一种基于工作流的攻防对抗目标信息收集的方法与流程

1.本发明属于目标信息收集方法技术领域，具体涉及一种基于工作流的攻防对抗目标信息收集的方法。


背景技术：

2.睿士
·
一体化攻击决策辅助系统(以下简称ias)，ias融合目标的社交空间、网络空间、地理空间等业务场景和数据模型，通过系统集成，形成数据模型融合、能力整合和协同作战的攻击决策辅助系统。主要是解决安全人员和一线团队(红队)的业务工作中决策辅助和战术战法支持等问题，在业务目标的一次性或者持续性推进过程中，根据攻击体系模型，对数据和战法进行分解、组织协同、学习、推荐、推演等，为一线团队和决策机构提供全息的数据支持、模型支持和决策依据。
3.目前，针对目标信息收集的主要方法有人工收集和半自动收集两类。大致的方式有网络踩点(footprinting)、网络扫描(scanning)、网络查点(enumeration)等等。传统的目标信息收集方式，非常依赖于人和半自动工具、软件、脚本等进行收集，必须经过人为的干预和处置后才能进行下一步工作，极大的降低了安全人员和一线团队的效率以及重复工作情况，亦会随着目标侦察数量的增加而递增难度。本发明的目的，旨在将攻击对抗中，对目标信息收集的作业流程界面化、模型化、持续化、自动化。


技术实现要素：

4.本发明的目的在于提供一种基于工作流的攻防对抗目标信息收集的方法，是一种通过工作流形式，自由编排定制目标数据的收集流程并模拟攻防对抗中黑客攻击目标的作业思路，本发明解决了针对目标的多源异构数据收集难以流程化，难以模型化和持续化、自动化的问题，更直观的展示了攻防对抗中黑客攻击的切入口和路线，亦能让安全人员快速实现攻防对抗经验的积累和水平提升。
5.为实现上述目的，本发明提供如下技术方案：
6.一种基于工作流的攻防对抗目标信息收集的方法包括以下步骤：
7.s1：创建和编排目标信息收集模型；
8.s2：应用目标信息收集模型，
9.所述s1中包括以下步骤：
10.a)：输入目标信息；
11.b)：创建编排工作流，选择下一步的目标信息收集模型节点；
12.c)：模型节点返回信息收集结果数据信息和进度信息；
13.d)：根据信息收集结果数据，选择下一步目标信息收集模型节点的输入源信息；
14.e)：持续根据作业思路选择模型节点进行编排，并进行信息收集；
15.f)：最终将整个工作流程保存为模型，
16.所述s2中包括以下步骤：
17.a)：输入目标信息；
18.b)：点击运行模型，并进行信息收集，展示模型节点进度和状态信息。
19.优选的，所述s1中可自定义编排目标信息收集工作流场景模型，对自定义编排的目标信息进行分类，所述目标信息类别由ip类、域名类及邮箱类三个类别组成。
20.优选的，所述ip类包括ip获取gps、ip获取城市信息、ip反查域名、c段端口指纹、ip获取网络类型和ip端口指纹。
21.优选的，所述域名类包括域名历史解析ip、域名获取注册邮箱、whois记录、dns解析记录、ssl证书、子域名收集、当前解析ip、域名备案信息和域名历史whois。
22.优选的，所述邮箱类主要由获取邮箱详细信息构成。
23.优选的，所述s2中通过输入目标信息，点击运行按钮，自动根据工作流模型实时进行目标信息收集，通过以下步骤可快速应用工作流目标信息收集模型：1.1)：域名历史解析ip(virus total)；1.2)：ip端口指纹(fofa)；1.3)：ip获取网络类型(ip-api)；1.4)：ip获取网络类型(ipuul)；1.5)：ip获取城市信息；2.1)：子域名收集(virus total)；2.2)：域名获取注册邮箱(whois命令)；3.1)：域名备案信息(alexa)；4.1)：域名历史whois(whoxy)；5.1)：域名获取注册邮箱(virus total)；6.1)：whois记录(whois命令)；7.1)：ssl证书(shodan)；8.1)：域名获取url；9.1)：获取邮箱列表；10.1)：获取alexa排名。
24.优选的，所述s2中对目标信息进行收集及处理是基于工作流模型节点的收集和处理。
25.优选的，所述s1和s2中的模型节点的收集均可查看当前模型节点的执行结果，并提供下一步目标信息收集的输入源选择操作，可实现工作流模型的多源异构数据的链式传递和收集。
26.与现有技术相比，本发明的有益效果是：
27.本发明的优点在于模拟黑客作业思路并进行界面化、模型化、持续化，通过创建和编排目标信息收集的模型，对目标网络踩点、目标网络扫描、目标网络查点等方式进行细化和分解，并形成模型节点；
28.通过编排模型节点的方式，让模型节点之间具备链式关联性和顺序，从而实现作业流程的逻辑界面化，流程化，模型化持续化；
29.通过编排模型节点间的输入源，输出源，即可解决多源异构数据间的通信和传递问题；
30.通过应用工作流的目标信息收集模型，简单输入目标信息，即可进行全自动化信息收集的目的，亦能沉淀攻防对抗中针对目标信息收集的经验沉淀，快速提升一线团队人员的效率和水平。
附图说明
31.附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：
32.图1为本发明的流程框图；
33.图2为本发明图1中的第一局部流程框图；
34.图3为本发明图1中的第二局部流程框图；
35.图4为本发明中创建和编排目标信息收集模型步骤框图；
36.图5为本发明中应用目标信息收集模型步骤框图；
37.图6为本发明中目标信息类别示意图；
38.图7为本发明中自动根据工作流模型实时进行目标信息收集的步骤图。
具体实施方式
39.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
40.实施例1
41.请参阅图1-图7，本发明提供以下技术方案：一种基于工作流的攻防对抗目标信息收集的方法包括以下步骤：
42.s1：创建和编排目标信息收集模型；
43.s2：应用目标信息收集模型，
44.s1中包括以下步骤：
45.a)：输入目标信息；
46.b)：创建编排工作流，选择下一步的目标信息收集模型节点；
47.c)：模型节点返回信息收集结果数据信息和进度信息；
48.d)：根据信息收集结果数据，选择下一步目标信息收集模型节点的输入源信息；
49.e)：持续根据作业思路选择模型节点进行编排，并进行信息收集；
50.f)：最终将整个工作流程保存为模型，
51.s2中包括以下步骤：
52.a)：输入目标信息；
53.b)：点击运行模型，并进行信息收集，展示模型节点进度和状态信息。
54.具体的，可参考图6，s1中可自定义编排目标信息收集工作流场景模型，对自定义编排的目标信息进行分类，目标信息类别由ip类、域名类及邮箱类三个类别组成。
55.具体的，可参考图6，ip类包括ip获取gps、ip获取城市信息、ip反查域名、c段端口指纹、ip获取网络类型和ip端口指纹。
56.具体的，可参考图6，域名类包括域名历史解析ip、域名获取注册邮箱、whois记录、dns解析记录、ssl证书、子域名收集、当前解析ip、域名备案信息和域名历史whois。
57.具体的，可参考图6，邮箱类主要由获取邮箱详细信息构成。
58.具体的，可参考图7，s2中通过输入目标信息，点击运行按钮，自动根据工作流模型实时进行目标信息收集，通过以下步骤可快速应用工作流目标信息收集模型：1.1)：域名历史解析ip(virus total)；1.2)：ip端口指纹(fofa)；1.3)：ip获取网络类型(ip-api)；1.4)：ip获取网络类型(ipuul)；1.5)：ip获取城市信息；2.1)：子域名收集(virus total)；2.2)：域名获取注册邮箱(whois命令)；3.1)：域名备案信息(alexa)；4.1)：域名历史whois(whoxy)；5.1)：域名获取注册邮箱(virus total)；6.1)：whois记录(whois命令)；7.1)：ssl证书(shodan)；8.1)：域名获取url；9.1)：获取邮箱列表；10.1)：获取alexa排名。
59.具体的，s2中对目标信息进行收集及处理是基于工作流模型节点的收集和处理。
60.具体的，s1和s2中的模型节点的收集均可查看当前模型节点的执行结果，并提供下一步目标信息收集的输入源选择操作，可实现工作流模型的多源异构数据的链式传递和收集。
61.最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。