一种网络空间测绘节点发现与归属判别方法和装置制造方法及图纸

本发明专利技术提出一种网络空间测绘节点发现与归属判别方法和装置，属于网络空间测绘技术领域。本发明专利技术通过在全球多个地区配置并部署不同的扫描流量感知节点，实现扫描流量的实时收集，并将扫描流量转存到本地数据库进行结构化存储，然后区分有域名测绘节点和匿名测绘节点两类分别进行测绘节点发现，综合利用rDNS数据库、WHOIS信息、网络空间搜索引擎资产入库时间戳比对等手段，快速发现测绘节点的IP地址，最后进行不同测绘平台的测绘行为分析并进行可视化呈现。视化呈现。视化呈现。

【技术实现步骤摘要】
一种网络空间测绘节点发现与归属判别方法和装置


[0001]本专利技术属于网络空间测绘
，尤其涉及一种网络空间测绘节点发现与归属判别方法和装置。

技术介绍

[0002]（1）网络空间资源探测网络空间资源探测技术根据探测的方式分为主动探测和被动探测：主动探测通过向目标发送探测数据包，然后分析目标响应的数据包内容和规律来识别目标，探测包针对特定的协议或者目标主机上的应用程序；被动探测通常不向目标系统发送任何数据包，而是通过各种网络流量获取或抓包工具来收集流经网络的数据报文，再从这些报文里得到目标设备的信息。
[0003]现有网络资源探测技术按照发送探测包之后是否记录连接状态，又可分为传统网络探测技术和无状态探测技术。相比于传统网络探测技术，无状态探测技术不记录连接状态，不重新发送探测数据包，占用内存和CPU资源很小，速度要快得多。
[0004]（2）网络空间测绘网络空间测绘是指以网络空间为对象，以计算机科学、网络科学、测绘科学为基础，通过网络探测、采集、分析、处理和展示等手段，获得全球网络空间的节点分布情况、网络关系索引、实体资源和虚拟资源在网络空间的位置、属性和拓扑结构,基于地理信息和逻辑关系进行图形绘制，构建全球互联网图谱，并据此进行空间分析与应用的理论与技术。
[0005]网络空间测绘平台通过主动探测技术，针对全网目标进行端口扫描，并将协议识别结果处理后进行展示，用户可通过网络空间搜索引擎对特定类型的网络资产进行检索。这极大增加了普通终端设备的安全漏洞被攻击者发现的可能性，提高了其安全风险。目前国内外主流的网络空间测绘平台主要有Shodan、Censys、Zoomeye、Fofa和360QUAKE等，这些平台均通过各自部署的测绘节点在全球范围内开展网络资产扫描。
[0006]网络空间测绘为网络空间安全提供重要的基础性资源，一方面能够摸清对方暴露在互联网上的各类型资源，分析其多维度属性信息并生成资源画像，判断其重要程度和可利用性，另一方面也能够梳理己方的重要网络资源，进行全谱安全性分析。而己方的重要目标一旦被测绘平台扫描，就会被获取并分析出目标相关的关键信息，并记录在测绘平台中，以公开或者非公开的形式被检索和查阅。被扫描即意味着信息的泄露，意味着在互联网中就存在被攻击的安全隐患。由于采用主动探测技术，网络空间测绘节点通常会主动向目标发送数据包，进而在目标主机的网络连接日志中留下痕迹。但来自网络空间测绘平台的扫描通常连接时间短，只占用目标主机极少量的资源，比起大规模的SSH爆破等网络攻击行为的流量，很难引起网络管理员的注意。因此，从网络数据流量中识别来自网络空间测绘平台的节点并判别其归属，对于防御测绘平台扫描，避免资产广泛暴露在互联网上具有重要意义和实践价值，但目前业界还缺乏针对此类问题的深入研究。
[0007]目前，与网络空间测绘节点发现和归属判别没有太多直接相关的论文或专利，从
技术层面来看，其主要与网络背景流量分类相近。网络背景流量分类主要用于识别和分类网络应用及其对应的流量。传统的流量分类方法一般包含三种：基于端口的识别分类、基于深度包检测的识别分类和基于行为模式的识别分类，但在当前网络环境下，传统方法都存在一定实际问题，因此目前常采用基于流量统计特征的机器学习技术进行流量分类。
[0008]多种机器学习的经典算法已经被用于流量分类的研究，如SVM、神经网络、K近邻和聚类算法等。（1）不少研究者采用SVM构建高效的流量识别模型，将SVM应用在流量识别系统中，研究出了异常流量识别系统(ATIS)，可以对多种攻击流量应用进行分类和识别。通过对大规模样本集上流量分类实验的分析比较，可以减少样本分布的影响，提高计算速度和网络流量分类的准确性，同时还具有很好的泛化能力。（2）通过贝叶斯神经网络的方法对数据集进行流量识别，可以极大提高识别精度。使用卷积神经网络方法将原始流量数据作为图像，使用CNN进行图像分类，实现了针对恶意流量的分类。（3）K最近邻分类模型在流量识别研究中也很受欢迎。使用快速正交搜索算法从数据导出的大量特征中选择具有区分能力的特征子集，然后使用KNN分类器和FOS选择的特征对网络流量进行分类。（4）半监督方法主要是使用聚类算法进行网络流量的识别与分类，该算法已被用于将流量集中到下载、上传、调用、浏览、视频流、实时流或交互通信，独立于用于执行这些任务的特定网络协议。另外，扩大卷积核的作用域和特征点的感受野可确保全局信息不被遗漏，能够显著提升分类效果。基于知识蒸馏的深度神经网络模型的流量分类方法使用深度神经网络作为用于流量分类的教师网络模型，可以进一步减少流量分类模型的存储和计算成本。
[0009]综上所述，目前的网络背景流量分类与识别技术通常只针对Web访问流量、邮件流量、网络服务流量、数据库流量和网络攻击流量等，尚未关注到网络空间测绘流量。网络安全人员对网络空间测绘节点的发现也进行了初步尝试，但基本停留在人工分析流量和节点域名上，效率低下且只能发现极少量节点IP。整体来说，目前针对网络空间测绘节点的分辨还缺乏有效手段。

技术实现思路

[0010]本专利技术提出一种网络空间测绘节点发现与归属判别方案，旨在解决网络管理员难以发现并防御来自网络空间测绘节点的扫描连接问题，通过提供测绘节点列表，可以降低己方重要目标被扫描的概率，从而降低因资产暴露而带来的风险。
[0011]本专利技术第一方面提出一种网络空间测绘节点发现与归属判别方法。所述方法包括：步骤S1、监听预先部署的各个感知节点处的流量，以获取感知节点流量，从所述感知节点流量中提取出网络空间测绘流量，并确定与所述网络空间测绘流量对应的网络空间测绘节点的IP地址信息；步骤S2、通过对所述IP地址信息进行WHOIS查询和反向DNS查询确定所述网络空间测绘节点的匿名属性，基于所述匿名属性对所述网络空间测绘节点进行溯源，以获取其他网络空间测绘节点；步骤S3、对由所述网络空间测绘节点和所述其他网络空间测绘节点组成的全部网络空间测绘节点进行行为分析，基于行为分析结果确定全部网络空间测绘节点的地理位置信息，并进行可视化展示。
[0012]根据本专利技术第一方面的方法，在所述步骤S1中：从所述感知节点流量中过滤掉正常访问流量和节点管理流量，并进一步提取出包含以下字段的流量信息：感知节点编号、本地IP、本地端口、远程IP、远程端口、传输层协议、应用层协议、时间戳和报文有效载荷；将标
准测绘流量的行为特征与包含所述字段的流量信息进行比对，以确定所述网络空间测绘流量，并进一步获取与所述网络空间测绘流量对应的所述网络空间测绘节点的所述IP地址信息。
[0013]根据本专利技术第一方面的方法，在所述步骤S2中，对所述IP地址信息进行所述WHOIS查询和所述反向DNS查询，其中：如果WHOIS查询结果中的组织结构非网络运营商或云服务提供商，则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点；如果反向DNS查询结果中的域名包含网络空间测绘平台的名称或包含扫描相关词汇及节点编号，则判定当前IP地址信息对应的网络空间测绘节本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络空间测绘节点发现与归属判别方法，其特征在于，所述方法包括：步骤S1、监听预先部署的各个感知节点处的流量，以获取感知节点流量，从所述感知节点流量中提取出网络空间测绘流量，并确定与所述网络空间测绘流量对应的网络空间测绘节点的IP地址信息；步骤S2、通过对所述IP地址信息进行WHOIS查询和反向DNS查询确定所述网络空间测绘节点的匿名属性，基于所述匿名属性对所述网络空间测绘节点进行溯源，以获取其他网络空间测绘节点；步骤S3、对由所述网络空间测绘节点和所述其他网络空间测绘节点组成的全部网络空间测绘节点进行行为分析，基于行为分析结果确定全部网络空间测绘节点的地理位置信息，并进行可视化展示。2.根据权利要求1所述的一种网络空间测绘节点发现与归属判别方法，其特征在于，在所述步骤S1中：从所述感知节点流量中过滤掉正常访问流量和节点管理流量，并进一步提取出包含以下字段的流量信息：感知节点编号、本地IP、本地端口、远程IP、远程端口、传输层协议、应用层协议、时间戳和报文有效载荷；将标准测绘流量的行为特征与包含所述字段的流量信息进行比对，以确定所述网络空间测绘流量，并进一步获取与所述网络空间测绘流量对应的所述网络空间测绘节点的所述IP地址信息。3.根据权利要求2所述的一种网络空间测绘节点发现与归属判别方法，其特征在于，在所述步骤S2中，对所述IP地址信息进行所述WHOIS查询和所述反向DNS查询，其中：如果WHOIS查询结果中的组织结构非网络运营商或云服务提供商，则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点；如果反向DNS查询结果中的域名包含网络空间测绘平台的名称或包含扫描相关词汇及节点编号，则判定当前IP地址信息对应的网络空间测绘节点为非匿名节点；反之，如果WHOIS查询结果未指向任何组织结构，以及如果反向DNS查询不存在结果或得到的域名无特殊含义时，则当前IP地址信息对应的网络空间测绘节点为匿名节点。4.根据权利要求3所述的一种网络空间测绘节点发现与归属判别方法，其特征在于，在所述步骤S2中：对所述非匿名节点进行溯源包括：通过WHOIS查询结果判定为所述非匿名节点的IP，其归属为查询结果中的组织机构；通过反向DNS查询结果判定为所述非匿名节点的IP，其归属为二级域名中存在的组织机构；当所述非匿名节点满足反向DNS查询判定为非匿名节点的条件时，从其域名中提取出域名通用模式，利用反向DNS查询和fDNS查询获取与所述组织机构相关联的其他网络空间测绘节点IP，形成属于所述组织机构的全部网络空间测绘节点的IP地址列表；对所述匿名节点进行溯源包括：在网络空间资产搜索引擎中搜索各个感知节点的IP，并记录每条搜索结果对应的所述感知节点的IP、搜索引擎、端口号和对应的时间戳，所述对应的时间戳包括所述网络空间资产搜索引擎标注的资产入库时间戳和资产Banner信息时间戳；
针对记录的每条搜索结果，在所述感知节点流量中过滤具有相同端口号和处于最近时间间隔的数据包；如果过滤结果中有且只有一个远程IP连接请求，则判定当前匿名节点为所述网络空间资产搜索引擎的测绘节点；如果过滤结果中有多个远程IP连接请求，则进一步根据所述最近时间间隔以外的其他时间间隔的满足条件的数据包进行判别。5.一种网络空间测绘节点发现与归属判别装置，其特征在于，所述装置包括：第一处理单元，被配置为：监听预先部署的各个感知节点处的流量，以获取感知节点流量，从所述感知节点流量中提取出网络空间测绘流量，并确定与所述网络空间测绘流量对应的网络空间测绘节点的IP地址信息；第二处理单...

【专利技术属性】
技术研发人员：薛鹏飞，钟瑶，施凡，许成喜，胡淼，沈毅，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：