CN111130947A - 一种基于服务验证的网络空间测绘方法 - Google Patents

Abstract

本发明属于一种基于服务验证的网络空间测绘方法，属于网络安全技术领域，该方法包括以下步骤：A.依次对流量日志、镜像流量、离线数据进行分析得到分析结果；B.通过脚本对分析结果进行验证得到验证结果；C.通过验证结果对空间测绘信息进行完善。通过利用数据采集获取到的服务器IP、端口、协议信息提升空间测绘效率,丰富空间测绘资产画像的维度，主动探测结验证数有效性，从而提高空间测绘整体数据的可靠性，避免主动扫描方式对网络造成巨大压力。

Description

一种基于服务验证的网络空间测绘方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于服务验证的网络空间测绘方法。

背景技术

网络空间测绘是指利用特定技术对网络空间进行探测,识别网络中的资产身份(例如服务器、路由设备、工控设备、防火墙、网关等)、服务应用(webserver、ftp、 ssh、mysql 等)等再结合其他基础数据实现对网络空间内的资产进行画像。现有测绘方法主要采用的是主动扫描方式进行实现。主动扫描是利用探测服务器对目标设备的指定端口发起连接请求根据返回情况来判断目标设备特征信息。

对于探测服务器而言，目标设备是一个未知的情况，它不知道服务器IP地址，不知道目标设备开设了多少端口服务。因此测绘只能通过特定网段的方式来对网段内所有可能存在的IP(IPV4)的所有IP进行遍历,为了能够更加准确的测绘出目标设备的资产身份，通常情况下探测服务器需要对目标设备的多个端口发起请求。由于一个IP能够开放的端口范围是1-65535, 因此想要对每一个端口进行探测的代价较大,所以一般情况下探测服务器只会针对常用端口进行扫描(例如21,22,80,443,3306等)。去除私有IP地址段,网络ID,广播ID,保留字段,本地环回127.0.0.0网段,组播224.0.0.0网段,全球实际可用IP有25.68亿。

探测服务器进行主动探测时往往需要对一个端口进行多次重试才有能够返回探测服务器所期望的指纹(banner)数据，因此我们可以计算出进行一次全网主动探测所发起的探测次数：总探测次数 = IP*端口*单个端口探测次数，由此可以看出执行一次主动探测花费的代价是非常大，但是高频率的网络探测往往会造成网络阻塞，影响正常的网络使用，在实际使用过程中一个目标可能仅仅开放了少量端口,甚至目标IP也是不可达的。因此主动探测的成功率较低。

发明内容

本发明的目的在于克服现有技术中存在的上述问题，提供一种基于服务验证的网络空间测绘方法，通过全网扫描的方式来进行空间测绘，减少空间测绘对于网络资源的大量占用，提高空间测绘效率。

为实现上述目的，本发明采用的技术方案如下。

一种基于服务验证的网络空间测绘方法，其特征在于：该方法包括以下步骤：

A.依次对流量日志、镜像流量、离线数据进行分析得到分析结果；

所述流量日志进行分析：元数据解码服务器MDP对放入指定文件夹的离线数据包进行解析；

所述像流量进行分析：从核心交换机镜像流量口接入流量至INTER网卡，利用元数据解码服务器MDP将流量数据解析成为五元组+PAYLOAD数据；

所述离线数据进行分析：从五元组信息中得到的IP、目的端口、协议，如存在PAYLAOD则使用指纹分析引擎，从PAYLOAD中识别出端口对应的设备，操作系统、应用、主键信息，同时保存原IP、目的IP的通联属性（标识两个IP直接存在数据交互）；

B.通过脚本对分析结果进行验证得到验证结果；

S1.生成验证策略：当服务器端口协议是已知时，直接使用协议对应的验证指令；当服务器端口协议是未知或者是传输层协议(TCP/UDP)时，则根据端口常用协议,传输层常用应用层协议进行服务验证(例如22端口为SSH,21为FTP,3306为mysql数据库常用端口等)生成多个验证指令；

S2. 执行验证: 发送验证指令至目标服务器,如目标服务器返回期望数据(有响应或返回指定数据)，该验证成功，则将结果保存至elasticsearch数据库中用于后期数据完善；如果验证策略中的指令都没有得到期望的结果，则增加验证指令的返回，对端口的所有协议已知协议进行服务验证；

C.通过验证结果对空间测绘信息进行完善。

所述空间测绘信息进行完善，步骤如下；

步骤一.数据采集，用于空间测绘的数据有多种来源方式,不同的数据源提供的数据内容不一致,能够分析出的数据结果也不同；

步骤二.设别有效数据，通过在数据采集中提取出有效的身份信息:

步骤三.服务验证，通过脚本对有效数据进行回访验证，步骤如下:

a.生成服务器验证命令；

b．生成验证策略（指令列队）

c.执行指令验证

步骤四.更新测绘结果，通过服务验证的数据结合地理位置库、漏洞库、会话通联属性生成空间测绘，得到最终结果。

步骤一中，所述数据有多种来源包括流量镜像、流量数据包、路由器日志、第三方数据源。

步骤二中，所述提取出有效的身份信息,步骤如下:

（1）.存活IP：存在于数据采集中的数据则定义为存活;

（2）.服务器IP：带有PAYLOAD数据的目的IP,多次出现在不同数据源的目的IP,和作为目的IP与多个IP建立了链接；

（3）.服务器端口：参考服务器IP,且带有端口信息；

（4）.带协议信息的服务器端口：从五元组数据或者带有PAYLAOD的四元组分析得出；

（5）.带身份特征的服务器资产：在服务器端口的基础上对PAYLAOD数据进行指纹识别，分析出端口的身份特征信息；

（6）.通联属性：通过服务器IP与服务器IP的4元组数据保存,用于后续构建通联关系。

采用本发明的优点在于。

1、通过利用数据采集获取到的服务器IP、端口、协议信息提升空间测绘效率,丰富空间测绘资产画像的维度，主动探测结验证数有效性，从而提高空间测绘整体数据的可靠性，避免主动扫描方式对网络造成巨大压力。

2、通过地理位置库、漏洞库、会话通联属性使空间测绘信息更加丰富。

3、通过绘制空间测绘通联关系，将空间测绘中的重点资产关联起来，提升空间测绘的使用价值。

具体实施方式

下面对本发明做进一步的说明。

实施例1

一种基于服务验证的网络空间测绘方法，其特征在于：该方法包括以下步骤：

A.依次对流量日志、镜像流量、离线数据进行分析得到分析结果；

所述流量日志进行分析：元数据解码服务器MDP对放入指定文件夹的离线数据包进行解析；

所述像流量进行分析：从核心交换机镜像流量口接入流量至INTER网卡，利用元数据解码服务器MDP将流量数据解析成为五元组+PAYLOAD数据；

所述离线数据进行分析：从五元组信息中得到的IP、目的端口、协议，如存在PAYLAOD则使用指纹分析引擎，从PAYLOAD中识别出端口对应的设备，操作系统、应用、主键信息，同时保存原IP、目的IP的通联属性（标识两个IP直接存在数据交互）；

B.通过脚本对分析结果进行验证得到验证结果；

S1.生成验证策略：当服务器端口协议是已知时，直接使用协议对应的验证指令；当服务器端口协议是未知或者是传输层协议(TCP/UDP)时，则根据端口常用协议,传输层常用应用层协议进行服务验证(例如22端口为SSH,21为FTP,3306为mysql数据库常用端口等)生成多个验证指令；

S2. 执行验证: 发送验证指令至目标服务器,如目标服务器返回期望数据(有响应或返回指定数据)，该验证成功，则将结果保存至elasticsearch数据库中用于后期数据完善；如果验证策略中的指令都没有得到期望的结果，则增加验证指令的返回，对端口的所有协议已知协议进行服务验证；

C.通过验证结果对空间测绘信息进行完善。

所述空间测绘信息进行完善，步骤如下；

步骤一.数据采集，用于空间测绘的数据有多种来源方式,不同的数据源提供的数据内容不一致,能够分析出的数据结果也不同，如表一；

表一

步骤二.设别有效数据，通过在数据采集中提取出有效的身份信息:

步骤三.服务验证，通过脚本对有效数据进行回访验证，步骤如下:

a.生成服务器验证命令；

b．生成验证策略（指令列队）；

c.执行指令验证；

有效数据生成服务器验证命令，为了达到精确验证的目的验证命令包含IP,端口协议列表数据，如下实例：

{"ip":"10.29.30.12","ports":[{"port":"443","protocol":"tcp"},{"port":"3306","protocol":"mysql"},{"port":"9200","protocol":""}]}

该命令标识需要对ip:10.29.30.12的443,3306,9200端口进行验证,443端口校验TCP相关的业务协议,3306校验端口校验mysql业务协议,920未指定特定协议，则校验常用业务协议。

不同的有效数据生成的指令也存在差异，如表二：

表二

验证服务器根据不同的验证命令生成不同的验证策略,验证策略由多个指令队列构成,每一个指令将会向服务器发起验证请求,再判断返回数据是否有效是否真实,如果是真实的则解析验证结果,将结果发送至空间测绘服务器。

步骤四.更新测绘结果，通过服务验证的数据结合地理位置库、漏洞库、会话通联属性生成空间测绘，得到最终结果。

步骤一中，所述数据有多种来源包括流量镜像、流量数据包、路由器日志、第三方数据源。

步骤二中，所述提取出有效的身份信息,步骤如下:

（1）.存活IP：存在于数据采集中的数据则定义为存活;

（2）.服务器IP：带有PAYLOAD数据的目的IP,多次出现在不同数据源的目的IP,和作为目的IP与多个IP建立了链接；

（3）.服务器端口：参考服务器IP,且带有端口信息；

（4）.带协议信息的服务器端口：从五元组数据或者带有PAYLAOD的四元组分析得出；

（5）.带身份特征的服务器资产：在服务器端口的基础上对PAYLAOD数据进行指纹识别，分析出端口的身份特征信息；

（6）.通联属性：通过服务器IP与服务器IP的4元组数据保存,用于后续构建通联关系。

通过利用数据采集获取到的服务器IP、端口、协议信息提升空间测绘效率,丰富空间测绘资产画像的维度，主动探测结验证数有效性，从而提高空间测绘整体数据的可靠性，避免主动扫描方式对网络造成巨大压力。

通过地理位置库、漏洞库、会话通联属性使空间测绘信息更加丰富。

通过绘制空间测绘通联关系，将空间测绘中的重点资产关联起来，提升空间测绘的使用价值。

以上所述实施例仅表达了本申请的具体实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请技术方案构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。

Claims (4)

1.一种基于服务验证的网络空间测绘方法，其特征在于：该方法包括以下步骤：

A.依次对流量日志、镜像流量、离线数据进行分析得到分析结果；

所述流量日志进行分析：元数据解码服务器MDP对放入指定文件夹的离线数据包进行解析；

所述像流量进行分析：从核心交换机镜像流量口接入流量至INTER网卡，利用元数据解码服务器MDP将流量数据解析成为五元组+PAYLOAD数据；

所述离线数据进行分析：从五元组信息中得到的IP、目的端口、协议，如存在PAYLAOD则使用指纹分析引擎，从PAYLOAD中识别出端口对应的设备，操作系统、应用、主键信息，同时保存原IP、目的IP的通联属性；

B.通过脚本对分析结果进行验证得到验证结果，步骤如下；

S1.生成验证策略：当服务器端口协议是已知时，直接使用协议对应的验证指令；当服务器端口协议是未知或者是传输层协议时，则根据端口常用协议,传输层常用应用层协议进行服务验证生成多个验证指令；

S2. 执行验证: 发送验证指令至目标服务器,如目标服务器返回期望数据(有响应或返回指定数据)，该验证成功，则将结果保存至elasticsearch数据库中；如果验证策略中的指令都没有得到期望的结果，则增加验证指令的返回，对端口的所有协议已知协议进行服务验证；

C.通过验证结果对空间测绘信息进行完善。

2.如权利要求1所述的一种基于服务验证的网络空间测绘方法，其特征在于：所述空间测绘信息进行完善，步骤如下；

步骤一.数据采集，用于空间测绘的数据有多种来源方式,不同的数据源提供的数据内容不一致,能够分析出的数据结果也不同；

步骤二.设别有效数据，通过在数据采集中提取出有效的身份信息:

步骤三.服务验证，通过脚本对有效数据进行回访验证，步骤如下:

a.生成服务器验证命令；

b生成验证策略（指令列队）

c.执行指令验证

步骤四.更新测绘结果，通过服务验证的数据结合地理位置库、漏洞库、会话通联属性生成空间测绘，得到最终结果。

3.如权利要求2所述的一种基于服务验证的网络空间测绘方法，其特征在于：步骤一中，所述数据有多种来源包括流量镜像、流量数据包、路由器日志、第三方数据源。

4.如权利要求2所述的一种基于服务验证的网络空间测绘方法，其特征在于：步骤二中，所述提取出有效的身份信息,步骤如下:

（1）.存活IP：存在于数据采集中的数据则定义为存活;

（2）.服务器IP：带有PAYLOAD数据的目的IP,多次出现在不同数据源的目的IP,和作为目的IP与多个IP建立了链接；

（3）.服务器端口：参考服务器IP,且带有端口信息；

（4）.带协议信息的服务器端口：从五元组数据或者带有PAYLAOD的四元组分析得出；

（5）.带身份特征的服务器资产：在服务器端口的基础上对PAYLAOD数据进行指纹识别，分析出端口的身份特征信息；

（6）.通联属性：通过服务器IP与服务器IP的4元组数据保存,用于后续构建通联关系。