针对网络空间关键基础设施情报收集的组织行为分析报告.pdfVIP

针对网络空间关键基础设施情报收集的组织 行为分析报告 灯塔实验室 2016 年5 月 labs@ 目录 一、背景2 二、情报收集的通用原理与技术2 2.1 通用原理介绍2 2.2 工具与技术介绍3 三、关注ICS 情报的组织介绍4 3.1 国内组织介绍4 3.2 国外组织介绍5 3.3 各组织ICS 探测成熟度分析5 四、ICS 情报收集的组织简要数据汇总6 4.1 首次扫描时间与扫描节点IP 6 4.2 扫描节点IP 与关注的ICS 协议7 五、国外组织探测扫描行为分析 10 5.1 Shodan(Shodan.io) 10 5.1.1 针对扫描节点的行为统计 10 5.1.2 协议交互深度统计 12 5.1.3 组织行为分析 12 5.2 University of Michigan 13 5.2.1 针对扫描节点的行为统计 13 5.2.2 协议交互深度统计 14 5.2.3 组织行为分析 14 六、国内组织探测扫描行为分析 15 6.1 谛听（） 15 6.1.1 针对扫描节点的行为统计 15 6.1.2 协议交互深度统计 16 6.1.3 组织行为分析 16 6.2 傻蛋（oshadan） 17 6.2.1 针对扫描节点的行为统计 17 6.2.2 协议交互深度统计 18 6.2.3 组织行为分析 18 6.3 中国网安 18 6.3.1 针对扫描节点的行为统计 18 6.3.2 协议交互深度统计 19 6.3.3 组织行为分析 20 1 一、背景 随着Shodan 类网络空间搜索引擎的出现，基于主动探测的工控安全态势感知技术倍受 研究者追捧。Shodan 搜索引擎7*24 小时在网络空间搜索爬取互联网外部端口数据，并且根 据扫描结果实时更新数据库，这其中不乏针对工控协议的探测。ZMap、MASSCAN 等基于 异步无状态扫描工具的出现，使得快速探测整个IPV4 空间变成可能，加上基于工控设备通 信协议的识别探测，则可以迅速在网络空间中定位工控系统。 网络空间中的工控系统作为真正的关键基础设施是重要的战略和情报资源，而根据灯塔 实验室的数据统计，自2014 年以来，针对工控设备软硬件的扫描与探测的类型和次数有逐 年增多的趋势。 本报告则主要介绍了目前专注于网络空间中工控关键基础设施情报搜集的国内外组织， 通过我们长期跟踪部分组织的扫描引擎动作行为，对其关注的工控资产类型和历史动作行为 进行了分析。 二、情报收集的通用原理与技术 2.1 通用原理介绍 在传统网络中一般情况下需要鉴定一些服务、系统，往往可以通过端口扫描的方式来完 成，比如检查一些知名端口的开放情况。通过端口开放的情况能大概了解目标系统运行了那 些服务以及操作系统类型。具体要验证一些服务则可以使用对应的协议，去交互请求对应的 内容。而在传统