[发明专利]一种网络资产画像提取方法

权利要求书

1.一种网络资产画像提取方法，其特征在于：包括基础数据提取和处理步骤、网络数据提取和处理步骤、以及全局数据支持画像步骤；

所述基础数据提取及补充步骤，提取的基础数据包括互联网和内网的资产IP、互联网中资产的域名、以及内网资产的主机名；以及收集获取互联网中开源的IP的whois数据、和通过路由协议获取内网资产的资产分组和网络拓扑信息作为基础数据的补充；

所述网络数据提取和处理步骤，保护获取互联网和内网中的资产向其他网络提供服务时产生的IP会话提取所述IP会话中的网络数据，并进一步提取所述IP会话和网络数据中的通联数据、设备信息、资产应用属性、资产行为数据、威胁记录和角色属性，并对上述属性进行相似性提取和态势属性分析，最终形成资产分类的资产画像。

2.如权利要求1所述的一种网络资产画像提取方法，其特征在于：所述互联网的资产指互联网网络对外暴露出IP和/或域名的主机、服务器等网络设备；所述内网的资产指局域网网络资产或者专用网络资产，如企业内部网络、政府专有网络；所述互联网的资产IP是从IP网络层获取的；内网的资产IP还包括网关、MAC，是从ARP、DHCP应用层中获取；互联网中资产的域名是从DNS应用层获取的；内网资产的主机名是从NBNS、NETBIOS、DHCP应用层中获取的。

3.如权利要求1所述的一种网络资产画像提取方法，其特征在于：所述开源的IP的whois数据中包括经纬度、国家属地、运营商、自治域在内的数据信息；所述提取所述IP会话中的网络数据，包括互联网资产开放的端口和协议在内的网络数据通过会话重组提取IP会话中服务器响应的应用负载Payload，解析获取包含服务器名称、版本、操作系统、CPU型号在内的协议字段，还原IP会话中在加密协议的会话过程中交换的数字证书。

4.如权利要求1所述的一种网络资产画像提取方法，其特征在于：所述通联数据，是通过IP会话记录提取包括资产的网络出度和入度、网络会话五元组、资产的网络访问统计量、资产的网络会话量、资产的异常会话在内的资产通联数据。

5.如权利要求1所述的一种网络资产画像提取方法，其特征在于：所述设备信息是用于描述资产的硬件信息的属性，是通过自定义构建或者基于所述网络数据收集设备制造商提供的设备属性清单、通过所述应用负载Payload提取设备特征，通过特征识别的方法识别出的设备类别，提取的设备信息包括设备名称、设备制造商和设备操作系统信息。

6.如权利要求5所述的一种网络资产画像提取方法，其特征在于：所述设备特征包括协议相关的特征和会话交互特征的特征，所述协议相关的特征包括字段内关键字字符、正则特征、值特征、加密会话还原证书和操作系统特征；所述会话交互特征的特征包括基于IP的活跃周期的逻辑特征。

7.如权利要求1所述的一种网络资产画像提取方法，其特征在于：所述资产应用属性包括数据库、邮箱、共享文件库、企业网盘在内的使用固定端口通信的应用，资产应用属性的识别并且包括使用协议字段识别web应用和本地软件。

8.如权利要求1所述的一种网络资产画像提取方法，其特征在于：所述资产行为数据，是通过构建包括“端点资产+网络+端点资产”的行为模型，通过模型比对提取资产的行为数据；行为数据包括正常行为数据和异常行为数据；所述正常行为数据包括用协议访问行为、周期规律性行为和白名单行为；所述异常行为数据包括非标准协议的网络行为、利用过期和自签名的伪造证书行为、利用扫描器的资产扫描行为、违规黑名单访问行为等、资产外连行为、恶意漏洞利用行为。

9.如权利要求1所述的一种网络资产画像提取方法，其特征在于：所述威胁记录是基于网络开源数据API获取威胁属性数据，收集关于资产的威胁记录，所述威胁记录包括威胁标签、是否为黑名单IP、域名、是否存在恶意文件下载、是否存在恶意url链接、是否为黑邮箱代理、是否受漏洞影响。