本發(fā)明公開了一種超大規(guī)模網(wǎng)絡(luò)中攻擊暴露面分析方法及系統(tǒng)，其中方法步驟為：S1，采用運營商在各互聯(lián)網(wǎng)出口部署的GenieATM流量分析儀將注釋過的流量數(shù)據(jù)進行實時或回溯性的大數(shù)據(jù)應(yīng)用分析，提取互聯(lián)網(wǎng)環(huán)境中所有通路數(shù)據(jù)流，作為數(shù)據(jù)源；S2，對數(shù)據(jù)源進行分析，得到監(jiān)控范圍內(nèi)主機對外開放服務(wù)的暴露面數(shù)據(jù)集和主機出訪的數(shù)據(jù)集；S3，結(jié)合暴露面數(shù)據(jù)計算得到主機服務(wù)中所有路徑風(fēng)險等級，基于所有路徑風(fēng)險等級推算得到主機服務(wù)風(fēng)險等級；系統(tǒng)包括GenieATM暴露面數(shù)據(jù)獲取模塊、服務(wù)信息識別模塊、地理位置識別模塊、域名備案核查模塊和風(fēng)險計算模塊。本發(fā)明夠解決無法準(zhǔn)確核查互聯(lián)網(wǎng)暴露面的問題，提高了在超大規(guī)模網(wǎng)絡(luò)中互聯(lián)暴露面分析的效率準(zhǔn)確性。

技術(shù)領(lǐng)域

本發(fā)明涉及一種計算機技術(shù)領(lǐng)域，尤其是涉及一種超大規(guī)模網(wǎng)絡(luò)中攻擊暴露面分析方法及系統(tǒng)。

背景技術(shù)

在現(xiàn)今這個數(shù)字時代，如何有效管理及保護海量的高速網(wǎng)絡(luò)流量，是國內(nèi)運營商面臨的一大難題。網(wǎng)絡(luò)運營商需要一個涵蓋效能、靈活性、可靠性及擴展性的總體解決方案，幫助他們快速的掌握互聯(lián)網(wǎng)中對外暴露情況，以幫助用戶及時了解某些重要系統(tǒng)對外易受攻擊暴露面的大小。

目前行業(yè)內(nèi)，經(jīng)常采用開源的超高速掃描工具masscan對網(wǎng)絡(luò)資產(chǎn)進行探測，這種方法在超大規(guī)模的網(wǎng)絡(luò)中會有以下幾個問題：1)每個IP地址有65535種服務(wù)，面對海量的網(wǎng)絡(luò)資產(chǎn)，對每個IP做全端口掃描耗時較長，尤其在IPV6網(wǎng)絡(luò)下，以此方式獲取暴露面分析的數(shù)據(jù)源效率過低；2)面對復(fù)雜的公網(wǎng)網(wǎng)絡(luò)環(huán)境和不確定性(隨機性大)，導(dǎo)致分析結(jié)果容易出現(xiàn)偏差，最為常見的情況是在防火墻的干擾下單個IP的掃描結(jié)果會出現(xiàn)上萬個存活的端口，這種情況顯然是不符合實際應(yīng)用情況；3)掃描工具對TCP協(xié)議的服務(wù)的識別率較高，對無連接的UDP協(xié)議服務(wù)識別率和準(zhǔn)確率較低，然后大量軟交換類SIP語音設(shè)備采用UDP協(xié)議；4)部分服務(wù)存在訪問控制列表，掃描探測工具的地址不在白名單內(nèi)，無法獲取到暴露面情況。因此，上述對互聯(lián)網(wǎng)暴露面分析的方法中，存在無法準(zhǔn)確核查互聯(lián)網(wǎng)暴露面的問題。

發(fā)明內(nèi)容

本發(fā)明針對現(xiàn)有技術(shù)中的不足，提供一種超大規(guī)模網(wǎng)絡(luò)中攻擊暴露面分析方法和系統(tǒng)，能夠解決無法準(zhǔn)確核查互聯(lián)網(wǎng)暴露面的問題，提高了在超大規(guī)模網(wǎng)絡(luò)中互聯(lián)暴露面分析的效率準(zhǔn)確性。

為實現(xiàn)上述目的，本發(fā)明采用以下技術(shù)方案：

一種超大規(guī)模網(wǎng)絡(luò)中攻擊暴露面分析方法，所述分析方法包括以下步驟：

S1，采用運營商在各互聯(lián)網(wǎng)出口部署的GenieATM流量分析儀將注釋過得流量數(shù)據(jù)進行實時或回溯性的大數(shù)據(jù)應(yīng)用分析，提取互聯(lián)網(wǎng)環(huán)境中所有通路數(shù)據(jù)流，作為數(shù)據(jù)源；

S2，對數(shù)據(jù)源進行分析，得到監(jiān)控范圍內(nèi)主機對外開放服務(wù)的暴露面數(shù)據(jù)集和主機出訪的數(shù)據(jù)集，主機對外開放服務(wù)的暴露面數(shù)據(jù)集包括主機IP地址、協(xié)議類型、每個IP上存活的端口號，服務(wù)信息、服務(wù)威脅等級、域名、訪問者地址、地理位置、每個端口對應(yīng)的流量分布情況、每個端口被掃描的次數(shù)和每條攻擊流量的路徑、歷史6個月內(nèi)每個端口被訪問次數(shù)的平均值，歷史6個月內(nèi)每條攻擊流量的均值；主機出訪的數(shù)據(jù)集包括源IP、目標(biāo)IP、目標(biāo)端口、協(xié)議類型、服務(wù)信息、服務(wù)威脅等級、目標(biāo)IP的地理位置、每條訪問路徑流量值、歷史6個月內(nèi)每個源IP出訪次數(shù)的平均值、歷史6個月內(nèi)每個源IP出訪目標(biāo)的流量平均值；

S3，結(jié)合暴露面數(shù)據(jù)計算得到主機服務(wù)中所有路徑風(fēng)險等級，基于所有路徑風(fēng)險等級推算得到主機服務(wù)風(fēng)險等級。

為優(yōu)化上述技術(shù)方案，采取的具體措施還包括：

進一步地，步驟S2中，所述地理位置利用公開的GeoLite2-City庫獲得。

進一步地，步驟S2中，采用geoip2.database組件讀取GeoLite2-City數(shù)據(jù)庫，判斷訪問者IP是否屬于境外地址。