摘要:内部网络在网络空间中普遍存在,一些重要机构的内部网络常常与互联网物理隔离或逻辑隔离。这在传统的基于边界的安全模型中已经足够安全,但在新型的零信任安全模型的视角,网络依然存在外部或内的威胁。如何及时发现内部网络中存在的漏洞和隐患,如何准确识别网络中的攻击事件,如何有效判断网络中的异常行为,进而提升网络的主动防御能力,已成为当前网络安全亟待解决的重要问题之一。通过引入网络探测的概念,探讨了网络资产主动探测、被动探测的概念,针对内网安全管理,被动探测和主动探测各自有其优点和缺点。被动探测可以无需对目标主机进行干扰,不容易产生风险,但是其获取信息的效率和完整性不如主动探测。主动探测可以更加全面地了解内网内的资产和风险,但是会产生一定的干扰和风险。结合网络异常流量智能分类与检测方法,提升内部网络的主动防御能力,从攻击者和防护者的双重视角,及时了解网络内资产组成、发现网络存在的脆弱点、分析存在的异常行为,在应用传统的主机发现、端口探测、服务及版本探测、操作系统探测及网络拓扑探测的基础上,通过对网络资产存量和增量数据进行比对,结合网络异常流量检测与分析技术,提出被动探测限制主动探测范围,异常数据流检测补充主被动探测结果的主被动协同探测模型,对于降低网络资产探测时内部网络噪声有明显的作用,为内部网络安全和数据安全提供了更高的防御能力。内网资产被动探测的主要目的是实现网络流量镜像抓包及利用Wireshark抓包后生成包含五元组信息(源IP、目的IP、源端口、目的端口、时间戳)的资源探测子表。为了实现该功能,使用了较为轻量级的python编程语言,利用Scapy库、Pyshark库及Wireshark工具实现网络流量包的抓取及对五元组信息的提取,利用CSV库实现了对提取数据的编辑存储。主动探测实现的功能主要有对内网段进行扫描、通过对比对异常流量进行筛选并发现异常主机、内网端口扫描等。通过多线程技术、优化数据预处理和数据分析的策略,可以有效地提高被动和主动探测速度和效率。在实际应用中,应根据具体情况确定优化策略,并结合实际情况进行调整和改善。内网资产探测技术的应用范围非常广泛,对于保障内网安全和提升网络安全水平都非常重要,能够帮助企事业单位及时发现网络中的安全威胁和漏洞,从而采取相应的安全措施进行保护。