基于指紋技術(shù)的專(zhuān)網(wǎng)資產(chǎn)互聯(lián)網(wǎng)暴露面探測(cè)手段的研究

曾 杰，史裕饒，王 晨

（天津市公安局交通警察總隊(duì)科技和設(shè)施保障支隊(duì)，天津 300220）

在信息技術(shù)和互聯(lián)網(wǎng)高速發(fā)展的今天，云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)已深入我國(guó)各個(gè)行業(yè)每一個(gè)角落。

天津交管設(shè)備專(zhuān)網(wǎng)是基于物聯(lián)網(wǎng)及傳統(tǒng)IT 網(wǎng)絡(luò)架構(gòu)的公共交通安全業(yè)務(wù)管理專(zhuān)網(wǎng)。交通管理監(jiān)控、違章抓拍、交通信號(hào)控制等業(yè)務(wù)系統(tǒng)均利用此專(zhuān)網(wǎng)，隨著納入的設(shè)備越來(lái)越多，專(zhuān)網(wǎng)得到了快速的發(fā)展，海量數(shù)據(jù)實(shí)現(xiàn)了網(wǎng)絡(luò)上的交換和使用。但與此同時(shí)，網(wǎng)絡(luò)空間安全形勢(shì)日益嚴(yán)峻，如何確保專(zhuān)網(wǎng)資產(chǎn)不暴露在互聯(lián)網(wǎng)上，減少暴露面，進(jìn)而更有效、更有針對(duì)性地進(jìn)行安全防護(hù)已提上日程。

本文研究利用專(zhuān)有終端（攝像頭、紅綠燈、電子眼）指紋識(shí)別技術(shù)、網(wǎng)絡(luò)空間資產(chǎn)主動(dòng)探測(cè)技術(shù)、網(wǎng)絡(luò)空間資產(chǎn)被動(dòng)探測(cè)技術(shù)、電子警務(wù)系統(tǒng)專(zhuān)項(xiàng)識(shí)別技術(shù)，構(gòu)建了一套集控管于一體的設(shè)備專(zhuān)網(wǎng)資產(chǎn)互聯(lián)網(wǎng)暴露面探測(cè)方法，結(jié)合網(wǎng)絡(luò)空間資源測(cè)繪方法，識(shí)別專(zhuān)網(wǎng)資產(chǎn)暴露風(fēng)險(xiǎn)，以此來(lái)提升設(shè)備專(zhuān)網(wǎng)邊界的完整性。

1 國(guó)內(nèi)外研究現(xiàn)狀和發(fā)展趨勢(shì)

網(wǎng)絡(luò)空間資源測(cè)繪是資產(chǎn)互聯(lián)網(wǎng)暴露面探測(cè)的技術(shù)核心支撐，主要對(duì)網(wǎng)絡(luò)空間中的各類(lèi)資源及其屬性進(jìn)行探測(cè)、融合分析和繪制。

1.1 國(guó)外研究現(xiàn)狀

代表性工作包括美國(guó)國(guó)防部高級(jí)研究計(jì)劃局的“X計(jì)劃”、美國(guó)國(guó)土安全部的“SHINE 計(jì)劃”、美國(guó)國(guó)家安全局的“藏寶圖計(jì)劃”。

1.1.1 2013 年DARPA 制定X 計(jì)劃

允許美國(guó)軍方作戰(zhàn)人員規(guī)劃網(wǎng)絡(luò)戰(zhàn)，允許他們根據(jù)各類(lèi)關(guān)鍵性網(wǎng)絡(luò)“地形”進(jìn)行作戰(zhàn)規(guī)劃，具體包括郵件與文件服務(wù)器、路由器及網(wǎng)關(guān)等需要著重防御的網(wǎng)絡(luò)組成要素，同時(shí)以出色的可視化效果審視各關(guān)鍵性網(wǎng)絡(luò)地形要素的活動(dòng)、運(yùn)行情況及狀態(tài)。[1]

1.1.2 SHINE 計(jì)劃

項(xiàng)目名稱(chēng)為SHINE（SHodan INtelligence Extraction），負(fù)責(zé)單位為DHS 下屬I(mǎi)CS-CERT（工業(yè)控制系統(tǒng)應(yīng)急小組），參與人員為Bob Radvanovsky &Jake Brodsky（Shodan兩位開(kāi)發(fā)者），起止時(shí)間為2008 年中期-2014 年1 月31 日，關(guān)注點(diǎn)為美國(guó)本土關(guān)鍵基礎(chǔ)設(shè)施相關(guān)設(shè)備網(wǎng)絡(luò)可達(dá)及安全態(tài)勢(shì)。成果是將46 萬(wàn)聯(lián)網(wǎng)設(shè)備（截止到2012.12，到2014 年共發(fā)現(xiàn)219 萬(wàn)聯(lián)網(wǎng)設(shè)備）降低到7200 個(gè)。本項(xiàng)目涉及技術(shù)包括網(wǎng)絡(luò)空間資產(chǎn)主動(dòng)探測(cè)技術(shù)、網(wǎng)絡(luò)空間資產(chǎn)被動(dòng)探測(cè)技術(shù)、工業(yè)系統(tǒng)設(shè)備指紋識(shí)別技術(shù)以及SCADA 蜜網(wǎng)的開(kāi)發(fā)。

1.1.3 藏寶圖計(jì)劃

藏寶圖計(jì)劃的目標(biāo)是要識(shí)別互聯(lián)網(wǎng)地圖上的任何時(shí)間、任何地點(diǎn)的任何設(shè)備。藏寶圖計(jì)劃由NSA 和CSS（中央安全局）兩個(gè)部門(mén)共同負(fù)責(zé)，共同合作成立NTOC（威脅作戰(zhàn)中心），由NSA 負(fù)責(zé)維護(hù)運(yùn)行，搜集全球互聯(lián)網(wǎng)情報(bào)，用于建立態(tài)勢(shì)感知能力。[2]

1.2 國(guó)內(nèi)研究現(xiàn)狀和發(fā)展趨勢(shì)

目前，在網(wǎng)絡(luò)空間可視化領(lǐng)域，依舊處于起步階段，對(duì)于監(jiān)管單位，對(duì)其轄管的資產(chǎn)暴露面缺乏完善的自動(dòng)化檢測(cè)及分析，僅通過(guò)梳理互聯(lián)網(wǎng)出口很難真實(shí)、清晰地反映互聯(lián)網(wǎng)暴露面風(fēng)險(xiǎn)。

在傳統(tǒng)的網(wǎng)絡(luò)安全業(yè)務(wù)上，統(tǒng)計(jì)、分析等工作多是以文本、圖表等方式進(jìn)行查詢與顯示。但隨著物聯(lián)網(wǎng)時(shí)代的來(lái)臨，IOT 設(shè)備被越來(lái)越多地應(yīng)用于當(dāng)前的信息采集建設(shè)中，由此帶來(lái)了更大的資產(chǎn)監(jiān)管挑戰(zhàn)，采集的數(shù)據(jù)信息量大、種類(lèi)繁多、表現(xiàn)形式復(fù)雜，在網(wǎng)絡(luò)空間與地理空間上缺乏直觀的映射關(guān)系，難以直觀地找到暴露的出口，需要一種手段，全面地提供信息支持。

我國(guó)學(xué)者提出，通過(guò)網(wǎng)絡(luò)空間可視化表達(dá)，提供資源、產(chǎn)權(quán)、監(jiān)管、司法等涉網(wǎng)國(guó)內(nèi)經(jīng)濟(jì)、政治、文化、法治的基礎(chǔ)和保障，也是國(guó)家治理體系和治理能力現(xiàn)代化在網(wǎng)絡(luò)空間中進(jìn)行建設(shè)和實(shí)施的基本要素和重要保障[3]。

目前在我國(guó)網(wǎng)絡(luò)安全領(lǐng)域，有部分平臺(tái)提供了網(wǎng)絡(luò)空間資產(chǎn)的基礎(chǔ)探測(cè)能力，基于專(zhuān)用的測(cè)繪引擎，zoomeye 可以提供全球42 億 IP 地址的網(wǎng)絡(luò)空間資產(chǎn)發(fā)現(xiàn)能力[4]，hunter 可以提供超5 億IP 數(shù)，65 億資產(chǎn)總數(shù)[5]，因此具備利用現(xiàn)有基礎(chǔ)擴(kuò)充對(duì)專(zhuān)網(wǎng)互聯(lián)網(wǎng)暴露面測(cè)繪分析的基礎(chǔ)。

2 技術(shù)路線

在為保障業(yè)務(wù)系統(tǒng)的正常運(yùn)行，經(jīng)過(guò)多年的建設(shè)，天津市公安交通管理局建設(shè)了一張純物理專(zhuān)網(wǎng)，通過(guò)設(shè)備的專(zhuān)網(wǎng)專(zhuān)用，陸續(xù)建設(shè)了道路違法停車(chē)、高點(diǎn)監(jiān)控、鷹眼監(jiān)控、黃標(biāo)車(chē)違法抓拍、各類(lèi)電子警察等一系列智能交通設(shè)施，在網(wǎng)絡(luò)安全層面，也率先引入鏈路即安全的運(yùn)營(yíng)理念，為交管業(yè)務(wù)開(kāi)展提供了堅(jiān)實(shí)的網(wǎng)絡(luò)環(huán)境保障。

但在整體建設(shè)中，各區(qū)接入網(wǎng)絡(luò)的建設(shè)情況不盡相同，引入了包括MV 鏈路、MSTP 鏈路等多種專(zhuān)線的接入形式，還有部分點(diǎn)位存在4/5G 接入的情況，同時(shí)各區(qū)承建的運(yùn)營(yíng)商單位，在對(duì)于各自建設(shè)的接入網(wǎng)絡(luò)的管理上，較純物理專(zhuān)網(wǎng)而言，在配置管理及網(wǎng)絡(luò)路由管理上有更大的暴露風(fēng)險(xiǎn)，因此需要采取本文中的解決思路，進(jìn)行統(tǒng)一監(jiān)管。

針對(duì)安全監(jiān)管需求，參考國(guó)家網(wǎng)絡(luò)安全法律法規(guī)、政策要求、等保2.0 網(wǎng)絡(luò)安全建設(shè)標(biāo)準(zhǔn)以及公安部對(duì)專(zhuān)網(wǎng)的建設(shè)要求，從“底數(shù)清、情況明、能處置”等維度，采用網(wǎng)絡(luò)空間資產(chǎn)主動(dòng)探測(cè)技術(shù)、網(wǎng)絡(luò)空間資產(chǎn)被動(dòng)探測(cè)技術(shù)以及網(wǎng)絡(luò)空間資產(chǎn)指紋識(shí)別技術(shù)，設(shè)計(jì)一套符合專(zhuān)網(wǎng)網(wǎng)絡(luò)的互聯(lián)網(wǎng)暴露面監(jiān)測(cè)的基于指紋技術(shù)的專(zhuān)網(wǎng)資產(chǎn)互聯(lián)網(wǎng)暴露面探測(cè)手段。

3 基于指紋技術(shù)的專(zhuān)網(wǎng)資產(chǎn)互聯(lián)網(wǎng)暴露面探測(cè)手段設(shè)計(jì)

天津市公安交通管理局的業(yè)務(wù)系統(tǒng)中應(yīng)用了監(jiān)控資產(chǎn)、信號(hào)燈資產(chǎn)、違停抓拍等物聯(lián)網(wǎng)資產(chǎn)模塊，由于在建設(shè)的最初設(shè)計(jì)中，專(zhuān)網(wǎng)環(huán)境不應(yīng)存在互聯(lián)網(wǎng)出口，因此無(wú)法采用IP 地址的監(jiān)控手段，對(duì)交管專(zhuān)網(wǎng)中的資產(chǎn)進(jìn)行互聯(lián)網(wǎng)暴露面分析，針對(duì)該組網(wǎng)模型的特點(diǎn)，設(shè)計(jì)基于指紋技術(shù)的專(zhuān)網(wǎng)資產(chǎn)互聯(lián)網(wǎng)暴露面探測(cè)方法。該方法將采用網(wǎng)絡(luò)空間資產(chǎn)主動(dòng)探測(cè)技術(shù)、網(wǎng)絡(luò)空間資產(chǎn)被動(dòng)探測(cè)技術(shù)以及資產(chǎn)指紋識(shí)別技術(shù)，實(shí)現(xiàn)對(duì)天津市公安交通管理局專(zhuān)網(wǎng)設(shè)備指紋識(shí)別和互聯(lián)網(wǎng)暴露面分析，避免出現(xiàn)因建設(shè)過(guò)程中出現(xiàn)的專(zhuān)網(wǎng)資產(chǎn)異常暴露在互聯(lián)網(wǎng)上的情況，切實(shí)保障專(zhuān)網(wǎng)的封閉網(wǎng)絡(luò)環(huán)境。

3.1 網(wǎng)絡(luò)空間資產(chǎn)主動(dòng)探測(cè)技術(shù)

網(wǎng)絡(luò)空間資產(chǎn)主動(dòng)探測(cè)技術(shù)是通過(guò)主動(dòng)向目標(biāo)網(wǎng)絡(luò)資產(chǎn)發(fā)送構(gòu)造的數(shù)據(jù)包[6]，并從返回?cái)?shù)據(jù)包的相關(guān)信息（包括各層協(xié)議內(nèi)容、包重傳時(shí)間等）中提取目標(biāo)信息，來(lái)實(shí)現(xiàn)對(duì)開(kāi)放端口及服務(wù)等網(wǎng)絡(luò)資產(chǎn)信息的主動(dòng)探測(cè)。

3.2 網(wǎng)絡(luò)空間資產(chǎn)被動(dòng)探測(cè)技術(shù)

網(wǎng)絡(luò)空間資產(chǎn)被動(dòng)探測(cè)技術(shù)是通過(guò)網(wǎng)絡(luò)旁路偵聽(tīng)的方式[7]，被動(dòng)采集目標(biāo)網(wǎng)絡(luò)的流量，對(duì)流量中的數(shù)據(jù)包中的相關(guān)字段IP、端口號(hào)、協(xié)議號(hào)等內(nèi)容進(jìn)行分析，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資產(chǎn)信息的被動(dòng)探測(cè)采集。

3.3 網(wǎng)絡(luò)資產(chǎn)指紋識(shí)別技術(shù)

網(wǎng)絡(luò)資產(chǎn)指紋識(shí)別技術(shù)憑借網(wǎng)絡(luò)資產(chǎn)探測(cè)的主動(dòng)掃描探測(cè)技術(shù)和被動(dòng)流量分析技術(shù)，得到目標(biāo)指紋，與系統(tǒng)內(nèi)置的資產(chǎn)特征指紋庫(kù)對(duì)比，完成網(wǎng)絡(luò)資產(chǎn)的匹配，確定資產(chǎn)指紋信息。資產(chǎn)識(shí)別結(jié)果的準(zhǔn)確性由指紋特征提取與匹配的精確度決定，指紋特征由對(duì)大量資產(chǎn)指紋進(jìn)行相同內(nèi)容提取，特有內(nèi)容區(qū)分，以確定資產(chǎn)信息與特征的對(duì)應(yīng)關(guān)系，以組成資產(chǎn)特征指紋庫(kù)。目標(biāo)指紋達(dá)成匹配條件則可獲得相應(yīng)資產(chǎn)組件的設(shè)備類(lèi)型，組件名稱(chēng)，廠商信息、型號(hào)版本等數(shù)據(jù)。

3.4 判定資產(chǎn)符合性技術(shù)

通過(guò)網(wǎng)絡(luò)空間主動(dòng)探測(cè)技術(shù)和被動(dòng)探測(cè)技術(shù)，獲取設(shè)備專(zhuān)網(wǎng)中目標(biāo)指紋，對(duì)指紋按內(nèi)容差異進(jìn)行大致分類(lèi)，提取同類(lèi)指紋之間相同內(nèi)容，提取可確定資產(chǎn)組件的關(guān)鍵字，例如服務(wù)器字段、標(biāo)題字段、UA 字段、廠商、cookie 等；區(qū)分關(guān)鍵字內(nèi)差異內(nèi)容，例如型號(hào)、版本信息等；有序組合相關(guān)關(guān)鍵字，組成完整特征，實(shí)現(xiàn)與資產(chǎn)的唯一對(duì)應(yīng)關(guān)系。

3.4.1 定制的入庫(kù)操作

將特征相關(guān)信息進(jìn)行完善補(bǔ)充，如服務(wù)類(lèi)型、設(shè)備類(lèi)型、主機(jī)信息及其他額外信息。將天津市公安交通管理局設(shè)備專(zhuān)網(wǎng)網(wǎng)絡(luò)資產(chǎn)指紋對(duì)應(yīng)特征為基礎(chǔ)建立匹配庫(kù)，服務(wù)于專(zhuān)有終端（攝像頭、紅綠燈、電子眼）等。

3.4.2 org 上的查找流程

利用搜索工具進(jìn)行專(zhuān)網(wǎng)資產(chǎn)指紋信息查找。選擇查詢類(lèi)型，如組件名、設(shè)備類(lèi)型、專(zhuān)有服務(wù)、關(guān)鍵字等；輸入對(duì)應(yīng)查詢內(nèi)容；選擇多個(gè)查詢條件間的查詢邏輯。

3.5 基于指紋技術(shù)的專(zhuān)網(wǎng)資產(chǎn)互聯(lián)網(wǎng)暴露面探測(cè)應(yīng)用

針對(duì)專(zhuān)網(wǎng)資產(chǎn)進(jìn)行對(duì)應(yīng)指紋的定向開(kāi)發(fā)，建立設(shè)備專(zhuān)網(wǎng)網(wǎng)絡(luò)資產(chǎn)指紋特征匹配庫(kù)。通過(guò)網(wǎng)絡(luò)空間主動(dòng)探測(cè)技術(shù)和被動(dòng)探測(cè)技術(shù)，獲取天津市公安交通管理局設(shè)備專(zhuān)網(wǎng)中專(zhuān)有設(shè)備信息，將探測(cè)獲取的資產(chǎn)信息與設(shè)備網(wǎng)絡(luò)資產(chǎn)指紋特征匹配庫(kù)進(jìn)行匹配，從而得到天津市公安交通管理局設(shè)備專(zhuān)網(wǎng)專(zhuān)有設(shè)備的指紋信息。該指紋信息包括設(shè)備操作系統(tǒng)、設(shè)備信息、廠商信息、IP 地址、端口、服務(wù)組件等資產(chǎn)數(shù)據(jù)。當(dāng)通過(guò)互聯(lián)網(wǎng)上的探測(cè)節(jié)點(diǎn)，結(jié)合指紋信息可以在全網(wǎng)中收集到的資產(chǎn)庫(kù)進(jìn)行匹對(duì)，如果發(fā)現(xiàn)存在指紋相同的資產(chǎn)，即可說(shuō)明，某個(gè)專(zhuān)網(wǎng)的接入側(cè)節(jié)點(diǎn)存在異常，可能存在互聯(lián)網(wǎng)暴露風(fēng)險(xiǎn)，結(jié)合IP 地理位置信息，可以進(jìn)行準(zhǔn)確的通報(bào)，結(jié)合人工的手段，將該風(fēng)險(xiǎn)進(jìn)行排查整改。

4 應(yīng)用實(shí)踐

獲得指紋：

1.根據(jù)專(zhuān)網(wǎng)的專(zhuān)用ip 庫(kù)，通過(guò)網(wǎng)絡(luò)空間主動(dòng)探測(cè)技術(shù)和被動(dòng)探測(cè)技術(shù)，匹配系統(tǒng)內(nèi)資產(chǎn)特征指紋庫(kù)獲得目標(biāo)指紋。

2.根據(jù)已匹配出的資產(chǎn)設(shè)備類(lèi)型與指紋本身內(nèi)容差異進(jìn)行大致分類(lèi)，提取同類(lèi)指紋之間相同內(nèi)容，尋找可確定資產(chǎn)組件的關(guān)鍵字。

以某品牌電警設(shè)備為例，通過(guò)交互流量抓取，結(jié)合頁(yè)面爬取，獲取到對(duì)應(yīng)品牌的強(qiáng)關(guān)聯(lián)信息，也就是設(shè)備的指紋信息：

（1）指紋：Apache。

（2）指紋：XXX XXX httpd。

（3）指紋：XXX IP XXX httpd。

3.截取指紋內(nèi)關(guān)鍵字部分，進(jìn)一步對(duì)比，確定差異內(nèi)容。

4.編寫(xiě)特征指紋，補(bǔ)充資產(chǎn)組件相關(guān)信息。

通過(guò)分析，共獲取一組指紋信息，確定三個(gè)指紋規(guī)則。

5.用特征指紋構(gòu)成專(zhuān)網(wǎng)專(zhuān)用資產(chǎn)指紋特征庫(kù)，利用專(zhuān)用ip 庫(kù)進(jìn)行測(cè)試，測(cè)算識(shí)別率，確保指紋提取正確性。

根據(jù)指紋特征，在互聯(lián)網(wǎng)上，通過(guò)指紋信息進(jìn)行空間資產(chǎn)檢索，典型操作如下：

（1）在搜索框中輸入專(zhuān)網(wǎng)資產(chǎn)指紋信息，并進(jìn)行搜索。

（2）在發(fā)現(xiàn)存在該類(lèi)型資產(chǎn)后，進(jìn)行下鉆，通過(guò)相關(guān)其開(kāi)放的服務(wù)和端口，評(píng)估其暴露在互聯(lián)網(wǎng)上后，可能對(duì)專(zhuān)網(wǎng)造成的影響。

（3）通過(guò)組件可能存在的漏洞，判斷是否有漏洞被利用的風(fēng)險(xiǎn)。

（4）通過(guò)高精地理位置信息，確認(rèn)其資產(chǎn)歸屬地，推送至相關(guān)單位進(jìn)行整改。

通過(guò)相關(guān)信息的整理分析，可以實(shí)現(xiàn)針對(duì)暴露在互聯(lián)網(wǎng)上的資產(chǎn)進(jìn)行梳理，為優(yōu)化專(zhuān)網(wǎng)的安全使用環(huán)境提供信息情報(bào)指引，從互聯(lián)網(wǎng)監(jiān)測(cè)層面找到專(zhuān)網(wǎng)的暴露風(fēng)險(xiǎn)，豐富專(zhuān)網(wǎng)安全監(jiān)測(cè)運(yùn)維手段，避免專(zhuān)網(wǎng)中存在未知的互聯(lián)網(wǎng)邊界出口，形成入侵的脆弱點(diǎn)，確保專(zhuān)網(wǎng)專(zhuān)用，降低因大規(guī)模建設(shè)過(guò)程中的人為因素導(dǎo)致專(zhuān)網(wǎng)設(shè)備異常暴露在互聯(lián)網(wǎng)上的異常事件發(fā)生。