教育系统网络资产探测与预警研究

杨显哲 尹毅峰 张宏涛 王瑞民 李润知 毛保磊

1(郑州轻工业大学计算机与通信学院 河南 郑州 450001)

2(郑州大学信息工程学院 河南 郑州 450001)

3(国家数字交换系统工程技术研究中心 河南 郑州 450001)

0 引 言

随着全球信息化发展的深入,网络空间已经成人类发展和争夺的“第五大空间”[1],万物互联,虚拟与现实深度融合,网络与我们的关系越来越密切,并已成为我们日常生活、工作、学习中密不可分的部分,甚至影响着经济、文化、军事和社会活动。但是,人们在享受着网络生活带来的便利和便捷同时,网络安全问题随之也日渐突出,例如2019年Qemu-kvm虚拟化逃逸漏洞、2020年Tomcat“幽灵猫”漏洞,以及自2016年至今日趋活跃的勒索病毒[2-3]的出现。系统漏洞、病毒传播、垃圾邮件、信息泄露等网络攻击频频出现,各类信息系统安全事件时常发生,而由经济利益驱动的网络犯罪在全球日渐猖獗,各类网络攻击和危害网络安全行为的活动日渐增多,危害程度不断加大,这些不但严重影响了我们个人的切身利益,也严重影响了社会信息化的发展进程乃至整个国家的安全及经济发展[4-5]。

教育行业作为创新的典型行业,对信息化的依赖程度越来越高,同时网络安全问题的严重性日益凸显[6]。行业内单位数量众多,信息化应用类型复杂多样,安全管理边界模糊,是教育行业网络安全事件高发的重要原因。如何做好教育行业网络安全管理工作,是我们当前面临的挑战。面对网络资产不断发展和变化,对教育网内网站、互联网重要信息系统进行探查和梳理,进而形成可更新变化的网络资产数据库是安全监测、管理、通报、防御工作的基础,建立网络空间资产探查,自动、周期、准确获知资产底数以及动态变化的跟踪与监测是教育行业网络安全管理工作的重要基石[7]。

近年来,国内外陆续开展了网络空间资产探测的相关工作。2009年Shodan[8]搜索引擎出现,其通过扫描互联网网络设备并抓取解析各个设备返回的Banner信息,从而获得各种探测信息,如网络中哪种类型Web服务器最受欢迎,或是网络中存在多少可匿名登录的FTP服务器等。国内则以Zoomeye[9]和FOFA[10]作为网络空间资产探测系统的典型代表。上述系统主要基于全网络的资产探测,采用分布式部署,探测周期长,教育系统的特点在于地址空间大且相对集中、应用数量大且类型繁多[11]。作为省级教育系统网络安全监管单位,旨在建立一套网络资产探测与预警平台,通过对全省教育系统网络资产的自动探测,进而构建资产数据档案库,并基于采集的资产指纹信息与漏洞特征,对高危风险和0day漏洞进行快速感知,从而提升网络安全风险预警与防护能力[12-16]。

本文立足于教育行业网络实际情况,结合三种新型网络资产探测方式,从“资产采集-识别存储-分析预警”三个层次提出了网络资产探测与预警平台的设计模型。通过对比分析在教育网络环境下轻量化扫描、三种指纹识别方式组合迭代、依据漏洞特征进行的快速扫描预警的效率与准确度的实验结果,得出本文所提供的网络资产探测与预警平台模型可以快速、高效且较为准确地获取和发布相关网络空间资产信息与漏洞预警,适用于教育网网络环境下对资产探测与预警的能力,同时也希望能够为其他行业中大规模网络的安全监管提供一种新的模式与思路。

1 预备知识

1.1 网络资产

网络资产指设备、系统、数据和服务等各类要素的总和,其中,设备、系统、数据和服务是资产不同维度的呈现,不仅覆盖通信基础设施、IP网络、覆盖网络、应用支撑系统等互联网基础设施实体资产,而且覆盖承载在实体设施之上的信息内容等虚拟资产[17]。

每个网络资产都有自己的特征,这些特征可以形象地描述为网络资产指纹,例如Wordpress会在Robots.txt中会包含WP-Admin之类,默认样式会在首页中包含Generator=Wordpress xx,页面中会包含WP-Content路径、特殊端口等,以此类推,几乎所有开源CMS、Iot设备、网络设备等都有类似的指纹特征。资产指纹信息一般包含例如软件名称、版本号、服务类型等多个敏感信息。

本文主要研究教育行业信息化建设和网络安全相关的各类资产如：为支撑学校教学、科研和管理等各项业务开展的校园网络基础设施、信息系统、网站、数据、移动应用、联网设备等有形或无形的信息技术相关的资产。

1.2 网络资产探测

目前针对网络资产的探索手段可以归纳总结以下三种：主动式IP探测方式、被动式流量分析方式、非入侵式搜索引擎抓取[18]。

(1) 主动式IP探测方式：基于IP地址进行主动式扫描探测,用于发现目标主机是否在线,通过发送探测包到目标主机,收到回复,则目标主机在线。主机探测方式有多种,如发送ICMP/ECHO/TIMESTAMP/NETMASK报文、发送TCPSYN/ACK包、发送SCTP INIT/COOKIE-ECHO包等,可灵活选用不同的方式来探测目标主机[19]。

(2) 被动式流量分析方式：通过对特定流量进行采集与分析,采用算法模型对标准的网络层级中的各个流量信息进行分类,通过不同的特征信息与协议类型获取到网络内具体的网络资产信息情况,基于数据流量能够较为准确地分析出网络资产主机信息、域名、操作系统、IP、中间件等信息。

(3) 非入侵式搜索引擎抓取：基于传统搜索引擎或者专业信息安全搜索引擎进行抓取与探测,常见的传统搜索引擎有百度、搜狗、360搜索、谷歌、Bing等,通常利用特定的搜索语法进行检索,例如：intitle：、inurl：、site：、link：等。专业的信息安全搜索引擎则以Shodan、Zoomeye和FOFA为代表,其功能主要包括网络指纹识别、应用服务识别、组件查找、资产发现等。通过对传统与专业信息安全搜索引擎进行定向特征抓取从而获取到所需要的网络资产数据信息。不要超过两行。

从社会和公众角度讲，社会和公众的需要是多方面的，相比之下，企业提供产品或服务往往只从市场交易的层面考虑，那些社会和公众的非市场化需要则必须由公共产品来满足。因此，公众在有需要且政府不能提供满足的时候自然会诉诸企业，这就形成了一种自发的心理期望。当这部分自发的公众期望被满足时，在公众心理上产生的正面影响不言而喻。

2 网络资产探测与预警平台设计模型

本文所提出的网络资产探测与预警平台模型,通过对特定网络空间内的网络资产进行探测、分析、检索,进而建立包含指纹特征的网络资产库,其中包括域名、IP、端口、中间件、操作系统、开发语言等指纹信息,从而帮助网络安全管理人员界定安全防护边界。提取已知以及0 day漏洞的特征属性,建立漏洞特征库,匹配锁定资产库中的高危风险资产,配合威胁流量分析技术,提高网络安全漏洞发现和精准预警能力。本文将分别从资产采集、识别存储和分析预警三个主要模块进行介绍和分析。

图1 网络资产探测与预警平台设计模型

2.1 轻量化网络资产探测与采集层

教育行业优势在于可以通过IP清楚地标识是否是教育系统资产,但教育网内信息资产数量相较其他网络种类繁杂,各高校信息化水平参差不齐。面对这些问题,资产采集层通过掌握的IP段信息发包探测、分析旁挂在教育网链路上的流量设备以及借助专业安全搜索引擎进行采集,发现存活的网络资产。本文模型的主动探测技术采用网络资产的轻量化探测。传统的ICMP协议发送echo请求数据包,与服务器建立完整的TCP三次握手连接,利用轻量化的探测技术及TCP半开放式扫描,不建立完整的TCP连接,提高了扫描效率,更加适用于大规模的网络资产探测。当然大范围IP地址连续扫描存在被安全设备拦截的风险,针对这一问题,资产采集层中使用了基于教育网网络流量的分析技术和方法,通过被动流量探测技术实现资产发现。被动流量探测技术不对目标资产进行威胁性扫描请求,不会对目标资产和安全防护设备造成任何影响。同时为了更加全面获取教育网内的网络资产信息,资产采集层还依靠网络空间资产搜索工具如Shodan、Zoomeye和FOFA作为资产探测的补充和主被动探测的验证,从而最大程度保障网络信息资产探测的广泛性和完整性。网络资产采集层尝试建立覆盖全面的规则匹配库,保证网络资产探测的准确性,并利用分布式并行技术保障资产探测效率,实现探测效率和准确度的协调一致。

2.2 资产识别存储层

资产识别存储层针对教育网内发现的存活网络信息资产,包括IP地址和端口、操作系统指纹、Web应用指纹等进行有效的识别。根据端口协议、TCP/IP、HTTP协议、ICMP协议、TTL等方式分辨软硬件如主机网关类型、系统厂家及版本,识别Web服务器种类和版本Web组件、Web应用等重要指纹信息。通过主被动识别以及对接安全搜索引擎三种方式迭代识别,构建层次分明、结构清晰、粒度精细的教育系统网络资产库。将识别的网络信息资产及指纹信息按照层次化结构进行适当解耦依类别、主次,构造资产与指纹数据库。如域名信息包含：返回值、服务器类别与版本号、IP、URL、内容管理系统名称及版本、时间等;IP信息包含：版本信息、服务类别、开放端口等。建立高效的数据索引,对各种Web服务器、指纹、应用、版本等关键字段信息易于查询和检索,解决大量数据情况下检索效率问题。同时,网络信息资产一直处于动态变化中,随着各种信息系统的迭代,网络资产库的数据也将频繁变化,主要依赖轻量化的资产探测引擎保证更新频率和速度,实现网络资产数据库的更新迭代。

2.3 安全分析预警层

在资产预警层中,基于构建的教育系统网络资产库,对网络资产进行有效的大数据分析和展示,包括关联同一机构的网络资产,统计不同地理区域(市、区、高校)的资产数据特征。对历史高危风险以及当前公布的最新0 day漏洞进行关键特征的提取,构建漏洞特征库。基于漏洞特征库,挖掘资产库中易受到网络安全威胁的网络资产。同时,收集和过滤威胁流量,针对高风险可疑网络行为在网络资产库中进行特征匹配和关联分析,便于识别潜在的网络安全漏洞和网络安全风险。针对这些网络威胁及时评估安全风险并发布安全预警,做到防患于未然。同时也可以对网络资产库中信息进行不同纬度的统计,如端口、HTTPS协议、操作系统等,构建安全风险等级评估模型,可以有效地评估当前网络区域内的安全风险状况与网络安全建设水平,为未来的网络安全信息化建设提供数据参考。

3 实验结果与分析

为了验证本文提供的系统模型的实际应用情况,将从采集、识别到预警分析层,设计了如下四个实验,来测试本文模型的时间效率、识别准确度和获取率、安全预警效率、评估分析能力。

实验环境：基于教育网网络环境,在省级教育网核心出口旁挂部署测试。测试机采用CentOS 7.5操作系统,Intel i7-6700处理器,512 GB固态硬盘,32 GB内存,网卡型号为千兆Intel i350,万兆Intel 82599和Intel X710。测试模块采用Python语言编写,并利用Matplotlib库得到可视化数据点。

通过分析实验数据,可以确认本文模型在实际工作环境中具备较高的应用价值。

3.1 轻量化资产探测分析

图2 轻量化资产探测时间效率

3.2 探测识别方式对比分析

为验证资产识别层中指纹识别的准确度和获取率,本文作者分别从IP/域名数量、操作系统、中间件、系统类型、端口、开发语言、协议,七个方面,进行探测识别实验对比。其中某高校网络资产通过人工上报方式,进行了资产信息备案工作,共备案网络资产数量121个并记录了上述七项的详细信息,以该备案信息为标准数据,使用本文模型中设计的迭代探测识别方式,结果绘制如图3所示。此次校内实验共发现117个存活备案网络资产,占比96.69%,其余六项中识别准确率均达到72%以上。

图3 某高校备案信息识别信息准确率对比

此外,通过本文模型的方法,组合迭代三种网络探测方式对于省内教育系统网络资产进行采集与识别实验,整理了如表1所示的采集获取率,其中：模式1为仅使用主动探测方式获取;模式2为在模式1的基础上加入流量分析方式;模式3为在模式1和模式2基础上增加FOFA搜索引擎检索。可以看到,经过三种方式对网络资产的迭代采集和识别,平均资产信息获取率从50.86%提升至73.29%,进一步分析可以发现,主动扫描在中间件和协议识别上均超过50%具有一定优势,但IP/域名数量、操作系统与端口等受到安全设备影响,识别率不高。通过流量分析方式的补充,在之前识别较弱的方面有很大的提升,整体的识别率提升了18.51百分点。最后依托FOFA平台进行了搜索引擎抓取,发现部分未识别的IP/域名、中间件、标题、端口、协议,但FOFA平台对开发语言的识别支持不太好,所以对应识别率有所下降,不过经过迭代拓展了原有数据信息,整体发现资产数量从5 378上升到22 710,平均指纹信息获取率提升至73.29%。

表1 三种模式获取指纹数据对比表

综合来看,本文模型所提供的探测识别方式,在校内教育网环境下具备较高准确率,并在省级教育系统网络探测上可以提高一定的获取率。不过由于省级网络环境复杂,设备多样,整体的获取率还是偏低,未来还有进一步优化提升的空间。

3.3 基于网络资产的安全漏洞监测

针对预警分析层中对发现安全风险的效率进行测试,对之前风险较高以及0 Day漏洞的特征进行提取,以Http.sys远程执行代码漏洞(CVE-2015-1635)、Apache Tomcat文件包含漏洞(CVE-2020-1938)等5个漏洞为例,提取出如表2所示的漏洞主要特征属性,并建立网络资产漏洞库,利用漏洞库中漏洞的特征属性在资产库中进行匹配检索,可以快速定位高危风险资产。针对这些资产进一步进行漏洞扫描验证工作,可以大大缩短传统批量扫描后漏洞的验证工作量,如图4所示,从而全面提升发现安全风险的效率。

表2 部分高风险漏洞特征属性表

图4 传统方式与本文方式时间效率表

3.4 网络资产分析

对本文所构建资产库中的网络资产信息进行不同纬度的分析,可以较为系统地了解和评估当前网络环境下的安全状况。在此次实验中,发现该区域教育行业中Windows操作系统占比最高,在中间件使用上Nginx最多。本文以端口分布情况为例,绘制如图5所示的柱状图。通过分析图5数据,可以看出当前教育网内Web服务器数量较多,但HTTPS证书在省内普及率还处于较低水平,部分高危端口未被关闭如445端口,仍有很多数据库和RDP服务器暴露在公网上存在一定的安全隐患等。通过对资产库数据的统计分析,为将来的安全管理和监管提供数据参考依据,帮助制定更加合理、科学的政策,同时针对区域内网络安全薄弱和高风险隐患重点发力解决,提高该区域内教育行业整体的网络安全预警和防护水平。

图5 某省高校服务器常见端口分布

3.5 系统实现

基于本文模型开发的系统采用Django+Vue框架,实现前后端分离,提高了系统的安全性。使用Python成熟且丰富的插件库,加快开发进度的同时也降低了系统后期的运维学习成本,系统应用Scapy、Nmap、FOFA-API、Pocsuite等库实现资产探测与安全预警功能。数据库使用Mysql搭建,并利用Redis提高系统数据交互访问的速度。

该系统已在河南省教育信息安全监测中心部署测试,图6为系统任务管理界面,其中分为漏洞预警管理和资产探测管理,配置有统计分析、策略模板、任务管理等功能模块。用户可以根据不同场景配置不同探测策略,下发探测任务后,可点击任务列表进入查看详细探测结果如图7所示。

图6 系统任务管理界面

图7为某个探测IP的部分数据报告,基于轻量化探测采集以及三次迭代识别,用户可以清晰地看到该IP地址的存活情况、物理位置、操作系统、开放端口、应用协议等详细资产信息。利用建立的资产库,并结合收集的漏洞特征库,可以加快漏洞扫描效率,快速发现存在的安全隐患。

图8为统计汇总页面,从主机、域名、指纹、漏洞等层面对探测和预警的信息进行汇总展示,帮助用户更加直观地了解当前网络的资产与安全风险情况。

图8 探测预警结果部分统计

4 结 语

面对教育行业日益严峻的网络安全威胁,建立一个拥有清晰边界的安全管理防护体系势在必行。网络资产探测与预警平台的建立,是构建全省教育安全管理防护的基础,是提升全省教育行业网络安全防护与管理的关键,本文所提供的基于教育网的网络资产探测与预警平台模型,能够实现对资产的探测、管理、分析、预警的功能,但目前系统整体还处于初期阶段,整个网络资产探测与预警平台,在扫描效率、IPv6环境下的探测、指纹识别准确度、自动化方面还有很大改进和优化的地方。依托于教育网的优势,本文希望能把对中大型网络资产管理与安全预警的建设思路提供给读者,以此构建更多不同网络环境下的网络资产探测与预警平台。总之,网络资产探测与预警平台还有很多的方面值得我们进一步研究和实践。