工業(yè)互聯(lián)網(wǎng)安全 課件 任務4 工業(yè)設備的發(fā)現(xiàn)與定位_第1頁
工業(yè)互聯(lián)網(wǎng)安全 課件 任務4 工業(yè)設備的發(fā)現(xiàn)與定位_第2頁
工業(yè)互聯(lián)網(wǎng)安全 課件 任務4 工業(yè)設備的發(fā)現(xiàn)與定位_第3頁
工業(yè)互聯(lián)網(wǎng)安全 課件 任務4 工業(yè)設備的發(fā)現(xiàn)與定位_第4頁
工業(yè)互聯(lián)網(wǎng)安全 課件 任務4 工業(yè)設備的發(fā)現(xiàn)與定位_第5頁
已閱讀5頁,還剩23頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

任務4工業(yè)設備的發(fā)現(xiàn)與定位對于工業(yè)互聯(lián)網(wǎng)安全的監(jiān)管者來說,尋找暴露在互聯(lián)網(wǎng)中的工業(yè)互聯(lián)網(wǎng)設備和節(jié)點,判斷它們是否存在漏洞或者是否為非法暴露,對于保障工業(yè)互聯(lián)網(wǎng)的安全具有重要意義。本任務主要講解如何使用潮汐搜索引擎查找工業(yè)互聯(lián)網(wǎng)中的工業(yè)設備。任務描述本任務學習使用網(wǎng)絡空間搜索引擎發(fā)現(xiàn)工業(yè)設備的方法。在線和離線設備安全分析1工業(yè)設備安全分析的支撐技術主要包括在線和離線設備安全分析技術。知識導入工業(yè)互聯(lián)網(wǎng)設備的發(fā)現(xiàn)2設備發(fā)現(xiàn)是在線設備安全分析的重要支撐技術。在進行設備安全分析之前,通常要對工業(yè)互聯(lián)網(wǎng)中的設備進行發(fā)現(xiàn)、識別與定位,充分掌握設備信息、網(wǎng)絡拓撲結構,了解整個工業(yè)互聯(lián)網(wǎng)的設備分布與拓撲結構,研究系統(tǒng)和設備安全態(tài)勢等,以便幫助系統(tǒng)管理員更好地進行設備管控工作。知識導入設備發(fā)現(xiàn)一般分為兩步:第一步是探測發(fā)現(xiàn),主要目的是發(fā)現(xiàn)并識別網(wǎng)絡中可用的設備;第二步是真實性判斷,主要目的是判斷目標設備的合法性和真實性。工業(yè)互聯(lián)網(wǎng)設備的發(fā)現(xiàn)2目前,有很多成熟的工具和軟件可以用于設備發(fā)現(xiàn)。根據(jù)掃描模式的差異,可分為主動掃描和被動掃描兩類;根據(jù)其功能也可分為兩類,一類是以潮汐、Zoomeye為代表的在線網(wǎng)絡空間搜索引擎,另一類是以Nmap、Grassmarlin為代表的離線設備發(fā)現(xiàn)工具。知識導入工業(yè)互聯(lián)網(wǎng)設備的發(fā)現(xiàn)2離線設備發(fā)現(xiàn)工具主要用于對固定范圍或目標進行掃描和設備發(fā)現(xiàn)。知識導入工具名稱工具概述掃描模式工具特性Nmap用于網(wǎng)絡發(fā)現(xiàn),設備發(fā)現(xiàn)和識別主動掃描支持多種端口掃描機制Masscan一個網(wǎng)絡端口掃描程序,其目標是使安全研究人員能夠盡快對大型網(wǎng)絡進行端口掃描主動掃描實現(xiàn)了自定義的TCP/IP堆棧,使用異步傳輸來提高掃描速率,具備一定的可移植性和可擴展性Zmap一種快速的單包網(wǎng)絡掃描儀,專門用于互聯(lián)網(wǎng)掃描主動掃描支持包括SYN掃描、ICMP、DNS查詢、UPnP、BACNET的探針模塊在內(nèi)的多種掃描模式Grassmarlin提供了一種用于在基于IP的網(wǎng)絡上發(fā)現(xiàn)和分類SCADA和ICS主機的方法被動掃描具備可移植性,以各種方式對捕獲的流量按照預定邏輯布局進行分組,獲得對流量和所用協(xié)儀的深入了解工業(yè)互聯(lián)網(wǎng)設備的定位3從定位方式上,設備定位技術可以分為基于互聯(lián)網(wǎng)信息挖掘的設備定位和基于網(wǎng)絡特征分析的設備定位。(1)基于互聯(lián)網(wǎng)信息挖掘的設備定位(2)基于網(wǎng)絡特征分析的設備定位(3)定位結果的信心度分析知識導入a)基于WHOIS登記

信息的定位方法WHOIS是用來查詢IP注冊信息的傳輸協(xié)議。是一個用來查詢IP是否已經(jīng)被注冊,以及注冊IP的詳細信息的數(shù)據(jù)庫。知識導入b)基于主機名稱的定位方法主機名稱是分配給連接到計算機網(wǎng)絡的設備的標簽,它可以是一個由單個單詞或短語組成的簡單名稱,也可以是一個結構化的名稱。c)基于IP歷史位置分析的定位方法通過采集IP的歷史基準點數(shù)據(jù)、預處理IP的歷史基準點數(shù)據(jù)和聚類IP的歷史基準點數(shù)據(jù),實現(xiàn)設備IP的定位?;谥鳈C名稱的定位方法通常情況下,主機名稱包含設備的接口類型、接口編號、設備角色和地址標識等關鍵信息。知識導入a)基于網(wǎng)絡拓撲分析的定位方法基于網(wǎng)絡拓撲分析的定位方法就是對IP進行網(wǎng)絡拓撲與網(wǎng)絡時延測繪,將其與具有相似網(wǎng)絡拓撲結構的、時延相似度高的已定位IP進行綁定,從而實現(xiàn)定位。這種定位方法有三個步驟:網(wǎng)絡路徑采集、網(wǎng)絡路徑修復和網(wǎng)絡拓撲分析定位。知識導入b)基于IP塊特征分析的定位方法除了用基于網(wǎng)絡路徑分析的方法進行定位外,還可以利用IP塊的特征輔助進行定位。如果這些較小的IP塊下多個IP的歷史基準點數(shù)據(jù)都處于同一區(qū)域,則可以判定該塊下的其他IP也在這一區(qū)域。定位方法的信心度分析知識導入定位方法定位信息度判斷理由基于WHOIS登記信息的定位方法中WHOIS登記信息較為準確,但可能存在更新不及時的問題基于主機名稱的定位方法低定位半徑較大,且可能存在信息更新不及時的問題使用IP歷史位置分析的定位方法高IP真實出現(xiàn)在的GPS位置,在經(jīng)過過濾和聚類后,準確度較高使用網(wǎng)絡拓撲分析的定位方法中由于網(wǎng)絡不穩(wěn)定,網(wǎng)絡拓撲分析的結果可能不準確,準確度適中使用IP塊特征分析的定位方法高IP塊較不上,且同一IP塊下的特征相似,準確度較高網(wǎng)絡空間搜索引擎發(fā)現(xiàn)工業(yè)設備任務實施【任務目的】了解網(wǎng)絡空間搜索引擎;掌握潮汐網(wǎng)絡空間搜索引擎的使用。【使用工具】運行系統(tǒng):Linux軟件:TideCyber網(wǎng)絡空間搜索引擎【步驟1】了解潮汐搜索引擎01潮汐搜索引擎概述TideCyber搜索引擎的官方地址是【步驟1】了解潮汐搜索引擎02潮汐搜索引擎Web語法os="linux",指定服務器系統(tǒng)類型。例:Linux服務器port="443",查找對應443端口的資產(chǎn)。CIDR格式的IP地址,net:/24area="北京",搜索指定城市的資產(chǎn)服務器,product:"Apachehttpd"cms="dedeCMS",指定cms類型title="山東省政府",從標題中搜索山東省政府相關資產(chǎn)url="",搜索域名或IP的網(wǎng)站或主機ip="",搜索域名或IP的網(wǎng)站或主機product="Apache",搜索web服務器類型名稱product_ver="6.0",指定web服務器版本號xpb="php",搜索制定組件信息banner="waf",搜索banner信息中帶有waf文本的資產(chǎn)httpserver="http",搜索返回頭包含http的信息service="ssh",搜索開啟ssh服務的信息【步驟2】使用潮汐搜索引擎網(wǎng)站01搜索指定端口的主機搜索開發(fā)80端口的主機,格式為port=80,在TideCyber搜索引擎網(wǎng)站的搜索框中輸入代碼,即可得到相應的搜索結果。【步驟2】使用潮汐搜索引擎網(wǎng)站01搜索指定端口的主機搜索開發(fā)80端口的主機并且服務器是apache,格式為port=80&product=Apache,在TideCyber搜索引擎網(wǎng)站的搜索框中輸入代碼,即可得到相應的搜索結果?!静襟E2】使用潮汐搜索引擎網(wǎng)站02指定標題探測網(wǎng)站標題的地址,格式為title=山東省政府,在TideCyber搜索引擎網(wǎng)站的搜索框中輸入代碼,即可得到相應的搜索結果。【步驟2】使用潮汐搜索引擎網(wǎng)站03搜索Linux服務主機搜索Linux服務主機的格式為os=linux,在TideCyber搜索引擎網(wǎng)站的搜索框中輸入代碼,即可得到相應的搜索結果?!静襟E3】使用潮汐搜索引擎api請求結構:GET/api/v1/服務地址:接口接入域名

通信協(xié)議:所有接口均通過HTTPS進行通信,提供高安全的通信通道請求方法:支持GET的HTTP請求字符編碼:均使用UTF-8編碼【步驟3】使用潮汐搜索引擎api01獲取API的參數(shù)獲取個人賬戶的API的Key、Email信息,登錄個人中心,點擊個人中心可看到Key具體的值?!静襟E3】使用潮汐搜索引擎api02測試API格式:curl-XGET"/api/v1/info/my?email=your_email&key=your_key"?!静襟E3】使用潮汐搜索引擎api03搜索標題為百度格式:curl-XGET"/api/v1/search/all?email=your_email&key=your_key&qbase64=dGl0bGU9ImJpbmci"。【步驟3】使用潮汐搜索引擎api04統(tǒng)計聚合格式:curl-XGET"/api/v1/search/stats?fields=title&qbase64=dGl0bGU9IueZvuW6piI%3D&email=your_email&key=your_key",例如:title="百度。任務評價任務評價了解在線和離線設備安全了解工業(yè)互聯(lián)網(wǎng)設備的發(fā)現(xiàn)方法和常用工具了解工業(yè)互聯(lián)網(wǎng)設備的定位掌握TideCyber搜索引擎的使用方法掌握TideCyberAPI的使用方法任務測驗選擇題

A.設備安全分析B.在線設備安全分析C.離線設備安全分析D.查找設備

()技術包括設備發(fā)現(xiàn)和定位技術,即如何有效地發(fā)現(xiàn)并定位不同類型的設備。A.潮汐B.ZoomeyeC.NmapD.Google

以下哪個選項不屬于發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)設備的工具和軟件?()A.基于WHOIS登記信息的定位方法B.基于主機名稱的定位方法

C.基于設備型號的定位方法D.基于IP歷史位置分析的定位方法

以下哪種不屬于基于互聯(lián)網(wǎng)信息挖掘的設備定位的方法?()簡答題任務測驗1.什么是工業(yè)互聯(lián)網(wǎng)設備發(fā)現(xiàn)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論