CN115208634A - 一种网络资产的监管引擎 - Google Patents

Abstract

本发明涉及的一种网络资产的监管引擎，主要涉及网络安全技术领域，其步骤包括：使用ICMP和TCP协议对网络资产进行发现，然后将这些资产进行指纹识别和漏洞识别，并对存在漏洞的设备进行修复，实时防御网络入侵。本发明对Web资产、操作系统、中间件、网络设备、安全设备和物联网设备等各类软硬件网络资产进行多维度的精准画像，建立全面的资产信息库，可以有效弥补用户传统资产管理方式的不足，帮助用户打通信息化管理的流程，提升安全运维的工作效率，进而准确发现未知资产并及时处置，做到及时的风险清零。其中最大的优势是自动、持续的监测分析，及时发现重要的安全风险，延展性强，方便对接企业现有的管理系统。

Description

一种网络资产的监管引擎

技术领域

本发明涉及网络安全技术领域，特别是涉及一种网络资产的监管引擎。

背景技术

当前互联网的网络空间由最初的混沌到现在快速扩展，互联网设备的也运用越来越广泛，全世界上网设备的激增导致IPV4地址无法继续包含下去，可以想象在未来，会有越来越多设备在互联网中相连接，以互联网为基础上的延伸和扩展，人类生活的延伸扩展到了一切物品之间的信息交换与通信，但是，越来越信息化的时代也伴随着越来越多的风险，这就需要通过网络空间监管引擎，快速地了解内网中的网络资产，网络空间监管引擎在网络空间测绘，态势感知，企业资产安全管理等网络安全领域发挥着巨大的作用。

传统的网络空间测绘引擎主要利用网络探测、采集或挖掘等技术，获取网络设备等实体资源、用户和服务等虚拟资源的网络属性，主要功能单一，识别不准确，不具备防御功能。

综上所述，本发明提供一种网络资产的监管引擎，以解决上述问题。

发明内容

针对上述情况，为克服现有技术之缺陷，本发明之目的在于提供一种网络资产的监管引擎，该种引擎集发现、检测、管理、防御为一体，能够大大提高网络设备的安全防护能力。

本发明的上述技术目的是通过以下技术方案得以实现的：

一种网络资产的监管引擎，其特征在于，主要包括以下具体步骤：

步骤1：网络服务识别：

步骤1.1：使用ICMP协议对IP进行探测，用于发现IP段中的存活主机，将存活主机ip加入列表；对于未存活的ip再次使用TCP协议对特定端口发送数据包进行探测，这样既能大幅度提升识别速度又能增加识别准确率；

步骤1.2：对存活主机端口发送TCP数据包，根据返回包内容判断主机开放端口；

步骤2：将存活主机开放端口识别结果加入到特征库，对开放端口进行指纹识别；

步骤2.1：对开放端口发送特定TCP数据包，将端口返回数据内容加入规则库，根据数据特征来判断端口运行的服务；

步骤2.2：对于使用WEB服务的端口再行进行指纹识别，来判断运行的WEB服务类型；

步骤3：根据识别出的服务发送特定数据包，将返回内容进判断，以此来检测是否包含指定服务漏洞；

步骤4：根据检测出的漏洞指定相对应的防御方法；

步骤5：监控内网资产，防御新的入侵及漏洞；

步骤6：将步骤1-5的结果输入到WEB页面，方便使用者管理。

进一步地，所述步骤1.1具体为：

步骤1.11：由于ICMP数据包发送和接收速度快，所以先使用ICMP协议扫描，对扫描IP段发送ICMP数据包，将有返回数据的ip划定为存活主机ip，将存活ip加入列表进行后续扫描；

步骤1.12：部分主机会对ICMP协议进行拦截，所以未识别出的主机再次使用TCP协议进行探测，TCP是可靠的面向连接的协议，一个完整的TCP会话每个过程都有不同的状态，使用TCP协议向特定端口发送数据，根据连接数据判断主机是否存活。

进一步地，所述步骤1.2具体为：

步骤1.21：对存活主机IP进行端口存活探测，根据TCP协议，处于关闭状态的端口，在收到探测包时会响应RST包，而处于侦听状态的端口则忽略此探测包，根据探测包中各标志位设置的不同，TCP隐蔽扫描又分为SYN/ACK扫描、FIN扫描、XMAS(圣诞树)扫描和NULL扫描四种，SYN/ACK扫描和FIN扫描均绕过TCP三次握手过程的第一步，直接给目的端口发送SYN/ACK包或者FIN包，因为TCP是基于连接的协议，目标主机认为发送方在第一步中应该发送的SYN包没有送出，从而定义这次连接过程错误，会发送一个RST包以重置连接，而这正是扫描需要的结果，只要有响应，就说明目标系统存在，且目标端口处于关闭状态。

进一步地，所述步骤2.1具体为：

步骤2.11：由于不同的服务ftp，http会有不同的返回结果，根据这些结果作为指纹，与数据库的指纹匹配，来识别出该端口对应的服务并做标记。

进一步地，所述步骤2.2具体为：

步骤2.21：由于WEB系统多种多样，将对步骤2.1中端口识别为http和https的端口再次进行WEB指纹识别，WEB系统在静态文件（例如html、js、css）中会包含一些特征字符串，即使没有，固定url文件也是一种特征字符；例如wordpress会在robots.txt中会包含wp-admin之类，默认样式会在首页中包含generator=wordpress xx，页面中会包含wp-content路径等等，以此类推，几乎所有WEB都会有类似的指纹特征，识别WEB指纹的方式，通过获取一段特定的路径，判断该路径下的返回文本（通过md5或者正则表达式），在指纹库中存在相对应的指纹，即可判别该URL所属于的WEB应用。

进一步地，所述步骤3具体为：

步骤3.1：基于脆弱点数据库的扫描，首先构造扫描的环境模型，对系统中可能存在的脆弱点、过往黑客攻击案例和系统管理员的安全配置进行建模与分析，其次基于分析的结果，生成一套标准的脆弱点数据库及匹配模式，最后由程序基于脆弱点数据库及匹配模式自动进行扫描工作，脆弱点扫描的准确性取决于脆弱点数据库的完整性及有效性；

步骤3.2：基于插件的扫描，插件是由脚本语言编写的子程序模块，扫描程序可以通过调用插件来执行扫描，添加新的功能插件可以使扫描程序增加新的功能，或者增加可扫描脆弱点的类型与数量，也可以升级插件来更新脆弱点的特征信息，从而得到更为准确的结果，插件技术使脆弱点扫描软件的升级维护变得相对简单，而专用脚本语言的使用也简化了编写新插件的编程工作，使弱点扫描软件具有很强的扩展性。

进一步地，所述步骤4具体为：

步骤4.1：漏洞修复阶段为安全人员和运维人员相互配合；将步骤3检测出的漏洞显示在WEB端供运维人员查看，当运维人员把待修复漏洞转换到已修复转态，安全人员必须要对漏洞修复情况进行复查，如果再次扫描发现漏洞依然存在，则归为修复失败，对于修复失败的漏洞要重新转换到漏洞发现状态，如果再次扫描漏洞不存在，则归为已验证状态，同时如果后期多次扫描过程中因为资产本身变化导致漏洞复现，漏洞状态转换为再次发现，对于再次发现的漏洞要及时转至待修复状态。

进一步地，所述步骤5具体为：

步骤5.1：将电脑里流过内存的数据与云端病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒，使用启发技术，在原有的特征值识别技术基础上，根据反病毒样本分析可疑程序样本，在没有符合特征值比对时，根据反编译后程序代码所调用的win32API函数情况（特征组合、出现频率等）判断程序的具体目的是否为病毒、恶意软件，符合判断条件即报警提示用户发现可疑程序，达到防御未知病毒、恶意软件的目的，解决了单一通过特征值比对存在的缺陷，采用人工智能算法，具备“自学习、自进化”能力，无需频繁升级特征库，就能免疫大部分的变种病毒，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

进一步地，所述步骤6具体为：

步骤6.1：将步骤1-5的结果导入到数据库中，并在WEB一可视化的形式展示给用户，供用户实时监控内部网络资产状态。

综上所述，本发明具有以下有益效果：

本发明对Web资产、操作系统、中间件、网络设备、安全设备和物联网设备等各类软硬件网络资产进行多维度的精准画像，建立全面的资产信息库，可以有效弥补用户传统资产管理方式的不足，帮助用户打通信息化管理的流程，提升安全运维的工作效率，进而准确发现未知资产并及时处置，做到及时的风险清零，其中最大的优势是自动、持续的监测分析，及时发现重要的安全风险，延展性强，方便对接企业现有的管理系统。

附图说明

此处所说明的附图是用来提供对本发明的进一步理解，构成本申请的一部分，但并不构成对本发明的不当限定，在附图中：

图1是本发明中实施例1的整体结构示意图。

具体实施方式

有关本发明的前述及其他技术内容、特点与功效，在以下配合参考附图1对实施例的详细说明中，将可清楚的呈现。以下实施例中所提到的结构内容，均是以说明书附图为参考。

下面将参照附图描述本发明的各示例性的实施例。

实施例1：

一种网络资产的监管引擎，主要包括以下具体步骤：

步骤1：网络服务识别。

步骤1.1：使用ICMP协议对IP进行探测，用于发现IP段中的存活主机，将存活主机ip加入列表；对于未存活的ip再次使用TCP协议对特定端口发送数据包进行探测，这样既能大幅度提升识别速度又能增加识别准确率，其中，步骤1.1具体为：

步骤1.11：由于ICMP数据包发送和接收速度快，所以先使用ICMP协议扫描，对扫描IP段发送ICMP数据包，将有返回数据的ip划定为存活主机ip，将存活ip加入列表进行后续扫描。

步骤1.12：部分主机会对ICMP协议进行拦截，所以未识别出的主机再次使用TCP协议进行探测，TCP是可靠的面向连接的协议，一个完整的TCP会话每个过程都有不同的状态，使用TCP协议向特定端口发送数据，根据连接数据判断主机是否存活。

步骤1.2：对存活主机端口发送TCP数据包，根据返回包内容判断主机开放端口，其中，步骤1.2具体为：

步骤1.21：对存活主机IP进行端口存活探测，根据TCP协议，处于关闭状态的端口，在收到探测包时会响应RST包，而处于侦听状态的端口则忽略此探测包，根据探测包中各标志位设置的不同，TCP隐蔽扫描又分为SYN/ACK扫描、FIN扫描、XMAS(圣诞树)扫描和NULL扫描四种，SYN/ACK扫描和FIN扫描均绕过TCP三次握手过程的第一步，直接给目的端口发送SYN/ACK包或者FIN包，因为TCP是基于连接的协议，目标主机认为发送方在第一步中应该发送的SYN包没有送出，从而定义这次连接过程错误，会发送一个RST包以重置连接，而这正是扫描需要的结果，只要有响应，就说明目标系统存在，且目标端口处于关闭状态。

步骤2：将存活主机开放端口识别结果加入到特征库，对开放端口进行指纹识别。

步骤2.1：对开放端口发送特定TCP数据包，将端口返回数据内容加入规则库，根据数据特征来判断端口运行的服务，其中，步骤2.1具体为：

步骤2.11：由于不同的服务ftp，http会有不同的返回结果，根据这些结果作为指纹，与数据库的指纹匹配，来识别出该端口对应的服务并做标记。

步骤2.2：对于使用WEB服务的端口再行进行指纹识别，来判断运行的WEB服务类型，其中，步骤2.2具体为：

步骤2.21：由于WEB系统多种多样，将对步骤2.1中端口识别为http和https的端口再次进行WEB指纹识别，WEB系统在静态文件（例如html、js、css）中会包含一些特征字符串，即使没有，固定url文件也是一种特征字符；例如wordpress会在robots.txt中会包含wp-admin之类，默认样式会在首页中包含generator=wordpress xx，页面中会包含wp-content路径等等，以此类推，几乎所有WEB都会有类似的指纹特征，识别WEB指纹的方式，通过获取一段特定的路径，判断该路径下的返回文本（通过md5或者正则表达式），在指纹库中存在相对应的指纹，即可判别该URL所属于的WEB应用。

步骤3：根据识别出的服务发送特定数据包，将返回内容进判断，以此来检测是否包含指定服务漏洞，其中，步骤3具体为：

步骤3.1：基于脆弱点数据库的扫描，首先构造扫描的环境模型，对系统中可能存在的脆弱点、过往黑客攻击案例和系统管理员的安全配置进行建模与分析，其次基于分析的结果，生成一套标准的脆弱点数据库及匹配模式，最后由程序基于脆弱点数据库及匹配模式自动进行扫描工作，脆弱点扫描的准确性取决于脆弱点数据库的完整性及有效性。

步骤3.2：基于插件的扫描，插件是由脚本语言编写的子程序模块，扫描程序可以通过调用插件来执行扫描，添加新的功能插件可以使扫描程序增加新的功能，或者增加可扫描脆弱点的类型与数量，也可以升级插件来更新脆弱点的特征信息，从而得到更为准确的结果，插件技术使脆弱点扫描软件的升级维护变得相对简单，而专用脚本语言的使用也简化了编写新插件的编程工作，使弱点扫描软件具有很强的扩展性。

步骤4：根据检测出的漏洞指定相对应的防御方法，其中，步骤4具体为：

步骤4.1：漏洞修复阶段为安全人员和运维人员相互配合；将步骤3检测出的漏洞显示在WEB端供运维人员查看，当运维人员把待修复漏洞转换到已修复转态，安全人员必须要对漏洞修复情况进行复查，如果再次扫描发现漏洞依然存在，则归为修复失败，对于修复失败的漏洞要重新转换到漏洞发现状态，如果再次扫描漏洞不存在，则归为已验证状态，同时如果后期多次扫描过程中因为资产本身变化导致漏洞复现，漏洞状态转换为再次发现，对于再次发现的漏洞要及时转至待修复状态。

步骤5：监控内网资产，防御新的入侵及漏洞，其中，步骤5具体为：

步骤5.1：将电脑里流过内存的数据与云端病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒，使用启发技术，在原有的特征值识别技术基础上，根据反病毒样本分析可疑程序样本，在没有符合特征值比对时，根据反编译后程序代码所调用的win32API函数情况（特征组合、出现频率等）判断程序的具体目的是否为病毒、恶意软件，符合判断条件即报警提示用户发现可疑程序，达到防御未知病毒、恶意软件的目的，解决了单一通过特征值比对存在的缺陷，采用人工智能算法，具备“自学习、自进化”能力，无需频繁升级特征库，就能免疫大部分的变种病毒，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

步骤6：将步骤1-5的结果输入到WEB页面，方便使用者管理，其中，步骤6具体为：

步骤6.1：将步骤1-5的结果导入到数据库中，并在WEB一可视化的形式展示给用户，供用户实时监控内部网络资产状态。

本发明为网络资产的监管引擎，首先使用ICMP和TCP协议对网络资产进行发现，然后将这些资产进行指纹识别和漏洞识别，并对存在漏洞的设备进行修复，实时防御网络入侵。

本发明对Web资产、操作系统、中间件、网络设备、安全设备和物联网设备等各类软硬件网络资产进行多维度的精准画像，建立全面的资产信息库，可以有效弥补用户传统资产管理方式的不足，帮助用户打通信息化管理的流程，提升安全运维的工作效率，进而准确发现未知资产并及时处置，做到及时的风险清零，其中最大的优势是自动、持续的监测分析，及时发现重要的安全风险，延展性强，方便对接企业现有的管理系统。

以上所述是结合具体实施方式对本发明所作的进一步详细说明，不能认定本发明具体实施仅局限于此；对于本发明所属及相关技术领域的技术人员来说，在基于本发明技术方案思路前提下，所作的拓展以及操作方法、数据的替换，都应当落在本发明保护范围之内。

Claims (9)

1.一种网络资产的监管引擎，其特征在于，主要包括以下具体步骤：

步骤1：网络服务识别：

步骤1.1：使用ICMP协议对IP进行探测，用于发现IP段中的存活主机，将存活主机ip加入列表；对于未存活的ip再次使用TCP协议对特定端口发送数据包进行探测，这样既能大幅度提升识别速度又能增加识别准确率；

步骤1.2：对存活主机端口发送TCP数据包，根据返回包内容判断主机开放端口；

步骤2：将存活主机开放端口识别结果加入到特征库，对开放端口进行指纹识别；

步骤2.1：对开放端口发送特定TCP数据包，将端口返回数据内容加入规则库，根据数据特征来判断端口运行的服务；

步骤2.2：对于使用WEB服务的端口再行进行指纹识别，来判断运行的WEB服务类型；

步骤3：根据识别出的服务发送特定数据包，将返回内容进判断，以此来检测是否包含指定服务漏洞；

步骤4：根据检测出的漏洞指定相对应的防御方法；

步骤5：监控内网资产，防御新的入侵及漏洞；

步骤6：将步骤1-5的结果输入到WEB页面，方便使用者管理。

2.根据权利要求1所述的一种网络资产的监管引擎，其特征在于，所述步骤1.1具体为：

步骤1.11：由于ICMP数据包发送和接收速度快，所以先使用ICMP协议扫描，对扫描IP段发送ICMP数据包，将有返回数据的ip划定为存活主机ip，将存活ip加入列表进行后续扫描；

步骤1.12：部分主机会对ICMP协议进行拦截，所以未识别出的主机再次使用TCP协议进行探测，TCP是可靠的面向连接的协议，一个完整的TCP会话每个过程都有不同的状态，使用TCP协议向特定端口发送数据，根据连接数据判断主机是否存活。

3.根据权利要求1所述的一种网络资产的监管引擎，其特征在于，所述步骤1.2具体为：

步骤1.21：对存活主机IP进行端口存活探测，根据TCP协议，处于关闭状态的端口，在收到探测包时会响应RST包，而处于侦听状态的端口则忽略此探测包，根据探测包中各标志位设置的不同，TCP隐蔽扫描又分为SYN/ACK扫描、FIN扫描、XMAS(圣诞树)扫描和NULL扫描四种，SYN/ACK扫描和FIN扫描均绕过TCP三次握手过程的第一步，直接给目的端口发送SYN/ACK包或者FIN包，因为TCP是基于连接的协议，目标主机认为发送方在第一步中应该发送的SYN包没有送出，从而定义这次连接过程错误，会发送一个RST包以重置连接，而这正是扫描需要的结果，只要有响应，就说明目标系统存在，且目标端口处于关闭状态。

4.根据权利要求1所述的一种网络资产的监管引擎，其特征在于，所述步骤2.1具体为：

步骤2.11：由于不同的服务ftp，http会有不同的返回结果，根据这些结果作为指纹，与数据库的指纹匹配，来识别出该端口对应的服务并做标记。

5.根据权利要求1所述的一种网络资产的监管引擎，其特征在于，所述步骤2.2具体为：

步骤2.21：由于WEB系统多种多样，将对步骤2.1中端口识别为http和https的端口再次进行WEB指纹识别，WEB系统在静态文件（例如html、js、css）中会包含一些特征字符串，即使没有，固定url文件也是一种特征字符；例如wordpress会在robots.txt中会包含wp-admin之类，默认样式会在首页中包含generator=wordpress xx，页面中会包含wp-content路径等等，以此类推，几乎所有WEB都会有类似的指纹特征，识别WEB指纹的方式，通过获取一段特定的路径，判断该路径下的返回文本（通过md5或者正则表达式），在指纹库中存在相对应的指纹，即可判别该URL所属于的WEB应用。

6.根据权利要求1所述的一种网络资产的监管引擎，其特征在于，所述步骤3具体为：

步骤3.1：基于脆弱点数据库的扫描，首先构造扫描的环境模型，对系统中可能存在的脆弱点、过往黑客攻击案例和系统管理员的安全配置进行建模与分析，其次基于分析的结果，生成一套标准的脆弱点数据库及匹配模式，最后由程序基于脆弱点数据库及匹配模式自动进行扫描工作，脆弱点扫描的准确性取决于脆弱点数据库的完整性及有效性；

步骤3.2：基于插件的扫描，插件是由脚本语言编写的子程序模块，扫描程序可以通过调用插件来执行扫描，添加新的功能插件可以使扫描程序增加新的功能，或者增加可扫描脆弱点的类型与数量，也可以升级插件来更新脆弱点的特征信息，从而得到更为准确的结果，插件技术使脆弱点扫描软件的升级维护变得相对简单，而专用脚本语言的使用也简化了编写新插件的编程工作，使弱点扫描软件具有很强的扩展性。

7.根据权利要求1所述的一种网络资产的监管引擎，其特征在于，所述步骤4具体为：

步骤4.1：漏洞修复阶段为安全人员和运维人员相互配合；将步骤3检测出的漏洞显示在WEB端供运维人员查看，当运维人员把待修复漏洞转换到已修复转态，安全人员必须要对漏洞修复情况进行复查，如果再次扫描发现漏洞依然存在，则归为修复失败，对于修复失败的漏洞要重新转换到漏洞发现状态，如果再次扫描漏洞不存在，则归为已验证状态，同时如果后期多次扫描过程中因为资产本身变化导致漏洞复现，漏洞状态转换为再次发现，对于再次发现的漏洞要及时转至待修复状态。

8.根据权利要求1所述的一种网络资产的监管引擎，其特征在于，所述步骤5具体为：

步骤5.1：将电脑里流过内存的数据与云端病毒库（包含病毒定义）的特征码相比较，以判断是否为病毒，使用启发技术，在原有的特征值识别技术基础上，根据反病毒样本分析可疑程序样本，在没有符合特征值比对时，根据反编译后程序代码所调用的win32API函数情况（特征组合、出现频率等）判断程序的具体目的是否为病毒、恶意软件，符合判断条件即报警提示用户发现可疑程序，达到防御未知病毒、恶意软件的目的，解决了单一通过特征值比对存在的缺陷，采用人工智能算法，具备“自学习、自进化”能力，无需频繁升级特征库，就能免疫大部分的变种病毒，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

9.根据权利要求1所述的一种网络资产的监管引擎，其特征在于，所述步骤6具体为：

步骤6.1：将步骤1-5的结果导入到数据库中，并在WEB一可视化的形式展示给用户，供用户实时监控内部网络资产状态。

Images