(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211068714.7 (22)申请日 2022.09.02 (65)同一申请的已公布的文献号 申请公布号 CN 115150202 A (43)申请公布日 2022.10.04 (73)专利权人 北京云科安信科技有限公司 地址 100027 北京市朝阳区东 三环北路2号 南银大厦915 (72)发明人 金飞　 (74)专利代理 机构 北京欣鼎专利代理事务所 (普通合伙) 11834 专利代理师 王阳虹 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 114143052 A,202 2.03.04 CN 109361534 A,2019.02.19 CN 112738107 A,2021.04.3 0 CN 111866027 A,2020.10.3 0 CN 1087690 64 A,2018.1 1.06 CN 109327461 A,2019.02.12 CN 114003794 A,202 2.02.01 US 11032298 B1,2021.0 6.08 US 2017187 745 A1,2017.0 6.29 审查员 郭风顺 (54)发明名称 一种互联网IT信息资产搜集及攻击探测的 方法 (57)摘要 本发明涉及互联网安全 领域， 尤其涉及一种 互联网IT信息资产搜集及攻击探测的方法， 该方 法包括： 接收用户端资产搜集信息， 根据预设关 键词表将资产搜集信息进行分类并生成资产搜 集指令； 根据资产搜集指令进行资产信息搜集存 储到数据库； 根据数据库中存储的第一资产信息 生成模拟攻击指令； 根据模拟攻击指令对数据库 进行模拟攻击； 对模拟攻击后被攻击的第一资产 信息进行攻击手段的分析判断攻击手段的防御 重要程度； 根据攻击手段的防御重要程度和预设 攻击探测规则对 数据库进行攻击探测， 通过将搜 集到的资产进行模拟攻击， 得出每个攻击手段的 攻击程度和危害性， 对危害性高的攻击手段重点 进行攻击 探测， 提高攻击 探测的准确性和效率。 权利要求书3页 说明书9页 附图1页 CN 115150202 B 2022.11.25 CN 115150202 B 1.一种互联网IT信息资产搜集及攻击 探测的方法， 其特 征在于， 包括： 接收用户端资产搜集信息， 根据预设关键词表将资产搜集信息进行分类， 将分类后的 资产搜集信息生成资产搜集指令； 根据所述资产搜集指令进行资产信息搜集， 得到第一资产信息， 将所述第一资产信息 存储到数据库； 根据数据库中存 储的第一资产信息生成模拟攻击指令； 根据所述模拟攻击指令对数据库中的所述第一资产信息进行模拟攻击； 对模拟攻击后被攻击的第 一资产信 息进行攻击手段的分析， 判断攻击手段的防御重要 程度； 根据所述 攻击手段的防御重要程度和预设攻击 探测规则对数据库进行攻击 探测； 在判断出第 一资产信 息被攻击后， 根据被攻击的第 一资产信 息对应的实际基本信 息分 析第一资产信息的被攻击的攻击手段， 生成探测攻击手段白名单， 监控被攻击的第一资产 信息的存储位置， 根据被攻击的第一资产信息的价值等级和被攻击的第一资产信息的存储 位置判断被攻击的第一资产信息被安全防御的价值级别， 根据被攻击的第一资产信息被安 全防御的价 值级别将对应的攻击手段进行防御重要程度判断； 在判定所述第一资产信息被攻击时， 监控被攻击的第一资产信息的存储位置， 判断第 一资产信息被攻击的位置深度， 将该存储位置与预设安全攻击存储位置表进行匹配， 若该 存储位置属于预设安全攻击存储表， 则判定第一资产信息被攻击的位置深， 若该存储位置 不属于预设安全攻击存 储表， 则判定第一资产信息被攻击的位置 浅； 将被攻击的第一资产信息进行排序， 若第一资产信息被严重攻击且被攻击的位置深， 则将被攻击的第一资产信息排在第一； 若第一资产信息被严重攻击且被攻击的位置浅， 则将被攻击的第一资产信息排在第 二； 若第一资产信息被轻度攻击且被攻击的位置深， 则将被攻击的第一资产信息排在第 三； 若第一资产信息被轻度攻击且被攻击的位置浅， 则将被攻击的第一资产信息排在第 四； 其中， 排在第一和第二的被攻击的第一资产信息被防御的紧急度为特急， 排在第三和 第四的被攻击的第一资产信息被防御的紧急度为紧急。 2.根据权利要求1所述的互联网IT信 息资产搜集及攻击探测的方法， 其特征在于， 在存 储第一资产信息后和 生成所述模拟攻击指令前， 判断所述第一资产信息的价值等级， 获取 第一资产信息的实际域名， 对所述 实际域名进行解析， 得到网络地址信息， 对所述网络地址 信息进行权重计算， 得到实际权重W， 将实际权重 分别与第一预设权重W 1和第二预设权重W2 进行比较， 根据比较结果判断所述网络地址信息的等级， 若W＞W2， 则判断所述网络地址信息等级为 Ⅰ级； 若W1≤W≤W2， 则判断所述网络地址信息等级为 Ⅱ级； 若W＜W1， 则判断所述网络地址信息等级为 Ⅲ级； 其中， 所述网络地址信 息等级大小为 Ⅰ级＞Ⅱ级＞Ⅲ级， 所述网络地址信息等级为所述 第一资产信息的价 值等级。权　利　要　求　书 1/3 页 2 CN 115150202 B 23.根据权利要求2所述的互联网IT信 息资产搜集及攻击探测的方法， 其特征在于， 在计 算所述网络地址信息的实际权重时， 获取网络地址信息的日访问量U， 根据网络地址信息的 访问量得出网络地址信息的实际权重W， 设置有若干预设访问量范围， 每个预设访问量范围 对应一个实际权重W， 将网络地址信息的日访问量U与若干预设访问量范围进行匹配， 根据 网络地址信息的日访问量U匹配的预设访问量范围给网络地址信息配置实际权 重W。 4.根据权利要求3所述的互联网IT信 息资产搜集及攻击探测的方法， 其特征在于， 在对 数据库进行模拟攻击时， 记录所述第一资产信息的基本信息， 所述基本信息包括第一资产 信息名称、 第一资产信息存储量和第一资产信息存储形式， 对数据库中的所述第一资产信 息进行监控， 在预设时间T时， 获取第一资产信息的实际基本信息， 将第一资产信息的实际 基本信息与基本信息进行对比， 计算实际基本信息与基本信息不同的个数N， 若N≥2， 则判 定第一资产信息被严重攻击， 若N＜2， 则判定第一资产信息被轻度攻击 。 5.根据权利要求4所述的互联网IT信 息资产搜集及攻击探测的方法， 其特征在于， 在所 述第一资产信息被攻击后， 获取被攻击的第一资产信息的价值等级， 判断被攻击的第一资 产信息被安全防御的价 值级别， 若被攻击的第一资产信息的被防御的紧急度为特急且对应的价值等级为 Ⅰ级， 则判定 被攻击的第一资产信息被安全防御的价 值级别为A级； 若被攻击的第 一资产信 息的被防御的紧急度为特急且对应的价值等级为 Ⅱ级， 则判定 被攻击的第一资产信息被安全防御的价 值级别为B级； 若被攻击的第一资产信息的被防御的紧急度为紧急且对应的价值等级为 Ⅰ级， 则判定 被攻击的第一资产信息被安全防御的价 值级别为C级； 若被攻击的第 一资产信 息的被防御的紧急度为紧急且对应的价值等级为 Ⅱ级， 则判定 被攻击的第一资产信息被安全防御的价 值级别为D级； 若被攻击的第 一资产信 息的被防御的紧急度为特急且对应的价值等级为 Ⅲ级， 则判定 被攻击的第一资产信息被安全防御的价 值级别为E级； 若被攻击的第 一资产信 息的被防御的紧急度为紧急且对应的价值等级为 Ⅲ级， 则判定 被攻击的第一资产信息被安全防御的价 值级别为F级； 其中， 被攻击的第一资产信息被安全防御的价值级别大小为A级＞B级＞C级＞D级＞E 级＞F级。 6.根据权利要求5所述的互联网IT信 息资产搜集及攻击探测的方法， 其特征在于， 在判 断出被攻击的第一资产信息被安全防御的价值级别后， 判断对应的被攻击的第一资产信息 的攻击手段的重要程度， 攻击手段的重要程度为被攻击的第一资产信息被安全防御的价值 级别， 根据被攻击的第一资产信息被安全防御的价值级别将所述探测攻击手段白名单中对 应的攻击手段进行排序， 在对第一资产信息进行攻击探测时， 根据探测 攻击手段白名单中 攻击手段的排序和预设攻击探测规则进行不同程度的攻击探测， 攻击手段的排序越高， 则 攻击探测的程度越高。 7.根据权利要求6所述的互联网IT信 息资产搜集及攻击探测的方法， 其特征在于， 所述 第一资产信息的获取是在进行资产信息搜集时， 所述资产搜集指 令为若干种类资产搜集指 令， 任意种类资产搜集指 令包括资产搜集名称、 资产搜集标识和资产搜集时间， 将所述资产 搜集标识与预设域名表进行匹配， 将与所述资产搜集标识匹配到的域名生成实际域名， 根权　利　要　求　书 2/3 页 3 CN 115150202 B 3