(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111538877.2 (22)申请日 2021.12.17 (71)申请人 上海矢安科技有限公司 地址 200135 上海市浦东 新区南洋泾路5 55 号陆家嘴金融街区4 号楼505 (72)发明人 李佩泽　吴炎臻　张玉环　 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/142(2022.01) G06K 9/62(2022.01) (54)发明名称 一种内网攻击面的自动化检测方法 (57)摘要 本发明针对内网攻击面 发现的自动化检测。 通过网络测绘， 重点研究内部网络自动化攻击面 的检测。 目前市面上的进行相关方面研究的组织 和学者， 主要针对自动化渗透的思路进行BAS相 关研究与论证， 以外网信息收集、 漏洞扫描、 边界 突破， 到内网横向移动的主机信息收集、 端口扫 描、 服务资产识别。 但未能很好地从攻击者视角 梳理最小阻力路径， 构建攻击路径， 绘制攻击面。 针对这些问题， 提供一种可改善目前对内网攻击 面识别的现状内网攻击面发现方法。 主要通过数 据探测获取、 数据融合分析、 数据可视化呈现进 行资产测绘， 后通过行为检测等方式引入被动测 量引导主动测量的模型， 进行攻击面发现检测。 权利要求书2页 说明书4页 附图1页 CN 114389848 A 2022.04.22 CN 114389848 A 1.一种内部网络资产攻击面发现的自动化检测方法， 包括如下步骤： 网络测绘技术： 从网络空间测绘的概念和体系演进情况看， 网络测绘技术是网络测量 的延伸， 可分为 三个方面， 分别是 数据探测获取、 数据融合分析、 数据可视化呈现 a. 数据探测获取： 是获取网络空间中各类资源的属性信息和运行数据， 为后期刻画分 析提供数据支撑;网络空间的资源可分为实体资源和虚拟资源， 实体资源主要指网络的自 身属性， 如交换设备和接入设备等； 虚拟资源主要指网络使用中的社会属性， 如提供的服 务、 用户ID、 访问情况等;而网络拓扑探测技术比较成熟， 通常分为IP 接口层网络拓扑探测、 路由器层网络拓扑探测、 入网点网络拓扑探测和AS （Autonomous  System） 层网络拓扑探测; AS网络拓扑探测从BGP、 IRR （Internet  Routing Registry） 中获取通联快照， 再基于通联的 层次递进关系进拓扑推算;组件探测技术主要基于先验知识和机器学习， 通过指纹识别 设 备组件的操作系统、 端口、 服 务和应用的类型 b. 数据融合分析： 主要是对探测获取的网络空间资源数据进行分析和处理， 为后期可 视化表达和呈现提供支撑;网络空间的数据资源规模大、 种类多、 属性和映射关系复杂， 网 络空间测绘需要对这些数据进行高效的分析处理;不同于传统的单元数据 处理， 主要有三 个技术方向： 流式数据快速处 理、 多数据源融合分析、 深度学习挖掘 c. 数据可视化呈现： 是在数据探测获取和数据融合分析的基础上， 将网络空间资源及 属性投射到一个多维的可视化空间， 进 行全息绘制呈现， 主要分为可视化表达、 数据关联映 射、 绘制呈现;可视化表达体现为网络空间资源属性的可视化， Ware  C等提出信息可视化表 达需要对信息属 性进行划分， 信息的属性通常划分为类别属性、 区间属性、 数值属性等;数 据关联映射将映射关系分为图形映射和结构映射;其中实体属 性、 虚拟属 性对应可视化图 形， 关联属性、 时间属性对应可视化结构;绘制呈现可分为逻辑图绘制、 地理信息图绘制; 其 中逻辑图绘制主要是对网络实体资源及拓扑的可视化多尺度描述， 表达网络中节点情况和 节点间连接情况， 从而 给人以直观的感受;逻辑图绘制利用多维的空间布局方法， 通过构建 拓扑或通联关系的可视化模型， 将资源的各类属性信息在可视化模型中进行 结果呈现。 2.要提高对内部网络攻击面检测的自动 化程度， 本说明引入被动测量引导主动测量的 模型， 弥补主动测量存在的不 足； 基于测绘结果、 通联数据、 时间信息进 行时空融合分析， 探 索并设计出准确度较高、 交 互性强、 实用有效的攻击活动分析模型和异常行为的检测模型。 3.主要分析以下几点： a. 被动引导主动的网络测绘模型 面向受限内部网络存在的IP地址分布稀疏性、 网络负载受限等问题， 提出被动测量引 导主动测量的测绘模式， 为传统测量方法向内网迁移 提供支撑;该模 型中， 被动测量通过获 取流量数据中的元组数据， 建立不同时序的IP地址数据集、 端口数据集和通联关系集， 为主 动测量提供策略依据 b. 基于流量通联图谱的设备识别方法 面向受限内部网络存在主动探测数据报文召回率不高、 流量数据深度解析受限等问 题， 提出基于流分析和图分析识别内部网络设备 的方法， 为有效补充主动测 量的探测盲点 提供支撑;通过内部网络IP地址通联关系图谱， 以IP地址为节点、 IP通联为边， 计算每个节 点的关联度、 领域平均度、 要塞指数等， 判断IP地址对应设备为服务器类 设备或者 终端类设 备权　利　要　求　书 1/2 页 2 CN 114389848 A 2c. 基于图挖掘和流挖掘的集成检测方法 面向受限内部网络存在检测模型和检测策略孤立、 异常行为隐蔽性和特征难以提取的 问题， 提出测绘指引下图挖掘和流挖掘集成检测的优化方法， 为提升异常行为的检测能力 提供支撑 d. 基于时空时间信息融合的攻击检测方法 面向受限内部网络存在海量报警信息难以融合、 误报过多的问题， 可通过本方法提升 空间和时间联合场景攻击事件信息融合提供支撑； 基于主客体和因果分析， 构建分散攻击 场景， 形成时间序列和空间序列攻击事件的多维表征方法;以此为基础， 提出利用贝叶斯网 络模型进行跨空间的事 件关联方法和隐马尔可 夫模型进行跨时间的事 件关联方法。权　利　要　求　书 2/2 页 3 CN 114389848 A 3