CN111818024B - 一种网络资产信息收集及监控系统 - Google Patents

一种网络资产信息收集及监控系统 Download PDF

Info

Publication number
CN111818024B
CN111818024B CN202010581472.6A CN202010581472A CN111818024B CN 111818024 B CN111818024 B CN 111818024B CN 202010581472 A CN202010581472 A CN 202010581472A CN 111818024 B CN111818024 B CN 111818024B
Authority
CN
China
Prior art keywords
address
information
enterprise
domain name
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010581472.6A
Other languages
English (en)
Other versions
CN111818024A (zh
Inventor
吴建亮
胡鹏
徐豪伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Jeeseen Network Technologies Co Ltd
Original Assignee
Guangzhou Jeeseen Network Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Jeeseen Network Technologies Co Ltd filed Critical Guangzhou Jeeseen Network Technologies Co Ltd
Priority to CN202010581472.6A priority Critical patent/CN111818024B/zh
Publication of CN111818024A publication Critical patent/CN111818024A/zh
Application granted granted Critical
Publication of CN111818024B publication Critical patent/CN111818024B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种网络资产信息收集及监控系统,属于网络安全领域。本发明通过对主域名进行子域名爆破获取子域名集合,进一步通过ipwhois和端口扫描获得所有IP地址对应的所有网络资产信息,对所有IP地址和所有域名进行分类,有开放服务的IP地址获取的所有网络信息都与通过主站IP地址获取的所有网络资产信息进行对比,取多值分类录入所述待查企业的有用网络资产信息列表,对于其他类型分类全录入。通过对有用网络资产信息列表进行中间件扫描,拉取与中间件信息对应的漏洞列表,有漏洞报警。本发明实现了通过简单的主域名输入即可获取以企业为单位的分类网络资产信息,对网络资产进行安全监控,步骤简化,方法简单易行。

Description

一种网络资产信息收集及监控系统
技术领域
本发明涉及网络安全领域,尤其涉及一种网络资产信息收集及监控系统。
背景技术
互联网在当今社会渗透到各行各业,影响人们生活的每一个部分,成为人们生活越来越离不开的技术。但随着互联网的高速发展,网络完全成为人们越来越关心的问题,而对网络资产的管理就是网络安全中必不可少的手段。
目前在企业网络安全测试的黑盒测试中,工作人员往往只是对信息的一次性收集:即收集完信息会采用文本或者其他记事本软件记录下来,不会动态更新,结果单一,大部分情况都不会详细到具体版本。同时在黑盒测试中,端口信息收集、网站目录收集、中间件信息收集和企业网络资产IP段收集是分开进行的,非常不方便,具体到企业资产IP地址还需要纯手工去判断,而且因为企业的网络资产更新换代,在下一次测试中往往还要再重新收集一遍,严重影响效率。因此,对于网络资产信息的收集,安全工作人员也进行了很多探索。
网络资产信息收集,一般分为两种,一种为对企业内部网络资产进行信息收集,一种为从外部网络收集待查企业的网络资产信息。对于从企业内部网络进行网络资产信息收集,IP地址为已知的,只要在网关有流量产生,就可以通过已有网关的网络流量镜像抓取通过的IP地址,进而获取该IP地址对应的一些网络资产信息。而对于从外部网络进行网络资产信息收集来说,属于该待查企业的绝大部分信息对于我们来说都是不知道的,目前,从外部网络进行网络资产信息的收集通常的做法是,不采用子域名爆破,而是直接对主站IP地址的C段(如,IP地址为1.1.1.1,那么该IP的C端就是从1.1.1.1,到1.1.1.255就是该IP地址的C段所有IP地址)进行端口扫描,也有些做法是通过域名爆破子域名,然后获得子域名的IP地址,在对各子域名的IP地址进行端口扫描,然后再通过人工筛选出各IP地址的开放端口和中间件信息。该方法由人工实现,且仅通过IP地址的C段所有IP地址进行扫描,IP地址获取不全面,而且,仅进行端口扫描,获取的信息有限,零散,有时会获取到不同服务提供商的IP地址的网络资产信息,信息不准确;同时,目前的方法,不对无服务的IP地址进行网络资产信息收集,也不进行网络资产信息的分类录入。
现有技术至少存在以下不足:
1.通常仅对主站IP地址的C段所有IP地址进行端口扫描,没有针对性,完全靠运气。
2.会获取到不同服务提供商的网络资产信息,信息不准确。
3.不采用子域名爆破的方法,获取的IP地址不全面,进而收集的网络资产信息不全面。
4.不是以企业为单位进行收集,获取的信息都是零散的。
5.只对开放服务进行网络资产信息收集,也不进行分类。
发明内容
为解决现有技术中存在的技术问题,本发明提供了一种网络资产信息收集及监控系统。可以根据确定的企业名称从互联网获取其对应的企业主域名,通过主域名可以去获取其对应的IP地址,通过对主域名进行子域名爆破获取子域名集合,进一步获得所有子域名对应的所有IP地址集合,再通过所有IP地址通过ipwhois命令获取各IP地址对应的该企业信息,然后通过对所有IP地址进行端口扫描,获取各IP地址对应的相关信息,对所有IP地址和所有域名进行分类录入;对于有开放服务的IP地址的网络资产信息还需要进行对比,通过该IP地址获取的所有网络资产信息都与通过主站IP地址获取的所有网络资产信息进行模糊匹配及对比,取多值分类录入有用资产信息列表,对于有开放服务的域名、无开放服务的IP地址和无开放服务的域名下的所有网络资产信息进行分类全部录入。通过对该企业的有用网络资产信息列表进行中间件扫描,再拉取与中间件信息对应的漏洞列表,判断是否有漏洞,有漏洞则报警。本发明实现了通过简单的企业主域名输入或者主站IP地址输入即可获取该企业的有用网络资产信息,并对网络资产进行安全监控。
本发明提供了一种网络资产信息收集及监控系统,包括:
信息收集模块,根据待查企业的主域名获取主站IP地址,根据所述主域名通过子域名爆破获取所有子域名集合,再获取所有子站IP地址,对所有IP地址通过ipwhois命令和端口扫描获取各IP地址对应的所有网络资产信息;
在收集一个企业的网络资产信息时,首先会确定企业名称,然后根据企业名称可以在互联网上搜索到该企业的主域名,如果需要,还可以进一步获取该主域名对应的主站IP地址,信息收集模块可以根据主域名或主站IP地址这一信息获取网络资产信息。
信息对比模块,所述信息收集模块通过所有子站IP地址获取的所述所有网络资产信息与通过主站IP地址获取的所述所有网络资产信息进行对比,得到以企业为单位分类记录的所述待查企业的有用网络资产信息列表;
所述信息收集模块收集到的网络资产信息比较广泛,有一些可能是为该企业提供第三方服务的企业的信息,所以这一模块主要是通过与主域名获取到的信息进行对比,筛选出真正属于该企业的网络资产信息录入所述待查企业的有用网络资产信息列表。信息对比模块还需要对获取到的所有IP地址和所有域名下对应的信息进行分类,尤其对于无开放服务的信息,也进行录入。
监控模块,根据所述待查企业的有用网络资产信息列表监控网络资产的安全性;
通过信息对比模块的信息分类对比录入得到的有用网络资产信息列表,存储了该企业的所有网络资产信息,为了网络资产的安全,通过监控模块对网络资产进行安全监控,可以及时发现有用网络资产信息列表中所有网络资产存在的漏洞,并及时报警,可以提高企业网络资产的安全性。
优选地,所述信息收集模块进行的操作包括:
A.如果已知所述待查企业的主域名,则根据所述待查企业的主域名获取所述待查企业的主域名对应的主站IP地址,如果已知所述主站IP地址,则直接执行步骤B;
B.根据所述主站IP地址通过ipwhois命令从亚太互联网络信息中心APNIC获取所述主站IP地址对应的企业信息;
亚太互联网络信息中心APNIC是全球五大区域性因特网注册管理机构之一,负责亚太地区IP地址和自治域系统号ASN的分配,并管理一部分根域名服务器镜像的国际组织,它提供全球性的支持互联网操作的分派和注册服务。在该网站的搜索界面输入IP地址可以获取该IP地址对应的企业信息。
C.对主站IP地址进行端口扫描,获取所述主站IP地址对应的相关信息;
通过端口扫描可以知道该IP地址都提供了哪些服务,获取很多有用信息,提取网络资产相关的信息。对主站IP地址的所有熟知端口或自己选定的某个范围内的熟知端口分别建立连接,并记录下所收到的相应应答,通过记录就可以知道主站IP地址开放了哪些服务;
D.根据所述主域名通过子域名爆破获得所有子域名集合;
子域名爆破通常是通过字典碰撞的一种尝试,是网络资产信息收集关键的一步,通过编写的子域名爆破函数获取子域名,得到所有子域名集合,得到的子域名越多,可获取的信息也就越多,也越容易发现漏洞。
E.根据所述子域名集合中的每一个子域名获取该子域名对应的子站IP地址,得到所有子站IP地址集合;
F.根据所述所有子站IP地址集合中的每一个子站IP地址通过ipwhois命令从亚太互联网络信息中心APNIC获取该子站IP地址对应的企业信息;
G.对于获取的所述所有子站IP地址集合中的每一个IP地址进行端口扫描,获取每个IP地址对应的相关信息。
优选地,所述IP地址对应的企业信息包括:企业网络描述、网络标识、服务提供商、IP分段、联系人、联系电话、联系地址和所属国家。
优选地,所述IP地址对应的相关信息包括:中间件信息、企业徽标LOGO图片原图、企业徽标LOGO MD5和HTTPS证书信息。
现有技术中,网络资产信息收集都是零散收集,并没有以企业为单位进行,本发明中除收集待查企业的通过子域名爆破获取的子站IP地址对应的中间件信息、企业徽标LOGO图片原图、企业徽标LOGO MD5和HTTPS证书信息,还收集该待查企业的所有企业信息,包括:企业网络描述、网络标识、服务提供商、IP分段、联系人、联系电话、联系地址和所属国家,做到了以企业为单位进行网络资产信息收集,并可以提出其他服务提供商的网络资产,收集的信息更准确。
优选地,根据域名获取该域名对应的IP地址的方法包括:域名解析、在cmd命令界面中使用ping命令、dnslookup命令和dig命令。
优选地,所述信息对比模块进行的操作包括:
1A:将所有域名分类为有开放服务域名和无开放服务域名,并根据分类分别将开放服务域名和无开放服务域名对应的所有网络资产信息录入所述待查企业的有用网络资产信息列表;
1B:将所有IP地址分类为有开放服务IP地址和无开放服务IP地址,并根据分类将无开放服务IP地址对应的所有网络资产信息录入所述待查企业的有用网络资产信息列表;
1C:对所有有开放服务IP地址中每一个IP地址对应的所有网络资产信息经过对比分类录入所述待查企业的有用网络资产信息列表;
对域名进行分类,使得信息显示更清晰,更便于管理,对于有开放服务域名、无开放服务域名和无开放服务IP地址对应的所有网络资产信息,不进行对比,进行全信息分类录入;对于无开放服务IP地址和无开发域名进行记录,可以完整显示待查企业的所有网络资产信息,同时为后续扫描无开放服务IP地址,及时发现这些无开放服务的IP地址变为有开放服务做准备,以便及时进行网络资产信息的重新对比及分类,更新该待查企业的有用网络资产信息列表。
而对于有开发服务IP地址对应的所有网络资产信息,需要进行分类对比后再录入,挑选出真正属于该企业的网络资产信息进行录入。
优选地,其中步骤1C包括:
1C1:针对所有有开放服务IP地址中的每一个IP地址,进行该IP地址对应的所有网络资产信息与主站IP地址对应的所有网络资产信息的模糊匹配及对比;
通过编写的函数,进行所有网络资产信息的模糊匹配及对比,以便挑选出与主站IP地址对应的信息大部分匹配的IP地址。
1C2:如果该IP地址对应的一条信息的内容显示与主站IP地址对应的同一条信息的内容相同,且该IP地址对应的内容显示相同的信息数目占所有网络资产信息数目总数的比例超过50%,则将该IP地址对应的所有网络资产信息在有开放服务IP地址分类下录入所述待查企业的有用网络资产信息列表。
对于有开放服务IP地址,如果对于同一条信息,其显示的内容与主站IP地址该信息显示的内容相同,并且这样有相同内容的信息数目占信息总数超过50%,则认为该IP地址为真正属于该企业的子站IP地址,即录入该子站IP地址对应的所有网络资产信息,即取多值录入。
优选地,所述所有网络资产信息包括企业网络描述、网络标识、服务提供商、IP分段、联系人、联系电话、联系地址、所属国家、中间件信息、企业徽标LOGO图片原图、企业徽标LOGO MD5和HTTPS证书信息。
优选地,所述监控模块进行的操作包括:
2A:对所述待查企业的有用网络资产信息列表进行中间件扫描,获得中间件信息;
中间件通常包括iis、apache、tomcat、weblogic、jboss、jetty、glassfish和nginx等;中间件信息常用的为中间件名称和版本。
2B:根据中间件信息从信息安全漏洞网站拉取与中间件信息相关的漏洞,得到漏洞列表;
2C:将漏洞列表中的信息与中间件信息进行对比,如果中间件有漏洞,则报警。
优选地,所述监控模块还重复进行无开放服务域名和无开放服务IP地址的扫描,以发现无开放服务域名和无开放服务IP地址由无开放服务变为有开放服务,进而对该域名或IP地址对应的所有网络资产信息进行对比和重新分类录入。
与现有技术相对比,本发明的有益效果如下:
(1)本发明通过仅输入主域名实现网络资产信息的收集,实现了信息收集步骤简化,方法简单易行。
(2)本发明通过输入主域名实现网络资产信息的收集,中间不需要人工处理,实现信息收集自动化。
(3)本发明通过以企业主域名作为输入,广泛收集该企业的所有企业信息,剔除不同的服务提供商的网络资产信息,收集的信息以企业为单位,显示更清晰,更准确。
(4)本发明通过对所有IP地址和所有域名,进行有开放服务和无开放服务分类,并按照分类将对应的信息录入所述待查企业的有用网络资产信息列表,信息显示更清晰;不仅对有开放服务的域名和IP地址进行网络资产信息录入,对无开放服务的域名和IP地址也进行录入,信息收集更全面。
(5)本发明通过对无开放服务的IP地址和域名进行重复扫描,以便及时发现其变为有开放服务,实现了对有用网络资产信息列表的及时更新。
(6)本发明通过对有用网络资产信息列表进行中间件扫描,并根据扫描结果只拉取相关的漏洞列表,实现与已公布漏洞的自动对比。
附图说明
图1是本发明网络资产信息收集及监控系统流程示意图。
图2是本发明信息收集模块的流程示意图。
图3是本发明信息对比模块的流程示意图。
具体实施方式
下面结合附图1,对本发明的具体实施方式作详细的说明。
本发明提供了一种网络资产信息收集及监控系统,包括:
信息收集模块,根据待查企业的主域名获取主站IP地址,根据所述主域名通过子域名爆破获取所有子域名集合,再获取所有子站IP地址,对所有IP地址通过ipwhois命令和端口扫描获取各IP地址对应的所有网络资产信息;
在收集一个企业的网络资产信息时,首先会确定企业名称,然后根据企业名称可以在互联网上搜索到该企业的主域名,如果需要,还可以进一步获取该主域名对应的主站IP地址,信息收集模块可以根据主域名或主站IP地址这一信息获取网络资产信息。
信息对比模块,所述信息收集模块通过所有子站IP地址获取的所述所有网络资产信息与通过主站IP地址获取的所述所有网络资产信息进行对比,得到以企业为单位分类记录的所述待查企业的有用网络资产信息列表;
所述信息收集模块收集到的网络资产信息比较广泛,有一些可能是为该企业提供第三方服务的企业的信息,所以这一模块主要是通过与主域名获取到的信息进行对比,筛选出真正属于该企业的网络资产信息录入所述待查企业的有用网络资产信息列表。
信息对比模块还需要对获取到的所有IP地址和所有域名下对应的信息进行分类,对于无开放服务的信息,也进行录入,信息收集更全面。
监控模块,根据所述待查企业的有用网络资产信息列表监控网络资产的安全性;
通过信息对比模块的信息分类对比录入得到的所述待查企业的有用网络资产信息列表,存储了该企业的所有网络资产信息,为了网络资产的安全,通过监控模块对网络资产进行安全监控,可以及时发现有用网络资产信息列表中所有网络资产存在的漏洞,并及时报警,可以提高企业网络资产的安全性。
作为优选实施方式,所述信息收集模块进行的操作包括:
A.如果已知所述待查企业的主域名,则根据所述待查企业的主域名获取所述待查企业的主域名对应的主站IP地址,如果已知所述主站IP地址,则直接执行步骤B;
B.根据所述主站IP地址通过ipwhois命令从亚太互联网络信息中心APNIC获取所述主站IP地址对应的企业信息;
亚太互联网络信息中心APNIC是全球五大区域性因特网注册管理机构之一,负责亚太地区IP地址和自治域系统号ASN的分配,并管理一部分根域名服务器镜像的国际组织,它提供全球性的支持互联网操作的分派和注册服务。在该网站的搜索界面输入IP地址可以获取该IP地址对应的企业信息。
C.对主站IP地址进行端口扫描,获取所述主站IP地址对应的相关信息;
通过端口扫描可以知道该IP地址都提供了哪些服务,获取很多有用信息,提取网络资产相关的信息。对主站IP地址的所有熟知端口或自己选定的某个范围内的熟知端口分别建立连接,并记录下所收到的相应应答,通过记录就可以知道主站IP地址开放了哪些服务;
D.根据所述主域名通过子域名爆破获得所有子域名集合;
子域名爆破是网络资产信息收集关键的一步,通过编写的子域名爆破函数获取子域名,得到所有子域名集合,得到的子域名越多,可获取的信息也就越多,也越容易发现漏洞。
E.根据所述子域名集合中的每一个子域名获取该子域名对应的子站IP地址,得到所有子站IP地址集合;
F.根据所述所有子站IP地址集合中的每一个子站IP地址通过ipwhois命令从亚太互联网络信息中心APNIC获取该子站IP地址对应的企业信息;
G.对于获取的所述所有子站IP地址集合中的每一个IP地址进行端口扫描,获取每个IP地址对应的相关信息。
作为优选实施方式,所述IP地址对应的企业信息包括:企业网络描述、网络标识、服务提供商、IP分段、联系人、联系电话、联系地址和所属国家。
作为优选实施方式,所述IP地址对应的相关信息包括:中间件信息、企业徽标LOGO图片原图、企业徽标LOGO MD5和HTTPS证书信息。
作为优选实施方式,根据域名获取该域名对应的IP地址的方法包括:域名解析、在cmd命令界面中使用ping命令、dnslookup命令和dig命令。
作为优选实施方式,所述信息对比模块进行的操作包括:
1A:将所有域名分类为有开放服务域名和无开放服务域名,并根据分类分别将开放服务域名和无开放服务域名对应的所有网络资产信息录入所述待查企业的有用网络资产信息列表;
1B:将所有IP地址分类为有开放服务IP地址和无开放服务IP地址,并根据分类将无开放服务IP地址对应的所有网络资产信息录入所述待查企业的有用网络资产信息列表;
1C:对所有有开放服务IP地址中每一个IP地址对应的所有网络资产信息经过对比分类录入所述待查企业的有用网络资产信息列表;
对域名进行分类,使得信息显示更清晰,更便于管理,对于有开放服务域名、无开放服务域名和无开放服务IP地址对应的所有网络资产信息,不进行对比,进行全信息分类录入;
而对于有开发服务IP地址对应的所有网络资产信息,需要进行分类对比后再录入,挑选出真正属于该企业的网络资产信息进行录入。
作为优选实施方式,其中步骤1C包括:
1C1:针对所有有开放服务IP地址中的每一个IP地址,进行该IP地址对应的所有网络资产信息与主站IP地址对应的所有网络资产信息的模糊匹配及对比;
通过编写的函数,进行所有网络资产信息的模糊匹配及对比,以便挑选出与主站IP地址对应的信息大部分匹配的IP地址。
1C2:如果该IP地址对应的一条信息的内容显示与主站IP地址对应的同一条信息的内容相同,且该IP地址对应的内容显示相同的信息数目占所有网络资产信息数目总数的比例超过50%,则将该IP地址对应的所有网络资产信息在有开放服务IP地址分类下录入所述待查企业的有用网络资产信息列表。
对于有开放服务IP地址,如果对于同一条信息,其显示的内容与主站IP地址该信息显示的内容相同,并且这样有相同内容的信息数目占信息总数超过50%,则认为该IP地址为真正属于该企业的子站IP地址,即录入该子站IP地址对应的所有网络资产信息,即取多值录入。
作为优选实施方式,所述所有网络资产信息包括企业网络描述、网络标识、服务提供商、IP分段、联系人、联系电话、联系地址、所属国家、中间件信息、企业徽标LOGO图片原图、企业徽标LOGO MD5和HTTPS证书信息。
作为优选实施方式,所述监控模块进行的操作包括:
2A:对所述待查企业的有用网络资产信息列表进行中间件扫描,获得中间件信息;
2B:根据中间件信息从信息安全漏洞网站拉取与中间件信息相关的漏洞,得到漏洞列表;
漏洞列表如:
CNNVD-202004-039
Apache HTTP Server 2.4.0版本至2.4.41版本中存在安全漏洞,该漏洞源于mod_proxy_ftp使用了未初始化的内存。远程攻击者可借助特制请求利用该漏洞在系统上执行任意代码。
CNNVD-202005-1078
攻击者可通过控制服务器上文件的内容和名称等方法利用该漏洞执行代码。以下产品及版本受到影响:Apache Tomcat 10.0.0-M1版本至10.0.0-M4版本,9.0.0.0.M1版本至9.0.34版本,8.5.0版本至8.5.54版本,7.0.0版本至7.0.103版本。
CNNVD-201906-596
OracleWebLogicServer中存在安全漏洞。攻击者可利用该漏洞在未授权的情况下远程发送攻击数据,最终实现远程代码执行。以下产品及版本受到影响:OracleWebLogicServer10.3.6.0,12.1.3.0等版本。
2C:将漏洞列表中的信息与中间件信息进行对比,如果中间件有漏洞,则报警。
作为优选实施方式,所述监控模块还重复进行无开放服务域名和无开放服务IP地址的扫描,以发现无开放服务域名和无开放服务IP地址由无开放服务变为有开放服务,进而对该域名或IP地址对应的所有网络资产信息进行对比和重新分类录入。
实施例1
根据本发明的一个具体实施方案,本发明提供了一种网络资产信息收集及监控系统,包括:
信息收集模块,根据待查企业的主域名获取主站IP地址,根据所述主域名通过子域名爆破获取所有子域名集合,再获取所有子站IP地址,对所有IP地址通过ipwhois命令和端口扫描获取各IP地址对应的所有网络资产信息;
在收集一个企业的网络资产信息时,首先会确定企业名称,然后根据企业名称可以在互联网上搜索到该企业的主域名,如果需要,还可以进一步获取该主域名对应的主站IP地址,信息收集模块可以根据主域名或主站IP地址这一信息获取网络资产信息。
所述信息收集模块进行的操作包括:
A.如果已知所述待查企业的主域名,则根据所述待查企业的主域名获取所述待查企业的主域名对应的主站IP地址,如果已知所述主站IP地址,则直接执行步骤B;
B.根据所述主站IP地址通过ipwhois命令从亚太互联网络信息中心APNIC获取所述主站IP地址对应的企业信息;
亚太互联网络信息中心APNIC是全球五大区域性因特网注册管理机构之一,负责亚太地区IP地址和自治域系统号ASN的分配,并管理一部分根域名服务器镜像的国际组织,它提供全球性的支持互联网操作的分派和注册服务。在该网站的搜索界面输入IP地址可以获取该IP地址对应的企业信息。
C.对主站IP地址进行端口扫描,获取所述主站IP地址对应的相关信息;
通过端口扫描可以知道该IP地址都提供了哪些服务,获取很多有用信息,提取网络资产相关的信息。对主站IP地址的所有熟知端口或自己选定的某个范围内的熟知端口分别建立连接,并记录下所收到的相应应答,通过记录就可以知道主站IP地址开放了哪些服务;
D.根据所述主域名通过子域名爆破获得所有子域名集合;
子域名爆破是网络资产信息收集关键的一步,通过编写的子域名爆破函数获取子域名,得到所有子域名集合,得到的子域名越多,可获取的信息也就越多,也越容易发现漏洞。
E.根据所述子域名集合中的每一个子域名获取该子域名对应的子站IP地址,得到所有子站IP地址集合;
F.根据所述所有子站IP地址集合中的每一个子站IP地址通过ipwhois命令从亚太互联网络信息中心APNIC获取该子站IP地址对应的企业信息;
G.对于获取的所述所有子站IP地址集合中的每一个IP地址进行端口扫描,获取每个IP地址对应的相关信息。
所述IP地址对应的企业信息包括:企业网络描述、网络标识、服务提供商、IP分段、联系人、联系电话、联系地址和所属国家。
所述IP地址对应的相关信息包括:中间件信息、企业徽标LOGO图片原图、企业徽标LOGO MD5和HTTPS证书信息。
根据域名获取该域名对应的IP地址的方法包括:域名解析和在cmd命令界面中使用ping命令。
信息对比模块,所述信息收集模块通过所有子站IP地址获取的所述所有网络资产信息与通过主站IP地址获取的所述所有网络资产信息进行对比,得到以企业为单位分类记录的所述待查企业的有用网络资产信息列表;
所述信息收集模块收集到的网络资产信息比较广泛,有一些可能是为该企业提供第三方服务的企业的信息,所以这一模块主要是通过与主域名获取到的信息进行对比,筛选出真正属于该企业的网络资产信息录入所述待查企业的有用网络资产信息列表。信息对比模块还需要对获取到的所有IP地址和所有域名下对应的信息进行分类,尤其对于无开放服务的信息,也进行录入。
所述信息对比模块进行的操作包括:
1A:将所有域名分类为有开放服务域名和无开放服务域名,并根据分类分别将开放服务域名和无开放服务域名对应的所有网络资产信息录入所述待查企业的有用网络资产信息列表;
1B:将所有IP地址分类为有开放服务IP地址和无开放服务IP地址,并根据分类将无开放服务IP地址对应的所有网络资产信息录入所述待查企业的有用网络资产信息列表;
1C:对所有有开放服务IP地址中每一个IP地址对应的所有网络资产信息经过对比分类录入所述待查企业的有用网络资产信息列表;
对域名进行分类,使得信息显示更清晰,更便于管理,对于有开放服务域名、无开放服务域名和无开放服务IP地址对应的所有网络资产信息,不进行对比,进行全信息分类录入;
而对于有开发服务IP地址对应的所有网络资产信息,需要进行分类对比后再录入,挑选出真正属于该企业的网络资产信息进行录入。
其中步骤1C包括:
1C1:针对所有有开放服务IP地址中的每一个IP地址,进行该IP地址对应的所有网络资产信息与主站IP地址对应的所有网络资产信息的模糊匹配及对比;
通过编写的函数,进行所有网络资产信息的模糊匹配及对比,以便挑选出与主站IP地址对应的信息大部分匹配的IP地址。
1C2:如果该IP地址对应的一条信息的内容显示与主站IP地址对应的同一条信息的内容相同,且该IP地址对应的内容显示相同的信息数目占所有网络资产信息数目总数的比例超过50%,则将该IP地址对应的所有网络资产信息在有开放服务IP地址分类下录入所述待查企业的有用网络资产信息列表,即对对比结果取多值录入。
对于有开放服务IP地址,如果对于同一条信息,其显示的内容与主站IP地址该信息显示的内容相同,并且这样有相同内容的信息数目占信息总数超过50%,则认为该IP地址为真正属于该企业的子站IP地址,即录入该子站IP地址对应的所有网络资产信息,即取多值录入。
所述所有网络资产信息包括企业网络描述、网络标识、服务提供商、IP分段、联系人、联系电话、联系地址、所属国家、中间件信息、企业徽标LOGO图片原图、企业徽标LOGOMD5和HTTPS证书信息。
对于企业徽标LOGO图片原图通过Python PLL技术进行对比,企业徽标LOGO MD5进行文本对比,还可以对标题和关键字进行对比。
标题及关键字举例如下:
主域名首页标题:
<title>网易</title>
html内关键字keywords为:
<meta name="Keywords"content="网易,邮箱,游戏,新闻,体育,娱乐,女性,亚运,论坛,短信,数码,汽车,手机,财经,科技,相册"/>
监控模块,根据所述待查企业的有用网络资产信息列表监控网络资产的安全性;
通过信息对比模块的信息分类对比录入得到的所述待查企业的有用网络资产信息列表,存储了该企业的所有网络资产信息,为了网络资产的安全,通过监控模块对网络资产进行安全监控,可以及时发现所述待查企业的有用网络资产信息列表中所有网络资产存在的漏洞,并及时报警,可以提高企业网络资产的安全性。
所述监控模块进行的操作包括:
2A:对所述待查企业的有用网络资产信息列表进行中间件扫描,获得中间件信息;
2B:根据中间件信息从信息安全漏洞网站拉取与中间件信息相关的漏洞,得到漏洞列表;
2C:将漏洞列表中的信息与中间件信息进行对比,如果中间件有漏洞,则报警。
所述监控模块还重复进行无开放服务域名和无开放服务IP地址的扫描,以发现无开放服务域名和无开放服务IP地址由无开放服务变为有开放服务,进而对该域名或IP地址对应的所有网络资产信息进行对比和重新分类录入。
实施例2
下面举例说明针对一个公司,本发明网络资产信息收集的过程,如公司名:广州人人投资有限公司,通过互联网搜索,获得该公司主域名:rrtzx.com。以下域名、IP地址、及所有网络资产信息的详细内容仅供解释本发明的方法之用,不表示一定是真实存在的域名或地址。
输入主域名rrtzx.com;
获取LOGO文件、MD5、https证书;
主域名对应主站IP地址:118.34.78.152,中间件:Server:nginx,标题:广州人人投资有限公司
通过主站IP地址118.34.78.152向APNIC网站查询该企业的企业信息,WHOIS的结果显示:
---------------------------------------------------------------------
WHOIS Results for:118.34.78.152
%[whois.apnic.net]
%Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
%Information related to\'118.32.0.0-118.63.255.255\'
%Abuse contact for\'118.32.0.0-118.63.255.255\'is\'irt@nic.or.kr\'
inetnum:118.32.0.0-118.63.255.255
netname:KORNET
descr:Korea Telecom
admin-c:IM667-AP
tech-c:IM667-AP
country:KR
status:ALLOCATED PORTABLE
mnt-by:MNT-KRNIC-AP
mnt-irt:IRT-KRNIC-KR
last-modified:2017-02-03T02:21:59Z
source:APNIC
irt:IRT-KRNIC-KR
address:Jeollanam-do Naju-si Jinheung-gil
e-mail:irt@nic.or.kr
abuse-mailbox:irt@nic.or.kr
admin-c:IM574-AP
tech-c:IM574-AP
auth:#Filtered
remarks:irt@nic.or.kr was validated on 2020-04-09
mnt-by:MNT-KRNIC-AP
last-modified:2020-04-09T10:23:17Z
source:APNIC
person:IP Manager
address:Gyeonggi-do Bundang-gu,Seongnam-si Buljeong-ro 90
country:KR
phone:+82-2-500-6630
e-mail:kornet_ip@kt.com
nic-hdl:IM667-AP
mnt-by:MNT-KRNIC-AP
last-modified:2017-03-28T06:37:04Z
source:APNIC
%Information related to\'118.32.0.0-118.63.255.255\'
inetnum:118.32.0.0-118.63.255.255
netname:KORNET-KR
descr:Korea Telecom
country:KR
admin-c:IA9-KR
tech-c:IM9-KR
status:ALLOCATED PORTABLE
mnt-by:MNT-KRNIC-AP
mnt-irt:IRT-KRNIC-KR
remarks:This information has been partially mirrored by APNIC from
remarks:KRNIC.To obtain more specific information,please use the
remarks:KRNIC whois server at whois.kisa.or.kr.
changed:hostmaster@nic.or.kr
source:KRNIC
person:IP Manager
address:Gyeonggi-do Bundang-gu,Seongnam-si Buljeong-ro 90
address:KT Head Office
country:KR
phone:+82-2-500-6630
e-mail:kornet_ip@kt.com
nic-hdl:IA9-KR
mnt-by:MNT-KRNIC-AP
changed:hostmaster@nic.or.kr
source:KRNIC
person:IP Manager
address:Gyeonggi-do Bundang-gu,Seongnam-si Buljeong-ro 90
address:KT Head Office
country:KR
phone:+82-2-500-6630
e-mail:kornet_ip@kt.com
nic-hdl:IM9-KR
mnt-by:MNT-KRNIC-AP
changed:hostmaster@nic.or.kr
source:KRNIC
%This query was served by the APNIC Whois Service version 1.88.15-SNAPSHOT(WHOIS-NODE4)
---------------------------------------------------------------------
通过子域名爆破,得出以下子域名:
s.rrtzx.com;mail.rrtzx.com;imap.rrtzx.com;pop.rrtzx.com;smtp.rrtzx.com
然后通过各子域名获得各子域名对应的子站IP地址,再通过子站IP地址通过端口扫描获得该IP对应的相关信息:
s.rrtzx.com->39.97.237.165中间件:Server:Microsoft-IIS/7.5X-Powered-By:ASP.NET X-AspNet-Version:4.0.30319标题:广州人人投资有限公司_IPEasy知易通开放端口80
mail.rrtzx.com->211.150.64.54中间件:Server:web标题:NULL
imap.rrtzx.com->211.150.84.8开放端口143
pop.rrtzx.com->121.32.245.132端口110,587
smtp.rrtzx.com->121.32.245.132端口110,587
以上分别获取LOGO文件、MD5和HTTPS证书
分别向APNIC查询企业信息,分别扫描WHOIS信息中的inetnum段对比HTTPS证书、LOGO文件、LOGO文件MD5和标题,最后根据分类列出:
有开放服务IP地址:
rrtzx.com->116.62.77.153中间件:Server:nginx标题:广州人人投资有限公司
s.rrtzx.com->39.97.237.165中间件:Server:Microsoft-IIS/7.5X-Powered-By:ASP.NET X-AspNet-Version:4.0.30319标题:广州人人投资有限公司_IPEasy知易通开放端口80
mail.rrtzx.com->211.150.64.54中间件:Server:web标题:NULL
imap.rrtzx.com->211.150.84.8开放端口143
pop.rrtzx.com->121.32.245.132端口110,587
smtp.rrtzx.com->121.32.245.132端口110,587
有开放服务域名:
rrtzx.com->116.62.77.153中间件:Server:nginx标题:广州人人投资有限公司
s.rrtzx.com->39.97.237.165中间件:Server:Microsoft-IIS/7.5X-Powered-By:ASP.NET X-AspNet-Version:4.0.30319标题:广州人人投资有限公司_IPEasy知易通开放端口80
mail.rrtzx.com->211.150.64.54中间件:Server:web标题:NULL
imap.rrtzx.com->211.150.84.8开放端口143
pop.rrtzx.com->121.32.245.132端口110,587
smtp.rrtzx.com->121.32.245.132端口110,587
在上述5个子域名中,通过IPWHOIS信息中的inetnum段,只有211.150.64.54和211.150.84.8的IPWHHOIS是相同的,所以对于211.150.64.0-211.150.127.255中的IP地址,除211.150.64.54和211.150.84.8之外,都为无开放服务IP地址。
无开放服务IP地址:
211.150.64.0-211.150.127.255(除211.150.64.54和211.150.84.8之外)
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均包含在本发明的保护范围之内。

Claims (9)

1.一种网络资产信息收集及监控系统,其特征在于,包括:
信息收集模块,根据待查企业的主域名获取主站IP地址,根据所述主域名通过子域名爆破获取所有子域名集合,再获取所有子站IP地址,对所有IP地址通过ipwhois命令和端口扫描获取各IP地址对应的所有网络资产信息;
信息对比模块,所述信息收集模块通过所有子站IP地址获取的所述所有网络资产信息与通过主站IP地址获取的所述所有网络资产信息进行对比,得到以企业为单位分类记录的所述待查企业的有用网络资产信息列表;
监控模块,根据所述待查企业的有用网络资产信息列表监控网络资产的安全性;
所述信息对比模块进行的操作包括:
1A:将所有域名分类为有开放服务域名和无开放服务域名,并根据分类分别将开放服务域名和无开放服务域名对应的所有网络资产信息录入所述待查企业的有用网络资产信息列表;
1B:将所有IP地址分类为有开放服务IP地址和无开放服务IP地址,并根据分类将无开放服务IP地址对应的所有网络资产信息录入所述待查企业的有用网络资产信息列表;
1C:对所有有开放服务IP地址中每一个IP地址对应的所有网络资产信息经过对比分类录入所述待查企业的有用网络资产信息列表。
2.根据权利要求1所述的收集及监控系统,其特征在于,所述信息收集模块进行的操作包括:
A.如果已知所述待查企业的主域名,则根据所述待查企业的主域名获取所述待查企业的主域名对应的主站IP地址,如果已知所述主站IP地址,则直接执行步骤B;
B.根据所述主站IP地址通过ipwhois命令从亚太互联网络信息中心APNIC获取所述主站IP地址对应的企业信息;
C.对主站IP地址进行端口扫描,获取所述主站IP地址对应的相关信息;
D.根据所述主域名通过子域名爆破获得所有子域名集合;
E.根据所述子域名集合中的每一个子域名获取该子域名对应的子站IP地址,得到所有子站IP地址集合;
F.根据所述所有子站IP地址集合中的每一个子站IP地址通过ipwhois命令从亚太互联网络信息中心APNIC获取该子站IP地址对应的企业信息;
G.对于获取的所述所有子站IP地址集合中的每一个IP地址进行端口扫描,获取每个IP地址对应的相关信息。
3.根据权利要求2所述的收集及监控系统,其特征在于,所述IP地址对应的企业信息包括:企业网络描述、网络标识、服务提供商、IP分段、联系人、联系电话、联系地址和所属国家。
4.根据权利要求2所述的收集及监控系统,其特征在于,所述IP地址对应的相关信息包括:中间件信息、企业徽标LOGO图片原图、企业徽标LOGO MD5和HTTPS证书信息。
5.根据权利要求2所述的收集及监控系统,其特征在于,根据域名获取该域名对应的IP地址的方法包括:域名解析、在cmd命令界面中使用ping命令、dnslookup命令和dig命令。
6.根据权利要求1所述的收集及监控系统,其特征在于,其中步骤1C包括:
1C1:针对所有有开放服务IP地址中的每一个IP地址,将该IP地址对应的所有网络资产信息与主站IP地址对应的所有网络资产信息进行模糊匹配及对比;
1C2:如果该IP地址对应的一条信息的内容显示与主站IP地址对应的同一条信息的内容相同,且该IP地址对应的内容显示相同的信息数目占所有网络资产信息数目总数的比例超过50%,则将该IP地址对应的所有网络资产信息在有开放服务IP地址分类下录入所述待查企业的有用网络资产信息列表。
7.根据权利要求1所述的收集及监控系统,其特征在于,所述所有网络资产信息包括企业网络描述、网络标识、服务提供商、IP分段、联系人、联系电话、联系地址、所属国家、中间件信息、企业徽标LOGO图片原图、企业徽标LOGO MD5和HTTPS证书信息。
8.根据权利要求1所述的收集及监控系统,其特征在于,所述监控模块进行的操作包括:
2A:对所述待查企业的有用网络资产信息列表进行中间件扫描,获得中间件信息;
2B:根据中间件信息从信息安全漏洞网站拉取与中间件信息相关的漏洞,得到漏洞列表;
2C:将漏洞列表中的信息与中间件信息进行对比,如果中间件有漏洞,则报警。
9.根据权利要求8所述的收集及监控系统,其特征在于,所述监控模块还重复进行无开放服务域名和无开放服务IP地址的扫描,以发现无开放服务域名和无开放服务IP地址由无开放服务变为有开放服务,进而对该域名或IP地址对应的所有网络资产信息进行对比和重新分类录入。
CN202010581472.6A 2020-06-23 2020-06-23 一种网络资产信息收集及监控系统 Active CN111818024B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010581472.6A CN111818024B (zh) 2020-06-23 2020-06-23 一种网络资产信息收集及监控系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010581472.6A CN111818024B (zh) 2020-06-23 2020-06-23 一种网络资产信息收集及监控系统

Publications (2)

Publication Number Publication Date
CN111818024A CN111818024A (zh) 2020-10-23
CN111818024B true CN111818024B (zh) 2021-02-05

Family

ID=72845926

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010581472.6A Active CN111818024B (zh) 2020-06-23 2020-06-23 一种网络资产信息收集及监控系统

Country Status (1)

Country Link
CN (1) CN111818024B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112380539A (zh) * 2020-11-11 2021-02-19 小安(北京)科技有限公司 基于企业资产关联分析的漏洞安全评估方法、装置和系统
CN112688806A (zh) * 2020-12-18 2021-04-20 国家工业信息安全发展研究中心 一种网络资产呈现的方法及系统
CN112926942A (zh) * 2021-03-08 2021-06-08 北京华顺信安信息技术有限公司 一种互联网资产暴露信息排查方法
CN113315769B (zh) * 2021-05-27 2023-04-07 杭州迪普科技股份有限公司 工控资产信息收集方法及装置
CN113992628A (zh) * 2021-12-30 2022-01-28 北京华云安信息技术有限公司 域名爆破测试方法、装置、设备以及计算机可读存储介质
CN114866295B (zh) * 2022-04-20 2023-07-25 哈尔滨工业大学(威海) 一种不良站点服务ip池构建及ip主体属性数据采集和分析方法
CN115277129A (zh) * 2022-07-13 2022-11-01 杭州安恒信息技术股份有限公司 一种域名资产漏洞扫描方法、装置、设备、存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109525427A (zh) * 2018-11-12 2019-03-26 广东省信息安全测评中心 分布式资产信息探测方法与系统
CN109544349A (zh) * 2018-11-29 2019-03-29 广东电网有限责任公司 一种基于网络资产信息采集方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN111818024A (zh) 2020-10-23

Similar Documents

Publication Publication Date Title
CN111818024B (zh) 一种网络资产信息收集及监控系统
AU2004202268B2 (en) Origination/destination features and lists for spam prevention
US7954155B2 (en) Identifying unwanted electronic messages
US7555550B2 (en) Asset tracker for identifying user of current internet protocol addresses within an organization&#39;s communications network
TW470879B (en) Information security analysis system
TW476204B (en) Information security analysis system
TW476207B (en) Information security analysis system
JP2002537727A (ja) 電子メール用プロキシおよびフィルタ装置および方法
CN101087259A (zh) 一种过滤国际互联网络中垃圾电子邮件的系统及其实现方法
CN111049731B (zh) 一种即时聊天应用监控方法以及系统
CN105825094A (zh) 管理从网络数据流量中发现的身份数据的方法和装置
US20120331126A1 (en) Distributed collection and intelligent management of communication and transaction data for analysis and visualization
CN110569295B (zh) 通过定位关键词提高文档预警的方法
CN112671887A (zh) 一种资产识别方法、装置、电子设备及计算机存储介质
KR20010079562A (ko) 정보 보안 분석 시스템
CN102404341B (zh) 电子邮件用户行为监测方法和装置
US20030143980A1 (en) Security apparatus and method for information processing device using an e-mail
US7536442B2 (en) Method, system, and storage medium for providing autonomic identification of an important message
US20030050970A1 (en) Information evaluation system, terminal and program for information inappropriate for viewing
US8375089B2 (en) Methods and systems for protecting E-mail addresses in publicly available network content
AU2023232004A1 (en) A system to detect malicious emails and email campaigns
Dawson et al. BAAI: biometric authentication and authorization infrastructure
WO2006038036A1 (en) Processing electronic communications
JP4623635B2 (ja) 社内情報管理システム
CN113938326A (zh) 企业互联网资产采集的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A Network Asset Information Collection and Monitoring System

Effective date of registration: 20230515

Granted publication date: 20210205

Pledgee: Bank of China Limited by Share Ltd. Guangzhou Tianhe branch

Pledgor: GUANGZHOU JEESEEN NETWORK TECHNOLOGIES Co.,Ltd.

Registration number: Y2023980040584

PE01 Entry into force of the registration of the contract for pledge of patent right