CN110677400A - 一种局域网环境中主机和服务的攻击暴露面分析方法及系统 - Google Patents

一种局域网环境中主机和服务的攻击暴露面分析方法及系统 Download PDF

Info

Publication number
CN110677400A
CN110677400A CN201910894861.1A CN201910894861A CN110677400A CN 110677400 A CN110677400 A CN 110677400A CN 201910894861 A CN201910894861 A CN 201910894861A CN 110677400 A CN110677400 A CN 110677400A
Authority
CN
China
Prior art keywords
host
path
risk
service
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910894861.1A
Other languages
English (en)
Other versions
CN110677400B (zh
Inventor
黄伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuleng Technology Co Ltd
Original Assignee
Wuhan Sipuleng Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuleng Technology Co Ltd filed Critical Wuhan Sipuleng Technology Co Ltd
Priority to CN201910894861.1A priority Critical patent/CN110677400B/zh
Publication of CN110677400A publication Critical patent/CN110677400A/zh
Application granted granted Critical
Publication of CN110677400B publication Critical patent/CN110677400B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种局域网环境中主机和服务攻击暴露面分析方法及系统,属于技术领域,解决了现有技术中没有分析的局域网中主机和服务易受攻击暴露面的问题。一种局域网环境中主机和服务攻击暴露面分析方法,包括局域网环境中主机攻击暴露面分析方法和局域网环境中主机服务暴露面分析方法;所述局域网环境中主机攻击暴露面分析方法,包括以下步骤,获取局域网内主机的基础信息、防火墙安全策略与主机ip地址通路数据流;得到主机攻击暴露面指标;所述局域网环境中主机服务攻击暴露面分析方法,包括以下步骤,获取局域网内主机服务通路信息、防火墙安全策略与主机ip地址通路数据流;得到主机服务攻击暴露面指标。实现了全面的获取主机和服务的攻击暴露面指标。

