網絡資產的探測關鍵技術分析

涂偉

（武漢科技大學 湖北省武漢市 430081）

隨著信息化的普及，關鍵信息基礎設施的地位也在不斷提高。為了使信息基礎設施受到網絡攻擊的問題得到解決，要求創建監測預警機制，以此對感知網絡安全態勢群方面監測[1]。但是，現代網絡資產管理的方式落后，系統設備數量多，而且業務系統比較繁瑣。以此，本文利用網絡資產識別平臺感知網絡資產，預警設備的安全風險，對應用系統漏洞進行掃描，實現網絡非法外聯監測，保證網絡的安全性，避免出現網絡風險[2]。

1 網絡資產的情報內涵

1.1 資產情報

網絡安全是一種攻防對抗博弈，全面升級防御技術和攻擊技術。情報是指針對攻擊對手使用的技術、工具等，也就是利用相關的威脅情報發現惡意活動，對攻擊組織和黑客進行定位[3]。

對所有資產信息進行收集，黑客對企業組織資產情況進行全面掌握，從而尋找短板和突破口。資產情報利用攻擊者視角使客戶對自身資產詳細情況分析。也就是說，互聯網資產情報是互聯網攻擊者利用網絡空間測繪技術，對單位組織互聯網資產的暴露信息、威脅信息和漏洞信息進行全面收集，實現互聯網資產情報庫的創建[4]。

1.2 資產暴露情報

資產暴露指的是暴露互聯網資產信息，攻擊者和互聯網都能夠直接進行訪問：

（1）域名。包括域名whois 信息，域名中的全部子域名；

（2）人員。在資產暴露情報中，人員信息為重點，主要包括電子郵箱、賬號等信息。此信息能夠通過社會工程學攻擊、賬號撞庫攻擊等；

（3）IP 信息。包括資產全部IP，每個IP 信息的運營商、綁定域名、開放端口和地理信息等；

（4）服務。包括服務運行協議、應用標題banner和關聯應用系統等。

1.3 資產指紋情報

指的是基于資產暴露信息實現深入探測，對詳細系統、服務、設備等信息，具體包括在線設備、指紋和應用系統指紋等。詳細資產指紋信息能夠對暴露面進行確定，對安全事件影響范圍進行定位，使用針對性的響應措施[5]。

2 網絡資產管理的現狀

2.1 信息不同步

數據中心或者云平臺，存在大量主機、系統，當前數據中心或者云平臺采用：申報-審批機制，這種機制存在很大弊端，即無法對登記后的系統進行有效監管，比如：用戶申報一個虛擬機做FTP 服務器，這個機器有可能被用戶用來做BBS 系統、個人blog 系統，更有可能被作為私服、賭博網站?，F有機制無法對此進行有效管控[6]。

2.2 管理難度大

（1）網站數量眾多，管理成本高；

（2）沒有明確的備案管理系統，工作主要依靠人工，責任劃分不明確；

（3）私搭亂建現象嚴重，不易檢測；

（4）退運的網站，缺乏有效管理手段，常常成為孤島網站。

2.3 缺少風險發現能力

（1）網站或內部業務系統等資產存在弱口令，存在較大風險；

（2）85%以上的攻擊是利用安全漏洞發起，但由于缺乏檢測機制，無法發現下設網站業務系統存在的漏洞風險。

2.4 缺少安全監控機制

（1）監控資產是否存在漏洞；

（2）監控網站頁面內容完整、不被篡改；

（3）監控網站，避免網站掛馬降低客戶滿意度；

（4）監控網站是否具有敏感信息，如果存在敏感信息要根據實際內容實設置告警功能，以量化標準實現網站安全事件嚴重程度的告警，避免出現風險和損失。

2.5 應急響應模式缺失

境外如反攻黑客、ISIS 組織對中國政府類、教育類系統攻擊有恃無恐，在重大時期屢次發生大量安全攻擊事件，造成及其惡劣影響。常常發生此類事件時候，我們應急方法缺失，使得攻擊事件造成的危害不斷蔓延和擴大。

3 網絡資產探測技術的優勢研究

3.1 傳統網絡資產探測

利用網絡資產管理角度分析，網絡資產探測能夠實現軟硬件的升級，全面分析舊版本軟件，通過最新威脅情報啟動響應措施，避免漏洞和威脅的出現。其次，及時發現非法資源，使問題能夠在短時間內處理，降低因為安全問題導致的損失。網絡資產探測能夠使網絡安全監控和威脅態勢感知更加的方便，使入侵檢測系統效率得到提高，還能夠全面分析安全威脅。以自身所掌握的網絡資產情況，從而將不相關的規則去掉，提高檢測效率，對告警信息進行過濾，降低網絡安全管理人員的告警分析壓力，對有效攻擊進行處理。另外，針對新型高級持續攻擊，大規模網絡安全管理人員能夠通過網絡資產探測結果，結合網絡資產、拓撲結構和漏洞等對高危攻擊路徑進行分析，以評估結果使用重點防御與響應對策，使防御針對性得到提高。另外，通過安全滲透測試角度分析，網絡資產探測能夠收集滲透信息，利用網絡資產探測掌握目標主機內的操作系統類型、版本信息、應用程序類型和開放端口。對目標網絡安全情況進行掌握，選擇合適的滲透方法[7]。

3.2 網絡中資產探測的優勢

通過安全風險快速探測軟件和網絡資產識別等技術，能夠及時發現資產，并且對資產進行核查、識別和發現，比如打印機、終端、服務器等設備。對網絡資產常見弱口令進行掃描，實時感知分析設備，預警設備風險。根據網絡資產的類型評估資產安全風險，掃描資產風險漏洞，能夠實現定制化和驗證機制等功能。

3.1.1 自動智能識別核查

利用智能分析歸類算法對網絡資產自動清查，使識別率與可靠性得到提高。對智能核查網絡資產進行自動核查，能夠及時發現運維人員的亂建系統、私搭服務，或者沒有根據規定開啟端口和服務。不需要人工操作，能夠解決人工核查低效與不完整性。

3.1.2 快速風險監測

對于網絡資產的種類、地點等特征，實現風險和漏洞監測算法的優化，對資產會受到的影響進行偵測。

3.1.3 設備風險預警

全面展示漏洞信息和設備信息，利用各種方式實時告警，對風險數據進行管理，實現風險閉環處置、態勢的可視化展示，并且提出針對性的建議[8]。

4 新型網絡資產探測技術

隨著單位業務多樣化的發展，也增加了信息管理系統與支撐平臺，擴大了網絡規模，網絡設備、安全設備等更加的復雜，提高了信息安全管理部門協調的難度。傳統網絡資產探測方法已經無法滿足現實的需求，基于網絡流量分析、網絡掃描與搜索引擎等技術的新型網絡資產探測技術也在不斷發展。以不同的探測基礎數據來源，新型網絡中資產探測技術包括基于搜索引擎、被動和主動三種，圖1 為基本流程。

圖1： 基本流程

4.1 掃描識別技術

4.1.1 網絡資產安全管控

（1）網絡資產發現。網絡資產發現手段為遠程掃描技術，通過發現目標主機和網絡對存貨網絡資產進行判斷，對操作系統進行探測，掃描目標系統端口，查看系統運行狀態與監聽服務器，實現IP 端口網絡資產列表進行創建。其次，可以利用規避技術繞過入侵檢測設備與防火墻，比如在IP 頭設置無效字段值、異常IP 包頭，反向映射探測與超長包探測內部路由器等；

（2）網絡資產脆弱性發現。網絡資產脆弱性包括：借助威脅情報等第三方情況被動發現；基于掃描產品發現。根據掃描目標，主動脆弱性掃描包括基于應用、主機、網絡、安全審計的掃描。其一，基于主機的掃描能夠精準的發現系統的脆弱性，但是在應用過程中會依賴系統的版本，升級復雜；其二，基于網絡掃描是通過腳本文件對網絡系統進行非破壞性的攻擊，確定安全隱患。但是，無法解決網絡檢查先天缺陷等問題，比如傳統掃描不能夠穿過防火墻，也無法將不開機等問題解決；其三，基于安全審計的掃描是利用散列算法計算系統特征信息，比如注冊號、文件屬性等，通過特征一致性檢測系統。不足就是脆弱性發現準確性取決于系統自身基線配置，對于自定義規則設置具有較高的要求；其四，基于應用的掃描檢測應用軟件包安全設置過程中，但是設置合理檢測針對規則規定的客觀性比較高。

被動發現網絡資產脆弱性的方法是利用第三方漏洞采集和公開資產關聯實現的，利用爬蟲方式對公網漏洞信息定期檢測，包括360 漏洞信息、Bugtraq 漏洞信息等。利用關聯所轄資產，以數據庫、系統、中間件等版本信息，從而生成網絡資產漏洞告警信息[9]。

4.1.2 流量分析

流量分析能夠實現被動探測，利用網絡節點的部署探針對數據進行收集，對網絡流量特征進行分析能夠確定流量的來源主機特征。不同操作系統針對TCP/IP 協議棧實現是不同的，能夠以TCP/IP 數據包的指紋特征對操作系統類別進行區分，常見指紋特征包括是否分片、窗口大小、最大報文長度、數據包生存時間等。應用層服務的端口比較固定，能夠利用TCP/IP 數據包端口號實現服務識別，結果準確[10]，表1 為服務和對應端口號。

常用利用分析流量操作系統識別工具包括Network Miner、Satori、Namp、Ettercap 等，Namp 為 了 得 到TCP/IP 指紋信息，能夠發送16 個請求數據包；POF 通過被動收集的TCP 數據包對流量來源主機可能操作系統類型進行分析，精準度比較低。Bai 等人是基于可編程交換機與POf，利用P4 語言實現P40f 工具的開發，提供數據包處理速率比較高的時候也能夠使用操作系統的識別功能。Ettercap 屬于開源項目，能夠對中間人攻擊進行檢測。Satori 對DHCP 協議的Option 字段分析，從而對操作系統進行識別[11]。

4.1.3 搜索引擎

搜索引擎工具包括谷歌、百度等，和此類普通搜索引擎不同，網絡安全搜索引擎能夠對打開端口、主機與服務等進行搜索。另外，還能夠對暴露公網硬件設備進行走索，包括打印機、路由器、網絡攝像頭等。Shodan能夠支持關鍵詞搜索，比如countr：“CN”能夠對中國網絡資產進行搜索。除了利用搜索Shodan 網頁，還能夠注冊并且生成API kry 在編程開發過程中對Shodan 調用的搜索接口[12]。Zolotykh 能夠分析Shodan 的掃描行為，發現使用UDP 協議與TCP 協議的掃描，并且使用大量不同強度的爬蟲實現端口探測、抓取Banner 信息。除了Shodan，常見網絡安全搜索引擎和Zmap 的Censys結合。搜索引擎針對暴露在公網中的網絡資產搜索能力比較強，并且具有較強的隱蔽性，缺點就是無法有效探測內網資產[13]。

4.2 基于TCP存活主機的技術

TCP 協議為可靠傳輸協議，與TCP/IP 協議套件中的各個層能夠允許通過字節流的方式實現數據的發送和接收。為了使客戶機和服務器通過不同速度生成數據，TCP 能夠提供接收與發送的服務。另外，TCP 還提供了全雙工服務，實現數據的雙向流動。通信每一方都設置兩個緩沖器對數據進行發送與接收。TCP 能夠對消息中添加漸進式的確認序列號，告訴接收方對下個字節進行接收。假如在指定時間內沒有接收確認信息，就會再次發送數據包，使TCP 為可靠傳輸層協議。

一般，Ping 掃描利用ICMP Echo 與TCP ACK 請求對目標是否存活進行請求。在目標主機防火墻對此請求阻止時，能夠利用TCP SYN Ping 掃描對目標主機是否在存儲狀態進行掃描。但是，防火墻會丟棄RST包。此時，掃描結果不準確。另外，要求指定一個端口范圍，避免出現此情況[14]。

5 結束語

設備資產識別對網絡安全評估與威脅預警具有重要意義，網絡空間逐漸成為社會生活與國民經濟的主要場所。目前，網絡技術已經成為對國家核心技術進行衡量的主要指標。昂羅資產探測能夠對網絡空間進行認識，對網絡資產探測進行研究能夠使網絡安全事件應急能力進行加強。國內能夠掃描網絡空間IP 地址，實現網絡資源探測，識別每個IP 地址資源。針對國外技術能力，要求突破精準探測等技術。