涂偉

（武漢科技大學 湖北省武漢市 430081）

隨著信息化的普及，關鍵信息基礎設施的地位也在不斷提高。為了使信息基礎設施受到網(wǎng)絡攻擊的問題得到解決，要求創(chuàng)建監(jiān)測預警機制，以此對感知網(wǎng)絡安全態(tài)勢群方面監(jiān)測[1]。但是，現(xiàn)代網(wǎng)絡資產(chǎn)管理的方式落后，系統(tǒng)設備數(shù)量多，而且業(yè)務系統(tǒng)比較繁瑣。以此，本文利用網(wǎng)絡資產(chǎn)識別平臺感知網(wǎng)絡資產(chǎn)，預警設備的安全風險，對應用系統(tǒng)漏洞進行掃描，實現(xiàn)網(wǎng)絡非法外聯(lián)監(jiān)測，保證網(wǎng)絡的安全性，避免出現(xiàn)網(wǎng)絡風險[2]。

1 網(wǎng)絡資產(chǎn)的情報內涵

1.1 資產(chǎn)情報

網(wǎng)絡安全是一種攻防對抗博弈，全面升級防御技術和攻擊技術。情報是指針對攻擊對手使用的技術、工具等，也就是利用相關的威脅情報發(fā)現(xiàn)惡意活動，對攻擊組織和黑客進行定位[3]。

對所有資產(chǎn)信息進行收集，黑客對企業(yè)組織資產(chǎn)情況進行全面掌握，從而尋找短板和突破口。資產(chǎn)情報利用攻擊者視角使客戶對自身資產(chǎn)詳細情況分析。也就是說，互聯(lián)網(wǎng)資產(chǎn)情報是互聯(lián)網(wǎng)攻擊者利用網(wǎng)絡空間測繪技術，對單位組織互聯(lián)網(wǎng)資產(chǎn)的暴露信息、威脅信息和漏洞信息進行全面收集，實現(xiàn)互聯(lián)網(wǎng)資產(chǎn)情報庫的創(chuàng)建[4]。

1.2 資產(chǎn)暴露情報

資產(chǎn)暴露指的是暴露互聯(lián)網(wǎng)資產(chǎn)信息，攻擊者和互聯(lián)網(wǎng)都能夠直接進行訪問：

（1）域名。包括域名whois 信息，域名中的全部子域名；

（2）人員。在資產(chǎn)暴露情報中，人員信息為重點，主要包括電子郵箱、賬號等信息。此信息能夠通過社會工程學攻擊、賬號撞庫攻擊等；

（3）IP 信息。包括資產(chǎn)全部IP，每個IP 信息的運營商、綁定域名、開放端口和地理信息等；

（4）服務。包括服務運行協(xié)議、應用標題banner和關聯(lián)應用系統(tǒng)等。

1.3 資產(chǎn)指紋情報

指的是基于資產(chǎn)暴露信息實現(xiàn)深入探測，對詳細系統(tǒng)、服務、設備等信息，具體包括在線設備、指紋和應用系統(tǒng)指紋等。詳細資產(chǎn)指紋信息能夠對暴露面進行確定，對安全事件影響范圍進行定位，使用針對性的響應措施[5]。

2 網(wǎng)絡資產(chǎn)管理的現(xiàn)狀

2.1 信息不同步

數(shù)據(jù)中心或者云平臺，存在大量主機、系統(tǒng)，當前數(shù)據(jù)中心或者云平臺采用：申報-審批機制，這種機制存在很大弊端，即無法對登記后的系統(tǒng)進行有效監(jiān)管，比如：用戶申報一個虛擬機做FTP 服務器，這個機器有可能被用戶用來做BBS 系統(tǒng)、個人blog 系統(tǒng)，更有可能被作為私服、賭博網(wǎng)站?，F(xiàn)有機制無法對此進行有效管控[6]。

2.2 管理難度大

（1）網(wǎng)站數(shù)量眾多，管理成本高；

（2）沒有明確的備案管理系統(tǒng)，工作主要依靠人工，責任劃分不明確；

（3）私搭亂建現(xiàn)象嚴重，不易檢測；

（4）退運的網(wǎng)站，缺乏有效管理手段，常常成為孤島網(wǎng)站。

2.3 缺少風險發(fā)現(xiàn)能力

（1）網(wǎng)站或內部業(yè)務系統(tǒng)等資產(chǎn)存在弱口令，存在較大風險；

（2）85%以上的攻擊是利用安全漏洞發(fā)起，但由于缺乏檢測機制，無法發(fā)現(xiàn)下設網(wǎng)站業(yè)務系統(tǒng)存在的漏洞風險。

2.4 缺少安全監(jiān)控機制

（1）監(jiān)控資產(chǎn)是否存在漏洞；

（2）監(jiān)控網(wǎng)站頁面內容完整、不被篡改；

（3）監(jiān)控網(wǎng)站，避免網(wǎng)站掛馬降低客戶滿意度；

（4）監(jiān)控網(wǎng)站是否具有敏感信息，如果存在敏感信息要根據(jù)實際內容實設置告警功能，以量化標準實現(xiàn)網(wǎng)站安全事件嚴重程度的告警，避免出現(xiàn)風險和損失。

2.5 應急響應模式缺失

境外如反攻黑客、ISIS 組織對中國政府類、教育類系統(tǒng)攻擊有恃無恐，在重大時期屢次發(fā)生大量安全攻擊事件，造成及其惡劣影響。常常發(fā)生此類事件時候，我們應急方法缺失，使得攻擊事件造成的危害不斷蔓延和擴大。

3 網(wǎng)絡資產(chǎn)探測技術的優(yōu)勢研究

3.1 傳統(tǒng)網(wǎng)絡資產(chǎn)探測

利用網(wǎng)絡資產(chǎn)管理角度分析，網(wǎng)絡資產(chǎn)探測能夠實現(xiàn)軟硬件的升級，全面分析舊版本軟件，通過最新威脅情報啟動響應措施，避免漏洞和威脅的出現(xiàn)。其次，及時發(fā)現(xiàn)非法資源，使問題能夠在短時間內處理，降低因為安全問題導致的損失。網(wǎng)絡資產(chǎn)探測能夠使網(wǎng)絡安全監(jiān)控和威脅態(tài)勢感知更加的方便，使入侵檢測系統(tǒng)效率得到提高，還能夠全面分析安全威脅。以自身所掌握的網(wǎng)絡資產(chǎn)情況，從而將不相關的規(guī)則去掉，提高檢測效率，對告警信息進行過濾，降低網(wǎng)絡安全管理人員的告警分析壓力，對有效攻擊進行處理。另外，針對新型高級持續(xù)攻擊，大規(guī)模網(wǎng)絡安全管理人員能夠通過網(wǎng)絡資產(chǎn)探測結果，結合網(wǎng)絡資產(chǎn)、拓撲結構和漏洞等對高危攻擊路徑進行分析，以評估結果使用重點防御與響應對策，使防御針對性得到提高。另外，通過安全滲透測試角度分析，網(wǎng)絡資產(chǎn)探測能夠收集滲透信息，利用網(wǎng)絡資產(chǎn)探測掌握目標主機內的操作系統(tǒng)類型、版本信息、應用程序類型和開放端口。對目標網(wǎng)絡安全情況進行掌握，選擇合適的滲透方法[7]。

3.2 網(wǎng)絡中資產(chǎn)探測的優(yōu)勢

通過安全風險快速探測軟件和網(wǎng)絡資產(chǎn)識別等技術，能夠及時發(fā)現(xiàn)資產(chǎn)，并且對資產(chǎn)進行核查、識別和發(fā)現(xiàn)，比如打印機、終端、服務器等設備。對網(wǎng)絡資產(chǎn)常見弱口令進行掃描，實時感知分析設備，預警設備風險。根據(jù)網(wǎng)絡資產(chǎn)的類型評估資產(chǎn)安全風險，掃描資產(chǎn)風險漏洞，能夠實現(xiàn)定制化和驗證機制等功能。

3.1.1 自動智能識別核查

利用智能分析歸類算法對網(wǎng)絡資產(chǎn)自動清查，使識別率與可靠性得到提高。對智能核查網(wǎng)絡資產(chǎn)進行自動核查，能夠及時發(fā)現(xiàn)運維人員的亂建系統(tǒng)、私搭服務，或者沒有根據(jù)規(guī)定開啟端口和服務。不需要人工操作，能夠解決人工核查低效與不完整性。

3.1.2 快速風險監(jiān)測

對于網(wǎng)絡資產(chǎn)的種類、地點等特征，實現(xiàn)風險和漏洞監(jiān)測算法的優(yōu)化，對資產(chǎn)會受到的影響進行偵測。

3.1.3 設備風險預警

全面展示漏洞信息和設備信息，利用各種方式實時告警，對風險數(shù)據(jù)進行管理，實現(xiàn)風險閉環(huán)處置、態(tài)勢的可視化展示，并且提出針對性的建議[8]。

4 新型網(wǎng)絡資產(chǎn)探測技術

隨著單位業(yè)務多樣化的發(fā)展，也增加了信息管理系統(tǒng)與支撐平臺，擴大了網(wǎng)絡規(guī)模，網(wǎng)絡設備、安全設備等更加的復雜，提高了信息安全管理部門協(xié)調的難度。傳統(tǒng)網(wǎng)絡資產(chǎn)探測方法已經(jīng)無法滿足現(xiàn)實的需求，基于網(wǎng)絡流量分析、網(wǎng)絡掃描與搜索引擎等技術的新型網(wǎng)絡資產(chǎn)探測技術也在不斷發(fā)展。以不同的探測基礎數(shù)據(jù)來源，新型網(wǎng)絡中資產(chǎn)探測技術包括基于搜索引擎、被動和主動三種，圖1 為基本流程。

圖1： 基本流程

4.1 掃描識別技術

4.1.1 網(wǎng)絡資產(chǎn)安全管控

（1）網(wǎng)絡資產(chǎn)發(fā)現(xiàn)。網(wǎng)絡資產(chǎn)發(fā)現(xiàn)手段為遠程掃描技術，通過發(fā)現(xiàn)目標主機和網(wǎng)絡對存貨網(wǎng)絡資產(chǎn)進行判斷，對操作系統(tǒng)進行探測，掃描目標系統(tǒng)端口，查看系統(tǒng)運行狀態(tài)與監(jiān)聽服務器，實現(xiàn)IP 端口網(wǎng)絡資產(chǎn)列表進行創(chuàng)建。其次，可以利用規(guī)避技術繞過入侵檢測設備與防火墻，比如在IP 頭設置無效字段值、異常IP 包頭，反向映射探測與超長包探測內部路由器等；

（2）網(wǎng)絡資產(chǎn)脆弱性發(fā)現(xiàn)。網(wǎng)絡資產(chǎn)脆弱性包括：借助威脅情報等第三方情況被動發(fā)現(xiàn)；基于掃描產(chǎn)品發(fā)現(xiàn)。根據(jù)掃描目標，主動脆弱性掃描包括基于應用、主機、網(wǎng)絡、安全審計的掃描。其一，基于主機的掃描能夠精準的發(fā)現(xiàn)系統(tǒng)的脆弱性，但是在應用過程中會依賴系統(tǒng)的版本，升級復雜；其二，基于網(wǎng)絡掃描是通過腳本文件對網(wǎng)絡系統(tǒng)進行非破壞性的攻擊，確定安全隱患。但是，無法解決網(wǎng)絡檢查先天缺陷等問題，比如傳統(tǒng)掃描不能夠穿過防火墻，也無法將不開機等問題解決；其三，基于安全審計的掃描是利用散列算法計算系統(tǒng)特征信息，比如注冊號、文件屬性等，通過特征一致性檢測系統(tǒng)。不足就是脆弱性發(fā)現(xiàn)準確性取決于系統(tǒng)自身基線配置，對于自定義規(guī)則設置具有較高的要求；其四，基于應用的掃描檢測應用軟件包安全設置過程中，但是設置合理檢測針對規(guī)則規(guī)定的客觀性比較高。

被動發(fā)現(xiàn)網(wǎng)絡資產(chǎn)脆弱性的方法是利用第三方漏洞采集和公開資產(chǎn)關聯(lián)實現(xiàn)的，利用爬蟲方式對公網(wǎng)漏洞信息定期檢測，包括360 漏洞信息、Bugtraq 漏洞信息等。利用關聯(lián)所轄資產(chǎn)，以數(shù)據(jù)庫、系統(tǒng)、中間件等版本信息，從而生成網(wǎng)絡資產(chǎn)漏洞告警信息[9]。

4.1.2 流量分析

流量分析能夠實現(xiàn)被動探測，利用網(wǎng)絡節(jié)點的部署探針對數(shù)據(jù)進行收集，對網(wǎng)絡流量特征進行分析能夠確定流量的來源主機特征。不同操作系統(tǒng)針對TCP/IP 協(xié)議棧實現(xiàn)是不同的，能夠以TCP/IP 數(shù)據(jù)包的指紋特征對操作系統(tǒng)類別進行區(qū)分，常見指紋特征包括是否分片、窗口大小、最大報文長度、數(shù)據(jù)包生存時間等。應用層服務的端口比較固定，能夠利用TCP/IP 數(shù)據(jù)包端口號實現(xiàn)服務識別，結果準確[10]，表1 為服務和對應端口號。

常用利用分析流量操作系統(tǒng)識別工具包括Network Miner、Satori、Namp、Ettercap 等，Namp 為 了 得 到TCP/IP 指紋信息，能夠發(fā)送16 個請求數(shù)據(jù)包；POF 通過被動收集的TCP 數(shù)據(jù)包對流量來源主機可能操作系統(tǒng)類型進行分析，精準度比較低。Bai 等人是基于可編程交換機與POf，利用P4 語言實現(xiàn)P40f 工具的開發(fā)，提供數(shù)據(jù)包處理速率比較高的時候也能夠使用操作系統(tǒng)的識別功能。Ettercap 屬于開源項目，能夠對中間人攻擊進行檢測。Satori 對DHCP 協(xié)議的Option 字段分析，從而對操作系統(tǒng)進行識別[11]。

4.1.3 搜索引擎

搜索引擎工具包括谷歌、百度等，和此類普通搜索引擎不同，網(wǎng)絡安全搜索引擎能夠對打開端口、主機與服務等進行搜索。另外，還能夠對暴露公網(wǎng)硬件設備進行走索，包括打印機、路由器、網(wǎng)絡攝像頭等。Shodan能夠支持關鍵詞搜索，比如countr：“CN”能夠對中國網(wǎng)絡資產(chǎn)進行搜索。除了利用搜索Shodan 網(wǎng)頁，還能夠注冊并且生成API kry 在編程開發(fā)過程中對Shodan 調用的搜索接口[12]。Zolotykh 能夠分析Shodan 的掃描行為，發(fā)現(xiàn)使用UDP 協(xié)議與TCP 協(xié)議的掃描，并且使用大量不同強度的爬蟲實現(xiàn)端口探測、抓取Banner 信息。除了Shodan，常見網(wǎng)絡安全搜索引擎和Zmap 的Censys結合。搜索引擎針對暴露在公網(wǎng)中的網(wǎng)絡資產(chǎn)搜索能力比較強，并且具有較強的隱蔽性，缺點就是無法有效探測內網(wǎng)資產(chǎn)[13]。

4.2 基于TCP存活主機的技術

TCP 協(xié)議為可靠傳輸協(xié)議，與TCP/IP 協(xié)議套件中的各個層能夠允許通過字節(jié)流的方式實現(xiàn)數(shù)據(jù)的發(fā)送和接收。為了使客戶機和服務器通過不同速度生成數(shù)據(jù)，TCP 能夠提供接收與發(fā)送的服務。另外，TCP 還提供了全雙工服務，實現(xiàn)數(shù)據(jù)的雙向流動。通信每一方都設置兩個緩沖器對數(shù)據(jù)進行發(fā)送與接收。TCP 能夠對消息中添加漸進式的確認序列號，告訴接收方對下個字節(jié)進行接收。假如在指定時間內沒有接收確認信息，就會再次發(fā)送數(shù)據(jù)包，使TCP 為可靠傳輸層協(xié)議。

一般，Ping 掃描利用ICMP Echo 與TCP ACK 請求對目標是否存活進行請求。在目標主機防火墻對此請求阻止時，能夠利用TCP SYN Ping 掃描對目標主機是否在存儲狀態(tài)進行掃描。但是，防火墻會丟棄RST包。此時，掃描結果不準確。另外，要求指定一個端口范圍，避免出現(xiàn)此情況[14]。

5 結束語

設備資產(chǎn)識別對網(wǎng)絡安全評估與威脅預警具有重要意義，網(wǎng)絡空間逐漸成為社會生活與國民經(jīng)濟的主要場所。目前，網(wǎng)絡技術已經(jīng)成為對國家核心技術進行衡量的主要指標。昂羅資產(chǎn)探測能夠對網(wǎng)絡空間進行認識，對網(wǎng)絡資產(chǎn)探測進行研究能夠使網(wǎng)絡安全事件應急能力進行加強。國內能夠掃描網(wǎng)絡空間IP 地址，實現(xiàn)網(wǎng)絡資源探測，識別每個IP 地址資源。針對國外技術能力，要求突破精準探測等技術。