Description

一种局域网环境中主机和服务的攻击暴露面分析方法及系统
技术领域
本发明涉及主机及服务安全技术领域,尤其是涉及一种局域网环境中主机和服务的攻击暴露面分析方法及系统。
背景技术
银行,企业,政府单位都有至少一个或多个的局域网,每个局域网都会有很多设备和服务(防火墙,路由器,主机,主机运行的软件服务);攻击暴露面分析以局域网网主机、业务(或服务)等为对象,分析有多少路径可以请求访问过来,从安全路径角度描述其对外的暴露情况,以帮助用户及时了解某些重要主机或服务对外易受攻击暴露面的大小;目前行业中仅有相似单一的,解决某一点问题的方案,没有类似分析计算局域网中主机和服务易受攻击暴露面的方案。
发明内容
本发明的目的在于至少克服上述一种技术不足,提出一种局域网环境中主机和服务的攻击暴露面分析方法及系统。
一方面,本发明提供一种局域网环境中主机和服务攻击暴露面分析方法,包括局域网环境中主机攻击暴露面分析方法和局域网环境中主机服务暴露面分析方法;
所述局域网环境中主机攻击暴露面分析方法,包括以下步骤,
获取局域网内主机的基础信息、防火墙安全策略与主机ip地址通路数据流;根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;根据所述端口暴露数量及ip地址范围,获取对应单条路径的风险等级,根据主机内所有路径的风险等级,得到主机风险等级,所述主机风险等级即为主机攻击暴露面指标;
所述局域网环境中主机服务攻击暴露面分析方法,包括以下步骤,
获取局域网内主机服务通路信息、防火墙安全策略与主机ip地址通路数据流;根据所述主机服务通路、防火墙安全策略与主机ip地址通路数据流,得到主机服务的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;根据所述端口暴露数量及ip地址范围,获取对应的单条路径风险等级,根据主机服务中所有路径风险等级,得到主机服务风险等级,所述主机服务风险等级即为主机服务攻击暴露面指标。
进一步地,所述根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围,具体包括:
以防火墙内所有子网为源地址,以主机的ip地址为目的地址,根据防火墙安全策略,获取从子网经过端口到主机的允许访问路径,单条允许访问路径即为主机的单条风险路径;根据所述主机的单条风险路径中的协议数量及端口数量,获取每条风险路径的端口暴露数量,根据所述主机的单条风险路径中的ip地址,确定单条风险路径的ip地址范围。
进一步地,所述根据主机内所有路径的风险等级,得到主机风险等级,具体包括,对主机内所有路径的风险等级求和,得到主机路径风险值,由所述主机路径风险值得到主机路径风险等级,由所述主机路径风险等级及用户设置的主机重要度等级,得到主机风险等级。
进一步地,所述根据所述主机服务通路、防火墙安全策略与主机ip地址通路数据流,得到主机服务的单条风险路径、每条风险路径的端口暴露数量及ip地址范围,具体包括:
以防火墙内所有子网为源地址,以主机的ip地址及对应的主机服务端口为目的地址,根据防火墙安全策略,获取从子网经过端口到主机服务的允许访问路径,单条允许访问路径即为主机服务的单条风险路径;根据所述主机服务的单条风险路径中的协议数量及端口数量,获取每条风险路径的端口暴露数量;根据所述主机服务的单条风险路径中ip地址,确定单条风险路径的ip地址范围。
进一步地,所述根据主机服务中所有路径风险等级,得到主机服务风险等级,具体包括,对主机服务中所有路径的风险等级求和,得到主机服务路径风险值,由所述主机服务路径风险值,得到主机服务路径风险等级,由主机服务路径风险等级及用户设置的主机重要度等级,得到主机服务风险等级。
另一方面,本发明还提供了了一种局域网环境中主机和服务攻击暴露面分析系统,包括主机及防火墙数据获取模块、主机风险路径获取模块、主机攻击暴露面指标获取模块、主机服务通路信息获取模块、主机服务风险路路径获取模块、主机攻击暴露面指标获取模块,
所述主机及防火墙数据获取模块,用于获取局域网内主机的基础信息、防火墙安全策略与主机ip地址通路数据流;
所述主机风险路径获取模块,用于根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;
主机攻击暴露面指标获取模块,用于根据所述端口暴露数量及ip地址范围,获取对应单条路径的风险等级,根据主机内所有路径的风险等级,得到主机风险等级,所述主机风险等级即为主机攻击暴露面指标;
