一种基于攻击者视角的外部攻击面管理方法及系统技术方案

本发明专利技术公开了一种基于攻击者视角的外部攻击面管理方法及系统，涉及网络安全技术领域，方法包括：收集预设区域内的IP地址和全量域名数据，进行资产全端口扫描，对资产进行指纹识别得到指纹信息；以漏洞数据库对指纹信息进行碰撞对比，分析疑似漏洞，通过POC验证，得到网络空间漏洞；利用预设风险检查规则库进行风险检查，得到资产风险；构建映射的网络空间与社会空间和地理空间，形成网络空间地图；利用可视化工具，绘制并展示网络空间漏洞和资产风险。通过本发明专利技术的技术方案，解决了传统漏洞扫描工具对区域进行大面积漏扫的难题，提升了针对区域攻击面管理的效率，降低了潜在攻击的风险，以提供全面的网络安全评估和管理解决方案。案。案。

【技术实现步骤摘要】
一种基于攻击者视角的外部攻击面管理方法及系统


[0001]本专利技术涉及网络安全
，尤其涉及一种基于攻击者视角的外部攻击面管理方法以及一种基于攻击者视角的外部攻击面管理系统。

技术介绍

[0002]随着计算机网络的快速发展和普及，网络安全威胁也日益严重。黑客、病毒、僵尸网络等恶意攻击手段层出不穷，给企业和个人的信息安全带来了严重的挑战。传统的网络安全防御方法主要侧重于固定规则和模式的防护，往往只能应对已知的攻击手段，对于新型的、未知的攻击方式容易无法检测和防范，这导致了网络安全防御的盲区和薄弱环节的存在。对于大型网络环境中存在的漏洞进行全面扫描和管理是一项复杂且耗时的任务。为了更好地了解网络的攻击面和潜在的风险，从攻击者的角度来评估和管理网络风险显得尤为重要。攻击者具备各种攻击手段和策略，其行为模式和攻击路径可以为网络管理员提供重要的参考和思路。
[0003]传统的网络安全防御方法主要基于固定的规则和模式，往往只能识别和阻止已知的攻击手段。这导致对于新型、未知的攻击方式无法进行及时的检测和防范，使网络容易受到新型攻击的威胁。传统的漏洞扫描工具虽然能够检测到网络中存在的一些已知漏洞，但缺乏全面的安全评估和漏洞修复的指导。这导致网络管理员在修复漏洞时缺乏指导和优先级的判断，无法高效地进行漏洞管理。传统方法在评估网络安全时常常局限于特定的漏洞或攻击点，无法提供全面的攻击面评估。这导致网络管理员难以了解网络中的整体安全状况，无法准确识别潜在的攻击路径和风险。在网络安全领域，对攻击者的行为和策略缺乏全面的了解和参考，这使得网络管理员在制定安全策略和防御措施时缺乏相关的指导，缺乏对攻击者行为模型的考虑，容易导致防御策略的不完善和漏洞的遗漏。

技术实现思路

[0004]针对上述问题，本专利技术提供了一种基于攻击者视角的外部攻击面管理方法及系统，通过综合考虑攻击者的行为模式和攻击路径，模拟攻击者的行为和策略，通过疑似漏洞分析结合漏洞扫描的策略，解决了传统漏洞扫描工具对区域进行大面积漏扫的难题，通过基于风险检查规则库进行的风险检查，能够识别潜在的攻击路径、漏洞和风险，从而了解网络的整体安全状况和风险，提升了针对区域攻击面管理的效率，以降低潜在攻击的风险，保护重要信息和资产，并通过可视化工具展示一定区域内的网络空间漏洞和资产风险，从攻击者的角度来评估和管理网络的外部攻击面，以提供全面的网络安全评估和管理解决方案。
[0005]为实现上述目的，本专利技术提供了一种基于攻击者视角的外部攻击面管理方法，包括：收集预设区域内的IP地址和全量域名数据，并对所述IP地址和所述域名数据进行全端口扫描；
将扫描识别到的资产汇总得到所述预设区域的资产数据集，对所述资产数据集中的资产进行指纹识别，得到所述资产的指纹信息；在预设的漏洞数据库中对所述资产的指纹信息进行碰撞对比，分析每个资产中的疑似漏洞；利用漏洞扫描引擎对所述疑似漏洞进行POC验证，得到所述预设区域内资产中的网络空间漏洞；利用预设风险检查规则库中的规则比对方法对所述资产进行风险检查，得到所述预设区域的资产风险；以网络空间地理学为基础，构建网络空间与社会空间和地理空间的映射关系，形成所述预设区域的网络空间地图；利用可视化工具，在所述网络空间地图中绘制并展示对应所述预设区域的网络空间漏洞和资产风险。
[0006]在上述技术方案中，优选地，基于攻击者视角的外部攻击面管理方法还包括：在预设的威胁情报库中对所述预设区域的IP地址和域名数据进行查询，判断所述IP地址或所述域名数据是否为威胁情报；利用所述可视化工具，在所述网络空间地图中绘制并展示对应所述预设区域的威胁情报。
[0007]在上述技术方案中，优选地，基于攻击者视角的外部攻击面管理方法还包括：根据风险检查结果，并基于CVSS通用弱点评价体系，利用风险评估模型综合不同评估维度对所述资产进行风险评分；其中，所述风险评估模型所基于的评估维度包括扫描风险、渗透风险、网站安全、网络安全、品牌和声誉风险、网络钓鱼和恶意软件风险、电子邮件安全、渗透风险和问卷风险；其中，在所述CVSS通用弱点评价体系下，针对所述资产中不同评估维度是否存在漏洞以及漏洞的风险等级，在0
‑
10的量度之间确定所述资产在对应评估维度的CVSS评分。
[0008]在上述技术方案中，优选地，基于攻击者视角的外部攻击面管理方法还包括：针对所述预设区域内资产的风险，依据预定义的风险优先级标准的评价指标，对不同风险的评价指标分别赋予对应的权重；基于各评价指标的量化得分和权重，计算对应风险的优先级评分；根据所有风险的优先级评分，确定每种风险的优先级；按照优先级的排序，对所述预设区域内资产的风险进行分级处理。
[0009]在上述技术方案中，优选地，进行全端口扫描的端口扫描技术包括TCP连接扫描、SYN扫描、NULL扫描、FIN扫描、XMAS扫描、UDP扫描、IDLE扫描和SCTP扫描；进行指纹识别的指纹识别方式包括比对特定文件的MD5、检测正常页面或错误网页中包含的关键字、请求头信息的关键字匹配和部分URL中包含的关键字；进行碰撞对比的分析工具为spark分布式计算引擎。
[0010]在上述技术方案中，优选地，所述预设风险检查规则库中的风险检查项包括但不限于SSL不可用、不支持HTTPS重定向、SSL将在20天内到期、弱SSL算法、支持不安全的SSL/TLS版本、已吊销的证书正在使用中、HTTP不重定向到HTTPS、未强制执行HTTP严格传输安
全、HSTS标头不包含includeSubDomains、在HSTS预加载列表中找不到域、未使用安全cookie、标头暴露使用ASP.NET、标头暴露特定ASP.NET版本、未使用HttpOnlycookie、已启用WordPress XML
‑
RPC API、WordPress版本曝光、WordPress用户列表暴露、域名即将到期、域名已过期、未启用域注册商转移保护、未启用域注册商删除保护、域标记为非活动、域名注册局DNS保留、域名注册商DNS保留、注册局阻止域名续订、疑似恶意软件提供商、SPF语法错误、标头暴露X
‑
Powered
‑
By、标头暴露Server信息、主机名与SSL证书不匹配、未启用DNSSEC以及未找到DMARC策略。
[0011]本专利技术还提出一种基于攻击者视角的外部攻击面管理系统，应用如上述技术方案中任一项公开的基于攻击者视角的外部攻击面管理方法，包括：资产扫描模块，用于收集预设区域内的IP地址和全量域名数据，并对所述IP地址和所述域名数据进行全端口扫描；指纹识别模块，用于将扫描识别到的资产汇总得到所述预设区域的资产数据集，对所述资产数据集中的资产进行指纹识别，得到所述资产的指纹信息；疑似分析模块，用于在预设的漏洞数据库中对所述资产的指纹信息进行碰撞对比，分析每个资产中的疑似漏洞；漏洞验证模块，用于利用漏洞扫描引擎对所述疑似漏洞进行POC验证，得到所述预设区域内资产中的网络空间漏洞；风险检查模块，用于利用预设风本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于攻击者视角的外部攻击面管理方法，其特征在于，包括：收集预设区域内的IP地址和全量域名数据，并对所述IP地址和所述域名数据进行全端口扫描；将扫描识别到的资产汇总得到所述预设区域的资产数据集，对所述资产数据集中的资产进行指纹识别，得到所述资产的指纹信息；在预设的漏洞数据库中对所述资产的指纹信息进行碰撞对比，分析每个资产中的疑似漏洞；利用漏洞扫描引擎对所述疑似漏洞进行POC验证，得到所述预设区域内资产中的网络空间漏洞；利用预设风险检查规则库中的规则比对方法对所述资产进行风险检查，得到所述预设区域的资产风险；以网络空间地理学为基础，构建网络空间与社会空间和地理空间的映射关系，形成所述预设区域的网络空间地图；利用可视化工具，在所述网络空间地图中绘制并展示对应所述预设区域的网络空间漏洞和资产风险。2.根据权利要求1所述的基于攻击者视角的外部攻击面管理方法，其特征在于，还包括：在预设的威胁情报库中对所述预设区域的IP地址和域名数据进行查询，判断所述IP地址或所述域名数据是否为威胁情报；利用所述可视化工具，在所述网络空间地图中绘制并展示对应所述预设区域的威胁情报。3.根据权利要求1或2所述的基于攻击者视角的外部攻击面管理方法，其特征在于，还包括：根据风险检查结果，并基于CVSS通用弱点评价体系，利用风险评估模型综合不同评估维度对所述资产进行风险评分；其中，所述风险评估模型所基于的评估维度包括扫描风险、渗透风险、网站安全、网络安全、品牌和声誉风险、网络钓鱼和恶意软件风险、电子邮件安全、渗透风险和问卷风险；其中，在所述CVSS通用弱点评价体系下，针对所述资产中不同评估维度是否存在漏洞以及漏洞的风险等级，在0
‑
10的量度之间确定所述资产在对应评估维度的CVSS评分。4.根据权利要求3所述的基于攻击者视角的外部攻击面管理方法，其特征在于，还包括：针对所述预设区域内资产的风险，依据预定义的风险优先级标准的评价指标，对不同风险的评价指标分别赋予对应的权重；基于各评价指标的量化得分和权重，计算对应风险的优先级评分；根据所有风险的优先级评分，确定每种风险的优先级；按照优先级的排序，对所述预设区域内资产的风险进行分级处理。5.根据权利要求4所述的基于攻击者视角的外部攻击面管理方法，其特征在于，进行全端口扫描的端口扫描技术包括TCP连接扫描、SYN扫描、NULL扫描、FIN扫描、XMAS扫描、UDP扫描、IDLE扫描和SCTP扫描；进行指纹识别的指纹识别方式包括比对特定文件的MD5、检测正
常页面或错误网页中包含的关键字、请求头信息的关键字匹配和部分URL中包含的关键字；进行碰撞对比的分析工具为spark分布式计算引擎。6.根据权利要求3所述的基于攻击者视角的外部攻击面管理方法，其特征在于，所述预设风险检查规则库中的风险检查项包括但不限于SSL不可用、不支持HTTPS重定向、SSL将在20天内到期、弱SSL算法、支持不安全的SSL/TLS版本、已吊销的证书正在使用中、HTTP不重定向到HTTPS、未强制执行HTTP严格传输安全、HSTS标头不包含includeSubDomains、在HSTS预加载列表中找不到域、未使用安全cookie、标头暴露使用ASP.NET、标头暴露特...

【专利技术属性】
技术研发人员：王建国，王德民，田鑫程，王建龙，郭飞，李可，
申请(专利权)人：北京天云海数技术有限公司，
类型：发明
国别省市：