CN116366316A - 一种网络空间测绘方法 - Google Patents
一种网络空间测绘方法 Download PDFInfo
- Publication number
- CN116366316A CN116366316A CN202310271966.8A CN202310271966A CN116366316A CN 116366316 A CN116366316 A CN 116366316A CN 202310271966 A CN202310271966 A CN 202310271966A CN 116366316 A CN116366316 A CN 116366316A
- Authority
- CN
- China
- Prior art keywords
- data
- asset
- preset
- monitoring period
- target network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000013507 mapping Methods 0.000 title claims abstract description 26
- 238000012544 monitoring process Methods 0.000 claims abstract description 124
- 238000012937 correction Methods 0.000 claims description 27
- 239000011159 matrix material Substances 0.000 claims description 24
- 230000004044 response Effects 0.000 claims description 9
- 230000008520 organization Effects 0.000 claims description 4
- 206010000117 Abnormal behaviour Diseases 0.000 abstract description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000004927 fusion Effects 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 238000012800 visualization Methods 0.000 description 4
- 239000000523 sample Substances 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Human Computer Interaction (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络安全技术领域,特别是涉及一种网络空间测绘方法。包括:获取历史网络资产数据,并根据历史网络资产数据生成资产数据等级库和恶意数据信息库;根据监测周期获取恶意数据信息,并更新恶意数据信息库;解析目标网络资产数据生成解析结果,并根据解析结果与资产数据等级库和恶意数据信息库的对比结果生成目标网络资产数据类型标签;告警模块根据目标网络资产数据类型标签获取受害资产数据,并发送至显示终端。针对不同层次结构的资产进行划分,并生成资产等级。构建资产安全标签和资产指纹信息,通过刻画资产画像,从资产的状态、脆弱性、网络攻击、异常行为、访问关系等多维度直观展示资产安全现状。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络空间测绘方法。
背景技术
网络空间测绘是指利用特定技术对网络空间进行探测,识别网络中的资产身份(例如服务器、路由设备、工控设备、防火墙、网关等)、服务应用(webserver、ftp、ssh、mysql等)等再结合其他基础数据实现对网络空间内的资产进行画像。现有测绘方法主要采用的是主动扫描方式进行实现。主动扫描是利用探测服务器对目标设备的指定端口发起连接请求根据返回情况来判断目标设备特征信息。
而现阶段的网络测绘方法,探测服务器进行主动探测时往往需要对一个端口进行多次重试才有能够返回探测服务器所期望的指纹数据,探测服务器无法自动适应内外网各网段的终端和服务器。更无法及时针对受害资产进行分析,对内部资产的风险进行及时预警和动态监测。
发明内容
本申请的目的是:为解决上述技术问题,本申请实施例中提供了一种网络空间测绘方法,旨在实现对于网络资产的动态监测。
本申请的一些实施例中,基于“主动扫描+被动获取+人工导入”的资产测绘方式,能够自适应地识别内外网各网段的终端和服务器。采用多种手段实现资产管理,对资产、漏洞、威胁进行分析,利用可视化技术,分析资产态势、刻画资产画像,并实现资产溯源。