主机服务通路信息获取模块,用于获取局域网内主机服务通路信息;
主机服务风险路路径获取模块,用于根据所述主机服务通路、防火墙安全策略与主机ip地址通路数据流,得到主机服务的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;
主机攻击暴露面指标获取模块,用于根据所述端口暴露数量及ip地址范围,获取对应的单条路径风险等级,根据主机服务中所有路径风险等级,得到主机服务风险等级,所述主机服务风险等级即为主机服务攻击暴露面指标。
进一步地,所述主机风险路径获取模块根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围,具体包括,
以防火墙内所有子网为源地址,以主机的ip地址为目的地址,根据防火墙安全策略,获取从子网经过端口到主机的允许访问路径,单条允许访问路径即为主机的单条风险路径;根据所述主机的单条风险路径中的协议数量及端口数量,获取每条风险路径的端口暴露数量,根据所述主机的单条风险路径中的ip地址,确定单条风险路径的ip地址范围。
进一步地,所述主机攻击暴露面指标获取模块根据主机内所有路径的风险等级,得到主机风险等级,具体包括,
对主机内所有路径的风险等级求和,得到主机路径风险值,由所述主机路径风险值得到主机路径风险等级,由所述主机路径风险等级及用户设置的主机重要度等级,得到主机风险等级。
进一步地,所述主机服务风险路路径获取模块根据所述主机服务通路、防火墙安全策略与主机ip地址通路数据流,得到主机服务的单条风险路径、每条风险路径的端口暴露数量及ip地址范围,具体包括,
以防火墙内所有子网为源地址,以主机的ip地址及对应的主机服务端口为目的地址,根据防火墙安全策略,获取从子网经过端口到主机服务的允许访问路径,单条允许访问路径即为主机服务的单条风险路径;根据所述主机服务的单条风险路径中的协议数量及端口数量,获取每条风险路径的端口暴露数量;根据所述主机服务的单条风险路径中ip地址,确定单条风险路径的ip地址范围。
进一步地,所述主机攻击暴露面指标获取模块根据主机服务中所有路径风险等级,得到主机服务风险等级,具体包括,
对主机服务中所有路径的风险等级求和,得到主机服务路径风险值,由所述主机服务路径风险值,得到主机服务路径风险等级,由主机服务路径风险等级及用户设置的主机重要度等级,得到主机服务风险等级。
与现有技术相比,本发明的有益效果包括:通过获取局域网内主机的基础信息、防火墙安全策略与主机ip地址通路数据流;根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;根据所述端口暴露数量及ip地址范围,获取对应单条路径的风险等级,根据主机内所有路径的风险等级,得到主机风险等级,所述主机风险等级即为主机攻击暴露面指标;
通过获取局域网内主机服务通路信息、防火墙安全策略与主机ip地址通路数据流;根据所述主机服务通路、防火墙安全策略与主机ip地址通路数据流,得到主机服务的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;根据所述端口暴露数量及ip地址范围,获取对应的单条路径风险等级,根据主机服务中所有路径风险等级,得到主机服务风险等级,所述主机服务风险等级即为主机服务攻击暴露面指标;
实现了全面的获取主机和服务的攻击暴露面指标,以辅助用户进行暴露面收敛与路径安全加固,提高网络安全。
附图说明
图1是本发明实施例1所述的局域网环境中主机攻击暴露面分析方法的流程示意图;
图2是本发明实施例1所述的局域网环境中主机服务暴露面分析方法的流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
实施例1
本发明的实施例提供了一种一种局域网环境中主机和服务攻击暴露面分析方法,包括局域网环境中主机攻击暴露面分析方法和局域网环境中主机服务暴露面分析方法;
所述局域网环境中主机攻击暴露面分析方法,流程示意图,如图1所示,所述方法包括以下步骤,
获取局域网内主机的基础信息、防火墙安全策略与主机ip地址通路数据流;根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;根据所述端口暴露数量及ip地址范围,获取对应单条路径的风险等级,根据主机内所有路径的风险等级,得到主机风险等级,所述主机风险等级即为主机攻击暴露面指标;
所述局域网环境中主机服务攻击暴露面分析方法,流程示意图,如图2所示,所述方法包括以下步骤,
获取局域网内主机服务通路信息、防火墙安全策略与主机ip地址通路数据流;根据所述主机服务通路、防火墙安全策略与主机ip地址通路数据流,得到主机服务的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;根据所述端口暴露数量及ip地址范围,获取对应的单条路径风险等级,根据主机服务中所有路径风险等级,得到主机服务风险等级,所述主机服务风险等级即为主机服务攻击暴露面指标。
具体实施时,使用Server Project开启、关闭、取消所述主机和主机服务攻击暴露面指标的获取,所述主机的基础信息、主机服务通路信息、防火墙安全策略与主机ip地址通路数据流需要提前配置编辑,使用通过Kafka消息队列服务,将机的基础信息、主机服务通路信息、防火墙安全策略与主机ip地址等数据分发给处理单元;
需要说明的是,所述主机服务为安装运行在主机PC上面的软件应用服务程序,例如OA办公,ERP系统等,一台PC主机可能同时安装单个或者多个软件应用服务程序,一个软件应用服务程序也可能安装运行在单个或者多个PC主机上;
所述主机基础信息包括主机ip地址,主机安全等级,主机所处的子网网段;通过匹配防火墙安全策略,获取现有网络环境中所有子网到主机ip地址的通路数据流信息(包含可以访问到当前主机ip地址的五元组信息即,源ip、目的ip、源端口、目的端口、协议);产品拓扑组件接口返回通路数据流,初始化采集防火墙时,获取防火墙安全策略;
需要说明的是,防火墙安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制,规则的本质是包过滤,其应用与对跨防火墙的网络互访进行控制,对设备本身的访问进行控制,防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信,安全策略的作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙;通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限等;同时也能够对设备本身的访问进行控制,例如限制哪些ip地址可以通过Telnet和Web等方式登录设备,控制网管服务器、NTP服务器等与设备的互访等。
优选的,根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围,具体包括:
以防火墙内所有子网为源地址,以主机的ip地址为目的地址,根据防火墙安全策略,获取从子网经过端口到主机的允许访问路径,单条允许访问路径即为主机的单条风险路径;根据所述主机的单条风险路径中的协议数量及端口数量,获取每条风险路径的端口暴露数量,根据所述主机的单条风险路径中的ip地址,确定单条风险路径的ip地址范围。
具体的,将所述主机的单条风险路径中的协议数量及端口数量相乘,得到每条风险路径的端口暴露数量,将每一条允许访问的主机通路(主机的单条风险路径)中的ip段或ip地址去重求和,确定单条风险路径的ip地址范围,将得到每条风险路径的端口暴露数量对应风险等级和单条风险路径的ip地址范围对应的风险等级进行矩阵换算,得到获取对应单条路径风险等级,单条路径风险等级换算表,如表1所示,
表1
Figure BDA0002209895510000061
表1将访问源对象风险等级(即单条风险路径的ip地址范围对应的风险等级)分为5个等级,上述表1中ip地址范围为1,则对应的风险等级为1,ip地址范围在1到32之间,则对应的风险等级为2,依次类推,可以得到5个风险等级;同时,将开放端口对象风险等级(即每条风险路径的端口暴露数量对应风险等级)分为5个等级;
一个具体实施中,根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围,部分代码如下,
Figure BDA0002209895510000071
优选的,根据主机内所有路径的风险等级,得到主机风险等级,具体包括,对主机内所有路径的风险等级求和,得到主机路径风险值,由所述主机路径风险值得到主机路径风险等级,由所述主机路径风险等级及用户设置的主机重要度等级,得到主机风险等级。
