[发明专利]一种基于主被动结合的网络靶场资产信息采集方法及装置

说明书

本发明实施例公开了一种基于主被动结合的网络靶场资产信息采集方法及装置，涉及网络安全领域，所述方法包括：分析记录指纹特征，构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库；经配置探测网络靶场环境中的联网主机；采用主动探测的方式采集联网主机的操作系统信息及服务应用或组件信息，形成资产信息数据；采用被动探测的方式采集联网主机的操作系统信息及服务应用或组件信息，形成资产信息数据；整合主动探测和被动探测采集到的资产信息数据，形成完整的网络靶场资产信息列表。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于主被动结合的网络靶场资产信息采集方法及装置。

背景技术

网络靶场是进行网络攻防武器试验的专业实验室，也是各国“网军”提前演练战术战法的练兵场。网络靶场通过虚拟环境与真实设备相结合，模拟仿真出真实网络空间攻防作战环境，可有效针对敌方的电子和网络攻击等进行战争预演，迅速提升网络攻防作战能力。网络靶场环境复杂，存在多区域隔离、虚拟机与实体机的多种结合、虚拟资产和实体资产并存的情况，单纯的虚拟资产管理不能实现对整个网络靶场环境中的资产进行全面管理。

发明内容

有鉴于此，本发明实施例提供了一种基于主被动结合的网络靶场资产信息采集方法及装置，采用主动与被动结合的方式来采集网络靶场环境中的资产信息，很好的解决了当前网络靶场环境复杂，存在多区域隔离、虚拟机与实体机的多种结合、虚拟资产和实体资产并存的情况，单纯的虚拟资产管理不能实现对整个网络靶场环境中的资产进行全面管理的问题，实现了对网络靶场环境中的资产进行全面完整的发现与收集，并为后续的网络靶场内资产管理提供更有效的数据。

第一方面，本发明实施例提供一种基于主被动结合的网络靶场资产信息采集方法，包括：

分析记录指纹特征，构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库；

经配置探测网络靶场环境中的联网主机；

采用主动探测的方式，收集联网主机的操作系统相关数据及服务应用或组件相关数据，并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比，确定联网主机的操作系统信息及服务应用或组件信息，形成资产信息数据；

采用被动探测的方式，收集联网主机的操作系统相关数据及服务应用或组件相关数据，并将其分别与操作系统指纹对比样本库和服务应用或组件指纹对比样本库中的数据进行对比，确定联网主机的操作系统信息及服务应用或组件信息，形成资产信息数据；

整合主动探测和被动探测采集到的资产信息数据，去除相同的信息数据，合并两种探测方法各自采集的操作系统信息和服务应用或组件信息，形成完整的网络靶场资产信息列表。

根据本发明实施例的一种具体实现方式，所述构建操作系统指纹对比样本库和服务应用或组件指纹对比样本库，具体包括：

分析已知操作系统，从IP报文头部数据与TCP报文数据中寻找不同系统之间的差异，记录已知操作系统的指纹特征，存入操作系统指纹库，构建操作系统指纹对比样本库；分析常用服务应用或组件中的数据包结构与端口信息，记录其发送数据报文的既定偏移位置或对应的标识符相关指纹特征，存入服务应用或组件指纹库，构建服务应用或组件指纹对比样本库。

根据本发明实施例的一种具体实现方式，所述探测网络靶场环境中的联网主机，具体包括：

使用扫描技术和规避技术对当前网络靶场环境中配置的网络IP范围与端口范围进行探测，探测目标主机相应的端口，若端口收到一种符合规则的数据回包，则判定端口开放，每个主机只有一个开放端口，进而判定该主机联网。