CN106888194A - 基于分布式调度的智能电网it资产安全监测系统 - Google Patents

Abstract

本发明公开了一种基于分布式调度的智能电网IT资产安全监测系统，包含若干个采集服务器、若干个系统服务器、和若干个数据库服务器，所述采集服务器用于采集IT资产数据信息并对采集到的IT资产数据信息进行对比寻找漏洞；所述系统服务器用于接收到的检测任务分布式分配给各个采集服务器；用于对漏洞库、目标库、漏洞检测结果库进行存储、更新、查询、统计。本发明通过构建分布式数据库和建立检测引擎集群并实现分布式程度调度，达到真正意义上的分布式运算和分析，完成智能电网IT资产的高效安全监测。

Description

基于分布式调度的智能电网IT资产安全监测系统

技术领域

本发明涉及的是一种网络信息安全技术领域的方法与系统，具体是一种基于分布式调度的智能电网IT资产安全监测系统。

背景技术

目前，在智能电网领域，带有保护、测量、控制、计费等功能的智能电子设备在电网中被大量使用，为提高智能电子设备之间的互操作性及互操作的实时性，满足国际标准(如IEC61850)的通信服务模块也被采用。相比传统电网，用于互连互通的网元(工业交换机、路由器、网管服务器等)成为新型电网基础设施的重要组成部分，因此电力系统自动化、智能化得到了前所未有的发展。然而，ICT技术的广泛应用促进电网快速发展的同时，也带来许多新的挑战。从安全角度来说，由于更新换代的速度过快，智能电网中往往会出现照顾不到的信息孤岛，这样的信息孤岛多是已经不再使用的老旧业务系统，但由于内部网络的复杂性而被忽略，而这样的孤岛却又是日常安全问题中最薄弱的点、最容易被黑客突破的点。尤其是近年来专门针对智能电网系统的新型高破坏性攻击事件频发，严重威胁着人们的人身、资产安全和国家环境、能源安全。

目前存在的一些对IT资产进行网络安全监测的系统及技术多是通过安全风险或安全事件来实现对系统的安全监测管理，这类系统往往只兼顾到资产的管理信息、业务信息、当前安全状态、相关的安全事件，缺乏对资产的自主发现能力，难以发现网络中存在的“信息孤岛”。从扫描设备来说，扫描设备往往只兼顾其漏洞库所涵盖的设备，对于一些“设备未能识别”的资产缺乏持续的发现能力，因此某些信息孤岛难以被捕获到；而对于事件管理平台来说，若资产不出现可被拦截或捕获的安全事件，资产便永远不会被平台所发现。

同时，现有设备缺乏对资产的全方位信息定位能力。一个IT资产，除了其所属管理范围和业务系统外，还具备相当多的外围属性，如：设备类型、组件类型、各类应用版本信息等等。而目前互联网上常见的漏洞都是针对特定类型及版本的组件或应用产生的，所有这些信息一旦能够被识别并存储下来进行持续跟踪，便可以实现对漏洞危害范围的持续跟踪。

发明内容

针对现有技术存在的上述不足，本发明的发明目的在于提供一种基于分布式调度的智能电网IT资产安全监测系统，通过多维度的扫描技术获得智能电网的IT资产数据信息，通过构建分布式数据库和建立检测引擎集群并实现分布式程度调度，达到真正意义上的分布式运算和分析，完成智能电网IT资产的高效安全监测。

本发明的发明目的通过以下技术方案实现：

一种基于分布式调度的智能电网IT资产安全监测系统，包含若干个采集服务器、系统服务器和数据库服务器；

所述采集服务器用于在接收到系统服务器发送的检测任务后，采集智能电网中各IT资产数据信息，同时向数据库服务器发送数据请求，根据数据库服务器返回的漏洞库中的数据与采集到IT资产数据信息的进行对比寻找漏洞，并将采集到的IT资产数据信息和检测结果分别存储到数据库服务器的目标库和漏洞检测结果库，将检测任务完成情况反馈给系统服务器；

所述系统服务器包含任务下发子模块、进度汇总模块，所述用于任务下发子模块用于将接收到的检测任务放到检测任务队列中，并将检测任务队列中的任务按照任务下发标准接口传递给各采集服务器；所述进度汇总模块用于对采集服务器反馈的检测任务完成情况进行汇总；

所述数据库服务器用于对漏洞库、目标库、漏洞检测结果库进行存储、更新、查询、统计。

进一步，所述采集服务器通过以下几种方式之间的任意组合实现IT资产数据信息的采集：一、基于分布式广度爬虫技术实现网页信息的采集；二、基于端口扫描技术实现端口信息的采集；三、基于指纹监测技术对WEB服务器的采集；四、基于指纹监测技术对WEB应用的采集；五、基于指纹监测技术对操作系统信息的采集；六、基于指纹库和指纹比对技术对网络设备组件信息的采集。

优选地，所述基于分布式广度爬虫技术实现网页信息的采集通过以下步骤实现：

1.1)爬虫调度程序对目标URL进行预处理，并将预处理后的URL信息放入网页爬取任务队列；

1.2)爬虫调度程序按网页爬取任务队列顺序将URL信息取出交给空闲的爬虫节点，实现爬取任务的分布式调度；

1.3)接收到URL信息爬取任务的爬虫节点进行目标URL信息爬取、应用探测；

1.4)爬虫节点将爬取到的网页信息进行分析并将分析结果存入数据库；

1.5)在爬虫节点完成目标URL的当前页面信息爬取后，根据当前页面中下一级的URL，由爬虫调度程序对下一级的URL进行预处理，重复步骤1.2)至步骤1.4)，从而完成目标网页信息多级广度爬取。

优选地，所述基于端口扫描技术实现端口信息的采集通过以下方式实现：

由基于Nmap的侦测工具对端口进行扫描，获取设备端口信息，通过在设备端口信息上做针对性的信息字段修正，持续跟踪和端口协议数据特征分析，获得端口上的协议类型和版本。

优选地，所述基于指纹监测技术对WEB服务器的采集通过以下步骤实现：

2.1)探测第一请求和返回信息：网站响应头部数据、网站文件类型、网站对40错误响应的返回、网站对超长请求的响应返回、网站对畸形请求的响应返回、服务端口标识回显和/或网站对500错误响应的返回；；

2.2)利用第一请求和返回信息为判别依据进行Web服务器的指纹解析，获得目标网站的Web服务器发行版本、版本号等信息；

2.3)利用第一请求和返回信息判断远程服务器上运行的操作系统、WEB脚本语言、Web组件及相应版本型号。

优选地，所述基于指纹监测技术对WEB应用的采集通过以下步骤实现：

3.1)探测第二请求和返回信息：网站响应头部信息、HTML页面内META标签信息、HTML内JS、CSS的链接信息、特殊URL地址及URL参数、COOKIE/Session内特征字段特定文件名、文件内容及文件MD5；

3.2)将第二请求和返回信息进行组合匹配，实现对目标Web服务器上所运行的应用判断。

优选地，所述基于指纹监测技术对操作系统信息的采集通过以下方式实现：

4.1)利用Nmap端口扫描工具不断持续跟踪和分析不同版本操作系统在TCP/IP栈中的数据特征，获得网站开放端信息、端口上的协议类型和版本信息；

4.2)通过对扫描结果的处理，从Banner中获取网站使用的Web容器及类型以及其它应用信息；

4.3)通过对不同操作系统在接收TCP或UDP请求时返回的数据填充内容、IP头中的SEQ NUMBER所呈现出不同的规律进行分析，识别操作系统服务版本。

优选地，所述基于指纹库和指纹比对技术对网络设备组件信息的采集通过以下步骤实现：

5.1)对目标端口探测，获得至少一个开放端口和一个关闭端口；

5.2)构造若干探测报文，所述探测报文包含序列号和可选项的TCP探测报文、ICMP探测报文、ECN的TCP探测报文、若干个关闭端口的TCP探测报文、一个或几个关闭端口的UDP探测报文；

5.3)将每个探测报文发送出去，如果某个探测报文没有应答，则重新发送一次；

5.4)根据对探测报文的应答信息提取目标指纹，结合目标的已知操作系统类型，构造先验指纹库；

5.5)使用构造的先验指纹库探测新的目标主机；

5.6)使用HTTP协议连接远程Web服务器获取相应应答报文，通过比较应答报文特征来识别Web服务器类别与版本。

进一步，所述任务下发子模块还用于对接收到的检测任务的大小进行判断，若检测任务为大时先将检测任务拆分成若干个后存入检测任务队列。

进一步，所述任务下发子模块还用于根据采集服务器的网络速度优选将检测任务下发给速度快的采集服务器。

进一步，所述系统服务器还包含异常处理模块，所述异常处理模块用于在接收到采集服务器的异常报告或超出一定时间无法连接采集服务器，将下发给采集服务器的检测任务转移到其他采集服务器继续执行。

进一步，所述系统服务器还包含包括任务管理模块、资产管理模块、组件指纹管理模块、漏洞管理模块、预警管理模块和配置管理模块；

所述任务管理模块用于通过IP地址段为入口下发任务，针对任务目标选择需要探测的端口；

所述资产管理模块用于实现对普查任务完成后识别到的网络设备及组件信息进行入库，以及资产管理、资产采集、资产数据校验；

所述组件指纹管理模块用于管理主流web组件指纹库，对主流web组件按照类型、用户、特性进行分类、分级；

所述漏洞管理模块用于通过比对系统内置组件漏洞库，一旦普查结果中组件版本对应到了内置组件漏洞库中的条目，则进行告警；

所述预警管理模块用于根据漏洞库的相关信息，生成风险提示和整改通知；

所述配置管理模块负责智能电网IT资产安全监测系统的基本配置管理。

与现有技术相比，本系统具备对智能电网IT资产的自主发现能力，并对IT资产进行全方位信息定位，实现对网络空间的全面、实时、精确侦测。利用分布式调度和分布式存储技术，设计并实现了大规模分布式侦测，极大提升了侦测速度和侦测效率。进而提高智能电网对外部安全态势的感知能力、外部安全态势与内部资产安全情况的关联分析能力以及网络整体的安全策略指导能力等。

附图说明

图1为本发明的系统架构图。

图2为本发明的系统框图。

图3为用分布式广度爬虫技术爬取网页流程图。

图4为任务调度流程图。

图5为分布式数据存储示意图。

图6为仿真实验部署拓扑图。

具体实施方式

下面对本发明的实施例进行详细说明，本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的实施范围不限于下述的实施例。

本发明一种基于分布式调度的智能电网IT资产安全监测系统的仿真实验是在基于Opnet搭建的电力系统网络通信仿真环境中进行的。

仿真实验中智能电网部署拓扑如图6所示，基于分布式调度的智能电网IT资产安全监测系统采用B/S架构，支持集群方式的集中部署、统一管理。系统服务器部署于网安专网中，与智能电网局域网保持物理隔离；采集服务器部署在智能电网局域网实时监测安全数据，并通过光闸将数据传输到系统数据库中。

智能电网IT资产采集：部署9台采集服务器，实现每天约百万级IP的资产发现及信息采集。

分布式调度：2台系统服务器，属于网安内网。

分布式存储：3台数据库服务器，属于网安内网。出口部署一台光闸用于提供传输数据的保护。

维护管理：可采用已有的控制终端及显示大屏。

采集服务器通过100M光纤连接智能电网局域网。维护管理区主要部署PC维护终端及监测展示大屏，以提供网络安全管理人员对局域网IP组件监测系统进行维护管理。

智能电网局域网数据通过光闸将监测结果传送到内网，管理人员通过内网终端访问系统服务器。

如图1所示，本发明主要包含采集服务器、数据库服务器和系统服务器，如图2所示，采集服务器、数据库服务器和系统服务器的功能如下：

(一)、采集服务器：

采集服务器，采用以下两种技术参数的采集服务器，以适应不同采集任务密度的需求。采集服务器参数及监控参数如表一所示：

根据系统服务器的调度通过9个采集服务器完成对智能电网IT资产进行信息搜集，每个采集服务器可以采用以下几种采集方式中的任一一种或多种的组合。

1)基于分布式广度爬虫技术实现网页信息的采集。

如图3所示，使用爬虫技术时，先对网页的URL进行预处理，将预处理的结果进入网页爬取任务队列，按照网页爬取任务队列顺序进行爬取域名，应用探测等处理工作，然后进行数据分析，得到爬取的结果。

分布式爬虫系统可通过多个IP地址同时对目标网站进行页面爬取，爬虫调度程序负责URL的预处理、网页爬取任务队列的维护以及爬取任务的分配；爬虫节点主要负责URL页面抓取、信息采集和应用探测，并对所抓取的信息进行数据分析和存储。具体步骤如下：

1)首先爬虫调度程序对目标URL进行预处理，并将预处理后的URL信息放入网页爬取任务队列；

2)爬虫调度程序按网页爬取任务队列顺序将预处理后的URL信息取出，根据各个爬虫节点的运行状况，将URL信息爬取任务交给空闲的爬虫节点，实现爬取任务的分布式调度；

3)爬虫节点进行目标URL信息抓取、应用探测等。广度爬取对于每个域名只爬取首页，并不深入爬取后续多级页面；通过在首页解析HTML代码，收集网站链接，包括的网站链接标签包括但不限于：a标签、iframe标签、script标签、js跳转等；

4)爬虫节点将爬取到的网页信息进行分析并将分析结果存入数据库；

5)在爬虫节点完成第一级URL信息爬取后，进行第二级URL信息爬取前，由爬虫调度程序重新进行URL预处理，重复步骤2)至步骤5)，从而完成目标网页信息多级广度爬取。

2)基于端口扫描技术实现端口信息的采集。

由基于Nmap的侦测工具对端口进行扫描，获取设备端口信息，通过在设备端口信息上做针对性的信息字段修正，持续跟踪和端口协议数据特征分析，获得端口上的协议类型和版本。

不同操作系统和应用程序在接收TCP或UDP等协议请求时，其返回的数据填充内容、IP头中的SEQ NUMBER等呈现出不同的规律特征，在该规律上进行深度挖掘，获得当前设备的端口使用状况、协议使用类型、端口使用频率等信息，同时根据这些信息对网络空间中安装的应用程序运行状况进行评估。

3)基于WEB指纹监测技术对WEB服务器信息进行采集。

3.1)探测第一请求和返回信息：网站响应头部数据、网站文件类型、网站对40错误响应的返回、网站对500错误响应的返回(如果存在)、网站对超长请求的响应返回、网站对畸形请求的响应返回、服务端口标识回显等请求；

3.2)利用第一请求和返回信息作为判别依据进行Web服务器的指纹判断，获得目标网站的Web服务器发行版本、版本号等信息；

3.3)同时，利用第一请求和返回信息用于辅助判断远程服务器上运行的操作系统、WEB脚本语言、Web组件及相应版本型号。

4)基于WEB指纹监测技术对WEB应用进行采集。

主要通过探测Web应用服务器上所运行的第三方Web组件特征信息来判断其所使用的组件情况和具体版本信息。

4.1)主要探测以下几个第二请求和返回信息进行Web应用指纹判断：网站响应头部信息、HTML页面内META标签信息、HTML内JS、CSS等链接信息、特殊URL地址及URL参数、COOKIE/Session内特征字段特定文件名、文件内容及文件MD5；

4.2)将第二请求和返回信息进行组合匹配，包括：网站响应头部信息、HTML页面信息、特殊URL信息、网站文件MD5哈希值信息等；

4.3)实现对目标Web服务器上所运行的组件精确判断。

5)基于WEB指纹监测技术对操作系统信息进行采集。

5.1)基于Nmap端口扫描工具，不断持续跟踪和分析不同版本操作系统在TCP/IP栈中的数据特征，获得网站开放端信息、端口上的协议类型和版本等信息；

5.2)通过对扫描结果的处理，从Banner中获取网站使用的Web容器及类型以及其它应用信息；

5.3)不同操作系统在接收TCP或UDP请求时，其返回的数据填充内容、IP头中的SEQ NUMBER等特征呈现出不同的规律，在该规律上进行深度挖掘，精确识别操作系统服务版本。

6)基于指纹库和指纹比对技术对网络设备组件信息的采集：通过对网络设备的特定端口进行请求，根据端口返回信息，利用指纹比对技术，结合指纹数据库，对网络设备所使用的组件类型进行识别。

6.1)对目标端口探测，获得至少一个开放端口和一个关闭端口；

6.2)构造16个探测报文，包含6个序列号和可选项的TCP探测报文，2个ICMP探测报文，1个ECN的TCP探测报文，6个关闭端口的TCP探测报文，1个关闭端口的UDP探测报文；

6.3)构造的16个探测报文，确保每个报文在100ms内发送；如果某个报文没有应答，则重新发送一次；

6.4)提取目标指纹，结合目标的已知操作系统类型，构造先验指纹库；

6.5)使用构造的先验指纹库探测新的目标主机；

6.6)使用HTTP协议连接远程Web服务器获取相应应答报文，通过比较应答报文特征来识别Web服务器类别与版本。

(二)、系统服务器。

系统服务器采用分布式技术进行任务调度，对检测任务建立检测引擎集群，对多个采集服务器实现智能的任务分发、负载均衡、异常处理、进度汇总、结果汇总等。系统服务器主要由任务下发子模块、进度汇总模块和异常处理模块完成分布式任务调度。二个系统服务器之间不具有主从之分，所有模块都在系统服务器上配置，而任务下发子模块采用负载均衡的策略(负载均衡的WAN口和LAN口分别连接上行设备和下行的数据采集服务器)。如图4所示，包含以下步骤：

1.1)当检测任务下发时，任务下发子模块将检测任务存放在检测任务队列的队尾；为保证负载均衡，任务下发子模块考虑自动在内部将大的检测任务拆分为小的任务，存放到检测任务队列；

1.2)任务下发子模块按照任务下发标准接口，从检测任务队列的队首取出检测任务，验证任务参数数据的正确性，并将任务参数数据按照API规范传递到各个采集服务器；其间会记录各个采集服务器到目标网络的速度，用于指导下一批次任务优选最快的采集服务器；

1.3)当下发给采集服务器的检测任务由于采集服务器故障或网络故障而无法完成时，异常处理模块接收采集服务器的异常报告或超出一定时间无法连接采集服务器时，自动将下发给该采集服务器的任务转移到其他采集服务器继续执行；

1.4)最后采集服务器按照API规范汇报进度，进度汇总模块检测结果汇总存储，供界面读取。

系统服务器还包括任务管理模块、资产管理模块、组件指纹管理模块、漏洞管理模块、预警管理模块和配置管理模块，对整个系统的运作过程进行系统管理。任务管理模块通过IP地址段为入口下发任务，针对任务目标选择需要探测的端口。资产管理模块主要实现对普查任务完成后识别到的网络设备及组件信息进行入库，包括这些信息的增、删、改、查等操作，以及资产管理、资产采集、资产数据校验等功能。组件指纹管理模块主要是管理主流web组件指纹库，系统会对这些组件按照类型、用户、特性等信息进行分类、分级，方便后续检索以及查询。漏洞管理模块通过比对系统内置组件漏洞库，一旦普查结果中组件版本对应到了内置的漏洞库条目，则系统进行告警，提醒管理员进行组件升级。预警管理模块以报表的形式输出，通过风险提示单等告警方式通知到监管人员，并根据漏洞库的相关信息，生成风险提示和整改通知。配置管理模块负责平台的基本配置管理，包括网络设置、安全配置等。

三)数据库服务器：

采用MongoDB数据库，3个节点数据库服务器用于存储网站检测相关的数据及结果数据、统计数据等很大的数据内容；采用分布式数据库进行分布式存储、并行计算，同时采用ElasticSearch作为数据索引，实现所搜集数据的存储与快速索引。数据库服务器具有主从结构，用于主从复制，实现备份、故障恢复、读扩展等，提高数据处理性能和冗余。从节点直接从主节点同步数据，从节点之间不互相同步。

分布式数据存储示意图如图5所示，其中MongoDB为实现分布式存储，把数据保存到其他机器当中，所用到的MongodbShard指的是分片，Shard为水平方向的多节点数据分散存储，通过并行计算可满足大规模网络空间数据的并发访问、处理和分析等需求。系统通过主从存储、分片存储的方法，保证了数据的安全性和可靠性，提高了数据的大规模存取能力。

数据库服务器中设有目标库、漏洞库、漏洞扫描结果库，其中，目标库中存放由采集服务器采集的IT资产数据信息，漏洞扫描结果库中存储系统服务器的漏洞扫描结果库，从而实现对智能电网IT资产安全状况的监控。

以监测IPMI漏洞为例，智能平台管理接口(IPMI)是一种开放标准的硬件管理接口规格，定义了嵌入式管理子系统进行通信的特定方法。IPMI信息通过基板管理控制器(BMC)(位于IPMI规格的硬件组件上)进行交流。IPMI是智能型平台管理接口(Intelligent Platform Management Interface)的缩写，是管理基于Intel结构的企业系统中所使用的外围设备采用的一种工业标准，该标准由英特尔、惠普、NEC、美国戴尔电脑和SuperMicro等公司制定。

我们主要在智能电网监测IPMI的两种漏洞：Supermicro IPMI 49152端口密码泄漏漏洞和使用默认账号密码的弱口令漏洞CVE-2014-8272:A Case of WeakSession-ID in Dell iDRAC。

所检测的IPMI产品分别为：Supermicro IPMI(2.0)，Oracle/Sun IntegratedLights Out Manager(ILOM)，IBM Integrated Management Module(IMM)，HPIntegrated Lights Out(iLO)，Fujitsu Integrated Remote Management Controller，DellRemote Access Card(iDRAC,DRAC)，ASUS iKVM BMC。

基于漏洞库，对目标库中存放的IT资产数据信息进行扫描，所得实验结果如表二所示：

表二

可以理解的是，对本领域普通技术人员来说，可以根据本发明的技术方案及其发明构思加以等同替换或改变，而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。

Claims (12)

1.一种基于分布式调度的智能电网IT资产安全监测系统，包含若干个采集服务器、系统服务器和数据库服务器，其特征在于：

所述采集服务器用于在接收到系统服务器发送的检测任务后，采集智能电网中各IT资产数据信息，同时向数据库服务器发送数据请求，根据数据库服务器返回的漏洞库中的数据与采集到IT资产数据信息的进行对比寻找漏洞，并将采集到的IT资产数据信息和检测结果分别存储到数据库服务器的目标库和漏洞检测结果库，将检测任务完成情况反馈给系统服务器；

所述系统服务器包含任务下发子模块、进度汇总模块，所述用于任务下发子模块用于将接收到的检测任务放到检测任务队列中，并将检测任务队列中的任务按照任务下发标准接口传递给各采集服务器；所述进度汇总模块用于对采集服务器反馈的检测任务完成情况进行汇总；

所述数据库服务器用于对漏洞库、目标库、漏洞检测结果库进行存储、更新、查询、统计。

2.根据权利要求1所述的智能电网IT资产安全监测系统，其特征在于所述采集服务器通过以下几种方式之间的任意组合实现IT资产数据信息的采集：一、基于分布式广度爬虫技术实现网页信息的采集；二、基于端口扫描技术实现端口信息的采集；三、基于指纹监测技术对WEB服务器的采集；四、基于指纹监测技术对WEB应用的采集；五、基于指纹监测技术对操作系统信息的采集；六、基于指纹库和指纹比对技术对网络设备组件信息的采集。

3.根据权利要求2所述的智能电网IT资产安全监测系统，其特征在于所述基于分布式广度爬虫技术实现网页信息的采集通过以下步骤实现：

1.1)爬虫调度程序对目标URL进行预处理，并将预处理后的URL信息放入网页爬取任务队列；

1.2)爬虫调度程序按网页爬取任务队列顺序将URL信息取出交给空闲的爬虫节点，实现爬取任务的分布式调度；

1.3)接收到URL信息爬取任务的爬虫节点进行目标URL信息爬取、应用探测；

1.4)爬虫节点将爬取到的网页信息进行分析并将分析结果存入数据库；

1.5)在爬虫节点完成目标URL的当前页面信息爬取后，根据当前页面中下一级的URL，由爬虫调度程序对下一级的URL进行预处理，重复步骤1.2)至步骤1.4)，从而完成目标网页信息多级广度爬取。

4.根据权利要求2所述的智能电网IT资产安全监测系统，其特征在于所述基于端口扫描技术实现端口信息的采集通过以下方式实现：

由基于Nmap的侦测工具对端口进行扫描，获取设备端口信息，通过在设备端口信息上做针对性的信息字段修正，持续跟踪和端口协议数据特征分析，获得端口上的协议类型和版本。

5.根据权利要求2所述的智能电网IT资产安全监测系统，其特征在于所述基于指纹监测技术对WEB服务器的采集通过以下步骤实现：

2.1)探测第一请求和返回信息：网站响应头部数据、网站文件类型、网站对40错误响应的返回、网站对超长请求的响应返回、网站对畸形请求的响应返回、服务端口标识回显和/或网站对500错误响应的返回；；

2.2)利用第一请求和返回信息为判别依据进行Web服务器的指纹解析，获得目标网站的Web服务器发行版本、版本号等信息；

2.3)利用第一请求和返回信息判断远程服务器上运行的操作系统、WEB脚本语言、Web组件及相应版本型号。

6.根据权利要求2所述的智能电网IT资产安全监测系统，其特征在于所述基于指纹监测技术对WEB应用的采集通过以下步骤实现：

3.1)探测第二请求和返回信息：网站响应头部信息、HTML页面内META标签信息、HTML内JS、CSS的链接信息、特殊URL地址及URL参数、COOKIE/Session内特征字段特定文件名、文件内容及文件MD5；

3.2)将第二请求和返回信息进行组合匹配，实现对目标Web服务器上所运行的应用判断。

7.根据权利要求2所述的智能电网IT资产安全监测系统，其特征在于所述基于指纹监测技术对操作系统信息的采集通过以下方式实现：

4.1)利用Nmap端口扫描工具不断持续跟踪和分析不同版本操作系统在TCP/IP栈中的数据特征，获得网站开放端信息、端口上的协议类型和版本信息；

4.2)通过对扫描结果的处理，从Banner中获取网站使用的Web容器及类型以及其它应用信息；

4.3)通过对不同操作系统在接收TCP或UDP请求时返回的数据填充内容、IP头中的SEQ NUMBER所呈现出不同的规律进行分析，识别操作系统服务版本。

8.根据权利要求2所述的智能电网IT资产安全监测系统，其特征在于所述基于指纹库和指纹比对技术对网络设备组件信息的采集通过以下步骤实现：

5.1)对目标端口探测，获得至少一个开放端口和一个关闭端口；

5.2)构造若干探测报文，所述探测报文包含序列号和可选项的TCP探测报文、ICMP探测报文、ECN的TCP探测报文、若干个关闭端口的TCP探测报文、一个或几个关闭端口的UDP探测报文；

5.3)将每个探测报文发送出去，如果某个探测报文没有应答，则重新发送一次；

5.4)根据对探测报文的应答信息提取目标指纹，结合目标的已知操作系统类型，构造先验指纹库；

5.5)使用构造的先验指纹库探测新的目标主机；

5.6)使用HTTP协议连接远程Web服务器获取相应应答报文，通过比较应答报文特征来识别Web服务器类别与版本。

9.根据权利要求1所述的智能电网IT资产安全监测系统，其特征在于所述任务下发子模块还用于对接收到的检测任务的大小进行判断，若检测任务为大时先将检测任务拆分成若干个后存入检测任务队列。

10.根据权利要求1所述的智能电网IT资产安全监测系统，其特征在于所述任务下发子模块还用于根据采集服务器的网络速度优选将检测任务下发给速度快的采集服务器。

11.根据权利要求1所述的智能电网IT资产安全监测系统，其特征在于所述系统服务器还包含异常处理模块，所述异常处理模块用于在接收到采集服务器的异常报告或超出一定时间无法连接采集服务器，将下发给采集服务器的检测任务转移到其他采集服务器继续执行。

12.根据权利要求1所述的智能电网IT资产安全监测系统，其特征在于所述系统服务器还包含包括任务管理模块、资产管理模块、组件指纹管理模块、漏洞管理模块、预警管理模块和配置管理模块；

所述任务管理模块用于通过IP地址段为入口下发任务，针对任务目标选择需要探测的端口；

所述资产管理模块用于实现对普查任务完成后识别到的网络设备及组件信息进行入库，以及资产管理、资产采集、资产数据校验；

所述组件指纹管理模块用于管理主流web组件指纹库，对主流web组件按照类型、用户、特性进行分类、分级；

所述漏洞管理模块用于通过比对系统内置组件漏洞库，一旦普查结果中组件版本对应到了内置组件漏洞库中的条目，则进行告警；

所述预警管理模块用于根据漏洞库的相关信息，生成风险提示和整改通知；

所述配置管理模块负责智能电网IT资产安全监测系统的基本配置管理。