CN101888313B - 一种主机探测系统和方法 - Google Patents
一种主机探测系统和方法 Download PDFInfo
- Publication number
- CN101888313B CN101888313B CN 200910084545 CN200910084545A CN101888313B CN 101888313 B CN101888313 B CN 101888313B CN 200910084545 CN200910084545 CN 200910084545 CN 200910084545 A CN200910084545 A CN 200910084545A CN 101888313 B CN101888313 B CN 101888313B
- Authority
- CN
- China
- Prior art keywords
- host
- information
- detection
- address
- main machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种用于探测主机信息的主机探测系统,包括:云安全中心,存储有主机信息,并基于所存储的主机信息生成主机探测策略或者主机探测列表;以及主机信息探测装置组群,用于接收主机探测策略或者主机探测列表,并据此收集主机探测信息,并且将所收集的主机探测信息发送到所述云安全中心,其中所述云安全中心对所述主机探测信息进行处理以生成所述主机信息并存储所述主机信息。本发明还公开了相应的主机探测方法和主机查询方法。本发明的主机探测系统和方法克服了现有技术领域中的主机探测难以实施以及探测结果不完整的缺点,为用户提供了实时可靠的主机探测信息。
Description
技术领域
本发明涉及一种主机探测系统和方法,尤其涉及一种基于云安全技术的主机探测系统和方法。
背景技术
在因特网(Internet)中,DNS服务器的正向域名解析服务根据所查询的域名来提供与该域名相对应的IP地址。有时,在网络中还需要主机探测服务,即根据一个IP地址来获取与该IP地址相对应的主机信息,如主机名称(域名)、主机服务(该主机所提供的服务,包括WEB服务、FTP服务、电子邮件服务等)和主机类别(根据主机服务(主要是WEB服务)所针对的服务类别而对主机进行的类别划分,如综合类、军事类、娱乐类等主机类别)等。现有的一种主机探测服务类型为反向域名解析服务,当用户或应用程序向DNS服务器请求的不是一个主机名称(域名)而是IP地址时,DNS服务器的反向域名解析服务可提供对应于网络地址IP的主机名称。
由于DNS反向解析服务非常消耗DNS服务器系统资源,现在的DNS服务器大都不提供反向域名解析功能。此外,虽然还有少数DNS服务器可提供此服务,仍还存在可解析IP范围小,需要收费等问题。因此,依靠DNS服务器提供的反向解析服务来进行主机探测,很难达到令人满意的效果。
另外,现有的DNS反向解析服务在对虚拟主机进行探测时,会遇到更多的问题。虚拟主机技术是把一台运行在互联网上的服务器划分成多个“虚拟”的服务器,每一个虚拟主机都具有独立的域名并且通常具有完整的因特网(Internet)服务器(支持WEB,FTP,EMAIL等)功能。虚拟主机技术是因特网服务器采用的节省服务器硬件成本的技术,伴随着WEB业务的飞速发展,虚拟主机技术得到越来越广泛的应用。一台服务器上的不同虚拟主机是各自独立的,每台虚拟主机通过其独立域名为用户提供服务。图1a示出了一种服务器划分方式,其中多台虚拟主机共用一个物理网络接口并且共用一个IP地址,但是每台虚拟主机都拥有独立的主机名称(即域名)。图1b示出了另一种服务器划分方式,其中物理服务器具有两个物理网络接口,虚拟主机1和2共享网络接口1并共用分配到该网络接口1的IP地址,而其他虚拟主机共享网络接口2并共用分配该网络接口2的IP地址。
由此可见,在虚拟主机的情况下,一个IP地址可能与多个域名相对应,所以,传统的DNS服务器的反向域名解析功能不能为虚拟主机提供完整和准确的探测结果。
另外,传统的反向域名解析功能仅仅能够提供与IP地址对应的主机名称,而无法提供更多的主机相关信息(如主机服务和主机类别等),也不能满足现在主机探测的要求。
因此,所需要的是一种新型的主机探测系统和方法,其不但具有足够的资源来提供主机探测服务,而且还能够为虚拟主机探测提供准确和完整的结果。
云计算(Cloud Computing)是一种新兴的商业计算模型。它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务。这种资源池称为“云”。“云”是一些可以自我维护和管理的虚拟计算资源,通常为一些大型服务器集群,包括计算服务器、存储服务器、宽带资源等等。云计算将所有的计算资源集中起来,并由软件实现自动管理,无需人为参与。这使得应用提供者无需为繁琐的细节而烦恼,能够更加专注于自己的业务,有利于创新和降低成本。
云安全是结合网络安全背景提出的云计算模型的扩展,其核心思想与云计算相同。
本发明希望利用由云安全技术提供的充分资源来提供一种新型的主机探测系统和方法,来克服现有主机探测技术中存在的上述问题。
发明内容
根据本发明的一个方面,提供了一种主机探测系统,用于探测主机信息的主机探测系统,所述主机信息包括IP地址和与该IP地址对应的主机名称,所述主机探测系统包括:云安全中心,存储有主机信息,并基于所存储的主机信息生成主机探测策略或者主机探测列表;以及主机信息探测装置组群,用于接收来自所述云安全中心的主机探测策略或者主机探测列表,并根据所述主机探测策略或者主机探测列表收集主机探测信息,并且将所收集的主机探测信息发送到所述云安全中心,其中所述云安全中心对来自所述主机信息探测装置组群的主机探测信息进行处理以生成所述主机信息并存储所述主机信息。
根据本发明的一个优选方面,网络主机探测器组群包括DNS反向探测器组群、网络设备组群和网络主机探测器组群中的一个或者多个
根据本发明的另一方面,提供了一种用于探测主机信息的主机探测方法,所述主机信息包括IP地址和与该IP地址对应的主机名称,该方法包括步骤:接收由网络主机探测器组群发送的主机探测信息;对所述主机探测信息进行分析以生成主机信息;对所述主机信息进行数据挖掘以生成主机探测策略;以及将所述主机探测策略发送到所述网络主机探测器组群,以指示所述网络主机探测器组群进行主机探测来收集新的主机探测信息。
根据本发明的一个优选方面,该主机探测方法还包括步骤:当所述主机探测信息指示探测失败时,提取所述主机探测信息中的IP地址,并基于所述IP地址生成主机探测列表;以及将所述主机探测列表发送到所述网络主机探测器组群,以指示所述网络主机探测器组群进行主机探测来收集新的主机探测信息。
根据本发明的一个优选方面,循环地执行上述主机探测方法中的各个步骤。
根据本发明的另一个方面,还提供了一种在本发明的主机探测系统上进行主机查询的方法。
本发明的主机探测系统和方法基于云安全技术的思想,采用多种网络设备群进行主机信息探测与监测,消除了因为某一种设备或几台设备的硬件故障或技术失效而导致服务中断的可能性,其高可用性得到的显著的提升。此外,本发明的主机探测系统和方法通过主动或者被动地对因特网上的信息进行分析来获得主机探测结果,这克服了现有技术领域中的难以实施以及探测结果不完整的缺点,为用户提供了实时可靠的主机探测信息,使得用户可以有效的识别出指定范围内提供WEB服务的网站,以便对其进行进一步的合规性检查。另外,本发明的主机探测系统基于云安全技术,其可以提供简单易用的用户接口,并且也可以提供服务扩展,例如为网络设备提供虚拟主机探测服务。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1a和1b示出了在服务器上的虚拟主机划分方式;
图2示出了根据本发明一个实施例的主机探测系统200的结构框图;
图3a示出了根据本发明一个实施例的DNS反向探测器组群220的工作方式;
图3b示出了根据本发明一个实施例的DNS反向探测器221的结构框图;
图3c示出了根据本发明一个实施例的、由DNS反向探测器组群220进行主机探测的方法的流程图;
图4a示出了根据本发明实施例的网络设备组群230的工作方式;
图4b示出了根据本发明实施例的网络设备231的结构框图;
图4c示出了根据本发明一个实施例的、由网络设备组群230进行主机探测的方法的流程图;
图5a示出了根据本发明实施例的网络主机探测器组群240的工作方式;
图5b示出了根据本发明实施例的网络主机探测器241的结构框图;
图5c示出了根据本发明一个实施例的、由网络主机探测器组群240进行主机探测的方法的流程图;
图6a示出了根据本发明实施例的云安全中心服务器211的结构框图;以及
图6b示出了根据本发明实施例的、由云安全中心210向用户提供主机查询服务的方法的流程图;以及
图6c示出了云安全中心210进行主机信息探测的方法650的流程图。
具体实施例
下面结合附图和具体的实施方式对本发明作进一步的描述。
图2示出了根据本发明一个实施例的主机探测系统200的结构框图。如图2所示,主机探测系统包括云安全中心210、DNS反向探测器组群220、网络设备组群230和网络主机探测器组群240。云安全中心210包括一个或者多个云安全中心服务器211,用于对从DNS反向探测器组群220、网络设备组群230和网络主机探测器组群240等收集的主机探测信息进行分析和处理,生成主机探测策略或者主机探测列表来指示DNS反向探测器组群220、网络设备组群230和网络主机探测器组群240等进行主机探测操作。
DNS反向探测器组群220、网络设备组群230和网络主机探测器组群240等根据来自云安全中心210的主机探测策略或者主机探测列表来收集主机探测信息,并且将所收集的主机探测信息发送给云安全中心210进行进一步处理。
云安全中心还提供了针对客户端250的查询接口。客户端250处的用户可以利用该查询接口来查询主机探测结果。
应当注意的是,虽然图2中示出了三种用于收集主机探测信息的DNS反向探测器组群220、网络设备组群230和网络主机探测器组群240,但是本发明不限于此,例如,任何其它可以根据云安全中心210发送的主机探测策略或者主机探测列表来收集主机探测信息的主机信息探测装置组群都在本发明的保护范围之内。此外,云安全中心210可以仅仅与DNS反向探测器组群220、网络设备组群230和网络主机探测器组群240中的一个或者多个进行交互。
下面逐个对DNS反向探测器组群220、网络设备组群230、网络主机探测器组群240和云安全中心210的详细结构进行说明。
图3a-图3c说明了DNS反向探测器组群220的详细信息。图3a示出了DNS反向探测器组群220的工作方式。如图3a所示,DNS反向探测器组群220连接在云安全中心210和DNS服务器223之间。云安全中心向DNS反向探测器组群220发送主机探测列表(其通常为某个IP地址或者IP地址范围),DNS反向探测器组群220基于DNS反向解析服务,向DNS服务器223请求与IP地址相对应的主机名称,并且将查询结果作为主机探测信息返回给云安全中心210,以便由云安全中心210进行进一步处理。
DNS反向探测器组群220包括一台或者多台DNS反向探测器221。DNS反向探测器221基于DNS反向解析服务,通过向DNS服务器请求反向解析服务来获取与IP地址相对应的主机名称。图3b示出了根据本发明一个实施例的DNS反向探测器221的结构框图。如图3b所示,DNS反向探测器221包括通信装置2211、IP地址存储器2213、IP地址/主机名称对存储器2215和DNS反向查询器2217。通信装置2211与云安全中心210进行通信,用于接收主机探测列表,在本发明的实施例中,主机探测列表为要进行DNS反向查询的一个或者多个IP地址或者IP地址范围,并且将所接收的IP地址或者IP地址范围存储在I P地址存储器2213中。通信装置2211还将IP地址/主机名称对存储器2215中存储的一个或者多个IP地址/主机名称对作为主机探测信息发送到云安全中心210。DNS反向查询器2217为IP地址存储器2213中存储的每个IP地址或者IP地址范围向DNS服务器223发送反向解析请求,并且将DNS服务器223返回的反向解析结果,即IP地址/主机名称对存储在IP地址/主机名称对存储器2215中。
需要说明的是,虽然上面特别地描述了IP地址存储器2213和IP地址/主机名称对存储器2215的使用,但是根据本发明的另一个实施例,可以将IP地址存储器2213和IP地址/主机名称对存储器2215的功能并入到DNS反向查询器2217中。
另外,当DNS服务器223不能为IP地址进行反向解析时,DNS反向探测器221可以多种方式来通知云安全中心210。例如DNS反向探测器221可以向云安全中心210返回主机名称为空的IP地址/主机名称对来指示不能进行反向解析。或者DNS反向探测器221可以仅仅向云安全中心210返回正确地进行了反向解析的IP地址/主机名称对,云安全中心210通过将发送给DNS反向探测器221的IP地址和所返回的IP地址/主机名称对中的IP地址进行比较,就可以得知有哪些IP地址未被正确反向解析。
图3c示出了根据本发明一个实施例的,由DNS反向探测器组群220进行主机探测的方法的流程图。在步骤S301中,云安全中心210向DNS反向探测器组群220中的某个DNS反向探测器221发送主机探测列表(其通常为某个IP地址或者IP地址范围)。然后,在步骤S 303中,DNS反向探测器接收该主机探测列表,并利用DNS反向查询器2217向提供反向解析服务的DNS服务器发送反向解析请求。随后,在步骤S305中,判断DNS服务器能否正确地进行反向解析。如果能够进行反向解析,则在步骤S307中,DNS反向探测器221将正确地进行了反向解析的IP地址/主机名称对返回给云安全中心210。相反,如果DNS服务器不能为所查询的IP地址进行反向解析,则在步骤S309中,DNS反向探测器221向云安全中心210返回主机名称为空的IP地址/主机名称对。可选地,在步骤S309中,DNS反向探测器221不向云安全中心210返回任何信息以指示相应的主机查询请求无法得到满足。
图4a-图4c说明了网络设备组群230的详细信息。图4a示出了根据本发明实施例的网络设备组群230的工作方式。网络设备组群230包括一个或者多个网络设备231。网络设备231监听或者检测用户网络235和外部网络(如因特网)之间的通信。根据网络设备231监听或者检测用户网络235和因特网之间的通信的方式,网络设备可以分为网关型网络设备231a和旁路网络设备231b。如图4a所示,网关型网络设备231a串联地架设在用户网络235与因特网之间,因此所有用户网络235和因特网之间的通信都需要经过该网关型网络设备231a。旁路网络设备231b则是通过旁路配置监听用户网络与外部网络的信息。网关型网络设备231a和旁路网络设备231b都可以通过分析用户网络235和因特网之间的通信来收集主机探测信息,并且将所收集的主机探测信息发送给云安全中心210进行进一步处理。另外,云安全中心210可以将主机探测策略和主机探测列表发送到网络设备231a和231b,以便网络设备231a和231b基于主机探测策略和主机探测列表来有针对性地监听用户网络与外部网络的信息。
应当指出,网络设备组群230可以仅仅包括一个或者多个网关型网络设备231a、一个或者多个旁路网络设备231b或者同时包括网关型网络设备231a和旁路网络设备231b二者。所有这些都在本发明的保护范围之内。另外,与DNS反向探测器组群220不同,网络设备组群230通过分析所监听的网络通信来进行主机探测,因此其属于被动形式的主机探测装置。
图4b示出了根据本发明实施例的网络设备231的结构框图。由于在本发明的意义下,网关型网络设备231a和旁路网络设备231b的结构基本相同,因此在下面的结构描述中不再进行区分。
如图4b所示,网络设备231包括数据监听装置2311、主机信息提取装置2313、主机信息存储装置2315、主机探测策略配置器2317和网络设备通信装置2319。数据监听装置2311监听用户网络和因特网之间的通信,并且将所监听到的通信数据发送给主机信息提取装置2313进行进一步的处理。数据监听装置2311可以根据主机探测策略配置器2317所提供的主机探测策略或者主机探测列表来有选择地对满足主机探测策略或者主机探测列表要求的通信进行监听。例如,主机探测策略可以限定网络设备231进行监听的IP地址范围或者要进行主机探测的主机名称列表。
主机信息提取装置2313对数据监听装置2311所提供的数据进行分析,以提取主机探测信息,并且将所提取的主机探测信息存储到主机信息存储装置2315中。主机信息提取装置2313可以多种方式实现。例如,当数据监听装置2311所提供的数据是基于HTTP协议的通信时,主机信息提取装置2313可以首先根据TCP/IP协议栈从IP层中提取IP地址,然后分析应用层中的HTTP协议,以获取对应的主机名称,甚至还可以获得相关的HTTP传输内容(如网页内容)。对于FTP和电子邮件等其它服务,可以利用类似的方式获取主机探测信息(包括IP地址、主机名称以及可能的附加信息(如网页内容、邮件内容等))。主机信息提取装置2313也可以根据主机探测策略配置器2317所提供的主机探测策略和主机探测列表来有选择地对满足主机探测策略或者主机探测列表要求的通信数据进行分析。
主机探测策略配置器2317获取从云安全中心210经由网络设备通信模块2319提供的主机探测策略和主机探测列表,并且据此来控制数据监听装置2311和主机信息提取装置2313的操作。
网络设备通信装置2319与云安全中心210进行通信,以便接收云安全中心210提供的主机探测策略和主机探测列表,同时将主机信息存储装置2315中存储的主机探测信息发送给云安全中心210进行进一步处理。网络设备通信装置2319可以定期或者基于云安全中心210的指示来发送所存储的主机探测信息。
图4c示出了根据本发明一个实施例的、由网络设备组群230进行主机探测的方法的流程图。如图4c所示,在步骤S401中,网络设备231监听在用户网络和因特网之间的通信,然后在步骤S403中,网络设备231对所监听到的通信数据进行分析以提取主机探测信息。如上参考图4b所述,步骤S401和S403可以分别由数据监听装置2311和主机信息提取装置2313执行,而且步骤S401和S403中的处理还可以根据云安全中心210提供的主机探测策略和主机探测列表来进行。在步骤S405中,将所提取的主机探测信息发送给云安全中心210进行进一步的处理。步骤S405可以定期执行,或者根据云安全中心210的命令来即刻执行。
图5a-图5c说明了网络主机探测器组群240的详细信息。图5a示出了网络主机探测器组群240的工作方式。如图5a所示,网络主机探测器组群240连接在云安全中心210和因特网之间。云安全中心210向网络主机探测器组群240发送主机探测策略和主机探测列表,网络主机探测器组群240根据主机探测策略和主机探测列表在因特网上进行主机内容抓取和分析以获取主机探测信息,并且将所获得的主机探测信息发送回云安全中心以进行进一步处理。
网络主机探测器组群240包括一个或者多个网络主机探测器241,其以网络爬虫的方式进行操作来主动获取网络内容,因此,网络主机探测器241是一种典型的主动探测设备。图5b示出了根据本发明实施例的网络主机探测器241的结构框图。如图5b所示,网络主机探测器241包括主机页面抓取装置2411、主机信息提取装置2413、主机信息存储装置2415、探测策略配置器2417和探测器通信模块2419。探测策略配置器2417获取从云安全中心210经由探测器通信模块2419提供的主机探测策略或者主机探测列表,并且据此生成页面抓取指令来控制主机页面抓取装置2411的操作。在这里,主机探测配置可以包括要进行页面抓取的主机名称或者IP、进行页面抓取的深度等。所有在网络爬虫应用中可以应用的配置都可以在主机探测策略中进行配置。页面抓取指令类似于现有网络爬虫中的指令,同样也包括要进行页面抓取的主机名称或者IP、进行页面抓取的深度等。另外,网络主机探测器240同样可以在没有云安全中心210的主机探测策略或主机探测列表到来时,自行自动地进行网页抓取。
主机页面抓取装置2411根据探测策略配置器2417所提供的页面抓取指令来抓取相关的页面信息或者自行自动地抓取页面信息(类似于现有网络爬虫的方式),并且将所抓取的页面信息提供给主机信息提取装置2413。如果主机页面抓取装置2411没有办法抓取根据页面抓取指令而提供的主机页面,如页面抓取指令提供的主机不存在,则主机页面抓取装置2411经由探测器通信模块2419将主机不可达信息发送给云安全中心210。主机信息提取装置2413对主机页面抓取装置2411所抓取的页面信息进行分析,以提取主机探测信息,并且将所提取的主机探测信息存储到主机信息存储装置2415中。主机信息提取装置2413也可以直接把所提取的主机探测信息经由探测器通信模块2419发送给云安全中心210进行进一步处理。主机信息提取装置2413可以多种方式来提取主机探测信息。主机信息提取装置2413的处理基本上类似于传统网络爬虫中的处理,但是主机信息提取装置2413还着重提取了主机探测信息。由主机信息提取装置2413提取的主机探测信息除了包括IP地址、主机名称之外,还可以包括相关的页面内容。
图5c示出了根据本发明一个实施例的、由网络主机探测器组群240进行主机探测的方法的流程图。在步骤S501中,网络主机探测器241接收云安全中心210发放的主机探测策略或者主机探测列表。然后,在步骤S503中,网络主机探测器241根据该主机探测策略或者主机探测列表来确定要进行页面抓取的主机。在步骤S505中判断能否访问主机来对该主机进行页面抓取。如果不能访问该主机,则在步骤S507向云安全中心210返回此主机不可达信息。如果能够访问该主机,则在步骤S509根据主机探测策略或者主机探测列表抓取相应页面的内容,并进行页面信息分析以提取主机信息。随后在步骤S511中,将所提取的主机探测信息发送到云安全中心210进行进一步处理。
云安全中心210包括一台或者多台云安全中心服务器211a。图6a示出了根据本发明实施例的云安全中心210的结构框图。如图6a所示,云安全中心210包括主机查询处理装置2111、待探测IP地址存储装置2112、主机信息存储器2113、主机探测信息接收装置2114、主机探测信息处理装置2115、主机信息挖掘装置2116和探测列表/探测策略发送装置2117。
主机查询处理装置2111接收客户的主机查询请求,从主机信息存储器2113中查找对应的主机信息,并且将所查找到的主机信息返回给客户。如果主机查询处理装置2111未在主机信息存储器2113中找到对应的主机信息,则主机查询处理装置2111提取客户的主机查询请求中的IP地址,并将其存储到待探测IP地址存储装置2112中。
主机信息存储器2113中存储主机信息。根据本发明的一个实施例,每个主机信息条目包括IP地址、主机名称、主机服务和主机类别等信息。可以存在IP地址相同,但是主机名称、主机服务或者主机类别不同的多条主机信息。而且还可以存在IP地址不同,但是主机名称或者主机服务相同的多条主机信息。主机信息条目可以任何符合数据仓库构造的方式存储在主机信息存储器2113中,以便于主机信息挖掘装置2116对主机信息进行数据挖掘处理。
主机探测信息接收装置2114接收从DNS反向探测器组群220、网络设备组群230以及网络主机探测器组群240等的主机探测信息,并且将这些信息发送给主机探测信息处理装置2115进行处理。
主机探测信息处理装置2115对主机探测信息接收装置2114接收的各种主机探测信息进行处理。具体而言,如果主机探测信息指示探测失败(例如,DNS反向探测器组群220返回主机名称为空的IP地址/主机名称对),则主机探测信息处理装置211把探测失败的IP地址存储到待探测IP地址存储装置2112中。如果主机探测信息指示探测成功,则主机探测信息处理装置2115提取主机探测信息中包含的IP地址、主机名称对等以构造主机信息条目。另外,由于主机探测信息还可以包含网页信息,主机探测信息处理装置211可以对该网页信息进行处理以确定该主机对应的主机类别。根据网页信息来确定网页内容的类别可以利用结合遗传算法等人工智能策略的各种算法来进行,任何可以根据网页信息来对网页内容进行分类的处理都在本发明的保护范围之内。由于主机探测信息还可以包括主机服务内容(如WEB服务,FTP服务和电子邮件服务),主机探测信息处理装置211还可以提取这些信息,并将这些信息添加到主机信息条目中。
主机信息挖掘装置2116对主机信息存储器2113中存储的主机信息进行数据挖掘处理。总的来说,主机信息挖掘装置2116可以根据需要进行任何数据挖掘处理。例如,主机信息挖掘装置2116可以对存储的主机信息条目进行更新、合并等处理,以完善主机名称和IP地址的对应关系;从主机信息条目中提取主机服务类型列表;定期更新域名活跃信息以获取主机信息中各个主机的活跃程度;按域名分类统计最新或者最常用的主机名称排名等。主机信息挖掘装置2116进行数据挖掘的目的之一是生成要发送给网络设备组群230和网络主机探测器组群240等新的主机探测策略,以便网络设备组群230和网络主机探测器组群240根据新的主机探测策略收集新的主机探测信息,从而更新主机信息存储器2113中存储的主机信息。
由于DNS反向探测器组群220仅仅执行域名反向查询功能,所以通常不把主机探测策略发送给DNS反向探测器组群220。另外由于网络设备组群230和网络主机探测器组群240具有不同的性质,因此发送给它们的主机探测策略通常是不同的。例如,网络设备231通常处于用户网络和外部因特网之间来被动地监听用户网络和外部因特网之间的通信,由于用户网络通常具有固定的IP地址范围,并且通常其与外部网络之间的通信通常会涉及相同或者类似的内容类别。所以发送给网络设备组群230中的某个网络设备231的主机探测策略通常包括IP列表或者主机名称列表。网络主机探测器241可以主动地抓取某个主机上的网页信息,因此发送给网络主机探测器241的主机探测策略通常包括活跃程度小于设定阈值的主机名称列表以及进行网页抓取的其它设定(如访问深度等)。
探测列表/探测策略发送装置2117接收主机信息挖掘装置2116生成的主机探测策略,并且将主机探测策略分别发送给网络设备组群230和网络主机探测器组群240。另外,查询列表/查询策略发送装置2117还根据待探测IP地址存储装置2112中存储的待探测IP地址列表生成主机探测列表,并且将所生成的主机探测列表分别发送给DNS反向探测器组群220、网络设备组群230以及网络主机探测器组群240等。
DNS反向探测器组群220、网络设备组群230以及网络主机探测器组群240根据所接收的主机探测策略或者主机探测列表进行主机信息探测,并把所收集的主机探测信息发送回云安全中心210。从而,在根据本发明的主机信息探测系统中,通过云安全中心210、DNS反向探测器组群220、网络设备组群230以及网络主机探测器组群240之间的循环处理,可以准确且高效地获取国际互联网上的大量主机信息。
图6b示出了根据本发明实施例的、由云安全中心210向用户提供主机查询服务的方法600的流程图。在步骤S601中,云安全中心210接收从用户发送的主机查询请求,其通常包括要进行主机查询的IP地址。在步骤S603中,云安全中心210中的主机查询处理装置2111在主机信息存储器2113中查找与所查询的IP地址相对应的主机信息。如果找到与该IP地址相对应的主机信息,则在步骤S605中,将所找到的主机信息返回给用户。另外对于未找到对应主机信息的IP地址,则在步骤S607中,将该IP地址添加到待探测IP地址存储装置2112中。随后在步骤S609中,由探测列表/探测策略发送装置2117根据所存储的IP地址生成主机探测列表,并且将所生成的主机探测列表分别发送给DNS反向探测器组群220、网络设备组群230以及网络主机探测器组群240等以指示DNS反向探测器组群220、网络设备组群230以及网络主机探测器组群240为该I P地址进行主机探测。然后在步骤S611中,获取主机探测信息,从中提取与该IP地址相对应的主机信息以返回给用户。如果在步骤S611中仍然无法获得与该IP地址对应的主机信息,则将无法获得主机信息的结果发送给用户(步骤S613)。
应当说明的是,用户发送到云安全中心210的主机查询请求可以包括多个IP地址或者IP地址范围,此时方法600可以逐个地对每个IP地址进行处理,而且用户可以收到针对每个IP地址的主机查询结果。
此外,当在步骤S603中未找到对应的主机信息时,由于生成新的主机查询列表来进行主机探测需要一定的时间,所以用户可能需要等待一段时间来获得结果。另外,在步骤S611中无法获得对应的主机信息时,可以重复步骤S607-S609中的处理,以确定确实无法获得对应的主机信息。
图6c示出了云安全中心210进行主机信息探测的方法650的流程图。在步骤S651中,接收由DNS反向探测器组群220、网络设备组群230以及网络主机探测器组群240等发送的主机探测信息。步骤S651可以基于云安全中心210的指示定期进行,或者DNS反向探测器组群220、网络设备组群230以及网络主机探测器组群240可以主动地将所收集的主机探测信息发送给云安全中心210。在步骤S653中,判断所接收的主机探测信息中是否包括探测失败的信息(例如,没有找到与IP地址对应的主机名称)。如果包含了探测失败的信息,则在步骤S655中提取探测失败的IP地址,并将该IP地址添加到待探测IP地址存储装置2112中。随后在步骤S657中,由探测列表/探测策略发送装置2117根据待探测IP地址存储装置2112中存储的IP地址生成主机探测列表,并且在步骤S659中将所生成的主机探测列表分别发送给DNS反向探测器组群220、网络设备组群230以及网络主机探测器组群240等以指示DNS反向探测器组群220、网络设备组群230以及网络主机探测器组群240来进行新的主机探测。对于在步骤S653中探测成功的信息,在步骤S661中对主机探测信息进行处理以提取主机信息条目,并将其添加主机信息存储器2113中。步骤S661中的处理由主机探测信息处理装置211进行,由于上面已经详细描述了主机探测信息处理装置211进行的处理,这里就不再进行赘述。随后在步骤S663中,对主机信息存储器2113中的主机信息进行数据挖掘,以生成新的主机探测策略,该处理由主机信息挖掘装置2116进行,并同样不再进行赘述。在步骤S665中,将所生成的主机探测策略分别发送给网络设备组群230和网络主机探测器组群240等以指示网络设备组群230以及网络主机探测器组群240来进行新的主机探测。
方法650中的处理循环进行,以准确和实时地获取大量的主机信息,由此为用户提供准确而有效的主机查询服务。
需要指出的是,在本发明的主机探测系统中,主机信息通过不断的主机探测而得到更新和补充。例如,由DNS反向探测器组群220返回的主机探测信息中可能仅仅包括IP地址和主机名称,因而云安全中心210对该主机探测信息进行处理所获得的主机信息也仅仅涉及IP地址和主机名称。为了获得详细的主机信息,云安全中心210可以生成新的主机探测策略,以指示网络设备组群230以及网络主机探测器组群240获取与该主机相关的详细信息,随后,云安全中心210可以进一步处理该信息以完善和补充原有简单的主机信息。因此,本发明中的主机探测系统通过这种不断获取、完善和补充主机信息的方式,由云安全中心210、DNS反向探测器组群220、网络设备组群230以及网络主机探测器组群240之间的协作来获取准确和全面的主机信息。
综上所述,本发明的主机探测系统和方法主动或者被动地对因特网上的信息进行分析来进行主机探测,从而获得了及时、准确的主机信息,这克服了现有技术领域中的难以实施以及探测结果不完整的缺点,为用户提供了实时可靠的主机探测信息。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (18)
1.一种用于探测主机信息的主机探测系统,所述主机信息包括IP地址和与该IP地址对应的主机名称,所述主机探测系统包括:
云安全中心,存储有主机信息,并基于所存储的主机信息生成主机探测策略和/或主机探测列表;以及
主机信息探测装置组群,用于接收来自所述云安全中心的主机探测策略和/或主机探测列表,并根据所述主机探测策略和/或主机探测列表收集主机探测信息,并且将所收集的主机探测信息发送到所述云安全中心,
其中所述云安全中心对来自所述主机信息探测装置组群的主机探测信息进行处理以生成主机信息并存储主机信息。
2.如权利要求1所述的主机探测系统,其中所述云安全中心包括:
主机探测信息接收装置,接收来自所述主机信息探测装置组群的主机探测信息;
主机探测信息处理装置,对所述主机探测信息进行处理以生成主机信息;
主机信息存储器,存储由所述主机探测信息处理装置生成的主机信息;以及
主机信息挖掘装置,对所述主机信息进行数据挖掘处理,以生成主机探测策略。
3.如权利要求2所述的主机探测系统,其中所述云安全中心还包括:
待探测IP地址存储装置,存储要进行主机探测的一个或者多个IP地址;
探测列表/探测策略发送装置,根据所述待探测IP地址存储装置中存储的IP地址来生成主机探测列表,并且将所述主机探测策略和/或所述主机探测列表发送到所述主机信息探测装置组群,
其中所述主机探测信息处理装置提取探测失败的主机探测信息中的IP地址,并且将其存储到待探测IP地址存储装置中。
4.如权利要求3所述的主机探测系统,其中所述云安全中心还包括:
主机查询处理装置,接收客户的主机查询请求,从所述主机信息存储器中查找对应的主机信息,并且将所述对应的主机信息返回给客户,
其中如果所述主机查询处理装置未在所述主机信息存储器中找到对应的主机信息,则主机查询处理装置提取所述主机查询请求中的IP地址,并将其存储到所述待探测IP地址存储装置中。
5.如权利要求1-4中的任一个所述的主机探测系统,其中所述主机信息探测装置组群包括DNS反向探测器组群,适于接收所述云安全中心发送的主机探测列表,从中提取要进行探测的IP地址,并且向DNS服务器请求反向解析服务来获取与IP地址相对应的主机名称,并且将所获取的IP地址/主机名称对作为主机探测信息返回到所述云安全中心。
6.如权利要求5所述的主机探测系统,其中所述DNS反向探测器组群包括一个或者多个DNS反向探测器,每个DNS反向探测器包括:
通信装置,用于接收所述主机探测列表,并且将所获取的一个或者多个IP地址/主机名称对发送到云安全中心;以及
DNS反向查询器,为所述主机探测列表中的每个IP地址向DNS服务器请求反向解析服务以获取对应于每个IP地址的主机名称。
7.如权利要求1-4中的任一个所述的主机探测系统,其中所述主机信息探测装置组群包括网络设备组群,所述网络设备群组适于接收所述主机探测策略和主机探测列表,监听用户网络和因特网之间的通信,并分析所监听的通信以收集主机探测信息,并且将所收集的主机探测信息发送给云安全中心。
8.如权利要求7所述的主机探测系统,其中所述网络设备组群包括一个或者多个网络设备,每个网络设备包括:
数据监听装置,监听所述用户网络和因特网之间的通信,并获取监听数据;
主机信息提取装置,对所述监听数据进行分析以提取主机探测信息;以及
主机探测策略配置器,接收从所述云安全中心提供的主机探测策略和主机探测列表,并且根据所述主机探测策略和主机探测列表来控制所述数据监听装置和主机信息提取装置的操作。
9.如权利要求8所述的主机探测系统,其中所述网络设备包括网关型网络设备和旁路网络设备中的至少一个,所述网关型网络设备串联地架设在所述用户网络与因特网之间,而所述旁路网络设备通过旁路配置监听所述用户网络与外部网络之间的通信。
10.如权利要求1-4中的任一个所述的主机探测系统,其中所述主机信息探测装置组群包括网络主机探测器组群,所述网络主机探测器组群接收所述主机探测策略和/或主机探测列表,根据主机探测策略和/或主机探测列表在因特网上进行主机内容抓取和分析以获取主机探测信息,并且将所获得的主机探测信息发送回云安全中心。
11.如权利要求10所述的主机探测系统,其中所述网络主机探测器组群包括一个或者多个网络主机探测器,每个网络主机探测器包括:
探测策略配置器,接收所述主机探测策略和/或主机探测列表,根据所述主机探测策略和/或主机探测列表来生成页面抓取指示;
主机页面抓取装置,根据所述探测策略配置器生成的页面抓取指令,抓取相关的页面信息;以及
主机信息提取装置,对所述主机页面抓取装置抓取的页面信息进行分析以提取主机探测信息。
12.如权利要求1-4中任一个所述的主机探测系统,其中所述主机信息还包括主机服务和主机类别。
13.一种利用如权利要求1-12中的任一个所述的主机探测系统来探测主机信息的主机探测方法,所述主机信息包括IP地址和与该IP地址对应的主机名称,该方法包括步骤,在云安全中心处:
接收由主机信息探测装置组群发送的主机探测信息;
对所述主机探测信息进行分析以生成主机信息;
对所述主机信息进行数据挖掘以生成主机探测策略;以及
将所述主机探测策略发送到所述主机信息探测装置组群,以指示所述主机信息探测装置组群进行主机探测来收集新的主机探测信息。
14.如权利要求13所述的方法,其中还包括步骤:
当所述主机探测信息指示探测失败时,提取所述主机探测信息中的IP地址,并基于所述IP地址生成主机探测列表;以及
将所述主机探测列表发送到所述主机信息探测装置组群,以指示所述主机信息探测装置组群进行主机探测来收集新的主机探测信息。
15.如权利要求13或者14所述的方法,其中循环地执行上述步骤。
16.如权利要求13或者14所述的方法,其中所述主机信息探测装置组群包括DNS反向探测器组群、网络设备组群和网络主机探测器组群中的一个或者多个。
17.如权利要求13或者14所述的方法,其中所述主机信息还包括主机服务和主机类别。
18.一种利用根据权利要求1-12中的任一个所述的主机探测系统进行主机查询的方法,包括步骤,在云安全中心处:
接收主机查询请求,所述主机查询请求包括要进行主机查询的IP地址;
查找与所查询的IP地址相对应的主机信息;
如果找到与该IP地址相对应的主机信息,则返回所找到的主机信息;
如果未找到对应主机信息,则根据所述IP地址生成主机查询列表,并由所述主机信息探测装置组群根据所述主机查询列表来查询主机信息;以及返回所述主机信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910084545 CN101888313B (zh) | 2009-05-15 | 2009-05-15 | 一种主机探测系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910084545 CN101888313B (zh) | 2009-05-15 | 2009-05-15 | 一种主机探测系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101888313A CN101888313A (zh) | 2010-11-17 |
| CN101888313B true CN101888313B (zh) | 2013-06-19 |
Family
ID=43074047
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910084545 Active CN101888313B (zh) | 2009-05-15 | 2009-05-15 | 一种主机探测系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101888313B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102316106A (zh) * | 2011-09-07 | 2012-01-11 | 南京天地同宽网络技术有限公司 | 基于互反馈结构的分布式特定点对点网络主动探测方法 |
| CN102523196B (zh) * | 2011-11-21 | 2015-03-25 | 北京神州绿盟信息安全科技股份有限公司 | 一种信息识别方法、装置及系统 |
| CN102457588A (zh) * | 2011-12-20 | 2012-05-16 | 北京瑞汛世纪科技有限公司 | 一种实现反向域名解析的方法及装置 |
| CN103178994A (zh) * | 2011-12-26 | 2013-06-26 | 闻泰通讯股份有限公司 | 自动检测多台服务器的方法 |
| CN103516742B (zh) * | 2012-06-25 | 2016-09-07 | 和沛科技股份有限公司 | 云端服务器及其管控方法 |
| CN103220379A (zh) * | 2013-05-10 | 2013-07-24 | 广东睿江科技有限公司 | 一种域名反向解析方法和装置 |
| US10505894B2 (en) * | 2016-10-13 | 2019-12-10 | Microsoft Technology Licensing, Llc | Active and passive method to perform IP to name resolution in organizational environments |
| CN108259630B (zh) * | 2016-12-29 | 2021-01-12 | 中国电信股份有限公司 | 未备案网站探测方法、平台和系统 |
| CN106911522A (zh) * | 2017-04-20 | 2017-06-30 | 广东浪潮大数据研究有限公司 | 一种基于云环境的故障处理方法及系统 |
| CN110830582B (zh) * | 2019-11-13 | 2022-02-15 | 福建顶点软件股份有限公司 | 一种基于服务器集群选主方法和装置 |
| CN111431911B (zh) * | 2020-03-30 | 2022-08-12 | 绿盟科技集团股份有限公司 | 网络中设备基础信息收集方法、网络边缘设备及网络设备 |
| CN115225604A (zh) * | 2022-07-15 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 网络设备信息获取的方法、装置、电子设备及存储介质 |
-
2009
- 2009-05-15 CN CN 200910084545 patent/CN101888313B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101888313A (zh) | 2010-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101888313B (zh) | 一种主机探测系统和方法 | |
| CN110062025B (zh) | 数据采集的方法、装置、服务器及存储介质 | |
| CN101902505B (zh) | 一种分布式dns查询日志的实时统计装置及方法 | |
| CN102236581B (zh) | 用于数据中心的映射化简方法和系统 | |
| CN108205541B (zh) | 分布式网络爬虫任务的调度方法及装置 | |
| KR100511687B1 (ko) | 네트워크에 대한 지능형 트래픽 관리시스템 및 그를이용한 지능형 트래픽 관리방법 | |
| CN107943668A (zh) | 计算机服务器集群日志监控方法及监控平台 | |
| CN102073683A (zh) | 一种分布式的实时新闻信息采集系统 | |
| EP2563062A1 (en) | Long connection management apparatus and link resource management method for long connection communication | |
| CN103902646A (zh) | 一种分布式任务管理系统与方法 | |
| CN101902497B (zh) | 基于云计算的互联网信息监测系统及方法 | |
| CN102737019A (zh) | 机器行为确定方法、网页浏览器及网页服务器 | |
| US8478773B1 (en) | Interpreting search queries | |
| CN111046011A (zh) | 日志收集方法、系统、节点、电子设备及可读存储介质 | |
| CN110147470B (zh) | 一种跨机房数据比对系统及方法 | |
| RU2638001C1 (ru) | Система и способ выделения части резерва производительности антивирусного сервера для выполнения антивирусной проверки веб-страницы | |
| CN102253939A (zh) | 一种基于云计算技术的搜索方法及系统 | |
| CN102253948B (zh) | 在多源信息系统中搜索信息的方法和装置 | |
| US20220078101A1 (en) | Protocol and state analysis in a dynamic routing network | |
| CN107168845A (zh) | 一种故障定位方法及装置 | |
| CN110737634A (zh) | 日志搜索方法、客户端、服务端与计算机可读存储介质 | |
| CN101599857B (zh) | 检测共享接入主机数目的方法、装置及网络检测系统 | |
| CN102984003A (zh) | 网络接入检测系统和网络接入检测方法 | |
| CN102164048B (zh) | 局域网络中实现多运营商接入的数据流优化装置及方法 | |
| CN106027284A (zh) | 网络的故障诊断方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: NSFOCUS TECHNOLOGY CO., LTD. Effective date: 20130927 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20130927 Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai five storey building Patentee after: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai five storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai five storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |
|
| CP01 | Change in the name or title of a patent holder |