CN107204962A - 一种基于SaaS架构的通用漏洞扫描器的实现方法 - Google Patents
一种基于SaaS架构的通用漏洞扫描器的实现方法 Download PDFInfo
- Publication number
- CN107204962A CN107204962A CN201610154602.1A CN201610154602A CN107204962A CN 107204962 A CN107204962 A CN 107204962A CN 201610154602 A CN201610154602 A CN 201610154602A CN 107204962 A CN107204962 A CN 107204962A
- Authority
- CN
- China
- Prior art keywords
- scanning
- scan
- management module
- module
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于SaaS架构的通用漏洞扫描器的实现方法包括:建立一个具有多种扫描功能的扫描模块;建立一个统一的扫描管理模块,提供管理界面作为扫描的管理和结果呈现;对扫描模块的扫描数据进行统一的结构封装后,在扫描管理模块进行统一处理;对漏洞库、扫描配置进行场景细分,包装成策略后部署到扫描模块和扫描管理模块中,通过利用虚拟化技术,实现控制层,做扫描任务的调度和分发,弹性伸缩,故障迁移,解决了原有单机扫描无法完成对大规模站点系统的漏洞扫描,而且通过水平扩展虚拟机的数量,能完成超大规模站点系统的漏洞扫描,对扫描漏洞、配置的策略分装,统一平台管理,克服了现有技术方案配置繁琐、专业性要求高的问题。
Description
技术领域
本发明涉及互联网应用技术领域,尤其涉及一种基于SaaS架构的通用漏洞扫描器的实现方法。
背景技术
随着互联网的兴起,不管是企业还是个人用户,都喜欢搭建web服务,在网络上展现企业产品、企业信息或个人的分享总结等,那么搭载web服务的系统也就暴露在网络中。如果web服务甚至系统中存在漏洞,系统极易被渗透攻击,导致保密信息被泄露,造成财产损失。所以web服务或系统设备在上线前,都需要进行漏洞扫描并修复。
传统的漏洞扫描器,不论是系统扫描还是WEB扫描,需要手工安装在一台物理主机上,创建扫描时需要进行一系列繁琐的手工配置,例如在大量的漏洞库中选择需要扫描的漏洞,配置扫描的超时时长,甚至是扫描器的并发度等,这些手工配置不仅繁琐,且要求使用人员具有一定的系统和WEB相关的专业知识。同时传统扫描器属于单机扫描,由于单台主机的资源有限,无法对大规模web站点或系统进行漏洞扫描。并且传统的漏洞扫描器需要用户自己规定时间进行手工触发,无法进行计划扫描,不易使用。
发明内容
鉴于目前互联网应用技术领域存在的上述不足,本发明提供一种基于SaaS架构的通用漏洞扫描器的实现方法,能够克服传统漏洞扫描器的使用繁琐、无法扫描大规模站点和系统的缺点。
为达到上述目的,本发明的实施例采用如下技术方案:
一种基于SaaS架构的通用漏洞扫描器的实现方法,所述基于SaaS架构的通用漏洞扫描器的实现方法包括以下步骤:
建立一个具有多种扫描功能的扫描模块(包括但不限于物理机、虚拟机、容器);
建立一个统一的扫描管理模块,提供管理界面作为扫描的管理和结果呈现;
对扫描模块的扫描数据进行统一的结构封装后,在扫描管理模块进行统一处理;
对漏洞库、扫描配置进行场景细分,包装成策略后部署到扫描模块和扫描管理模块中。
依照本发明的一个方面,所述扫描管理模块与扫描模块之间使用通用的通信协议进行通信。
依照本发明的一个方面,所述扫描管理模块和扫描模块部署在一个主机上,扫描管理模块接收到用户下发的扫描策略后,直接发送给本机的扫描模块进行相应策略的扫描。
依照本发明的一个方面,所述扫描管理模块、扫描模块部署在不同的虚拟机上,并搭建一套云平台。
依照本发明的一个方面,所述扫描管理模块虚拟机监控所述扫描模块虚拟机的系统负载。
依照本发明的一个方面,所述扫描管理模块虚拟机根据扫描策略的权值、各个扫描模块虚拟机的当前负载筛选出合适的扫描模块虚拟机进行扫描任务的分配。
依照本发明的一个方面,所述扫描管理模块虚拟机对扫描模块虚拟机进行状态监控,检测到扫描模块虚拟机故障后,进行故障任务迁移。
依照本发明的一个方面,所述扫描管理模块虚拟机对扫描模块虚拟机的负载进行监控,当负载趋小并稳定后,删除掉扫描任务分发时新建的虚拟机。
依照本发明的一个方面,所述对漏洞库、扫描配置进行场景细分,包装成策略后部署到扫描模块和扫描管理模块中可包括:为每种策略附加各自的权重,用于扫描调度。
本发明实施的优点:本发明所述的基于SaaS架构的通用漏洞扫描器的实现方法包括:建立一个具有多种扫描功能的扫描模块;建立一个统一的扫描管理模块,提供管理界面作为扫描的管理和结果呈现;对扫描模块的扫描数据进行统一的结构封装后,在扫描管理模块进行统一处理;对漏洞库、扫描配置进行场景细分,包装成策略后部署到扫描模块和扫描管理模块中,通过利用虚拟化技术,实现控制层,做扫描任务的调度和分发,弹性伸缩,故障迁移,解决了原有单机扫描无法完成对大规模站点系统的漏洞扫描,而且通过水平扩展虚拟机的数量,能完成超大规模站点系统的漏洞扫描,对扫描漏洞、配置的策略分装,统一管理平台,克服了现有技术方案配置繁琐、专业性要求高的问题,极大提升用户的使用体验。进一步的,对于小规模的扫描场景,本方案也支持单机部署,所以保留了现有技术方案的低成本优势。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述的一种基于SaaS架构的通用漏洞扫描器的实现方法示意图;