具体的,由主机路径风险值换算得到主机路径风险等级,主机路径风险等级换算表,如表2所示;
表2
主机路径风险值 1~20 21~40 41~60 61~80 >80
主机路径风险等级 1 2 3 4 5
对主机路径风险等级及用户设置的主机重要度等级进行矩阵换算,得到主机风险等级(主机攻击暴露面指标),主机风险等级矩阵换算表,如表3所示;
表3
Figure BDA0002209895510000091
需要说的是,主要重要度风险等级,是用户根据主机的重要程度进行设置;
一个具体实施例中,获取主机暴露指标的部分代码,如下,
Figure BDA0002209895510000092
Figure BDA0002209895510000101
聚合所有主机风险等级和主机的相关配置计算分析(即哪些局域网内哪些主机参与了攻击暴露面指标的分析),产生最终的主机易受攻击暴露面指标,叠加计算过程中产生的路径风险等级,风险路径和路径中的协议,端口数据形成完整的易受攻击暴露面。
优选的,根据所述主机服务通路、防火墙安全策略与主机ip地址通路数据流,得到主机服务的单条风险路径、每条风险路径的端口暴露数量及ip地址范围,具体包括:
以防火墙内所有子网为源地址,以主机的ip地址及对应的主机服务端口为目的地址,根据防火墙安全策略,获取从子网经过端口到主机服务的允许访问路径,单条允许访问路径即为主机服务的单条风险路径;根据所述主机服务的单条风险路径中的协议数量及端口数量,获取每条风险路径的端口暴露数量;根据所述主机服务的单条风险路径中ip地址,确定每条风险路径的ip地址范围。
具体实施例时,将所述主机服务的单条风险路径中的协议数量及端口数量相乘,得到每条风险路径的端口暴露数量,将每一条允许访问的主机服务通路(主机服务的单条风险路径)中的ip段或ip地址去重求和,确定单条风险路径的ip地址范围,将得到每条风险路径的端口暴露数量对应风险等级和单条风险路径的ip地址范围对应的风险等级进行矩阵换算,得到获取对应单条路径风险等级,主机服务的单条路径风险等级换算表和表1相同;
优选的,根据主机服务中所有路径风险等级,得到主机服务风险等级,具体包括,对主机服务中所有路径的风险等级求和,得到主机服务路径风险值,由所述主机服务路径风险值,得到主机服务路径风险等级,由主机服务路径风险等级及用户设置的主机重要度等级,得到主机服务风险等级。
由主机服务路径风险值换算得到主机服务路径风险等级,主机服务路径风险等级换算表与表2类似,只需将主机路径风险值变为主机服务路径风险值,将主机路径风险等级变为主机服务路径风险等级;依次类推,对主机服务路径风险等级及用户设置的主机服务重要度等级进行矩阵换算,得到主机服务风险等级(主机服务攻击暴露面指标),主机服务风险等级矩阵换算表与表3类似,只需将主机路径风险等级变为主机服务路径风险等级,将主机重要度风险等级变为主机服务重要度风险等级。
本发明提供了一种局域网环境中主机和服务攻击暴露面分析方法及系统,通过获取局域网内主机的基础信息、防火墙安全策略与主机ip地址通路数据流;根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;根据所述端口暴露数量及ip地址范围,获取对应单条路径的风险等级,根据主机内所有路径的风险等级,得到主机风险等级,所述主机风险等级即为主机攻击暴露面指标;
通过获取局域网内主机服务通路信息、防火墙安全策略与主机ip地址通路数据流;根据所述主机服务通路、防火墙安全策略与主机ip地址通路数据流,得到主机服务的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;根据所述端口暴露数量及ip地址范围,获取对应的单条路径风险等级,根据主机服务中所有路径风险等级,得到主机服务风险等级,所述主机服务风险等级即为主机服务攻击暴露面指标;
实现了全面的获取主机和服务的攻击暴露面指标;攻击暴露面分析以局域网网主机、服务为对象,分析有多少路径可以请求访问过来,从安全路径角度描述其对外的暴露情况,帮助用户及时了解重要主机或服务对外易受攻击暴露面的大小,可以根据获取的主机和服务的攻击暴露面指标,预防性的设置防护措施,以辅助用户进行暴露面收敛与路径安全加固,提高网络安全,保护数据财产安全。
以上所述本发明的具体实施方式,并不构成对本发明保护范围的限定。任何根据本发明的技术构思所做出的各种其他相应的改变与变形,均应包含在本发明权利要求的保护范围内。

Claims (10)

1.一种局域网环境中主机和服务攻击暴露面分析方法,其特征在于,包括局域网环境中主机攻击暴露面分析方法和局域网环境中主机服务暴露面分析方法;
所述局域网环境中主机攻击暴露面分析方法,包括以下步骤,
获取局域网内主机的基础信息、防火墙安全策略与主机ip地址通路数据流;根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;根据所述端口暴露数量及ip地址范围,获取对应单条路径的风险等级,根据主机内所有路径的风险等级,得到主机风险等级,所述主机风险等级即为主机攻击暴露面指标;
所述局域网环境中主机服务攻击暴露面分析方法,包括以下步骤,
获取局域网内主机服务通路信息、防火墙安全策略与主机ip地址通路数据流;根据所述主机服务通路、防火墙安全策略与主机ip地址通路数据流,得到主机服务的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;根据所述端口暴露数量及ip地址范围,获取对应的单条路径风险等级,根据主机服务中所有路径风险等级,得到主机服务风险等级,所述主机服务风险等级即为主机服务攻击暴露面指标。
2.根据权利要求1所述的局域网环境中主机和服务攻击暴露面分析方法,其特征在于,所述根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围,具体包括:
以防火墙内所有子网为源地址,以主机的ip地址为目的地址,根据防火墙安全策略,获取从子网经过端口到主机的允许访问路径,单条允许访问路径即为主机的单条风险路径;根据所述主机的单条风险路径中的协议数量及端口数量,获取每条风险路径的端口暴露数量,根据所述主机的单条风险路径中的ip地址,确定单条风险路径的ip地址范围。
3.根据权利要求1所述的局域网环境中主机和服务攻击暴露面分析方法,其特征在于,所述根据主机内所有路径的风险等级,得到主机风险等级,具体包括,对主机内所有路径的风险等级求和,得到主机路径风险值,由所述主机路径风险值得到主机路径风险等级,由所述主机路径风险等级及用户设置的主机重要度等级,得到主机风险等级。
4.根据权利要求1所述的局域网环境中主机和服务攻击暴露面分析方法,其特征在于,所述根据所述主机服务通路、防火墙安全策略与主机ip地址通路数据流,得到主机服务的单条风险路径、每条风险路径的端口暴露数量及ip地址范围,具体包括:
以防火墙内所有子网为源地址,以主机的ip地址及对应的主机服务端口为目的地址,根据防火墙安全策略,获取从子网经过端口到主机服务的允许访问路径,单条允许访问路径即为主机服务的单条风险路径;根据所述主机服务的单条风险路径中的协议数量及端口数量,获取每条风险路径的端口暴露数量;根据所述主机服务的单条风险路径中ip地址,确定单条风险路径的ip地址范围。
5.根据权利要求1所述的局域网环境中主机和服务攻击暴露面分析方法,其特征在于,所述根据主机服务中所有路径风险等级,得到主机服务风险等级,具体包括,对主机服务中所有路径的风险等级求和,得到主机服务路径风险值,由所述主机服务路径风险值,得到主机服务路径风险等级,由主机服务路径风险等级及用户设置的主机重要度等级,得到主机服务风险等级。
6.一种局域网环境中主机和服务攻击暴露面分析系统,其特征在于,包括主机及防火墙数据获取模块、主机风险路径获取模块、主机攻击暴露面指标获取模块、主机服务通路信息获取模块、主机服务风险路路径获取模块、主机攻击暴露面指标获取模块,
所述主机及防火墙数据获取模块,用于获取局域网内主机的基础信息、防火墙安全策略与主机ip地址通路数据流;
所述主机风险路径获取模块,用于根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;
主机攻击暴露面指标获取模块,用于根据所述端口暴露数量及ip地址范围,获取对应单条路径的风险等级,根据主机内所有路径的风险等级,得到主机风险等级,所述主机风险等级即为主机攻击暴露面指标;
主机服务通路信息获取模块,用于获取局域网内主机服务通路信息;
主机服务风险路路径获取模块,用于根据所述主机服务通路、防火墙安全策略与主机ip地址通路数据流,得到主机服务的单条风险路径、每条风险路径的端口暴露数量及ip地址范围;
主机攻击暴露面指标获取模块,用于根据所述端口暴露数量及ip地址范围,获取对应的单条路径风险等级,根据主机服务中所有路径风险等级,得到主机服务风险等级,所述主机服务风险等级即为主机服务攻击暴露面指标。
7.根据权利要求6所述的局域网环境中主机和服务攻击暴露面分析系统,其特征在于,所述主机风险路径获取模块根据所述基础信息、防火墙安全策略与主机ip地址通路数据流,得到主机的单条风险路径、每条风险路径的端口暴露数量及ip地址范围,具体包括,
以防火墙内所有子网为源地址,以主机的ip地址为目的地址,根据防火墙安全策略,获取从子网经过端口到主机的允许访问路径,单条允许访问路径即为主机的单条风险路径;根据所述主机的单条风险路径中的协议数量及端口数量,获取每条风险路径的端口暴露数量,根据所述主机的单条风险路径中的ip地址,确定单条风险路径的ip地址范围。
8.根据权利要求6所述的局域网环境中主机和服务攻击暴露面分析系统,其特征在于,所述主机攻击暴露面指标获取模块根据主机内所有路径的风险等级,得到主机风险等级,具体包括,
对主机内所有路径的风险等级求和,得到主机路径风险值,由所述主机路径风险值得到主机路径风险等级,由所述主机路径风险等级及用户设置的主机重要度等级,得到主机风险等级。
9.根据权利要求6所述的局域网环境中主机和服务攻击暴露面分析系统,其特征在于,所述主机服务风险路路径获取模块根据所述主机服务通路、防火墙安全策略与主机ip地址通路数据流,得到主机服务的单条风险路径、每条风险路径的端口暴露数量及ip地址范围,具体包括,
以防火墙内所有子网为源地址,以主机的ip地址及对应的主机服务端口为目的地址,根据防火墙安全策略,获取从子网经过端口到主机服务的允许访问路径,单条允许访问路径即为主机服务的单条风险路径;根据所述主机服务的单条风险路径中的协议数量及端口数量,获取每条风险路径的端口暴露数量;根据所述主机服务的单条风险路径中ip地址,确定单条风险路径的ip地址范围。
10.根据权利要求6所述所述的局域网环境中主机和服务攻击暴露面分析系统,其特征在于,所述主机攻击暴露面指标获取模块根据主机服务中所有路径风险等级,得到主机服务风险等级,具体包括,
对主机服务中所有路径的风险等级求和,得到主机服务路径风险值,由所述主机服务路径风险值,得到主机服务路径风险等级,由主机服务路径风险等级及用户设置的主机重要度等级,得到主机服务风险等级。
CN201910894861.1A 2019-09-20 2019-09-20 一种局域网环境中主机和服务的攻击暴露面分析方法及系统 Active CN110677400B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910894861.1A CN110677400B (zh) 2019-09-20 2019-09-20 一种局域网环境中主机和服务的攻击暴露面分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910894861.1A CN110677400B (zh) 2019-09-20 2019-09-20 一种局域网环境中主机和服务的攻击暴露面分析方法及系统

Publications (2)

Publication Number Publication Date
CN110677400A true CN110677400A (zh) 2020-01-10
CN110677400B CN110677400B (zh) 2020-09-29

Family

ID=69078601

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910894861.1A Active CN110677400B (zh) 2019-09-20 2019-09-20 一种局域网环境中主机和服务的攻击暴露面分析方法及系统

Country Status (1)

Country Link
CN (1) CN110677400B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110855722A (zh) * 2020-01-16 2020-02-28 北京安博通科技股份有限公司 一种主机风险评估方法及装置
CN113489720A (zh) * 2021-07-01 2021-10-08 中电智恒信息科技服务有限公司 一种超大规模网络中攻击暴露面分析方法及系统
CN115086013A (zh) * 2022-06-13 2022-09-20 北京奇艺世纪科技有限公司 风险识别方法、装置、电子设备、存储介质和计算机程序产品

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101951329A (zh) * 2010-09-27 2011-01-19 北京系统工程研究所 一种网络安全态势评估方法及系统
CN102170431A (zh) * 2011-03-25 2011-08-31 中国电子科技集团公司第三十研究所 一种主机风险评估方法和装置
WO2014043497A1 (en) * 2012-09-14 2014-03-20 Mastercard International Incorporated Methods and systems for evaluating software for known vulnerabilities
CN105141598A (zh) * 2015-08-14 2015-12-09 中国传媒大学 基于恶意域名检测的apt攻击检测方法及装置
CN106789955A (zh) * 2016-11-30 2017-05-31 山东省计算中心(国家超级计算济南中心) 一种网络安全态势评估方法
WO2018177210A1 (zh) * 2017-03-27 2018-10-04 新华三技术有限公司 防御apt攻击
CN109587120A (zh) * 2018-11-15 2019-04-05 北京天融信网络安全技术有限公司 通过目标感知进行威胁报警的方法、装置及设备
US10320829B1 (en) * 2016-08-11 2019-06-11 Balbix, Inc. Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101951329A (zh) * 2010-09-27 2011-01-19 北京系统工程研究所 一种网络安全态势评估方法及系统
CN102170431A (zh) * 2011-03-25 2011-08-31 中国电子科技集团公司第三十研究所 一种主机风险评估方法和装置
WO2014043497A1 (en) * 2012-09-14 2014-03-20 Mastercard International Incorporated Methods and systems for evaluating software for known vulnerabilities
CN105141598A (zh) * 2015-08-14 2015-12-09 中国传媒大学 基于恶意域名检测的apt攻击检测方法及装置
US10320829B1 (en) * 2016-08-11 2019-06-11 Balbix, Inc. Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network
CN106789955A (zh) * 2016-11-30 2017-05-31 山东省计算中心(国家超级计算济南中心) 一种网络安全态势评估方法
WO2018177210A1 (zh) * 2017-03-27 2018-10-04 新华三技术有限公司 防御apt攻击
CN109587120A (zh) * 2018-11-15 2019-04-05 北京天融信网络安全技术有限公司 通过目标感知进行威胁报警的方法、装置及设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
NIHEL BEN YOUSSEF BEN SOUAYEH等: "Towards Safe and Optimal Network Designs Based on Network Security Requirements", 《2012 IEEE 11TH INTERNATIONAL CONFERENCE ON TRUST, SECURITY AND PRIVACY IN COMPUTING AND COMMUNICATIONS》 *
戴方芳: "基于攻击图理论的网络安全风险评估技术研究", 《中国博士学位论文全文数据库 信息科技辑》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110855722A (zh) * 2020-01-16 2020-02-28 北京安博通科技股份有限公司 一种主机风险评估方法及装置
CN113489720A (zh) * 2021-07-01 2021-10-08 中电智恒信息科技服务有限公司 一种超大规模网络中攻击暴露面分析方法及系统
CN113489720B (zh) * 2021-07-01 2023-09-08 中电智恒信息科技服务有限公司 一种超大规模网络中攻击暴露面分析方法及系统
CN115086013A (zh) * 2022-06-13 2022-09-20 北京奇艺世纪科技有限公司 风险识别方法、装置、电子设备、存储介质和计算机程序产品

Also Published As

Publication number Publication date
CN110677400B (zh) 2020-09-29

Similar Documents

Publication Publication Date Title
CN110677400B (zh) 一种局域网环境中主机和服务的攻击暴露面分析方法及系统
US10356106B2 (en) Detecting anomaly action within a computer network
US20160234094A1 (en) Streaming method and system for processing network metadata
EP3223495B1 (en) Detecting an anomalous activity within a computer network
CN108111487B (zh) 一种安全监控方法及系统
WO2005038598A2 (en) Policy-based network security management
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
US10567441B2 (en) Distributed security system
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
US11381593B2 (en) System and method for providing insights on distributed denial of service attacks
Beverly et al. Initial longitudinal analysis of IP source spoofing capability on the Internet
Ubaid et al. Mitigating address spoofing attacks in hybrid SDN
US20160006764A1 (en) Distributed network instrumentation system
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
Munther et al. Scalable and secure SDN based ethernet architecture by suppressing broadcast traffic
Callau-Zori et al. STONE: a stream-based DDoS defense framework
Amin et al. Edge-computing with graph computation: A novel mechanism to handle network intrusion and address spoofing in SDN
Montanari et al. Confidentiality of event data in policy-based monitoring
KR20090116206A (ko) 클라이언트 ddos 방어 시스템 및 그 방법
Zhang et al. A SDN Proactive Defense Scheme Based on IP and MAC Address Mutation
WO2019070216A2 (en) FIREWALL EFFECTIVENESS MEASUREMENT WITH MULTIPORT INTRUSION DETECTION SYSTEM
dos Santos et al. Botnet master detection using a mashup-based approach
Buchner A SDN-operated MEC node for network cybersecurity assurance
Su et al. SE Dots: a sensitive and extensible framework for cross-region DDoS processing
Lee et al. An Abnormal Connection Detection System based on network flow analysis

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant