CN113489720B - 一种超大规模网络中攻击暴露面分析方法及系统 - Google Patents

一种超大规模网络中攻击暴露面分析方法及系统 Download PDF

Info

Publication number
CN113489720B
CN113489720B CN202110754948.6A CN202110754948A CN113489720B CN 113489720 B CN113489720 B CN 113489720B CN 202110754948 A CN202110754948 A CN 202110754948A CN 113489720 B CN113489720 B CN 113489720B
Authority
CN
China
Prior art keywords
service
host
path
average value
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110754948.6A
Other languages
English (en)
Other versions
CN113489720A (zh
Inventor
林圣东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Clp Zhiheng Information Technology Service Co ltd
Original Assignee
Clp Zhiheng Information Technology Service Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Clp Zhiheng Information Technology Service Co ltd filed Critical Clp Zhiheng Information Technology Service Co ltd
Priority to CN202110754948.6A priority Critical patent/CN113489720B/zh
Publication of CN113489720A publication Critical patent/CN113489720A/zh
Application granted granted Critical
Publication of CN113489720B publication Critical patent/CN113489720B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0639Performance analysis of employees; Performance analysis of enterprise or organisation operations
    • G06Q10/06393Score-carding, benchmarking or key performance indicator [KPI] analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Game Theory and Decision Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Computer Hardware Design (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种超大规模网络中攻击暴露面分析方法及系统,其中方法步骤为:S1,采用运营商在各互联网出口部署的GenieATM流量分析仪将注释过的流量数据进行实时或回溯性的大数据应用分析,提取互联网环境中所有通路数据流,作为数据源;S2,对数据源进行分析,得到监控范围内主机对外开放服务的暴露面数据集和主机出访的数据集;S3,结合暴露面数据计算得到主机服务中所有路径风险等级,基于所有路径风险等级推算得到主机服务风险等级;系统包括GenieATM暴露面数据获取模块、服务信息识别模块、地理位置识别模块、域名备案核查模块和风险计算模块。本发明够解决无法准确核查互联网暴露面的问题,提高了在超大规模网络中互联暴露面分析的效率准确性。

Description

一种超大规模网络中攻击暴露面分析方法及系统
技术领域
本发明涉及一种计算机技术领域,尤其是涉及一种超大规模网络中攻击暴露面分析方法及系统。
背景技术
在现今这个数字时代,如何有效管理及保护海量的高速网络流量,是国内运营商面临的一大难题。网络运营商需要一个涵盖效能、灵活性、可靠性及扩展性的总体解决方案,帮助他们快速的掌握互联网中对外暴露情况,以帮助用户及时了解某些重要系统对外易受攻击暴露面的大小。
目前行业内,经常采用开源的超高速扫描工具masscan对网络资产进行探测,这种方法在超大规模的网络中会有以下几个问题:1)每个IP地址有65535种服务,面对海量的网络资产,对每个IP做全端口扫描耗时较长,尤其在IPV6网络下,以此方式获取暴露面分析的数据源效率过低;2)面对复杂的公网网络环境和不确定性(随机性大),导致分析结果容易出现偏差,最为常见的情况是在防火墙的干扰下单个IP的扫描结果会出现上万个存活的端口,这种情况显然是不符合实际应用情况;3)扫描工具对TCP协议的服务的识别率较高,对无连接的UDP协议服务识别率和准确率较低,然后大量软交换类SIP语音设备采用UDP协议;4)部分服务存在访问控制列表,扫描探测工具的地址不在白名单内,无法获取到暴露面情况。因此,上述对互联网暴露面分析的方法中,存在无法准确核查互联网暴露面的问题。
发明内容
本发明针对现有技术中的不足,提供一种超大规模网络中攻击暴露面分析方法和系统,能够解决无法准确核查互联网暴露面的问题,提高了在超大规模网络中互联暴露面分析的效率准确性。
为实现上述目的,本发明采用以下技术方案:
一种超大规模网络中攻击暴露面分析方法,所述分析方法包括以下步骤:
S1,采用运营商在各互联网出口部署的GenieATM流量分析仪将注释过得流量数据进行实时或回溯性的大数据应用分析,提取互联网环境中所有通路数据流,作为数据源;
S2,对数据源进行分析,得到监控范围内主机对外开放服务的暴露面数据集和主机出访的数据集,主机对外开放服务的暴露面数据集包括主机IP地址、协议类型、每个IP上存活的端口号,服务信息、服务威胁等级、域名、访问者地址、地理位置、每个端口对应的流量分布情况、每个端口被扫描的次数和每条攻击流量的路径、历史6个月内每个端口被访问次数的平均值,历史6个月内每条攻击流量的均值;主机出访的数据集包括源IP、目标IP、目标端口、协议类型、服务信息、服务威胁等级、目标IP的地理位置、每条访问路径流量值、历史6个月内每个源IP出访次数的平均值、历史6个月内每个源IP出访目标的流量平均值;
S3,结合暴露面数据计算得到主机服务中所有路径风险等级,基于所有路径风险等级推算得到主机服务风险等级。
为优化上述技术方案,采取的具体措施还包括:
进一步地,步骤S2中,所述地理位置利用公开的GeoLite2-City库获得。
进一步地,步骤S2中,采用geoip2.database组件读取GeoLite2-City数据库,判断访问者IP是否属于境外地址。
进一步地,步骤S2中,服务信息来自于自定义服务特征库,该服务特征库是来源于对已知服务的协议提取的特征集,分析任意存活端口所对应的服务信息时,利用数据交互过程中出现的返回特征码来定位对应的服务信息,此方法解决用户修改端口号隐藏常见高危服务的问题,增强服务识别的准确率。
进一步地,步骤S2中,服务威胁等级来自于常见高危服务库,包括adam6500、asterisk、cisco、cisco-enable、cvs、firebird、ftp、ftps、http[s]-{head|get|post}、http[s]-{get|post}-form、http-proxy、http-proxy-urlenum、icq、imap[s]、irc、ldap2[s]、ldap3[-{cram|digest}md5][s]、mssql、mysql、nntp、oracle-listener、oracle-sid、pcanywhere、pcnfs、pop3[s]、postgres、radmin2、rdp、redis、rexec、rlogin、rpcap、rsh、rtsp、s7-300、sip、smb、smtp[s]、smtp-enum、snmp、socks5、ssh、sshkey、svn、teamspeak、telnet[s]、vmauthd、vnc、xmpp等。如果分析所得服务信息与该高危服务库匹配,认为此服务为高危等级,否则为普通等级。
进一步地,步骤S2中,历史6个月内被访问次数的平均值和历史6个月攻击流量的平均值,该估算值作为区分常规业务访问流量和恶意攻击访问流量。如果被扫描次数和流量分布情况的数值远大于对应数值的平均值,则判断为异常访问情况。
进一步地,步骤S2中,域名信息来源于DNS请求记录和IP反查域名信息,所得域名于工信部网站的备案信息库(含域名、首页、IP地址、ICP备案号)进行对比核查,来确定是否为未备案网站。
进一步地,步骤S2中,源IP代表监控范围主机的IP,用于定义主机是否对外放弃恶意攻击。
进一步地,步骤S2中,历史6个月内出访次数的平均值和历史6个月出访目标的流量平均值,该估算值作为区分常规业务访问流量和恶意攻击访问流量。如果主机出访的次数和出访流量原高于对应的平均值,这判断为主机对外的攻击行为。
进一步地,步骤S3中,所述基于所有路径风险等级推算得到主机服务风险等级是指,
S31,对主机服务中所有路径的风险等级求和,得到主机服务路径风险值;
S32,根据主机服务路径风险值,计算得到主机服务路径风险等级;
S33,结合主机服务路径风险等级和用户设置的主机重要度等级,计算得到主机服务风险等级。
进一步地,步骤S3中,根据下述公式计算得到第i个主机服务中第j条路径风险等级Sij
系数:
式中,Dij是第i个主机服务中第j条路径对应的端口总数,ε是预设比例因子,Gij是第i个主机服务中第j条路径对应的高危端口出现总数,Pij是第i个主机服务中第j条路径对应的http或https的服务与预设的网站备案库之间的匹配失败总数,Jij是第i个主机服务中第j条路径对应的访问者IP为境外地址的总数,Bij是第i个主机服务中第j条路径对应的端口被访问次数的总数,Rij是第i个主机服务中第j条路径对应的入访流量值,Mij是第i个主机服务中第j条路径对应的出访目标主机的IP总数,Cij是第i个主机服务中第j条路径对应的出访目标主机的流量值,Nin是历史6个月内被访问次数的平均值,Min是历史6个月入访流量的平均值,Nout是历史6个月内出访次数的平均值,Mout是历史6个月内出访目标的流量平均值,系数B是第i个主机服务中第j条路径对应的服务被访问次数超过平均值的量,R是第i个主机服务中第j条路径对应的服务入访流量超过平均值的量,M是第i个主机服务中第j条路径对应的出访目标地址的次数超过平均值的量,C是第i个主机服务中第j条路径对应的出访目标地址的流量值超过平均值的量;k1~8为对应风险值参数,Sij0是第i个主机服务中第j条路径的风险初始值。
基于前述方法,本发明还提及一种超大规模网络中攻击暴露面分析系统,所述分析系统包括GenieATM暴露面数据获取模块、服务信息识别模块、地理位置识别模块、域名备案核查模块和风险计算模块;
所述GenieATM暴露面数据获取模块用于采用运营商在各互联网出口部署的GenieATM流量分析仪将注释过得流量数据进行实时或回溯性的大数据应用分析,提取互联网环境中所有通路数据流,作为数据源;包括监控范围内主机对外开放服务的暴露面数据集和主机出访的数据集,主机对外开放服务的暴露面数据集包括主机IP地址、协议类型、每个IP上存活的端口号,服务信息、服务威胁等级、域名、访问者地址、地理位置、每个端口对应的流量分布情况、每个端口被扫描的次数和每条攻击流量的路径、历史6个月内每个端口被访问次数的平均值,历史6个月内每条攻击流量的均值;主机出访的数据集包括源IP、目标IP、目标端口、协议类型、服务信息、服务威胁等级、目标IP的地理位置、每条访问路径流量值、历史6个月内每个源IP出访次数的平均值、历史6个月内每个源IP出访目标的流量平均值;
所述服务信息识别模块用于识别端口对应的服务信息和威胁等级,包括一定量的探针和特征库,该探针和特征库来源于对已知服务的协议提取,在分析任意存活端口所对应的服务信息时,利用数据交互过程中出现的返回码来定位真实的服务信息,此方法解决用户修改端口号隐藏常见高危服务的问题,增强服务识别的准确率。;服务威胁等级来自于常见高危服务库,包括adam6500、asterisk、cisco、cisco-enable、cvs、firebird、ftp、ftps、http[s]-{head|get|post}、http[s]-{get|post}-form、http-proxy、http-proxy-urlenum、icq、imap[s]、irc、ldap2[s]、ldap3[-{cram|digest}md5][s]、mssql、mysql、nntp、oracle-listener、oracle-sid、pcanywhere、pcnfs、pop3[s]、postgres、radmin2、rdp、redis、rexec、rlogin、rpcap、rsh、rtsp、s7-300、sip、smb、smtp[s]、smtp-enum、snmp、socks5、ssh、sshkey、svn、teamspeak、telnet[s]、vmauthd、vnc、xmpp等,如果分析所得服务信息与该高危服务库匹配,认为此服务为高危等级,否则为普通等级;
所述地理位置识别模块用于采用geoip2.database组件读取GeoLite2-City数据库,判断访问者IP是否属于境外地址;
所述域名备案核查模块用于分析域名备案情况,域名信息来源于DNS请求记录和IP反查域名信息,所得域名于工信部网站的备案信息库(含域名、首页、IP地址、ICP备案号)进行对比核查,来确定是否为未备案网站;
所述风险计算模块用于结合暴露面数据计算得到主机服务中所有路径风险等级,基于所有路径风险等级推算得到主机服务风险等级。
进一步地,所述协议识别模块包括15种探针和130种特征库。
进一步地,所述分析系统还包括可视化模块;
所述可视化模块用于对GenieATM暴露面数据获取模块、协议识别模块、地理位置识别模块和风险计算模块的处理结果进行图文编辑并显示。
本发明的有益效果是:通过GenieATM流量分析仪的多维度挖掘和高效分析能力,代替传统方法中的低效、准确率低的资产发现方法,可高效并准确地提取目标网络中相关的暴露面数据并对其进行加工,形成可视化的视图。
附图说明
图1是本发明的超大规模网络中攻击暴露面分析方法流程图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例一。
如图1所示,一种超大规模网络中攻击暴露面分析方法,所述分析方法包括以下步骤:
S1,采用运营商在各互联网出口部署的GenieATM流量分析仪将注释过得流量数据进行实时或回溯性的大数据应用分析,提取互联网环境中所有通路数据流,作为数据源。
S2,对数据源进行分析,得到监控范围内主机对外开放服务的暴露面数据集和主机出访的数据集,主机对外开放服务的暴露面数据集包括主机IP地址、协议类型、每个IP上存活的端口号,服务信息、服务威胁等级、域名、访问者地址、地理位置、每个端口对应的流量分布情况、每个端口被扫描的次数和每条攻击流量的路径、历史6个月内每个端口被访问次数的平均值,历史6个月内每条攻击流量的均值;主机出访的数据集包括源IP、目标IP、目标端口、协议类型、服务信息、服务威胁等级、目标IP的地理位置、每条访问路径流量值、历史6个月内每个源IP出访次数的平均值、历史6个月内每个源IP出访目标的流量平均值。
S3,结合暴露面数据计算得到主机服务中所有路径风险等级,基于所有路径风险等级推算得到主机服务风险等级。
本实施例中,该方法包括:GenieATM分析仪能支持数以年为基础的网络原始数据存储,以及无限制的存储扩展能力,可按需进行实时或回溯性的即席自定义分析,并将分析结果以丰富的视觉图表展现,能迅速掌握各种维护的流量分析,本方法采用运营商在各互联网出口部署的GenieATM流量分析仪将注释过得流量数据进行实时或回溯性的大数据应用分析,提取互联网环境中所有通路数据流,作为数据源。
对数据源进行分析,得到监控范围内主机对外开放服务的暴露面数据集和主机出访的数据集,主机对外开放服务的暴露面数据集包括主机IP地址、协议类型、每个IP上存活的端口号,服务信息、服务威胁等级、域名、访问者地址、地理位置、每个端口对应的流量分布情况、每个端口被扫描的次数和每条攻击流量的路径、历史6个月内每个端口被访问次数的平均值,历史6个月内每条攻击流量的均值;主机出访的数据集包括源IP、目标IP、目标端口、协议类型、服务信息、服务威胁等级、目标IP的地理位置、每条访问路径流量值、历史6个月内每个源IP出访次数的平均值、历史6个月内每个源IP出访目标的流量平均值。
根据所述主机的单条风险路径中的IP地址,确定单条风险路径的IP地址范围。进一步地,所述根据主机服务中所有路径风险等级,得到主机服务风险等级,具体包括,对主机服务中所有路径的风险等级求和,得到主机服务路径风险值,由所述主机服务路径风险值,得到主机服务路径风险等级,由主机服务路径风险等级及用户设置的主机重要度等级,得到主机服务风险等级。
实施例二。
一种超大规模网络中攻击暴露面分析系统,所述分析系统包括GenieATM暴露面数据获取模块、服务信息识别模块、地理位置识别模块、域名备案核查模块和风险计算模块。
所述GenieATM暴露面数据获取模块用于采用运营商在各互联网出口部署的GenieATM流量分析仪将注释过得流量数据进行实时或回溯性的大数据应用分析,提取互联网环境中所有通路数据流,作为数据源。
所述服务信息识别模块用于识别端口对应的服务信息和威胁等级,包括一定量的探针和特征库,该探针和特征库来源于对已知服务的协议提取,在分析任意存活端口所对应的服务信息时,利用数据交互过程中出现的返回码来定位真实的服务信息,此方法解决用户修改端口号隐藏常见高危服务的问题,增强服务识别的准确率;服务威胁等级来自于常见高危服务库,包括adam6500、asterisk、cisco、cisco-enable、cvs、firebird、ftp、ftps、http[s]-{head|get|post}、http[s]-{get|post}-form、http-proxy、http-proxy-urlenum、icq、imap[s]、irc、ldap2[s]、ldap3[-{cram|digest}md5][s]、mssql、mysql、nntp、oracle-listener、oracle-sid、pcanywhere、pcnfs、pop3[s]、postgres、radmin2、rdp、redis、rexec、rlogin、rpcap、rsh、rtsp、s7-300、sip、smb、smtp[s]、smtp-enum、snmp、socks5、ssh、sshkey、svn、teamspeak、telnet[s]、vmauthd、vnc、xmpp等,如果分析所得服务信息与该高危服务库匹配,认为此服务为高危等级,否则为普通等级。
所述地理位置识别模块用于采用geoip2.database组件读取GeoLite2-City数据库,判断访问者IP是否属于境外地址。
所述域名备案核查模块用于分析域名备案情况,域名信息来源于DNS请求记录和IP反查域名信息,所得域名于工信部网站的备案信息库(含域名、首页、IP地址、ICP备案号)进行对比核查,来确定是否为未备案网站;
所述风险计算模块用于结合暴露面数据计算得到主机服务中所有路径风险等级,基于所有路径风险等级推算得到主机服务风险等级。
GenieATM暴露面数据获取模块,主要负责从节点中获取网络流量,并从中提取互联网环境中所有通路数据流,作为数据源。
协议识别模块主要用于识别端口真实的协议类型,该模块分成探针和特征库,预设探针15种,预设特征库130种,采用协议交互过程识别协议类型,解决非常规端口服务识别的不准确性问题。
地理位置识别模块,采用geoip2.database组件读取GeoLite2-City数据库,最新地理位置信息来自MAXmind网站(https://dev.maxmind.com/geoip/geoip2/geolite2/)。
风险计算模块,用于计算每条风险等级的风险值。假设风险值的初始值为0,端口数量每大于100个风险增加0.1,高危端口每出现一次风险增加0.1,http或https的服务与预设的网站备案库进行匹配,每次匹配失败风险增加0.1,访问者IP出现一个境外地址风险增加0.1。在本例中,高危端口的服务如下所示:
adam6500、asterisk、cisco、cisco-enable、cvs、firebird、ftp、ftps、http[s]-{head|get|post}、http[s]-{get|post}-form、http-proxy、http-proxy-urlenum、icq、imap[s]、irc、ldap2[s]、ldap3[-{cram|digest}md5][s]、mssql、mysql、nntp、oracle-listener、oracle-sid、pcanywhere、pcnfs、pop3[s]、postgres、radmin2、rdp、redis、rexec、rlogin、rpcap、rsh、rtsp、s7-300、sip、smb、smtp[s]、smtp-enum、snmp、socks5、ssh、sshkey、svn、teamspeak、telnet[s]、vmauthd、vnc、xmpp等。
在此基础上,根据公式计算得到第i个主机服务中第j条路径风险等级Sij
系数:
式中,Dij是第i个主机服务中第j条路径对应的端口总数,ε是预设比例因子,Gij是第i个主机服务中第j条路径对应的高危端口出现总数,Pij是第i个主机服务中第j条路径对应的http或https的服务与预设的网站备案库之间的匹配失败总数,Jij是第i个主机服务中第j条路径对应的访问者IP为境外地址的总数,Bij是第i个主机服务中第j条路径对应的端口被访问次数的总数,Rij是第i个主机服务中第j条路径对应的入访流量值,Mij是第i个主机服务中第j条路径对应的出访目标主机的IP总数,Cij是第i个主机服务中第j条路径对应的出访目标主机的流量值,Nin是历史6个月内被访问次数的平均值,Min是历史6个月入访流量的平均值,Nout是历史6个月内出访次数的平均值,Mout是历史6个月内出访目标的流量平均值,系数B是第i个主机服务中第j条路径对应的服务被访问次数超过平均值的量,R是第i个主机服务中第j条路径对应的服务入访流量超过平均值的量,M是第i个主机服务中第j条路径对应的出访目标地址的次数超过平均值的量,C是第i个主机服务中第j条路径对应的出访目标地址的流量值超过平均值的量;k1~8为对应风险值参数,Sij0是第i个主机服务中第j条路径的风险初始值。
根据主机服务中所有路径风险等级,得到主机服务风险等级,具体包括,对主机服务中所有路径的风险等级求和,得到主机服务路径风险值,由所述主机服务路径风险值,得到主机服务路径风险等级,由主机服务路径风险等级及用户设置的主机重要度等级,得到主机服务风险等级。
以上显示和描述了本发明的基本原理、主要特征和优点。本领域的普通技术人员应该了解,上述实施例不以任何形式限制本发明的保护范围,凡采用等同替换等方式所获得的技术方案,均落于本发明的保护范围内。本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。

Claims (6)

1.一种超大规模网络中攻击暴露面分析方法,其特征在于包括以下步骤:
S1,采用运营商在各互联网出口部署的GenieATM流量分析仪将注释过的流量数据进行实时或回溯性的大数据应用分析,提取互联网环境中所有通路数据流,作为数据源;
S2,对数据源进行分析,得到监控范围内主机对外开放服务的暴露面数据集和主机出访的数据集;
S3,结合暴露面数据计算得到主机服务中所有路径风险等级,基于所有路径风险等级推算得到主机服务风险等级;
在步骤S2中,主机对外开放服务的暴露面数据集包括主机IP地址、协议类型、每个IP上存活的端口号,服务信息、服务威胁等级、域名、访问者地址、地理位置、每个端口对应的流量分布情况、每个端口被扫描的次数和每条攻击流量的路径、历史6个月内每个端口被访问次数的平均值,历史6个月内每条攻击流量的均值;主机出访的数据集包括源IP、目标IP、目标端口、协议类型、服务信息、服务威胁等级、目标IP的地理位置、每条访问路径流量值、历史6个月内每个源IP出访次数的平均值、历史6个月内每个源IP出访目标的流量平均值;
在步骤S3中,所述基于所有路径风险等级推算得到主机服务风险等级,具体为:
S31,对主机服务中所有路径的风险等级求和,得到主机服务路径风险值;
S32,根据主机服务路径风险值,计算得到主机服务路径风险等级;
S33,结合主机服务路径风险等级和用户设置的主机重要度等级,计算得到主机服务风险等级;
在步骤S3中,根据下述公式计算得到第i个主机服务中第j条路径风险等级Sij
系数:
式中,Dij是第i个主机服务中第j条路径对应的端口总数,ε是预设比例因子,Gij是第i个主机服务中第j条路径对应的高危端口出现总数,Pij是第i个主机服务中第j条路径对应的http或https的服务与预设的网站备案库之间的匹配失败总数,Jij是第i个主机服务中第j条路径对应的访问者IP为境外地址的总数,Bij是第i个主机服务中第j条路径对应的端口被访问次数的总数,Rij是第i个主机服务中第j条路径对应的入访流量值,Mij是第i个主机服务中第j条路径对应的出访目标主机的IP总数,Cij是第i个主机服务中第j条路径对应的出访目标主机的流量值,Nin是历史6个月内被访问次数的平均值,Min是历史6个月入访流量的平均值,Nout是历史6个月内出访次数的平均值,Mout是历史6个月内出访目标的流量平均值,系数B是第i个主机服务中第j条路径对应的服务被访问次数超过平均值的量,R是第i个主机服务中第j条路径对应的服务入访流量超过平均值的量,M是第i个主机服务中第j条路径对应的出访目标地址的次数超过平均值的量,C是第i个主机服务中第j条路径对应的出访目标地址的流量值超过平均值的量;k1~8为对应风险值参数,Sij0是第i个主机服务中第j条路径的风险初始值。
2.根据权利要求1所述的一种超大规模网络中攻击暴露面分析方法,其特征在于,在步骤S2中,所述地理位置利用公开的GeoLite2-City库获得;并且采用geoip2.database组件读取GeoLite2-City数据库,判断访问者IP是否属于境外地址;所述服务信息来自于自定义服务特征库,该服务特征库是来源于对已知服务的协议提取的特征集,分析任意存活端口所对应的服务信息时,利用数据交互过程中出现的返回特征码来定位对应的服务信息。
3.根据权利要求1所述的一种超大规模网络中攻击暴露面分析方法,其特征在于,在步骤S2中,服务威胁等级来自于高危服务库,包括adam6500、asterisk、cisco、cisco-enable、cvs、firebird、ftp、ftps、http[s]-{head|get|post}、http[s]-{get|post}-form、http-proxy、http-proxy-urlenum、icq、imap[s]、irc、ldap2[s]、ldap3[-{cram|digest}md5][s]、mssql、mysql、nntp、oracle-listener、oracle-sid、pcanywhere、pcnfs、pop3[s]、postgres、radmin2、rdp、redis、rexec、rlogin、rpcap、rsh、rtsp、s7-300、sip、smb、smtp[s]、smtp-enum、snmp、socks5、ssh、sshkey、svn、teamspeak、telnet[s]、vmauthd、vnc、xmpp;如果分析所得服务信息与该高危服务库匹配,认为此服务为高危等级,否则为普通等级。
4.根据权利要求1所述的一种超大规模网络中攻击暴露面分析方法,其特征在于,在步骤S2中,历史6个月内被访问次数的平均值和历史6个月攻击流量的平均值,该平均值作为区分常规业务访问流量和恶意攻击访问流量;如果被扫描次数和流量分布情况的数值远大于对应数值的平均值,则判断为异常访问情况。
5.根据权利要求1所述的一种超大规模网络中攻击暴露面分析方法,其特征在于,在步骤S2中,域名信息来源于DNS请求记录和IP反查域名信息,所得域名与工信部网站的备案信息库进行对比核查,来确定是否为未备案网站;所述源IP代表监控范围主机的IP,用于定义主机是否对外放弃恶意攻击。
6.根据权利要求1所述的一种超大规模网络中攻击暴露面分析方法,其特征在于,在步骤S2中,历史6个月内出访次数的平均值和历史6个月出访目标的流量平均值,该平均值作为区分常规业务访问流量和恶意攻击访问流量;如果主机出访的次数和出访流量原高于对应的平均值,这判断为主机对外的攻击行为。
CN202110754948.6A 2021-07-01 2021-07-01 一种超大规模网络中攻击暴露面分析方法及系统 Active CN113489720B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110754948.6A CN113489720B (zh) 2021-07-01 2021-07-01 一种超大规模网络中攻击暴露面分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110754948.6A CN113489720B (zh) 2021-07-01 2021-07-01 一种超大规模网络中攻击暴露面分析方法及系统

Publications (2)

Publication Number Publication Date
CN113489720A CN113489720A (zh) 2021-10-08
CN113489720B true CN113489720B (zh) 2023-09-08

Family

ID=77940661

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110754948.6A Active CN113489720B (zh) 2021-07-01 2021-07-01 一种超大规模网络中攻击暴露面分析方法及系统

Country Status (1)

Country Link
CN (1) CN113489720B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114448849B (zh) * 2021-12-17 2023-12-05 北京邮电大学 网站IPv6网络支持模式检测方法及电子设备
CN114338163A (zh) * 2021-12-28 2022-04-12 中国电信股份有限公司 互联网的安全处理方法及装置
CN116723059B (zh) * 2023-08-10 2023-10-20 湖南润科通信科技有限公司 一种针对网络信息的安全分析系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110677400A (zh) * 2019-09-20 2020-01-10 武汉思普崚技术有限公司 一种局域网环境中主机和服务的攻击暴露面分析方法及系统
CN110719291A (zh) * 2019-10-16 2020-01-21 杭州安恒信息技术股份有限公司 一种基于威胁情报的网络威胁识别方法及识别系统
CN110855722A (zh) * 2020-01-16 2020-02-28 北京安博通科技股份有限公司 一种主机风险评估方法及装置
CN112565287A (zh) * 2020-12-18 2021-03-26 深信服科技股份有限公司 资产暴露面确定方法、装置、防火墙及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110677400A (zh) * 2019-09-20 2020-01-10 武汉思普崚技术有限公司 一种局域网环境中主机和服务的攻击暴露面分析方法及系统
CN110719291A (zh) * 2019-10-16 2020-01-21 杭州安恒信息技术股份有限公司 一种基于威胁情报的网络威胁识别方法及识别系统
CN110855722A (zh) * 2020-01-16 2020-02-28 北京安博通科技股份有限公司 一种主机风险评估方法及装置
CN112565287A (zh) * 2020-12-18 2021-03-26 深信服科技股份有限公司 资产暴露面确定方法、装置、防火墙及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
网络流量分析技术的应用及方案比较;周耀胜;《技术广角》;20090731;第3节 *

Also Published As

Publication number Publication date
CN113489720A (zh) 2021-10-08

Similar Documents

Publication Publication Date Title
CN113489720B (zh) 一种超大规模网络中攻击暴露面分析方法及系统
CN108881294B (zh) 基于网络攻击行为的攻击源ip画像生成方法以及装置
CN111935172B (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CN109361673B (zh) 基于流量数据样本统计和平衡信息熵估计的网络异常检测方法
CN111953673B (zh) 一种dns隐蔽隧道检测方法及系统
KR101219538B1 (ko) 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법
CN107579986B (zh) 一种复杂网络中网络安全检测的方法
EP3264312A1 (en) Model-based computer attack analytics orchestration
CN110766329B (zh) 一种信息资产的风险分析方法、装置、设备及介质
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN111835681B (zh) 一种大规模流量异常主机检测方法和装置
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
US20240146753A1 (en) Automated identification of false positives in dns tunneling detectors
Kiravuo et al. Peeking under the skirts of a nation: finding ics vulnerabilities in the critical digital infrastructure
CN112738018A (zh) Arp欺骗攻击检测方法、装置、计算机设备和存储介质
CN112104523B (zh) 流量透传的检测方法、装置、设备及存储介质
CN109274551A (zh) 一种精确高效的工控资源定位方法
CN111565124B (zh) 拓扑分析方法及装置
CN111865951A (zh) 一种基于数据包特征提取的网络数据流异常检测方法
CN114221804B (zh) 一种基于特征识别和交互验证的蜜罐识别方法
CN114500247A (zh) 工控网络故障诊断方法、装置、电子设备及可读存储介质
CN115001954A (zh) 一种网络安全态势感知方法、装置及系统
CN117499131A (zh) 一种网络服务的检测方法、装置、设备及介质
EP4332804A2 (en) System for automatically evaluating the quality of network traffic signatures

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant