CN111028085A - 一种基于主被动结合的网络靶场资产信息采集方法及装置 - Google Patents
一种基于主被动结合的网络靶场资产信息采集方法及装置 Download PDFInfo
- Publication number
- CN111028085A CN111028085A CN201910247650.9A CN201910247650A CN111028085A CN 111028085 A CN111028085 A CN 111028085A CN 201910247650 A CN201910247650 A CN 201910247650A CN 111028085 A CN111028085 A CN 111028085A
- Authority
- CN
- China
- Prior art keywords
- data
- operating system
- component
- service application
- comparison sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000001514 detection method Methods 0.000 claims abstract description 49
- 238000005516 engineering process Methods 0.000 claims description 12
- 238000010276 construction Methods 0.000 claims description 4
- 230000010354 integration Effects 0.000 claims description 3
- 239000000523 sample Substances 0.000 description 65
- 230000007123 defense Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/06—Asset management; Financial planning or analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Abstract
本发明实施例公开了一种基于主被动结合的网络靶场资产信息采集方法及装置,涉及网络安全领域,所述方法包括:分析记录指纹特征,构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库;经配置探测网络靶场环境中的联网主机;采用主动探测的方式采集联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;采用被动探测的方式采集联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;整合主动探测和被动探测采集到的资产信息数据,形成完整的网络靶场资产信息列表。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种基于主被动结合的网络靶场资产信息采集方法及装置。
背景技术
网络靶场是进行网络攻防武器试验的专业实验室,也是各国“网军”提前演练战术战法的练兵场。网络靶场通过虚拟环境与真实设备相结合,模拟仿真出真实网络空间攻防作战环境,可有效针对敌方的电子和网络攻击等进行战争预演,迅速提升网络攻防作战能力。网络靶场环境复杂,存在多区域隔离、虚拟机与实体机的多种结合、虚拟资产和实体资产并存的情况,单纯的虚拟资产管理不能实现对整个网络靶场环境中的资产进行全面管理。
发明内容
有鉴于此,本发明实施例提供了一种基于主被动结合的网络靶场资产信息采集方法及装置,采用主动与被动结合的方式来采集网络靶场环境中的资产信息,很好的解决了当前网络靶场环境复杂,存在多区域隔离、虚拟机与实体机的多种结合、虚拟资产和实体资产并存的情况,单纯的虚拟资产管理不能实现对整个网络靶场环境中的资产进行全面管理的问题,实现了对网络靶场环境中的资产进行全面完整的发现与收集,并为后续的网络靶场内资产管理提供更有效的数据。
第一方面,本发明实施例提供一种基于主被动结合的网络靶场资产信息采集方法,包括:
分析记录指纹特征,构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库;
经配置探测网络靶场环境中的联网主机;
采用主动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
采用被动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
整合主动探测和被动探测采集到的资产信息数据,去除相同的信息数据,合并两种探测方法各自采集的操作系统信息和服务应用或组件信息,形成完整的网络靶场资产信息列表。
根据本发明实施例的一种具体实现方式,所述构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库,具体包括:
分析已知操作系统,从IP报文头部数据与TCP报文数据中寻找不同系统之间的差异,记录已知操作系统的指纹特征,存入操作系统指纹库,构建操作系统指纹对比样本库;分析常用服务应用或组件中的数据包结构与端口信息,记录其发送数据报文的既定偏移位置或对应的标识符相关指纹特征,存入服务应用或组件指纹库,构建服务应用或组件指纹对比样本库。
根据本发明实施例的一种具体实现方式,所述探测网络靶场环境中的联网主机,具体包括:
使用扫描技术和规避技术对当前网络靶场环境中配置的网络IP范围与端口范围进行探测,探测目标主机相应的端口,若端口收到一种符合规则的数据回包,则判定端口开放,每个主机只有一个开放端口,进而判定该主机联网。
根据本发明实施例的一种具体实现方式,所述采用主动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据,具体包括:
对查找到的联网主机,向其开放的特定端口发送预先设置好的TCP/UDP数据包,收集其返回的报文数据并检查特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;对查找到的联网主机,向其开放的特定端口发送预先设置的TCP/UDP数据包,收集其返回的报文数据并进行对应的处理分析,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
根据本发明实施例的一种具体实现方式,所述采用被动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据,具体包括:
对网络靶场中的流量镜像进行捕获,对采集的数据包进行解码分析,生成基础的数据流,根据IP进行划分,收集当前IP返回的报文数据并检查其特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;收集当前IP与端口的流量数据报文,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
第二方面,本发明实施例提供一种主被动结合的网络靶场资产信息采集装置,包括:
指纹对比样本库构建模块,用于构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库;
联网主机探测模块,用于探测网络靶场环境中的联网主机;
主动探测模块,用于采用主动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
被动探测模块,采用被动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
信息整合模块,用于整合主动探测和被动探测采集到的资产信息数据,去除相同的信息数据,合并两种探测方法各自采集的操作系统信息和服务应用或组件信息,形成完整的网络靶场资产信息列表。
根据本发明实施例的一种具体实现方式,所述指纹对比样本库构建模块,具体用于:
分析已知操作系统,从IP报文头部数据与TCP报文数据中寻找不同系统之间的差异,记录已知操作系统的指纹特征,存入操作系统指纹库,构建操作系统指纹对比样本库;分析常用服务应用或组件中的数据包结构与端口信息,记录其发送数据报文的既定偏移位置或对应的标识符相关指纹特征,存入服务应用或组件指纹库,构建服务应用或组件指纹对比样本库。
根据本发明实施例的一种具体实现方式,所述联网主机探测模块,具体用于:
使用扫描技术和规避技术对当前网络靶场环境中配置的网络IP范围与端口范围进行探测,探测目标主机相应的端口,若端口收到一种符合规则的数据回包,则判定端口开放,每个主机只有一个开放端口,进而判定该主机联网。
根据本发明实施例的一种具体实现方式,所述主动探测模块,具体用于:
对查找到的联网主机,向其开放的特定端口发送预先设置好的TCP/UDP数据包,收集其返回的报文数据并检查特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;对查找到的联网主机,向其开放的特定端口发送预先设置的TCP/UDP数据包,收集其返回的报文数据并进行对应的处理分析,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务或应用组件信息。
根据本发明实施例的一种具体实现方式,所述被动探测模块,具体用于:对网络靶场中的流量镜像进行捕获,对采集的数据包进行解码分析,生成基础的数据流,根据IP进行划分,收集当前IP返回的报文数据并检查其特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;收集当前IP与端口的流量数据报文,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
本发明实施例提供了一种基于主被动结合的网络靶场资产信息采集方法及装置,采用主动与被动结合的方式来采集网络靶场环境中的资产信息,很好的解决了当前网络靶场环境复杂,存在多区域隔离、虚拟机与实体机的多种结合、虚拟资产和实体资产并存的情况,单纯的虚拟资产管理不能实现对整个网络靶场环境中的资产进行全面管理的问题,实现了对网络靶场环境中的资产进行全面完整的发现与收集,并为后续的网络靶场内资产管理提供更有效的数据。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的一种基于主被动结合的网络靶场资产信息采集方法的实施例流程图;
图2本发明的一种基于主被动结合的网络靶场资产信息采集装置的实施例结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
第一方面,本发明实施例提供一种基于主被动结合的网络靶场资产信息采集方法,实现了对网络靶场环境中的资产进行全面完整的发现与收集,并为后续的网络靶场内资产管理提供更有效的数据。
图1为本发明的一种基于主被动结合的网络靶场资产信息采集方法实施例流程图,包括:
S101:分析记录指纹特征,构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库。
S102:经配置探测网络靶场环境中的联网主机。
S103:采用主动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据。
S104:采用被动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据。
S105:整合主动探测和被动探测采集到的资产信息数据,去除相同的信息数据,合并两种探测方法各自采集的操作系统信息和服务应用或组件信息,形成完整的网络靶场资产信息列表。
优选地,所述构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库,具体包括:分析已知操作系统,从IP报文头部数据与TCP报文数据中寻找不同系统之间的差异,记录已知操作系统的指纹特征,存入操作系统指纹库,构建操作系统指纹对比样本库;分析常用服务应用或组件中的数据包结构与端口信息,记录其发送数据报文的既定偏移位置或对应的标识符相关指纹特征,存入服务应用或组件指纹库,构建服务应用或组件指纹对比样本库。
优选地,所述探测网络靶场环境中的联网主机,具体包括:使用扫描技术和规避技术对当前网络靶场环境中配置的网络IP范围与端口范围进行探测,探测目标主机相应的端口,若端口收到一种符合规则的数据回包,则判定端口开放,每个主机只有一个开放端口,进而判定该主机联网。
优选地,所述采用主动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据,具体包括:
对查找到的联网主机,向其开放的特定端口发送预先设置好的TCP/UDP数据包,收集其返回的报文数据并检查特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;对查找到的联网主机,向其开放的特定端口发送预先设置的TCP/UDP数据包,收集其返回的报文数据并进行对应的处理分析,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定服务应用或组件信息。
优选地,对于WEB服务程序,通过发送特定HTTP请求去检测服务器信息,对其返回的meta信息、script标签、header信息、session、error page、包括网页的某些内容指纹来确定联网主机的服务与应用组件信息。
优选地,所述采用被动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据,具体包括:
对网络靶场中的流量镜像进行捕获,对采集的数据包进行解码分析,生成基础的数据流,根据IP进行划分,收集当前IP返回的报文数据并检查其特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;收集当前IP与端口的流量数据报文,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
本发明实施例采用主动资产探测与被动资产探测结合的方式来采集网络靶场环境中的资产信息,很好的解决了当前网络靶场环境复杂,存在多区域隔离、虚拟机与实体机的多种结合、虚拟资产和实体资产并存的情况,单纯的虚拟资产管理不能实现对整个网络靶场环境中的资产进行全面管理的问题,实现了对网络靶场环境中的资产进行全面完整的发现与收集,并为后续的网络靶场内资产管理提供更有效的数据。
第二方面,本发明实施例提供一种基于主被动结合的网络靶场资产信息采集装置,实现了对网络靶场环境中的资产进行全面完整的发现与收集,并为后续的网络靶场内资产管理提供更有效的数据。
图2为本发明的一种基于主被动结合的网络靶场资产信息采集装置的实施例结构示意图,包括:
指纹对比样本库构建模块201,用于构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库;
联网主机探测模块202,用于探测网络靶场环境中的联网主机;
主动探测模块203,用于收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
被动探测模块204,用于收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
信息整合模块205,用于整合主动探测和被动探测采集到的资产信息数据,去除相同的信息数据,合并两种探测方法各自采集的操作系统信息和服务应用或组件信息,形成完整的网络靶场资产信息列表。
优选地,所述指纹对比样本库构建模块,具体用于:
分析已知操作系统,从IP报文头部数据与TCP报文数据中的寻找不同系统之间的差异,记录已知操作系统的指纹特征,存入操作系统指纹库,作为操作系统指纹对比样本库;分析常用服务应用或组件中的数据包结构与端口信息,记录其发送数据报文的既定偏移位置或对应的标识符指纹特征,存入服务应用或组件指纹库,作为服务应用或组件指纹对比样本库。
优选地,所述联网主机探测模块,具体用于:
使用扫描技术和规避技术对当前网络靶场环境中配置的网络IP范围与端口范围进行探测,探测目标主机相应的端口,若端口收到一种符合规则的数据回包,则判定端口开放,每个主机只有一个开放端口,进而判定该主机联网。
优选地,所述主动探测模块,具体用于:
对查找到的联网主机,向其开放的特定端口发送预先设置好的TCP/UDP数据包,收集其返回的报文数据并检查特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统;对查找到的联网主机,向其开放的特定端口发送预先设置的TCP/UDP数据包,收集其返回的报文数据并进行对应的处理分析,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
优选地,所述被动探测模块,具体用于:
对网络靶场中的流量镜像进行捕获,对采集的数据包进行解码分析,生成基础的数据流。根据IP进行划分,收集当前IP返回的报文数据并检查其特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;收集当前IP与端口的流量数据报文,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于主被动结合的网络靶场资产信息采集方法,其特征在于,包括:
分析记录指纹特征,构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库;
经配置探测网络靶场环境中的联网主机;
采用主动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
采用被动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
整合主动探测和被动探测采集到的资产信息数据,去除相同的信息数据,合并两种探测方法各自采集的操作系统信息和服务应用或组件信息,形成完整的网络靶场资产信息列表。
2.如权利要求1所述的方法,其特征在于,所述构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库,具体包括:
分析已知操作系统,从IP报文头部数据与TCP报文数据中寻找不同系统之间的差异,记录已知操作系统的指纹特征,存入操作系统指纹库,构建操作系统指纹对比样本库;分析常用服务应用或组件中的数据包结构与端口信息,记录其发送数据报文的既定偏移位置或对应的标识符相关指纹特征,存入服务应用或组件指纹库,构建服务应用或组件指纹对比样本库。
3.如权利要求1所述的方法,其特征在于,所述探测网络靶场环境中的联网主机,具体包括:
使用扫描技术和规避技术对当前网络靶场环境中配置的网络IP范围与端口范围进行探测,探测目标主机相应的端口,若端口收到一种符合规则的数据回包,则判定端口开放,每个主机只有一个开放端口,进而判定该主机联网。
4.如权利要求1所述的方法,其特征在于,所述采用主动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,具体包括:
对查找到的联网主机,向其开放的特定端口发送预先设置好的TCP/UDP数据包,收集其返回的报文数据并检查特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;对查找到的联网主机,向其开放的特定端口发送预先设置的TCP/UDP数据包,收集其返回的报文数据并进行对应的处理分析,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
5.如权利要求1所述方法,其特征在于,采用被动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,具体包括:
对网络靶场中的流量镜像进行捕获,对采集的数据包进行解码分析,生成基础的数据流,根据IP进行划分,收集当前IP返回的报文数据并检查其特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;收集当前IP与端口的流量数据报文,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
6.一种基于主被动结合的网络靶场资产信息采集装置,其特征在于,包括:
指纹对比样本库构建模块,用于构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库;
联网主机探测模块,用于探测网络靶场环境中的联网主机;
主动探测模块,用于收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
被动探测模块,用于收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
信息整合模块,用于整合主动探测和被动探测采集到的资产信息数据,去除相同的信息数据,合并两种探测方法各自采集的操作系统信息和服务应用或组件信息,形成完整的网络靶场资产信息列表。
7.如权利要求6所述装置,其特征在于,所述指纹对比样本库构建模块,具体用于:
分析已知操作系统,从IP报文头部数据与TCP报文数据中寻找不同系统之间的差异,记录已知操作系统的指纹特征,存入操作系统指纹库,构建操作系统指纹对比样本库;分析常用服务应用或组件中的数据包结构与端口信息,记录其发送数据报文的既定偏移位置或对应的标识符相关指纹特征,存入服务应用或组件指纹库,构建服务应用或组件指纹对比样本库。
8.如权利要求6所述装置,其特征在于,所述联网主机探测模块,具体用于:
使用扫描技术和规避技术对当前网络靶场环境中配置的网络IP范围与端口范围进行探测,探测目标主机相应的端口,若端口收到一种符合规则的数据回包,则判定端口开放,每个主机只有一个开放端口,进而判定该主机联网。
9.如权利要求6所述装置,其特征在于,所述主动探测模块,具体用于:
对查找到的联网主机,向其开放的特定端口发送预先设置好的TCP/UDP数据包,收集其返回的报文数据并检查特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;对查找到的联网主机,向其开放的特定端口发送预先设置的TCP/UDP数据包,收集其返回的报文数据并进行对应的处理分析,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
10.如权利要求6所述装置,其特征在于,所述被动探测模块,具体用于:
对网络靶场中的流量镜像进行捕获,对采集的数据包进行解码分析,生成基础的数据流,根据IP进行划分,收集当前IP返回的报文数据并检查其特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;收集当前IP与端口的流量数据报文,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910247650.9A CN111028085A (zh) | 2019-03-29 | 2019-03-29 | 一种基于主被动结合的网络靶场资产信息采集方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910247650.9A CN111028085A (zh) | 2019-03-29 | 2019-03-29 | 一种基于主被动结合的网络靶场资产信息采集方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111028085A true CN111028085A (zh) | 2020-04-17 |
Family
ID=70199488
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910247650.9A Pending CN111028085A (zh) | 2019-03-29 | 2019-03-29 | 一种基于主被动结合的网络靶场资产信息采集方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111028085A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111555988A (zh) * | 2020-04-26 | 2020-08-18 | 深圳供电局有限公司 | 一种基于大数据的网络资产测绘发现方法及装置 |
| CN111651241A (zh) * | 2020-08-04 | 2020-09-11 | 北京赛宁网安科技有限公司 | 一种网络靶场的流量采集系统与方法 |
| CN112448963A (zh) * | 2021-02-01 | 2021-03-05 | 博智安全科技股份有限公司 | 分析自动攻击工业资产的方法、装置、设备及存储介质 |
| CN113612655A (zh) * | 2021-07-27 | 2021-11-05 | 北京机沃科技有限公司 | 一种互联网资产指纹模糊探测的方法 |
| CN114124837A (zh) * | 2021-10-22 | 2022-03-01 | 南京中新赛克科技有限责任公司 | 一种基于被动流量的资产信息发现系统及方法 |
| CN114785718A (zh) * | 2022-04-07 | 2022-07-22 | 南京赛宁信息技术有限公司 | 一种网络靶场流量采集分析系统与方法 |
| CN116599775A (zh) * | 2023-07-17 | 2023-08-15 | 南京中新赛克科技有限责任公司 | 一种主被动探测结合的资产发现系统及方法 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009302625A (ja) * | 2008-06-10 | 2009-12-24 | Mitsubishi Electric Corp | ネットワーク構成情報収集分析システム及びネットワーク構成情報収集分析サーバ及びネットワーク構成情報収集分析方法 |
| US20110277034A1 (en) * | 2010-05-06 | 2011-11-10 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
| US20140007241A1 (en) * | 2012-06-27 | 2014-01-02 | Tenable Network Security, Inc. | System and method for identifying exploitable weak points in a network |
| US20140013434A1 (en) * | 2012-07-05 | 2014-01-09 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| TWI591576B (zh) * | 2016-06-27 | 2017-07-11 | Chunghwa Telecom Co Ltd | System and Method for Blocking Intelligent Information Security Network |
| CN107040552A (zh) * | 2017-06-13 | 2017-08-11 | 上海斗象信息科技有限公司 | 网络攻击路径预测方法 |
| CN108011893A (zh) * | 2017-12-26 | 2018-05-08 | 广东电网有限责任公司信息中心 | 一种基于网络资产信息采集的资产管理系统 |
| CN108092976A (zh) * | 2017-12-15 | 2018-05-29 | 北京知道创宇信息技术有限公司 | 设备指纹构造方法及装置 |
| CN108173692A (zh) * | 2017-12-28 | 2018-06-15 | 山东华软金盾软件股份有限公司 | 一种基于主动和被动相结合的全网设备感知系统和感知方法 |
| CN208210002U (zh) * | 2017-12-25 | 2018-12-07 | 云南电网有限责任公司信息中心 | 基于峰谷调度策略的it资源攻击面信息采集与分析系统 |
| CN111555988A (zh) * | 2020-04-26 | 2020-08-18 | 深圳供电局有限公司 | 一种基于大数据的网络资产测绘发现方法及装置 |
| CN111756598A (zh) * | 2020-06-23 | 2020-10-09 | 北京凌云信安科技有限公司 | 一种基于主动探测与流量分析结合的资产发现方法 |
| CN112260861A (zh) * | 2020-10-13 | 2021-01-22 | 上海奇甲信息科技有限公司 | 一种基于流量感知的网络资产拓扑识别方法 |
| CN113328996A (zh) * | 2021-05-08 | 2021-08-31 | 中国电子科技集团公司第三十研究所 | 一种基于目标感知的安全策略智能配置方法 |
-
2019
- 2019-03-29 CN CN201910247650.9A patent/CN111028085A/zh active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009302625A (ja) * | 2008-06-10 | 2009-12-24 | Mitsubishi Electric Corp | ネットワーク構成情報収集分析システム及びネットワーク構成情報収集分析サーバ及びネットワーク構成情報収集分析方法 |
| US20110277034A1 (en) * | 2010-05-06 | 2011-11-10 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
| US20140007241A1 (en) * | 2012-06-27 | 2014-01-02 | Tenable Network Security, Inc. | System and method for identifying exploitable weak points in a network |
| US20140013434A1 (en) * | 2012-07-05 | 2014-01-09 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| TWI591576B (zh) * | 2016-06-27 | 2017-07-11 | Chunghwa Telecom Co Ltd | System and Method for Blocking Intelligent Information Security Network |
| CN107040552A (zh) * | 2017-06-13 | 2017-08-11 | 上海斗象信息科技有限公司 | 网络攻击路径预测方法 |
| CN108092976A (zh) * | 2017-12-15 | 2018-05-29 | 北京知道创宇信息技术有限公司 | 设备指纹构造方法及装置 |
| CN208210002U (zh) * | 2017-12-25 | 2018-12-07 | 云南电网有限责任公司信息中心 | 基于峰谷调度策略的it资源攻击面信息采集与分析系统 |
| CN108011893A (zh) * | 2017-12-26 | 2018-05-08 | 广东电网有限责任公司信息中心 | 一种基于网络资产信息采集的资产管理系统 |
| CN108173692A (zh) * | 2017-12-28 | 2018-06-15 | 山东华软金盾软件股份有限公司 | 一种基于主动和被动相结合的全网设备感知系统和感知方法 |
| CN111555988A (zh) * | 2020-04-26 | 2020-08-18 | 深圳供电局有限公司 | 一种基于大数据的网络资产测绘发现方法及装置 |
| CN111756598A (zh) * | 2020-06-23 | 2020-10-09 | 北京凌云信安科技有限公司 | 一种基于主动探测与流量分析结合的资产发现方法 |
| CN112260861A (zh) * | 2020-10-13 | 2021-01-22 | 上海奇甲信息科技有限公司 | 一种基于流量感知的网络资产拓扑识别方法 |
| CN113328996A (zh) * | 2021-05-08 | 2021-08-31 | 中国电子科技集团公司第三十研究所 | 一种基于目标感知的安全策略智能配置方法 |
Non-Patent Citations (1)
| Title |
|---|
| 王宸东,等: "网络资产探测技术研究", 计算机科学 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111555988A (zh) * | 2020-04-26 | 2020-08-18 | 深圳供电局有限公司 | 一种基于大数据的网络资产测绘发现方法及装置 |
| CN111555988B (zh) * | 2020-04-26 | 2023-11-03 | 深圳供电局有限公司 | 一种基于大数据的网络资产测绘发现方法及装置 |
| CN111651241A (zh) * | 2020-08-04 | 2020-09-11 | 北京赛宁网安科技有限公司 | 一种网络靶场的流量采集系统与方法 |
| CN112448963A (zh) * | 2021-02-01 | 2021-03-05 | 博智安全科技股份有限公司 | 分析自动攻击工业资产的方法、装置、设备及存储介质 |
| CN113612655A (zh) * | 2021-07-27 | 2021-11-05 | 北京机沃科技有限公司 | 一种互联网资产指纹模糊探测的方法 |
| CN114124837A (zh) * | 2021-10-22 | 2022-03-01 | 南京中新赛克科技有限责任公司 | 一种基于被动流量的资产信息发现系统及方法 |
| CN114785718A (zh) * | 2022-04-07 | 2022-07-22 | 南京赛宁信息技术有限公司 | 一种网络靶场流量采集分析系统与方法 |
| CN114785718B (zh) * | 2022-04-07 | 2023-06-30 | 南京赛宁信息技术有限公司 | 一种网络靶场流量采集分析系统与方法 |
| CN116599775A (zh) * | 2023-07-17 | 2023-08-15 | 南京中新赛克科技有限责任公司 | 一种主被动探测结合的资产发现系统及方法 |
| CN116599775B (zh) * | 2023-07-17 | 2023-10-17 | 南京中新赛克科技有限责任公司 | 一种主被动探测结合的资产发现系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111028085A (zh) | 一种基于主被动结合的网络靶场资产信息采集方法及装置 | |
| US10084806B2 (en) | Traffic simulation to identify malicious activity | |
| US9680861B2 (en) | Historical analysis to identify malicious activity | |
| US9166994B2 (en) | Automation discovery to identify malicious activity | |
| US9894088B2 (en) | Data mining to identify malicious activity | |
| CN111698214A (zh) | 网络攻击的安全处理方法、装置及计算机设备 | |
| Balas et al. | Towards a third generation data capture architecture for honeynets | |
| CN112468360A (zh) | 一种基于指纹的资产发现识别和检测方法及系统 | |
| JP4883409B2 (ja) | データ類似性検査方法及び装置 | |
| CN110035062A (zh) | 一种网络验伤方法及设备 | |
| Khobragade et al. | Data generation and analysis for digital forensic application using data mining | |
| CN107426132A (zh) | 网络攻击的检测方法和装置 | |
| Liberatore et al. | Strengthening forensic investigations of child pornography on p2p networks | |
| CN112217777A (zh) | 攻击回溯方法及设备 | |
| Cukier et al. | A statistical analysis of attack data to separate attacks | |
| CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
| CN117040779A (zh) | 一种网络异常访问信息获取方法及装置 | |
| Buric et al. | Challenges in network forensics | |
| CN111106980B (zh) | 一种带宽捆绑检测方法和装置 | |
| Merkle | Automated network forensics | |
| JP2010239392A (ja) | サービス不能攻撃制御システム、装置、および、プログラム | |
| CN111031068B (zh) | 一种基于复杂网络的dns分析方法 | |
| CN114328925A (zh) | 流量数据处理方法、装置、探针设备及存储介质 | |
| CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与系统 | |
| CN112187720A (zh) | 一种二级攻击链的生成方法、装置、电子装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200417 |