CN104821950B - 分布式的主机漏洞扫描方法 - Google Patents

分布式的主机漏洞扫描方法 Download PDF

Info

Publication number
CN104821950B
CN104821950B CN201510239803.7A CN201510239803A CN104821950B CN 104821950 B CN104821950 B CN 104821950B CN 201510239803 A CN201510239803 A CN 201510239803A CN 104821950 B CN104821950 B CN 104821950B
Authority
CN
China
Prior art keywords
scanner
host
geographical location
vulnerability scanning
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510239803.7A
Other languages
English (en)
Other versions
CN104821950A (zh
Inventor
雷兵
陈宏�
田国华
韩宝泽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Ctrip Business Co Ltd
Original Assignee
Shanghai Ctrip Business Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Ctrip Business Co Ltd filed Critical Shanghai Ctrip Business Co Ltd
Priority to CN201510239803.7A priority Critical patent/CN104821950B/zh
Publication of CN104821950A publication Critical patent/CN104821950A/zh
Application granted granted Critical
Publication of CN104821950B publication Critical patent/CN104821950B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种分布式的主机漏洞扫描方法,包括:建立主机的IP地址与地理位置对应的数据表;配置多个扫描器的地理位置信息,并将该些扫描器中的一个配置为主扫描器,其余为从扫描器;查询该数据表中与待扫描主机的IP地址对应的地理位置;主扫描器新建多个扫描任务,并将与相同地理位置对应的待扫描主机的IP地址分配至同一个扫描任务中;主扫描器将与每个地理位置对应的扫描任务分配给位于该地理位置的扫描器;各扫描器分别对与扫描任务中IP地址对应的待扫描主机进行漏洞扫描。本发明通过利用分布式技术,并根据主机的地理位置向位于同一地理位置的扫描器分配扫描任务,能够及时得到准确的漏洞扫描报表,提高了主机漏洞扫描的效率。

Description

分布式的主机漏洞扫描方法
技术领域
本发明涉及网络安全领域,特别涉及一种分布式的主机漏洞扫描方法。
背景技术
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测行为。漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能够根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。
网络安全工作是防守和进攻的博弈,是保证信息安全、工作顺利开展的基石。及时准确地审视自己信息化工作的弱点,审视自己信息平台的漏洞和问题,才能在这场信息安全战争中处于先机,立于不败之地。
但是在实际应用中,对大量的主机进行漏洞扫描时,会出现漏洞扫描效率低下、无法及时准确地发现主机漏洞的问题。
发明内容
本发明要解决的技术问题是为了克服现有技术中漏洞扫描效率低下、无法及时准确发现漏洞的缺陷,提供一种能够及时准确地发现主机漏洞的分布式的主机漏洞扫描方法。
本发明是通过下述技术方案来解决上述技术问题的:
一种分布式的主机漏洞扫描方法,其特点在于,包括以下步骤:
S1、建立待扫描主机的IP地址与地理位置对应的一数据表;
S2、配置多个扫描器的地理位置信息,并将该些扫描器中的一个扫描器配置为主扫描器,其余扫描器配置为从扫描器;
S3、依次查询该数据表中与所有待扫描主机的IP地址对应的地理位置;
S4、在主扫描器中新建多个扫描任务,并将与相同地理位置对应的待扫描主机的IP地址分配至同一个扫描任务中;
S5、主扫描器将与每个地理位置对应的扫描任务分配给位于该地理位置的扫描器;
S6、各扫描器分别对扫描任务中IP地址对应的待扫描主机进行漏洞扫描,并生成漏洞扫描报表;
S7、主扫描器合并所有的漏洞扫描报表。
本方案的步骤S5中,主扫描器将与从扫描器所在地理位置对应的扫描任务分配给位于该地理位置的从扫描器,主扫描器将与其所在地理位置对应的扫描任务分配给主扫描器自身,即主扫描器既可以向从扫描器分配任务,也可以向主扫描器自身分配任务。
本发明根据待扫描主机的地理位置向位于同一地理位置的扫描器分配扫描任务,使得扫描器对与扫描器位于同一地理位置的主机进行漏洞扫描,与现有的漏洞扫描方法相比,节省了扫描器与主机的通信时间,加快了漏洞扫描任务的完成时间,能够及时得到主机中存在的漏洞情况,方便用户做出相应的处理措施。在针对大量主机的漏洞扫描任务中,本发明分布式的主机漏洞扫描方法的扫描效率尤为突出。
较佳地,步骤S6中各扫描器采用相同的扫描规则进行漏洞扫描。
本方案中,接收到扫描任务的扫描器采用相同的扫描规则对待扫描主机进行漏洞扫描,例如扫描所有主机中是否存在某个特定的插件等。
较佳地,步骤S2中还包括配置多个扫描器的认证信息,步骤S4与步骤S5之间包括:
判断主扫描器的认证信息与位于步骤S3中查询到的地理位置的扫描器的认证信息是否匹配,若是,则进入步骤S5
本方案中,主扫描器和从扫描器均配置有认证信息。对于与某个地理位置对应的扫描任务而言,当位于该地理位置的扫描器的认证信息与主扫描器的认证信息相匹配时,主扫描器才会将该扫描任务分配给该地理位置的扫描器。当位于该地理位置的扫描器的认证信息与主扫描器的认证信息不匹配时,主扫描器不会向位于该地理位置的扫描器分配扫描任务,即与主扫描器不匹配的扫描器不对主机进行漏洞扫描。
其中,认证信息相匹配可以有多种方式,例如当认证信息为密码信息时,两个扫描器的密码信息相同即为匹配。
较佳地,步骤S7之后还包括:
S8、主扫描器输出合并后的漏洞扫描报表。
本方案中,主扫描器将合并后的漏洞扫描报表输出,供用户查询,以便用户及时对存在漏洞的主机进行修复。
在符合本领域常识的基础上,上述各优选条件,可任意组合,即得本发明各较佳实例。
本发明的积极进步效果在于:与现有技术相比,本发明的主机漏洞扫描方法通过利用分布式技术,并根据待扫描主机的地理位置向位于同一地理位置的扫描器分配扫描任务,使得扫描器对与扫描器位于同一地理位置的主机进行漏洞扫描,节省了扫描器与主机的通信时间,简化了通信流程,加快了漏洞扫描任务的完成时间,能够及时得到准确的漏洞扫描报表,从而提高了主机漏洞扫描的效率。
附图说明
图1为本发明实施例的分布式的主机漏洞扫描方法的流程图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
一种分布式的主机漏洞扫描方法,如图1所示,包括以下步骤:
步骤101、建立待扫描主机的IP地址与地理位置对应的一数据表;
步骤102、配置多个扫描器的地理位置信息和认证信息,并将该些扫描器中的一个扫描器配置为主扫描器,其余扫描器配置为从扫描器;
步骤103、依次查询该数据表中与所有待扫描主机的IP地址对应的地理位置;
步骤104、在主扫描器中新建多个扫描任务,并将与相同地理位置对应的待扫描主机的IP地址分配至同一个扫描任务中;
步骤105、判断主扫描器的认证信息与位于查询到的地理位置的扫描器的认证信息是否匹配,若是,则进入步骤106,若否,则结束流程;
步骤106、主扫描器将与每个地理位置对应的扫描任务分配给位于该地理位置的扫描器;
步骤107、各扫描器分别对扫描任务中IP地址对应的待扫描主机进行漏洞扫描,并生成漏洞扫描报表;
步骤108、主扫描器合并所有的漏洞扫描报表;
步骤109、主扫描器输出合并后的漏洞扫描报表。
下面举个具体的例子来说明本发明的主机漏洞扫描方法。
设某公司有100台主机,其中50台在北京,20台在上海,15台在广州,15台在深圳;该公司还有4个扫描器,分别为扫描器A~D,其中扫描器A在北京,扫描器B在上海,扫描器C在广州,扫描器D在深圳。
利用本发明的主机漏洞扫描方法对该公司的100台主机进行漏洞扫描的步骤具体如下:
建立所有主机的IP地址与地理位置对应的数据表;
将扫描器A的地理位置信息配置为北京,扫描器B的地理位置信息配置为上海,扫描器C的地理位置信息配置为广州,扫描器D的地理位置信息配置为深圳,并将每个扫描器的密码信息均配置为123,以及将扫描器A配置为主扫描器,扫描器B~D配置为从扫描器;
依次查询该数据表中与100台主机的IP地址对应的地理位置,得到北京、上海、广州和深圳四个地理位置;
在扫描器A中新建4个扫描任务,分别为扫描任务S1~S4,将北京50台主机的IP地址分配至扫描任务S1中,将上海20台主机的IP地址分配至扫描任务S2中,将广州15台主机的IP地址分配至扫描任务S3中,将深圳15台主机的IP地址分配至扫描任务S4中;
扫描器A的密码信息与位于北京、上海、广州和深圳的扫描器的密码信息相同,均为123;
扫描器A将与北京对应的扫描任务S1分配给位于北京的扫描器A,将与上海对应的扫描任务S2分配给位于上海的扫描器B,将与广州对应的扫描任务S3分配给位于广州的扫描器C,将与深圳对应的扫描任务S4分配给位于深圳的扫描器D;
扫描器A对北京的50台主机进行漏洞扫描,扫描器B对上海的20台主机进行漏洞扫描,扫描器C对广州的15台主机进行漏洞扫描,扫描器D对北深圳的15台主机进行漏洞扫描,每个扫描器均生成一个漏洞扫描报表;
扫描器A合并所有的漏洞扫描报表,并将合并后的漏洞扫描报表输出。
本实施例通过利用北京、上海、广州和深圳的扫描器分别对位于北京、上海、广州和深圳的主机进行分布式的漏洞扫描,节省了扫描器与主机的通信时间,加快了漏洞扫描任务的完成时间,提高了扫描效率。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。

Claims (4)

1.一种分布式的主机漏洞扫描方法,其特征在于,包括以下步骤:
S1、建立待扫描主机的IP地址与地理位置对应的一数据表;
S2、配置多个扫描器的地理位置信息,并将该些扫描器中的一个扫描器配置为主扫描器,其余扫描器配置为从扫描器;
S3、依次查询该数据表中与所有待扫描主机的IP地址对应的地理位置;
S4、在主扫描器中新建多个扫描任务,并将与相同地理位置对应的待扫描主机的IP地址分配至同一个扫描任务中;
S5、主扫描器将与每个地理位置对应的扫描任务分配给位于该地理位置的扫描器;
S6、各扫描器分别对扫描任务中IP地址对应的待扫描主机进行漏洞扫描,并生成漏洞扫描报表;
S7、主扫描器合并所有的漏洞扫描报表。
2.如权利要求1所述的主机漏洞扫描方法,其特征在于,步骤S6中各扫描器采用相同的扫描规则进行漏洞扫描。
3.如权利要求1所述的主机漏洞扫描方法,其特征在于,步骤S2中还包括配置多个扫描器的认证信息,步骤S4与步骤S5之间包括:
判断主扫描器的认证信息与位于步骤S3中查询到的地理位置的扫描器的认证信息是否匹配,若是,则进入步骤S5
4.如权利要求1~3中任意一项所述的主机漏洞扫描方法,其特征在于,步骤S7之后还包括:
S8、主扫描器输出合并后的漏洞扫描报表。
CN201510239803.7A 2015-05-12 2015-05-12 分布式的主机漏洞扫描方法 Active CN104821950B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510239803.7A CN104821950B (zh) 2015-05-12 2015-05-12 分布式的主机漏洞扫描方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510239803.7A CN104821950B (zh) 2015-05-12 2015-05-12 分布式的主机漏洞扫描方法

Publications (2)

Publication Number Publication Date
CN104821950A CN104821950A (zh) 2015-08-05
CN104821950B true CN104821950B (zh) 2018-05-04

Family

ID=53732113

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510239803.7A Active CN104821950B (zh) 2015-05-12 2015-05-12 分布式的主机漏洞扫描方法

Country Status (1)

Country Link
CN (1) CN104821950B (zh)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107204962A (zh) * 2016-03-18 2017-09-26 上海有云信息技术有限公司 一种基于SaaS架构的通用漏洞扫描器的实现方法
US10445506B2 (en) 2016-03-30 2019-10-15 Airwatch Llc Detecting vulnerabilities in managed client devices
CN106161450B (zh) * 2016-07-20 2019-12-20 上海携程商务有限公司 分布式https监控方法
CN107231381A (zh) * 2017-08-02 2017-10-03 中电长城网际系统应用有限公司 安全检测方法、服务接口模块、安全检测装置和网络系统
CN108063755B (zh) * 2017-11-08 2020-12-15 携程旅游信息技术(上海)有限公司 漏洞扫描方法、系统、存储介质和电子设备
CN110198517B (zh) * 2018-05-10 2021-07-20 腾讯科技(深圳)有限公司 一种基于自学习路径选择的端口扫描方法和系统
JP7039810B2 (ja) * 2018-06-12 2022-03-23 日本電気株式会社 情報収集システム、情報収集方法、及びプログラム
CN111786947B (zh) * 2020-05-18 2021-10-29 北京邮电大学 攻击图的生成方法、装置、电子设备及存储介质
CN112165486B (zh) * 2020-09-27 2023-04-25 杭州迪普科技股份有限公司 网络地址集合拆分方法及装置
EP4338077A1 (en) * 2021-06-16 2024-03-20 Siemens Aktiengesellschaft Method, apparatus and system for vulnerability detection

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1901472A (zh) * 2006-07-24 2007-01-24 北京启明星辰信息技术有限公司 一种系统管理与脆弱性扫描结合的方法和系统
CN101064736A (zh) * 2006-04-30 2007-10-31 飞塔信息科技(北京)有限公司 一种计算机网络风险评估的装置及其方法
CN103699443A (zh) * 2013-12-16 2014-04-02 北京神州绿盟信息安全科技股份有限公司 任务分发方法及扫描器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101064736A (zh) * 2006-04-30 2007-10-31 飞塔信息科技(北京)有限公司 一种计算机网络风险评估的装置及其方法
CN1901472A (zh) * 2006-07-24 2007-01-24 北京启明星辰信息技术有限公司 一种系统管理与脆弱性扫描结合的方法和系统
CN103699443A (zh) * 2013-12-16 2014-04-02 北京神州绿盟信息安全科技股份有限公司 任务分发方法及扫描器

Also Published As

Publication number Publication date
CN104821950A (zh) 2015-08-05

Similar Documents

Publication Publication Date Title
CN104821950B (zh) 分布式的主机漏洞扫描方法
CA2943250C (en) Method and system for ensuring an application conforms with security and regulatory controls prior to deployment
CN105897782B (zh) 一种针对接口的调用请求的处理方法及装置
CN110958223B (zh) 基于区块链的委托授权方法、装置、设备和介质
WO2019047513A1 (zh) 一种互联网防攻击方法及认证服务器
AU2015296791B2 (en) Method and system for providing a virtual asset perimeter
CN105187362A (zh) 一种桌面云客户端和服务端之间连接认证的方法及装置
WO2019095856A1 (zh) 一种网络身份认证方法、系统及其使用的用户代理设备
CN104735065A (zh) 一种数据处理方法、电子设备及服务器
CN202663444U (zh) 一种云安全数据迁移模型
CN102271035A (zh) 传输密码的方法和装置
CN105007161B (zh) 一种陷门无法识别的模糊关键字公钥搜索加密方法
CN103488922A (zh) 一种用于提供验证码的方法与设备
CN111200665B (zh) 一种用户溯源方法、装置及计算机可读存储介质
CN104410622A (zh) 登陆Web系统的安全认证方法、客户端及系统
CN111010405B (zh) 一种SaaS化的网站安全监控系统
CN114268508B (zh) 物联网设备安全接入方法、装置、设备及介质
CN105357008A (zh) 身份验证方法及装置
CN102073820A (zh) 一种基于用户共享的云扫描方法
CN107294924A (zh) 漏洞的检测方法、装置和系统
CN108712376B (zh) 一种用于服务器登录的验证方法及装置
CN110795763A (zh) 电子证照处理方法、查询方法、装置、设备、平台和介质
CN108075895B (zh) 一种基于区块链的节点许可方法和系统
CN112910903B (zh) Ssl证书免部署的方法、装置和系统
CN104796388A (zh) 一种对网络设备进行扫描的方法、相关装置及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20160203

Address after: 200335 Shanghai city Changning District Admiralty Road No. 968 Building No. 16 10 floor

Applicant after: SHANGHAI XIECHENG BUSINESS CO., LTD.

Address before: 200335 Shanghai City, Changning District Fuquan Road No. 99, Ctrip network technology building

Applicant before: Ctrip computer technology (Shanghai) Co., Ltd.

GR01 Patent grant
GR01 Patent grant