CN117041070A - 一种网络空间测绘节点发现与归属判别方法和装置 - Google Patents
一种网络空间测绘节点发现与归属判别方法和装置 Download PDFInfo
- Publication number
- CN117041070A CN117041070A CN202311296051.9A CN202311296051A CN117041070A CN 117041070 A CN117041070 A CN 117041070A CN 202311296051 A CN202311296051 A CN 202311296051A CN 117041070 A CN117041070 A CN 117041070A
- Authority
- CN
- China
- Prior art keywords
- node
- network space
- space mapping
- anonymous
- mapping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013507 mapping Methods 0.000 title claims abstract description 269
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000004458 analytical method Methods 0.000 claims abstract description 25
- 230000000007 visual effect Effects 0.000 claims abstract description 12
- 230000002441 reversible effect Effects 0.000 claims description 53
- 230000008520 organization Effects 0.000 claims description 45
- 230000006399 behavior Effects 0.000 claims description 42
- 238000001914 filtration Methods 0.000 claims description 31
- 238000012545 processing Methods 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012544 monitoring process Methods 0.000 claims description 10
- 238000012850 discrimination method Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 6
- 239000000523 sample Substances 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000005422 blasting Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000013145 classification model Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 230000002829 reductive effect Effects 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 230000004083 survival effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000013531 bayesian neural network Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000013140 knowledge distillation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000010845 search algorithm Methods 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/69—Types of network addresses using geographic information, e.g. room number
Abstract
本发明提出一种网络空间测绘节点发现与归属判别方法和装置,属于网络空间测绘技术领域。本发明通过在全球多个地区配置并部署不同的扫描流量感知节点,实现扫描流量的实时收集,并将扫描流量转存到本地数据库进行结构化存储,然后区分有域名测绘节点和匿名测绘节点两类分别进行测绘节点发现,综合利用rDNS数据库、WHOIS信息、网络空间搜索引擎资产入库时间戳比对等手段,快速发现测绘节点的IP地址,最后进行不同测绘平台的测绘行为分析并进行可视化呈现。
Description
技术领域
本发明属于网络空间测绘技术领域,尤其涉及一种网络空间测绘节点发现与归属判别方法和装置。
背景技术
(1)网络空间资源探测
网络空间资源探测技术根据探测的方式分为主动探测和被动探测:主动探测通过向目标发送探测数据包,然后分析目标响应的数据包内容和规律来识别目标,探测包针对特定的协议或者目标主机上的应用程序;被动探测通常不向目标系统发送任何数据包,而是通过各种网络流量获取或抓包工具来收集流经网络的数据报文,再从这些报文里得到目标设备的信息。
现有网络资源探测技术按照发送探测包之后是否记录连接状态,又可分为传统网络探测技术和无状态探测技术。相比于传统网络探测技术,无状态探测技术不记录连接状态,不重新发送探测数据包,占用内存和CPU资源很小,速度要快得多。
(2)网络空间测绘
网络空间测绘是指以网络空间为对象,以计算机科学、网络科学、测绘科学为基础,通过网络探测、采集、分析、处理和展示等手段,获得全球网络空间的节点分布情况、网络关系索引、实体资源和虚拟资源在网络空间的位置、属性和拓扑结构,基于地理信息和逻辑关系进行图形绘制,构建全球互联网图谱,并据此进行空间分析与应用的理论与技术。
网络空间测绘平台通过主动探测技术,针对全网目标进行端口扫描,并将协议识别结果处理后进行展示,用户可通过网络空间搜索引擎对特定类型的网络资产进行检索。这极大增加了普通终端设备的安全漏洞被攻击者发现的可能性,提高了其安全风险。目前国内外主流的网络空间测绘平台主要有Shodan、Censys、Zoomeye、Fofa和360QUAKE等,这些平台均通过各自部署的测绘节点在全球范围内开展网络资产扫描。
网络空间测绘为网络空间安全提供重要的基础性资源,一方面能够摸清对方暴露在互联网上的各类型资源,分析其多维度属性信息并生成资源画像,判断其重要程度和可利用性,另一方面也能够梳理己方的重要网络资源,进行全谱安全性分析。而己方的重要目标一旦被测绘平台扫描,就会被获取并分析出目标相关的关键信息,并记录在测绘平台中,以公开或者非公开的形式被检索和查阅。被扫描即意味着信息的泄露,意味着在互联网中就存在被攻击的安全隐患。由于采用主动探测技术,网络空间测绘节点通常会主动向目标发送数据包,进而在目标主机的网络连接日志中留下痕迹。但来自网络空间测绘平台的扫描通常连接时间短,只占用目标主机极少量的资源,比起大规模的SSH爆破等网络攻击行为的流量,很难引起网络管理员的注意。因此,从网络数据流量中识别来自网络空间测绘平台的节点并判别其归属,对于防御测绘平台扫描,避免资产广泛暴露在互联网上具有重要意义和实践价值,但目前业界还缺乏针对此类问题的深入研究。
目前,与网络空间测绘节点发现和归属判别没有太多直接相关的论文或专利,从技术层面来看,其主要与网络背景流量分类相近。网络背景流量分类主要用于识别和分类网络应用及其对应的流量。传统的流量分类方法一般包含三种:基于端口的识别分类、基于深度包检测的识别分类和基于行为模式的识别分类,但在当前网络环境下,传统方法都存在一定实际问题,因此目前常采用基于流量统计特征的机器学习技术进行流量分类。
多种机器学习的经典算法已经被用于流量分类的研究,如SVM、神经网络、K近邻和聚类算法等。(1)不少研究者采用SVM构建高效的流量识别模型,将SVM应用在流量识别系统中,研究出了异常流量识别系统(ATIS),可以对多种攻击流量应用进行分类和识别。通过对大规模样本集上流量分类实验的分析比较,可以减少样本分布的影响,提高计算速度和网络流量分类的准确性,同时还具有很好的泛化能力。(2)通过贝叶斯神经网络的方法对数据集进行流量识别,可以极大提高识别精度。使用卷积神经网络方法将原始流量数据作为图像,使用CNN进行图像分类,实现了针对恶意流量的分类。(3)K最近邻分类模型在流量识别研究中也很受欢迎。使用快速正交搜索算法从数据导出的大量特征中选择具有区分能力的特征子集,然后使用KNN分类器和FOS选择的特征对网络流量进行分类。(4)半监督方法主要是使用聚类算法进行网络流量的识别与分类,该算法已被用于将流量集中到下载、上传、调用、浏览、视频流、实时流或交互通信,独立于用于执行这些任务的特定网络协议。另外,扩大卷积核的作用域和特征点的感受野可确保全局信息不被遗漏,能够显著提升分类效果。基于知识蒸馏的深度神经网络模型的流量分类方法使用深度神经网络作为用于流量分类的教师网络模型,可以进一步减少流量分类模型的存储和计算成本。
综上所述,目前的网络背景流量分类与识别技术通常只针对Web访问流量、邮件流量、网络服务流量、数据库流量和网络攻击流量等,尚未关注到网络空间测绘流量。网络安全人员对网络空间测绘节点的发现也进行了初步尝试,但基本停留在人工分析流量和节点域名上,效率低下且只能发现极少量节点IP。整体来说,目前针对网络空间测绘节点的分辨还缺乏有效手段。
发明内容
本发明提出一种网络空间测绘节点发现与归属判别方案,旨在解决网络管理员难以发现并防御来自网络空间测绘节点的扫描连接问题,通过提供测绘节点列表,可以降低己方重要目标被扫描的概率,从而降低因资产暴露而带来的风险。
本发明第一方面提出一种网络空间测绘节点发现与归属判别方法。所述方法包括:步骤S1、监听预先部署的各个感知节点处的流量,以获取感知节点流量,从所述感知节点流量中提取出网络空间测绘流量,并确定与所述网络空间测绘流量对应的网络空间测绘节点的IP地址信息;步骤S2、通过对所述IP地址信息进行WHOIS查询和反向DNS查询确定所述网络空间测绘节点的匿名属性,基于所述匿名属性对所述网络空间测绘节点进行溯源,以获取其他网络空间测绘节点;步骤S3、对由所述网络空间测绘节点和所述其他网络空间测绘节点组成的全部网络空间测绘节点进行行为分析,基于行为分析结果确定全部网络空间测绘节点的地理位置信息,并进行可视化展示。
根据本发明第一方面的方法,在所述步骤S1中:从所述感知节点流量中过滤掉正常访问流量和节点管理流量,并进一步提取出包含以下字段的流量信息:感知节点编号、本地IP、本地端口、远程IP、远程端口、传输层协议、应用层协议、时间戳和报文有效载荷;将标准测绘流量的行为特征与包含所述字段的流量信息进行比对,以确定所述网络空间测绘流量,并进一步获取与所述网络空间测绘流量对应的所述网络空间测绘节点的所述IP地址信息。
根据本发明第一方面的方法,在所述步骤S2中,对所述IP地址信息进行所述WHOIS查询和所述反向DNS查询,其中:如果WHOIS查询结果中的组织结构非网络运营商或云服务提供商,则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点;如果反向DNS查询结果中的域名包含网络空间测绘平台的名称或包含扫描相关词汇及节点编号,则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点;反之,如果WHOIS查询结果未指向任何组织结构,以及如果反向DNS查询不存在结果或得到的域名无特殊含义时,则当前IP地址信息对应的网络空间测绘节点为匿名节点。
根据本发明第一方面的方法,在所述步骤S2中,对所述非匿名节点进行溯源包括:通过WHOIS查询结果判定为所述非匿名节点的IP,其归属为查询结果中的组织机构;通过反向DNS查询结果判定为所述非匿名节点的IP,其归属为二级域名中存在的组织机构;当所述非匿名节点满足反向DNS查询判定为非匿名节点的条件时,从其域名中提取出域名通用模式,利用反向DNS查询和fDNS查询获取与所述组织机构相关联的其他网络空间测绘节点IP,形成属于所述组织机构的全部网络空间测绘节点的IP地址列表。
根据本发明第一方面的方法,在所述步骤S2中,对所述匿名节点进行溯源包括:在网络空间资产搜索引擎中搜索各个感知节点的IP,并记录每条搜索结果对应的所述感知节点的IP、搜索引擎、端口号和对应的时间戳,所述对应的时间戳包括所述网络空间资产搜索引擎标注的资产入库时间戳和资产Banner信息时间戳;针对记录的每条搜索结果,在所述感知节点流量中过滤具有相同端口号和处于最近时间间隔的数据包;如果过滤结果中有且只有一个远程IP连接请求,则判定当前匿名节点为所述网络空间资产搜索引擎的测绘节点;如果过滤结果中有多个远程IP连接请求,则进一步根据所述最近时间间隔以外的其他时间间隔的满足条件的数据包进行判别。
本发明第二方面提出一种网络空间测绘节点发现与归属判别装置。所述装置包括:第一处理单元,被配置为:监听预先部署的各个感知节点处的流量,以获取感知节点流量,从所述感知节点流量中提取出网络空间测绘流量,并确定与所述网络空间测绘流量对应的网络空间测绘节点的IP地址信息;第二处理单元,被配置为:通过对所述IP地址信息进行WHOIS查询和反向DNS查询确定所述网络空间测绘节点的匿名属性,基于所述匿名属性对所述网络空间测绘节点进行溯源,以获取其他网络空间测绘节点;第三处理单元,被配置为:对由所述网络空间测绘节点和所述其他网络空间测绘节点组成的全部网络空间测绘节点进行行为分析,基于行为分析结果确定全部网络空间测绘节点的地理位置信息,并进行可视化展示。
根据本发明第二方面的装置,所述第一处理单元具体被配置为:从所述感知节点流量中过滤掉正常访问流量和节点管理流量,并进一步提取出包含以下字段的流量信息:感知节点编号、本地IP、本地端口、远程IP、远程端口、传输层协议、应用层协议、时间戳和报文有效载荷;将标准测绘流量的行为特征与包含所述字段的流量信息进行比对,以确定所述网络空间测绘流量,并进一步获取与所述网络空间测绘流量对应的所述网络空间测绘节点的所述IP地址信息。
根据本发明第二方面的装置,所述第二处理单元具体被配置为,对所述IP地址信息进行所述WHOIS查询和所述反向DNS查询,其中:如果WHOIS查询结果中的组织结构非网络运营商或云服务提供商,则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点;如果反向DNS查询结果中的域名包含网络空间测绘平台的名称或包含扫描相关词汇及节点编号,则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点;反之,如果WHOIS查询结果未指向任何组织结构,以及如果反向DNS查询不存在结果或得到的域名无特殊含义时,则当前IP地址信息对应的网络空间测绘节点为匿名节点。
根据本发明第二方面的装置,所述第二处理单元具体被配置为,对所述非匿名节点进行溯源包括:通过WHOIS查询结果判定为所述非匿名节点的IP,其归属为查询结果中的组织机构;通过反向DNS查询结果判定为所述非匿名节点的IP,其归属为二级域名中存在的组织机构;当所述非匿名节点满足反向DNS查询判定为非匿名节点的条件时,从其域名中提取出域名通用模式,利用反向DNS查询和fDNS查询获取与所述组织机构相关联的其他网络空间测绘节点IP,形成属于所述组织机构的全部网络空间测绘节点的IP地址列表。
根据本发明第二方面的装置,所述第二处理单元具体被配置为,对所述匿名节点进行溯源包括:在网络空间资产搜索引擎中搜索各个感知节点的IP,并记录每条搜索结果对应的所述感知节点的IP、搜索引擎、端口号和对应的时间戳,所述对应的时间戳包括所述网络空间资产搜索引擎标注的资产入库时间戳和资产Banner信息时间戳;针对记录的每条搜索结果,在所述感知节点流量中过滤具有相同端口号和处于最近时间间隔的数据包;如果过滤结果中有且只有一个远程IP连接请求,则判定当前匿名节点为所述网络空间资产搜索引擎的测绘节点;如果过滤结果中有多个远程IP连接请求,则进一步根据所述最近时间间隔以外的其他时间间隔的满足条件的数据包进行判别。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面所述的一种网络空间测绘节点发现与归属判别方法中的步骤。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面所述的一种网络空间测绘节点发现与归属判别方法中的步骤。
综上,本发明所述方法首先通过在全球多个地区配置并部署不同的扫描流量感知节点,实现扫描流量的实时收集,并将扫描流量转存到本地数据库进行结构化存储,然后区分有域名测绘节点和匿名测绘节点两类分别进行测绘节点发现,综合利用rDNS数据库、WHOIS信息、网络空间搜索引擎资产入库时间戳比对等手段,快速发现测绘节点的IP地址,最后进行不同测绘平台的测绘行为分析并进行可视化呈现。具体实现如下效果:(1)利用所述方法可以从网络背景流量中准确识别来自网络空间测绘行为的流量,并获取对应网络空间测绘节点的IP等基本信息;(2)利用所述方法能够高效判别网络空间测绘节点的归属,进一步地,对于存在域名的非匿名节点,可以获取与该平台相关联的更多节点信息;(3)利用所述方法,可以分析不同测绘平台的扫描周期、常用协议、节点配置等测绘行为信息并进行可视化呈现。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的网络空间测绘节点发现与归属判别方法的流程图。
图2为根据本发明实施例的一种电子设备的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
网络空间测绘节点发现与归属判别方法的目标包括:(1)合理部署感知节点,均匀分配开放服务,使得采集的流量中尽可能多地覆盖来自网络空间测绘节点的流量;(2)提取网络空间测绘流量区别于网络背景流量的特征,并实现对应流量和节点IP的过滤;(3)判别网络空间测绘节点的匿名性,根据匿名节点和非匿名节点的不同特性进行追踪溯源,并发现更多节点;(4)分析不同测绘平台的扫描周期、节点配置等测绘行为信息并进行可视化呈现。
具体地,(1)感知节点部署与配置。首先选取常用互联网协议作为待开放协议,然后根据感知节点部署的区域、协议分布的均匀性、服务占用的系统资源量等对每个感知节点上开放的服务进行合理的预分配,最后通过docker完成服务的部署。同时,使用TcpDump进行流量监控,并周期性回传数据。
具体地,(2)网络空间测绘节点发现。根据网络空间测绘节点扫描行为的特征,提取网络空间测绘流量区别于其他背景流量的模式,如存在无状态扫描、扫描端口数量多但单个端口连接时间短等,基于模式并结合少量人工分析过滤出网络空间测绘流量,最终从流量中提取对应的节点IP和其他基本信息。
具体地,(3)网络空间测绘节点归属判别。首先对上述网络空间测绘节点IP进行WHOIS查询和反向DNS查询,根据查询结果综合判定节点是否为匿名节点。针对匿名节点,通过对比其在感知节点的访问时间和在网络空间搜索引擎中查询到的资产入库时间是否相近判别其归属。针对非匿名节点,可直接从WHOIS查询结果中获取其组织机构信息,或从其域名中获取组织机构名称。进一步地,可从域名中提取模式,利用rDNS和fDNS获取更多该平台的测绘节点IP。
具体地,(4)网络空间测绘平台的行为分析。从上一步中筛选出具有一定数量非匿名测绘节点的网络空间测绘平台的流量,然后对来自每个网络空间测绘平台的节点流量进行多维度聚类,包括时间、扫描协议与端口、地理、构造的请求报文等,从而分析不同平台的扫描时间与周期、端口与协议、扫描节点地区部署策略和可能使用的扫描工具等,然后对测绘行为信息进行可视化展示。
本发明的目标是提出一种面向网络空间测绘系统的测绘节点识别与归属判别方法和装置。具体地,通过高效准确地识别出网络空间测绘节点及其归属,为网络管理员保护己方重要目标网络资产防御来自网络空间测绘平台的扫描提供参考和判断依据。
本发明第一方面提出一种网络空间测绘节点发现与归属判别方法。如图1所示,所述方法包括:步骤S1、监听预先部署的各个感知节点处的流量,以获取感知节点流量,从所述感知节点流量中提取出网络空间测绘流量,并确定与所述网络空间测绘流量对应的网络空间测绘节点的IP地址信息;步骤S2、通过对所述IP地址信息进行WHOIS查询和反向DNS查询确定所述网络空间测绘节点的匿名属性,基于所述匿名属性对所述网络空间测绘节点进行溯源,以获取其他网络空间测绘节点;步骤S3、对由所述网络空间测绘节点和所述其他网络空间测绘节点组成的全部网络空间测绘节点进行行为分析,基于行为分析结果确定全部网络空间测绘节点的地理位置信息,并进行可视化展示。
具体地,本方法首先在全球多个区域部署感知节点并合理配置开放端口信息,实时监控感知节点的流入流量,获取网络背景流量,然后根据网络空间测绘流量的具体特征将其从网络背景流量中筛选出来,获取网络空间测绘节点IP,判断其是否为匿名节点,对匿名节点和非匿名节点采用不同手段进行溯源,最后分析不同测绘平台的测绘行为特征并进行可视化呈现。
感知节点部署与配置通过在全球范围内部署节点进行流量采集,为后续的测绘节点发现、归属判别与行为分析提供基础数据支撑,主要包括节点部署、开放服务预分配、节点配置与管理以及行为分析四个步骤。
节点部署
由于不同网络空间测绘平台的探测节点部署分布不同,感知节点应该优先选择位于不同地理区域的服务器进行部署,以避免收集到的流量出现明显的地域偏向性。通过对当前公开运行的测绘系统进行调研发现,Censys、Shodan、ZoomEye、Fofa等几大主流的测绘系统,分别主要布属在北美、欧洲、东亚、东南亚等地区,如表1所示。因此,本方案拟部署感知节点数量不少于20个,分布于美国、德国、英国、澳大利亚、新加坡、印度、中国等国家,每个国家的节点不少于三个。
开放服务预分配
首先统计互联网最常用的20个协议作为感知节点上待开放的协议。然后遵循以下三项原则为每个感知节点确定将要开启的服务数量和服务具体配置信息:1)同一地理区域的所有感知节点尽可能覆盖所有要开放的服务;2)同一感知节点只开放不超过3个易被弱口令爆破的服务,如SSH、MYSQL、RDP等,避免噪声流量过大;3)每个感知节点开放的服务数量均衡或占用的系统资源数均衡。
节点配置与管理
首先关闭感知节点默认开放的服务,无法关闭或有使用需求的服务将端口迁移至高端口,避免与之后部署的服务产生端口冲突。然后确定每个开启服务的具体参数,可使用docker进行服务快速配置,并为开启的端口添加防火墙规则。最后使用TcpDump监听流入感知节点的流量,并周期性的回传流量数据。特别地,综合考虑不同网络空间测绘平台的扫描频率,周期设置不宜过短。为提升对感知节点统一配置与管理的效率,使用Ansible等自动化运维工具实现对感知节点的批量管理与监控。
根据本发明第一方面的方法,在所述步骤S1中:从所述感知节点流量中过滤掉正常访问流量和节点管理流量,并进一步提取出包含以下字段的流量信息:感知节点编号、本地IP、本地端口、远程IP、远程端口、传输层协议、应用层协议、时间戳和报文有效载荷;将标准测绘流量的行为特征与包含所述字段的流量信息进行比对,以确定所述网络空间测绘流量,并进一步获取与所述网络空间测绘流量对应的所述网络空间测绘节点的所述IP地址信息。
网络空间测绘节点发现
首先对流量数据进行预处理,过滤掉正常访问的流量和用于节点管理的流量。从流量数据中抽取出定义为以下字段的信息:
其中Sensor用于标识感知节点,Local_IP和Local_port是指感知节点的IP地址和开放的端口信息,Remote_IP和Remote_port是指记录的远端节点的IP地址和用于远端节点发起连接的端口信息,Transport和Protocol表示远端节点发起连接的传输层协议和应用层协议协议,Time表示远端节点发起连接的时间戳信息,Payload记录报文的有效载荷。
然后综合上述字段信息对各个感知节点流量的行为模式进行分析,不同协议表现出的行为模式有所区别。与网络背景流量中最常见的弱口令爆破流量、网站目录爆破流量、远程命令执行流量等网络攻击流量相比,网络空间测绘节点存包括但不限于以下行为特征:1)不存在登录操作,如SSH登录请求;2)不存在命令执行,如redis命令执行请求;3)扫描端口数量多,但针对单个端口的扫描时间短;4)存在大量无状态扫描行为;5)扫描频率不高且相对稳定;6)在HTTP请求头或类似协议的头部信息中,可能标明自己的来源或扫描用途。
根据提取出的网络空间测绘流量区别于其他网络攻击流量的行为特征,对每个感知节点流量包中的远程IP出现次数、出现频率、每个远程IP访问的端口数量、每个远程IP单次TCP连接的交互次数进行统计,对每个远程IP建立连接后是否进行下一步操作进行判别,并提取流量包中可能存在的Banner信息。综合考虑,从所有流量中过滤出网络空间测绘流量,并提取出对应的网络空间测绘节点IP地址信息。
根据本发明第一方面的方法,在所述步骤S2中,对所述IP地址信息进行所述WHOIS查询和所述反向DNS查询,其中:如果WHOIS查询结果中的组织结构非网络运营商或云服务提供商,则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点;如果反向DNS查询结果中的域名包含网络空间测绘平台的名称或包含扫描相关词汇及节点编号,则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点;反之,如果WHOIS查询结果未指向任何组织结构,以及如果反向DNS查询不存在结果或得到的域名无特殊含义时,则当前IP地址信息对应的网络空间测绘节点为匿名节点。
具体地,测绘节点归属判别主要是指根据节点IP信息,通过一定的分析手段发现IP地址所属的组织机构域名或者名称等信息。主要包括节点匿名性判别、非匿名节点溯源以及匿名节点溯源三个步骤。
对于在节点发现流程中提取的网络空间测绘节点IP进行WHOIS查询和反向DNS查询。如果WHOIS查询结果中的组织结构非网络运营商或云服务提供商,可判定其为非匿名节点;如果反向DNS查询得到的域名包含网络空间测绘平台的名称或包含“扫描”相关的词汇及节点编号(如census2.shodan.io)时,也可判定其为非匿名节点;反之,当WHOIS查询结果未指向具体组织结构,并且反向DNS查询不存在结果或得到的域名无特殊含义时,判定该节点为匿名节点。
根据本发明第一方面的方法,在所述步骤S2中,对所述非匿名节点进行溯源包括:通过WHOIS查询结果判定为所述非匿名节点的IP,其归属为查询结果中的组织机构;通过反向DNS查询结果判定为所述非匿名节点的IP,其归属为二级域名中存在的组织机构;当所述非匿名节点满足反向DNS查询判定为非匿名节点的条件时,从其域名中提取出域名通用模式,利用反向DNS查询和fDNS查询获取与所述组织机构相关联的其他网络空间测绘节点IP,形成属于所述组织机构的全部网络空间测绘节点的IP地址列表。
具体地,通过WHOIS查询结果判定为非匿名节点的IP,其归属为查询结果中的组织机构;通过反向DNS查询结果判定为非匿名节点的IP,其归属为二级域名中存在的组织机构。进一步地,只要该节点满足反向DNS查询判定为非匿名节点的条件,从域名中提取域名的通用模式,利用反向DNS查询和fDNS查询获取与该组织机构相关联的其他测绘节点IP。进一步的,针对这些扩展的测绘节点IP,进行判断与验证,最终形成属于某个组织机构的比较完整和正确的测绘节点IP地址列表。
根据本发明第一方面的方法,在所述步骤S2中,对所述匿名节点进行溯源包括:在网络空间资产搜索引擎中搜索各个感知节点的IP,并记录每条搜索结果对应的所述感知节点的IP、搜索引擎、端口号和对应的时间戳,所述对应的时间戳包括所述网络空间资产搜索引擎标注的资产入库时间戳和资产Banner信息时间戳;针对记录的每条搜索结果,在所述感知节点流量中过滤具有相同端口号和处于最近时间间隔的数据包;如果过滤结果中有且只有一个远程IP连接请求,则判定当前匿名节点为所述网络空间资产搜索引擎的测绘节点;如果过滤结果中有多个远程IP连接请求,则进一步根据所述最近时间间隔以外的其他时间间隔的满足条件的数据包进行判别。
具体地,在各网络空间资产搜索引擎中搜索各感知节点IP,记录每条搜索结果对应的感知节点IP,搜索引擎、端口号和时间戳,时间戳包括搜索引擎标注的资产入库时间戳和资产Banner信息中的时间戳(如HTTP响应头中的Date字段等)。针对记录的每条搜索结果,在每个感知节点的流量数据中,过滤端口号和最近三分钟时间的数据包。如果过滤结果中只有一个远程IP有连接请求,则直接判定其为对应网络空间搜索引擎平台的测绘节点;如果过滤结果中有多个远程IP的连接请求,则根据该IP在此时间段以外时间的行为特征进行分析判别。
具体地,关于步骤S3中的网络空间测绘平台行为分析;首先,筛选出有代表性的测绘节点流量。根据上一步获取的非匿名节点信息,分别提取每一个具有10个以上测绘节点的网络空间测绘平台的流量。然后,提取流量中与测绘行为分析相关的字段,以单个TCP流或单个UDP流为单位进行统计。以TCP流为例进行介绍,UDP流字段提取方式类似。针对单个TCP流,首先判断其是否完成了三次握手,若未完成,则判断该次扫描为SYN扫描,测绘节点使用无状态扫描工具;进一步地,若该测绘节点所有连接均为SYN扫描,则判定该节点仅执行存活性探测,不进行精确的协议识别。对建立了三次握手的TCP流,统计其扫描的协议和端口,并以第一个TCP请求包的时间戳代表这次连接的时间戳,通过IPGeo数据库获取节点的地理位置信息。最后,进行网络空间测绘行为可视化展示。对网络空间测绘平台的扫描端口和协议进行统计展示,分析其常扫描的端口和协议;对测绘节点针对不同协议的扫描时间戳聚类并进行统计展示,分析其对不同协议的扫描频率和周期;对平台节点的全球部署进行地理展示,分析其地理分布情况。
实施例
(1)感知节点部署
本节以四个分布在中国和新加坡两国的感知节点为例,阐述感知节点的部署方式。
四个感知节点均采用1核1G内存、1M带宽的基础云服务器。服务部署分配时,选取10个常用协议,遵循每个国家的感知节点覆盖所有协议,每个感知节点部署的服务数量均衡的原则,每个感知节点部署5个服务并且不超过3个易被弱口令爆破的服务。四个感知节点的详细部署情况如表3所示。
使用ansible批量管理四个感知节点,进行docker的部署和TcpDump的部署。根据各网络空间搜索引擎资产更新的频率,结合经验,选取一周作为流量数据回传的周期。
(2)网络空间测绘节点识别
首先过滤掉本地管理节点的流量,然后统计每一个感知节点流量中出现的所有不重复的远程IP,然后计算每一个IP出现的次数、两次TCP连接的平均时间、间隔连接感知节点端口的数量、每次建立TCP连接后交互的次数、每次建立连接后是否存在下一步的命令发送/登录等行为。当一个IP出现次数过多或频率过高、只针对某个端口进行高频连接、建立连接后进一步发送恶意请求等行为时,过滤掉该IP所有流量。特别地,可同步过滤掉该IP在其他感知节点中的流量。
进一步地,提取流量中可能存在的Banner信息,从Banner信息中判断是否存在标明身份的网络空间测绘节点。根据行为特征进行筛选,得到的部分流量包基本信息如表4所示。
(3)网络空间测绘节点归属判别
本节以上一步中得到的三个网络空间测绘节点为例,阐述网络空间测绘节点归属判别方式,三个节点分别代号A、B、C。
首先,对各个测绘节点IP进行WHOIS查询和反向DNS查询,查询结果和判别结果如表5所示。
节点A的WHOIS查询结果指向运营商,但反向DNS查询得到的域名包含网络空间测绘平台shodan的名称,因此节点A为非匿名节点。
节点B的WHOIS查询结果指向网络空间测绘平台Censys,同时反向DNS查询得到的域名包含Censys的名称,因此节点B为非匿名节点。
节点C的WHOIS查询结果指向运营商,且反向DNS查询无结果,因此节点C为匿名节点。
针对非匿名节点A和B,可直接判断其归属。同时,A和B均存在域名,可通过模式shodan.io和censys-scanner.com进一步在Rapid 7 中的rDNS和fDNS记录中查询shodan和Censys所拥有的测绘节点IP。
针对匿名节点C,在SearchEngin1、SearchEngin2等网络空间测绘平台中搜索Sensor3的IP地址,限制时间范围为感知节点部署之后,部分搜索结果如表6所示。
针对Sensor03的3306端口,对照时间戳,可发现匿名节点C的请求时间与SearchEngin1平台上的资产入库时间十分接近,因此可判定匿名节点C为SearchEngin1的测绘节点。
(4)测绘平台行为分析
以一个完整的TCP流为单位进一步将流量数据转化为可统计的字段,以测绘平台SearchEngin1的节点D和E的数据流信息为例展示字段格式和可能的取值,结果如表7与表8所示。
感知节点字段取值为数据流来源的感知节点。访问协议字段取值为TCP流(UDP流)中建立的最高层协议,当未完成三次握手时,访问协议记录为TCP_SYN,当顺利完成三次握手并访问应用层协议时,记录访问的应用层协议。访问端口字段取值为扫描的端口值。时间戳字段取值为TCP流中第一个数据包的时间戳。经纬度字段取值为测绘节点的经纬度。
节点D所有数据流均为TCP_SYN扫描,且端口分布随机,无明显偏向性,且在短时间内访问不同感知节点,因此该节点为存活性验证节点,只用于快速发现可能存活的IP和端口。
节点E所有数据流都与应用层协议进行了连接,根据类似节点D的存活性验证节点的反馈结果,对确认存活的端口进行深度的协议识别。节点E最常扫描的协议为HTTP协议,扫描周期约为4小时一次;其次最常扫描的协议为SSH协议,扫描周期约为一天。将测绘平台SearchEngin1的所有节点经纬度映射到地图中。
本发明第二方面提出一种网络空间测绘节点发现与归属判别装置。所述装置包括:第一处理单元,被配置为:监听预先部署的各个感知节点处的流量,以获取感知节点流量,从所述感知节点流量中提取出网络空间测绘流量,并确定与所述网络空间测绘流量对应的网络空间测绘节点的IP地址信息;第二处理单元,被配置为:通过对所述IP地址信息进行WHOIS查询和反向DNS查询确定所述网络空间测绘节点的匿名属性,基于所述匿名属性对所述网络空间测绘节点进行溯源,以获取其他网络空间测绘节点;第三处理单元,被配置为:对由所述网络空间测绘节点和所述其他网络空间测绘节点组成的全部网络空间测绘节点进行行为分析,基于行为分析结果确定全部网络空间测绘节点的地理位置信息,并进行可视化展示。
根据本发明第二方面的装置,所述第一处理单元具体被配置为:从所述感知节点流量中过滤掉正常访问流量和节点管理流量,并进一步提取出包含以下字段的流量信息:感知节点编号、本地IP、本地端口、远程IP、远程端口、传输层协议、应用层协议、时间戳和报文有效载荷;将标准测绘流量的行为特征与包含所述字段的流量信息进行比对,以确定所述网络空间测绘流量,并进一步获取与所述网络空间测绘流量对应的所述网络空间测绘节点的所述IP地址信息。
根据本发明第二方面的装置,所述第二处理单元具体被配置为,对所述IP地址信息进行所述WHOIS查询和所述反向DNS查询,其中:如果WHOIS查询结果中的组织结构非网络运营商或云服务提供商,则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点;如果反向DNS查询结果中的域名包含网络空间测绘平台的名称或包含扫描相关词汇及节点编号,则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点;反之,如果WHOIS查询结果未指向任何组织结构,以及如果反向DNS查询不存在结果或得到的域名无特殊含义时,则当前IP地址信息对应的网络空间测绘节点为匿名节点。
根据本发明第二方面的装置,所述第二处理单元具体被配置为,对所述非匿名节点进行溯源包括:通过WHOIS查询结果判定为所述非匿名节点的IP,其归属为查询结果中的组织机构;通过反向DNS查询结果判定为所述非匿名节点的IP,其归属为二级域名中存在的组织机构;当所述非匿名节点满足反向DNS查询判定为非匿名节点的条件时,从其域名中提取出域名通用模式,利用反向DNS查询和fDNS查询获取与所述组织机构相关联的其他网络空间测绘节点IP,形成属于所述组织机构的全部网络空间测绘节点的IP地址列表。
根据本发明第二方面的装置,所述第二处理单元具体被配置为,对所述匿名节点进行溯源包括:在网络空间资产搜索引擎中搜索各个感知节点的IP,并记录每条搜索结果对应的所述感知节点的IP、搜索引擎、端口号和对应的时间戳,所述对应的时间戳包括所述网络空间资产搜索引擎标注的资产入库时间戳和资产Banner信息时间戳;针对记录的每条搜索结果,在所述感知节点流量中过滤具有相同端口号和处于最近时间间隔的数据包;如果过滤结果中有且只有一个远程IP连接请求,则判定当前匿名节点为所述网络空间资产搜索引擎的测绘节点;如果过滤结果中有多个远程IP连接请求,则进一步根据所述最近时间间隔以外的其他时间间隔的满足条件的数据包进行判别。
本发明第三方面公开了一种电子设备。所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现本公开第一方面所述的一种网络空间测绘节点发现与归属判别方法中的步骤。
图2为根据本发明实施例的一种电子设备的结构图,如图2所示,电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该电子设备的输入装置可以是显示屏上覆盖的触摸层,也可以是电子设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图2中示出的结构,仅仅是与本公开的技术方案相关的部分的结构图,并不构成对本申请方案所应用于其上的电子设备的限定,具体的电子设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
本发明第四方面公开了一种计算机可读存储介质。所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现本公开第一方面所述的一种网络空间测绘节点发现与归属判别方法中的步骤。
综上,本发明所述方法首先通过在全球多个地区配置并部署不同的扫描流量感知节点,实现扫描流量的实时收集,并将扫描流量转存到本地数据库进行结构化存储,然后区分有域名测绘节点和匿名测绘节点两类分别进行测绘节点发现,综合利用rDNS数据库、WHOIS信息、网络空间搜索引擎资产入库时间戳比对等手段,快速发现测绘节点的IP地址,最后进行不同测绘平台的测绘行为分析并进行可视化呈现。具体实现如下效果:(1)利用所述方法可以从网络背景流量中准确识别来自网络空间测绘行为的流量,并获取对应网络空间测绘节点的IP等基本信息;(2)利用所述方法能够高效判别网络空间测绘节点的归属,进一步地,对于存在域名的非匿名节点,可以获取与该平台相关联的更多节点信息;(3)利用所述方法,可以分析不同测绘平台的扫描周期、常用协议、节点配置等测绘行为信息并进行可视化呈现。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络空间测绘节点发现与归属判别方法,其特征在于,所述方法包括:
步骤S1、监听预先部署的各个感知节点处的流量,以获取感知节点流量,从所述感知节点流量中提取出网络空间测绘流量,并确定与所述网络空间测绘流量对应的网络空间测绘节点的IP地址信息;
步骤S2、通过对所述IP地址信息进行WHOIS查询和反向DNS查询确定所述网络空间测绘节点的匿名属性,基于所述匿名属性对所述网络空间测绘节点进行溯源,以获取其他网络空间测绘节点;
步骤S3、对由所述网络空间测绘节点和所述其他网络空间测绘节点组成的全部网络空间测绘节点进行行为分析,基于行为分析结果确定全部网络空间测绘节点的地理位置信息,并进行可视化展示。
2.根据权利要求1所述的一种网络空间测绘节点发现与归属判别方法,其特征在于,在所述步骤S1中:
从所述感知节点流量中过滤掉正常访问流量和节点管理流量,并进一步提取出包含以下字段的流量信息:感知节点编号、本地IP、本地端口、远程IP、远程端口、传输层协议、应用层协议、时间戳和报文有效载荷;
将标准测绘流量的行为特征与包含所述字段的流量信息进行比对,以确定所述网络空间测绘流量,并进一步获取与所述网络空间测绘流量对应的所述网络空间测绘节点的所述IP地址信息。
3.根据权利要求2所述的一种网络空间测绘节点发现与归属判别方法,其特征在于,在所述步骤S2中,对所述IP地址信息进行所述WHOIS查询和所述反向DNS查询,其中:
如果WHOIS查询结果中的组织结构非网络运营商或云服务提供商,则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点;
如果反向DNS查询结果中的域名包含网络空间测绘平台的名称或包含扫描相关词汇及节点编号,则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点;
反之,如果WHOIS查询结果未指向任何组织结构,以及如果反向DNS查询不存在结果或得到的域名无特殊含义时,则当前IP地址信息对应的网络空间测绘节点为匿名节点。
4.根据权利要求3所述的一种网络空间测绘节点发现与归属判别方法,其特征在于,在所述步骤S2中:
对所述非匿名节点进行溯源包括:
通过WHOIS查询结果判定为所述非匿名节点的IP,其归属为查询结果中的组织机构;
通过反向DNS查询结果判定为所述非匿名节点的IP,其归属为二级域名中存在的组织机构;
当所述非匿名节点满足反向DNS查询判定为非匿名节点的条件时,从其域名中提取出域名通用模式,利用反向DNS查询和fDNS查询获取与所述组织机构相关联的其他网络空间测绘节点IP,形成属于所述组织机构的全部网络空间测绘节点的IP地址列表;
对所述匿名节点进行溯源包括:
在网络空间资产搜索引擎中搜索各个感知节点的IP,并记录每条搜索结果对应的所述感知节点的IP、搜索引擎、端口号和对应的时间戳,所述对应的时间戳包括所述网络空间资产搜索引擎标注的资产入库时间戳和资产Banner信息时间戳;
针对记录的每条搜索结果,在所述感知节点流量中过滤具有相同端口号和处于最近时间间隔的数据包;如果过滤结果中有且只有一个远程IP连接请求,则判定当前匿名节点为所述网络空间资产搜索引擎的测绘节点;如果过滤结果中有多个远程IP连接请求,则进一步根据所述最近时间间隔以外的其他时间间隔的满足条件的数据包进行判别。
5.一种网络空间测绘节点发现与归属判别装置,其特征在于,所述装置包括:
第一处理单元,被配置为:监听预先部署的各个感知节点处的流量,以获取感知节点流量,从所述感知节点流量中提取出网络空间测绘流量,并确定与所述网络空间测绘流量对应的网络空间测绘节点的IP地址信息;
第二处理单元,被配置为:通过对所述IP地址信息进行WHOIS查询和反向DNS查询确定所述网络空间测绘节点的匿名属性,基于所述匿名属性对所述网络空间测绘节点进行溯源,以获取其他网络空间测绘节点;
第三处理单元,被配置为:对由所述网络空间测绘节点和所述其他网络空间测绘节点组成的全部网络空间测绘节点进行行为分析,基于行为分析结果确定全部网络空间测绘节点的地理位置信息,并进行可视化展示。
6.根据权利要求5所述的一种网络空间测绘节点发现与归属判别装置,其特征在于,所述第一处理单元具体被配置为:
从所述感知节点流量中过滤掉正常访问流量和节点管理流量,并进一步提取出包含以下字段的流量信息:感知节点编号、本地IP、本地端口、远程IP、远程端口、传输层协议、应用层协议、时间戳和报文有效载荷;
将标准测绘流量的行为特征与包含所述字段的流量信息进行比对,以确定所述网络空间测绘流量,并进一步获取与所述网络空间测绘流量对应的所述网络空间测绘节点的所述IP地址信息。
7.根据权利要求6所述的一种网络空间测绘节点发现与归属判别装置,其特征在于,所述第二处理单元具体被配置为,对所述IP地址信息进行所述WHOIS查询和所述反向DNS查询,其中:
如果WHOIS查询结果中的组织结构非网络运营商或云服务提供商,则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点;
如果反向DNS查询结果中的域名包含网络空间测绘平台的名称或包含扫描相关词汇及节点编号,则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点;
反之,如果WHOIS查询结果未指向任何组织结构,以及如果反向DNS查询不存在结果或得到的域名无特殊含义时,则当前IP地址信息对应的网络空间测绘节点为匿名节点。
8.根据权利要求7所述的一种网络空间测绘节点发现与归属判别装置,其特征在于,所述第二处理单元具体被配置为:
对所述非匿名节点进行溯源包括:
通过WHOIS查询结果判定为所述非匿名节点的IP,其归属为查询结果中的组织机构;
通过反向DNS查询结果判定为所述非匿名节点的IP,其归属为二级域名中存在的组织机构;
当所述非匿名节点满足反向DNS查询判定为非匿名节点的条件时,从其域名中提取出域名通用模式,利用反向DNS查询和fDNS查询获取与所述组织机构相关联的其他网络空间测绘节点IP,形成属于所述组织机构的全部网络空间测绘节点的IP地址列表;
对所述匿名节点进行溯源包括:
在网络空间资产搜索引擎中搜索各个感知节点的IP,并记录每条搜索结果对应的所述感知节点的IP、搜索引擎、端口号和对应的时间戳,所述对应的时间戳包括所述网络空间资产搜索引擎标注的资产入库时间戳和资产Banner信息时间戳;
针对记录的每条搜索结果,在所述感知节点流量中过滤具有相同端口号和处于最近时间间隔的数据包;如果过滤结果中有且只有一个远程IP连接请求,则判定当前匿名节点为所述网络空间资产搜索引擎的测绘节点;如果过滤结果中有多个远程IP连接请求,则进一步根据所述最近时间间隔以外的其他时间间隔的满足条件的数据包进行判别。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1-4任一项所述的一种网络空间测绘节点发现与归属判别方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1-4任一项所述的一种网络空间测绘节点发现与归属判别方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311296051.9A CN117041070B (zh) | 2023-10-09 | 2023-10-09 | 一种网络空间测绘节点发现与归属判别方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311296051.9A CN117041070B (zh) | 2023-10-09 | 2023-10-09 | 一种网络空间测绘节点发现与归属判别方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117041070A true CN117041070A (zh) | 2023-11-10 |
| CN117041070B CN117041070B (zh) | 2023-12-08 |
Family
ID=88624856
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311296051.9A Active CN117041070B (zh) | 2023-10-09 | 2023-10-09 | 一种网络空间测绘节点发现与归属判别方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117041070B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130226813A1 (en) * | 2012-02-23 | 2013-08-29 | Robert Matthew Voltz | Cyberspace Identification Trust Authority (CITA) System and Method |
| US20130321458A1 (en) * | 2012-05-30 | 2013-12-05 | Northrop Grumman Systems Corporation | Contextual visualization via configurable ip-space maps |
| CN113691566A (zh) * | 2021-10-26 | 2021-11-23 | 成都数默科技有限公司 | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 |
| CN115855000A (zh) * | 2022-05-31 | 2023-03-28 | 中国人民解放军战略支援部队信息工程大学 | 一种基于图论-时空对象的网络空间测绘表达方法 |
| WO2023108832A1 (zh) * | 2021-12-16 | 2023-06-22 | 三六零科技集团有限公司 | 网络空间地图生成方法、装置、设备及存储介质 |
| CN116405362A (zh) * | 2021-12-27 | 2023-07-07 | 国家广播电视总局广播电视科学研究院 | 一种IPv6网络空间的网元探测方法及装置 |
| US20230231882A1 (en) * | 2021-06-10 | 2023-07-20 | Tencent Cloud Computing (Beijing) Co., Ltd. | Honeypot identification method, apparatus, device, and medium based on cyberspace mapping |
-
2023
- 2023-10-09 CN CN202311296051.9A patent/CN117041070B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130226813A1 (en) * | 2012-02-23 | 2013-08-29 | Robert Matthew Voltz | Cyberspace Identification Trust Authority (CITA) System and Method |
| US20130321458A1 (en) * | 2012-05-30 | 2013-12-05 | Northrop Grumman Systems Corporation | Contextual visualization via configurable ip-space maps |
| US20230231882A1 (en) * | 2021-06-10 | 2023-07-20 | Tencent Cloud Computing (Beijing) Co., Ltd. | Honeypot identification method, apparatus, device, and medium based on cyberspace mapping |
| CN113691566A (zh) * | 2021-10-26 | 2021-11-23 | 成都数默科技有限公司 | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 |
| WO2023108832A1 (zh) * | 2021-12-16 | 2023-06-22 | 三六零科技集团有限公司 | 网络空间地图生成方法、装置、设备及存储介质 |
| CN116405362A (zh) * | 2021-12-27 | 2023-07-07 | 国家广播电视总局广播电视科学研究院 | 一种IPv6网络空间的网元探测方法及装置 |
| CN115855000A (zh) * | 2022-05-31 | 2023-03-28 | 中国人民解放军战略支援部队信息工程大学 | 一种基于图论-时空对象的网络空间测绘表达方法 |
Non-Patent Citations (1)
| Title |
|---|
| 罗军舟;杨明;凌振;吴文甲;顾晓丹;: "网络空间安全体系与关键技术", 中国科学:信息科学, no. 08 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117041070B (zh) | 2023-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Perdisci et al. | Iotfinder: Efficient large-scale identification of iot devices via passive dns traffic analysis | |
| Yang et al. | Towards automatic fingerprinting of IoT devices in the cyberspace | |
| TWI711938B (zh) | 用於使用無監督式機器學習和優先權演算法的高速威脅性情報管理的系統及方法 | |
| US10547674B2 (en) | Methods and systems for network flow analysis | |
| US9578048B1 (en) | Identifying phishing websites using DOM characteristics | |
| KR20140027616A (ko) | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 | |
| US10250465B2 (en) | Network traffic monitoring and classification | |
| CN110198303A (zh) | 威胁情报的生成方法及装置、存储介质、电子装置 | |
| CN113328985B (zh) | 一种被动物联网设备识别方法、系统、介质及设备 | |
| CN111028085A (zh) | 一种基于主被动结合的网络靶场资产信息采集方法及装置 | |
| CN110210213A (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| Li et al. | A framework for searching Internet-wide devices | |
| Robberechts et al. | Query log analysis: Detecting anomalies in DNS traffic at a TLD resolver | |
| Ma et al. | GraphNEI: A GNN-based network entity identification method for IP geolocation | |
| Cukier et al. | A statistical analysis of attack data to separate attacks | |
| CN117041070B (zh) | 一种网络空间测绘节点发现与归属判别方法和装置 | |
| Marshall | CANDID: classifying assets in networks by determining importance and dependencies | |
| Chowdhury et al. | Identifying SH-IoT devices from network traffic characteristics using random forest classifier | |
| CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
| Oudah et al. | Using burstiness for network applications classification | |
| CN113794731B (zh) | 识别基于cdn流量伪装攻击的方法、装置、设备和介质 | |
| Wan et al. | DevTag: A benchmark for fingerprinting IoT devices | |
| Gu et al. | Fingerprinting network entities based on traffic analysis in high-speed network environment | |
| CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统 | |
| Hou et al. | Survey of cyberspace resources scanning and analyzing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |