CN107979597A - 分布式扫描的内网资产管理方法、系统、设备及存储介质 - Google Patents
分布式扫描的内网资产管理方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN107979597A CN107979597A CN201711193474.2A CN201711193474A CN107979597A CN 107979597 A CN107979597 A CN 107979597A CN 201711193474 A CN201711193474 A CN 201711193474A CN 107979597 A CN107979597 A CN 107979597A
- Authority
- CN
- China
- Prior art keywords
- assets
- intranet
- scanning
- port
- distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种分布式扫描的内网资产管理方法、系统、设备及存储介质,该方法包括内网资产扫描,具体包括:建立内网网段信息表;将扫描配置文件发送至扫描器客户端;将资产扫描任务下发至扫描器客户端;收集扫描器客户端获取的资产信息;将当前时刻收集的资产信息与前一时刻收集的资产信息进行比较,根据比较结果更新内网网段信息表。本发明能够主动发现历史遗留且不在记录的相关资产及服务应用;扫描行为对复杂内网环境影响小,分布式部署扫描器,并统一批量对扫描任务及配置文件进行下发,不会造成跨网络域的扫描行为对网络负载的影响,降低人工成本,提高运维管理效率。
Description
技术领域
本发明涉及运维技术领域,尤其涉及一种基于分布式扫描部署发现和管理内网资产的方法、系统、设备及存储介质。
背景技术
随着互联网行业的不断发展,IT运维场景范围不断扩大,对于大型互联网公司,庞大的内网服务器与复杂的网络环境给内网资产发现及漏洞扫描带来很大挑战,且效果往往不理想。一些历史遗留问题所带来的运维资产管理往往形成灰色地带,对运维安全的日常运营与事件定位造成较大困难。而集中化的扫描器又会带来性能以及网络负载方面的种种问题,引起运维人员的抱怨。
发明内容
针对现有技术中的问题,本发明的目的在于提供一种分布式扫描的内网资产管理方法、系统、设备及存储介质,通过分布式部署扫描器,自动化地进行任务下发及扫描以发现相关运维资产,解决历史遗留问题,并且不会加重网络负载。
本发明实施例提供一种分布式扫描的内网资产管理方法,内网中部署有多个扫描器客户端,所述方法包括内网资产扫描,所述内网资产扫描包括如下步骤:
建立内网网段信息表,所述内网网段信息表包括IP地址以及对应的资产信息;
将扫描配置文件发送至所述扫描器客户端,所述扫描配置文件包括各个扫描器客户端所对应的IP段;
将资产扫描任务下发至所述扫描器客户端,通过所述扫描器客户端扫描所对应的IP段内的资产信息;
收集所述扫描器客户端获取的资产信息;
将当前时刻收集的资产信息与前一时刻收集的资产信息进行比较,得到资产变更信息;
根据所述资产变更信息更新所述内网网段信息表。
可选地,各个所述扫描器客户端分布于所对应的IP段的网络域中。
可选地,通过安全外壳协议将所述扫描配置文件和所述扫描任务发送至所述扫描器客户端。
可选地,每隔预设时间段下发一次资产扫描任务至所述扫描器服务端。
可选地,所述资产信息包括被扫描的IP地址所对应的主机名称、端口号、端口协议和端口应用版本号。
可选地,所述方法还包括漏洞扫描,所述漏洞扫描包括如下步骤:
出现漏洞时,获取该漏洞所对应的应用和应用版本号;
根据所述应用和应用版本号查询所述内网网段信息表,获取相关的端口所对应的IP地址;
将漏洞扫描任务下发至查询到的IP地址所对应的扫描器客户端,通过所述扫描器客户端进行漏洞扫描;
收集所述扫描器客户端的漏洞扫描结果,根据预设规则判断各个被扫描的端口是否存在漏洞。
可选地,所述方法还包括特定端口扫描,所述特定端口扫描包括如下步骤:
配置端口扫描任务插件,所述端口扫描任务插件中包括被扫描端口信息和端口扫描任务;
从所述内网网段信息表查询所述被扫描端口信息所对应的IP地址;
将所述端口扫描任务下发至所述IP地址所对应的扫描器客户端,通过所述扫描器客户端扫描所对应的端口;
获取所述扫描器客户端获取端口扫描结果,根据预设规则分析所述端口扫描结果。
可选地,通过消息队列获取所述扫描器客户端的扫描日志,所述消息队列从所述扫描日志中提取出扫描结果数据,并将所述扫描结果数据发送至一分布式搜索引擎,所述分布式搜索引擎根据预设规则分析所述扫描结果数据。
可选地,还包括如下步骤:
在一Soc平台上配置所述预设规则,并将所述预设规则发送至所述分布式搜索引擎;
所述Soc平台获取和展示所述分布式搜索引擎的分析结果。
本发明实施例还提供一种分布式扫描的内网资产管理系统,用于实现所述的分布式扫描的内网资产管理方法,所述系统包括:
管理服务端,用于将所述扫描配置文件和扫描任务发送至所述扫描器客户端;
扫描器客户端,用于根据所述扫描配置文件确定资产扫描的IP段,并根据所述扫描任务扫描对应的IP地址;
分布式搜索引擎,用于获取所述扫描器客户端的扫描结果数据,根据预设规则分析所述扫描结果数据。
可选地,还包括:
消息队列,用于收集所述扫描器客户端的扫描日志,从所述扫描日志中提取出所述扫描结果数据,以发送至所述分布式搜索引擎;
Soc平台,用于配置所述预设规则,并将预设规则发送至所述分布式搜索引擎;以及获取和展示所述分布式搜索引擎的分析结果。
可选地,所述扫描任务为资产扫描任务、漏洞扫描任务或端口扫描任务,所述扫描结果数据包括资产信息、漏洞扫描结果或端口扫描结果;
所述分布式搜索引擎还用于建立所述内网网段信息表,将当前时刻收集的资产信息与前一时刻收集的资产信息进行比较,根据比较结果更新所述内网网段信息表。
本发明实施例还提供一种分布式扫描的内网资产管理设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行所述的分布式扫描的内网资产管理方法的步骤。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,所述程序被执行时实现所述的分布式扫描的内网资产管理方法的步骤。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
本发明所提供的分布式扫描的内网资产管理方法、系统、设备及存储介质,相比于普通的内网资产管理,能够主动发现历史遗留且不在记录的相关资产及服务应用;扫描行为对复杂内网环境影响小,分布式部署扫描器,并统一批量对扫描任务及配置文件进行下发,并对结果进行自动化回传至数据总线及soc平台以进行安全分析,不会造成跨网络域的扫描行为对网络负载的影响,降低人工成本,提高运维管理效率。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1是本发明一实施例的分布式扫描的内网资产管理方法的资产扫描的流程图;
图2是本发明一实施例的分布式扫描的内网资产管理方法的漏洞扫描的流程图;
图3是本发明一实施例的分布式扫描的内网资产管理方法的端口扫描的流程图;
图4是本发明一实施例的分布式扫描的内网资产管理系统的结构示意图;
图5是本发明一实施例的分布式扫描的内网资产管理设备的结构示意图;
图6是本发明一实施例的计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
如图1所示,为了解决上述技术问题,本发明实施例提供一种分布式扫描的内网资产管理方法,所述内网中部署有多个扫描器客户端,所述方法包括内网资产扫描,所述内网资产扫描包括如下步骤:
S110:建立内网网段信息表,所述内网网段信息表包括IP地址以及对应的资产信息;
S120:将扫描配置文件发送至所述扫描器客户端,所述扫描配置文件包括各个扫描器客户端所对应的IP段,扫描器客户端可以根据扫描配置文件确定自己所管辖的IP段;各个所述扫描器客户端优选分布于所对应的IP段的网络域中,各个扫描器客户端;
S130:将资产扫描任务下发至所述扫描器客户端,通过所述扫描器客户端扫描所对应的IP段内的资产信息;
优选在管理网段部署管理服务端,并配置其所管理的扫描器客户端的主机名称和IP地址。管理服务端通过SSH(安全外壳协议)将扫描配置文件和资产扫描任务下发至扫描器客户端,无需在扫描器客户端进行agent部署。可以在管理服务端进行手工或启动自动化任务批量下发至扫描器客户端进行扫描。
S140:收集所述扫描器客户端获取的资产信息;
在该实施例中,扫描结果以扫描日志的形式落地于各个扫描器客户端。通过消息队列收集扫描日志,并且提取扫描到的资产信息。具体地,内建日志收集器发送至消息队列,经过消息队列的日志分片后写入一分布式搜索引擎。消息队列是在消息的传输过程中保存消息的容器,消息队列管理器在将消息从它的源中继到它的目标时充当中间人。消息队列的主要目的是提供路由并保证消息的传递;如果发送消息时接收者不可用,消息队列会保留消息,直到可以成功地传递它。
S150:将当前时刻收集的资产信息与前一时刻收集的资产信息进行比较,得到资产变更信息;
在该实施例中,通过分布式搜索引擎从消息队列中获取资产信息。由于分布式搜索引擎的接收速度有高低,消息队列可以根据分布式搜索引擎的消费效率来控制消息传送速度。分布式搜索引擎接收到资产信息后,即与前一时刻的资产信息进行对比,判断是否发生变化,例如新增资产、减少资产等等。
S160:根据所述资产变更信息更新所述内网网段信息表。
通过该种方式,可以解决历史遗留问题带来的运维资产管理的缺失,可以全面扫描内网资产,将之前未进行记录的资产存入内网网段信息表中,并且可以随时掌握资产动态,根据资产的新增、删除、修改情况维护最新的内网网段信息表。
具体地,资产扫描任务可以根据需要进行批量下发。例如,每隔预设时间段下发一次资产扫描任务至所述扫描器服务端,由分布式搜索引擎将此次资产扫描的结果与前一次资产扫描的结果进行对比,定期更新所述内网网段信息表。
在该实施例中,内网资产即为内网中的服务器和服务器端口。所述资产信息包括被扫描的IP地址所对应的主机名称、端口号、端口协议和端口应用版本号,但不限于此,也可以包括其他运维人员需要的信息,可以根据需要在扫描任务中进行设置。主机可以是服务器、客户端、数字电话等等处于内网中与IP地址对应的设备。端口的信息可以根据端口Banner信息获取。
如图2所示,所述分布式扫描的内网资产管理方法还可以包括漏洞扫描,当发现有一个紧急漏洞时,需要扫描可能存在该漏洞的所有端口,判断是否存在所述漏洞扫描包括如下步骤:
S210:出现漏洞时,获取该漏洞所对应的应用和应用版本号;
S220:根据所述应用和应用版本号查询所述内网网段信息表,获取相关的端口所对应的IP地址;
即通过应用和应用版本号可以判断出漏洞可能存在的端口,根据相关的端口的IP地址和漏洞的信息创建漏洞扫描任务;
S230:将漏洞扫描任务下发至查询到的IP地址所对应的扫描器客户端,通过所述扫描器客户端进行漏洞扫描;
S240:收集所述扫描器客户端的漏洞扫描结果,根据预设规则判断各个被扫描的端口是否存在漏洞,例如将扫描得到的数据与预存的漏洞数据进行比对,如果能够对应,则说明同样存在该漏洞,如果不对应,说明可能并不存在该漏洞。
预设规则可以是在一Soc平台上配置的,Soc平台将所述预设规则发送至所述分布式搜索引擎;在分布式搜索引擎分析完成后,所述Soc(Security Operations Center,安全运行中心)平台获取和展示所述分布式搜索引擎的分析结果。以供安全运维人员方便查看和事件判断。进一步地,Soc平台可以进行告警事件的判断策略和告警策略编写,分布式搜索引擎可以根据判断策略分析扫描结果,判断是否有端口或服务器主机发生告警事件,如果发生告警事件,则通过Soc平台进行告警,通知到运维工作人员。
如图3所示,所述分布式扫描的内网资产管理方法还可以包括特定端口扫描,所述特定端口扫描包括如下步骤:
S310:配置端口扫描任务插件,所述端口扫描任务插件中包括被扫描端口信息和端口扫描任务;
S320:从所述内网网段信息表查询所述被扫描端口信息所对应的IP地址;
S330:将所述端口扫描任务下发至所述IP地址所对应的扫描器客户端,通过所述扫描器客户端扫描所对应的端口;
S340:获取所述扫描器客户端获取端口扫描结果,根据预设规则分析所述端口扫描结果。
通过特定端口扫描,可以根据需要扫描需要的端口,获取端口的相关数据,根据端口的相关数据判断端口当前的状态。可以选定特定被扫描的端口,而不需要对全网所有的端口全部进行扫描。
综上,该实施例的分布式扫描的内网资产管理方法具有如下特点:
分布式部署在各网络域,各个扫描器客户端分别扫描各自所管辖的IP段资产,不会造成跨网络域的扫描行为对网络负载的影响;
有集中化任务管理及下发平台,通过SSH进行任务及配置文件下发,无需在扫描器客户端进行agent部署;
集中化任务管理平台支持手工或者自动批量化执行任务,降低人工成本,增加效率;
扫描结果统一自动化发送至分布式搜索引擎,以供安全运维人员方便查看及事件判断;
可以很好的与线上Soc等安全事件分析管理平台进行高度整合。
如图4所示,本发明实施例还提供一种分布式扫描的内网资产管理系统,用于实现所述的分布式扫描的内网资产管理方法,所述系统包括管理服务端100、扫描器客户端200和分布式搜索引擎400。
所述分布式扫描的内网资产管理系统通过批量化部署扫描器在各个网络域,以自动化发现内网服务器资产、及应用端口版本,并在重大安全漏洞事件中进行快速复核,此方式能够极大减少检测成本,帮助运维安全人员定位资产及事件。
其中,各个部分实现的功能如下:
所述管理服务端100将所述扫描配置文件和扫描任务发送至所述扫描器客户端200;具体地,在该实施例中,服务端通过SSH进行扫描任务的脚本文件及各个扫描器客户端所管辖的IP段信息文件下发至扫描器客户端;在管理服务端100可以进行手工或启动自动化任务批量下发至客户端进行扫描;
所述扫描器客户端200根据所述扫描配置文件确定资产扫描的IP段,并根据所述扫描任务扫描对应的IP地址;
所述分布式搜索引擎400获取所述扫描器客户端的扫描结果数据,根据预设规则分析所述扫描结果数据。
进一步地,在该实施例中,所述分布式扫描的内网资产管理系统还可以包括消息队列300和Soc平台500。
所述消息队列300收集所述扫描器客户端的扫描日志,从所述扫描日志中提取出所述扫描结果数据,以发送至所述分布式搜索引擎;
所述Soc平台500配置所述预设规则,并将预设规则发送至所述分布式搜索引擎;以及获取和展示所述分布式搜索引擎的分析结果。进一步地,Soc平台500可以进行告警事件的判断策略和告警策略编写,分布式搜索引擎400可以根据判断策略分析扫描结果,判断是否有端口或服务器主机发生告警事件,如果发生告警事件,则通过Soc平台500进行告警,通知到运维工作人员。
可选地,所述扫描任务可以为资产扫描任务、漏洞扫描任务或端口扫描任务,所述扫描结果数据包括资产信息、漏洞扫描结果或端口扫描结果。
当所述扫描任务为资产扫描任务时,所述分布式搜索引擎400建立所述内网网段信息表,将当前时刻收集的资产信息与前一时刻收集的资产信息进行比较,根据比较结果更新所述内网网段信息表。从而可以实现内网资产信息的定期更新和维护。
当所述扫描任务为漏洞扫描任务时,所述管理服务端100参照内网网段信息表和漏洞所关联的应用信息创建和下发漏洞扫描任务,Soc平台500可以创建漏洞判断规则,分布式搜索引擎400通过消息队列300获取到漏洞扫描的结果数据后,根据漏洞判断规则判断各个端口处是否存在对应的漏洞,如果存在,则通过Soc平台500提醒运维人员。从而可以实现漏洞的及时发现和及时处理,提高运维效率。
当所述扫描任务为端口扫描任务时,管理服务端100可以上传或创建端口扫描插件,根据端口扫描插件和内网网段信息表创建和下发端口扫描任务。Soc平台500可以创建运维事件生成规则,分布式搜索引擎400通过消息队列300获取到端口扫描的结果数据后,根据运维事件生成规则判断各个端口处是否存在运维事件,如果存在,则生成运维事件并通过Soc平台500提醒运维人员。从而可以有针对性地扫描特定的端口,减少了扫描的工作量。
因此,该实施例的分布式扫描的内网资产管理系统,通过资产扫描任务,可以自动发现历史遗留不在记录的相关资产和服务应用。由于扫描器客户端200分布在各个网络域中部署,各个扫描器客户端200分别扫描各自所管辖的IP段资产,不会造成跨网络域的扫描行为对网络负载的影响,扫描行为对复杂内网的环境影响很小。Soc平台500可以创建运维事件的分析策略,根据扫描结果自动生成运维事件,以供安全运维人员方便查看和事件判断。
本发明实施例还提供一种分布式扫描的内网资产管理设备,包括处理器;存储器,其中存储有所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行所述的分布式扫描的内网资产管理方法的步骤。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“平台”。
下面参照图5来描述根据本发明的这种实施方式的电子设备600。图5显示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元610执行,使得所述处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元610可以执行如图1中所示的步骤。
所述存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
所述存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
因此,该实施例的分布式扫描的内网资产管理设备600,在处理器根据需要运行存储器中的可执行指令时,可以自动发现历史遗留不在记录的相关资产和服务应用,扫描行为对复杂内网的环境影响很小,能够根据扫描结果自动生成运维事件,以供安全运维人员方便查看和事件判断,减少了人工操作,提高了运维效率。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,所述程序被执行时实现所述的分布式扫描的内网资产管理方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。
参考图6所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本发明所提供的分布式扫描的内网资产管理方法、系统、设备及存储介质,相比于普通的内网资产管理,能够主动发现历史遗留且不在记录的相关资产及服务应用;扫描行为对复杂内网环境影响小,分布式部署扫描器,并统一批量对扫描任务及配置文件进行下发,并对结果进行自动化回传至数据总线及soc平台以进行安全分析,不会造成跨网络域的扫描行为对网络负载的影响,降低人工成本,提高运维管理效率。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (14)
1.一种分布式扫描的内网资产管理方法,其特征在于,内网中部署有多个扫描器客户端,所述方法包括内网资产扫描,所述内网资产扫描包括如下步骤:
建立内网网段信息表,所述内网网段信息表包括IP地址以及对应的资产信息;
将扫描配置文件发送至所述扫描器客户端,所述扫描配置文件包括各个扫描器客户端所对应的IP段;
将资产扫描任务下发至所述扫描器客户端,通过所述扫描器客户端扫描所对应的IP段内的资产信息;
收集所述扫描器客户端获取的资产信息;
将当前时刻收集的资产信息与前一时刻收集的资产信息进行比较,得到资产变更信息;
根据所述资产变更信息更新所述内网网段信息表。
2.根据权利要求1所述的分布式扫描的内网资产管理方法,其特征在于,各个所述扫描器客户端分布于所对应的IP段的网络域中。
3.根据权利要求1所述的分布式扫描的内网资产管理方法,其特征在于,通过安全外壳协议将所述扫描配置文件和所述扫描任务发送至所述扫描器客户端。
4.根据权利要求1所述的分布式扫描的内网资产管理方法,其特征在于,每隔预设时间段下发一次资产扫描任务至所述扫描器服务端。
5.根据权利要求1所述的分布式扫描的内网资产管理方法,其特征在于,所述资产信息包括被扫描的IP地址所对应的主机名称、端口号、端口协议和端口应用版本号。
6.根据权利要求5所述的分布式扫描的内网资产管理方法,其特征在于,所述方法还包括漏洞扫描,所述漏洞扫描包括如下步骤:
出现漏洞时,获取该漏洞所对应的应用和应用版本号;
根据所述应用和应用版本号查询所述内网网段信息表,获取相关的端口所对应的IP地址;
将漏洞扫描任务下发至查询到的IP地址所对应的扫描器客户端,通过所述扫描器客户端进行漏洞扫描;
收集所述扫描器客户端的漏洞扫描结果,根据预设规则判断各个被扫描的端口是否存在漏洞。
7.根据权利要求1所述的分布式扫描的内网资产管理方法,其特征在于,所述方法还包括特定端口扫描,所述特定端口扫描包括如下步骤:
配置端口扫描任务插件,所述端口扫描任务插件中包括被扫描端口信息和端口扫描任务;
从所述内网网段信息表查询所述被扫描端口信息所对应的IP地址;
将所述端口扫描任务下发至所述IP地址所对应的扫描器客户端,通过所述扫描器客户端扫描所对应的端口;
获取所述扫描器客户端获取端口扫描结果,根据预设规则分析所述端口扫描结果。
8.根据权利要求1至7中任一项所述的分布式扫描的内网资产管理方法,其特征在于,通过消息队列获取所述扫描器客户端的扫描日志,所述消息队列从所述扫描日志中提取出扫描结果数据,并将所述扫描结果数据发送至一分布式搜索引擎,所述分布式搜索引擎根据预设规则分析所述扫描结果数据。
9.根据权利要求8所述的分布式扫描的内网资产管理方法,其特征在于,还包括如下步骤:
在一Soc平台上配置所述预设规则,并将所述预设规则发送至所述分布式搜索引擎;
所述Soc平台获取和展示所述分布式搜索引擎的分析结果。
10.一种分布式扫描的内网资产管理系统,用于实现权利要求1至9中任一项所述的分布式扫描的内网资产管理方法,其特征在于,所述系统包括:
管理服务端,用于将所述扫描配置文件和扫描任务发送至所述扫描器客户端;
扫描器客户端,用于根据所述扫描配置文件确定资产扫描的IP段,并根据所述扫描任务扫描对应的IP地址;
分布式搜索引擎,用于获取所述扫描器客户端的扫描结果数据,根据预设规则分析所述扫描结果数据。
11.根据权利要求10所述的分布式扫描的内网资产管理系统,其特征在于,还包括:
消息队列,用于收集所述扫描器客户端的扫描日志,从所述扫描日志中提取出所述扫描结果数据,以发送至所述分布式搜索引擎;
Soc平台,用于配置所述预设规则,并将预设规则发送至所述分布式搜索引擎;以及获取和展示所述分布式搜索引擎的分析结果。
12.根据权利要求10或11所述的分布式扫描的内网资产管理系统,其特征在于,所述扫描任务为资产扫描任务、漏洞扫描任务或端口扫描任务,所述扫描结果数据包括资产信息、漏洞扫描结果或端口扫描结果;
所述分布式搜索引擎还用于建立所述内网网段信息表,将当前时刻收集的资产信息与前一时刻收集的资产信息进行比较,根据比较结果更新所述内网网段信息表。
13.一种分布式扫描的内网资产管理设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至9中任一项所述的分布式扫描的内网资产管理方法的步骤。
14.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被执行时实现权利要求1至9中任一项所述的分布式扫描的内网资产管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711193474.2A CN107979597A (zh) | 2017-11-24 | 2017-11-24 | 分布式扫描的内网资产管理方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711193474.2A CN107979597A (zh) | 2017-11-24 | 2017-11-24 | 分布式扫描的内网资产管理方法、系统、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107979597A true CN107979597A (zh) | 2018-05-01 |
Family
ID=62011641
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711193474.2A Pending CN107979597A (zh) | 2017-11-24 | 2017-11-24 | 分布式扫描的内网资产管理方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107979597A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109784874A (zh) * | 2019-02-28 | 2019-05-21 | 上海浪潮云计算服务有限公司 | 一种智慧城市服务平台的信息资产管理方法 |
| CN110019282A (zh) * | 2018-08-20 | 2019-07-16 | 郑州向心力通信技术股份有限公司 | 一种信息资产探查系统及方法 |
| CN110351251A (zh) * | 2019-06-20 | 2019-10-18 | 哈尔滨工业大学(威海) | 一种基于过滤技术的工控设备资产探测方法 |
| CN110544018A (zh) * | 2019-08-12 | 2019-12-06 | 中国南方电网有限责任公司 | 资产管理方法、装置、系统、计算机设备和可读存储介质 |
| CN111526196A (zh) * | 2020-04-22 | 2020-08-11 | 中电福富信息科技有限公司 | 一种基于开源扫描器管理端口台账的方法及其系统 |
| CN112003884A (zh) * | 2019-05-27 | 2020-11-27 | 北京白帽汇科技有限公司 | 一种网络资产的采集和自然语言检索方法 |
| CN112270493A (zh) * | 2020-11-13 | 2021-01-26 | 中盈优创资讯科技有限公司 | 一种资产自动防护的方法及装置 |
| CN112491874A (zh) * | 2020-11-26 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 一种网络资产管理方法、装置及相关设备 |
| CN112579147A (zh) * | 2020-12-14 | 2021-03-30 | 武汉联影医疗科技有限公司 | 软件集成方法及系统 |
| CN112787848A (zh) * | 2020-12-25 | 2021-05-11 | 江苏省未来网络创新研究院 | 一种基于网络流量分析的主动扫描系统 |
| CN113852475A (zh) * | 2020-06-28 | 2021-12-28 | 京东方科技集团股份有限公司 | 运维方法及系统、主控节点 |
| CN115549945A (zh) * | 2022-07-29 | 2022-12-30 | 浪潮卓数大数据产业发展有限公司 | 基于分布式架构的信息系统安全状态扫描系统及方法 |
| CN116074214A (zh) * | 2022-12-28 | 2023-05-05 | 四川新网银行股份有限公司 | 基于网络暴露面的企业it资产发现识别的系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140283083A1 (en) * | 2013-03-15 | 2014-09-18 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
| CN106230800A (zh) * | 2016-07-25 | 2016-12-14 | 恒安嘉新(北京)科技有限公司 | 一种对资产主动探测和漏洞预警的方法 |
| CN106790190A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| CN106888194A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 基于分布式调度的智能电网it资产安全监测系统 |
| CN107040552A (zh) * | 2017-06-13 | 2017-08-11 | 上海斗象信息科技有限公司 | 网络攻击路径预测方法 |
-
2017
- 2017-11-24 CN CN201711193474.2A patent/CN107979597A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140283083A1 (en) * | 2013-03-15 | 2014-09-18 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
| CN106888194A (zh) * | 2015-12-16 | 2017-06-23 | 国家电网公司 | 基于分布式调度的智能电网it资产安全监测系统 |
| CN106230800A (zh) * | 2016-07-25 | 2016-12-14 | 恒安嘉新(北京)科技有限公司 | 一种对资产主动探测和漏洞预警的方法 |
| CN106790190A (zh) * | 2016-12-30 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种漏洞管理系统及方法 |
| CN107040552A (zh) * | 2017-06-13 | 2017-08-11 | 上海斗象信息科技有限公司 | 网络攻击路径预测方法 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110019282A (zh) * | 2018-08-20 | 2019-07-16 | 郑州向心力通信技术股份有限公司 | 一种信息资产探查系统及方法 |
| CN109784874A (zh) * | 2019-02-28 | 2019-05-21 | 上海浪潮云计算服务有限公司 | 一种智慧城市服务平台的信息资产管理方法 |
| CN112003884B (zh) * | 2019-05-27 | 2024-04-16 | 北京白帽汇科技有限公司 | 一种网络资产的采集和自然语言检索方法 |
| CN112003884A (zh) * | 2019-05-27 | 2020-11-27 | 北京白帽汇科技有限公司 | 一种网络资产的采集和自然语言检索方法 |
| CN110351251A (zh) * | 2019-06-20 | 2019-10-18 | 哈尔滨工业大学(威海) | 一种基于过滤技术的工控设备资产探测方法 |
| CN110544018A (zh) * | 2019-08-12 | 2019-12-06 | 中国南方电网有限责任公司 | 资产管理方法、装置、系统、计算机设备和可读存储介质 |
| CN111526196B (zh) * | 2020-04-22 | 2023-04-07 | 中电福富信息科技有限公司 | 一种基于开源扫描器管理端口台账的方法及其系统 |
| CN111526196A (zh) * | 2020-04-22 | 2020-08-11 | 中电福富信息科技有限公司 | 一种基于开源扫描器管理端口台账的方法及其系统 |
| CN113852475A (zh) * | 2020-06-28 | 2021-12-28 | 京东方科技集团股份有限公司 | 运维方法及系统、主控节点 |
| CN112270493A (zh) * | 2020-11-13 | 2021-01-26 | 中盈优创资讯科技有限公司 | 一种资产自动防护的方法及装置 |
| CN112270493B (zh) * | 2020-11-13 | 2023-05-12 | 中盈优创资讯科技有限公司 | 一种资产自动防护的方法及装置 |
| CN112491874A (zh) * | 2020-11-26 | 2021-03-12 | 杭州安恒信息技术股份有限公司 | 一种网络资产管理方法、装置及相关设备 |
| CN112579147A (zh) * | 2020-12-14 | 2021-03-30 | 武汉联影医疗科技有限公司 | 软件集成方法及系统 |
| CN112787848A (zh) * | 2020-12-25 | 2021-05-11 | 江苏省未来网络创新研究院 | 一种基于网络流量分析的主动扫描系统 |
| CN115549945A (zh) * | 2022-07-29 | 2022-12-30 | 浪潮卓数大数据产业发展有限公司 | 基于分布式架构的信息系统安全状态扫描系统及方法 |
| CN115549945B (zh) * | 2022-07-29 | 2023-10-31 | 浪潮卓数大数据产业发展有限公司 | 基于分布式架构的信息系统安全状态扫描系统及方法 |
| CN116074214A (zh) * | 2022-12-28 | 2023-05-05 | 四川新网银行股份有限公司 | 基于网络暴露面的企业it资产发现识别的系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107979597A (zh) | 分布式扫描的内网资产管理方法、系统、设备及存储介质 | |
| US10791141B2 (en) | Anonymized network data collection and network threat assessment and monitoring systems and methods | |
| CN104285219B (zh) | 统一扫描管理 | |
| CN112367307B (zh) | 一种基于容器级蜜罐群的入侵检测方法及系统 | |
| JP2023169334A (ja) | 機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム | |
| US10515323B2 (en) | Operations command console | |
| CN106165345A (zh) | 标识用于化解网络故障的故障排除选项 | |
| CN106888106A (zh) | 智能电网中的it资产大规模侦测系统 | |
| JP6933112B2 (ja) | サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置 | |
| CN104735122B (zh) | 基于邻近度的移动分析 | |
| CN104346571A (zh) | 安全漏洞管理方法、系统及设备 | |
| CN104221024A (zh) | 统一扫描引擎 | |
| CN110321154A (zh) | 一种微服务的接口信息展示方法、装置及电子设备 | |
| CN109582405A (zh) | 使用卡片系统框架的安全调查 | |
| CN109582407A (zh) | 卡片系统框架 | |
| CN109559239A (zh) | 投诉处理建议生成方法、装置、电子设备、存储介质 | |
| CN114301659B (zh) | 网络攻击预警方法、系统、设备及存储介质 | |
| CN104539449B (zh) | 一种故障信息处理方法与相关装置 | |
| CN117118761A (zh) | 一种贯穿智能汽车信息安全的纵深防御系统和方法 | |
| CN105259434B (zh) | 电力设备故障信息获取的方法和装置 | |
| CN117155667A (zh) | 网络安全设备信息处理系统、方法、设备及存储介质 | |
| CN115442139B (zh) | 一种面向局域网的多层网络拓扑关系构建方法和系统 | |
| CN115022152B (zh) | 一种用于判定事件威胁度的方法、装置及电子设备 | |
| EP2618298A1 (en) | Coordinated information collection system, coordinated information collection method and program | |
| CN109582406A (zh) | 使用卡片系统框架的基于剧本的安全调查 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180501 |
|
| RJ01 | Rejection of invention patent application after publication |