图2为本发明所述的SaaS架构通用漏洞扫描器集群部署技术方案图;
图3为本发明所述的SaaS架构通用漏洞扫描器单机部署技术方案图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,一种基于SaaS架构的通用漏洞扫描器的实现方法,所述基于SaaS架构的通用漏洞扫描器的实现方法包括以下步骤:
步骤S1:建立一个具有多种扫描功能的扫描模块;
所述步骤S1建立一个具有多种扫描功能的扫描模块的具体实施方式可为:实现具有多种扫描功能(包括但不限于系统扫描、WEB扫描、端口扫描、APP扫描)的扫描模块。
步骤S2:建立一个统一的扫描管理模块,提供管理界面作为扫描的管理和结果呈现;
所述扫描管理模块与所述扫描模块之间使用通用的无状态通信协议进行通信(包括但不限于Restful api、rpc、消息队列等)。
步骤S3:对扫描模块的扫描数据进行统一的结构封装后,在扫描管理模块进行统一处理;
步骤S4:对漏洞库、扫描配置进行场景细分,包装成策略后部署到扫描模块和扫描管理模块中。
所述步骤S4对漏洞库、扫描配置进行场景细分,包装成策略后部署到扫描模块和扫描管理模块中的具体实施方式可为:对漏洞库、扫描配置进行场景细分,包装成策略,例如高危扫描、OWASP TOP10扫描、基础设施扫描等,用户只需要根据扫描需求选择相应的策略,不需要进行繁琐的配置。同时给每种策略附加各自的权重,用于扫描调度。
在实际应用中,如图2和图3所示,本实施例所述的扫描器能同时支持单机部署和集群部署两种部署方式,分别适用于小规模扫描和大规模扫描:
1)单机部署–适用于低成本、小规模的扫描
1、将扫描管理模块和扫描模块部署在一个主机上(支持虚拟主机和物理主机)
2、扫描管理模块接收到用户下发的扫描策略后,直接发送给本机的扫描模块进行相应策略的扫描
2)集群部署(以虚拟机为例)–适用于大规模的扫描
1、搭建一套云平台,将扫描管理模块、扫描模块部署在不同的虚拟机上,例如初始部署一台扫描管理虚拟机,三台扫描虚拟机;
2、每台扫描虚拟机将系统负载上报给扫描管理虚拟机,扫描管理虚拟机对每个扫描虚拟机的负载进行归类保存;
3、扫描管理虚拟机接收到用户下发的扫描任务后,根据扫描策略的权值、各个扫描虚拟机的当前负载筛选出一台合适的扫描虚拟机,(如果当前所有扫描虚拟机负载较高,筛选不出合适的,则调用云平台接口新建一个扫描虚拟机,并记录),将扫描任务分配给筛选出的扫描虚拟机;
4、扫描虚拟机将执行的扫描结果进行结构分装,上报给扫描管理虚拟机,扫描管理虚拟机进行解析存储,用于WEB界面展现;
5、扫描管理虚拟机对扫描虚拟机进行状态监控,检测到扫描虚拟机故障后,进行故障迁移,将故障虚拟机中的扫描任务重新分发给其他的扫描虚拟机;
6、扫描管理虚拟机对扫描虚拟机的负载进行监控,当负载趋小并稳定后,删除掉扫描任务分发时新建的虚拟机。
本发明实施的优点:本发明所述的基于SaaS架构的通用漏洞扫描器的实现方法包括:建立一个具有多种扫描功能的扫描模块;建立一个统一的扫描管理模块,提供管理界面作为扫描的管理和结果呈现;对扫描模块的扫描数据进行统一的结构封装后,在扫描管理模块进行统一处理;对漏洞库、扫描配置进行场景细分,包装成策略后部署到扫描模块和扫描管理模块中,通过利用虚拟化技术,实现控制层,做扫描任务的调度和分发,弹性伸缩,故障迁移,解决了原有单机扫描无法完成对大规模站点系统的漏洞扫描,而且通过水平扩展虚拟机的数量,能完成超大规模站点系统的漏洞扫描,对扫描漏洞、配置的策略分装,统一管理平台,克服了现有技术方案配置繁琐、专业性要求高的问题,极大提升用户的使用体验。进一步的,对于小规模的扫描场景,本方案也支持单机部署,所以保留了现有技术方案的低成本优势。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本领域技术的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (9)
1.一种基于SaaS架构的通用漏洞扫描器的实现方法,其特征在于,所述基于SaaS架构的通用漏洞扫描器的实现方法包括以下步骤:
建立一个具有多种扫描功能的扫描模块;
建立一个统一的扫描管理模块,提供管理界面作为扫描的管理和结果呈现;
对扫描模块的扫描数据进行统一的结构封装后,在扫描管理模块进行统一处理;
对漏洞库、扫描配置进行场景细分,包装成策略后部署到扫描模块和扫描管理模块中。
2.根据权利要求1所述的基于SaaS架构的通用漏洞扫描器的实现方法,其特征在于,所述扫描管理模块与扫描模块之间使用通用的通信协议进行通信。
3.根据权利要求1所述的基于SaaS架构的通用漏洞扫描器的实现方法,其特征在于,所述扫描管理模块和扫描模块部署在一个主机上,扫描管理模块接收到用户下发的扫描策略后,直接发送给本机的扫描模块进行相应策略的扫描。
4.根据权利要求1所述的基于SaaS架构的通用漏洞扫描器的实现方法,其特征在于,所述扫描管理模块、扫描模块部署在不同的虚拟机上,并搭建一套云平台。
5.根据权利要求4所述的基于SaaS架构的通用漏洞扫描器的实现方法,其特征在于,所述扫描管理模块虚拟机监控所述扫描模块虚拟机的系统负载。
6.根据权利要求5所述的基于SaaS架构的通用漏洞扫描器的实现方法,其特征在于,所述扫描管理模块虚拟机根据扫描策略的权值、各个扫描模块虚拟机的当前负载筛选出合适的扫描模块虚拟机进行扫描任务的分配。
7.根据权利要求4所述的基于SaaS架构的通用漏洞扫描器的实现方法,其特征在于,所述扫描管理模块虚拟机对扫描模块虚拟机进行状态监控,检测到扫描模块虚拟机故障后,进行故障任务迁移。
8.根据权利要求6所述的基于SaaS架构的通用漏洞扫描器的实现方法,其特征在于,所述扫描管理模块虚拟机对扫描模块虚拟机的负载进行监控,当负载趋小并稳定后,删除掉扫描任务分发时新建的虚拟机。
9.根据权利要求1至8之一所述的基于SaaS架构的通用漏洞扫描器的实现方法,其特征在于,所述对漏洞库、扫描配置进行场景细分,包装成策略后部署到扫描模块和扫描管理模块中可包括:为每种策略附加各自的权重,用于扫描调度。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610154602.1A CN107204962A (zh) | 2016-03-18 | 2016-03-18 | 一种基于SaaS架构的通用漏洞扫描器的实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610154602.1A CN107204962A (zh) | 2016-03-18 | 2016-03-18 | 一种基于SaaS架构的通用漏洞扫描器的实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107204962A true CN107204962A (zh) | 2017-09-26 |
Family
ID=59903953
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610154602.1A Pending CN107204962A (zh) | 2016-03-18 | 2016-03-18 | 一种基于SaaS架构的通用漏洞扫描器的实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107204962A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109522724A (zh) * | 2018-12-20 | 2019-03-26 | 郑州云海信息技术有限公司 | 一种关于软件扫描的装置与方法 |
CN110378122A (zh) * | 2019-06-28 | 2019-10-25 | 公安部第三研究所 | 针对web扫描器漏洞实现减少漏报及误报情形的系统及其方法 |
CN113672934A (zh) * | 2021-08-09 | 2021-11-19 | 中汽创智科技有限公司 | 一种安全漏洞扫描系统及方法、终端、存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090119741A1 (en) * | 2007-11-06 | 2009-05-07 | Airtight Networks, Inc. | Method and system for providing wireless vulnerability management for local area computer networks |
CN102104601A (zh) * | 2011-01-14 | 2011-06-22 | 无锡市同威科技有限公司 | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 |
CN103065095A (zh) * | 2013-01-29 | 2013-04-24 | 四川大学 | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 |
CN103929429A (zh) * | 2014-04-24 | 2014-07-16 | 北京邮电大学 | 基于RESTful Web服务的网络漏洞扫描系统及方法 |
CN104821950A (zh) * | 2015-05-12 | 2015-08-05 | 携程计算机技术(上海)有限公司 | 分布式的主机漏洞扫描方法 |
CN105227664A (zh) * | 2015-10-10 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种云计算中心的基础安全服务引擎 |
-
2016
- 2016-03-18 CN CN201610154602.1A patent/CN107204962A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090119741A1 (en) * | 2007-11-06 | 2009-05-07 | Airtight Networks, Inc. | Method and system for providing wireless vulnerability management for local area computer networks |
CN102104601A (zh) * | 2011-01-14 | 2011-06-22 | 无锡市同威科技有限公司 | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 |
CN103065095A (zh) * | 2013-01-29 | 2013-04-24 | 四川大学 | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 |
CN103929429A (zh) * | 2014-04-24 | 2014-07-16 | 北京邮电大学 | 基于RESTful Web服务的网络漏洞扫描系统及方法 |
CN104821950A (zh) * | 2015-05-12 | 2015-08-05 | 携程计算机技术(上海)有限公司 | 分布式的主机漏洞扫描方法 |
CN105227664A (zh) * | 2015-10-10 | 2016-01-06 | 蓝盾信息安全技术股份有限公司 | 一种云计算中心的基础安全服务引擎 |
Non-Patent Citations (1)
Title |
---|
姚欲东: "基于SaaS模式的Web安全集群检测工具的需求分析与架构设计", 《中国优秀硕士论文全文数据库 科技信息辑》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109522724A (zh) * | 2018-12-20 | 2019-03-26 | 郑州云海信息技术有限公司 | 一种关于软件扫描的装置与方法 |
CN110378122A (zh) * | 2019-06-28 | 2019-10-25 | 公安部第三研究所 | 针对web扫描器漏洞实现减少漏报及误报情形的系统及其方法 |
CN113672934A (zh) * | 2021-08-09 | 2021-11-19 | 中汽创智科技有限公司 | 一种安全漏洞扫描系统及方法、终端、存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110535831B (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
CN105359459B (zh) | 一种实现虚拟化网管的方法、装置及系统 | |
CN103166933B (zh) | 一种数据安全交换系统及方法 | |
CN106330575A (zh) | 一种安全服务平台及安全服务部署方法 | |
CN104252374B (zh) | 基于架构改变的程序管控方法及装置 | |
KR101408037B1 (ko) | 클라우드 시스템에서의 가상 머신 통합 모니터링 장치 및 방법 | |
CN105490839B (zh) | 一种网站数据安全的告警方法及装置 | |
CN110401946A (zh) | 5g核心网的网络切片方法和网络切片装置 | |
CN107547589A (zh) | 一种数据采集处理方法以及装置 | |
CN103491575A (zh) | 会话感知GTPv1负载平衡 | |
CN103001806A (zh) | 用于it系统的分布式运维监控系统 | |
US10164944B1 (en) | System, method, and computer program for implementing a virtual obfuscation service in a network | |
CN107204962A (zh) | 一种基于SaaS架构的通用漏洞扫描器的实现方法 | |
CN102820993A (zh) | 网络资源监控系统和网络资源监控方法 | |
CN106533729A (zh) | 一种北向接口管理方法和系统 | |
CN108259435A (zh) | 接入Web组件的混合应用的实现方法及装置 | |
CN109246003A (zh) | 一种进行网络链路切换的方法和系统 | |
CN107870734A (zh) | 一种分布式文件系统的交互方法及装置 | |
CN103457802A (zh) | 一种信息传输系统及方法 | |
CN101997721A (zh) | 一种电信网络管理系统、方法及相应的装置 | |
CN105843725A (zh) | 一种IaaS平台的监控方法及装置 | |
CN103684792A (zh) | 一种oam的安全认证方法以及oam报文发送/接收装置 | |
CN104811403A (zh) | 基于开放流的组表处理方法、装置及组表配置单元 | |
CN103489073A (zh) | 一种企业安全生产监管信息系统 | |
CN103023891B (zh) | 僵尸网络的检测方法及装置、僵尸网络的对抗方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170926 |
|
RJ01 | Rejection of invention patent application after publication |