[发明专利]一种合法且高效的常用内网 IP 地址搜集方法

说明书

本发明公开了一种合法且高效的常用内网IP地址搜集方法，包括以下：A)，设计并开发内网设计和展示软件，用户通过内网设计和展示软件设计并构建自己的内部网络；B)，设置符合数据集搜集者需求的激励规则，引导被测试者进行内部网络设计；C)，招募大量计算机相关专业的被测试者进行网络拓扑设计，引导其为内部网络中的每一台设备设置IP地址及子网掩码；D)，循环以上B)和C)，搜集计算机相关专业被测试者自行设计的内网网络拓扑图，对搜集到的内网网络拓扑图内含信息进行统计，形成常用的内网IP数据集。该方法短时间内合法地、有效地、极大程度地增加了参考样本的数量，对大量的样本进行统计获得常用内网IP的数据集。

技术领域

本发明涉及计算机技术领域，尤其涉及一种合法且高效的常用内网IP地址搜集方法。

背景技术

现有的互联网寻址结构中，IETF（Internet Engineering Task Force，互联网工程任务组）和IANA（Internet Assigned Numbers Authority，互联网号码分配局）保留了多个IPv4地址（Internet Protocol Address，网际协议地址）段用于特殊用途。其中，IP地址段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16用于专用网络（即局域网，又称内网）的本地通信。由于互联网用户快速增加，IPv4地址不足以分配给每一个互联网用户，大量的局域网采用NAT（Network Address Translation，网络地址转换）技术将局域网通过一个或多个出口接入互联网，而局域网内部使用专用网络的本地通信的保留IP地址段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。管理员会根据局域网规模大小选择不同的地址段标识局域网内的设备。为了方便记忆和管理，管理员通常将局域网IP地址设置成连续的或规律性的。

基于上述的背景，安全检测者的渗透测试（模拟恶意攻击者的真实攻击，检测并评估网络系统安全性和网络防御有效性的一种机制）通常包括攻陷出口服务器和内网（局域网）渗透两个部分。进行内网渗透的首要步骤是资产搜集，而资产搜集中最重要的是搜集内网活跃的IP地址，这种信息搜集一般是通过扫描进行，这种扫描流量通常被识别为异常流量。在真实的恶意攻击中，恶意攻击者为了避免管理员（或防御系统）发现其企图，避免管理员及时对系统进行物理关闭或防护，通常根据其以往的恶意攻击经验，仅对内网常用的IP地址（用于专用网络的本地通信的保留IP地址）进行扫描。这样，恶意攻击者可以极大程度地避免对未知资产进行扫描，有效地减少扫描产生的异常流量的产生，降低被管理员（或防御系统）发现的风险。然而，目前，大多数的渗透测试仍采取全网段（用于专用网络的本地通信的保留IP地址段）扫描、或直接向受检测方询问的方式进行资产搜集，存在时间成本高，无法有效模拟真实恶意扫描行为的问题。因此，安全检测者非常需要一种有效搜集内网常用IP地址的方法，来获取内网常用IP地址数据集。进而，使得其渗透测试更类似或符合真实的恶意扫描行为，提高其在渗透测试的资产搜集的隐蔽性和速率，更准确地评估网络系统的安全性，更有效地检测网络防御的有效性。

此外，一些基于内网IP地址的互联网服务的安全漏洞测试也非常需要有效搜集内网常用IP地址的方法，以便获取内网常用IP地址数据集。实验者搜集的常用内网IP地址的数量，以及该常用内网IP地址数据集与真实情况的吻合度，直接影响到DNS反向查询检测的速率和准确性。若实验者能获得体量适中的常用内网IP地址数据集，就能仿真漏洞利用场景，进而可提出有效的防御方案并检测防御方案的有效性。

目前，内网IP地址数据集属于内部信息，甚至是秘密信息，难以获得。已有的常用内网IP地址搜集方法仍停留在经验性搜集，即通过渗透测试员在工作中搜集常见的内网IP地址，这样日积月累来获得常用内网IP地址数据集。该方法搜集速度慢，且可供参考的样本数偏少。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是提供一种合法且高效的常用内网IP地址搜集方法，以解决现有技术的不足。