CN108769064A - 实现漏洞治理的分布式资产识别及变更感知方法与系统 - Google Patents

Abstract

一种实现漏洞治理的分布式资产识别及变更感知系统，包括在不同区域分布式部署的多个网络资产信息收集子系统以及分布式任务调度及数据处理子系统，基于分布式架构，将任务分解，并通过任务调度将分解的任务分配到合适的资源中，针对多个节点实现任务分发和处理，分布式地执行资产信息探测与感知；网络资产信息收集子系统收集联网活动主机的资产信息，分布式任务调度及数据处理子系统的数据处理部分从网络资产信息收集子系统获得联网活动主机的资产信息，并将其与保存在资产库中经过确认的资产属性信息进行比对，以实现对资产库中的联网存活主机的资产信息的自动更新。通过漏洞扫描，收集脆弱性信息，可快速治理修复联网信息系统的安全漏洞。

Description

实现漏洞治理的分布式资产识别及变更感知方法与系统

技术领域

本发明涉及网络资产信息安全，尤其是一种用于实现漏洞治理的分布式资产识别及变更感知方法与系统。

背景技术

信息系统网络空间是由无数节点构成，每个节点都是一个接入网络的IT资产(或称信息资产)，信息资产包括主机操作系统、网络设备、安全设备、数据库、中间件、应用组件。信息资产是信息安全管理中最基础最重要的载体。随着企业内部业务的不断壮大，业务信息化的高速发展，各种业务支撑平台和管理系统越来越复杂，信息资产如服务器、存储设备、网络设备、安全设备数量越积越多，类型也越来越丰富，带给管理员的资产管理工作也愈发困难。久而久之，产生了大量的无主资产、僵尸资产，这些资产长时间无人维护，导致存在较多的已知漏洞及配置违规。更为严重的是这些资产难以纳入管理员日常维护范围内，为企业安全带来极大隐患，成为企业信息安全的软肋。

以电网为例，常见的电力信息设备，如服务器、交换机、路由器、电力通讯终端、智能变电设备等，一旦发生安全问题，将影响电力信息的正常获取和电力服务的正常供应，不但给人们日常的生产生活带来诸多不便，也会造成极大的经济损失。

当前，国家对网络安全的重视程度越来越高，IT资产的有效管理就更加重要。IT资产是信息安全管理中最基础最重要的载体，厘清IT资产，全方位无死角地掌握资产信息意义重大。同时，在查明资产信息的基础上，了解网络空间中的危险风险的防护是否有效，如网络设备所运行的服务是否存在已知漏洞及物理地址、新被曝出的漏洞对网络设备的影响范围、针对已知漏洞应如何进行修复等信息，这将有助于准确掌握企业的安全状况并有效解决威胁风险。

发明内容

本发明的主要目的在于针对现有技术的不足，提供一种用于实现漏洞治理的分布式资产识别及变更感知方法与系统。

为实现上述目的，本发明采用以下技术方案：

一种用于实现漏洞治理的分布式资产识别及变更感知系统，包括在不同区域分布式部署的多个网络资产信息收集子系统和连接所述多个网络资产信息收集子系统的分布式任务调度及数据处理子系统，基于分布式架构，所述分布式任务调度及数据处理子系统的任务调度部分将任务分解，并通过任务调度将分解的任务分配到合适的资源中，针对多个节点实现任务分发和处理，实现任务的分布式执行，分布式地执行资产信息探测与感知，且数据存储和管理部属在一起；所述网络资产信息收集子系统收集联网活动主机的资产信息，所述分布式任务调度及数据处理子系统的数据处理部分从所述网络资产信息收集子系统获得联网活动主机的资产信息，并将其与保存在所述资产库中经过确认的资产属性信息进行比对，以实现对所述资产库中的联网存活主机的资产信息的自动更新；所述网络资产信息收集子系统还对资产信息进行漏洞扫描，收集脆弱性信息，以便发现和及时修复联网信息系统的安全漏洞。

进一步地，所述网络资产信息收集子系统通过循环使用网络基础信息收集方式收集联网活动主机及资产属性信息；所述资产数据处理子系统从网络资产信息收集子系统获得联网活动主机及资产属性信息，并与保存在资产库中经过确认的资产属性进行比对，以实现对联网存活主机库的自动更新，以及操作系统类型及版本、应用组件类型及版本信息等属性的自动更新。

进一步地，所述网络资产信息收集子系统采用资产识别的循环调用，对于资产可以感知变更的属性包括操作系统类型及版本、应用组件类型及版本、数据库类型及版本、端口、服务；对于已确认的资产，其属性保存在资产库中，网络资产信息收集子系统的信息收集模块使用资产识别技术，定期循环对目标资产进行扫描，收集其属性信息，收集属性后，与保存在资产库中的原始属性进行比较，目标资产属性如有变化，数据处理模块会进行资产库的更新，确保资产库中的属性信息是最新的。

进一步地，所述网络资产信息收集子系统进行存活资产变更感知，其通过资产识别技术的循环调用来实现；其中对于已确认的资产，其状态保存在资产库中，使用资产识别技术，定期循环对目标资产进行扫描，探测其状态是否存活，如果发现主机已无反应，则记录当前时间，并修改其状态，否则，保持现有状态，并增加存活时间记录。

进一步地，所述分布式资产识别及变更感知系统还包括：

管理子系统，其经配置提供数据展示、查询分析和运维管理功能，并为数据操作人员提供人机交互界面进行对应的业务操作；所述管理端通过轮询机制访问分布式数据源，服务器异步返回数据，在数据接收上，管理平台要求具有一个通知机制以及一个监听组建来周期地轮询来自数据接口服务模块的响应，当有新的数据返回后，通过数据接收处理服务将新的数据添加到响应数据存储文件中。

进一步地，所述网络资产信息收集子系统包括脆弱性感知模块，其经配置以对联网主机及应用系统的脆弱性进行感知分析，以发现操作系统、服务、应用组件的脆弱点，寻找联网主机、其系统、服务、应用组件中可能存在的漏洞，所述脆弱性感知模块经配置以进行系统漏洞扫描、数据库漏洞扫描、Web应用漏洞扫描中的一种或多种；优选地，所述脆弱性感知模块通过后台建立的漏洞库对所扫描的漏洞进行自动匹配，并自动确认漏洞的CVE编号和是否已有利用方式。

进一步地，漏洞扫描基于端口扫描技术，在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与预先提供的漏洞库进行匹配，其中通过模拟对本系统的攻击手法，查看是否有满足匹配条件的漏洞存在；优选地，对目标主机系统进行攻击性的安全漏洞扫描，优选采用测试弱势口令，若模拟攻击成功，则表明目标主机系统存在安全漏洞。

进一步地，采用基于规则的匹配技术，形成的网络系统漏洞库，在此基础之上构成相应的匹配规则，由扫描程序自动进行漏洞扫描的工作，进行匹配如果满足条件，则视为存在漏洞，检测完成后将结果返回到客户端；优选地，若没有被匹配的规则，禁止系统的网络连接；优选地，漏洞数据从扫描代码中分离，以便对扫描引擎进行更新。

进一步地，所述网络资产信息收集子系统还包括以下模块的一种或多种：

任务管理模块，其经配置以接收任务指令，调度多个收集模块按策略完成对应任务，动态地实时监控各个收集模块的运行状态信息并实时的进行任务的负载均衡和调配，以保证每个收集模块都能够合理的工作；

数据过滤模块，其经配置以通过采集策略对原始数据进行匹配，对冗余的数据进行过滤；

数据传输模块，其经配置以将采集数据通过隐蔽子网发送给与所述网络资产信息收集子系统连接的管理子系统。

一种用于实现漏洞治理的分布式资产识别及变更感知方法，使用所述的系统进行分布式资产识别及变更感知，并对所识别和感知的网络资产信息进行漏洞的查找与发现，以便实现漏洞的快速修复与治理。

优选地，使用前述的分布式任务调度及数据处理子系统进行如下分布式任务调度，其包括如下步骤：

1)当任务下发时，系统检测任务大小，自动根据检测节点信息将消耗较大的任务划分为内部小任务，并放入任务队列；

2)从任务队列中取出内部小任务，按照任务下发标准接口传递给检测模块节点；

3)各业务层的业务检测模块均提供标准的任务调度接口，通过接口将任务下发子模块，并验证任务参数数据的正确性，最后将任务参数数据按照接口规范传递到各业务层的检测节点；

4)当下发给检测节点的任务由于检测节点服务器故障或网络故障无法完成时，异常处理模块将自动下发该检测节点的任务到其他节点继续执行；

5)最后检测节点按照接口规范汇报进度，进度汇总模块将这些进度汇总存储。

本发明的有益效果：

本发明提供一种分布式资产识别及变更感知方法与系统，能够全方位准确地、动态地掌握资产信息及其变化，显著提高资产的网络风险、脆弱性评估的准确性，提高对资产漏洞的掌握情况以及快速处理能力，实现漏洞快速治理，并显著提高对攻击行为的响应处置。本系统和方法通过进行资产识别以及资产变更感知，为资产的管理和漏洞快速处理提供了坚实的基础和良好的保障。通过采用分布式部署的多个网络资产信息收集子系统，本发明能够及时、可靠地探测发现特定多个网络区域的活动主机，收集资产信息，包括实现对其操作系统和应用组件信息的收集，而数据存储和管理部属在一起，方便统一处理和展现数据；同时，对任务分布式执行，通过采用分布式架构，将任务分解，通过任务调度将分解的任务分配到合适的资源中，对多个节点实现智能的任务分发、负载均衡、异常处理、进度汇总、结果汇总等，实现任务的分布式执行，如分布执行资产的感知和资产信息变更处理，提高处理能力。通过网络资产信息收集子系统，本发明基于探测的情况进行针对性的脆弱性信息收集，对联网主机及应用系统的脆弱性进行感知分析，发现操作系统、服务、应用组件的脆弱点，为渗透攻击/测试提供数据支撑和利用资源，最终寻找出联网主机、其系统、服务、应用组件中可能存在的漏洞。本发明在实现分布式资产识别及变更感知的同时，能够及时准确地发现联网信息系统的安全漏洞，为实现漏洞快速治理，及时地修复信息系统的安全漏洞提供了有利条件和良好的保障。

附图说明

图1为本发明实现漏洞治理的分布式资产识别及变更感知系统的系统框图；

图2本发明一种实施例的分布式资产识别及变更感知系统的结构框图；

图3为本发明一种实施例的分布式资产识别及变更感知系统进行资产属性的变更感知的流程图；

图4为本发明优选实施例中的基于网络系统漏洞库的漏洞扫描体系结构图；

图5为本发明优选实施例的资产识别及变更感知方法中进行分布式任务调度的流程图。

具体实施方式

以下对本发明的实施方式作详细说明。应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。

参阅图1至图3，在一种实施例中，一种用于实现漏洞治理的分布式资产识别及变更感知系统，包括在不同区域分布式部署的多个网络资产信息收集子系统和连接所述多个网络资产信息收集子系统的分布式任务调度及数据处理子系统，基于分布式架构，所述分布式任务调度及数据处理子系统的任务调度部分将任务分解，并通过任务调度将分解的任务分配到合适的资源中，针对多个节点实现任务分发和处理，实现任务的分布式执行，分布式地执行资产信息探测与感知，且数据存储和管理部属在一起；所述网络资产信息收集子系统收集联网活动主机的资产信息，所述分布式任务调度及数据处理子系统的数据处理部分从所述网络资产信息收集子系统获得联网活动主机的资产信息，并将其与保存在所述资产库中经过确认的资产属性信息进行比对，以实现对所述资产库中的联网存活主机的资产信息的自动更新；所述网络资产信息收集子系统还对资产信息进行漏洞扫描，收集脆弱性信息，以便发现和及时修复联网信息系统的安全漏洞。

本发明的分布式资产识别及变更感知系统能够全方位准确地、动态地掌握资产信息及其变化，显著提高资产的网络风险、脆弱性评估的准确性，提高对资产漏洞的掌握情况以及快速处理能力，实现漏洞快速治理，并显著提高对攻击行为的响应处置。

在优选的实施例中，所述网络资产信息收集子系统通过循环使用网络基础信息收集方式(包括主机发现、端口扫描、操作系统侦测、应用侦测和IP地址库等)收集联网活动主机及资产属性信息；所述资产数据处理子系统从网络资产信息收集子系统获得联网活动主机及资产属性信息，并与保存在资产库中经过确认的资产属性进行比对，以实现对联网存活主机库的自动更新，以及操作系统类型及版本、应用组件类型及版本信息等属性的自动更新。

在优选的实施例中，所述网络资产信息收集子系统对于资产属性的变更感知采用资产识别的循环调用实现，具体流程如图3所示。对于资产可以感知变更的属性包括操作系统类型及版本、应用组件类型及版本、数据库类型及版本、端口、服务。本实施例中，对于已确认的资产，其属性保存在资产库中，网络资产信息收集子系统的信息收集模块使用资产识别技术，定期循环对目标资产进行扫描，收集其属性信息，收集属性后，与保存在资产库中的原始属性进行比较，目标资产属性如有变化，数据处理模块会进行资产库的更新，确保资产库中的属性信息是最新的。

在优选的实施例中，所述网络资产信息收集子系统还进行存活资产变更感知，其也可以通过资产识别技术的循环调用来实现。本实施例中，对于已确认的资产，其状态同样保存在资产库中，网络资产信息收集子系统的信息收集模块使用资产识别技术，定期循环对目标资产进行扫描，探测其状态是否存活，如果发现主机已无反应，则记录当前时间，并修改其状态，否则，保持现有状态，并增加存活时间记录。

在优选的实施例中，所述分布式资产识别及变更感知系统还包括：

管理子系统，其经配置提供数据展示、查询分析和运维管理功能，并为数据操作人员提供人机交互界面进行对应的业务操作；所述管理端通过轮询机制访问分布式数据源，服务器异步返回数据，在数据接收上，管理平台要求具有一个通知机制以及一个监听组建来周期地轮询来自数据接口服务模块的响应，当有新的数据返回后，通过数据接收处理服务将新的数据添加到响应数据存储文件中。

在优选的实施例中，所述网络资产信息收集子系统包括脆弱性感知模块，其经配置以对联网主机及应用系统的脆弱性进行感知分析，以发现操作系统、服务、应用组件的脆弱点，寻找联网主机、其系统、服务、应用组件中可能存在的漏洞，所述脆弱性感知模块经配置以进行系统漏洞扫描、数据库漏洞扫描、Web应用漏洞扫描中的一种或多种；优选地，所述脆弱性感知模块通过后台建立的漏洞库对所扫描的漏洞进行自动匹配，并自动确认漏洞的CVE编号和是否已有利用方式。

在优选的实施例中，漏洞扫描基于端口扫描技术，在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与预先提供的漏洞库进行匹配，其中通过模拟对本系统的攻击手法，查看是否有满足匹配条件的漏洞存在；优选地，对目标主机系统进行攻击性的安全漏洞扫描，优选采用测试弱势口令，若模拟攻击成功，则表明目标主机系统存在安全漏洞。

在优选的实施例中，采用基于规则的匹配技术，形成的网络系统漏洞库，在此基础之上构成相应的匹配规则，由扫描程序自动进行漏洞扫描的工作，进行匹配如果满足条件，则视为存在漏洞，检测完成后将结果返回到客户端；优选地，若没有被匹配的规则，禁止系统的网络连接；优选地，漏洞数据从扫描代码中分离，以便对扫描引擎进行更新。

在优选的实施例中，所述网络资产信息收集子系统还包括以下模块的一种或多种：

任务管理模块，其经配置以接收任务指令，调度多个收集模块按策略完成对应任务，动态地实时监控各个收集模块的运行状态信息并实时的进行任务的负载均衡和调配，以保证每个收集模块都能够合理的工作；

数据过滤模块，其经配置以通过采集策略对原始数据进行匹配，对冗余的数据进行过滤；

数据传输模块，其经配置以将采集数据通过隐蔽子网发送给与所述网络资产信息收集子系统连接的管理子系统。

在另一种实施例中，一种用于实现漏洞治理的分布式资产识别及变更感知方法，使用前述任一实施例所述的系统进行分布式资产识别及变更感知，并对所识别和感知的网络资产信息进行漏洞的查找与发现，以便实现漏洞的快速修复与治理。

采用分布式架构，通过在不同区域分布式部署的多个网络资产信息收集子系统的运行探测来收集资产信息，分布式资产信息探测将任务分解，通过任务调度将分解的任务分配到合适的资源中，对多个节点实现智能的任务分发、负载均衡、异常处理、进度汇总、结果汇总等，实现任务的分布式执行，如分布执行资产的感知和资产信息变更处理，提高处理能力。

在优选的实施例中，管理端(例如管理子系统)通过轮询机制访问分布式数据源，服务器异步返回数据，在数据接收上，管理平台要求具有一个通知机制以及一个监听组建来周期地轮询来自数据接口服务模块的响应，当有新的数据返回后，通过数据接收处理服务将新的数据添加到响应数据存储文件中。

在具体实施例中，使用上述分布式资产识别及变更感知系统进行资产安全监测的任务调度，调用各信息采集模块，对网络空间IT资产进行多维度扫描，获取IT资产的软硬件信息、端口信息等，最后将扫描结果写入分布式数据库。分布式调度完成整个系统的任务生成、任务分发、任务接收、任务执行、异常处理、数据统计、任务负载均衡等功能。

参阅图5，在优选的实施例中，所述分布式资产识别及变更感知方法使用前述的分布式任务调度及数据处理子系统进行如下分布式任务调度，其包括以下步骤：

1)当任务下发时，系统检测任务大小，自动根据检测节点信息将消耗较大的任务划分为内部小任务，并放入任务队列；

2)从任务队列中取出内部小任务，按照任务下发标准接口传递给检测模块节点；

3)各业务层的业务检测模块均提供标准的任务调度接口，通过接口将任务下发子模块，并验证任务参数数据的正确性，最后将任务参数数据按照接口规范传递到各业务层的检测节点；

4)当下发给检测节点的任务由于检测节点服务器故障或网络故障无法完成时，异常处理模块将自动下发该检测节点的任务到其他节点继续执行；

5)最后检测节点按照接口规范汇报进度，进度汇总模块将这些进度汇总存储

在具体实施例中，该网络资产信息收集子系统优选包括：基础信息收集模块，其经配置以发现联网主机，进行主机操作系统的指纹识别，以探测出远程目标主机的操作系统类型；应用组件指纹收集模块，其经配置以发现包括网络应用程序或组件的版本、服务端口、协议交互特征中的一种或多种应用程序或组件指纹信息。

基于本发明优选实施例，可以建立漏洞治理管控平台，根据系统类型和应用组件，进行针对性的脆弱性信息收集。

在一些实施例中，网络资产信息收集子系统通过采用网络基础信息收集(包括主机发现、端口扫描、操作系统侦测、应用侦测和IP地址库)和脆弱性感知技术，可以发现特定网络区域内的活动主机，并实现对其操作系统类型及版本、应用组件类型及版本信息收集，根据系统类型和应用组件进行针对性的脆弱性信息收集。

在一些实施例中，网络资产信息收集子系统可采用IP地址定位、主机发现与端口扫描、操作系统与应用类型侦测、网络应用扫描、漏洞扫描、高级逃逸技术(AET)、防火墙/IDS规避等技术，实现网络资产信息采集。

在典型的实施例中，网络资产信息收集子系统包括基础信息收集模块、应用组件指纹收集模块和脆弱性感知模块。基础信息收集模块本经配置以发现联网主机，以及进行主机操作系统的指纹识别。通过向目标主机发送一系列TCP和UDP数据包，接收应答数据包，并检测应答数据包中的每一个数据项，再与指纹数据库对比，最后通过分析对比就可以探测出远程目标主机的操作系统类型。应用组件指纹收集模块经配置以发现网络应用程序或组件的版本、服务端口、协议交互特征等指纹信息。本模块可支持基于Web服务，服务端语言，Web开发框架，Web应用，前端库及第三方组件等识别。可采用应用组件页面探测技术和服务组件服务探测技术探测Web网站后台采用何种语言，具体方法包括通过meta信息、script标签、header信息、session、error page、包括网页的某些内容等指纹来判断。可采用服务组件页面探测技术来实现Web应用的探测。通过抓取网站的一个或几个页面与指纹库的指纹相匹配就可以判别相应的Web应用程序。可采用页面探测技术探测Web空间。例如，通过页面的CLASSID之类的来识别。

在优选的实施例中，基于网络系统漏洞库的漏洞扫描体系结构如图4所示。

漏洞扫描技术是建立在端口扫描技术的基础之上。从对攻击行为的分析和收集的漏洞来看，绝大多数都是针对某一个网络服务，也就是针对某一个特定的端口的。因此，在优选实施例中，采用的漏洞扫描技术以与端口扫描技术同样的思路来开展扫描。漏洞扫描技术优选通过以下方法来检查目标主机是否存在漏洞：在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配。通过模拟对本系统的攻击手法，查看是否有满足匹配条件的漏洞存在。优选地，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等。若模拟攻击成功，则表明目标主机系统存在安全漏洞。

本系统采用基于规则的匹配技术，即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验，形成一套标准的网络系统漏洞库，在此基础之上构成相应的匹配规则，由扫描程序主动地进行漏洞扫描的工作。较佳地，若没有被匹配的规则，禁止系统的网络连接。

优选实施例中，由漏洞扫描系统提供的系统漏洞库进行匹配，如果满足条件，则视为存在漏洞。服务器的检测完成后将结果返回到客户端，并生成直观的报告。在服务器端的规则匹配库可以是许多共享程序的集合，存储各种扫描攻击方法。漏洞数据从扫描代码中分离,使用户能自行对扫描引擎进行更新。

采用上述实施例的网络资产信息收集子系统，网络资产信息收集子系统可探测发现特定网络区域的活动主机，并实现对其操作系统和应用组件信息的收集，并进行针对性的脆弱性信息收集，为后续的渗透攻击/测试提供数据支撑和利用资源，从而本发明的分布式资产识别及变更感知系统可以更加及时、有效、可靠、准确地采集网络资产信息，从而能够更好地发现并及时修复信息系统的安全漏洞。

以上内容是结合具体/优选的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，其还可以对这些已描述的实施方式做出若干替代或变型，而这些替代或变型方式都应当视为属于本发明的保护范围。

Claims (10)

1.一种用于实现漏洞治理的分布式资产识别及变更感知系统，其特征在于,包括在不同区域分布式部署的多个网络资产信息收集子系统和连接所述多个网络资产信息收集子系统的分布式任务调度及数据处理子系统，基于分布式架构，所述分布式任务调度及数据处理子系统的任务调度部分将任务分解，并通过任务调度将分解的任务分配到合适的资源中，针对多个节点实现任务分发和处理，实现任务的分布式执行，分布式地执行资产信息探测与感知，且数据存储和管理部属在一起；所述网络资产信息收集子系统收集联网活动主机的资产信息，所述分布式任务调度及数据处理子系统的数据处理部分从所述网络资产信息收集子系统获得联网活动主机的资产信息，并将其与保存在所述资产库中经过确认的资产属性信息进行比对，以实现对所述资产库中的联网存活主机的资产信息的自动更新；所述网络资产信息收集子系统还对资产信息进行漏洞扫描，收集脆弱性信息，以便发现和及时修复联网信息系统的安全漏洞。

2.如权利要求1所述的分布式资产识别及变更感知系统，其特征在于,所述网络资产信息收集子系统通过循环使用网络基础信息收集方式收集联网活动主机及资产属性信息；所述资产数据处理子系统从网络资产信息收集子系统获得联网活动主机及资产属性信息，并与保存在资产库中经过确认的资产属性进行比对，以实现对联网存活主机库的自动更新，以及操作系统类型及版本、应用组件类型及版本信息等属性的自动更新。

3.如权利要求2所述的分布式资产识别及变更感知系统，其特征在于,

所述网络资产信息收集子系统采用资产识别的循环调用，对于资产可以感知变更的属性包括操作系统类型及版本、应用组件类型及版本、数据库类型及版本、端口、服务；对于已确认的资产，其属性保存在资产库中，网络资产信息收集子系统的信息收集模块使用资产识别技术，定期循环对目标资产进行扫描，收集其属性信息，收集属性后，与保存在资产库中的原始属性进行比较，目标资产属性如有变化，数据处理模块会进行资产库的更新，确保资产库中的属性信息是最新的。

4.如权利要求2所述的分布式资产识别及变更感知系统，其特征在于,

所述网络资产信息收集子系统进行存活资产变更感知，其通过资产识别技术的循环调用来实现；其中对于已确认的资产，其状态保存在资产库中，使用资产识别技术，定期循环对目标资产进行扫描，探测其状态是否存活，如果发现主机已无反应，则记录当前时间，并修改其状态，否则，保持现有状态，并增加存活时间记录。

5.如权利要求1至4任一项所述的分布式资产识别及变更感知系统，其特征在于,还包括：

管理子系统，其经配置提供数据展示、查询分析和运维管理功能，并为数据操作人员提供人机交互界面进行对应的业务操作；所述管理端通过轮询机制访问分布式数据源，服务器异步返回数据，在数据接收上，管理平台要求具有一个通知机制以及一个监听组建来周期地轮询来自数据接口服务模块的响应，当有新的数据返回后，通过数据接收处理服务将新的数据添加到响应数据存储文件中。

6.如权利要求1至5任一项所述的分布式资产识别及变更感知系统，其特征在于,所述网络资产信息收集子系统包括脆弱性感知模块，其经配置以对联网主机及应用系统的脆弱性进行感知分析，以发现操作系统、服务、应用组件的脆弱点，寻找联网主机、其系统、服务、应用组件中可能存在的漏洞，所述脆弱性感知模块经配置以进行系统漏洞扫描、数据库漏洞扫描、Web应用漏洞扫描中的一种或多种；优选地，所述脆弱性感知模块通过后台建立的漏洞库对所扫描的漏洞进行自动匹配，并自动确认漏洞的CVE编号和是否已有利用方式。

7.如权利要求1至6任一项所述的分布式资产识别及变更感知系统，其特征在于,漏洞扫描基于端口扫描技术，在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与预先提供的漏洞库进行匹配，其中通过模拟对本系统的攻击手法，查看是否有满足匹配条件的漏洞存在；优选地，对目标主机系统进行攻击性的安全漏洞扫描，优选采用测试弱势口令，若模拟攻击成功，则表明目标主机系统存在安全漏洞。

8.如权利要求1至7任一项所述的分布式资产识别及变更感知系统，其特征在于,采用基于规则的匹配技术，形成的网络系统漏洞库，在此基础之上构成相应的匹配规则，由扫描程序自动进行漏洞扫描的工作，进行匹配如果满足条件，则视为存在漏洞，检测完成后将结果返回到客户端；优选地，若没有被匹配的规则，禁止系统的网络连接；优选地，漏洞数据从扫描代码中分离，以便对扫描引擎进行更新。

9.如权利要求1至8任一项所述的分布式资产识别及变更感知系统，其特征在于,所述网络资产信息收集子系统还包括以下模块的一种或多种：

任务管理模块，其经配置以接收任务指令，调度多个收集模块按策略完成对应任务，动态地实时监控各个收集模块的运行状态信息并实时的进行任务的负载均衡和调配，以保证每个收集模块都能够合理的工作；

数据过滤模块，其经配置以通过采集策略对原始数据进行匹配，对冗余的数据进行过滤；

数据传输模块，其经配置以将采集数据通过隐蔽子网发送给与所述网络资产信息收集子系统连接的管理子系统。

10.一种用于实现漏洞治理的分布式资产识别及变更感知方法，其特征在于,使用如权利要求1至9任一项所述的系统进行分布式资产识别及变更感知，并对所识别和感知的网络资产信息进行漏洞的查找与发现，以便实现漏洞的快速修复与治理；

优选地，使用前述的分布式任务调度及数据处理子系统进行如下分布式任务调度，其包括以下步骤：

1)当任务下发时，系统检测任务大小，自动根据检测节点信息将消耗较大的任务划分为内部小任务，并放入任务队列；

2)从任务队列中取出内部小任务，按照任务下发标准接口传递给检测模块节点；

3)各业务层的业务检测模块均提供标准的任务调度接口，通过接口将任务下发子模块，并验证任务参数数据的正确性，最后将任务参数数据按照接口规范传递到各业务层的检测节点；

4)当下发给检测节点的任务由于检测节点服务器故障或网络故障无法完成时，异常处理模块将自动下发该检测节点的任务到其他节点继续执行；

5)最后检测节点按照接口规范汇报进度，进度汇总模块将这些进度汇总存储。