CN115208634A - 一种网络资产的监管引擎 - Google Patents
一种网络资产的监管引擎 Download PDFInfo
- Publication number
- CN115208634A CN115208634A CN202210690331.7A CN202210690331A CN115208634A CN 115208634 A CN115208634 A CN 115208634A CN 202210690331 A CN202210690331 A CN 202210690331A CN 115208634 A CN115208634 A CN 115208634A
- Authority
- CN
- China
- Prior art keywords
- scanning
- port
- bug
- tcp
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Cardiology (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及的一种网络资产的监管引擎,主要涉及网络安全技术领域,其步骤包括:使用ICMP和TCP协议对网络资产进行发现,然后将这些资产进行指纹识别和漏洞识别,并对存在漏洞的设备进行修复,实时防御网络入侵。本发明对Web资产、操作系统、中间件、网络设备、安全设备和物联网设备等各类软硬件网络资产进行多维度的精准画像,建立全面的资产信息库,可以有效弥补用户传统资产管理方式的不足,帮助用户打通信息化管理的流程,提升安全运维的工作效率,进而准确发现未知资产并及时处置,做到及时的风险清零。其中最大的优势是自动、持续的监测分析,及时发现重要的安全风险,延展性强,方便对接企业现有的管理系统。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络资产的监管引擎。
背景技术
当前互联网的网络空间由最初的混沌到现在快速扩展,互联网设备的也运用越来越广泛,全世界上网设备的激增导致IPV4地址无法继续包含下去,可以想象在未来,会有越来越多设备在互联网中相连接,以互联网为基础上的延伸和扩展,人类生活的延伸扩展到了一切物品之间的信息交换与通信,但是,越来越信息化的时代也伴随着越来越多的风险,这就需要通过网络空间监管引擎,快速地了解内网中的网络资产,网络空间监管引擎在网络空间测绘,态势感知,企业资产安全管理等网络安全领域发挥着巨大的作用。
传统的网络空间测绘引擎主要利用网络探测、采集或挖掘等技术,获取网络设备等实体资源、用户和服务等虚拟资源的网络属性,主要功能单一,识别不准确,不具备防御功能。
综上所述,本发明提供一种网络资产的监管引擎,以解决上述问题。
发明内容
针对上述情况,为克服现有技术之缺陷,本发明之目的在于提供一种网络资产的监管引擎,该种引擎集发现、检测、管理、防御为一体,能够大大提高网络设备的安全防护能力。
本发明的上述技术目的是通过以下技术方案得以实现的:
一种网络资产的监管引擎,其特征在于,主要包括以下具体步骤:
步骤1:网络服务识别:
步骤1.1:使用ICMP协议对IP进行探测,用于发现IP段中的存活主机,将存活主机ip加入列表;对于未存活的ip再次使用TCP协议对特定端口发送数据包进行探测,这样既能大幅度提升识别速度又能增加识别准确率;
步骤1.2:对存活主机端口发送TCP数据包,根据返回包内容判断主机开放端口;
步骤2:将存活主机开放端口识别结果加入到特征库,对开放端口进行指纹识别;
步骤2.1:对开放端口发送特定TCP数据包,将端口返回数据内容加入规则库,根据数据特征来判断端口运行的服务;
步骤2.2:对于使用WEB服务的端口再行进行指纹识别,来判断运行的WEB服务类型;
步骤3:根据识别出的服务发送特定数据包,将返回内容进判断,以此来检测是否包含指定服务漏洞;
步骤4:根据检测出的漏洞指定相对应的防御方法;
步骤5:监控内网资产,防御新的入侵及漏洞;
步骤6:将步骤1-5的结果输入到WEB页面,方便使用者管理。
进一步地,所述步骤1.1具体为:
步骤1.11:由于ICMP数据包发送和接收速度快,所以先使用ICMP协议扫描,对扫描IP段发送ICMP数据包,将有返回数据的ip划定为存活主机ip,将存活ip加入列表进行后续扫描;
步骤1.12:部分主机会对ICMP协议进行拦截,所以未识别出的主机再次使用TCP协议进行探测,TCP是可靠的面向连接的协议,一个完整的TCP会话每个过程都有不同的状态,使用TCP协议向特定端口发送数据,根据连接数据判断主机是否存活。
进一步地,所述步骤1.2具体为:
步骤1.21:对存活主机IP进行端口存活探测,根据TCP协议,处于关闭状态的端口,在收到探测包时会响应RST包,而处于侦听状态的端口则忽略此探测包,根据探测包中各标志位设置的不同,TCP隐蔽扫描又分为SYN/ACK扫描、FIN扫描、XMAS(圣诞树)扫描和NULL扫描四种,SYN/ACK扫描和FIN扫描均绕过TCP三次握手过程的第一步,直接给目的端口发送SYN/ACK包或者FIN包,因为TCP是基于连接的协议,目标主机认为发送方在第一步中应该发送的SYN包没有送出,从而定义这次连接过程错误,会发送一个RST包以重置连接,而这正是扫描需要的结果,只要有响应,就说明目标系统存在,且目标端口处于关闭状态。
进一步地,所述步骤2.1具体为:
步骤2.11:由于不同的服务ftp,http会有不同的返回结果,根据这些结果作为指纹,与数据库的指纹匹配,来识别出该端口对应的服务并做标记。
进一步地,所述步骤2.2具体为:
步骤2.21:由于WEB系统多种多样,将对步骤2.1中端口识别为http和https的端口再次进行WEB指纹识别,WEB系统在静态文件(例如html、js、css)中会包含一些特征字符串,即使没有,固定url文件也是一种特征字符;例如wordpress会在robots.txt中会包含wp-admin之类,默认样式会在首页中包含generator=wordpress xx,页面中会包含wp-content路径等等,以此类推,几乎所有WEB都会有类似的指纹特征,识别WEB指纹的方式,通过获取一段特定的路径,判断该路径下的返回文本(通过md5或者正则表达式),在指纹库中存在相对应的指纹,即可判别该URL所属于的WEB应用。
进一步地,所述步骤3具体为:
步骤3.1:基于脆弱点数据库的扫描,首先构造扫描的环境模型,对系统中可能存在的脆弱点、过往黑客攻击案例和系统管理员的安全配置进行建模与分析,其次基于分析的结果,生成一套标准的脆弱点数据库及匹配模式,最后由程序基于脆弱点数据库及匹配模式自动进行扫描工作,脆弱点扫描的准确性取决于脆弱点数据库的完整性及有效性;
步骤3.2:基于插件的扫描,插件是由脚本语言编写的子程序模块,扫描程序可以通过调用插件来执行扫描,添加新的功能插件可以使扫描程序增加新的功能,或者增加可扫描脆弱点的类型与数量,也可以升级插件来更新脆弱点的特征信息,从而得到更为准确的结果,插件技术使脆弱点扫描软件的升级维护变得相对简单,而专用脚本语言的使用也简化了编写新插件的编程工作,使弱点扫描软件具有很强的扩展性。
进一步地,所述步骤4具体为:
步骤4.1:漏洞修复阶段为安全人员和运维人员相互配合;将步骤3检测出的漏洞显示在WEB端供运维人员查看,当运维人员把待修复漏洞转换到已修复转态,安全人员必须要对漏洞修复情况进行复查,如果再次扫描发现漏洞依然存在,则归为修复失败,对于修复失败的漏洞要重新转换到漏洞发现状态,如果再次扫描漏洞不存在,则归为已验证状态,同时如果后期多次扫描过程中因为资产本身变化导致漏洞复现,漏洞状态转换为再次发现,对于再次发现的漏洞要及时转至待修复状态。
进一步地,所述步骤5具体为:
步骤5.1:将电脑里流过内存的数据与云端病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒,使用启发技术,在原有的特征值识别技术基础上,根据反病毒样本分析可疑程序样本,在没有符合特征值比对时,根据反编译后程序代码所调用的win32API函数情况(特征组合、出现频率等)判断程序的具体目的是否为病毒、恶意软件,符合判断条件即报警提示用户发现可疑程序,达到防御未知病毒、恶意软件的目的,解决了单一通过特征值比对存在的缺陷,采用人工智能算法,具备“自学习、自进化”能力,无需频繁升级特征库,就能免疫大部分的变种病毒,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
进一步地,所述步骤6具体为:
步骤6.1:将步骤1-5的结果导入到数据库中,并在WEB一可视化的形式展示给用户,供用户实时监控内部网络资产状态。
综上所述,本发明具有以下有益效果:
本发明对Web资产、操作系统、中间件、网络设备、安全设备和物联网设备等各类软硬件网络资产进行多维度的精准画像,建立全面的资产信息库,可以有效弥补用户传统资产管理方式的不足,帮助用户打通信息化管理的流程,提升安全运维的工作效率,进而准确发现未知资产并及时处置,做到及时的风险清零,其中最大的优势是自动、持续的监测分析,及时发现重要的安全风险,延展性强,方便对接企业现有的管理系统。
附图说明
此处所说明的附图是用来提供对本发明的进一步理解,构成本申请的一部分,但并不构成对本发明的不当限定,在附图中:
图1是本发明中实施例1的整体结构示意图。
具体实施方式
有关本发明的前述及其他技术内容、特点与功效,在以下配合参考附图1对实施例的详细说明中,将可清楚的呈现。以下实施例中所提到的结构内容,均是以说明书附图为参考。
下面将参照附图描述本发明的各示例性的实施例。
实施例1:
一种网络资产的监管引擎,主要包括以下具体步骤:
步骤1:网络服务识别。
步骤1.1:使用ICMP协议对IP进行探测,用于发现IP段中的存活主机,将存活主机ip加入列表;对于未存活的ip再次使用TCP协议对特定端口发送数据包进行探测,这样既能大幅度提升识别速度又能增加识别准确率,其中,步骤1.1具体为:
步骤1.11:由于ICMP数据包发送和接收速度快,所以先使用ICMP协议扫描,对扫描IP段发送ICMP数据包,将有返回数据的ip划定为存活主机ip,将存活ip加入列表进行后续扫描。
步骤1.12:部分主机会对ICMP协议进行拦截,所以未识别出的主机再次使用TCP协议进行探测,TCP是可靠的面向连接的协议,一个完整的TCP会话每个过程都有不同的状态,使用TCP协议向特定端口发送数据,根据连接数据判断主机是否存活。
步骤1.2:对存活主机端口发送TCP数据包,根据返回包内容判断主机开放端口,其中,步骤1.2具体为:
步骤1.21:对存活主机IP进行端口存活探测,根据TCP协议,处于关闭状态的端口,在收到探测包时会响应RST包,而处于侦听状态的端口则忽略此探测包,根据探测包中各标志位设置的不同,TCP隐蔽扫描又分为SYN/ACK扫描、FIN扫描、XMAS(圣诞树)扫描和NULL扫描四种,SYN/ACK扫描和FIN扫描均绕过TCP三次握手过程的第一步,直接给目的端口发送SYN/ACK包或者FIN包,因为TCP是基于连接的协议,目标主机认为发送方在第一步中应该发送的SYN包没有送出,从而定义这次连接过程错误,会发送一个RST包以重置连接,而这正是扫描需要的结果,只要有响应,就说明目标系统存在,且目标端口处于关闭状态。
步骤2:将存活主机开放端口识别结果加入到特征库,对开放端口进行指纹识别。
步骤2.1:对开放端口发送特定TCP数据包,将端口返回数据内容加入规则库,根据数据特征来判断端口运行的服务,其中,步骤2.1具体为:
步骤2.11:由于不同的服务ftp,http会有不同的返回结果,根据这些结果作为指纹,与数据库的指纹匹配,来识别出该端口对应的服务并做标记。
步骤2.2:对于使用WEB服务的端口再行进行指纹识别,来判断运行的WEB服务类型,其中,步骤2.2具体为:
步骤2.21:由于WEB系统多种多样,将对步骤2.1中端口识别为http和https的端口再次进行WEB指纹识别,WEB系统在静态文件(例如html、js、css)中会包含一些特征字符串,即使没有,固定url文件也是一种特征字符;例如wordpress会在robots.txt中会包含wp-admin之类,默认样式会在首页中包含generator=wordpress xx,页面中会包含wp-content路径等等,以此类推,几乎所有WEB都会有类似的指纹特征,识别WEB指纹的方式,通过获取一段特定的路径,判断该路径下的返回文本(通过md5或者正则表达式),在指纹库中存在相对应的指纹,即可判别该URL所属于的WEB应用。
步骤3:根据识别出的服务发送特定数据包,将返回内容进判断,以此来检测是否包含指定服务漏洞,其中,步骤3具体为:
步骤3.1:基于脆弱点数据库的扫描,首先构造扫描的环境模型,对系统中可能存在的脆弱点、过往黑客攻击案例和系统管理员的安全配置进行建模与分析,其次基于分析的结果,生成一套标准的脆弱点数据库及匹配模式,最后由程序基于脆弱点数据库及匹配模式自动进行扫描工作,脆弱点扫描的准确性取决于脆弱点数据库的完整性及有效性。
步骤3.2:基于插件的扫描,插件是由脚本语言编写的子程序模块,扫描程序可以通过调用插件来执行扫描,添加新的功能插件可以使扫描程序增加新的功能,或者增加可扫描脆弱点的类型与数量,也可以升级插件来更新脆弱点的特征信息,从而得到更为准确的结果,插件技术使脆弱点扫描软件的升级维护变得相对简单,而专用脚本语言的使用也简化了编写新插件的编程工作,使弱点扫描软件具有很强的扩展性。
步骤4:根据检测出的漏洞指定相对应的防御方法,其中,步骤4具体为:
步骤4.1:漏洞修复阶段为安全人员和运维人员相互配合;将步骤3检测出的漏洞显示在WEB端供运维人员查看,当运维人员把待修复漏洞转换到已修复转态,安全人员必须要对漏洞修复情况进行复查,如果再次扫描发现漏洞依然存在,则归为修复失败,对于修复失败的漏洞要重新转换到漏洞发现状态,如果再次扫描漏洞不存在,则归为已验证状态,同时如果后期多次扫描过程中因为资产本身变化导致漏洞复现,漏洞状态转换为再次发现,对于再次发现的漏洞要及时转至待修复状态。
步骤5:监控内网资产,防御新的入侵及漏洞,其中,步骤5具体为:
步骤5.1:将电脑里流过内存的数据与云端病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒,使用启发技术,在原有的特征值识别技术基础上,根据反病毒样本分析可疑程序样本,在没有符合特征值比对时,根据反编译后程序代码所调用的win32API函数情况(特征组合、出现频率等)判断程序的具体目的是否为病毒、恶意软件,符合判断条件即报警提示用户发现可疑程序,达到防御未知病毒、恶意软件的目的,解决了单一通过特征值比对存在的缺陷,采用人工智能算法,具备“自学习、自进化”能力,无需频繁升级特征库,就能免疫大部分的变种病毒,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
步骤6:将步骤1-5的结果输入到WEB页面,方便使用者管理,其中,步骤6具体为:
步骤6.1:将步骤1-5的结果导入到数据库中,并在WEB一可视化的形式展示给用户,供用户实时监控内部网络资产状态。
本发明为网络资产的监管引擎,首先使用ICMP和TCP协议对网络资产进行发现,然后将这些资产进行指纹识别和漏洞识别,并对存在漏洞的设备进行修复,实时防御网络入侵。
本发明对Web资产、操作系统、中间件、网络设备、安全设备和物联网设备等各类软硬件网络资产进行多维度的精准画像,建立全面的资产信息库,可以有效弥补用户传统资产管理方式的不足,帮助用户打通信息化管理的流程,提升安全运维的工作效率,进而准确发现未知资产并及时处置,做到及时的风险清零,其中最大的优势是自动、持续的监测分析,及时发现重要的安全风险,延展性强,方便对接企业现有的管理系统。
以上所述是结合具体实施方式对本发明所作的进一步详细说明,不能认定本发明具体实施仅局限于此;对于本发明所属及相关技术领域的技术人员来说,在基于本发明技术方案思路前提下,所作的拓展以及操作方法、数据的替换,都应当落在本发明保护范围之内。
Claims (9)
1.一种网络资产的监管引擎,其特征在于,主要包括以下具体步骤:
步骤1:网络服务识别:
步骤1.1:使用ICMP协议对IP进行探测,用于发现IP段中的存活主机,将存活主机ip加入列表;对于未存活的ip再次使用TCP协议对特定端口发送数据包进行探测,这样既能大幅度提升识别速度又能增加识别准确率;
步骤1.2:对存活主机端口发送TCP数据包,根据返回包内容判断主机开放端口;
步骤2:将存活主机开放端口识别结果加入到特征库,对开放端口进行指纹识别;
步骤2.1:对开放端口发送特定TCP数据包,将端口返回数据内容加入规则库,根据数据特征来判断端口运行的服务;
步骤2.2:对于使用WEB服务的端口再行进行指纹识别,来判断运行的WEB服务类型;
步骤3:根据识别出的服务发送特定数据包,将返回内容进判断,以此来检测是否包含指定服务漏洞;
步骤4:根据检测出的漏洞指定相对应的防御方法;
步骤5:监控内网资产,防御新的入侵及漏洞;
步骤6:将步骤1-5的结果输入到WEB页面,方便使用者管理。
2.根据权利要求1所述的一种网络资产的监管引擎,其特征在于,所述步骤1.1具体为:
步骤1.11:由于ICMP数据包发送和接收速度快,所以先使用ICMP协议扫描,对扫描IP段发送ICMP数据包,将有返回数据的ip划定为存活主机ip,将存活ip加入列表进行后续扫描;
步骤1.12:部分主机会对ICMP协议进行拦截,所以未识别出的主机再次使用TCP协议进行探测,TCP是可靠的面向连接的协议,一个完整的TCP会话每个过程都有不同的状态,使用TCP协议向特定端口发送数据,根据连接数据判断主机是否存活。
3.根据权利要求1所述的一种网络资产的监管引擎,其特征在于,所述步骤1.2具体为:
步骤1.21:对存活主机IP进行端口存活探测,根据TCP协议,处于关闭状态的端口,在收到探测包时会响应RST包,而处于侦听状态的端口则忽略此探测包,根据探测包中各标志位设置的不同,TCP隐蔽扫描又分为SYN/ACK扫描、FIN扫描、XMAS(圣诞树)扫描和NULL扫描四种,SYN/ACK扫描和FIN扫描均绕过TCP三次握手过程的第一步,直接给目的端口发送SYN/ACK包或者FIN包,因为TCP是基于连接的协议,目标主机认为发送方在第一步中应该发送的SYN包没有送出,从而定义这次连接过程错误,会发送一个RST包以重置连接,而这正是扫描需要的结果,只要有响应,就说明目标系统存在,且目标端口处于关闭状态。
4.根据权利要求1所述的一种网络资产的监管引擎,其特征在于,所述步骤2.1具体为:
步骤2.11:由于不同的服务ftp,http会有不同的返回结果,根据这些结果作为指纹,与数据库的指纹匹配,来识别出该端口对应的服务并做标记。
5.根据权利要求1所述的一种网络资产的监管引擎,其特征在于,所述步骤2.2具体为:
步骤2.21:由于WEB系统多种多样,将对步骤2.1中端口识别为http和https的端口再次进行WEB指纹识别,WEB系统在静态文件(例如html、js、css)中会包含一些特征字符串,即使没有,固定url文件也是一种特征字符;例如wordpress会在robots.txt中会包含wp-admin之类,默认样式会在首页中包含generator=wordpress xx,页面中会包含wp-content路径等等,以此类推,几乎所有WEB都会有类似的指纹特征,识别WEB指纹的方式,通过获取一段特定的路径,判断该路径下的返回文本(通过md5或者正则表达式),在指纹库中存在相对应的指纹,即可判别该URL所属于的WEB应用。
6.根据权利要求1所述的一种网络资产的监管引擎,其特征在于,所述步骤3具体为:
步骤3.1:基于脆弱点数据库的扫描,首先构造扫描的环境模型,对系统中可能存在的脆弱点、过往黑客攻击案例和系统管理员的安全配置进行建模与分析,其次基于分析的结果,生成一套标准的脆弱点数据库及匹配模式,最后由程序基于脆弱点数据库及匹配模式自动进行扫描工作,脆弱点扫描的准确性取决于脆弱点数据库的完整性及有效性;
步骤3.2:基于插件的扫描,插件是由脚本语言编写的子程序模块,扫描程序可以通过调用插件来执行扫描,添加新的功能插件可以使扫描程序增加新的功能,或者增加可扫描脆弱点的类型与数量,也可以升级插件来更新脆弱点的特征信息,从而得到更为准确的结果,插件技术使脆弱点扫描软件的升级维护变得相对简单,而专用脚本语言的使用也简化了编写新插件的编程工作,使弱点扫描软件具有很强的扩展性。
7.根据权利要求1所述的一种网络资产的监管引擎,其特征在于,所述步骤4具体为:
步骤4.1:漏洞修复阶段为安全人员和运维人员相互配合;将步骤3检测出的漏洞显示在WEB端供运维人员查看,当运维人员把待修复漏洞转换到已修复转态,安全人员必须要对漏洞修复情况进行复查,如果再次扫描发现漏洞依然存在,则归为修复失败,对于修复失败的漏洞要重新转换到漏洞发现状态,如果再次扫描漏洞不存在,则归为已验证状态,同时如果后期多次扫描过程中因为资产本身变化导致漏洞复现,漏洞状态转换为再次发现,对于再次发现的漏洞要及时转至待修复状态。
8.根据权利要求1所述的一种网络资产的监管引擎,其特征在于,所述步骤5具体为:
步骤5.1:将电脑里流过内存的数据与云端病毒库(包含病毒定义)的特征码相比较,以判断是否为病毒,使用启发技术,在原有的特征值识别技术基础上,根据反病毒样本分析可疑程序样本,在没有符合特征值比对时,根据反编译后程序代码所调用的win32API函数情况(特征组合、出现频率等)判断程序的具体目的是否为病毒、恶意软件,符合判断条件即报警提示用户发现可疑程序,达到防御未知病毒、恶意软件的目的,解决了单一通过特征值比对存在的缺陷,采用人工智能算法,具备“自学习、自进化”能力,无需频繁升级特征库,就能免疫大部分的变种病毒,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
9.根据权利要求1所述的一种网络资产的监管引擎,其特征在于,所述步骤6具体为:
步骤6.1:将步骤1-5的结果导入到数据库中,并在WEB一可视化的形式展示给用户,供用户实时监控内部网络资产状态。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210690331.7A CN115208634A (zh) | 2022-06-17 | 2022-06-17 | 一种网络资产的监管引擎 |
PCT/CN2023/088595 WO2023241202A1 (zh) | 2022-06-17 | 2023-04-17 | 一种网络资产的监管引擎 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210690331.7A CN115208634A (zh) | 2022-06-17 | 2022-06-17 | 一种网络资产的监管引擎 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115208634A true CN115208634A (zh) | 2022-10-18 |
Family
ID=83576253
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210690331.7A Pending CN115208634A (zh) | 2022-06-17 | 2022-06-17 | 一种网络资产的监管引擎 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN115208634A (zh) |
WO (1) | WO2023241202A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116738442A (zh) * | 2023-08-10 | 2023-09-12 | 北京安博通科技股份有限公司 | 一种防御漏洞扫描探测方法、装置、电子设备及介质 |
WO2023241202A1 (zh) * | 2022-06-17 | 2023-12-21 | 江苏信息职业技术学院 | 一种网络资产的监管引擎 |
CN117411764A (zh) * | 2023-10-17 | 2024-01-16 | 广州安润信息科技有限公司 | 一种内网资产监测方法、设备及存储介质 |
CN117560202A (zh) * | 2023-06-20 | 2024-02-13 | 荣耀终端有限公司 | 一种网络资产探测方法和装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117768561B (zh) * | 2024-02-22 | 2024-04-23 | 北京暖流科技有限公司 | 一种自动识别设备通讯协议的方法及信息采集系统 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030195861A1 (en) * | 2002-01-15 | 2003-10-16 | Mcclure Stuart C. | System and method for network vulnerability detection and reporting |
US20050044418A1 (en) * | 2003-07-25 | 2005-02-24 | Gary Miliefsky | Proactive network security system to protect against hackers |
CN103902913A (zh) * | 2012-12-28 | 2014-07-02 | 百度在线网络技术(北京)有限公司 | 一种用于对web应用进行安全处理的方法与设备 |
CN105389511A (zh) * | 2015-12-29 | 2016-03-09 | 北京金山安全软件有限公司 | 一种病毒查杀方法、装置及电子设备 |
CN106230800A (zh) * | 2016-07-25 | 2016-12-14 | 恒安嘉新(北京)科技有限公司 | 一种对资产主动探测和漏洞预警的方法 |
CN108011893A (zh) * | 2017-12-26 | 2018-05-08 | 广东电网有限责任公司信息中心 | 一种基于网络资产信息采集的资产管理系统 |
CN109033844A (zh) * | 2018-09-10 | 2018-12-18 | 四川长虹电器股份有限公司 | 基于端口识别的自动化漏洞探测系统及方法 |
CN109088790A (zh) * | 2018-07-20 | 2018-12-25 | 南京方恒信息技术有限公司 | 一种多引擎暴露资产扫描与管理系统 |
CN110324310A (zh) * | 2019-05-21 | 2019-10-11 | 国家工业信息安全发展研究中心 | 网络资产指纹识别方法、系统及设备 |
CN110661669A (zh) * | 2019-10-11 | 2020-01-07 | 云南电网有限责任公司德宏供电局 | 一种基于icmp、tcp、udp协议的网络设备的网络拓扑自动发现方法 |
CN112468360A (zh) * | 2020-11-13 | 2021-03-09 | 北京安信天行科技有限公司 | 一种基于指纹的资产发现识别和检测方法及系统 |
CN112769635A (zh) * | 2020-12-10 | 2021-05-07 | 青岛海洋科学与技术国家实验室发展中心 | 多粒度特征解析的服务识别方法及装置 |
CN113486358A (zh) * | 2021-07-09 | 2021-10-08 | 建信金融科技有限责任公司 | 一种漏洞检测方法及装置 |
CN114338068A (zh) * | 2021-05-31 | 2022-04-12 | 深圳市亿威尔信息技术股份有限公司 | 多节点漏洞扫描方法、装置、电子设备及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115208634A (zh) * | 2022-06-17 | 2022-10-18 | 江苏信息职业技术学院 | 一种网络资产的监管引擎 |
-
2022
- 2022-06-17 CN CN202210690331.7A patent/CN115208634A/zh active Pending
-
2023
- 2023-04-17 WO PCT/CN2023/088595 patent/WO2023241202A1/zh unknown
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030195861A1 (en) * | 2002-01-15 | 2003-10-16 | Mcclure Stuart C. | System and method for network vulnerability detection and reporting |
US20050044418A1 (en) * | 2003-07-25 | 2005-02-24 | Gary Miliefsky | Proactive network security system to protect against hackers |
CN103902913A (zh) * | 2012-12-28 | 2014-07-02 | 百度在线网络技术(北京)有限公司 | 一种用于对web应用进行安全处理的方法与设备 |
CN105389511A (zh) * | 2015-12-29 | 2016-03-09 | 北京金山安全软件有限公司 | 一种病毒查杀方法、装置及电子设备 |
CN106230800A (zh) * | 2016-07-25 | 2016-12-14 | 恒安嘉新(北京)科技有限公司 | 一种对资产主动探测和漏洞预警的方法 |
CN108011893A (zh) * | 2017-12-26 | 2018-05-08 | 广东电网有限责任公司信息中心 | 一种基于网络资产信息采集的资产管理系统 |
CN109088790A (zh) * | 2018-07-20 | 2018-12-25 | 南京方恒信息技术有限公司 | 一种多引擎暴露资产扫描与管理系统 |
CN109033844A (zh) * | 2018-09-10 | 2018-12-18 | 四川长虹电器股份有限公司 | 基于端口识别的自动化漏洞探测系统及方法 |
CN110324310A (zh) * | 2019-05-21 | 2019-10-11 | 国家工业信息安全发展研究中心 | 网络资产指纹识别方法、系统及设备 |
CN110661669A (zh) * | 2019-10-11 | 2020-01-07 | 云南电网有限责任公司德宏供电局 | 一种基于icmp、tcp、udp协议的网络设备的网络拓扑自动发现方法 |
CN112468360A (zh) * | 2020-11-13 | 2021-03-09 | 北京安信天行科技有限公司 | 一种基于指纹的资产发现识别和检测方法及系统 |
CN112769635A (zh) * | 2020-12-10 | 2021-05-07 | 青岛海洋科学与技术国家实验室发展中心 | 多粒度特征解析的服务识别方法及装置 |
CN114338068A (zh) * | 2021-05-31 | 2022-04-12 | 深圳市亿威尔信息技术股份有限公司 | 多节点漏洞扫描方法、装置、电子设备及存储介质 |
CN113486358A (zh) * | 2021-07-09 | 2021-10-08 | 建信金融科技有限责任公司 | 一种漏洞检测方法及装置 |
Non-Patent Citations (8)
Title |
---|
张小梅;袁苏文;马铮;张曼君;高枫;: "面向云化网络的资产安全管理方案", 邮电设计技术, no. 04 * |
杨阿辉: "网络安全与主动防御", 《科技创新导报》, pages 3 * |
王宸东;郭渊博;甄帅辉;杨威超;: "网络资产探测技术研究", 计算机科学, no. 12, pages 1 - 3 * |
王彬,吴渝,王国胤: "基于防火墙穿透技术Fire walking的安全探测系统", 计算机应用研究, no. 12 * |
秦丞;贺渝镔;: "IT资产高速探查及漏洞发现系统的研究", 软件, no. 12 * |
邱慧丽;宋启祥;: "银行内网信息系统基础安全加固的研究与应用", 兰州文理学院学报(自然科学版), no. 04 * |
闫淑筠;王文杰;张玉清;: "一种有效的Web指纹识别方法", 中国科学院大学学报, no. 05 * |
黄家林;姚景周;周婷;: "网络扫描原理的研究", 计算机技术与发展, no. 06, pages 1 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023241202A1 (zh) * | 2022-06-17 | 2023-12-21 | 江苏信息职业技术学院 | 一种网络资产的监管引擎 |
CN117560202A (zh) * | 2023-06-20 | 2024-02-13 | 荣耀终端有限公司 | 一种网络资产探测方法和装置 |
CN116738442A (zh) * | 2023-08-10 | 2023-09-12 | 北京安博通科技股份有限公司 | 一种防御漏洞扫描探测方法、装置、电子设备及介质 |
CN116738442B (zh) * | 2023-08-10 | 2023-12-08 | 北京安博通科技股份有限公司 | 一种防御漏洞扫描探测方法、装置、电子设备及介质 |
CN117411764A (zh) * | 2023-10-17 | 2024-01-16 | 广州安润信息科技有限公司 | 一种内网资产监测方法、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2023241202A1 (zh) | 2023-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10200384B1 (en) | Distributed systems and methods for automatically detecting unknown bots and botnets | |
CN115208634A (zh) | 一种网络资产的监管引擎 | |
US10225280B2 (en) | System and method for verifying and detecting malware | |
CN112702300B (zh) | 一种安全漏洞的防御方法和设备 | |
US8997236B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
Trajanovski et al. | An automated and comprehensive framework for IoT botnet detection and analysis (IoT-BDA) | |
Aslan et al. | Mitigating cyber security attacks by being aware of vulnerabilities and bugs | |
JP2012064208A (ja) | ネットワークウイルス防止方法及びシステム | |
CN112398829A (zh) | 一种电力系统的网络攻击模拟方法及系统 | |
KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
KR20120072120A (ko) | 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법 | |
CN115695031A (zh) | 主机失陷检测方法、装置及设备 | |
Bastos et al. | Identifying and Characterizing bashlite and mirai C&C servers | |
Ma et al. | Determining risks from advanced multi-step attacks to critical information infrastructures | |
Sachidananda et al. | PIT: a probe into internet of things by comprehensive security analysis | |
Diebold et al. | A honeypot architecture for detecting and analyzing unknown network attacks | |
Yagi et al. | Intelligent high-interaction web honeypots based on url conversion scheme | |
Zhao et al. | CMD: co-analyzed iot malware detection and forensics via network and hardware domains | |
Mehra et al. | Improving ml detection of IoT botnets using comprehensive data and feature sets | |
Masarweh et al. | Threat led advanced persistent threat penetration test | |
Bansal et al. | Analysis and Detection of various DDoS attacks on Internet of Things Network | |
Aung et al. | ATLAS: A Practical Attack Detection and Live Malware Analysis System for IoT Threat Intelligence | |
Li et al. | Automatic Detection and Analysis towards Malicious Behavior in IoT Malware | |
Ling et al. | DDoSMiner: An Automated Framework for DDoS Attack Characterization and Vulnerability Mining |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |