、删除和修改操作配置,构建通用的风险验证环境;
步骤602,具体的漏洞验证内容至少包含:Structs2远程代码执行漏洞、ApacheTomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞(Mysql、SSH、Redis、Kibana)、数据信息泄露漏洞;
步骤603,对网络资产风险信息真实性进行核验后,对存在的安全漏洞发布风险预警通报;
步骤604,将漏洞验证结果进行存储,并使用Elasticsearch和Redis进行缓存;
7)步骤70,将验证的漏洞风险信息与用户资产数据关联分析形成资产安全态势报告,通知相关负责人。
将步骤60预警得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析,评估该漏洞对识别资产指纹的主机分布及危害程度,形成资产安全分析态势报告后邮件发送给相关负责人;
态势报告中除包含步骤503中的风险信息外,还应包括主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。
本发明实施例可以对目标系统进行扫描和信息收集,当攻击者准备对目标系统进行入侵时,一般先要通过漏洞扫描工具收集目标主机或目标网络的详细信息,从中发现系统的漏洞或脆弱点,根据漏洞的特性选择相应的入侵方法进行攻击。为了及时对黑客的攻击进行防范,网络安全管理人员可以利用漏洞扫描工具提前进行系统环境的信息收集和分析,发现网络或系统中有可能存在的安全问题,及时采取相应的防范措施,使系统免受黑客的攻击。
本发明实施例有利于对漏洞和计算机系统脆弱性的发掘以增强其防范能力,从而维护计算机系统和网络系统的安全,防止信息泄漏,降低、减少并消除经济政治等方面的风险。网络安全管理人员利用漏洞扫描工具提前进行系统环境的信息收集和分析,发现网络或系统中有可能存在的安全问题,及时采取相应的防范措施,使系统免受黑客的攻击。
系统实施例
根据本发明的实施例,提供了一种网络资产指纹识别系统,如图2所示,根据本发明实施例的网络资产指纹识别系统具体包括:
探测模块200,用于通过异步无状态扫描机制对目标IP段下的存活主机进行探测;探测模块200具体用于:根据用户设定的目标IP段、端口以及扫描方式,采用无状态请求的高速探测技术,由驱动程序直接发送数据包,绕过系统内核和TCP/IP协议栈对连接数量的限制,将请求与响应分开完成,并采用异步多线程机制,对目标IP段下的存活主机及开放端口情况进行探测;
任务分发模块210,用于将存活主机地址保存到资产扫描队列,对资产扫描队列下的存活主机进行资产识别任务分发;任务分发模块210具体用于:采用任务分发调度策略,根据配置的存活主机探测方法、存活主机识别内容、存活主机开放端口参数和识别发现的存活主机数量进行资产识别任务的负载均衡和调配,对资产扫描队列下的存活主机进行资产识别任务分发;
优选地,本发明实施例还可以包括更新模块,用于在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新;更新模块具体用于:将常见资产指纹数据按照指纹类别、指纹重要性作为评定指标,设置初始指纹命中率;依据初始指纹命中率及资产类别,设置各条路径的权重,其中,路径为存活主机与已有资产指纹匹配过程中的路径;依据路径向量指纹被匹配到的特征次数、路径被访问次数以及路径的权重动态更新指纹命中率。
识别模块220,用于对预先存储的常见资产指纹数据设置初始的指纹命中率,调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别。识别模块220具体用于:通过接收发送的TCP协议包应答内容及Banner信息,通过签名比对确定目标主机的应用名称及版本信息;通过接收发送的TCP/UDP/ICMP应答数据包内容与固有的操作系统规则库对比,判定目标主机的操作系统类型;通过解析探测响应信息,得到主机的服务信息、开启的服务、设备类型及域名、WEB服务响应头及完整的响应主体信息;判定是否为WEB服务,若是则基于指纹规则特征库,采用关键词、正则和特征Hash的匹配方法,根据meta信息、header信息和session信息识别主机响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS,其中,所述指纹规则特征库具体包括:常见资产指纹数据、以及已知的端口、协议、响应信息按照MD5加密算法形成资产指纹特征;根据所述指纹命中率选择最优的资产指纹信息;将识别到的最优的资产指纹信息存入数据库,其中,所述资产指纹信息具体包括:开放的端口、协议、应用名称、版本、操作系统类型,WEB服务响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS及完整的响应主体信息。
优选地,在本发明实施例中,上述系统进一步包括:
匹配模块,用于将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配,获取存活主机的潜在风险漏洞;匹配模块具体用于:采用基于规则匹配的技术,将资产指纹数据与网络安全漏洞库进行内容匹配,发现可能存在的安全漏洞,并自动查找确认安全漏洞是否存在公开的编号和已有利用方式,其中,网络安全漏洞库具体包括:公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验;对匹配到的安全漏洞的信息进行存储;
验证模块,用于通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证;验证模块具体用于:通过对漏洞扫描脚本、漏洞验证程序、攻击载荷和漏洞挖掘工具的增加、删除和修改操作配置,构建通用的风险验证环境;在风险验证环境下,采用相应的验证方法对Structs2远程代码执行漏洞、Apache Tomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞、以及数据信息泄露漏洞进行真实性验证;对存在的安全漏洞发布风险预警通报;将漏洞验证结果进行存储,并使进行缓存。
报告模块,用于将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示。报告模块具体用于:将通过预警通报得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析,评估该漏洞对识别资产指纹的主机分布及危害程度,形成资产安全分析态势报告后邮件发送给相关负责人,其中,资产安全分析态势报告具体包括:风险信息外,主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。
装置实施例
本发明实施例提供一种网络资产指纹识别设备,包括:存储器1010、处理器及存储在存储器上并可在处理器上运行的计算机程序,计算机程序被处理器执行时实现如下方法步骤:
步骤1,通过异步无状态扫描机制对目标IP段下的存活主机进行探测,将存活主机地址保存到资产扫描队列,对资产扫描队列下的存活主机进行资产识别任务分发;步骤1具体包括:
根据用户设定的目标IP段、端口以及扫描方式,采用无状态请求的高速探测技术,由驱动程序直接发送数据包,绕过系统内核和TCP/IP协议栈对连接数量的限制,将请求与响应分开完成,并采用异步多线程机制,对目标IP段下的存活主机及开放端口情况进行探测。
采用任务分发调度策略,根据配置的存活主机探测方法、存活主机识别内容、存活主机开放端口参数和识别发现的存活主机数量进行资产识别任务的负载均衡和调配,对资产扫描队列下的存活主机进行资产识别任务分发。
步骤2,对预先存储的常见资产指纹数据设置初始的指纹命中率,调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别。步骤2具体包括:
通过接收发送的TCP协议包应答内容及Banner信息,通过签名比对确定目标主机的应用名称及版本信息;
通过接收发送的TCP/UDP/ICMP应答数据包内容与固有的操作系统规则库对比,判定目标主机的操作系统类型;
通过解析探测响应信息,得到主机的服务信息、开启的服务、设备类型及域名、WEB服务响应头及完整的响应主体信息;
判定是否为WEB服务,若是则基于指纹规则特征库,采用关键词、正则和特征Hash的匹配方法,根据meta信息、header信息和session信息识别主机响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS,其中,所述指纹规则特征库具体包括:常见资产指纹数据、以及已知的端口、协议、响应信息按照MD5加密算法形成资产指纹特征;
根据所述指纹命中率选择最优的资产指纹信息;其中,所述指纹命中率是指选择所述资产指纹的概率或权重。
将识别到的最优的资产指纹信息存入数据库,其中,所述资产指纹信息具体包括:开放的端口、协议、应用名称、版本、操作系统类型,WEB服务响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS及完整的响应主体信息。
在本发明实施例中,执行了上述操作之后,还可以执行如下操作:
步骤3,在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新;步骤3具体包括:
将常见资产指纹数据按照指纹类别、指纹重要性作为评定指标,设置初始指纹命中率;
依据初始指纹命中率及资产类别,设置各条路径的权重,其中,路径为存活主机与已有资产指纹匹配过程中的路径;
依据路径向量指纹被匹配到的特征次数、路径被访问次数以及路径的权重动态更新指纹命中率。
步骤4,将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配,获取存活主机的潜在风险漏洞;步骤4具体包括:
采用基于规则匹配的技术,将资产指纹数据与网络安全漏洞库进行内容匹配,发现可能存在的安全漏洞,并自动查找确认安全漏洞是否存在公开的编号和已有利用方式,其中,网络安全漏洞库具体包括:公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验;
对匹配到的安全漏洞的信息进行存储。
步骤5,通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证;步骤5具体包括:
通过对漏洞扫描脚本、漏洞验证程序、攻击载荷和漏洞挖掘工具的增加、删除和修改操作配置,构建通用的风险验证环境;
在风险验证环境下,采用相应的验证方法对Structs2远程代码执行漏洞、ApacheTomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞、以及数据信息泄露漏洞进行真实性验证;
对存在的安全漏洞发布风险预警通报;
将漏洞验证结果进行存储,并使进行缓存。
步骤6,将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示。步骤6具体包括:
将通过预警通报得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析,评估该漏洞对识别资产指纹的主机分布及危害程度,形成资产安全分析态势报告后邮件发送给相关负责人,其中,资产安全分析态势报告具体包括:风险信息外,主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。
综上,本发明实施例提出一种网络资产指纹识别和风险预警的方法,实现对网络资产指纹信息的快速、准确识别,完成风险预警通报,为安全人员及时修补、预防安全风险提供基础数据支撑,为行业监管机构掌握全网安全态势提供有利依据。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种网络资产指纹识别方法,其特征在于,包括:
通过异步无状态扫描机制对目标IP段下的存活主机进行探测,将存活主机地址保存到资产扫描队列,对所述资产扫描队列下的存活主机进行资产识别任务分发;
对预先存储的常见资产指纹数据设置初始指纹命中率,调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别;
在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新;
在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新具体包括:
将常见资产指纹数据按照指纹类别、指纹重要性作为评定指标,设置初始指纹命中率;
依据所述初始指纹命中率及资产类别,设置各条路径的权重,其中,所述路径为存活主机与已有资产指纹匹配过程中的路径;
依据路径向量指纹被匹配到的特征次数、路径被访问次数以及路径的权重动态更新指纹命中率。
2.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配,获取存活主机的潜在风险漏洞;
通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证;
将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示。
3.如权利要求1所述的方法,其特征在于,通过异步无状态扫描机制对目标IP段下的存活主机进行探测具体包括:
根据用户设定的目标IP段、端口以及扫描方式,采用无状态请求的高速探测技术,由驱动程序直接发送数据包,绕过系统内核和TCP/IP协议栈对连接数量的限制,将请求与响应分开完成,并采用异步多线程机制,对目标IP段下的存活主机及开放端口情况进行探测。
4.如权利要求1所述的方法,其特征在于,对所述资产扫描队列下的存活主机进行资产识别任务分发具体包括:
采用任务分发调度策略,根据配置的存活主机探测方法、存活主机识别内容、存活主机开放端口参数和识别发现的存活主机数量进行资产识别任务的负载均衡和调配,对所述资产扫描队列下的存活主机进行资产识别任务分发。
5.如权利要求1所述的方法,其特征在于,对预先存储的常见资产指纹数据设置初始的指纹命中率,调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别具体包括:
通过接收发送的TCP协议包应答内容及Banner信息,通过签名比对确定目标主机的应用名称及版本信息;
通过接收发送的TCP/UDP/ICMP应答数据包内容与固有的操作系统规则库对比,判定目标主机的操作系统类型;
通过解析探测响应信息,得到主机的服务信息、开启的服务、设备类型及域名、WEB服务响应头及完整的响应主体信息;
判定是否为WEB服务,若是则基于指纹规则特征库,采用关键词、正则和特征Hash的匹配方法,根据meta信息、header信息和session信息识别主机响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS,其中,所述指纹规则特征库具体包括:常见资产指纹数据、以及已知的端口、协议、响应信息按照MD5加密算法形成资产指纹特征;
根据所述指纹命中率选择最优的资产指纹信息;
将识别到的最优的资产指纹信息存入数据库,其中,所述资产指纹信息具体包括:开放的端口、协议、应用名称、版本、操作系统类型,WEB服务响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS及完整的响应主体信息。
6.如权利要求2所述的方法,其特征在于,将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配,获取存活主机的潜在风险漏洞具体包括:
采用基于规则匹配的技术,将资产指纹数据与网络安全漏洞库进行内容匹配,发现可能存在的安全漏洞,并自动查找确认安全漏洞是否存在公开的编号和已有利用方式,其中,所述网络安全漏洞库具体包括:公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验;
对匹配到的安全漏洞的信息进行存储。
7.如权利要求2所述的方法,其特征在于,通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证具体包括:
通过对漏洞扫描脚本、漏洞验证程序、攻击载荷和漏洞挖掘工具的增加、删除和修改操作配置,构建通用的风险验证环境;
在所述风险验证环境下,采用相应的验证方法对Structs2远程代码执行漏洞、ApacheTomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞、以及数据信息泄露漏洞进行真实性验证;
对存在的安全漏洞发布风险预警通报;
将漏洞验证结果进行存储,并进行缓存。
8.如权利要求2所述的方法,其特征在于,将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示具体包括:
将通过预警通报得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析,评估该漏洞对识别资产指纹的主机分布及危害程度,形成资产安全分析态势报告后邮件发送给相关负责人,其中,所述资产安全分析态势报告具体包括:风险信息外,主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。
9.一种网络资产指纹识别系统,其特征在于,包括:
探测模块,用于通过异步无状态扫描机制对目标IP段下的存活主机进行探测;
任务分发模块,用于将存活主机地址保存到资产扫描队列,对所述资产扫描队列下的存活主机进行资产识别任务分发;
识别模块,用于对预先存储的常见资产指纹数据设置初始指纹命中率,调用资产探测引擎基于指纹命中率对所述资产扫描队列中的存活主机通过主动探测和指纹规则特征库匹配进行资产指纹识别;
更新模块,用于在资产指纹识别过程中采用路径寻优策略对指纹特征库中所述的初始指纹命中率进行自动更新,所述更新模块具体用于:
将常见资产指纹数据按照指纹类别、指纹重要性作为评定指标,设置初始指纹命中率;
依据所述初始指纹命中率及资产类别,设置各条路径的权重,其中,所述路径为存活主机与已有资产指纹匹配过程中的路径;
依据路径向量指纹被匹配到的特征次数、路径被访问次数以及路径的权重动态更新指纹命中率。
10.如权利要求9所述的系统,其特征在于,所述系统进一步包括:
匹配模块,用于将存活主机的资产指纹识别结果与网络安全漏洞库进行匹配,获取存活主机的潜在风险漏洞;
验证模块,用于通过漏洞扫描机制和/或漏洞挖掘工具对潜在的风险漏洞进行验证;
报告模块,用于将验证的风险漏洞信息与存活主机的资产数据进行关联分析形成资产安全态势报告并显示。
11.如权利要求9所述的系统,其特征在于,
所述探测模块具体用于:根据用户设定的目标IP段、端口以及扫描方式,采用无状态请求的高速探测技术,由驱动程序直接发送数据包,绕过系统内核和TCP/IP协议栈对连接数量的限制,将请求与响应分开完成,并采用异步多线程机制,对目标IP段下的存活主机及开放端口情况进行探测;
所述任务分发模块具体用于:采用任务分发调度策略,根据配置的存活主机探测方法、存活主机识别内容、存活主机开放端口参数和识别发现的存活主机数量进行资产识别任务的负载均衡和调配,对所述资产扫描队列下的存活主机进行资产识别任务分发;
所述识别模块具体用于:通过接收发送的TCP协议包应答内容及Banner信息,通过签名比对确定目标主机的应用名称及版本信息;通过接收发送的TCP/UDP/ICMP应答数据包内容与固有的操作系统规则库对比,判定目标主机的操作系统类型;通过解析探测响应信息,得到主机的服务信息、开启的服务、设备类型及域名、WEB服务响应头及完整的响应主体信息;判定是否为WEB服务,若是则基于指纹规则特征库,采用关键词、正则和特征Hash的匹配方法,根据meta信息、header信息和session信息识别主机响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS,其中,所述指纹规则特征库具体包括:常见资产指纹数据、以及已知的端口、协议、响应信息按照MD5加密算法形成资产指纹特征;根据所述指纹命中率选择最优的资产指纹信息;将识别到的最优的资产指纹信息存入数据库,其中,所述资产指纹信息具体包括:开放的端口、协议、应用名称、版本、操作系统类型,WEB服务响应头、标题、关键词、应用组件、开发框架、脚本语言、CMS及完整的响应主体信息。
12.如权利要求10所述的系统,其特征在于,
所述匹配模块具体用于:采用基于规则匹配的技术,将资产指纹数据与网络安全漏洞库进行内容匹配,发现可能存在的安全漏洞,并自动查找确认安全漏洞是否存在公开的编号和已有利用方式,其中,所述网络安全漏洞库具体包括:公开发布的威胁情报信息、行业专家对真实事件的案例分析和网络管理员实际的系统配置经验;对匹配到的安全漏洞的信息进行存储;
所述验证模块具体用于:通过对漏洞扫描脚本、漏洞验证程序、攻击载荷和漏洞挖掘工具的增加、删除和修改操作配置,构建通用的风险验证环境;在所述风险验证环境下,采用相应的验证方法对Structs2远程代码执行漏洞、Apache Tomcat远程命令执行漏洞、Weblogic反序列化漏洞、未授权访问漏洞、以及数据信息泄露漏洞进行真实性验证;对存在的安全漏洞发布风险预警通报;将漏洞验证结果进行存储,并进行缓存;
所述报告模块具体用于:将通过预警通报得到的漏洞特征与涵盖的全网资产指纹自动关联比对分析,评估该漏洞对识别资产指纹的主机分布及危害程度,形成资产安全分析态势报告后邮件发送给相关负责人,其中,所述资产安全分析态势报告具体包括:风险信息外,主机管理者信息、责任人信息和该漏洞在当前已探测到的资产监管范围内下的资产分布情况。
13.一种网络资产指纹识别设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910423990.2A CN110324310B (zh) | 2019-05-21 | 2019-05-21 | 网络资产指纹识别方法、系统及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910423990.2A CN110324310B (zh) | 2019-05-21 | 2019-05-21 | 网络资产指纹识别方法、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110324310A CN110324310A (zh) | 2019-10-11 |
| CN110324310B true CN110324310B (zh) | 2022-04-29 |
Family
ID=68113198
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910423990.2A Active CN110324310B (zh) | 2019-05-21 | 2019-05-21 | 网络资产指纹识别方法、系统及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110324310B (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112422483B (zh) * | 2019-08-23 | 2022-04-08 | 东北大学秦皇岛分校 | 一种用于泛在电力物联网的身份保护策略 |
| CN110830467A (zh) * | 2019-11-04 | 2020-02-21 | 中国人民解放军战略支援部队信息工程大学 | 基于模糊预测的网络可疑资产识别方法 |
| CN111130947B (zh) * | 2019-12-30 | 2021-11-30 | 成都科来网络技术有限公司 | 一种基于服务验证的网络空间测绘方法 |
| CN111178760B (zh) * | 2019-12-30 | 2023-05-23 | 成都烽创科技有限公司 | 风险监测方法、装置、终端设备及计算机可读存储介质 |
| CN111104579A (zh) * | 2019-12-31 | 2020-05-05 | 北京神州绿盟信息安全科技股份有限公司 | 一种公网资产的识别方法、装置及存储介质 |
| CN111680286B (zh) * | 2020-02-27 | 2022-06-10 | 中国科学院信息工程研究所 | 物联网设备指纹库的精细化方法 |
| CN111694588B (zh) * | 2020-06-11 | 2022-05-20 | 杭州安恒信息安全技术有限公司 | 引擎升级检测方法、装置、计算机设备和可读存储介质 |
| CN111865724B (zh) * | 2020-07-28 | 2022-02-08 | 公安部第三研究所 | 视频监控设备信息采集控制实现方法 |
| CN112257070A (zh) * | 2020-10-22 | 2021-01-22 | 全球能源互联网研究院有限公司 | 一种基于资产场景属性的漏洞排查方法及系统 |
| CN112347485B (zh) * | 2020-11-10 | 2024-05-28 | 远江盛邦(北京)网络安全科技股份有限公司 | 多引擎获取漏洞并自动化渗透的处理方法 |
| CN112468360A (zh) * | 2020-11-13 | 2021-03-09 | 北京安信天行科技有限公司 | 一种基于指纹的资产发现识别和检测方法及系统 |
| CN112769635B (zh) * | 2020-12-10 | 2022-04-15 | 青岛海洋科学与技术国家实验室发展中心 | 多粒度特征解析的服务识别方法及装置 |
| CN112995207B (zh) * | 2021-04-16 | 2021-09-10 | 远江盛邦(北京)网络安全科技股份有限公司 | 网络资产的指纹识别及暴露面风险评估方法 |
| CN113240258B (zh) * | 2021-04-30 | 2023-04-28 | 山东云天安全技术有限公司 | 一种工业资产探测方法、设备及装置 |
| CN113259197A (zh) * | 2021-05-13 | 2021-08-13 | 北京天融信网络安全技术有限公司 | 一种资产探测方法、装置及电子设备 |
| CN113378179A (zh) * | 2021-06-28 | 2021-09-10 | 北京凌云信安科技有限公司 | 基于主动与被动无损扫描技术的工控漏洞扫描系统 |
| CN113572773A (zh) * | 2021-07-27 | 2021-10-29 | 迈普通信技术股份有限公司 | 一种接入设备及终端接入控制方法 |
| CN113392409B (zh) * | 2021-08-17 | 2021-12-14 | 深圳市位元领航科技有限公司 | 一种风险自动化评估预测方法及终端 |
| CN113904800B (zh) * | 2021-09-02 | 2024-01-26 | 成都仁达至信科技有限公司 | 内部网络风险资产侦测分析系统 |
| CN113824748B (zh) * | 2021-11-25 | 2022-02-08 | 北京大学 | 一种资产特征主动探测对抗方法、装置、电子设备及介质 |
| CN113946566B (zh) * | 2021-12-20 | 2022-03-18 | 北京大学 | Web系统指纹库的构建方法、装置和电子设备 |
| CN113961942A (zh) * | 2021-12-23 | 2022-01-21 | 北京华顺信安科技有限公司 | 基于指纹识别的漏洞验证方法和装置 |
| CN114499974B (zh) * | 2021-12-28 | 2023-12-19 | 深圳供电局有限公司 | 设备探测方法、装置、计算机设备和存储介质 |
| CN114301676B (zh) * | 2021-12-28 | 2023-07-18 | 国网宁夏电力有限公司 | 一种电力监控系统的无损化资产探测方法、装置和存储介质 |
| CN114745166B (zh) * | 2022-03-29 | 2023-07-28 | 烽台科技(北京)有限公司 | 工业资产风险感知方法、装置及电子设备 |
| CN114827043B (zh) * | 2022-03-31 | 2023-05-16 | 中国电子科技集团公司第三十研究所 | 基于指纹动态更新及关键报文识别的流量特征匹配方法 |
| CN115208634A (zh) * | 2022-06-17 | 2022-10-18 | 江苏信息职业技术学院 | 一种网络资产的监管引擎 |
| CN114896606B (zh) * | 2022-07-13 | 2022-11-01 | 苏州知微安全科技有限公司 | 一种基于静态表达的漏洞数据动态处理方法及装置 |
| CN115549945B (zh) * | 2022-07-29 | 2023-10-31 | 浪潮卓数大数据产业发展有限公司 | 基于分布式架构的信息系统安全状态扫描系统及方法 |
| CN116308115B (zh) * | 2023-01-31 | 2024-05-14 | 国网辽宁省电力有限公司信息通信分公司 | 一种基于网络探测技术的电力信息资产识别与分析方法 |
| CN116975007B (zh) * | 2023-07-29 | 2024-03-22 | 上海螣龙科技有限公司 | 一种网络资产存储、展示的方法、系统、设备及介质 |
| CN117376037B (zh) * | 2023-12-08 | 2024-02-23 | 山东星维九州安全技术有限公司 | 一种网络资产分类扫描的方法、装置及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230800A (zh) * | 2016-07-25 | 2016-12-14 | 恒安嘉新(北京)科技有限公司 | 一种对资产主动探测和漏洞预警的方法 |
| US9672337B2 (en) * | 2015-04-09 | 2017-06-06 | Verizon Patent And Licensing Inc. | Dynamic authentication |
| CN108011893A (zh) * | 2017-12-26 | 2018-05-08 | 广东电网有限责任公司信息中心 | 一种基于网络资产信息采集的资产管理系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105281973A (zh) * | 2015-08-07 | 2016-01-27 | 南京邮电大学 | 一种针对特定网站类别的网页指纹识别方法 |
| CN105337776B (zh) * | 2015-11-19 | 2018-10-19 | 北京金山安全软件有限公司 | 一种生成网站指纹的方法、装置及电子设备 |
-
2019
- 2019-05-21 CN CN201910423990.2A patent/CN110324310B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9672337B2 (en) * | 2015-04-09 | 2017-06-06 | Verizon Patent And Licensing Inc. | Dynamic authentication |
| CN106230800A (zh) * | 2016-07-25 | 2016-12-14 | 恒安嘉新(北京)科技有限公司 | 一种对资产主动探测和漏洞预警的方法 |
| CN108011893A (zh) * | 2017-12-26 | 2018-05-08 | 广东电网有限责任公司信息中心 | 一种基于网络资产信息采集的资产管理系统 |
Non-Patent Citations (2)
| Title |
|---|
| TideFinger–指纹识别小工具;体验盒子;《https://www.uedbox.com/post/55054/》;20190513;第1-4页 * |
| 基于智能爬行算法的网路扫描技术研究与实现;侯美静;《中国优秀硕士学位论文全文数据库》;20190215;第3.4节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110324310A (zh) | 2019-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110324310B (zh) | 网络资产指纹识别方法、系统及设备 | |
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| US20200296137A1 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| CN106411578B (zh) | 一种适应于电力行业的网站监控系统及方法 | |
| US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
| CN108780485B (zh) | 基于模式匹配的数据集提取 | |
| CN106687971B (zh) | 用来减少软件的攻击面的自动代码锁定 | |
| CN108471429B (zh) | 一种网络攻击告警方法及系统 | |
| CN108683687B (zh) | 一种网络攻击识别方法及系统 | |
| US10084806B2 (en) | Traffic simulation to identify malicious activity | |
| US7260844B1 (en) | Threat detection in a network security system | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及系统 | |
| CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| US20180234445A1 (en) | Characterizing Behavior Anomaly Analysis Performance Based On Threat Intelligence | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| JP7204247B2 (ja) | 脅威対応自動化方法 | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| US20240007487A1 (en) | Asset Remediation Trend Map Generation and Utilization for Threat Mitigation | |
| CN113901450A (zh) | 一种工业主机终端安全防护系统 | |
| Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
| CN111510463A (zh) | 异常行为识别系统 | |
| CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Gang Zhanhui Inventor after: Zhu Lina Inventor after: Zhang Xiaofan Inventor after: Gao Yuqian Inventor after: Chen Hao Inventor after: Li Jun Inventor after: Wang Lijun Inventor after: Zhang Hong Inventor after: Yang An Inventor after: Sun Lili Inventor after: Ju Yuan Inventor after: Huang Haibo Inventor after: Yang Jie Inventor after: Zhao Kaili Inventor before: Gang Zhanhui Inventor before: Yang Jie Inventor before: Zhao Kaili Inventor before: Zhu Lina Inventor before: Zhou Ruikun Inventor before: Zhang Xiaofan Inventor before: Gao Yuqian Inventor before: Chen Hao Inventor before: Li Jun Inventor before: Chen Xuehong Inventor before: Wang Lijun Inventor before: Zhang Hong Inventor before: Zhao Hui Inventor before: Yang An Inventor before: Zhao Yangguang Inventor before: Ju Yuan Inventor before: Sun Lili Inventor before: Huang Haibo |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |