内部网络风险资产侦测分析系统的制作方法

1.本发明具体涉及一种内部网络风险资产侦测分析系统。


背景技术：

2.内网是相对于外网而言，政府、机构、企业或者个人组建的具有一定主机数量的内部往来都可以称为内网。内网做为各单位内部重要的信息传递手段，包含着丰富的关键信息，对渗透测试工作至关重要。开发一款以软件为形态的独立功能系统，驻留于目标内网中，对目标内网实施探测，并具备隐蔽特征，近实时地掌握内网中的重要对象、节点属性、存活状态、基础服务、脆弱性等深度信息，有利于渗透测试工作的开展，并为提升内网安全提供基础数据支撑和决策依据。
3.当前用于内网信息探测的协议和方法主要有：icmp协议探测、arp协议探测、tcp协议探测、snmp协议探测、netbios协议探测等，工程实现上主要有nmap(network mapper)。
4.nmap是一款开放源代码的网络探测和安全审核的工具。nmap主要用来发现网络上有些哪主机，这些主机提供什么服务，这些服务运行在什么操作系统上，它们使用什么类型的报文过滤器/防火墙，以及其他功能。
5.icmp协议探测、arp协议探测、tcp协议探测、snmp协议探测、netbios协议探测等各种协议探测局限于各种协议自身的应用场景，一旦内网中不采用该种协议或者防火墙等隔离设备配置策略对其拦截，则该协议探测方法就难以发挥作用。
6.工程实践上经常采用一个系统支持多种协议探测的方法来解决单一协议探测被拦截问题，nmap就是一款支持多种协议探测的系统，但其安装包体积大，系统运行对资源消耗较大，且依赖用户输入参数，不利于渗透测试使用。
7.因此，亟待开发支持多种协议探测、轻量、自动化的适用于渗透测试的内网信息探测系统。


技术实现要素：

8.本发明的目的在于针对现有技术的不足，提供一种内部网络风险资产侦测分析系统，该内部网络风险资产侦测分析系统可以很好地解决上述问题。
9.为达到上述要求，本发明采取的技术方案是：提供一种内部网络风险资产侦测分析系统，该内部网络风险资产侦测分析系统包括本地信息搜集子系统、内网扫描子系统、内网脆弱性探测子系统、安全隐蔽子系统；本地信息搜集子系统根据运行环境区分为windows本地信息搜集子系统和linux本地信息搜集子系统，由网络信息获取模块、系统信息获取模块、用户信息获取模块和域信息获取模块组成，用来搜集系统所在主机的相关信息；内网扫描子系统包括资产存活性探测模块、端口探测模块和资产属性识别模块，用于完成对系统所在网络的资产探测和识别；内网脆弱性探测子系统包括服务漏洞探测模块和iot设备漏洞探测模块，用于完成对系统所在网络的的脆弱性探测；安全隐蔽子系统包括源ip伪装模块、探测任务调控模块、探测策略调控模块、探测频率调控模块，用于完成对探测任务的调
控和保护。
10.该内部网络风险资产侦测分析系统具有的优点如下：
11.改系统支持多种协议探测，同时具备轻量、自动化的适用于渗透测试的优点。
附图说明
12.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，在这些附图中使用相同的参考标号来表示相同或相似的部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
13.图1示意性地示出了根据本技术一个实施例的内网信息探测系统的功能组成图。
14.图2示意性地示出了根据本技术一个实施例的内部网络风险资产侦测分析系统中本地信息搜集的流程图。
15.图3示意性地示出了根据本技术一个实施例的内部网络风险资产侦测分析系统中进行内网信息探测的流程图。
16.图4示意性地示出了根据本技术一个实施例的内部网络风险资产侦测分析系统中内网脆弱性探测的流程图。
具体实施方式
17.为使本技术的目的、技术方案和优点更加清楚，以下结合附图及具体实施例，对本技术作进一步地详细说明。
18.在以下描述中，对“一个实施例”、“实施例”、“一个示例”、“示例”等等的引用表明如此描述的实施例或示例可以包括特定特征、结构、特性、性质、元素或限度，但并非每个实施例或示例都必然包括特定特征、结构、特性、性质、元素或限度。另外，重复使用短语“根据本技术的一个实施例”虽然有可能是指代相同实施例，但并非必然指代相同的实施例。
19.为简单起见，以下描述中省略了本领域技术人员公知的某些技术特征。
20.根据本技术的一个实施例，提供一种内部网络风险资产侦测分析系统，如图1-4所示，该系统采用模块化封装，具备对典型内网进行快速隐蔽探测、准确定位的能力。该系统运行于目标内网某一主机，程序体量小，根据用户调用自动完成对内网的快速探测。
21.内网信息探测系统从软件运行环境和封装模块上区分，由windows本地信息搜集子系统、linux本地信息搜集子系统与windows内网扫描探测子系统等子系统组成，每个封装模块的大小不超过300kb。windows本地信息搜集子系统分别面向不同用户角色，包括普通用户、域用户与域管用户，扫描搜集本地有效信息，如指定域内的用户信息、密码策略等。linux本地信息搜集子系统面向linux环境，查看本地除域之外的有效信息。windows内网扫描探测子系统提供windows环境下的扫描探测功能，实现针对目标环境与主机的存活性、操作系统类型、服务类型等详细信息的探测。
22.如图1所示，内网信息探测系统1从功能组成上区分，由本地信息搜集子系统11、内网扫描子系统12、内网脆弱性探测子系统13、安全隐蔽子系统14组成。
23.本地信息搜集子系统11根据运行环境区分为windows本地信息搜集子系统和linux本地信息搜集子系统，由网络信息获取模块111、系统信息获取模块112、用户信息获取模块113和域信息获取模块114组成，主要用来搜集系统所在主机的相关信息；网络信息
获取模块111主要获取网络链接信息、主机路由信息、主机网络接口信息等；系统信息获取模块112主要获取本机主机系统类型及版本、文件系统信息、本机进程信息、本机密码文件信息、本机登录用户信息、本机历史用户登录信息等；用户信息获取模块113主要获取本机用户信息、本机用户组信息等；域信息获取模块114主要判断本机是否在ad域中，并获取域内主机、域内用户、密码策略等信息。
24.内网扫描子系统12包括资产存活性探测模块121、端口探测模块122和资产属性识别模块123，完成对系统所在网络的资产探测和识别；资产存活性探测模块121主要用来完成对系统所在网络中的存活主机的探测；端口探测模块122主要用来根据探测策略完成对系统所在网络中存活主机的端口开放情况探测；资产属性识别模块123主要用来完成对探测的开放端口进行资产属性识别判断。
25.内网脆弱性探测子系统13包括服务漏洞探测模块131和iot设备漏洞探测模块132，完成对系统所在网络的的脆弱性探测；服务漏洞探测模块131主要用来对网络中的服务进行典型漏洞探测；iot设备漏洞探测模块132主要用来对网络中的iot设备进行典型漏洞探测。
26.安全隐蔽子系统14包括源ip伪装模块141、探测任务调控模块142、探测策略调控模块143、探测频率调控模块144，完成对探测任务的调控和保护；源ip伪装模块141主要用来虚拟新网卡，使系统利用新网卡发包，隐藏真实地址；探测任务调控模块142主要用来根据探测任务性质完成探测协议自动选择，并控制探测任务总体发包阈值；探测策略调控模块143主要用来根据网络环境自动选择syn或connect扫描等不同的探测策略；探测频率调控模块144主要用来调整发包线程数与每次发包之间的休眠间隔。
27.如图2所示，用户输入命令作为开始，内网信息探测系统解析用户输入命令，如该命令不符合语法定义，则结束并输出错误提示；如该命令有效，则调用本地信息搜集子系统11，本地信息搜集子系统11调用网络信息获取模块111、系统信息获取模块112、用户信息获取模块113和域信息获取模块114，并行完成对本地信息的探测，并将结果输出，结束处理。
28.实例2对内网信息进行探测
29.如图3所示，用户输入命令作为开始，内网信息探测系统解析用户输入命令，如该命令不符合语法定义，则结束并输出错误提示；如该命令有效，则调用本地信息搜集子系统11，本地信息搜集子系统11调用网络信息获取模块111、系统信息获取模块112、用户信息获取模块113和域信息获取模块114，并行完成对本地信息的探测，并将结果输出到安全隐蔽子系统14；安全隐蔽子系统14调用源ip伪装模块141，根据本地信息搜集子系统获取的本地ip地址等信息虚拟一个新的网卡，之后安全隐蔽子系统14调用探测任务调控模块142、探测策略调控模块143、探测频率调控模块144，下达系统所在内网探测任务，调用内网扫描子系统12进行内网探测，并根据内网扫描过程中内网扫描子系统12返回的相关相关结果，对探测任务、策略和频率调控；内网扫描子系统12接到探测任务后，首先调用资产存活性探测模块121对内网资产进行存活性探测，并将结果输入给端口探测模块122，端口探测模块122完成对存活资产的端口探测，并将结果输入给资产属性识别模块123，资产属性识别模块123对资产属性进行识别，并将结果输出，结束处理。
30.实例3对内网脆弱性进行探测
31.如图4所示，用户输入命令作为开始，内网信息探测系统解析用户输入命令，如该
命令不符合语法定义，则结束并输出错误提示；如该命令有效，则调用本地信息搜集子系统11，本地信息搜集子系统11调用网络信息获取模块111、系统信息获取模块112、用户信息获取模块113和域信息获取模块114，并行完成对本地信息的探测，并将结果输出到安全隐蔽子系统14；安全隐蔽子系统14调用源ip伪装模块141，根据本地信息搜集子系统获取的本地ip地址等信息虚拟一个新的网卡，之后安全隐蔽子系统14调用探测任务调控模块142、探测策略调控模块143、探测频率调控模块144，下达系统所在内网探测任务，调用内网扫描子系统12进行内网探测，并根据内网扫描过程中内网扫描子系统12返回的相关相关结果，对探测任务、策略和频率调控；内网扫描子系统12接到探测任务后，首先调用资产存活性探测模块121对内网资产进行存活性探测，并将结果输入给端口探测模块122，端口探测模块122完成对存活资产的端口探测，并将结果输入给资产属性识别模块123，资产属性识别模块123对资产属性进行识别，并将结果输入内网脆弱性探测子系统13；内网脆弱性探测子系统13调用服务漏洞探测模块131和iot设备漏洞探测模块132，分别对资产中的服务和iot设备进行漏洞探测，并将结果输出，结束处理。
32.以上所述实施例仅表示本发明的几种实施方式，其描述较为具体和详细，但并不能理解为对本发明范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明保护范围。因此本发明的保护范围应该以所述权利要求为准。