一种网络资产探测方法技术

本发明专利技术公开一种网络资产探测方法，本发明专利技术涉及网络技术领域。本发明专利技术通过获取网络资产线索数据，网络资产线索数据包括网络资产探测目标域名集合；通过反向DNS查询手段获取网络资产探测目标域名集合中与域名对应的网络资产探测目标地址信息，生成网络资产探测目标地址集；对网络资产探测目标地址集中的网络资产探测目标地址信息进行网络路径遍历，以获取网络路径上存活的网络资产探测目标存活地址集等步骤，实现了更加全面、准确地进行网络资产探测。测。测。

【技术实现步骤摘要】
一种网络资产探测方法


[0001]本专利技术涉及网络
，具体涉及一种网络资产探测方法。

技术介绍

[0002]网络空间资产是指赛博空间中某机构所拥有的一切可能被潜在攻击者利用的设备、信息、应用等数字资产。网络资产具体包括但不限于硬件设备、云主机、操作系统、IP地址、端口、证书、域名、Web应用、业务应用、中间件、框架、机构公众号、小程序、App、API、源代码等。针对赛博空间中的数字化资产，通过扫描探测、流量监听、主机代理、特征匹配等方式，动态发现、汇集资产数据，并进行关联分析与展现，以快速感知安全风险，把握安全态势，从而辅助用户进行指挥决策，支撑预测、保护、检测、响应等安全体系的能力，即为网络空间资产测绘(CAM)。网络资产不清、资产管理困难以及意识不强导致的安全防御无根基等痛点问题是安全行业的“共性顽疾”，因此网络空间资产的探测与绘制是构建网络安全体系的底层支撑这一理念已经成为业界的共识。资产发现能力是资产测绘的基础，决定了后续资产管理分析、资产数据能力输出等环节的效果。现有的网络资产探测手段分为主动扫描探测、被动流量识别等方式，然而目前的网络空间的资产分布广，数量大且种类多，现有的网络资产探测手段难以全面、准确地实现网络资产探测。因此，有必要提出一种网络资产探测方法，以解决上述问题。

技术实现思路

[0003]本专利技术的目的在于提供一种网络资产探测方法，以解决现有的网络资产探测手段难以全面、准确地实现网络资产探测的问题。
[0004]本专利技术提供一种网络资产探测方法，包括：获取网络资产线索数据，所述网络资产线索数据包括网络资产探测目标域名集合；通过反向DNS查询手段获取网络资产探测目标域名集合中与域名对应的网络资产探测目标地址信息，生成网络资产探测目标地址集；对所述网络资产探测目标地址集中的网络资产探测目标地址信息进行网络路径遍历，以获取网络路径上存活的网络资产探测目标存活地址集；对所述网络资产探测目标存活地址集进行地址浮动偏移，扩充生成对应的网络资产探测目标地址段，对网络资产探测目标地址段进行扫描，探测网络资产探测目标地址段临近的地址存活情况，将探测结果汇总到网络资产探测目标存活地址集；通过学习编址规则或通过已知的编址规则，基于所述网络资产探测目标存活地址集推测出网络资产探测目标IP地址集合，通过分析日志获得网络中存活且处于活动状态的地址，将所述网络资产探测目标IP地址集合和网络中存活且处于活动状态的地址汇总到网络资产探测目标存活地址集。
[0005]其中，所述网络资产线索数据还包括IP信息、端口信息、漏洞信息、Whois数据，获取网络资产线索数据的同时针对应用协议进行二次采集，采集网站携带的favicon.ico文件后进行Hash运算存储，利用ico数据寻找同类型网站；对网络资产线索数据进行处理，通过数据格式验证、报文验证对网络资产线索数据进行初步筛选，以确保网络资产线索数据
在传输过程中被分片后能够重新在本地组合，对网络资产线索数据中的数据报文过载进行过滤，对网络资产线索数据中的非可见字符集进行有效编码，对网络资产线索数据的返回报文中的版本号进行验证，将处理后的网络资产线索数据进行格式化统一。
[0006]进一步地，通过反向DNS查询手段获取网络资产探测目标域名集合中与域名对应的网络资产探测目标地址信息，生成网络资产探测目标地址集包括：通过域名查询工具或指令对网络资产探测目标域名集合中的域名网址进行域名反查，得到初步的网络资产探测目标地址信息；通过域名查询工具或指令中指定DNS服务器参数的功能，指定多个不同服务商或地区的DNS服务器，再次进行域名反查域名网址，对多次查询的结果去重，获取到进一步的网络资产探测目标地址信息。
[0007]进一步地，对所述网络资产探测目标地址集中的网络资产探测目标地址信息进行网络路径遍历，以获取网络路径上存活的网络资产探测目标存活地址集包括：对网络资产探测目标地址集中的每一个网络资产探测目标地址信息进行路由路径遍历操作，获取返回记录并分析提取其中的每一条具体的网络资产探测目标地址信息，对所述网络资产探测目标地址信息进行去重，汇总到网络资产探测目标存活地址集。
[0008]进一步地，对所述网络资产探测目标存活地址集进行地址浮动偏移，扩充生成对应的网络资产探测目标地址段，对网络资产探测目标地址段进行扫描，探测网络资产探测目标地址段临近的地址存活情况，将探测结果汇总到网络资产探测目标存活地址集包括：对所述网络资产探测目标存活地址集中的每一个具体地址进行末位地址字段前后一定范围的地址偏移浮动操作，从而将单个地址信息扩充成其对应的网络资产探测目标地址段；对网络资产探测目标地址段进行去重处理，通过快速扫描探测地址段中的存活地址；对探测到存活的地址进行汇总去重后汇总到网络资产探测目标存活地址。
[0009]进一步地，通过学习编址规则或通过已知的编址规则，基于所述网络资产探测目标存活地址集推测出网络资产探测目标IP地址集合，通过分析日志获得网络中存活且处于活动状态的地址，将所述网络资产探测目标IP地址集合和网络中存活且处于活动状态的地址汇总到网络资产探测目标存活地址集包括：分析网络资产探测目标存活地址集中的地址的规律，根据所述分析结果推测出其它可能存活的网络资产探测目标IP地址，以及根据网络资产探测目标存活地址集中的地址作为样本训练出地址存活模型，根据所述地址存活模型进行存活地址的推测；对推测出的地址集合进行存活性扫描探测，得到存活的地址集合；对存活的地址集合进行去重处理，生成网络资产探测目标IP地址集合；所述日志包括DPI日志、DNS日志和安全设备告警日志。
[0010]进一步地，所述方法还包括：获取网络资产探测目标存活地址集的网络资产特征数据，所述网络资产特征数据包括网站响应头部数据、网站文件类型、网站异常响应、服务端口、banner数据；根据所述网络资产特征数据提取目标主机的网络资产设备指纹，将所述网络资产设备指纹与网络资产指纹库积进行指纹匹配，识别目标主机的设备类型、设备厂商、设备品牌、设备型号。
[0011]进一步地，所述方法还包括：解析网络资产探测目标存活地址集的目标网络的应用组件信息，所述应用组件信息包括网站响应头部数据、HTML页面、特殊URL、开放的端口、banner；根据所述应用组件信息生成网络资产应用指纹；将所述网络资产应用指纹与网络资产应用指纹库来进行匹配，识别目标主机的Web服务器软件、Web脚本语言、服务类型及相
应版本型号。
[0012]进一步地，将所述网络资产设备指纹与网络资产指纹库积进行指纹匹配包括：采用奇异值分解和有向无环图的方法，先对初始操作系统指纹生成的矩阵进行奇异值分解，并提取奇异值特征，基于有向无环图生成的多类分类器对未知指纹的奇异值特征进行分类。
[0013]本专利技术的有益效果：本专利技术提供的一种网络资产探测方法，通过获取网络资产线索数据，网络资产线索数据包括网络资产探测目标域名集合；通过反向DNS查询手段获取网络资产探测目标域名集合中与域名对应的网络资产探测目标地址信息，生本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络资产探测方法，其特征在于，包括：获取网络资产线索数据，所述网络资产线索数据包括网络资产探测目标域名集合；通过反向DNS查询手段获取网络资产探测目标域名集合中与域名对应的网络资产探测目标地址信息，生成网络资产探测目标地址集；对所述网络资产探测目标地址集中的网络资产探测目标地址信息进行网络路径遍历，以获取网络路径上存活的网络资产探测目标存活地址集；对所述网络资产探测目标存活地址集进行地址浮动偏移，扩充生成对应的网络资产探测目标地址段，对网络资产探测目标地址段进行扫描，探测网络资产探测目标地址段临近的地址存活情况，将探测结果汇总到网络资产探测目标存活地址集；通过学习编址规则或通过已知的编址规则，基于所述网络资产探测目标存活地址集推测出网络资产探测目标IP地址集合，通过分析日志获得网络中存活且处于活动状态的地址，将所述网络资产探测目标IP地址集合和网络中存活且处于活动状态的地址汇总到网络资产探测目标存活地址集；其中，所述网络资产线索数据还包括IP信息、端口信息、漏洞信息、Whois数据，获取网络资产线索数据的同时针对应用协议进行二次采集，采集网站携带的favicon.ico文件后进行Hash运算存储，利用ico数据寻找同类型网站；对网络资产线索数据进行处理，通过数据格式验证、报文验证对网络资产线索数据进行初步筛选，以确保网络资产线索数据在传输过程中被分片后能够重新在本地组合，对网络资产线索数据中的数据报文过载进行过滤，对网络资产线索数据中的非可见字符集进行有效编码，对网络资产线索数据的返回报文中的版本号进行验证，将处理后的网络资产线索数据进行格式化统一。2.根据权利要求1所述的一种网络资产探测方法，其特征在于，通过反向DNS查询手段获取网络资产探测目标域名集合中与域名对应的网络资产探测目标地址信息，生成网络资产探测目标地址集包括：通过域名查询工具或指令对网络资产探测目标域名集合中的域名网址进行域名反查，得到初步的网络资产探测目标地址信息；通过域名查询工具或指令中指定DNS服务器参数的功能，指定多个不同服务商或地区的DNS服务器，再次进行域名反查域名网址，对多次查询的结果去重，获取到进一步的网络资产探测目标地址信息。3.根据权利要求2所述的一种网络资产探测方法，其特征在于，对所述网络资产探测目标地址集中的网络资产探测目标地址信息进行网络路径遍历，以获取网络路径上存活的网络资产探测目标存活地址集包括：对网络资产探测目标地址集中的每一个网络资产探测目标地址信息进行路由路径遍历操作，获取返回记录并分析提取其中的每一条具体的网络资产探测目标地址信息，对所述网络资产探测目标地址信息进行去重，汇总到网络资产探测目标存活地址集。4.根据权利要求3所述的一种网络资产探测方法，其特...

【专利技术属性】
技术研发人员：刘山林，秦笑天，王男，左瑞山，
申请(专利权)人：山东林天信息科技有限责任公司，
类型：发明
国别省市：