本申请的一些实施例中,针对不同层次结构的资产进行划分,并生成资产等级。资产监测将资产信息、安全日志信息、网络连接关系进行融合分析,构建资产安全标签和资产指纹信息,通过刻画资产画像,从资产的状态、脆弱性、网络攻击、异常行为、访问关系等多维度直观展示资产安全现状,能够让运维人员直观地发现内部资产风险。
本申请的一些实施例中,提供了一种网络空间测绘方法,包括:
获取历史网络资产数据,并根据所述历史网络资产数据生成资产数据等级库和恶意数据信息库;
根据监测周期获取恶意数据信息,并更新所述恶意数据信息库;
解析目标网络资产数据生成解析结果,并根据解析结果与所述资产数据等级库和所述恶意数据信息库的对比结果生成目标网络资产数据类型标签;
告警模块根据所述目标网络资产数据类型标签获取受害资产数据,并发送至显示终端;
其中,资产数据等级库中包括:
预设资产数据等级矩阵C,设定C(C1,C2,C3),其中,C1为预设第一资产数据等级,C2为预设第二资产数据等级,C3为预设第三资产数据等级。
本申请的一些实施例中,所述获取历史网络资产数据时,包括:
监测模块根据预设时间节点发送监测数据包至目标主机,所述目标主机根据所述监测数据包生成响应数据包并发送至监测模块;
监测模块根据所述响应数据包生成目标主机信息数据;
监测模块根据监测周期获取目标网络的数据报文,并根据所述数据报文获取网络资产数据;
根据所述目标主机信息数据和所述网络资产数据生成历史网络资源数据;
根据所述网络资产数据生成恶意数据信息库。
本申请的一些实施例中,所述根据解析结果与所述资产数据等级库对比结果生成目标网络资产数据类型标签时,包括:
解析所述目标网络资产数据的目的IP,并根据所述资产数据等级库设定目标网络资产数据的数据等级c。
本申请的一些实施例中,所述根据解析结果与所述恶意数据信息库对比结果生成目标网络资产数据类型标签时,包括:
对所述目标网络资产数据中的源IP进行解析,并根据所述解析结果与所述恶意数据信息库的对比结果生成恶意数据数量值d;
根据所述目标网络资产数据的数据等级c和所述恶意数据数量值d生成目标网络资产数据类型标签。
本申请的一些实施例中,生成目标网络资产数据类型标签时,包括:
预设恶意数据数量值矩阵D,设定D(D1,D2,D3),其中,D1为预设第一恶意数据数量值,D2为预设第二恶意数据数量值,D3为预设第三恶意数据数量值,且D1<D2<D3;
预设标签等级矩阵E,设定E(E1,E2,E3),其中,E1为预设一级标签,E2为预设二级标签,E3为预设三级标签;
若c=C1时,根据所述恶意数据数量值d设定目标网络资产数据类型标签e;
若D1<d<D2时,设定e=E1;
若D2<d<D3时,设定e=E2;
若d>D3时,设定e=E3;
若c=C2时,根据所述恶意数据数量值d设定目标网络资产数据类型标签e;
若D1<d<D2时,设定e=E2;
若d>D3时,设定e=E3;
若c=C3时,根据所述恶意数据数量值d设定目标网络资产数据类型标签e;
若d>D3时,设定e=E3。
本申请的一些实施例中,所述告警模块根据所述目标网络资产数据类型标签获取受害资产数据时,包括:
告警模块获取目标网络资产数据类型标签e为预设二级标签E2和为预设三级标签E3的目标网络资产数据,并生成所述目标网络资产数据的受害IP、受害IP所在城市、受害资产名称、受害资产组、受害组织信息。
本申请的一些实施例中,所述根据监测周期获取恶意数据信息时,还包括:
根据所述历史网络资产数据生成目标网络恶意数据历史数量值a,并根据所述目标网络恶意数据历史数量值a设定实时目标网络监测周期时间间隔t。
本申请的一些实施例中,根据所述目标网络恶意数据历史数量值a设定实时目标网络监测周期时间间隔t时,包括:
预设监测周期时间间隔矩阵T,设定T(T1,T2,T3,T4),其中,T1为预设第一监测周期时间间隔,T2为预设第二监测周期时间间隔,T3为预设第三监测周期时间间隔,T4为预设第四监测周期时间间隔,且T1<T2<T3<T4;
预设恶意数据历史数量值矩阵A,设定A(A1,A2,A3,A4),其中,A1为预设第一恶意数据历史数量值,A2为预设第二恶意数据历史数量值,A3为预设第三恶意数据历史数量值,A4为预设第四恶意数据历史数量值,且A1<A2<A3<A4;
若A1<a<A2时,设定实时目标网络监测周期时间间隔t为预设第一监测周期时间间隔T1,即t=T1;
若A2<a<A3时,设定实时目标网络监测周期时间间隔t为预设第二监测周期时间间隔T2,即t=T2;
若A3<a<A4时,设定实时目标网络监测周期时间间隔t为预设第三监测周期时间间隔T3,即t=T3;
若a>A4时,设定实时目标网络监测周期时间间隔t为预设第四监测周期时间间隔T4,即t=T4。
本申请的一些实施例中,所述根据监测周期获取恶意数据信息时,还包括:
根据监测周期内获取的所述目标网络恶意数据数量值b,并根据所述目标网络恶意数据数量值b设定监测周期修正系数n,修正下一监测周期的时间间隔t1。
本申请的一些实施例中,所述修正下一监测周期的时间间隔t1时,包括:
预设目标网络恶意数据数量矩阵B,设定B(B1,B2,B3,B4),其中,B1为预设第一目标网络恶意数据数量,B2为预设第二目标网络恶意数据数量,B3为预设第三目标网络恶意数据数量,B4为预设第四目标网络恶意数据数量,且B1<B2<B3<B4;
预设监测周期修正系数矩阵N,设定N(n1,n2,n3,n4),其中,n1为预设第一监测周期修正系数,n2为预设第二监测周期修正系数,n3为预设第三监测周期修正系数,n4为预设第四监测周期修正系数,且0.7<n1<n2<n3<n4<1;
若B1<b<B2,设定n=n4,修正后下一监测周期的时间间隔t1=n4*Ti;
若B2<b<B3,设定n=n3,修正后下一监测周期的时间间隔t1=n3*Ti
若B3<b<B4,设定n=n2,修正后下一监测周期的时间间隔t1=n2*Ti
若b>B4,设定n=n1,修正后下一监测周期的时间间隔t1=n1*Ti。
本申请实施例一种网络空间测绘方法与现有技术相比,其有益效果在于:
基于“主动扫描+被动获取+人工导入”的资产测绘方式,能够自适应地识别内外网各网段的终端和服务器。采用多种手段实现资产管理,对资产、漏洞、威胁进行分析,利用可视化技术,分析资产态势、刻画资产画像,并实现资产溯源。
针对不同层次结构的资产进行划分,并生成资产等级。资产监测将资产信息、安全日志信息、网络连接关系进行融合分析,构建资产安全标签和资产指纹信息,通过刻画资产画像,从资产的状态、脆弱性、网络攻击、异常行为、访问关系等多维度直观展示资产安全现状,能够让运维人员直观地发现内部资产风险。
附图说明
图1是本申请实施例优选实施例中一种网络空间测绘方法的流程示意图;
图2是本申请实施例优选实施例中获取历史网络资产数据时的流程示意图。
具体实施方式
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
在本申请的描述中,需要理解的是,术语“中心”“上”“下”“前”“后”“左”“右”“竖直”“水平”“顶”“底”“内”“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
术语“第一”“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”“相连”“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
如图1-图2所示,本申请实施例优选实施例的一种网络空间测绘方法,包括:
S101:获取历史网络资产数据,并根据历史网络资产数据生成资产数据等级库和恶意数据信息库;
S102:根据监测周期获取恶意数据信息,并更新恶意数据信息库;
S103:解析目标网络资产数据生成解析结果,并根据解析结果与资产数据等级库和恶意数据信息库的对比结果生成目标网络资产数据类型标签;
S104:告警模块根据目标网络资产数据类型标签获取受害资产数据,并发送至显示终端;
其中,资产数据等级库中包括:
预设资产数据等级矩阵C,设定C(C1,C2,C3),其中,C1为预设第一资产数据等级,C2为预设第二资产数据等级,C3为预设第三资产数据等级。
具体而言,根据不同的结构层次设定不同的资产数据等级,其资产数据的重要性为第三资产数据等级大于第二资产数据等级大于第一资产数据等级。
具体而言,恶意数据信息包括:恶意IP、恶意URL、恶意域名、漏洞情报。
具体而言,获取历史网络资产数据时,包括:
监测模块根据预设时间节点发送监测数据包至目标主机,目标主机根据监测数据包生成响应数据包并发送至监测模块;
监测模块根据响应数据包生成目标主机信息数据;
监测模块根据监测周期获取目标网络的数据报文,并根据数据报文获取网络资产数据;
根据目标主机信息数据和网络资产数据生成历史网络资源数据;
根据网络资产数据生成恶意数据信息库。
可以理解的是,上述实施例中,基于“主动扫描+被动获取+人工导入”的资产测绘方式,能够自适应地识别内外网各网段的终端和服务器。采用多种手段实现资产管理,对资产、漏洞、威胁进行分析,利用可视化技术,分析资产态势、刻画资产画像,并实现资产溯源。
本申请实施例优选实施例中,根据解析结果与资产数据等级库对比结果生成目标网络资产数据类型标签时,包括:
解析目标网络资产数据的目的IP,并根据资产数据等级库设定目标网络资产数据的数据等级c。
具体而言,根据解析结果与恶意数据信息库对比结果生成目标网络资产数据类型标签时,包括:
对目标网络资产数据中的源IP进行解析,并根据解析结果与恶意数据信息库的对比结果生成恶意数据数量值d;
根据目标网络资产数据的数据等级c和恶意数据数量值d生成目标网络资产数据类型标签。
具体而言,生成目标网络资产数据类型标签时,包括:
预设恶意数据数量值矩阵D,设定D(D1,D2,D3),其中,D1为预设第一恶意数据数量值,D2为预设第二恶意数据数量值,D3为预设第三恶意数据数量值,且D1<D2<D3;
预设标签等级矩阵E,设定E(E1,E2,E3),其中,E1为预设一级标签,E2为预设二级标签,E3为预设三级标签;
若c=C1时,根据恶意数据数量值d设定目标网络资产数据类型标签e;
若D1<d<D2时,设定e=E1;
若D2<d<D3时,设定e=E2;
若d>D3时,设定e=E3;
若c=C2时,根据恶意数据数量值d设定目标网络资产数据类型标签e;
若D1<d<D2时,设定e=E2;
若d>D3时,设定e=E3;
若c=C3时,根据恶意数据数量值d设定目标网络资产数据类型标签e;
若d>D3时,设定e=E3。
具体而言,根据其资产数据重要性和预设的恶意数据数量值矩阵,得到网络资产数据类型标签,其一级标签为安全数据,二级标签为存在隐患数据,三级标签为受害数据。
具体而言,告警模块根据目标网络资产数据类型标签获取受害资产数据时,包括:
告警模块获取目标网络资产数据类型标签e为预设二级标签E2和为预设三级标签E3的目标网络资产数据,并生成目标网络资产数据的受害IP、受害IP所在城市、受害资产名称、受害资产组、受害组织信息。
具体而言,对存在隐患的资产数据和受害的资产数据进行采集,告警模块获取受害资产名称、受害资产组、受害组织,可以将资产信息、安全日志信息、网络连接关系进行融合分析,告警模块依据资产关系,进行拓扑自动绘制、动态更新和可视展示,能够让运维人员直观地发现内部资产风险。显示终端从资产的状态、脆弱性、网络攻击、异常行为、访问关系等多维度直观展示资产安全现状。
本申请实施例优选实施例中,根据监测周期获取恶意数据信息时,还包括:
根据历史网络资产数据生成目标网络恶意数据历史数量值a,并根据目标网络恶意数据历史数量值a设定实时目标网络监测周期时间间隔t。
具体而言,根据目标网络恶意数据历史数量值a设定实时目标网络监测周期时间间隔t时,包括:
预设监测周期时间间隔矩阵T,设定T(T1,T2,T3,T4),其中,T1为预设第一监测周期时间间隔,T2为预设第二监测周期时间间隔,T3为预设第三监测周期时间间隔,T4为预设第四监测周期时间间隔,且T1<T2<T3<T4;
预设恶意数据历史数量值矩阵A,设定A(A1,A2,A3,A4),其中,A1为预设第一恶意数据历史数量值,A2为预设第二恶意数据历史数量值,A3为预设第三恶意数据历史数量值,A4为预设第四恶意数据历史数量值,且A1<A2<A3<A4;
若A1<a<A2时,设定实时目标网络监测周期时间间隔t为预设第一监测周期时间间隔T1,即t=T1;
若A2<a<A3时,设定实时目标网络监测周期时间间隔t为预设第二监测周期时间间隔T2,即t=T2;
若A3<a<A4时,设定实时目标网络监测周期时间间隔t为预设第三监测周期时间间隔T3,即t=T3;
若a>A4时,设定实时目标网络监测周期时间间隔t为预设第四监测周期时间间隔T4,即t=T4。
具体而言,根据监测周期获取恶意数据信息时,还包括:
根据监测周期内获取的目标网络恶意数据数量值b,并根据目标网络恶意数据数量值b设定监测周期修正系数n,修正下一监测周期的时间间隔t1。
具体而言,修正下一监测周期的时间间隔t1时,包括:
预设目标网络恶意数据数量矩阵B,设定B(B1,B2,B3,B4),其中,B1为预设第一目标网络恶意数据数量,B2为预设第二目标网络恶意数据数量,B3为预设第三目标网络恶意数据数量,B4为预设第四目标网络恶意数据数量,且B1<B2<B3<B4;
预设监测周期修正系数矩阵N,设定N(n1,n2,n3,n4),其中,n1为预设第一监测周期修正系数,n2为预设第二监测周期修正系数,n3为预设第三监测周期修正系数,n4为预设第四监测周期修正系数,且0.7<n1<n2<n3<n4<1;
若B1<b<B2,设定n=n4,修正后下一监测周期的时间间隔t1=n4*Ti;
若B2<b<B3,设定n=n3,修正后下一监测周期的时间间隔t1=n3*Ti
若B3<b<B4,设定n=n2,修正后下一监测周期的时间间隔t1=n2*Ti
若b>B4,设定n=n1,修正后下一监测周期的时间间隔t1=n1*Ti。
可以理解的是,上述实施例中,通过预设监测周期时间间隔矩阵和恶意数据历史数量值矩阵,设定周期的时间间隔,并通过监测周期内的恶意数据数量值对监测周期进行修正,实现对内部资产的风险进行及时预警和动态监测。
根据本申请的第一构思,基于“主动扫描+被动获取+人工导入”的资产测绘方式,能够自适应地识别内外网各网段的终端和服务器。采用多种手段实现资产管理,对资产、漏洞、威胁进行分析,利用可视化技术,分析资产态势、刻画资产画像,并实现资产溯源。
根据本申请的第二构思,针对不同层次结构的资产进行划分,并生成资产等级。资产监测将资产信息、安全日志信息、网络连接关系进行融合分析,构建资产安全标签和资产指纹信息,通过刻画资产画像,从资产的状态、脆弱性、网络攻击、异常行为、访问关系等多维度直观展示资产安全现状,能够让运维人员直观地发现内部资产风险。
以上仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本申请的保护范围。
Claims (10)
1.一种网络空间测绘方法,其特征在于,包括:
获取历史网络资产数据,并根据所述历史网络资产数据生成资产数据等级库和恶意数据信息库;
根据监测周期获取恶意数据信息,并更新所述恶意数据信息库;
解析目标网络资产数据生成解析结果,并根据解析结果与所述资产数据等级库和所述恶意数据信息库的对比结果生成目标网络资产数据类型标签;
告警模块根据所述目标网络资产数据类型标签获取受害资产数据,并发送至显示终端;
其中,资产数据等级库中包括:
预设资产数据等级矩阵C,设定C(C1,C2,C3),其中,C1为预设第一资产数据等级,C2为预设第二资产数据等级,C3为预设第三资产数据等级。
2.如权利要求1所述的网络空间测绘方法,其特征在于,所述获取历史网络资产数据时,包括:
监测模块根据预设时间节点发送监测数据包至目标主机,所述目标主机根据所述监测数据包生成响应数据包并发送至监测模块;
监测模块根据所述响应数据包生成目标主机信息数据;
监测模块根据监测周期获取目标网络的数据报文,并根据所述数据报文获取网络资产数据;
根据所述目标主机信息数据和所述网络资产数据生成历史网络资源数据;
根据所述网络资产数据生成恶意数据信息库。
3.如权利要求1所述的网络空间测绘方法,其特征在于,所述根据解析结果与所述资产数据等级库对比结果生成目标网络资产数据类型标签时,包括:
解析所述目标网络资产数据的目的IP,并根据所述资产数据等级库设定目标网络资产数据的数据等级c。
4.如权利要求3所述的网络空间测绘方法,其特征在于,所述根据解析结果与所述恶意数据信息库对比结果生成目标网络资产数据类型标签时,包括:
对所述目标网络资产数据中的源IP进行解析,并根据所述解析结果与所述恶意数据信息库的对比结果生成恶意数据数量值d;
根据所述目标网络资产数据的数据等级c和所述恶意数据数量值d生成目标网络资产数据类型标签。
5.如权利要求4所述的网络空间测绘方法,其特征在于,生成目标网络资产数据类型标签时,包括:
预设恶意数据数量值矩阵D,设定D(D1,D2,D3),其中,D1为预设第一恶意数据数量值,D2为预设第二恶意数据数量值,D3为预设第三恶意数据数量值,且D1<D2<D3;
预设标签等级矩阵E,设定E(E1,E2,E3),其中,E1为预设一级标签,E2为预设二级标签,E3为预设三级标签;
若c=C1时,根据所述恶意数据数量值d设定目标网络资产数据类型标签e;
若D1<d<D2时,设定e=E1;
若D2<d<D3时,设定e=E2;
若d>D3时,设定e=E3;
若c=C2时,根据所述恶意数据数量值d设定目标网络资产数据类型标签e;
若D1<d<D2时,设定e=E2;
若d>D3时,设定e=E3;
若c=C3时,根据所述恶意数据数量值d设定目标网络资产数据类型标签e;
若d>D3时,设定e=E3。
6.如权利要求5所述的网络空间测绘方法,其特征在于,所述告警模块根据所述目标网络资产数据类型标签获取受害资产数据时,包括:
告警模块获取目标网络资产数据类型标签e为预设二级标签E2和为预设三级标签E3的目标网络资产数据,并生成所述目标网络资产数据的受害IP、受害IP所在城市、受害资产名称、受害资产组、受害组织信息。
7.如权利要求2所述的网络空间测绘方法,其特征在于,所述根据监测周期获取恶意数据信息时,还包括:
根据所述历史网络资产数据生成目标网络恶意数据历史数量值a,并根据所述目标网络恶意数据历史数量值a设定实时目标网络监测周期时间间隔t。
8.如权利要求7所述的网络空间测绘方法,其特征在于,根据所述目标网络恶意数据历史数量值a设定实时目标网络监测周期时间间隔t时,包括:
预设监测周期时间间隔矩阵T,设定T(T1,T2,T3,T4),其中,T1为预设第一监测周期时间间隔,T2为预设第二监测周期时间间隔,T3为预设第三监测周期时间间隔,T4为预设第四监测周期时间间隔,且T1<T2<T3<T4;
预设恶意数据历史数量值矩阵A,设定A(A1,A2,A3,A4),其中,A1为预设第一恶意数据历史数量值,A2为预设第二恶意数据历史数量值,A3为预设第三恶意数据历史数量值,A4为预设第四恶意数据历史数量值,且A1<A2<A3<A4;
若A1<a<A2时,设定实时目标网络监测周期时间间隔t为预设第一监测周期时间间隔T1,即t=T1;
若A2<a<A3时,设定实时目标网络监测周期时间间隔t为预设第二监测周期时间间隔T2,即t=T2;
若A3<a<A4时,设定实时目标网络监测周期时间间隔t为预设第三监测周期时间间隔T3,即t=T3;
若a>A4时,设定实时目标网络监测周期时间间隔t为预设第四监测周期时间间隔T4,即t=T4。
9.如权利要求8所述的网络空间测绘方法,其特征在于,所述根据监测周期获取恶意数据信息时,还包括:
根据监测周期内获取的所述目标网络恶意数据数量值b,并根据所述目标网络恶意数据数量值b设定监测周期修正系数n,修正下一监测周期的时间间隔t1。
10.如权利要求9所述网络空间测绘方法,其特征在于,所述修正下一监测周期的时间间隔t1时,包括:
预设目标网络恶意数据数量矩阵B,设定B(B1,B2,B3,B4),其中,B1为预设第一目标网络恶意数据数量,B2为预设第二目标网络恶意数据数量,B3为预设第三目标网络恶意数据数量,B4为预设第四目标网络恶意数据数量,且B1<B2<B3<B4;
预设监测周期修正系数矩阵N,设定N(n1,n2,n3,n4),其中,n1为预设第一监测周期修正系数,n2为预设第二监测周期修正系数,n3为预设第三监测周期修正系数,n4为预设第四监测周期修正系数,且0.7<n1<n2<n3<n4<1;
若B1<b<B2,设定n=n4,修正后下一监测周期的时间间隔t1=n4*Ti;
若B2<b<B3,设定n=n3,修正后下一监测周期的时间间隔t1=n3*Ti
若B3<b<B4,设定n=n2,修正后下一监测周期的时间间隔t1=n2*Ti
若b>B4,设定n=n1,修正后下一监测周期的时间间隔t1=n1*Ti。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310271966.8A CN116366316B (zh) | 2023-03-16 | 2023-03-16 | 一种网络空间测绘方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310271966.8A CN116366316B (zh) | 2023-03-16 | 2023-03-16 | 一种网络空间测绘方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116366316A true CN116366316A (zh) | 2023-06-30 |
CN116366316B CN116366316B (zh) | 2024-02-27 |
Family
ID=86913299
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310271966.8A Active CN116366316B (zh) | 2023-03-16 | 2023-03-16 | 一种网络空间测绘方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116366316B (zh) |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050055996A (ko) * | 2003-12-09 | 2005-06-14 | 주식회사데이콤 | 종합 보안 상황 관리 시스템 |
US8201257B1 (en) * | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
WO2012166194A1 (en) * | 2011-06-01 | 2012-12-06 | Hewlett-Packard Development Company, L.P. | Network asset information management |
US20140068775A1 (en) * | 2012-08-31 | 2014-03-06 | Damballa, Inc. | Historical analysis to identify malicious activity |
US20180139227A1 (en) * | 2016-10-31 | 2018-05-17 | Jask Labs Inc. | Method for predicting security risks of assets on a computer network |
CN111090862A (zh) * | 2019-11-25 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 基于互联网端的资产画像方法和系统 |
CN111565184A (zh) * | 2020-04-29 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种网络安全评估装置、方法、设备及介质 |
CN113329027A (zh) * | 2021-06-16 | 2021-08-31 | 北京凌云信安科技有限公司 | 融合多维资产画像与漏洞关联分析的空间资产测绘系统 |
CN113489749A (zh) * | 2021-09-03 | 2021-10-08 | 北京华云安信息技术有限公司 | 网络资产安全画像的生成方法、装置、设备以及存储介质 |
CN113542278A (zh) * | 2021-07-16 | 2021-10-22 | 北京源堡科技有限公司 | 一种网络安全评估方法、系统及装置 |
CN114070760A (zh) * | 2021-11-16 | 2022-02-18 | 北京知道创宇信息技术股份有限公司 | 一种网络空间资产的测绘方法、装置、网络空间资产数据库及计算机可读存储介质 |
CN114793204A (zh) * | 2022-06-27 | 2022-07-26 | 山东林天信息科技有限责任公司 | 一种网络资产探测方法 |
CN114884831A (zh) * | 2022-07-11 | 2022-08-09 | 中国人民解放军国防科技大学 | 一种面向网络空间测绘系统的网络资产排序方法和装置 |
US20220337555A1 (en) * | 2021-04-20 | 2022-10-20 | Sophos Limited | Firewall offloading |
CN115794780A (zh) * | 2023-02-15 | 2023-03-14 | 远江盛邦(北京)网络安全科技股份有限公司 | 网络空间资产的采集方法、装置、电子设备及存储介质 |
-
2023
- 2023-03-16 CN CN202310271966.8A patent/CN116366316B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050055996A (ko) * | 2003-12-09 | 2005-06-14 | 주식회사데이콤 | 종합 보안 상황 관리 시스템 |
US8201257B1 (en) * | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
WO2012166194A1 (en) * | 2011-06-01 | 2012-12-06 | Hewlett-Packard Development Company, L.P. | Network asset information management |
US20140068775A1 (en) * | 2012-08-31 | 2014-03-06 | Damballa, Inc. | Historical analysis to identify malicious activity |
US20180139227A1 (en) * | 2016-10-31 | 2018-05-17 | Jask Labs Inc. | Method for predicting security risks of assets on a computer network |
CN111090862A (zh) * | 2019-11-25 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | 基于互联网端的资产画像方法和系统 |
CN111565184A (zh) * | 2020-04-29 | 2020-08-21 | 杭州安恒信息技术股份有限公司 | 一种网络安全评估装置、方法、设备及介质 |
US20220337555A1 (en) * | 2021-04-20 | 2022-10-20 | Sophos Limited | Firewall offloading |
CN113329027A (zh) * | 2021-06-16 | 2021-08-31 | 北京凌云信安科技有限公司 | 融合多维资产画像与漏洞关联分析的空间资产测绘系统 |
CN113542278A (zh) * | 2021-07-16 | 2021-10-22 | 北京源堡科技有限公司 | 一种网络安全评估方法、系统及装置 |
CN113489749A (zh) * | 2021-09-03 | 2021-10-08 | 北京华云安信息技术有限公司 | 网络资产安全画像的生成方法、装置、设备以及存储介质 |
CN114070760A (zh) * | 2021-11-16 | 2022-02-18 | 北京知道创宇信息技术股份有限公司 | 一种网络空间资产的测绘方法、装置、网络空间资产数据库及计算机可读存储介质 |
CN114793204A (zh) * | 2022-06-27 | 2022-07-26 | 山东林天信息科技有限责任公司 | 一种网络资产探测方法 |
CN114884831A (zh) * | 2022-07-11 | 2022-08-09 | 中国人民解放军国防科技大学 | 一种面向网络空间测绘系统的网络资产排序方法和装置 |
CN115794780A (zh) * | 2023-02-15 | 2023-03-14 | 远江盛邦(北京)网络安全科技股份有限公司 | 网络空间资产的采集方法、装置、电子设备及存储介质 |
Non-Patent Citations (3)
Title |
---|
王宸东;郭渊博;甄帅辉;杨威超;: "网络资产探测技术研究", 计算机科学, no. 12 * |
耿珂莹;李蒙;: "工控网络空间资产测绘平台构建技术浅析", 信息通信, no. 07 * |
郭莉;曹亚男;苏马婧;尚燕敏;朱宇佳;张鹏;周川;: "网络空间资源测绘:概念与技术", 信息安全学报, no. 04 * |
Also Published As
Publication number | Publication date |
---|---|
CN116366316B (zh) | 2024-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11770400B2 (en) | Presenting, at a graphical user interface, device photos and risk categories associated with devices in a network | |
US11522899B2 (en) | System and method for vulnerability management for connected devices | |
US10742687B2 (en) | Determining a device profile and anomalous behavior associated with a device in a network | |
US7930752B2 (en) | Method for the detection and visualization of anomalous behaviors in a computer network | |
CA2464402C (en) | A method and system for modeling, analysis and display of network security events | |
KR101544322B1 (ko) | 시각화를 이용한 악성 코드 탐지 시스템과 방법 | |
EP1593228B1 (en) | Network audit policy assurance system | |
US7627891B2 (en) | Network audit and policy assurance system | |
US20100262873A1 (en) | Apparatus and method for dividing and displaying ip address | |
US11632320B2 (en) | Centralized analytical monitoring of IP connected devices | |
AU2002348415A1 (en) | A method and system for modeling, analysis and display of network security events | |
KR101223931B1 (ko) | Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 | |
CN104219091A (zh) | 一种网络运行故障检测系统及其方法 | |
CN105306445A (zh) | 用于检测服务器的漏洞的系统和方法 | |
US20110010633A1 (en) | Systems and methods for monitoring and management of network security systems | |
CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
US8775613B2 (en) | Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring | |
CN111556044A (zh) | 一种网络安全系统 | |
CN111193727A (zh) | 运行监测系统及运行监测方法 | |
CN116366316B (zh) | 一种网络空间测绘方法 | |
KR101976395B1 (ko) | 네트워크의 비정상행위 시각화 방법 및 장치 | |
US8042187B2 (en) | Security indication spanning tree system and method | |
CN110830605A (zh) | 一种自发现客户端、通信终端设备及其自动发现方法 | |
CN117938698A (zh) | 一种网络资产可视化与实时攻防系统 | |
US20110107422A1 (en) | Email worm detection methods and devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |