CN113904800B - 内部网络风险资产侦测分析系统 - Google Patents

内部网络风险资产侦测分析系统 Download PDF

Info

Publication number
CN113904800B
CN113904800B CN202111025084.0A CN202111025084A CN113904800B CN 113904800 B CN113904800 B CN 113904800B CN 202111025084 A CN202111025084 A CN 202111025084A CN 113904800 B CN113904800 B CN 113904800B
Authority
CN
China
Prior art keywords
detection
information
module
subsystem
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111025084.0A
Other languages
English (en)
Other versions
CN113904800A (zh
Inventor
林世山
白小翀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Renda Zhixin Technology Co ltd
Original Assignee
Chengdu Renda Zhixin Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Renda Zhixin Technology Co ltd filed Critical Chengdu Renda Zhixin Technology Co ltd
Priority to CN202111025084.0A priority Critical patent/CN113904800B/zh
Publication of CN113904800A publication Critical patent/CN113904800A/zh
Application granted granted Critical
Publication of CN113904800B publication Critical patent/CN113904800B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/10Detection; Monitoring
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种内部网络风险资产侦测分析系统,包括本地信息搜集子系统11、内网扫描子系统12、内网脆弱性探测子系统13、安全隐蔽子系统14;本地信息搜集子系统11根据运行环境区分为Windows本地信息搜集子系统和Linux本地信息搜集子系统,由网络信息获取模块111、系统信息获取模块112、用户信息获取模块113和域信息获取模块114组成,用来搜集系统所在主机的相关信息;内网扫描子系统12包括资产存活性探测模块121、端口探测模块122和资产属性识别模块123,用于完成对系统所在网络的资产探测和识别;该系统支持多种协议探测,同时具备轻量、自动化的适用于渗透测试的优点。

Description

内部网络风险资产侦测分析系统
技术领域
本发明具体涉及一种内部网络风险资产侦测分析系统。
背景技术
内网是相对于外网而言,政府、机构、企业或者个人组建的具有一定主机数量的内部往来都可以称为内网。内网做为各单位内部重要的信息传递手段,包含着丰富的关键信息,对渗透测试工作至关重要。开发一款以软件为形态的独立功能系统,驻留于目标内网中,对目标内网实施探测,并具备隐蔽特征,近实时地掌握内网中的重要对象、节点属性、存活状态、基础服务、脆弱性等深度信息,有利于渗透测试工作的开展,并为提升内网安全提供基础数据支撑和决策依据。
当前用于内网信息探测的协议和方法主要有:ICMP协议探测、ARP协议探测、TCP协议探测、SNMP协议探测、Netbios协议探测等,工程实现上主要有Nmap(Network Mapper)。
Nmap是一款开放源代码的网络探测和安全审核的工具。Nmap主要用来发现网络上有些哪主机,这些主机提供什么服务,这些服务运行在什么操作系统上,它们使用什么类型的报文过滤器/防火墙,以及其他功能。
ICMP协议探测、ARP协议探测、TCP协议探测、SNMP协议探测、Netbios协议探测等各种协议探测局限于各种协议自身的应用场景,一旦内网中不采用该种协议或者防火墙等隔离设备配置策略对其拦截,则该协议探测方法就难以发挥作用。
工程实践上经常采用一个系统支持多种协议探测的方法来解决单一协议探测被拦截问题,Nmap就是一款支持多种协议探测的系统,但其安装包体积大,系统运行对资源消耗较大,且依赖用户输入参数,不利于渗透测试使用。
因此,亟待开发支持多种协议探测、轻量、自动化的适用于渗透测试的内网信息探测系统。
发明内容
本发明的目的在于针对现有技术的不足,提供一种内部网络风险资产侦测分析系统,该内部网络风险资产侦测分析系统可以很好地解决上述问题。
为达到上述要求,本发明采取的技术方案是:提供一种内部网络风险资产侦测分析系统,该内部网络风险资产侦测分析系统包括本地信息搜集子系统、内网扫描子系统、内网脆弱性探测子系统、安全隐蔽子系统;本地信息搜集子系统根据运行环境区分为Windows本地信息搜集子系统和Linux本地信息搜集子系统,由网络信息获取模块、系统信息获取模块、用户信息获取模块和域信息获取模块组成,用来搜集系统所在主机的相关信息;内网扫描子系统包括资产存活性探测模块、端口探测模块和资产属性识别模块,用于完成对系统所在网络的资产探测和识别;内网脆弱性探测子系统包括服务漏洞探测模块和IOT设备漏洞探测模块,用于完成对系统所在网络的的脆弱性探测;安全隐蔽子系统包括源IP伪装模块、探测任务调控模块、探测策略调控模块、探测频率调控模块,用于完成对探测任务的调控和保护。
该内部网络风险资产侦测分析系统具有的优点如下:
改系统支持多种协议探测,同时具备轻量、自动化的适用于渗透测试的优点。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,在这些附图中使用相同的参考标号来表示相同或相似的部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示意性地示出了根据本申请一个实施例的内网信息探测系统的功能组成图。
图2示意性地示出了根据本申请一个实施例的内部网络风险资产侦测分析系统中本地信息搜集的流程图。
图3示意性地示出了根据本申请一个实施例的内部网络风险资产侦测分析系统中进行内网信息探测的流程图。
图4示意性地示出了根据本申请一个实施例的内部网络风险资产侦测分析系统中内网脆弱性探测的流程图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本申请作进一步地详细说明。
在以下描述中,对“一个实施例”、“实施例”、“一个示例”、“示例”等等的引用表明如此描述的实施例或示例可以包括特定特征、结构、特性、性质、元素或限度,但并非每个实施例或示例都必然包括特定特征、结构、特性、性质、元素或限度。另外,重复使用短语“根据本申请的一个实施例”虽然有可能是指代相同实施例,但并非必然指代相同的实施例。
为简单起见,以下描述中省略了本领域技术人员公知的某些技术特征。
根据本申请的一个实施例,提供一种内部网络风险资产侦测分析系统,如图1-4所示,该系统采用模块化封装,具备对典型内网进行快速隐蔽探测、准确定位的能力。该系统运行于目标内网某一主机,程序体量小,根据用户调用自动完成对内网的快速探测。
内网信息探测系统从软件运行环境和封装模块上区分,由Windows本地信息搜集子系统、Linux本地信息搜集子系统与Windows内网扫描探测子系统等子系统组成,每个封装模块的大小不超过300KB。Windows本地信息搜集子系统分别面向不同用户角色,包括普通用户、域用户与域管用户,扫描搜集本地有效信息,如指定域内的用户信息、密码策略等。Linux本地信息搜集子系统面向Linux环境,查看本地除域之外的有效信息。Windows内网扫描探测子系统提供Windows环境下的扫描探测功能,实现针对目标环境与主机的存活性、操作系统类型、服务类型等详细信息的探测。
如图1所示,内网信息探测系统1从功能组成上区分,由本地信息搜集子系统11、内网扫描子系统12、内网脆弱性探测子系统13、安全隐蔽子系统14组成。
本地信息搜集子系统11根据运行环境区分为Windows本地信息搜集子系统和Linux本地信息搜集子系统,由网络信息获取模块111、系统信息获取模块112、用户信息获取模块113和域信息获取模块114组成,主要用来搜集系统所在主机的相关信息;网络信息获取模块111主要获取网络链接信息、主机路由信息、主机网络接口信息等;系统信息获取模块112主要获取本机主机系统类型及版本、文件系统信息、本机进程信息、本机密码文件信息、本机登录用户信息、本机历史用户登录信息等;用户信息获取模块113主要获取本机用户信息、本机用户组信息等;域信息获取模块114主要判断本机是否在AD域中,并获取域内主机、域内用户、密码策略等信息。
内网扫描子系统12包括资产存活性探测模块121、端口探测模块122和资产属性识别模块123,完成对系统所在网络的资产探测和识别;资产存活性探测模块121主要用来完成对系统所在网络中的存活主机的探测;端口探测模块122主要用来根据探测策略完成对系统所在网络中存活主机的端口开放情况探测;资产属性识别模块123主要用来完成对探测的开放端口进行资产属性识别判断。
内网脆弱性探测子系统13包括服务漏洞探测模块131和IOT设备漏洞探测模块132,完成对系统所在网络的的脆弱性探测;服务漏洞探测模块131主要用来对网络中的服务进行典型漏洞探测;IOT设备漏洞探测模块132主要用来对网络中的IOT设备进行典型漏洞探测。
安全隐蔽子系统14包括源IP伪装模块141、探测任务调控模块142、探测策略调控模块143、探测频率调控模块144,完成对探测任务的调控和保护;源IP伪装模块141主要用来虚拟新网卡,使系统利用新网卡发包,隐藏真实地址;探测任务调控模块142主要用来根据探测任务性质完成探测协议自动选择,并控制探测任务总体发包阈值;探测策略调控模块143主要用来根据网络环境自动选择syn或connect扫描等不同的探测策略;探测频率调控模块144主要用来调整发包线程数与每次发包之间的休眠间隔。
如图2所示,用户输入命令作为开始,内网信息探测系统解析用户输入命令,如该命令不符合语法定义,则结束并输出错误提示;如该命令有效,则调用本地信息搜集子系统11,本地信息搜集子系统11调用网络信息获取模块111、系统信息获取模块112、用户信息获取模块113和域信息获取模块114,并行完成对本地信息的探测,并将结果输出,结束处理。
实例2对内网信息进行探测
如图3所示,用户输入命令作为开始,内网信息探测系统解析用户输入命令,如该命令不符合语法定义,则结束并输出错误提示;如该命令有效,则调用本地信息搜集子系统11,本地信息搜集子系统11调用网络信息获取模块111、系统信息获取模块112、用户信息获取模块113和域信息获取模块114,并行完成对本地信息的探测,并将结果输出到安全隐蔽子系统14;安全隐蔽子系统14调用源IP伪装模块141,根据本地信息搜集子系统获取的本地IP地址等信息虚拟一个新的网卡,之后安全隐蔽子系统14调用探测任务调控模块142、探测策略调控模块143、探测频率调控模块144,下达系统所在内网探测任务,调用内网扫描子系统12进行内网探测,并根据内网扫描过程中内网扫描子系统12返回的相关相关结果,对探测任务、策略和频率调控;内网扫描子系统12接到探测任务后,首先调用资产存活性探测模块121对内网资产进行存活性探测,并将结果输入给端口探测模块122,端口探测模块122完成对存活资产的端口探测,并将结果输入给资产属性识别模块123,资产属性识别模块123对资产属性进行识别,并将结果输出,结束处理。
实例3对内网脆弱性进行探测
如图4所示,用户输入命令作为开始,内网信息探测系统解析用户输入命令,如该命令不符合语法定义,则结束并输出错误提示;如该命令有效,则调用本地信息搜集子系统11,本地信息搜集子系统11调用网络信息获取模块111、系统信息获取模块112、用户信息获取模块113和域信息获取模块114,并行完成对本地信息的探测,并将结果输出到安全隐蔽子系统14;安全隐蔽子系统14调用源IP伪装模块141,根据本地信息搜集子系统获取的本地IP地址等信息虚拟一个新的网卡,之后安全隐蔽子系统14调用探测任务调控模块142、探测策略调控模块143、探测频率调控模块144,下达系统所在内网探测任务,调用内网扫描子系统12进行内网探测,并根据内网扫描过程中内网扫描子系统12返回的相关相关结果,对探测任务、策略和频率调控;内网扫描子系统12接到探测任务后,首先调用资产存活性探测模块121对内网资产进行存活性探测,并将结果输入给端口探测模块122,端口探测模块122完成对存活资产的端口探测,并将结果输入给资产属性识别模块123,资产属性识别模块123对资产属性进行识别,并将结果输入内网脆弱性探测子系统13;内网脆弱性探测子系统13调用服务漏洞探测模块131和IOT设备漏洞探测模块132,分别对资产中的服务和IOT设备进行漏洞探测,并将结果输出,结束处理。
以上所述实施例仅表示本发明的几种实施方式,其描述较为具体和详细,但并不能理解为对本发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明保护范围。因此本发明的保护范围应该以所述权利要求为准。

Claims (1)

1.一种内网信息探测系统,其特征在于,包括本地信息搜集子系统、内网扫描子系统、内网脆弱性探测子系统、安全隐蔽子系统;
所述本地信息搜集子系统根据运行环境区分为 Windows 本地信息搜集子系统和Linux 本地信息搜集子系统,由网络信息获取模块、系统信息获取模块、用户信息获取模块和域信息获取模块组成,用来搜集系统所在主机的相关信息;
所述内网扫描子系统包括资产存活性探测模块、端口探测模块和资产属性识别模块,用于完成对系统所在网络的资产探测和识别;
内网脆弱性探测子系统包括服务漏洞探测模块和 IOT 设备漏洞探测模块,用于完成对系统所在网络的的脆弱性探测;
安全隐蔽子系统包括源 IP 伪装模块、探测任务调控模块、探测策略调控模块、探测频率调控模块,用于完成对探测任务的调控和保护;
所述网络信息获取模块用于获取网络链接信息、主机路由信息、主机网络接口信息;系统信息获取模块用于获取本机主机系统类型及版本、文件系统信息、本机进程信息、本机密码文件信息、本机登录用户信息、本机历史用户登录信息;用户信息获取模块用于获取本机用户信息、本机用户组信息;域信息获取模块用于判断本机是否在 AD 域中,并获取域内主机、域内用户、密码策略信息;所述资产存活性探测模块用来完成对系统所在网络中的存活主机的探测;
端口探测模块用来根据探测策略完成对系统所在网络中存活主机的端口开放情况探测;
资产属性识别模块用来完成对探测的开放端口进行资产属性识别判断;
所述服务漏洞探测模块用来对网络中的服务进行典型漏洞探测;
IOT 设备漏洞探测模块用来对网络中的 IOT 设备进行典型漏洞探测;
源 IP 伪装模块用来虚拟新网卡,使系统利用新网卡发包,隐藏真实地址;
探测任务调控模块用来根据探测任务性质完成探测协议自动选择,并控制探测任务总体发包阈值;
探测策略调控模块用来根据网络环境自动选择 syn 或 connect 扫描不同的探测策略;
探测频率调控模块用来调整发包线程数与每次发包之间的休眠间隔。
CN202111025084.0A 2021-09-02 2021-09-02 内部网络风险资产侦测分析系统 Active CN113904800B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111025084.0A CN113904800B (zh) 2021-09-02 2021-09-02 内部网络风险资产侦测分析系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111025084.0A CN113904800B (zh) 2021-09-02 2021-09-02 内部网络风险资产侦测分析系统

Publications (2)

Publication Number Publication Date
CN113904800A CN113904800A (zh) 2022-01-07
CN113904800B true CN113904800B (zh) 2024-01-26

Family

ID=79188383

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111025084.0A Active CN113904800B (zh) 2021-09-02 2021-09-02 内部网络风险资产侦测分析系统

Country Status (1)

Country Link
CN (1) CN113904800B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107094158A (zh) * 2017-06-27 2017-08-25 四维创智(北京)科技发展有限公司 一种自动化内网安全脆弱分析系统
CN108011893A (zh) * 2017-12-26 2018-05-08 广东电网有限责任公司信息中心 一种基于网络资产信息采集的资产管理系统
CN108183895A (zh) * 2017-12-26 2018-06-19 广东电网有限责任公司信息中心 一种网络资产信息采集系统
CN108737425A (zh) * 2018-05-24 2018-11-02 北京凌云信安科技有限公司 基于多引擎漏洞扫描关联分析的脆弱性管理系统
CN108769064A (zh) * 2018-06-26 2018-11-06 广东电网有限责任公司信息中心 实现漏洞治理的分布式资产识别及变更感知方法与系统
CN110324310A (zh) * 2019-05-21 2019-10-11 国家工业信息安全发展研究中心 网络资产指纹识别方法、系统及设备
CN110635971A (zh) * 2019-10-16 2019-12-31 杭州安恒信息技术股份有限公司 工控资产探测及管理方法、装置和电子设备
CN111147486A (zh) * 2019-12-25 2020-05-12 国家电网有限公司 一种精细化安全防护系统和方法及其应用
RU2747476C1 (ru) * 2020-08-04 2021-05-05 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Система интеллектуального управления рисками и уязвимостями элементов инфраструктуры

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2968710A1 (en) * 2016-05-31 2017-11-30 Valarie Ann Findlay Security threat information gathering and incident reporting systems and methods

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107094158A (zh) * 2017-06-27 2017-08-25 四维创智(北京)科技发展有限公司 一种自动化内网安全脆弱分析系统
CN108011893A (zh) * 2017-12-26 2018-05-08 广东电网有限责任公司信息中心 一种基于网络资产信息采集的资产管理系统
CN108183895A (zh) * 2017-12-26 2018-06-19 广东电网有限责任公司信息中心 一种网络资产信息采集系统
CN108737425A (zh) * 2018-05-24 2018-11-02 北京凌云信安科技有限公司 基于多引擎漏洞扫描关联分析的脆弱性管理系统
CN108769064A (zh) * 2018-06-26 2018-11-06 广东电网有限责任公司信息中心 实现漏洞治理的分布式资产识别及变更感知方法与系统
CN110324310A (zh) * 2019-05-21 2019-10-11 国家工业信息安全发展研究中心 网络资产指纹识别方法、系统及设备
CN110635971A (zh) * 2019-10-16 2019-12-31 杭州安恒信息技术股份有限公司 工控资产探测及管理方法、装置和电子设备
CN111147486A (zh) * 2019-12-25 2020-05-12 国家电网有限公司 一种精细化安全防护系统和方法及其应用
RU2747476C1 (ru) * 2020-08-04 2021-05-05 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Система интеллектуального управления рисками и уязвимостями элементов инфраструктуры

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Liang Fei ; Feng Jing.Research on Comprehensive Risk of Network Assets and Vulnerabilities.《2018 IEEE 3rd Advanced Information Technology, Electronic and Automation Control Conference (IAEAC)》.2018,1787-1791页. *
网络测绘在电力企业网络资产安全管理中的应用价值;林冰洁;夏昂;魏家辉;王亮;《网络空间安全》;第第2021卷卷(第第12期期);76-81页 *

Also Published As

Publication number Publication date
CN113904800A (zh) 2022-01-07

Similar Documents

Publication Publication Date Title
US10567422B2 (en) Method, apparatus and system for processing attack behavior of cloud application in cloud computing system
US6131163A (en) Network gateway mechanism having a protocol stack proxy
US9166988B1 (en) System and method for controlling virtual network including security function
CN102594623B (zh) 防火墙的数据检测方法及装置
US20150244730A1 (en) System And Method For Verifying And Detecting Malware
CN107347078B (zh) 一种基于云服务的操作系统弱口令安全检测方法
US20150188933A1 (en) Dynamic selection of network traffic for file extraction and shellcode detection
CN109587156A (zh) 异常网络访问连接识别与阻断方法、系统、介质和设备
CN101621428A (zh) 一种僵尸网络检测方法及系统以及相关设备
CN111541670A (zh) 一种新型动态蜜罐系统
US10038763B2 (en) Method and apparatus for detecting network protocols
CN110912887B (zh) 一种基于Bro的APT监测系统和方法
CN112261029B (zh) 一种基于养殖的DDoS恶意代码检测及溯源方法
CN113382010B (zh) 基于协同入侵检测的大规模网络安全防御系统
CN113965355B (zh) 一种基于soc的非法ip省内网络封堵方法及装置
CN111083109A (zh) 交换机联动防火墙防护提升方法
CN113904800B (zh) 内部网络风险资产侦测分析系统
CN111865950B (zh) 一种拟态网络测试仪及测试方法
CN114137934A (zh) 一种具有入侵检测功能的工业控制系统及检测方法
Lee et al. Implementation and vulnerability test of stealth port scanning attacks using ZMap of censys engine
CN107608752B (zh) 基于虚拟机自省的威胁情报响应与处置方法及系统
CN110417578B (zh) 一种异常ftp连接告警处理方法
Pospisil et al. Active scanning in the industrial control systems
CN113132335A (zh) 一种虚拟变换系统、方法及网络安全系统与方法
CN116668078A (zh) 一种互联网入侵安全防御系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant