CN106973071A - 一种漏洞扫描方法和装置 - Google Patents
一种漏洞扫描方法和装置 Download PDFInfo
- Publication number
- CN106973071A CN106973071A CN201710373206.2A CN201710373206A CN106973071A CN 106973071 A CN106973071 A CN 106973071A CN 201710373206 A CN201710373206 A CN 201710373206A CN 106973071 A CN106973071 A CN 106973071A
- Authority
- CN
- China
- Prior art keywords
- scanned
- equipment
- vulnerability
- address
- open port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000006855 networking Effects 0.000 claims description 4
- 238000000605 extraction Methods 0.000 claims description 3
- 238000010408 sweeping Methods 0.000 claims 1
- 230000007246 mechanism Effects 0.000 abstract description 3
- 238000001514 detection method Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开是关于一种漏洞扫描方法和装置,所述方法包括:针对待扫描IP地址,判断所述待扫描IP地址对应的待扫描设备是否具有开放端口;当确定所述待扫描设备具有开放端口时,将所述开放端口和对应的所述待扫描IP地址存储至消息队列中;从所述消息队列中获取所述开放端口和对应的所述待扫描IP地址;以及对所述待扫描IP地址对应的所述待扫描设备进行漏洞扫描,以确定所述待扫描设备的所述开放端口的漏洞信息。通过本公开,利用消息队列机制,提高了海量IP地址对应的在线设备的漏洞发现效率。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种漏洞扫描方法和装置。
背景技术
伴随着工业物联网的来临,智能制造、工业4.0以及中国制造2025战略的逐步深入与实施,传统的工业控制网逐渐与互联网互联互通,以期在制造、物流、仓储以及用户定制等方面得到全面的能力提升。但是,随着工业控制网与互联网的连接,也逐渐暴露了工业控制网的安全隐患。传统的工业控制网采用物理隔离的方式来保护其安全性,一旦接入互联网,必将面临无法避免的安全威胁,而且工业控制网由于其大多控制着与人民息息相关的工业、交通、电力能源等基础设施,与现实世界的联系更加紧密,因此系统的失效有可能会带来灾难性的后果。
发明内容
为克服相关技术中存在的问题,本公开提供一种漏洞扫描方法和装置,可以及时发现网络设备中已存在的安全漏洞,并提高探测效率。
根据本公开实施例的第一方面,提供一种漏洞扫描方法,包括:
针对待扫描IP地址,判断所述待扫描IP地址对应的待扫描设备是否具有开放端口;
当确定所述待扫描设备具有开放端口时,将所述开放端口和对应的所述待扫描IP地址存储至消息队列中;
从所述消息队列中获取所述开放端口和对应的所述待扫描IP地址;以及
对所述待扫描IP地址对应的所述待扫描设备进行漏洞扫描,以确定所述待扫描设备的所述开放端口的漏洞信息。
进一步地,所述方法还包括:
将所述漏洞扫描的扫描结果存储至所述消息队列;
当接收到来自入库节点的调度指令时,从所述消息队列中获取扫描结果;
按照入库规则,将所述扫描结果分批次存入数据库。
进一步地,所述方法还包括:
获取联网的多个IP地址;
根据IP地址的属性信息,将所述多个IP地址划分为多个批次,以将所述多个IP地址分批次下发到所述消息队列。
进一步地,所述对所述待扫描IP地址对应的所述待扫描设备进行漏洞扫描,以确定所述待扫描设备的所述开放端口的漏洞信息包括:
根据协议指纹特征,确定所述开放端口的协议类型;
将所述确定的协议类型、对应的所述开放端口和待扫描IP地址下发到所述消息队列中;
从所述消息队列中获取所述确定的协议类型、以及对应的所述开放端口和待扫描IP地址,以对所述待扫描IP地址对应的所述待扫描设备进行设备应用扫描;
将所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址下发到所述消息队列中,其中,所述设备应用扫描的扫描结果包括所述待扫描设备的设备应用版本号;
从所述消息队列中获取所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址;
根据所述设备应用扫描的扫描结果确定预设漏洞验证程序,以确定所述开放端口的漏洞信息,所述预设漏洞验证程序包括有漏洞信息。
进一步地,所述根据协议指纹特征,确定所述开放端口的协议类型包括:
向所述开放端口发送多个用于探测协议类型的数据包;
接收所述开放端口回传的数据包,以从所述回传的数据包中提取协议指纹特征;
在所述预设协议指纹库中查找所述协议指纹特征,以确定所述开放端口对应的协议类型,所述预设协议指纹库包括协议指纹特征和协议类型的对应关系。
进一步地,所述对所述待扫描IP地址对应的所述待扫描设备进行设备应用扫描包括:
向所述开放端口发送用于设备应用扫描的数据包;
接收所述开放端口回传的数据包,以从所述回传的数据包中提取设备识别信息;
根据所述设备识别信息,在所述预设设备识别脚本库中查找所述设备识别信息,以获取所述待扫描设备的设备应用扫描的扫描结果,所述扫描结果包括设备应用版本号,所述预设设备识别脚本库包括设备识别信息和设备应用版本号的对应关系,其中所述设备应用版本号包括设备固件版本号和/或应用软件版本号。
进一步地,所述根据所述设备应用扫描的扫描结果确定预设漏洞验证程序,以确定所述开放端口的漏洞信息包括:
在所述预设漏洞库中查找是否有所述待扫描设备的设备应用版本号,所述预设漏洞库包括设备应用版本号与预设漏洞验证程序的对应关系;
当在所述预设漏洞库中查找到所述设备应用版本号时,确定所述设备应用版本号对应的预设漏洞验证程序;
根据确定的所述预设漏洞验证程序确定所述待扫描设备的开放端口的漏洞信息。
进一步地,所述对所述待扫描IP地址对应的所述待扫描设备进行漏洞扫描,以确定所述待扫描设备的所述开放端口的漏洞信息包括:
向所述开放端口发送漏洞测试信息;
以及判断所述待扫描设备是否为关键信息基础设施;
当确定所述待扫描设备不是关键信息基础设施时,根据从所述开放端口接收的回传数据包的特征,确定所述设备应用版本号对应的第一漏洞信息,所述第一漏洞信息包括漏洞是否存在的信息;
当确定所述设备应用版本号对应的设备是关键信息基础设施时,确定所述设备应用版本号对应的第二漏洞信息,所述第二漏洞信息包括漏洞属性信息。
根据本公开实施例的第二方面,提供一种漏洞扫描装置,包括:
端口扫描单元,用于针对待扫描IP地址,判断所述待扫描IP地址对应的待扫描设备是否具有开放端口;
存储单元,用于当确定所述待扫描设备具有开放端口时,将所述开放端口和对应的所述待扫描IP地址存储至消息队列中;
获取单元,用于从所述消息队列中获取所述开放端口和对应的所述待扫描IP地址;以及
漏洞扫描单元,用于对所述待扫描IP地址对应的所述待扫描设备进行漏洞扫描,以确定所述待扫描设备的所述开放端口的漏洞信息。
进一步地,所述漏洞扫描单元包括:
协议确定模块,用于根据协议指纹特征,确定所述开放端口的协议类型;
第一发送模块,用于将所述确定的协议类型、对应的所述开放端口和待扫描IP地址下发到所述消息队列中;
设备应用扫描模块,用于从所述消息队列中获取所述确定的协议类型、以及对应的所述开放端口和待扫描IP地址,以对所述待扫描IP地址对应的所述待扫描设备进行设备应用扫描;
第二发送模块,用于将所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址下发到所述消息队列中,其中,所述设备应用扫描的扫描结果包括所述待扫描设备的设备应用版本号;
获取模块,用于从所述消息队列中获取所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址;
漏洞确定模块,用于根据所述设备应用扫描的扫描结果确定预设漏洞验证程序,以确定所述开放端口的漏洞信息,所述预设漏洞验证程序包括有漏洞信息。
本公开的实施例提供的技术方案可以包括以下有益效果:利用消息队列机制,提高了海量IP地址对应的在线设备的漏洞发现效率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是根据一示例性实施例示出的一种漏洞扫描方法的流程图;
图2是根据另一示例性实施例示出的一种漏洞扫描方法的流程图;
图3是根据一示例性实施例示出的一种漏洞扫描装置的结构框图;
图4是根据另一示例性实施例示出的一种漏洞扫描装置的结构框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
以下将结合附图对本公开提供的一种漏洞扫描方法和装置的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
图1是根据一示例性实施例示出的一种漏洞扫描方法的流程图。
如图1所示,本公开实施例提供的一种漏洞扫描方法,执行主体以安装于计算机上的漏洞扫描装置为例,所述方法包括以下步骤:
在步骤S11中,针对待扫描IP地址,判断所述待扫描IP地址对应的待扫描设备是否具有开放端口。
其中,在执行步骤S11之前,从IP地址空间中,获取联网的多个IP地址,根据IP地址的属性信息,将所述多个IP地址划分为多个批次,以将所述多个IP地址分批次下发到所述消息队列。例如IP地址的区域属性,或者是建立时间属性等,根据IP地址的自身属性进行批次划分,并分批次下发到消息队列中。
其中,消息队列可以理解为是在消息的传输过程中保存消息的容器。消息队列的主要目的是提供路由并保证消息的传递。如果发送消息时接收者不可用,消息队列会保留消息,直到可以成功地传递它。
在本公开中,通过使用消息队列机制,将待扫描的IP地址下发到消息队列中,后续从所述消息队列中获取需要进行其他相关扫描的IP地址,通过引入消息队列,使本公开的漏洞扫描方法的执行类似于“流水线”作业,提高了处理效率。
其中,从所述消息队列中获取需要进行端口开放扫描的待扫描IP地址。所述开放端口即该端口处于侦听状态。通过端口扫描引擎判断所述待扫描IP地址对应的待扫描设备是否具有开放端口。
在本公开中,并不是所有的IP地址均需要扫描,只针对有需要的IP地址进行端口开放扫描。每个IP地址对应多个端口,包括开放端口和非开放端口,可以选择无状态扫描引擎,例如Zmap,Masscan等,对端口进行开放的判定,来提升端口开放扫描的效率。
另外,若在步骤S11之前将待扫描IP地址分批次下发到所述消息队列中,那么在步骤S11中也可以根据需要获取需要端口开放扫描的待扫描IP地址的批次,以批次为单位进行扫描,更加节约时间,提高扫描效率。
在步骤S12中,当确定所述待扫描设备具有开放端口时,将所述开放端口和对应的所述待扫描IP地址存储至消息队列中。
其中,可以将每个待扫描IP地址对应的多个开放端口以列表的形式下发到所述消息队列中。
在步骤S13中,从所述消息队列中获取所述开放端口和对应的所述待扫描IP地址;以及
在步骤S14中,对所述待扫描IP地址对应的所述待扫描设备进行漏洞扫描,以确定所述待扫描设备的所述开放端口的漏洞信息。
其中,在步骤S14中,对所述待扫描IP地址对应的所述待扫描设备进行漏洞扫描包括如下步骤:
1)根据协议指纹特征,确定所述开放端口的协议类型;
2)将所述确定的协议类型、对应的所述开放端口和待扫描IP地址下发到所述消息队列中;
3)从所述消息队列中获取所述确定的协议类型、以及对应的所述开放端口和待扫描IP地址,以对所述待扫描IP地址对应的所述待扫描设备进行设备应用扫描;
4)将所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址下发到所述消息队列中,其中,所述设备应用扫描的扫描结果包括所述待扫描设备的设备应用版本号;
5)从所述消息队列中获取所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址;
6)根据所述设备应用扫描的扫描结果确定预设漏洞验证程序,以确定所述开放端口的漏洞信息,所述预设漏洞验证程序包括有漏洞信息。
上述步骤1)和2)为进行所述开放端口的协议类型扫描的步骤,步骤3)和4)为进行所述待扫描IP地址对应的所述待扫描设备进行设备应用扫描的步骤,步骤5)和6)为进行所述开放端口的漏洞信息扫描的步骤。
通过流水线环节,使得扫描过程流畅,多任务、多并发和细粒度的扫描任务大幅提高了海量IP地址的扫描效率。
图2是根据另一示例性实施例示出的一种漏洞扫描方法的流程图。
如图2所示,本公开实施例提供的一种漏洞扫描方法,执行主体以安装于计算机上的漏洞扫描装置为例,所述方法包括以下步骤:
步骤S21,获取联网的多个IP地址,根据IP地址的属性信息,将所述多个IP地址划分为多个批次,以将所述多个IP地址分批次下发到所述消息队列。
多个批次的IP地址下发到所述消息队列中后,等待进行端口开放扫描。
步骤S22,从所述消息队列中获取需要进行端口开放扫描的待扫描IP地址,判断所述待扫描IP地址对应的待扫描设备是否具有开放端口,当确定所述待扫描设备具有开放端口时,将所述开放端口和对应的所述待扫描IP地址存储至消息队列中。
具体是从所述消息队列中获取需要进行端口开放扫描的待扫描IP地址,并通过端口扫描引擎扫描得到所述待扫描IP地址对应的开放端口,然后将所述开放端口和对应的所述待扫描IP地址存储到所述消息队列中,等待进行协议扫描。
步骤S23,从所述消息队列中获取需要进行协议扫描的开放端口和对应的所述待扫描IP地址,根据协议指纹特征,确定所述开放端口的协议类型,将所述确定的协议类型、对应的所述开放端口和待扫描IP地址下发到所述消息队列中。
其中,在步骤S23中根据协议指纹特征,确定所述开放端口的协议类型具体包括如下步骤:
1)向所述开放端口发送多个用于探测协议类型的数据包;
2)接收所述开放端口回传的数据包,以从所述回传的数据包中提取协议指纹特征;
3)在所述预设协议指纹库中查找所述协议指纹特征,以确定所述开放端口对应的协议类型,所述预设协议指纹库包括协议指纹特征和协议类型的对应关系。
由于存在多中协议类型,故向所述开放端口发送多个用于探测协议类型的数据包,在多个数据包的交互过程中从所述回传的数据包中提取协议指纹特征,并根据包括协议指纹特征和协议类型的对应关系的预设协议指纹库,查找所述协议指纹特征对应的协议类型,从而确定所述开放端口对应的协议,然后将所述确定的协议类型、对应的所述开放端口和待扫描IP地址下发到所述消息队列中,等待进行设备应用扫描。其中,一个IP地址对应的多个开放端口对应的协议并不相同,例如,以HTTP协议为例,80、81、82、83、84、85、8080等端口都可能开放HTTP服务,因此不能简单的用端口关联协议类型,需要对每个开放端口进行数据包的交互以精准识别协议类型。
步骤S24,从所述消息队列中获取所述确定的协议类型、以及对应的所述开放端口和待扫描IP地址,以对所述待扫描IP地址对应的所述待扫描设备进行设备应用扫描,将所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址下发到所述消息队列中,其中,所述设备应用扫描的扫描结果包括所述待扫描设备的设备应用版本号。
其中,步骤S24中对所述待扫描IP地址对应的所述待扫描设备进行设备应用扫描,具体包括如下步骤:
1)向所述开放端口发送用于设备应用扫描的数据包;
2)接收所述开放端口回传的数据包,以从所述回传的数据包中提取设备识别信息;
3)根据所述设备识别信息,在所述预设设备识别脚本库中查找所述设备识别信息,以获取所述待扫描设备的设备应用扫描的扫描结果,所述扫描结果包括设备应用版本号,所述预设设备识别脚本库包括设备识别信息和设备应用版本号的对应关系,其中所述设备应用版本号包括设备固件版本号和/或应用软件版本号。
对于每种协议可能对应多种设备类型,在已经确定协议的类型之后,向所述开放端口发送用于设备应用扫描的数据包,一部分设备对于与之对应的设备类型的数据包,会回传数据包,其中包括设备识别信息,而对于与之不对应的设备类型的数据包,不会回传数据包;另一部分设备,会直接回传包括设备识别信息的数据包。根据所述设备识别信息,在包括设备识别信息和设备应用版本号的对应关系的预设设备识别脚本库中,查找所述设备识别信息对应的设备应用版本号,其中所述设备应用版本号包括设备固件版本号和/或应用软件版本号。例如,以西门子S7协议为例,经过十几个包的深度交互,可以获取PLC设备的型号、设备固件版本号等详细信息。将所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址下发到所述消息队列中之后,等待进行漏洞信息扫描。
步骤S25,从所述消息队列中获取所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址,根据所述设备应用扫描的扫描结果确定预设漏洞验证程序,以确定所述开放端口的漏洞信息,并将所述漏洞扫描的扫描结果存储至所述消息队列,所述预设漏洞验证程序包括有漏洞信息。
其中,所述扫描结果包括漏洞信息、对应的待扫描设备的设备应用版本号、协议类型以及对应的所述开放端口和待扫描IP地址。
其中,步骤S25对开放端口进行漏洞扫描,分两种情况,一种是可以直接得到漏洞信息从而确定是否有漏洞,另一种是确定漏洞是否存在,是否已经被修复了,下面将描述第一种情况,具体包括如下步骤:
1)在所述预设漏洞库中查找是否有所述待扫描设备的设备应用版本号,所述预设漏洞库包括设备应用版本号与预设漏洞验证程序的对应关系;
2)当在所述预设漏洞库中查找到所述设备应用版本号时,确定所述设备应用版本号对应的预设漏洞验证程序;
3)根据确定的所述预设漏洞验证程序确定所述待扫描设备的开放端口的漏洞信息。
其中,所述预设漏洞库可以为目前国内应用的漏洞库CNNVD或CNVD,或者为国际上应用的漏洞库CVE。
对于第二种情况,存在设备应用版本号对应的待扫描设备是否为关键信息基础设施的判断,从而确定漏洞信息,具体包括如下步骤:
1)向所述开放端口发送漏洞测试信息;
2)以及判断所述待扫描设备是否为关键信息基础设施;
3)当确定所述待扫描设备不是关键信息基础设施时,根据从所述开放端口接收的回传数据包的特征,确定所述设备应用版本号对应的第一漏洞信息,所述第一漏洞信息包括漏洞是否存在的信息;
4)当确定所述设备应用版本号对应的设备是关键信息基础设施时,确定所述设备应用版本号对应的第二漏洞信息,所述第二漏洞信息包括漏洞属性信息。
对于非关键信息基础设施,探测的程度可以深入一些,通过回传的数据包可以判断漏洞是否已经被修复,而对于关键信息基础设施,只能得到漏洞属性信息。
对于工控网来说,上述对于漏洞的扫描,只是发送类似漏洞探测报文,不会对工控网产生任何危害。
漏洞扫描只做有针对性的扫描,根据设备应用版本号选择合适的漏洞验证程序,可以大量的降低扫描的频率,提升扫描效率。
步骤S26,当接收到来自入库节点的调度指令时,从所述消息队列中获取扫描结果,按照入库规则,将所述扫描结果分批次存入数据库。
其中,所述入库节点为虚拟机节点。
根据不同的入库规则,将所述待扫描IP地址与对应的扫描结果分批次存入数据库。例如,当需要将具有相同协议类型的数据入库时,则将具有相同协议类型,以及对应的漏洞信息、设备应用版本号以及对应的开放端口和待扫描IP地址入库存储。数据批量入库,可以降低数据库的访问频率,提升访问效率。
通过图2所示的流程图以及上述描述,将海量IP地址对应的在线设备漏洞扫描,进行类似于流水线作业一样无缝连接,提高了扫描效率。
另外,图2所示的六个步骤分别由不同节点进行执行,对于扫描任务量大的步骤可以分配多个节点进行处理,例如步骤S23,步骤S24和步骤S25,每个步骤多并发执行,提高扫描效率,某个步骤任务积压的多,可以提升该步骤的节点数量,保障流水线的无缝连接。另外,单个节点一段时间内只做一种类型的扫描任务,可以降低入侵检测系统的报警率,有效的发现隐藏在防火墙NAT之后的设备。
图3是根据一示例性实施例示出的一种漏洞扫描装置的示意性结构框图。
如图3所示,本公开实施例提供的一种漏洞扫描装置30,该装置可以设置在计算机上,包括端口扫描单元31,存储单元32,获取单元33和漏洞扫描单元34。
其中,所述端口扫描单元31,用于针对待扫描IP地址,判断所述待扫描IP地址对应的待扫描设备是否具有开放端口;
所述存储单元32,用于当确定所述待扫描设备具有开放端口时,将所述开放端口和对应的所述待扫描IP地址存储至消息队列中;
所述获取单元33,用于从所述消息队列中获取所述开放端口和对应的所述待扫描IP地址;以及
所述漏洞扫描单元34,用于对所述待扫描IP地址对应的所述待扫描设备进行漏洞扫描,以确定所述待扫描设备的所述开放端口的漏洞信息。
在本发明一实施例中,如图4所示,所述漏洞扫描单元34还包括:
协议确定模块41,用于根据协议指纹特征,确定所述开放端口的协议类型;
第一发送模块42,用于将所述确定的协议类型、对应的所述开放端口和待扫描IP地址下发到所述消息队列中;
设备应用扫描模块43,用于从所述消息队列中获取所述确定的协议类型、以及对应的所述开放端口和待扫描IP地址,以对所述待扫描IP地址对应的所述待扫描设备进行设备应用扫描;
第二发送模块44,用于将所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址下发到所述消息队列中,其中,所述设备应用扫描的扫描结果包括所述待扫描设备的设备应用版本号;
获取模块45,用于从所述消息队列中获取所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址;
漏洞确定模块46,用于根据所述设备应用扫描的扫描结果确定预设漏洞验证程序,以确定所述开放端口的漏洞信息,所述预设漏洞验证程序包括有漏洞信息。
所述协议确定模块和第一发送模块运行于虚拟机1上,设备应用扫描模块和第二发送模块运行于虚拟机2上,获取模块和漏洞确定模块运行于虚拟机3上,上述3个虚拟机IP地址不同,且上述3个虚拟机也可以为3批虚拟机。每个步骤多并发执行,提高扫描效率,某个步骤任务积压的多,可以提升该步骤的节点数量,保障流水线的无缝连接。
关于上述实施例中的装置,其中各个单元模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种漏洞扫描方法,其特征在于,包括:
针对待扫描IP地址,判断所述待扫描IP地址对应的待扫描设备是否具有开放端口;
当确定所述待扫描设备具有开放端口时,将所述开放端口和对应的所述待扫描IP地址存储至消息队列中;
从所述消息队列中获取所述开放端口和对应的所述待扫描IP地址;以及
对所述待扫描IP地址对应的所述待扫描设备进行漏洞扫描,以确定所述待扫描设备的所述开放端口的漏洞信息。
2.根据权利要求1所述的漏洞扫描方法,其特征在于,所述方法还包括:
将所述漏洞扫描的扫描结果存储至所述消息队列;
当接收到来自入库节点的调度指令时,从所述消息队列中获取扫描结果;
按照入库规则,将所述扫描结果分批次存入数据库。
3.根据权利要求1所述的漏洞扫描方法,其特征在于,所述方法还包括:
获取联网的多个IP地址;
根据IP地址的属性信息,将所述多个IP地址划分为多个批次,以将所述多个IP地址分批次下发到所述消息队列。
4.根据权利要求1所述的漏洞扫描方法,其特征在于,所述对所述待扫描IP地址对应的所述待扫描设备进行漏洞扫描,以确定所述待扫描设备的所述开放端口的漏洞信息包括:
根据协议指纹特征,确定所述开放端口的协议类型;
将所述确定的协议类型、对应的所述开放端口和待扫描IP地址下发到所述消息队列中;
从所述消息队列中获取所述确定的协议类型、以及对应的所述开放端口和待扫描IP地址,以对所述待扫描IP地址对应的所述待扫描设备进行设备应用扫描;
将所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址下发到所述消息队列中,其中,所述设备应用扫描的扫描结果包括所述待扫描设备的设备应用版本号;
从所述消息队列中获取所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址;
根据所述设备应用扫描的扫描结果确定预设漏洞验证程序,以确定所述开放端口的漏洞信息,所述预设漏洞验证程序包括有漏洞信息。
5.根据权利要求4所述的漏洞扫描方法,其特征在于,所述根据协议指纹特征,确定所述开放端口的协议类型包括:
向所述开放端口发送多个用于探测协议类型的数据包;
接收所述开放端口回传的数据包,以从所述回传的数据包中提取协议指纹特征;
在所述预设协议指纹库中查找所述协议指纹特征,以确定所述开放端口对应的协议类型,所述预设协议指纹库包括协议指纹特征和协议类型的对应关系。
6.根据权利要求4所述的漏洞扫描方法,其特征在于,所述对所述待扫描IP地址对应的所述待扫描设备进行设备应用扫描包括:
向所述开放端口发送用于设备应用扫描的数据包;
接收所述开放端口回传的数据包,以从所述回传的数据包中提取设备识别信息;
根据所述设备识别信息,在所述预设设备识别脚本库中查找所述设备识别信息,以获取所述待扫描设备的设备应用扫描的扫描结果,所述扫描结果包括设备应用版本号,所述预设设备识别脚本库包括设备识别信息和设备应用版本号的对应关系,其中所述设备应用版本号包括设备固件版本号和/或应用软件版本号。
7.根据权利要求4所述的漏洞扫描方法,其特征在于,所述根据所述设备应用扫描的扫描结果确定预设漏洞验证程序,以确定所述开放端口的漏洞信息包括:
在所述预设漏洞库中查找是否有所述待扫描设备的设备应用版本号,所述预设漏洞库包括设备应用版本号与预设漏洞验证程序的对应关系;
当在所述预设漏洞库中查找到所述设备应用版本号时,确定所述设备应用版本号对应的预设漏洞验证程序;
根据确定的所述预设漏洞验证程序确定所述待扫描设备的开放端口的漏洞信息。
8.根据权利要求4所述的漏洞扫描方法,其特征在于,所述对所述待扫描IP地址对应的所述待扫描设备进行漏洞扫描,以确定所述待扫描设备的所述开放端口的漏洞信息包括:
向所述开放端口发送漏洞测试信息;
以及判断所述待扫描设备是否为关键信息基础设施;
当确定所述待扫描设备不是关键信息基础设施时,根据从所述开放端口接收的回传数据包的特征,确定所述设备应用版本号对应的第一漏洞信息,所述第一漏洞信息包括漏洞是否存在的信息;
当确定所述设备应用版本号对应的设备是关键信息基础设施时,确定所述设备应用版本号对应的第二漏洞信息,所述第二漏洞信息包括漏洞属性信息。
9.一种漏洞扫描装置,其特征在于,包括:
端口扫描单元,用于针对待扫描IP地址,判断所述待扫描IP地址对应的待扫描设备是否具有开放端口;
存储单元,用于当确定所述待扫描设备具有开放端口时,将所述开放端口和对应的所述待扫描IP地址存储至消息队列中;
获取单元,用于从所述消息队列中获取所述开放端口和对应的所述待扫描IP地址;以及
漏洞扫描单元,用于对所述待扫描IP地址对应的所述待扫描设备进行漏洞扫描,以确定所述待扫描设备的所述开放端口的漏洞信息。
10.根据权利要求9所述的漏洞扫描装置,其特征在于,所述漏洞扫描单元包括:
协议确定模块,用于根据协议指纹特征,确定所述开放端口的协议类型;
第一发送模块,用于将所述确定的协议类型、对应的所述开放端口和待扫描IP地址下发到所述消息队列中;
设备应用扫描模块,用于从所述消息队列中获取所述确定的协议类型、以及对应的所述开放端口和待扫描IP地址,以对所述待扫描IP地址对应的所述待扫描设备进行设备应用扫描;
第二发送模块,用于将所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址下发到所述消息队列中,其中,所述设备应用扫描的扫描结果包括所述待扫描设备的设备应用版本号;
获取模块,用于从所述消息队列中获取所述设备应用扫描的扫描结果、所述协议类型、所述开放端口和所述待扫描IP地址;
漏洞确定模块,用于根据所述设备应用扫描的扫描结果确定预设漏洞验证程序,以确定所述开放端口的漏洞信息,所述预设漏洞验证程序包括有漏洞信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710373206.2A CN106973071A (zh) | 2017-05-24 | 2017-05-24 | 一种漏洞扫描方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710373206.2A CN106973071A (zh) | 2017-05-24 | 2017-05-24 | 一种漏洞扫描方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106973071A true CN106973071A (zh) | 2017-07-21 |
Family
ID=59325827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710373206.2A Pending CN106973071A (zh) | 2017-05-24 | 2017-05-24 | 一种漏洞扫描方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106973071A (zh) |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107295023A (zh) * | 2017-08-23 | 2017-10-24 | 四川长虹电器股份有限公司 | 一种网络安全漏洞扫描系统及方法 |
| CN107360192A (zh) * | 2017-08-29 | 2017-11-17 | 四川长虹电器股份有限公司 | 提高漏洞扫描效率和精度的指纹识别方法 |
| CN108712396A (zh) * | 2018-04-27 | 2018-10-26 | 广东省信息安全测评中心 | 网络资产管理与漏洞治理系统 |
| CN108965327A (zh) * | 2018-08-21 | 2018-12-07 | 中国平安人寿保险股份有限公司 | 检测系统漏洞的方法、装置、计算机设备以及存储介质 |
| CN109033844A (zh) * | 2018-09-10 | 2018-12-18 | 四川长虹电器股份有限公司 | 基于端口识别的自动化漏洞探测系统及方法 |
| CN109274551A (zh) * | 2018-09-14 | 2019-01-25 | 江苏博智软件科技股份有限公司 | 一种精确高效的工控资源定位方法 |
| CN109639630A (zh) * | 2018-10-30 | 2019-04-16 | 国网陕西省电力公司信息通信公司 | 一种终端端口管控系统及管控方法 |
| CN110233821A (zh) * | 2019-04-29 | 2019-09-13 | 北京邮电大学 | 一种智能设备网络空间的探测和安全扫描系统及其方法 |
| CN110351237A (zh) * | 2019-05-23 | 2019-10-18 | 中国科学院信息工程研究所 | 用于数控机床的蜜罐方法及装置 |
| CN110519289A (zh) * | 2019-09-02 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 基于工控系统的弱口令探测方法和装置 |
| CN110691072A (zh) * | 2019-09-11 | 2020-01-14 | 光通天下网络科技股份有限公司 | 分布式端口扫描方法、装置、介质、电子设备 |
| CN111008380A (zh) * | 2019-11-25 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种检测工控系统漏洞的方法、装置和电子设备 |
| CN111104188A (zh) * | 2019-11-11 | 2020-05-05 | 中盈优创资讯科技有限公司 | 漏洞扫描器的调度方法及装置 |
| CN111723374A (zh) * | 2020-06-05 | 2020-09-29 | 绿盟科技集团股份有限公司 | 一种漏洞扫描方法及装置 |
| CN111884989A (zh) * | 2020-06-02 | 2020-11-03 | 全球能源互联网研究院有限公司 | 一种针对电力web系统的漏洞探测方法和系统 |
| CN112003758A (zh) * | 2019-05-27 | 2020-11-27 | 北京白帽汇科技有限公司 | 一种网络空间测绘过程中对象特征的识别方法 |
| CN112541181A (zh) * | 2020-12-22 | 2021-03-23 | 建信金融科技有限责任公司 | 一种检测服务器安全性的方法和装置 |
| CN112632559A (zh) * | 2020-12-24 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 漏洞自动验证方法、装置、设备及存储介质 |
| CN112699378A (zh) * | 2020-12-31 | 2021-04-23 | 北京航天控制仪器研究所 | 一种工控设备漏洞检测系统及方法 |
| CN112804263A (zh) * | 2021-03-30 | 2021-05-14 | 北京安信天行科技有限公司 | 一种面向物联网的漏洞扫描方法、系统及设备 |
| CN113407948A (zh) * | 2021-06-25 | 2021-09-17 | 苏州浪潮智能科技有限公司 | 一种基于预加载的安全扫描方法及装置 |
| CN113438244A (zh) * | 2021-06-28 | 2021-09-24 | 安天科技集团股份有限公司 | 渗透测试方法、装置、计算设备及存储介质 |
| CN114598509A (zh) * | 2022-02-23 | 2022-06-07 | 烽台科技(北京)有限公司 | 一种确定脆弱性结果的方法及装置 |
| CN115022257A (zh) * | 2022-06-22 | 2022-09-06 | 绿盟科技集团股份有限公司 | 一种设备扫描方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030212779A1 (en) * | 2002-04-30 | 2003-11-13 | Boyter Brian A. | System and Method for Network Security Scanning |
| CN102156827A (zh) * | 2011-01-14 | 2011-08-17 | 无锡市同威科技有限公司 | 基于fpga的远程漏洞高速扫描主机及扫描方法 |
| CN106161455A (zh) * | 2016-07-25 | 2016-11-23 | 恒安嘉新(北京)科技有限公司 | 一种多模块和引擎分布式云管理系统及检测方法 |
| CN106603507A (zh) * | 2016-11-29 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种自动化完成网络安全自检的方法及系统 |
| CN106650458A (zh) * | 2016-10-17 | 2017-05-10 | 杭州迪普科技股份有限公司 | 一种漏洞的扫描方法及装置 |
-
2017
- 2017-05-24 CN CN201710373206.2A patent/CN106973071A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030212779A1 (en) * | 2002-04-30 | 2003-11-13 | Boyter Brian A. | System and Method for Network Security Scanning |
| CN102156827A (zh) * | 2011-01-14 | 2011-08-17 | 无锡市同威科技有限公司 | 基于fpga的远程漏洞高速扫描主机及扫描方法 |
| CN106161455A (zh) * | 2016-07-25 | 2016-11-23 | 恒安嘉新(北京)科技有限公司 | 一种多模块和引擎分布式云管理系统及检测方法 |
| CN106650458A (zh) * | 2016-10-17 | 2017-05-10 | 杭州迪普科技股份有限公司 | 一种漏洞的扫描方法及装置 |
| CN106603507A (zh) * | 2016-11-29 | 2017-04-26 | 哈尔滨安天科技股份有限公司 | 一种自动化完成网络安全自检的方法及系统 |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107295023A (zh) * | 2017-08-23 | 2017-10-24 | 四川长虹电器股份有限公司 | 一种网络安全漏洞扫描系统及方法 |
| CN107360192A (zh) * | 2017-08-29 | 2017-11-17 | 四川长虹电器股份有限公司 | 提高漏洞扫描效率和精度的指纹识别方法 |
| CN108712396A (zh) * | 2018-04-27 | 2018-10-26 | 广东省信息安全测评中心 | 网络资产管理与漏洞治理系统 |
| CN108965327A (zh) * | 2018-08-21 | 2018-12-07 | 中国平安人寿保险股份有限公司 | 检测系统漏洞的方法、装置、计算机设备以及存储介质 |
| CN108965327B (zh) * | 2018-08-21 | 2022-04-12 | 中国平安人寿保险股份有限公司 | 检测系统漏洞的方法、装置、计算机设备以及存储介质 |
| CN109033844A (zh) * | 2018-09-10 | 2018-12-18 | 四川长虹电器股份有限公司 | 基于端口识别的自动化漏洞探测系统及方法 |
| CN109274551A (zh) * | 2018-09-14 | 2019-01-25 | 江苏博智软件科技股份有限公司 | 一种精确高效的工控资源定位方法 |
| CN109639630B (zh) * | 2018-10-30 | 2021-06-18 | 国网陕西省电力公司信息通信公司 | 一种终端端口管控系统及管控方法 |
| CN109639630A (zh) * | 2018-10-30 | 2019-04-16 | 国网陕西省电力公司信息通信公司 | 一种终端端口管控系统及管控方法 |
| CN110233821A (zh) * | 2019-04-29 | 2019-09-13 | 北京邮电大学 | 一种智能设备网络空间的探测和安全扫描系统及其方法 |
| CN110351237A (zh) * | 2019-05-23 | 2019-10-18 | 中国科学院信息工程研究所 | 用于数控机床的蜜罐方法及装置 |
| CN110351237B (zh) * | 2019-05-23 | 2020-07-10 | 中国科学院信息工程研究所 | 用于数控机床的蜜罐方法及装置 |
| CN112003758A (zh) * | 2019-05-27 | 2020-11-27 | 北京白帽汇科技有限公司 | 一种网络空间测绘过程中对象特征的识别方法 |
| CN110519289A (zh) * | 2019-09-02 | 2019-11-29 | 杭州安恒信息技术股份有限公司 | 基于工控系统的弱口令探测方法和装置 |
| CN110691072A (zh) * | 2019-09-11 | 2020-01-14 | 光通天下网络科技股份有限公司 | 分布式端口扫描方法、装置、介质、电子设备 |
| CN111104188A (zh) * | 2019-11-11 | 2020-05-05 | 中盈优创资讯科技有限公司 | 漏洞扫描器的调度方法及装置 |
| CN111104188B (zh) * | 2019-11-11 | 2024-05-10 | 中盈优创资讯科技有限公司 | 漏洞扫描器的调度方法及装置 |
| CN111008380A (zh) * | 2019-11-25 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种检测工控系统漏洞的方法、装置和电子设备 |
| CN111008380B (zh) * | 2019-11-25 | 2022-05-31 | 杭州安恒信息技术股份有限公司 | 一种检测工控系统漏洞的方法、装置和电子设备 |
| CN111884989B (zh) * | 2020-06-02 | 2023-07-21 | 全球能源互联网研究院有限公司 | 一种针对电力web系统的漏洞探测方法和系统 |
| CN111884989A (zh) * | 2020-06-02 | 2020-11-03 | 全球能源互联网研究院有限公司 | 一种针对电力web系统的漏洞探测方法和系统 |
| CN111723374B (zh) * | 2020-06-05 | 2024-06-11 | 绿盟科技集团股份有限公司 | 一种漏洞扫描方法及装置 |
| CN111723374A (zh) * | 2020-06-05 | 2020-09-29 | 绿盟科技集团股份有限公司 | 一种漏洞扫描方法及装置 |
| CN112541181A (zh) * | 2020-12-22 | 2021-03-23 | 建信金融科技有限责任公司 | 一种检测服务器安全性的方法和装置 |
| CN112632559A (zh) * | 2020-12-24 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 漏洞自动验证方法、装置、设备及存储介质 |
| CN112699378A (zh) * | 2020-12-31 | 2021-04-23 | 北京航天控制仪器研究所 | 一种工控设备漏洞检测系统及方法 |
| CN112804263A (zh) * | 2021-03-30 | 2021-05-14 | 北京安信天行科技有限公司 | 一种面向物联网的漏洞扫描方法、系统及设备 |
| CN113407948A (zh) * | 2021-06-25 | 2021-09-17 | 苏州浪潮智能科技有限公司 | 一种基于预加载的安全扫描方法及装置 |
| CN113407948B (zh) * | 2021-06-25 | 2022-05-27 | 苏州浪潮智能科技有限公司 | 一种基于预加载的安全扫描方法及装置 |
| CN113438244A (zh) * | 2021-06-28 | 2021-09-24 | 安天科技集团股份有限公司 | 渗透测试方法、装置、计算设备及存储介质 |
| CN114598509B (zh) * | 2022-02-23 | 2023-06-20 | 烽台科技(北京)有限公司 | 一种确定脆弱性结果的方法及装置 |
| CN114598509A (zh) * | 2022-02-23 | 2022-06-07 | 烽台科技(北京)有限公司 | 一种确定脆弱性结果的方法及装置 |
| CN115022257A (zh) * | 2022-06-22 | 2022-09-06 | 绿盟科技集团股份有限公司 | 一种设备扫描方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106973071A (zh) | 一种漏洞扫描方法和装置 | |
| CN104335546B (zh) | 使用邻居发现来为其它应用创建信任信息的方法和装置 | |
| CN103179100B (zh) | 一种防止域名系统隧道攻击的方法及设备 | |
| CN107770182A (zh) | 家庭网关的数据存储方法及家庭网关 | |
| CN104811462B (zh) | 一种接入网关重定向方法及接入网关 | |
| CN106533696A (zh) | 基于区块链的身份认证方法、认证服务器及用户终端 | |
| CN106714075A (zh) | 一种处理授权的方法和设备 | |
| CN107634931A (zh) | 异常数据的处理方法、云端服务器、网关及终端 | |
| CN106936791A (zh) | 拦截恶意网址访问的方法和装置 | |
| CN106101145A (zh) | 一种网站漏洞检测方法及装置 | |
| CN111884989B (zh) | 一种针对电力web系统的漏洞探测方法和系统 | |
| CN104125485B (zh) | 一种用户信息共享的方法、设备及系统 | |
| CN107172571A (zh) | 一种智能设备自动配对连接方法和系统 | |
| CN105611534A (zh) | 无线终端识别伪WiFi 网络的方法及其装置 | |
| CN101997700A (zh) | 基于深度包检测和深度流检测技术的IPv6监测设备 | |
| CN109040119A (zh) | 一种智能楼宇网络的漏洞检测方法和装置 | |
| CN106878341A (zh) | 网络设备的漏洞扫描方法及装置 | |
| CN106060072A (zh) | 认证方法以及装置 | |
| CN105471677B (zh) | 一种测试系统 | |
| CN108769016A (zh) | 一种业务报文的处理方法及装置 | |
| CN106295271A (zh) | 账户自动登录方法、装置及相关系统 | |
| CN107480530A (zh) | 安全检测的方法、装置、系统以及服务器 | |
| CN105871620A (zh) | 一种网络空间工业控制设备快速检测识别方法 | |
| CN107332803A (zh) | 一种基于终端主机安全状态的准入控制方法和系统 | |
| CN107241461B (zh) | Mac地址获取方法、网关设备、网络认证设备及网络系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |