CN108574681B - 一种服务器智能扫描方法及装置 - Google Patents

一种服务器智能扫描方法及装置 Download PDF

Info

Publication number
CN108574681B
CN108574681B CN201710146863.3A CN201710146863A CN108574681B CN 108574681 B CN108574681 B CN 108574681B CN 201710146863 A CN201710146863 A CN 201710146863A CN 108574681 B CN108574681 B CN 108574681B
Authority
CN
China
Prior art keywords
port
list
server
openable
externally
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710146863.3A
Other languages
English (en)
Other versions
CN108574681A (zh
Inventor
吴少洪
苗辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou Baishancloud Technology Co Ltd
Original Assignee
Guizhou Baishancloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou Baishancloud Technology Co Ltd filed Critical Guizhou Baishancloud Technology Co Ltd
Priority to CN201710146863.3A priority Critical patent/CN108574681B/zh
Publication of CN108574681A publication Critical patent/CN108574681A/zh
Application granted granted Critical
Publication of CN108574681B publication Critical patent/CN108574681B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种服务器智能扫描方法及装置,此方法包括:获取可对外开放端口列表和不可对外开放端口列表;扫描服务器的端口,从扫描的端口中确定对外开放的目标端口;判断目标端口是否位于可对外开放端口列表和/或不可对外开放端口列表中并根据判断结果确定目标端口为正常端口、目标端口为恶意端口或者防火墙策略故障。本发明实现了无需全端口扫描的自动端口扫描,实现短时间内完成大批量服务器的端口扫描,大大提升了端口扫描速度,并且可排除服务器自身对外发起请求时随机开放的端口,防止了扫描时产生混淆,并且能够自动判断防火墙策略是否失效以及自动判断服务器是否开了恶意端口。

Description

一种服务器智能扫描方法及装置
技术领域
本发明涉及服务器数据监控技术领域,尤其涉及一种服务器智能扫描方法及装置。
背景技术
在几千台甚至上万台服务器的环境下,运维安全人员通过在外网架设扫描器定时对所有服务器进行端口扫描以及应用服务类型识别。扫描器在扫描时,一般进行全端口(0-65535)扫描,然后在从开放端口中筛选出异常的端口由于互联网公司服务器众多,这种扫描需要很长时间才能完成。另外,由于服务器对外发起请求时本地也会随机打开一个端口,所以使用扫描器进行扫描时会对结果造成混淆,导致扫描的准确率不高。应用服务类型识别一般需要根据本地服务指纹库进行匹配,识别精确度不高,尤其是对于自主研发的应用服务的识别率更低。
现有技术的中的缺点包括:需要扫描0-65535端口才能精确识别开放了哪些端口,浪费系统资源和时间;对于成千甚至上万台服务器环境下,扫描周期非常长,有可能数周甚至数月;无法精确识别端口对应的服务;无法检测系统是否启动了服务进程;无法判断防火墙端口限制策略是否失效及是否完整。
发明内容
为了解决上述问题,本发明提供了一种服务器智能扫描方法及装置。
本发明提供的智能扫描方法包括:
获取可对外开放端口列表和不可对外开放端口列表;
扫描服务器的端口,从扫描的端口中确定对外开放的目标端口;
判断所述目标端口是否位于所述可对外开放端口列表和/或不可对外开放端口列表中并根据判断结果确定所述目标端口为正常端口、所述目标端口为恶意端口或者防火墙策略故障。
上述智能扫描方法还具有以下特点:
所述获取可对外开放端口列表和不可对外开放端口列表包括:从管理平台或数据库获取可对外开放端口列表和不可对外开放端口列表,或者接收到的文件或预先存储的文件中解析出所述可对外开放端口列表和不可对外开放端口列表。
上述智能扫描方法还具有以下特点:
所述扫描服务器的端口包括:从服务器接收所述服务器所监听的端口的信息,根据所述服务器所监听的端口的信息扫描所述服务器所监听的端口。
上述智能扫描方法还具有以下特点:
所述判断所述目标端口是否位于所述可对外开放端口列表和/或不可对外开放端口列表中并根据判断结果确定所述目标端口为正常端口、所述目标端口为恶意端口或者防火墙失效包括:
在判断结果为所述目标端口位于所述可对外开放的端口列表中时确定所述目标端口为正常端口;
在判断结果为所述目标端口位于所述不可对外开放的端口中时确定防火墙策略故障,所述防火墙策略故障包括防火墙策略失效或者策略不完整;
在判断结果为所述目标端口不位于所述可对外开放端口列表中并且不位于所述不可对外开放端口列表中时确定所述目标端口为恶意端口。
上述智能扫描方法还具有以下特点:
所述方法还包括:从管理平台获取进程服务列表;
从服务器接收所述服务器所监听的端口对应的进程服务的名称;
判断所述目标端口的进程服务是否位于所述进程服务列表中并根据判断结果确定所述进程服务为正常进程或恶意进程。
本发明提供的智能扫描装置包括:
列表获取模块,用于获取可对外开放端口列表和不可对外开放端口列表;
扫描模块,用于扫描服务器的端口;
选择模块,用于从扫描的端口中确定对外开放的目标端口;
判断模块,用于判断所述目标端口是否位于所述可对外开放端口列表和/或不可对外开放端口列表中;
决策模块,用于根据判断结果确定所述目标端口为正常端口、所述目标端口为恶意端口或者防火墙策略故障。
上述智能扫描装置还具有以下特点:
所述列表获取模块还用于从管理平台或数据库获取可对外开放端口列表和不可对外开放端口列表,或者接收到的文件或预先存储的文件中解析出所述可对外开放端口列表和不可对外开放端口列表。
上述智能扫描装置还具有以下特点:
所述扫描模块还用于从服务器接收所述服务器所监听的端口的信息,根据所述服务器所监听的端口的信息扫描所述服务器所监听的端口。
上述智能扫描装置还具有以下特点:
所述决策模块还用于在判断结果为所述目标端口位于所述可对外开放的端口列表中时确定所述目标端口为正常端口;在判断结果为所述目标端口位于所述不可对外开放的端口中时确定防火墙策略故障,所述防火墙策略故障包括防火墙策略失效或者策略不完整;在判断结果为所述目标端口不位于所述可对外开放端口列表中并且不位于所述不可对外开放端口列表中时确定所述目标端口为恶意端口。
上述智能扫描装置还具有以下特点:
所述列表获取模块还用于从管理平台获取进程服务列表;
所述扫描模块还用于从服务器接收所述服务器所监听的端口对应的进程服务的名称;
所述判断模块还用于判断所述目标端口的进程服务是否位于所述进程服务列表中;
所述决策模块还用于根据所述判断模块的判断结果确定所述进程服务为正常进程或恶意进程。
本发明实现了无需全端口扫描的自动端口扫描,实现短时间内完成大批量服务器的端口扫描,大大提升了端口扫描速度,相比现有技术中的扫描方式,本发明在大型系统中可以节省几天至几个月的扫描时间;并且可排除服务器自身对外发起请求时随机开放的端口,防止了扫描时产生混淆,通过该方法不仅可实现短时间内对大规模服务器端口的准确扫描,将扫描结果自动对比,并且能够自动判断防火墙策略是否失效以及自动判断服务器是否开了恶意端口。本发明不需要通过扫描器自身的指纹识别即可以自动判断服务器是否启动了恶意进程服务,并能精确知道端口对应的进程服务名称。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是实施例中智能扫描方法的流程图;
图2是实施例中智能扫描装置的结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图1是实施例中智能扫描方法的流程图,此方法包括:
步骤101,获取可对外开放端口列表和不可对外开放端口列表;
步骤102,扫描服务器的端口;
步骤103,从扫描的端口中确定对外开放的目标端口;
步骤104,判断所述目标端口是否位于所述可对外开放端口列表和/或不可对外开放端口列表中并根据判断结果确定所述目标端口为正常端口、所述目标端口为恶意端口或者防火墙策略故障。
其中,
步骤101中获取可对外开放端口列表和不可对外开放端口列表包括:从管理平台或数据库获取可对外开放端口列表和不可对外开放端口列表,或者接收到的文件或预先存储的文件中解析出所述可对外开放端口列表和不可对外开放端口列表。
步骤102中,扫描服务器的端口包括:从服务器接收所述服务器所监听的端口的信息,根据所述服务器所监听的端口的信息扫描所述服务器所监听的端口。相比现有技术中的端口全扫描,本方法可以大大提高扫描效率。
步骤103中,判断所述目标端口是否位于所述可对外开放端口列表和/或不可对外开放端口列表中并根据判断结果确定所述目标端口为正常端口、所述目标端口为恶意端口或者防火墙失效包括:
在判断结果为所述目标端口位于所述可对外开放的端口列表中时确定所述目标端口为正常端口;
在判断结果为所述目标端口位于所述不可对外开放的端口中时确定防火墙策略故障,所述防火墙策略故障包括防火墙策略失效或者策略不完整;
在判断结果为所述目标端口不位于所述可对外开放端口列表中并且不位于所述不可对外开放端口列表中时确定所述目标端口为恶意端口。
本方法除了端口扫描,同时还包括与端口扫描并行执行的进程服务扫描。具体包括:从管理平台获取进程服务列表;从服务器接收所述服务器所监听的端口对应的进程服务的名称;判断所述目标端口的进程服务是否位于所述进程服务列表中并根据判断结果确定所述进程服务为正常进程或恶意进程。
图2是实施例中智能扫描装置的结构图,此装置包括:列表获取模块、扫描模块、选择模块、判断模块和决策模块。
列表获取模块用于获取可对外开放端口列表和不可对外开放端口列表;
扫描模块用于扫描服务器的端口;
选择模块用于从扫描的端口中确定对外开放的目标端口;
判断模块用于判断所述目标端口是否位于所述可对外开放端口列表和/或不可对外开放端口列表中;
决策模块用于根据判断结果确定所述目标端口为正常端口、所述目标端口为恶意端口或者防火墙策略故障。
其中,
列表获取模块还用于从管理平台或数据库获取可对外开放端口列表和不可对外开放端口列表,或者接收到的文件或预先存储的文件中解析出所述可对外开放端口列表和不可对外开放端口列表。
扫描模块还用于从服务器接收所述服务器所监听的端口的信息,根据所述服务器所监听的端口的信息扫描所述服务器所监听的端口。
决策模块还用于在判断结果为所述目标端口位于所述可对外开放的端口列表中时确定所述目标端口为正常端口;在判断结果为所述目标端口位于所述不可对外开放的端口中时确定防火墙策略故障,所述防火墙策略故障包括防火墙策略失效或者策略不完整;在判断结果为所述目标端口不位于所述可对外开放端口列表中并且不位于所述不可对外开放端口列表中时确定所述目标端口为恶意端口。
列表获取模块还用于从管理平台获取进程服务列表;扫描模块还用于从服务器接收所述服务器所监听的端口对应的进程服务的名称;判断模块还用于判断所述目标端口的进程服务是否位于所述进程服务列表中;决策模块还用于根据所述判断模块的判断结果确定所述进程服务为正常进程或恶意进程。
本发明实现了无需全端口扫描的自动端口扫描,实现短时间内完成大批量服务器的端口扫描,大大提升了端口扫描速度,相比现有技术中的扫描方式,本发明在大型系统中可以节省几天至几个月的扫描时间;并且可排除服务器自身对外发起请求时随机开放的端口,防止了扫描时产生混淆,通过该方法不仅可实现短时间内对大规模服务器端口的准确扫描,将扫描结果自动对比,并且能够自动判断防火墙策略是否失效以及自动判断服务器是否开了恶意端口。本发明不需要通过扫描器自身的指纹识别即可以自动判断服务器是否启动了恶意进程服务,并能精确知道端口对应的进程服务名称。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
以上实施例仅用以说明本发明的技术方案而非限制,仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种智能扫描方法,其特征在于,包括:
获取可对外开放端口列表和不可对外开放端口列表;
扫描服务器的端口,从扫描的端口中确定对外开放的目标端口;
判断所述目标端口是否位于所述可对外开放端口列表和/或不可对外开放端口列表中并根据判断结果确定所述目标端口为正常端口、所述目标端口为恶意端口或者防火墙策略故障;
在判断结果为所述目标端口位于所述可对外开放的端口列表中时确定所述目标端口为正常端口;
在判断结果为所述目标端口位于所述不可对外开放的端口中时确定防火墙策略故障,所述防火墙策略故障包括防火墙策略失效或者策略不完整;
在判断结果为所述目标端口不位于所述可对外开放端口列表中并且不位于所述不可对外开放端口列表中时确定所述目标端口为恶意端口。
2.如权利要求1所述的智能扫描方法,其特征在于,
所述获取可对外开放端口列表和不可对外开放端口列表包括:从管理平台或数据库获取可对外开放端口列表和不可对外开放端口列表,或者接收到的文件或预先存储的文件中解析出所述可对外开放端口列表和不可对外开放端口列表。
3.如权利要求1所述的智能扫描方法,其特征在于,
所述扫描服务器的端口包括:从服务器接收所述服务器所监听的端口的信息,根据所述服务器所监听的端口的信息扫描所述服务器所监听的端口。
4.如权利要求1所述的智能扫描方法,其特征在于,
所述方法还包括:从管理平台获取进程服务列表;
从服务器接收所述服务器所监听的端口对应的进程服务的名称;
判断所述目标端口的进程服务是否位于所述进程服务列表中并根据判断结果确定所述进程服务为正常进程或恶意进程。
5.一种智能扫描装置,其特征在于,包括:
列表获取模块,用于获取可对外开放端口列表和不可对外开放端口列表;
扫描模块,用于扫描服务器的端口;
选择模块,用于从扫描的端口中确定对外开放的目标端口;
判断模块,用于判断所述目标端口是否位于所述可对外开放端口列表和/或不可对外开放端口列表中;
决策模块,用于根据判断结果确定所述目标端口为正常端口、所述目标端口为恶意端口或者防火墙策略故障;
所述决策模块还用于在判断结果为所述目标端口位于所述可对外开放的端口列表中时确定所述目标端口为正常端口;在判断结果为所述目标端口位于所述不可对外开放的端口中时确定防火墙策略故障,所述防火墙策略故障包括防火墙策略失效或者策略不完整;在判断结果为所述目标端口不位于所述可对外开放端口列表中并且不位于所述不可对外开放端口列表中时确定所述目标端口为恶意端口。
6.如权利要求5所述的智能扫描装置,其特征在于,
所述列表获取模块还用于从管理平台或数据库获取可对外开放端口列表和不可对外开放端口列表,或者接收到的文件或预先存储的文件中解析出所述可对外开放端口列表和不可对外开放端口列表。
7.如权利要求5所述的智能扫描装置,其特征在于,
所述扫描模块还用于从服务器接收所述服务器所监听的端口的信息,根据所述服务器所监听的端口的信息扫描所述服务器所监听的端口。
8.如权利要求5所述的智能扫描装置,其特征在于,
所述列表获取模块还用于从管理平台获取进程服务列表;
所述扫描模块还用于从服务器接收所述服务器所监听的端口对应的进程服务的名称;
所述判断模块还用于判断所述目标端口的进程服务是否位于所述进程服务列表中;
所述决策模块还用于根据所述判断模块的判断结果确定所述进程服务为正常进程或恶意进程。
CN201710146863.3A 2017-03-13 2017-03-13 一种服务器智能扫描方法及装置 Active CN108574681B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710146863.3A CN108574681B (zh) 2017-03-13 2017-03-13 一种服务器智能扫描方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710146863.3A CN108574681B (zh) 2017-03-13 2017-03-13 一种服务器智能扫描方法及装置

Publications (2)

Publication Number Publication Date
CN108574681A CN108574681A (zh) 2018-09-25
CN108574681B true CN108574681B (zh) 2020-08-21

Family

ID=63578530

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710146863.3A Active CN108574681B (zh) 2017-03-13 2017-03-13 一种服务器智能扫描方法及装置

Country Status (1)

Country Link
CN (1) CN108574681B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110380935B (zh) * 2019-07-23 2021-02-12 杭州数梦工场科技有限公司 端口扫描方法与装置
CN111580946A (zh) * 2020-04-28 2020-08-25 北京达佳互联信息技术有限公司 端口扫描方法、装置、设备及存储介质
CN113852475A (zh) * 2020-06-28 2021-12-28 京东方科技集团股份有限公司 运维方法及系统、主控节点
CN115051905A (zh) * 2022-07-19 2022-09-13 广东泓胜科技股份有限公司 一种端口安全监控分析方法、装置及相关设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100493085C (zh) * 2005-07-08 2009-05-27 清华大学 P2p蠕虫防御系统
CN101447996B (zh) * 2008-12-31 2012-08-29 成都市华为赛门铁克科技有限公司 分布式拒绝服务攻击防护方法、系统及设备
CN102281149A (zh) * 2010-06-08 2011-12-14 腾讯科技(深圳)有限公司 一种分配端口规则信息的方法、设备和系统
CN105306414A (zh) * 2014-06-13 2016-02-03 腾讯科技(深圳)有限公司 端口漏洞的检测方法、装置及系统
CN105721472A (zh) * 2016-02-23 2016-06-29 北京皮尔布莱尼软件有限公司 一种端口安全检查方法、装置和系统

Also Published As

Publication number Publication date
CN108574681A (zh) 2018-09-25

Similar Documents

Publication Publication Date Title
CN108574681B (zh) 一种服务器智能扫描方法及装置
EP3497609B1 (en) Detecting scripted or otherwise anomalous interactions with social media platform
US9853941B2 (en) Security information and event management
US20200127976A1 (en) Network security system with enhanced traffic analysis based on feedback loop
CN110719300B (zh) 一种自动化漏洞验证的方法和系统
US10257222B2 (en) Cloud checking and killing method, device and system for combating anti-antivirus test
US20060075128A1 (en) Method and device for questioning a plurality of computerized devices
CN106982194A (zh) 漏洞扫描方法及装置
CN106650436A (zh) 一种基于局域网的安全检测方法和装置
US20160380867A1 (en) Method and System for Detecting and Identifying Assets on a Computer Network
CN112887341B (zh) 一种外部威胁监控方法
CN113868659B (zh) 一种漏洞检测方法及系统
KR20090038683A (ko) 자동 취약점 진단 웹 방화벽 및 이를 이용한 취약점 진단방법
CN109639631A (zh) 一种网络安全巡检系统及巡检方法
CN113572757B (zh) 服务器访问风险监测方法及装置
CN114448693A (zh) 结合rpa和ai的安全控制方法、装置、电子设备和介质
CN110674479A (zh) 异常行为数据实时处理方法、装置、设备及存储介质
CN113868669A (zh) 一种漏洞检测方法及系统
CN107480530A (zh) 安全检测的方法、装置、系统以及服务器
US9003514B1 (en) System and method to troubleshoot a defect in operation of a machine
CN116132132A (zh) 网络资产管理方法、装置、电子设备及介质
CN115509854A (zh) 一种巡检处理方法、巡检服务器及系统
CN113868670A (zh) 一种漏洞检测流程检验方法及系统
KR20180118869A (ko) 통합 보안 이상징후 모니터링 시스템
CN113835954A (zh) 一种动态网络安全监测方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 550003 Building No. 12 in the South Park of Gui'an High-end Equipment Industrial Park, Guiyang City, Guizhou Province

Applicant after: Guizhou Baishan cloud Polytron Technologies Inc

Address before: 100015 5 floor, block E, 201 IT tower, electronic city, 10 Jiuxianqiao Road, Chaoyang District, Beijing.

Applicant before: Guizhou white cloud Technology Co., Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant