一种局域网的互联网暴露面获取方法及装置制造方法及图纸

本申请实施例提供一种局域网的互联网暴露面获取方法及装置，涉及网络安全技术领域。该方法包括在局域网边界对流量进行识别，获得已暴露面信息；基于边界访问控制信息和局域网边界NAT信息获取潜在风险暴露面信息；基于所述已暴露面信息和所述潜在风险暴露面信息获取互联网暴露面信息。该方法无需使用漏扫技术即可确定互联网暴露面，解决了使用漏扫技术将占用网络资源从而增加网络负担的问题。占用网络资源从而增加网络负担的问题。占用网络资源从而增加网络负担的问题。

【技术实现步骤摘要】
一种局域网的互联网暴露面获取方法及装置


[0001]本申请涉及网络安全
，具体而言，涉及一种局域网的互联网暴露面获取方法及装置。

技术介绍

[0002]当前随着网络攻击越来越多，大部分网络都做了相关网络防护。发起攻击前攻击者通常会探测局域网的互联网暴露面，对互联网暴露面进行针对性攻击。因此，安全人员获取互联网暴露面信息能够针对攻击面进行有效防护。现阶段通常使用漏扫技术探测局域网的互联网暴露面，但是很多局域网会探测漏扫行为并阻断该行为，导致无法使用漏扫技术进行探测，并且该方法将占用网络资源，从而增加网络负担。

技术实现思路

[0003]本申请实施例的目的在于提供一种局域网的互联网暴露面获取方法及装置，无需使用漏扫技术即可确定互联网暴露面，解决了使用漏扫技术将占用网络资源从而增加网络负担的问题。
[0004]本申请实施例提供了一种局域网的互联网暴露面获取方法，所述方法包括：
[0005]在局域网边界对流量进行识别，获得已暴露面信息；
[0006]基于边界访问控制信息和局域网边界NAT信息获取潜在风险暴露面信息；
[0007]基于所述已暴露面信息和所述潜在风险暴露面信息获取互联网暴露面信息。
[0008]在上述实现过程中，互联网暴露面由潜在风险暴露面和已暴露面组成，已暴露面可通过被动资产流量发现技术对流量进行分析确定；潜在风险暴露面可通过通行性叠加终端安全开放服务分析法获得，无需使用漏扫技术即可确定互联网暴露面，解决了使用漏扫技术将占用网络资源从而增加网络负担的问题。
[0009]进一步地，所述在局域网边界对流量进行识别，获得已暴露面信息，包括：
[0010]若所述流量为非TCP流量，且为外网访问内网流量，则获取内网IP和目的端口号；
[0011]将预先建立的已暴露面信息表的非TCP流量报文标记位置为1。
[0012]在上述实现过程中，已暴露面为已经发生流量通信的对外开放服务，可识别由外网发起的非TCP流量，并在预先建立的已暴露面信息表中标记。
[0013]进一步地，所述在局域网边界对流量进行识别，获得已暴露面信息，包括：
[0014]若所述流量为非TCP流量，且不是外网访问内网流量，判断内网IP对应已暴露面信息表非TCP流量报文标记位是否为1；
[0015]若是，则将已暴露面信息表中的确认暴露标记置为1。
[0016]在上述实现过程中，可通过判断是否已经与局域网内IP完成通信进而判断是否已经暴露，若暴露则在已暴露面信息表中标记。
[0017]进一步地，所述在局域网边界对流量进行识别，获得已暴露面信息，包括：
[0018]若所述流量为TCP流量，则判断所述TCP流量是否完成三次握手；
[0019]若是，则获取所述TCP流量的内网IP和目的端口号；
[0020]将预先建立的已暴露面信息表中的确认暴露标记置为1。
[0021]在上述实现过程中，若完成三次握手，说明已经与局域网内IP完成通信，可在已暴露面信息表中标记。
[0022]进一步地，所述基于边界访问控制信息和局域网边界NAT信息获取潜在风险暴露面信息，包括：
[0023]获取所述边界访问控制信息和所述局域网边界NAT信息的重叠数据；
[0024]基于所述重叠数据获取横向移动可访问信息；
[0025]基于所述重叠数据和所述横向移动可访问信息生成潜在风险暴露面信息。
[0026]在上述实现过程中，对于潜在风险暴露面则采用横向移动探测和边界防护设备通行性叠加终端安全开放服务分析法确定潜在风险暴露面。
[0027]进一步地，所述获取边界访问控制信息和局域网边界NAT信息的重叠数据，包括：
[0028]基于边界安全设备访问控制集获得第一可访问内网IP集和第一开放服务端口集；
[0029]基于局域网边界NAT策略集获得第二可访问内网IP集和第二开放服务端口集；
[0030]获取所述第一可访问内网IP集和所述第二可访问内网IP集的内网IP重叠数据；
[0031]获取所述第一开放服务端口集和所述第二开放服务端口集的开放服务端口重叠数据。
[0032]在上述实现过程中，获取第一开放服务端口集和所述第二开放服务端口集的开放服务端口重叠数据，该重叠数据包含既可以访问互联网，又可以通过NAT访问的所有局域网IP地址。
[0033]进一步地，所述基于所述重叠数据获取横向移动可访问信息，包括：
[0034]基于所述内网IP重叠数据获取可访问的内网IP；
[0035]基于所述开放服务端口重叠数据获取可访问的开放服务端口集。
[0036]在上述实现过程中，通过内网IP重叠数据获取地址可访问的局域网内的IP集和开放服务集。
[0037]本申请实施例还提供一种局域网的互联网暴露面获取装置，所述装置包括：
[0038]已暴露面信息获取模块，用于在局域网边界对流量进行识别，获得已暴露面信息；
[0039]潜在风险暴露面信息获取模块，用于基于边界访问控制信息和局域网边界NAT信息获取潜在风险暴露面信息；
[0040]互联网暴露面信息获取模块，用于基于所述已暴露面信息和所述潜在风险暴露面信息获取互联网暴露面信息。
[0041]在上述实现过程中，互联网暴露面由潜在风险暴露面和已暴露面组成，已暴露面可通过被动资产流量发现技术对流量进行分析确定；潜在风险暴露面可通过通行性叠加终端安全开放服务分析法获得，无需使用漏扫技术即可确定互联网暴露面，解决了使用漏扫技术将占用网络资源从而增加网络负担的问题。
附图说明
[0042]为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看
作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
[0043]图1为本申请实施例提供的一种局域网的互联网暴露面获取方法的流程图；
[0044]图2为本申请实施例提供的已暴露面信息获取流程图；
[0045]图3为本申请实施例提供的非TCP流量报文标记流程图；
[0046]图4为本申请实施例提供的已暴露面信息标记流程图；
[0047]图5为本申请实施例提供的对TCP流量的识别过程流程图；
[0048]图6为本申请实施例提供的潜在风险暴露面信息获取流程图；
[0049]图7为本申请实施例提供的潜在风险暴露面信息生成流程图；
[0050]图8为本申请实施例提供的重叠数据获取流程图；
[0051]图9为本申请实施例提供的横向移动可访问信息的获取流程图；
[0052]图10为本申请实施例提供的一种局域网的互联网暴露面获取装置的结构框图；
[0053]图11为本申请实施例提供的另一种局域网的互联网暴露面获取装本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种局域网的互联网暴露面获取方法，其特征在于，所述方法包括：在局域网边界对流量进行识别，获得已暴露面信息；基于边界访问控制信息和局域网边界NAT信息获取潜在风险暴露面信息；基于所述已暴露面信息和所述潜在风险暴露面信息获取互联网暴露面信息。2.根据权利要求1所述的局域网的互联网暴露面获取方法，其特征在于，所述在局域网边界对流量进行识别，获得已暴露面信息，包括：若所述流量为非TCP流量，且为外网访问内网流量，则获取内网IP和目的端口号；将预先建立的已暴露面信息表的非TCP流量报文标记位置为1。3.根据权利要求2所述的局域网的互联网暴露面获取方法，其特征在于，所述在局域网边界对流量进行识别，获得已暴露面信息，包括：若所述流量为非TCP流量，且不是外网访问内网流量，判断内网IP对应已暴露面信息表非TCP流量报文标记位是否为1；若是，则将已暴露面信息表中的确认暴露标记置为1。4.根据权利要求1所述的局域网的互联网暴露面获取方法，其特征在于，所述在局域网边界对流量进行识别，获得已暴露面信息，包括：若所述流量为TCP流量，则判断所述TCP流量是否完成三次握手；若是，则获取所述TCP流量的内网IP和目的端口号；将预先建立的已暴露面信息表中的确认暴露标记置为1。5.根据权利要求1所述的局域网的互联网暴露面获取方法，其特征在于，所述基于边界访问控制信息和局域网边界NAT信息获取潜在风险暴露面信息，包括：获取所述边界访问控制信息和所述局域网边界NAT信息的重叠数据；基于所述重叠数据获取横向移动可访问信息；基于所述重叠数据和所述横向移动可访问信息生成潜在风险暴露面信息。6.根...

【专利技术属性】
技术研发人员：周强，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：