一种基于主被动结合的网络靶场资产信息采集方法及装置
技术领域
本发明涉及网络安全领域,尤其涉及一种基于主被动结合的网络靶场资产信息采集方法及装置。
背景技术
网络靶场是进行网络攻防武器试验的专业实验室,也是各国“网军”提前演练战术战法的练兵场。网络靶场通过虚拟环境与真实设备相结合,模拟仿真出真实网络空间攻防作战环境,可有效针对敌方的电子和网络攻击等进行战争预演,迅速提升网络攻防作战能力。网络靶场环境复杂,存在多区域隔离、虚拟机与实体机的多种结合、虚拟资产和实体资产并存的情况,单纯的虚拟资产管理不能实现对整个网络靶场环境中的资产进行全面管理。
发明内容
有鉴于此,本发明实施例提供了一种基于主被动结合的网络靶场资产信息采集方法及装置,采用主动与被动结合的方式来采集网络靶场环境中的资产信息,很好的解决了当前网络靶场环境复杂,存在多区域隔离、虚拟机与实体机的多种结合、虚拟资产和实体资产并存的情况,单纯的虚拟资产管理不能实现对整个网络靶场环境中的资产进行全面管理的问题,实现了对网络靶场环境中的资产进行全面完整的发现与收集,并为后续的网络靶场内资产管理提供更有效的数据。
第一方面,本发明实施例提供一种基于主被动结合的网络靶场资产信息采集方法,包括:
分析记录指纹特征,构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库;
经配置探测网络靶场环境中的联网主机;
采用主动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
采用被动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
整合主动探测和被动探测采集到的资产信息数据,去除相同的信息数据,合并两种探测方法各自采集的操作系统信息和服务应用或组件信息,形成完整的网络靶场资产信息列表。
根据本发明实施例的一种具体实现方式,所述构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库,具体包括:
分析已知操作系统,从IP报文头部数据与TCP报文数据中寻找不同系统之间的差异,记录已知操作系统的指纹特征,存入操作系统指纹库,构建操作系统指纹对比样本库;分析常用服务应用或组件中的数据包结构与端口信息,记录其发送数据报文的既定偏移位置或对应的标识符相关指纹特征,存入服务应用或组件指纹库,构建服务应用或组件指纹对比样本库。
根据本发明实施例的一种具体实现方式,所述探测网络靶场环境中的联网主机,具体包括:
使用扫描技术和规避技术对当前网络靶场环境中配置的网络IP范围与端口范围进行探测,探测目标主机相应的端口,若端口收到一种符合规则的数据回包,则判定端口开放,每个主机只有一个开放端口,进而判定该主机联网。
根据本发明实施例的一种具体实现方式,所述采用主动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据,具体包括:
对查找到的联网主机,向其开放的特定端口发送预先设置好的TCP/UDP数据包,收集其返回的报文数据并检查特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;对查找到的联网主机,向其开放的特定端口发送预先设置的TCP/UDP数据包,收集其返回的报文数据并进行对应的处理分析,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
根据本发明实施例的一种具体实现方式,所述采用被动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据,具体包括:
对网络靶场中的流量镜像进行捕获,对采集的数据包进行解码分析,生成基础的数据流,根据IP进行划分,收集当前IP返回的报文数据并检查其特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;收集当前IP与端口的流量数据报文,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
第二方面,本发明实施例提供一种主被动结合的网络靶场资产信息采集装置,包括:
指纹对比样本库构建模块,用于构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库;
联网主机探测模块,用于探测网络靶场环境中的联网主机;
主动探测模块,用于采用主动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
被动探测模块,采用被动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
信息整合模块,用于整合主动探测和被动探测采集到的资产信息数据,去除相同的信息数据,合并两种探测方法各自采集的操作系统信息和服务应用或组件信息,形成完整的网络靶场资产信息列表。
根据本发明实施例的一种具体实现方式,所述指纹对比样本库构建模块,具体用于:
分析已知操作系统,从IP报文头部数据与TCP报文数据中寻找不同系统之间的差异,记录已知操作系统的指纹特征,存入操作系统指纹库,构建操作系统指纹对比样本库;分析常用服务应用或组件中的数据包结构与端口信息,记录其发送数据报文的既定偏移位置或对应的标识符相关指纹特征,存入服务应用或组件指纹库,构建服务应用或组件指纹对比样本库。
根据本发明实施例的一种具体实现方式,所述联网主机探测模块,具体用于:
使用扫描技术和规避技术对当前网络靶场环境中配置的网络IP范围与端口范围进行探测,探测目标主机相应的端口,若端口收到一种符合规则的数据回包,则判定端口开放,每个主机只有一个开放端口,进而判定该主机联网。
根据本发明实施例的一种具体实现方式,所述主动探测模块,具体用于:
对查找到的联网主机,向其开放的特定端口发送预先设置好的TCP/UDP数据包,收集其返回的报文数据并检查特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;对查找到的联网主机,向其开放的特定端口发送预先设置的TCP/UDP数据包,收集其返回的报文数据并进行对应的处理分析,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务或应用组件信息。
根据本发明实施例的一种具体实现方式,所述被动探测模块,具体用于:对网络靶场中的流量镜像进行捕获,对采集的数据包进行解码分析,生成基础的数据流,根据IP进行划分,收集当前IP返回的报文数据并检查其特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;收集当前IP与端口的流量数据报文,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
本发明实施例提供了一种基于主被动结合的网络靶场资产信息采集方法及装置,采用主动与被动结合的方式来采集网络靶场环境中的资产信息,很好的解决了当前网络靶场环境复杂,存在多区域隔离、虚拟机与实体机的多种结合、虚拟资产和实体资产并存的情况,单纯的虚拟资产管理不能实现对整个网络靶场环境中的资产进行全面管理的问题,实现了对网络靶场环境中的资产进行全面完整的发现与收集,并为后续的网络靶场内资产管理提供更有效的数据。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的一种基于主被动结合的网络靶场资产信息采集方法的实施例流程图;
图2本发明的一种基于主被动结合的网络靶场资产信息采集装置的实施例结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
第一方面,本发明实施例提供一种基于主被动结合的网络靶场资产信息采集方法,实现了对网络靶场环境中的资产进行全面完整的发现与收集,并为后续的网络靶场内资产管理提供更有效的数据。
图1为本发明的一种基于主被动结合的网络靶场资产信息采集方法实施例流程图,包括:
S101:分析记录指纹特征,构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库。
S102:经配置探测网络靶场环境中的联网主机。
S103:采用主动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据。
S104:采用被动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据。
S105:整合主动探测和被动探测采集到的资产信息数据,去除相同的信息数据,合并两种探测方法各自采集的操作系统信息和服务应用或组件信息,形成完整的网络靶场资产信息列表。
优选地,所述构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库,具体包括:分析已知操作系统,从IP报文头部数据与TCP报文数据中寻找不同系统之间的差异,记录已知操作系统的指纹特征,存入操作系统指纹库,构建操作系统指纹对比样本库;分析常用服务应用或组件中的数据包结构与端口信息,记录其发送数据报文的既定偏移位置或对应的标识符相关指纹特征,存入服务应用或组件指纹库,构建服务应用或组件指纹对比样本库。
优选地,所述探测网络靶场环境中的联网主机,具体包括:使用扫描技术和规避技术对当前网络靶场环境中配置的网络IP范围与端口范围进行探测,探测目标主机相应的端口,若端口收到一种符合规则的数据回包,则判定端口开放,每个主机只有一个开放端口,进而判定该主机联网。
优选地,所述采用主动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据,具体包括:
对查找到的联网主机,向其开放的特定端口发送预先设置好的TCP/UDP数据包,收集其返回的报文数据并检查特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;对查找到的联网主机,向其开放的特定端口发送预先设置的TCP/UDP数据包,收集其返回的报文数据并进行对应的处理分析,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定服务应用或组件信息。
优选地,对于WEB服务程序,通过发送特定HTTP请求去检测服务器信息,对其返回的meta信息、script标签、header信息、session、error page、包括网页的某些内容指纹来确定联网主机的服务与应用组件信息。
优选地,所述采用被动探测的方式,收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据,具体包括:
对网络靶场中的流量镜像进行捕获,对采集的数据包进行解码分析,生成基础的数据流,根据IP进行划分,收集当前IP返回的报文数据并检查其特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;收集当前IP与端口的流量数据报文,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
本发明实施例采用主动资产探测与被动资产探测结合的方式来采集网络靶场环境中的资产信息,很好的解决了当前网络靶场环境复杂,存在多区域隔离、虚拟机与实体机的多种结合、虚拟资产和实体资产并存的情况,单纯的虚拟资产管理不能实现对整个网络靶场环境中的资产进行全面管理的问题,实现了对网络靶场环境中的资产进行全面完整的发现与收集,并为后续的网络靶场内资产管理提供更有效的数据。
第二方面,本发明实施例提供一种基于主被动结合的网络靶场资产信息采集装置,实现了对网络靶场环境中的资产进行全面完整的发现与收集,并为后续的网络靶场内资产管理提供更有效的数据。
图2为本发明的一种基于主被动结合的网络靶场资产信息采集装置的实施例结构示意图,包括:
指纹对比样本库构建模块201,用于构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库;
联网主机探测模块202,用于探测网络靶场环境中的联网主机;
主动探测模块203,用于收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
被动探测模块204,用于收集联网主机的操作系统相关数据及服务应用或组件相关数据,并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比,确定联网主机的操作系统信息及服务应用或组件信息,形成资产信息数据;
信息整合模块205,用于整合主动探测和被动探测采集到的资产信息数据,去除相同的信息数据,合并两种探测方法各自采集的操作系统信息和服务应用或组件信息,形成完整的网络靶场资产信息列表。
优选地,所述指纹对比样本库构建模块,具体用于:
分析已知操作系统,从IP报文头部数据与TCP报文数据中的寻找不同系统之间的差异,记录已知操作系统的指纹特征,存入操作系统指纹库,作为操作系统指纹对比样本库;分析常用服务应用或组件中的数据包结构与端口信息,记录其发送数据报文的既定偏移位置或对应的标识符指纹特征,存入服务应用或组件指纹库,作为服务应用或组件指纹对比样本库。
优选地,所述联网主机探测模块,具体用于:
使用扫描技术和规避技术对当前网络靶场环境中配置的网络IP范围与端口范围进行探测,探测目标主机相应的端口,若端口收到一种符合规则的数据回包,则判定端口开放,每个主机只有一个开放端口,进而判定该主机联网。
优选地,所述主动探测模块,具体用于:
对查找到的联网主机,向其开放的特定端口发送预先设置好的TCP/UDP数据包,收集其返回的报文数据并检查特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统;对查找到的联网主机,向其开放的特定端口发送预先设置的TCP/UDP数据包,收集其返回的报文数据并进行对应的处理分析,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
优选地,所述被动探测模块,具体用于:
对网络靶场中的流量镜像进行捕获,对采集的数据包进行解码分析,生成基础的数据流。根据IP进行划分,收集当前IP返回的报文数据并检查其特定位置数据,将其与操作系统指纹对比样本库进行对比,确定匹配的操作系统信息;收集当前IP与端口的流量数据报文,获取当前应用组件数据包的检查点位置数据,将其与服务应用或组件指纹对比样本库进行对比,确定匹配的服务应用或组件信息。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。