教育系統網絡資產探測與預警研究

楊顯哲 尹毅峰 張宏濤 王瑞民 李潤知 毛保磊

1(鄭州輕工業大學計算機與通信學院 河南 鄭州 450001)

2(鄭州大學信息工程學院 河南 鄭州 450001)

3(國家數字交換系統工程技術研究中心 河南 鄭州 450001)

0 引 言

隨著全球信息化發展的深入,網絡空間已經成人類發展和爭奪的“第五大空間”[1],萬物互聯,虛擬與現實深度融合,網絡與我們的關系越來越密切,并已成為我們日常生活、工作、學習中密不可分的部分,甚至影響著經濟、文化、軍事和社會活動。但是,人們在享受著網絡生活帶來的便利和便捷同時,網絡安全問題隨之也日漸突出,例如2019年Qemu-kvm虛擬化逃逸漏洞、2020年Tomcat“幽靈貓”漏洞,以及自2016年至今日趨活躍的勒索病毒[2-3]的出現。系統漏洞、病毒傳播、垃圾郵件、信息泄露等網絡攻擊頻頻出現,各類信息系統安全事件時常發生,而由經濟利益驅動的網絡犯罪在全球日漸猖獗,各類網絡攻擊和危害網絡安全行為的活動日漸增多,危害程度不斷加大,這些不但嚴重影響了我們個人的切身利益,也嚴重影響了社會信息化的發展進程乃至整個國家的安全及經濟發展[4-5]。

教育行業作為創新的典型行業,對信息化的依賴程度越來越高,同時網絡安全問題的嚴重性日益凸顯[6]。行業內單位數量眾多,信息化應用類型復雜多樣,安全管理邊界模糊,是教育行業網絡安全事件高發的重要原因。如何做好教育行業網絡安全管理工作,是我們當前面臨的挑戰。面對網絡資產不斷發展和變化,對教育網內網站、互聯網重要信息系統進行探查和梳理,進而形成可更新變化的網絡資產數據庫是安全監測、管理、通報、防御工作的基礎,建立網絡空間資產探查,自動、周期、準確獲知資產底數以及動態變化的跟蹤與監測是教育行業網絡安全管理工作的重要基石[7]。

近年來,國內外陸續開展了網絡空間資產探測的相關工作。2009年Shodan[8]搜索引擎出現,其通過掃描互聯網網絡設備并抓取解析各個設備返回的Banner信息,從而獲得各種探測信息,如網絡中哪種類型Web服務器最受歡迎,或是網絡中存在多少可匿名登錄的FTP服務器等。國內則以Zoomeye[9]和FOFA[10]作為網絡空間資產探測系統的典型代表。上述系統主要基于全網絡的資產探測,采用分布式部署,探測周期長,教育系統的特點在于地址空間大且相對集中、應用數量大且類型繁多[11]。作為省級教育系統網絡安全監管單位,旨在建立一套網絡資產探測與預警平臺,通過對全省教育系統網絡資產的自動探測,進而構建資產數據檔案庫,并基于采集的資產指紋信息與漏洞特征,對高危風險和0day漏洞進行快速感知,從而提升網絡安全風險預警與防護能力[12-16]。

本文立足于教育行業網絡實際情況,結合三種新型網絡資產探測方式,從“資產采集-識別存儲-分析預警”三個層次提出了網絡資產探測與預警平臺的設計模型。通過對比分析在教育網絡環境下輕量化掃描、三種指紋識別方式組合迭代、依據漏洞特征進行的快速掃描預警的效率與準確度的實驗結果,得出本文所提供的網絡資產探測與預警平臺模型可以快速、高效且較為準確地獲取和發布相關網絡空間資產信息與漏洞預警,適用于教育網網絡環境下對資產探測與預警的能力,同時也希望能夠為其他行業中大規模網絡的安全監管提供一種新的模式與思路。

1 預備知識

1.1 網絡資產

網絡資產指設備、系統、數據和服務等各類要素的總和,其中,設備、系統、數據和服務是資產不同維度的呈現,不僅覆蓋通信基礎設施、IP網絡、覆蓋網絡、應用支撐系統等互聯網基礎設施實體資產,而且覆蓋承載在實體設施之上的信息內容等虛擬資產[17]。

每個網絡資產都有自己的特征,這些特征可以形象地描述為網絡資產指紋,例如Wordpress會在Robots.txt中會包含WP-Admin之類,默認樣式會在首頁中包含Generator=Wordpress xx,頁面中會包含WP-Content路徑、特殊端口等,以此類推,幾乎所有開源CMS、Iot設備、網絡設備等都有類似的指紋特征。資產指紋信息一般包含例如軟件名稱、版本號、服務類型等多個敏感信息。

本文主要研究教育行業信息化建設和網絡安全相關的各類資產如：為支撐學校教學、科研和管理等各項業務開展的校園網絡基礎設施、信息系統、網站、數據、移動應用、聯網設備等有形或無形的信息技術相關的資產。

1.2 網絡資產探測

目前針對網絡資產的探索手段可以歸納總結以下三種：主動式IP探測方式、被動式流量分析方式、非入侵式搜索引擎抓取[18]。

(1) 主動式IP探測方式：基于IP地址進行主動式掃描探測,用于發現目標主機是否在線,通過發送探測包到目標主機,收到回復,則目標主機在線。主機探測方式有多種,如發送ICMP/ECHO/TIMESTAMP/NETMASK報文、發送TCPSYN/ACK包、發送SCTP INIT/COOKIE-ECHO包等,可靈活選用不同的方式來探測目標主機[19]。

(2) 被動式流量分析方式：通過對特定流量進行采集與分析,采用算法模型對標準的網絡層級中的各個流量信息進行分類,通過不同的特征信息與協議類型獲取到網絡內具體的網絡資產信息情況,基于數據流量能夠較為準確地分析出網絡資產主機信息、域名、操作系統、IP、中間件等信息。

(3) 非入侵式搜索引擎抓?。夯趥鹘y搜索引擎或者專業信息安全搜索引擎進行抓取與探測,常見的傳統搜索引擎有百度、搜狗、360搜索、谷歌、Bing等,通常利用特定的搜索語法進行檢索,例如：intitle：、inurl：、site：、link：等。專業的信息安全搜索引擎則以Shodan、Zoomeye和FOFA為代表,其功能主要包括網絡指紋識別、應用服務識別、組件查找、資產發現等。通過對傳統與專業信息安全搜索引擎進行定向特征抓取從而獲取到所需要的網絡資產數據信息。不要超過兩行。

從社會和公眾角度講，社會和公眾的需要是多方面的，相比之下，企業提供產品或服務往往只從市場交易的層面考慮，那些社會和公眾的非市場化需要則必須由公共產品來滿足。因此，公眾在有需要且政府不能提供滿足的時候自然會訴諸企業，這就形成了一種自發的心理期望。當這部分自發的公眾期望被滿足時，在公眾心理上產生的正面影響不言而喻。

2 網絡資產探測與預警平臺設計模型

本文所提出的網絡資產探測與預警平臺模型,通過對特定網絡空間內的網絡資產進行探測、分析、檢索,進而建立包含指紋特征的網絡資產庫,其中包括域名、IP、端口、中間件、操作系統、開發語言等指紋信息,從而幫助網絡安全管理人員界定安全防護邊界。提取已知以及0 day漏洞的特征屬性,建立漏洞特征庫,匹配鎖定資產庫中的高危風險資產,配合威脅流量分析技術,提高網絡安全漏洞發現和精準預警能力。本文將分別從資產采集、識別存儲和分析預警三個主要模塊進行介紹和分析。

圖1 網絡資產探測與預警平臺設計模型

2.1 輕量化網絡資產探測與采集層

教育行業優勢在于可以通過IP清楚地標識是否是教育系統資產,但教育網內信息資產數量相較其他網絡種類繁雜,各高校信息化水平參差不齊。面對這些問題,資產采集層通過掌握的IP段信息發包探測、分析旁掛在教育網鏈路上的流量設備以及借助專業安全搜索引擎進行采集,發現存活的網絡資產。本文模型的主動探測技術采用網絡資產的輕量化探測。傳統的ICMP協議發送echo請求數據包,與服務器建立完整的TCP三次握手連接,利用輕量化的探測技術及TCP半開放式掃描,不建立完整的TCP連接,提高了掃描效率,更加適用于大規模的網絡資產探測。當然大范圍IP地址連續掃描存在被安全設備攔截的風險,針對這一問題,資產采集層中使用了基于教育網網絡流量的分析技術和方法,通過被動流量探測技術實現資產發現。被動流量探測技術不對目標資產進行威脅性掃描請求,不會對目標資產和安全防護設備造成任何影響。同時為了更加全面獲取教育網內的網絡資產信息,資產采集層還依靠網絡空間資產搜索工具如Shodan、Zoomeye和FOFA作為資產探測的補充和主被動探測的驗證,從而最大程度保障網絡信息資產探測的廣泛性和完整性。網絡資產采集層嘗試建立覆蓋全面的規則匹配庫,保證網絡資產探測的準確性,并利用分布式并行技術保障資產探測效率,實現探測效率和準確度的協調一致。

2.2 資產識別存儲層

資產識別存儲層針對教育網內發現的存活網絡信息資產,包括IP地址和端口、操作系統指紋、Web應用指紋等進行有效的識別。根據端口協議、TCP/IP、HTTP協議、ICMP協議、TTL等方式分辨軟硬件如主機網關類型、系統廠家及版本,識別Web服務器種類和版本Web組件、Web應用等重要指紋信息。通過主被動識別以及對接安全搜索引擎三種方式迭代識別,構建層次分明、結構清晰、粒度精細的教育系統網絡資產庫。將識別的網絡信息資產及指紋信息按照層次化結構進行適當解耦依類別、主次,構造資產與指紋數據庫。如域名信息包含：返回值、服務器類別與版本號、IP、URL、內容管理系統名稱及版本、時間等;IP信息包含：版本信息、服務類別、開放端口等。建立高效的數據索引,對各種Web服務器、指紋、應用、版本等關鍵字段信息易于查詢和檢索,解決大量數據情況下檢索效率問題。同時,網絡信息資產一直處于動態變化中,隨著各種信息系統的迭代,網絡資產庫的數據也將頻繁變化,主要依賴輕量化的資產探測引擎保證更新頻率和速度,實現網絡資產數據庫的更新迭代。

2.3 安全分析預警層

在資產預警層中,基于構建的教育系統網絡資產庫,對網絡資產進行有效的大數據分析和展示,包括關聯同一機構的網絡資產,統計不同地理區域(市、區、高校)的資產數據特征。對歷史高危風險以及當前公布的最新0 day漏洞進行關鍵特征的提取,構建漏洞特征庫?；诼┒刺卣鲙?挖掘資產庫中易受到網絡安全威脅的網絡資產。同時,收集和過濾威脅流量,針對高風險可疑網絡行為在網絡資產庫中進行特征匹配和關聯分析,便于識別潛在的網絡安全漏洞和網絡安全風險。針對這些網絡威脅及時評估安全風險并發布安全預警,做到防患于未然。同時也可以對網絡資產庫中信息進行不同緯度的統計,如端口、HTTPS協議、操作系統等,構建安全風險等級評估模型,可以有效地評估當前網絡區域內的安全風險狀況與網絡安全建設水平,為未來的網絡安全信息化建設提供數據參考。

3 實驗結果與分析

為了驗證本文提供的系統模型的實際應用情況,將從采集、識別到預警分析層,設計了如下四個實驗,來測試本文模型的時間效率、識別準確度和獲取率、安全預警效率、評估分析能力。

實驗環境：基于教育網網絡環境,在省級教育網核心出口旁掛部署測試。測試機采用CentOS 7.5操作系統,Intel i7-6700處理器,512 GB固態硬盤,32 GB內存,網卡型號為千兆Intel i350,萬兆Intel 82599和Intel X710。測試模塊采用Python語言編寫,并利用Matplotlib庫得到可視化數據點。

通過分析實驗數據,可以確認本文模型在實際工作環境中具備較高的應用價值。

3.1 輕量化資產探測分析

圖2 輕量化資產探測時間效率

3.2 探測識別方式對比分析

為驗證資產識別層中指紋識別的準確度和獲取率,本文作者分別從IP/域名數量、操作系統、中間件、系統類型、端口、開發語言、協議,七個方面,進行探測識別實驗對比。其中某高校網絡資產通過人工上報方式,進行了資產信息備案工作,共備案網絡資產數量121個并記錄了上述七項的詳細信息,以該備案信息為標準數據,使用本文模型中設計的迭代探測識別方式,結果繪制如圖3所示。此次校內實驗共發現117個存活備案網絡資產,占比96.69%,其余六項中識別準確率均達到72%以上。

圖3 某高校備案信息識別信息準確率對比

此外,通過本文模型的方法,組合迭代三種網絡探測方式對于省內教育系統網絡資產進行采集與識別實驗,整理了如表1所示的采集獲取率,其中：模式1為僅使用主動探測方式獲取;模式2為在模式1的基礎上加入流量分析方式;模式3為在模式1和模式2基礎上增加FOFA搜索引擎檢索?？梢钥吹?經過三種方式對網絡資產的迭代采集和識別,平均資產信息獲取率從50.86%提升至73.29%,進一步分析可以發現,主動掃描在中間件和協議識別上均超過50%具有一定優勢,但IP/域名數量、操作系統與端口等受到安全設備影響,識別率不高。通過流量分析方式的補充,在之前識別較弱的方面有很大的提升,整體的識別率提升了18.51百分點。最后依托FOFA平臺進行了搜索引擎抓取,發現部分未識別的IP/域名、中間件、標題、端口、協議,但FOFA平臺對開發語言的識別支持不太好,所以對應識別率有所下降,不過經過迭代拓展了原有數據信息,整體發現資產數量從5 378上升到22 710,平均指紋信息獲取率提升至73.29%。

表1 三種模式獲取指紋數據對比表

綜合來看,本文模型所提供的探測識別方式,在校內教育網環境下具備較高準確率,并在省級教育系統網絡探測上可以提高一定的獲取率。不過由于省級網絡環境復雜,設備多樣,整體的獲取率還是偏低,未來還有進一步優化提升的空間。

3.3 基于網絡資產的安全漏洞監測

針對預警分析層中對發現安全風險的效率進行測試,對之前風險較高以及0 Day漏洞的特征進行提取,以Http.sys遠程執行代碼漏洞(CVE-2015-1635)、Apache Tomcat文件包含漏洞(CVE-2020-1938)等5個漏洞為例,提取出如表2所示的漏洞主要特征屬性,并建立網絡資產漏洞庫,利用漏洞庫中漏洞的特征屬性在資產庫中進行匹配檢索,可以快速定位高危風險資產。針對這些資產進一步進行漏洞掃描驗證工作,可以大大縮短傳統批量掃描后漏洞的驗證工作量,如圖4所示,從而全面提升發現安全風險的效率。

表2 部分高風險漏洞特征屬性表

圖4 傳統方式與本文方式時間效率表

3.4 網絡資產分析

對本文所構建資產庫中的網絡資產信息進行不同緯度的分析,可以較為系統地了解和評估當前網絡環境下的安全狀況。在此次實驗中,發現該區域教育行業中Windows操作系統占比最高,在中間件使用上Nginx最多。本文以端口分布情況為例,繪制如圖5所示的柱狀圖。通過分析圖5數據,可以看出當前教育網內Web服務器數量較多,但HTTPS證書在省內普及率還處于較低水平,部分高危端口未被關閉如445端口,仍有很多數據庫和RDP服務器暴露在公網上存在一定的安全隱患等。通過對資產庫數據的統計分析,為將來的安全管理和監管提供數據參考依據,幫助制定更加合理、科學的政策,同時針對區域內網絡安全薄弱和高風險隱患重點發力解決,提高該區域內教育行業整體的網絡安全預警和防護水平。

圖5 某省高校服務器常見端口分布

3.5 系統實現

基于本文模型開發的系統采用Django+Vue框架,實現前后端分離,提高了系統的安全性。使用Python成熟且豐富的插件庫,加快開發進度的同時也降低了系統后期的運維學習成本,系統應用Scapy、Nmap、FOFA-API、Pocsuite等庫實現資產探測與安全預警功能。數據庫使用Mysql搭建,并利用Redis提高系統數據交互訪問的速度。

該系統已在河南省教育信息安全監測中心部署測試,圖6為系統任務管理界面,其中分為漏洞預警管理和資產探測管理,配置有統計分析、策略模板、任務管理等功能模塊。用戶可以根據不同場景配置不同探測策略,下發探測任務后,可點擊任務列表進入查看詳細探測結果如圖7所示。

圖6 系統任務管理界面

圖7為某個探測IP的部分數據報告,基于輕量化探測采集以及三次迭代識別,用戶可以清晰地看到該IP地址的存活情況、物理位置、操作系統、開放端口、應用協議等詳細資產信息。利用建立的資產庫,并結合收集的漏洞特征庫,可以加快漏洞掃描效率,快速發現存在的安全隱患。

圖8為統計匯總頁面,從主機、域名、指紋、漏洞等層面對探測和預警的信息進行匯總展示,幫助用戶更加直觀地了解當前網絡的資產與安全風險情況。

圖8 探測預警結果部分統計

4 結 語

面對教育行業日益嚴峻的網絡安全威脅,建立一個擁有清晰邊界的安全管理防護體系勢在必行。網絡資產探測與預警平臺的建立,是構建全省教育安全管理防護的基礎,是提升全省教育行業網絡安全防護與管理的關鍵,本文所提供的基于教育網的網絡資產探測與預警平臺模型,能夠實現對資產的探測、管理、分析、預警的功能,但目前系統整體還處于初期階段,整個網絡資產探測與預警平臺,在掃描效率、IPv6環境下的探測、指紋識別準確度、自動化方面還有很大改進和優化的地方。依托于教育網的優勢,本文希望能把對中大型網絡資產管理與安全預警的建設思路提供給讀者,以此構建更多不同網絡環境下的網絡資產探測與預警平臺?？傊?網絡資產探測與預警平臺還有很多的方面值得我們進一步研究和實踐。