[发明专利]一种基于主被动结合的网络靶场资产信息采集方法及装置

权利要求书

1.一种基于主被动结合的网络靶场资产信息采集方法，其特征在于，包括：

分析记录指纹特征，构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库；

经配置探测网络靶场环境中的联网主机；

采用主动探测的方式，收集联网主机的操作系统相关数据及服务应用或组件相关数据，并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比，确定联网主机的操作系统信息及服务应用或组件信息，形成资产信息数据；

采用被动探测的方式，收集联网主机的操作系统相关数据及服务应用或组件相关数据，并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比，确定联网主机的操作系统信息及服务应用或组件信息，形成资产信息数据；

整合主动探测和被动探测采集到的资产信息数据，去除相同的信息数据，合并两种探测方法各自采集的操作系统信息和服务应用或组件信息，形成完整的网络靶场资产信息列表。

2.如权利要求1所述的方法，其特征在于，所述构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库，具体包括：

分析已知操作系统，从IP报文头部数据与TCP报文数据中寻找不同系统之间的差异，记录已知操作系统的指纹特征，存入操作系统指纹库，构建操作系统指纹对比样本库；分析常用服务应用或组件中的数据包结构与端口信息，记录其发送数据报文的既定偏移位置或对应的标识符相关指纹特征，存入服务应用或组件指纹库，构建服务应用或组件指纹对比样本库。

3.如权利要求1所述的方法，其特征在于，所述探测网络靶场环境中的联网主机，具体包括：

使用扫描技术和规避技术对当前网络靶场环境中配置的网络IP范围与端口范围进行探测，探测目标主机相应的端口，若端口收到一种符合规则的数据回包，则判定端口开放，每个主机只有一个开放端口，进而判定该主机联网。

4.如权利要求1所述的方法，其特征在于，所述采用主动探测的方式，收集联网主机的操作系统相关数据及服务应用或组件相关数据，并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比，确定联网主机的操作系统信息及服务应用或组件信息，具体包括：

对查找到的联网主机，向其开放的特定端口发送预先设置好的TCP/UDP数据包，收集其返回的报文数据并检查特定位置数据，将其与操作系统指纹对比样本库进行对比，确定匹配的操作系统信息；对查找到的联网主机，向其开放的特定端口发送预先设置的TCP/UDP数据包，收集其返回的报文数据并进行对应的处理分析，获取当前应用组件数据包的检查点位置数据，将其与服务应用或组件指纹对比样本库进行对比，确定匹配的服务应用或组件信息。

5.如权利要求1所述方法，其特征在于，采用被动探测的方式，收集联网主机的操作系统相关数据及服务应用或组件相关数据，并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比，确定联网主机的操作系统信息及服务应用或组件信息，具体包括：

对网络靶场中的流量镜像进行捕获，对采集的数据包进行解码分析，生成基础的数据流，根据IP进行划分，收集当前IP返回的报文数据并检查其特定位置数据，将其与操作系统指纹对比样本库进行对比，确定匹配的操作系统信息；收集当前IP与端口的流量数据报文，获取当前应用组件数据包的检查点位置数据，将其与服务应用或组件指纹对比样本库进行对比，确定匹配的服务应用或组件信息。