CN102156827B - 基于fpga的远程漏洞高速扫描主机及扫描方法 - Google Patents
基于fpga的远程漏洞高速扫描主机及扫描方法 Download PDFInfo
- Publication number
- CN102156827B CN102156827B CN201110008285XA CN201110008285A CN102156827B CN 102156827 B CN102156827 B CN 102156827B CN 201110008285X A CN201110008285X A CN 201110008285XA CN 201110008285 A CN201110008285 A CN 201110008285A CN 102156827 B CN102156827 B CN 102156827B
- Authority
- CN
- China
- Prior art keywords
- main frame
- leak
- fpga
- module
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Stored Programmes (AREA)
- Devices For Executing Special Programs (AREA)
Abstract
本发明涉及基于FPGA的远程漏洞高速扫描主机及扫描方法,用FPGA分担了CPU的工作,提高远程漏洞扫描速度和准确率。该扫描主机由主机存活探测模块、存活主机漏洞结果库、存活主机知识库存放模块、漏洞插件扫描模块和漏洞规则库模块构成,其中存活主机探测模块通过TCPconnect扫描与远程目标主机的端口进行连接,若连接成功则获取此主机开放端口的信息,形成该主机的知识库,将此主机的知识库存放到FPGA的存活主机知识库存放模块,FPGA启动漏洞插件扫描模块,通过对该主机知识库的内容和漏洞规则库模块进行高速扫描匹配,若匹配成功,则该漏洞存在,然后将该漏洞的信息存放到存活主机漏洞结果库里,供安全管理人员参考。
Description
技术领域
本发明涉及一种基于FPGA的远程漏洞高速扫描主机及扫描方法,属于计算机网络技术领域。
背景技术
在网络安全形势日益严峻的情况下,网络防护重点逐渐从被动防御转为主动防御,即采取远程漏洞扫描技术,主动检测远程主机系统中出现的漏洞,及时采取应对措施,防患于未然。没有及时有效且高速的远程漏洞扫描,安全防范将无从谈起。
远程漏洞高速扫描方法是一种自动检测远程主机安全性弱点的方法。通过使用该方法,系统管理员能够发现所维护的服务器的各种TCP端口的分配、提供的服务、软件版本和这些服务及软件呈现在网络上的安全漏洞。从而在计算机网络系统安全保卫战中做到有的放矢,及时修补漏洞,构筑坚固的安全长城。
现在市面上有多种远程漏洞扫描方法,由于都是基于PC机上运行的,扫描速度依赖于 CPU的速度,而CPU需要协调各项系统运行任务,分配给远程扫描的资源被大大弱化,这个导致它们在执行远程扫描时耗费较多等待时间,导致连接远程主机相应端口时出现超时现象,从而无法准确获得该端口上运行了哪些服务,存在哪些漏洞,出现漏报情况。
针对目前主流PC运算能力有限,所有工作都由CPU处理导致速度慢的问题,需要将远程漏洞高速扫描的部分工作分担给其它专业部件执行,分工协作,提高扫描速度和准确率,供安全管理人员参考。
发明内容
本发明的目的在于弥补现有实现方法的局限性,提供一种基于FPGA的远程漏洞高速扫描主机及扫描方法,由CPU负责扫描远程目标机器中存活的主机及开放端口的信息,形成该主机开放端口的知识库,而FPGA高性能运算PCI卡利用该主机的开放端口知识库和漏洞规则库模块进行高速扫描匹配,大大提高远程扫描速度和准确率。
本发明是通过以下技术方案实现的,该扫描主机包括存活主机探测模块、存活主机漏洞结果库、存活主机知识库存放模块、漏洞插件扫描模块和漏洞规则库模块,所述存活主机探测模块和存活主机漏洞结果库由CPU操作,其中存活主机探测模块通过TCP连接扫描与远程目标主机的端口进行连接,若连接成功表示此主机是活动的,然后获取此主机开放端口的信息,形成该主机的知识库;其中FPGA包括存活主机知识库存放模块、漏洞插件扫描模块和漏洞规则库模块,最后将此主机的知识库通过PCI接口存放到FPGA的存活主机知识库存放模块,FPGA启动漏洞插件扫描模块,通过对该主机知识库的内容和漏洞规则库模块进行高速扫描匹配,若匹配成功,则该漏洞存在,然后将该漏洞的信息存放到存活主机漏洞结果库里,供安全管理人员参考。
扫描主机包含的存活主机探测模块和存活主机漏洞结果库是由CPU操作的,其中存活主机探测模块是新添加的功能模块,主要由CPU调用此模块探测远程目标主机,判断哪些主机是活动的,以避免不必要的空扫描,然后再由FPGA对该活动的主机进行漏洞扫描。
所述基于FPGA的远程漏洞高速扫描方法如下。
(1)存活主机探测模块的工作流程为:
由CPU操作存活主机探测模块通过TCP连接扫描与远程目标主机的1~1024或者1~65535端口进行连接,它是利用TCP的完全连接方式,通过发送报文段连接到目标计算机上,完成一次完整的三次握手过程。如果端口处于侦听状态,那么该连接就能成功返回,表示此主机是活动的,然后获取此主机开放端口的信息,形成该主机的知识库;其中FPGA包括存活主机知识库存放模块、漏洞插件扫描模块和漏洞规则库模块,最后将此主机的知识库通过PCI接口存放到FPGA的存活主机知识库存放模块。
(2)FPGA启动漏洞插件扫描具体流程为:
a.通过FPGA启动漏洞插件扫描模块,根据该主机知识库的内容,调用获取主机详细信息的插件来获取主机名、操作系统和MAC地址信息。
b.根据a步获取的主机操作系统的信息,自动选择相应类型的漏洞扫描插件,形成扫描该主机的插件队列。
c.FPGA通过b步形成的插件队列结合该主机知识库的内容,扫描相应开放端口,将从端口获取的信息与漏洞规则库模块进行高速扫描匹配,若匹配成功,则该漏洞存在,转入d操作,否则转入e操作。
d.根据c步匹配成功获得的漏洞信息,保存到存活主机漏洞结果库里,供安全管理人员参考。
e.若FPGA扫描队列里还有未扫描的插件,则转入c操作。
本发明是一种利用FPGA高性能运算PCI卡分担CPU的部分工作的远程漏洞高速扫描方法,将原来由CPU在所有存活主机探测结束后做的漏洞扫描工作转由FPGA单独来完成,CPU和FPGA相互独立协调工作,提高了整体探测扫描速度和准确率。
附图说明
图1是本发明扫描主机的原理图。
图2是本发明的存活主机探测流程图。
图3是本发明的FPGA启动漏洞插件扫描流程图。
具体实施方式
以下将对192.168.1.1-192.168.1.10网段进行扫描为例,通过对该网段进行扫描的具体操作来进一步描述本发明的基于FPGA的远程漏洞高速扫描方法。
如图1,本发明的带FPGA的扫描主机由CPU和FPGA协同工作,用户启动对该网段的扫描任务后,CPU调用存活主机探测模块。FPGA是一块FPGA高性能运算PCI卡,工作时插在计算机的PCI插槽上,在操作系统下的驱动和应用软件的控制下,实现高速运算;其传输速度快,功能和扩展性强,可编程性强,可以根据不同的应用,设计相应的应用软件实现不同的运算功能。
本发明的扫描主机包括存活主机探测模块、存活主机漏洞结果库、存活主机知识库存放模块、漏洞插件扫描模块和漏洞规则库模块,所述存活主机探测模块和存活主机漏洞结果库由CPU操作,其中CPU操作存活主机探测模块通过TCP连接扫描与远程目标主机的端口进行连接,若连接成功表示此主机是活动的,然后获取此主机开放端口的信息,形成该主机的知识库,最后将此主机的知识库通过PCI接口存放到FPGA的存活主机知识库存放模块,FPGA启动漏洞插件扫描模块,通过对该主机知识库的内容和漏洞规则库模块进行高速扫描匹配,若匹配成功,则漏洞存在,然后将该漏洞的信息存放到存活主机漏洞结果库里。
如图2所示,存活主机探测模块的主要流程为:由CPU操作存活主机探测模块通过TCP连接扫描与远程目标主机的1~1024或者1~65535端口进行连接,它是利用TCP的完全连接方式,通过发送报文段连接到目标计算机上,完成一次完整的三次握手过程。如果端口处于侦听状态,那么该连接就能成功返回,表示此主机是活动的,然后获取此主机开放端口的信息,形成该主机的知识库,最后将此主机的知识库通过PCI接口存放到FPGA的存活主机知识库存放模块。
把该网段中所有活动的主机都探测出来(存活的主机有192.168.1.1和192.168.1.5),去除非存活的主机,这样本次扫描任务中减少了对非存活主机的扫描操作,从而提高了工作效率,然后探测出存活主机的开放端口上开启的服务,形成开放端口知识库(192.168.1.1的知识库和192.168.1.5的知识库),将该知识库存放到FPGA的存活主机知识库存放模块中,然而FPGA根据知识库的内容启动漏洞插件扫描模块。
如图3所示,FPGA启动漏洞插件扫描的主要流程为:
a.通过FPGA启动漏洞插件扫描模块,根据该主机知识库的内容,调用获取主机详细信息的插件来获取主机名、操作系统和MAC地址信息。所述插件是一种遵循一定规范的应用程序接口编写出来的程序。
b.根据a获取的主机操作系统的信息,自动选择相应类型的漏洞扫描插件,形成扫描该主机的插件队列。
c.FPGA通过b形成的插件队列结合该主机知识库的内容,扫描相应开放端口,将从端口获取的信息与漏洞规则库模块进行高速扫描匹配,若匹配成功,则该漏洞存在,转入d操作,否则转入e操作。
d.根据c匹配成功获得的漏洞信息,保存到存活主机漏洞结果库里,供安全管理人员参考。
e.若FPGA扫描队列里还有未扫描的插件,则转入c操作。
该实施例中,FPGA启动漏洞插件扫描模块,读取192.168.1.1的知识库内容,调用获取主机详细信息的插件来获取主机名(kenjava)、操作系统(Microsoft Windows XP)和MAC地址(00:1D:92:7C:5B:DE)信息。然后在获得操作系统为Microsoft Windows XP后,将选择针对windows相关的漏洞扫描插件,将这些插件放入该主机的插件队列,等待调用扫描该主机的漏洞。FPGA从该队列里取出一个插件,结合该主机知识库的内容,扫描相应开放端口,将从端口获取的信息与漏洞规则库模块进行高速扫描匹配,对其中137的端口返回的内容与漏洞规则库中4718号漏洞(利用NetBIOS可获取远程主机敏感信息)匹配,则说明该漏洞存在,将该漏洞信息保存到存活主机漏洞结果库里,供安全管理人员参考。然后从插件队列里选取下一个插件进行扫描匹配,直至所有插件扫描结束。
本发明方法实施的效果是非常明显的,由于准确获取了主机的操作系统信息,插件列表里面就是由所有相关系统的插件组成,去除掉一大部分不相关的插件,这样提高了扫描速度和准确率,为安全管理人员提供了全面的关于本机的安全状况,供参考分析。
Claims (3)
1. 基于FPGA的远程漏洞高速扫描主机,其特征是包括:存活主机探测模块、存活主机漏洞结果库、存活主机知识库存放模块、漏洞插件扫描模块和漏洞规则库模块,所述存活主机探测模块和存活主机漏洞结果库由CPU操作,其中存活主机探测模块通过TCP连接扫描与远程目标主机的端口进行连接,若连接成功表示此主机是活动的,然后获取此主机开放端口的信息,形成该主机的知识库;其中FPGA包括存活主机知识库存放模块、漏洞插件扫描模块和漏洞规则库模块,最后将此主机的知识库通过PCI接口存放到FPGA的存活主机知识库存放模块,FPGA启动漏洞插件扫描模块,通过对该主机知识库的内容和漏洞规则库模块进行高速扫描匹配,若匹配成功,则漏洞存在,然后将该漏洞的信息存放到存活主机漏洞结果库里。
2.基于FPGA的远程漏洞高速扫描方法,其特征是:由CPU操作存活主机探测模块通过TCP连接扫描与远程目标主机的1~1024或者1~65535端口进行连接,通过发送报文段连接到目标计算机上,完成一次完整的三次握手过程;如果端口处于侦听状态,那么该连接就能成功返回,表示此主机是活动的,然后获取此主机开放端口的信息,形成该主机的知识库;其中FPGA包括存活主机知识库存放模块、漏洞插件扫描模块和漏洞规则库模块,最后将此主机的知识库通过PCI接口存放到FPGA的存活主机知识库存放模块,然后再由FPGA对该活动的主机进行漏洞扫描,FPGA启动漏洞插件扫描模块,通过对该主机知识库的内容和漏洞规则库模块进行高速扫描匹配,若匹配成功,则漏洞存在,然后将该漏洞的信息存放到存活主机漏洞结果库里。
3.根据权利要求2所述的基于FPGA的远程漏洞高速扫描方法,其特征是所述FPGA启动漏洞插件扫描模块进行漏洞插件扫描的流程是:
a.通过FPGA启动漏洞插件扫描模块,根据该活动主机知识库的内容,调用获取主机详细信息的插件来获取主机名、操作系统和MAC地址信息;
b.根据a步获取的主机操作系统的信息,自动选择相应类型的漏洞扫描插件,形成扫描该主机的插件队列;
c.FPGA通过b步形成的插件队列结合该主机知识库的内容,扫描相应开放端口,将从端口获取的信息与漏洞规则库模块进行高速扫描匹配,若匹配成功,则该漏洞存在,转入d操作,否则转入e操作;
d.根据c步匹配成功获得的漏洞信息,保存到存活主机漏洞结果库里;
e.若FPGA扫描队列里还有未扫描的插件,则转入c操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110008285XA CN102156827B (zh) | 2011-01-14 | 2011-01-14 | 基于fpga的远程漏洞高速扫描主机及扫描方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110008285XA CN102156827B (zh) | 2011-01-14 | 2011-01-14 | 基于fpga的远程漏洞高速扫描主机及扫描方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102156827A CN102156827A (zh) | 2011-08-17 |
| CN102156827B true CN102156827B (zh) | 2013-01-30 |
Family
ID=44438320
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110008285XA Active CN102156827B (zh) | 2011-01-14 | 2011-01-14 | 基于fpga的远程漏洞高速扫描主机及扫描方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102156827B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102779252B (zh) * | 2012-06-29 | 2016-03-23 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描器及其插件调度方法 |
| CN104836855A (zh) * | 2015-04-30 | 2015-08-12 | 国网四川省电力公司电力科学研究院 | 一种基于多源数据融合的Web应用安全态势评估系统 |
| CN105740007B (zh) * | 2016-01-20 | 2019-03-19 | 国家计算机网络与信息安全管理中心 | 一种pci-e设备的插件装载方法及装置 |
| CN106790031A (zh) * | 2016-12-15 | 2017-05-31 | 四川长虹电器股份有限公司 | 开放端口测试装置及其处理方法 |
| CN107145784B (zh) * | 2017-05-04 | 2023-04-04 | 腾讯科技(深圳)有限公司 | 一种漏洞扫描的方法、装置及计算机可读介质 |
| CN106921680B (zh) * | 2017-05-05 | 2018-07-06 | 腾讯科技(深圳)有限公司 | 一种端口扫描方法及装置 |
| CN106973071A (zh) * | 2017-05-24 | 2017-07-21 | 北京匡恩网络科技有限责任公司 | 一种漏洞扫描方法和装置 |
| CN107483410A (zh) * | 2017-07-21 | 2017-12-15 | 中国联合网络通信集团有限公司 | 网络安全管理方法及装置 |
| CN108595963A (zh) * | 2018-04-26 | 2018-09-28 | 杭州迪普科技股份有限公司 | 一种漏洞扫描方法和装置 |
| CN109861994A (zh) * | 2019-01-17 | 2019-06-07 | 安徽云探索网络科技有限公司 | 云侵的漏洞扫描方法及其扫描装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1412714A (zh) * | 2002-09-12 | 2003-04-23 | 福建榕基软件开发有限公司 | 网络隐患扫描系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8146158B2 (en) * | 2008-12-30 | 2012-03-27 | Microsoft Corporation | Extensible activation exploit scanner |
-
2011
- 2011-01-14 CN CN201110008285XA patent/CN102156827B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1412714A (zh) * | 2002-09-12 | 2003-04-23 | 福建榕基软件开发有限公司 | 网络隐患扫描系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102156827A (zh) | 2011-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102156827B (zh) | 基于fpga的远程漏洞高速扫描主机及扫描方法 | |
| CN108027860B (zh) | 用于进行异常检测的硬化事件计数器 | |
| US8266091B1 (en) | Systems and methods for emulating the behavior of a user in a computer-human interaction environment | |
| US9594912B1 (en) | Return-oriented programming detection | |
| US20170264637A1 (en) | Method, Apparatus and System for Processing Attack Behavior of Cloud Application in Cloud Computing System | |
| US9536091B2 (en) | System and method for detecting time-bomb malware | |
| US8875296B2 (en) | Methods and systems for providing a framework to test the security of computing system over a network | |
| CN109951359B (zh) | 分布式网络资产异步扫描方法及设备 | |
| CN104023034A (zh) | 一种基于软件定义网络的安全防御系统及防御方法 | |
| WO2016160595A1 (en) | System and method for threat-driven security policy controls | |
| CN104182688A (zh) | 基于动态激活及行为监测的Android恶意代码检测装置和方法 | |
| CN103746992B (zh) | 基于逆向的入侵检测系统及其方法 | |
| CN107454053B (zh) | 在分布式网络中检测虚拟机上的恶意文件的系统和方法 | |
| EP3862879A1 (en) | Container network interface monitoring | |
| WO2017107804A1 (zh) | 发现DDoS攻击的方法及装置 | |
| US10412101B2 (en) | Detection device, detection method, and detection program | |
| US11971994B2 (en) | End-point visibility | |
| CN110086811A (zh) | 一种恶意脚本检测方法及相关装置 | |
| CN110705726A (zh) | 工业设备的运维审计方法、系统和装置 | |
| KR20170096260A (ko) | Usb로 연결된 외부 장치 기반의 악성코드 분석 장치 및 이를 이용한 방법 | |
| US9032536B2 (en) | System and method for incapacitating a hardware keylogger | |
| CN108737373B (zh) | 一种针对大型网络设备隐匿技术的安全取证方法 | |
| CN105025067A (zh) | 一种信息安全技术研究平台 | |
| CN107688481B (zh) | 一种支持多节点的kvm虚拟机隐藏进程检测系统 | |
| CN113660134B (zh) | 端口探测方法、装置、电子装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |