CN109347892B - 一种互联网工业资产扫描处理方法及装置 - Google Patents

一种互联网工业资产扫描处理方法及装置 Download PDF

Info

Publication number
CN109347892B
CN109347892B CN201810879059.0A CN201810879059A CN109347892B CN 109347892 B CN109347892 B CN 109347892B CN 201810879059 A CN201810879059 A CN 201810879059A CN 109347892 B CN109347892 B CN 109347892B
Authority
CN
China
Prior art keywords
scanning
port
information
internet
ports
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810879059.0A
Other languages
English (en)
Other versions
CN109347892A (zh
Inventor
刘佰万
于博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN201810879059.0A priority Critical patent/CN109347892B/zh
Publication of CN109347892A publication Critical patent/CN109347892A/zh
Application granted granted Critical
Publication of CN109347892B publication Critical patent/CN109347892B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/08Logistics, e.g. warehousing, loading or distribution; Inventory or stock management
    • G06Q10/083Shipping
    • G06Q10/0833Tracking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/663Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/69Types of network addresses using geographic information, e.g. room number

Abstract

本发明实施例公开了一种互联网工业资产扫描处理方法及装置,方法包括:对互联网工业资产进行面扫描,若TCP服务的端口已开放,则对互联网工业资产进行点扫描;对点扫描过程中扫描到的各协议的服务或设备的基本信息进行标注;根据设备的序列号或工业网页系统首页的MD5值,以及IP地址及端口信息对目标资产进行跟踪,得到跟踪结果;将基本信息和目标资产的信息进行汇总和存储。本发明实施例通过面扫描和点扫描对各协议的服务或设备的基本信息进行标注,对目标资产进行跟踪,并对扫描和跟踪的结果进行汇总,方便对互联网工业资产的统一管理,实现在互联网高效无损地发现工业资产并识别资产的详细信息。

Description

一种互联网工业资产扫描处理方法及装置
技术领域
本发明实施例涉及互联网技术领域,具体涉及一种互联网工业资产扫描处理方法及装置。
背景技术
随着IT与OT一体化进程不断的推进,工业互联网化越来越成为一种当今工业界的趋势。信息化与互联网为工业企业带来了很多便利,但同时也带来了安全隐患。目前在互联网上暴露了大量的工业控制系统、工业WEB站点、工业物联网设备,这些设备一旦被黑客掌握将带来很多非常严重的后果,而目前缺少一种对互联网工业资产进行管理的方法。
发明内容
由于现有方法存在上述问题,本发明实施例提出一种互联网工业资产扫描处理方法及装置。
第一方面,本发明实施例提出一种互联网工业资产扫描处理方法,包括:
对互联网工业资产进行面扫描,若通过面扫描判断获知传输控制协议TCP服务的端口已开放,则对所述互联网工业资产进行点扫描;
对点扫描过程中扫描到的各协议的服务或设备的基本信息进行标注,所述基本信息包括厂商、组件类型、组件版本、操作系统类型、操作系统版本、设备类型、产品类型和产品版本;
根据设备的序列号或工业网页系统首页的消息摘要算法第五版MD5值,以及IP地址及端口信息对目标资产进行跟踪,得到跟踪结果;
将所述基本信息和所述目标资产的信息进行汇总和存储。
可选地,所述面扫描和点扫描的过程中,采用启发式扫描方式;
所述启发式扫描方式包括:
确定所有端口中的热点端口、次热点端口和剩余端口,所述剩余端口为所有端口中除所述热点端口和次热点端口之外的端口;
待所有的热点端口完成面扫描和点扫描后,对所有的次热点端口进行面扫描和点扫描;
待所有的次热点端口完成面扫描和点扫描后,对所有的剩余端口进行面扫描和点扫描。
可选地,所述方法还包括:
根据IP地理位置信息库和实现服务的IP地址对互联网工业资产的街道级别的地理位置进行精确定位;
根据所述基本信息的标注结果,对服务和设备的漏洞描述信息进行匹配。
可选地,所述对所述互联网工业资产进行点扫描,具体包括:
根据端口开放服务概率表对各端口进行协议交互,协议交互过程中对所述互联网工业资产进行点扫描。
可选地,所述面扫描使用无状态扫描,所述无状态扫描过程中TCP采用不完整的两次握手。
第二方面,本发明实施例还提出一种互联网工业资产扫描处理装置,包括:
面扫描模块,用于对互联网工业资产进行面扫描,若通过面扫描判断获知传输控制协议TCP服务的端口已开放,则对所述互联网工业资产进行点扫描;
点扫描模块,用于对点扫描过程中扫描到的各协议的服务或设备的基本信息进行标注,所述基本信息包括厂商、组件类型、组件版本、操作系统类型、操作系统版本、设备类型、产品类型和产品版本;
资产跟踪模块,用于根据设备的序列号或工业网页系统首页的消息摘要算法第五版MD5值,以及IP地址及端口信息对目标资产进行跟踪,得到跟踪结果;
信息汇总模块,用于将所述基本信息和所述目标资产的信息进行汇总和存储。
可选地,所述面扫描和点扫描的过程中,采用启发式扫描方式;
所述启发式扫描方式包括:
确定所有端口中的热点端口、次热点端口和剩余端口,所述剩余端口为所有端口中除所述热点端口和次热点端口之外的端口;
待所有的热点端口完成面扫描和点扫描后,对所有的次热点端口进行面扫描和点扫描;
待所有的次热点端口完成面扫描和点扫描后,对所有的剩余端口进行面扫描和点扫描。
可选地,所述装置还包括:
资产定位模块,用于根据IP地理位置信息库和实现服务的IP地址对互联网工业资产的街道级别的地理位置进行精确定位;
信息匹配模块,用于根据所述基本信息的标注结果,对服务和设备的漏洞描述信息进行匹配。
可选地,所述面扫描模块具体用于:
根据端口开放服务概率表对各端口进行协议交互,协议交互过程中对所述互联网工业资产进行点扫描。
可选地,所述面扫描使用无状态扫描,所述无状态扫描过程中TCP采用不完整的两次握手。
第三方面,本发明实施例还提出一种电子设备,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述方法。
第四方面,本发明实施例还提出一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述方法。
由上述技术方案可知,本发明实施例通过面扫描和点扫描对各协议的服务或设备的基本信息进行标注,对目标资产进行跟踪,并对扫描和跟踪的结果进行汇总,方便对互联网工业资产的统一管理,实现在互联网高效无损地发现工业资产并识别资产的详细信息。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为本发明一实施例提供的一种互联网工业资产扫描处理方法的流程示意图;
图2为本发明另一实施例提供的一种互联网工业资产扫描处理方法的流程示意图;
图3为本发明一实施例提供的启发式扫描方式的流程示意图;
图4为本发明一实施例提供的一种互联网工业资产扫描处理装置的结构示意图;
图5为本发明一实施例提供的电子设备的逻辑框图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本实施例提供的一种互联网工业资产扫描处理方法的流程示意图,包括:
S101、对互联网工业资产进行面扫描,若通过面扫描判断获知传输控制协议TCP服务的端口已开放,则对所述互联网工业资产进行点扫描。
其中,所述面扫描使用无状态扫描,所述无状态扫描过程中TCP采用不完整的两次握手。
具体地,面扫描主要用来识别TCP服务的端口是否开放,面扫描过程中需要使用无状态扫描,这里面无状态扫描是指TCP不完整的两次握手。客户端发送SYN,服务回复SYN+ACK,根据服务端是否回复SYN+ACK来判断该端口是否开启服务。发包采用了PF_RING技术,PF_RING是一种新型的网络socket,它可以极大的改进包捕获的速度。对于IP地址进行随机化处理,避免依次发包(类似DDOS)触发目标防火墙的规则,可以提高扫描结果的数量和准确度。
点扫描主要用来做协议交互,并保存完整的协议交互过程。由于每一个端口都可能存在各种类型的服务,因此在针对端口做协议交互时需要引入端口开放服务概率表。比如端口21,该端口存在FTP的概率最大,因此需要先进行这个协议的扫描,如果失败在尝试概率第二大的协议,直到探测结束。点扫描的结果为该端口的协议交互的全部过程,这个过程是正常协议的交互,也因此是无损交互。点扫描主要是采用协程技术,大大提高CPU的并发能力,提高扫描速率。
S102、对点扫描过程中扫描到的各协议的服务或设备的基本信息进行标注,所述基本信息包括厂商、组件类型、组件版本、操作系统类型、操作系统版本、设备类型、产品类型和产品版本。
具体地,注释系统对协议下存在的服务或者设备的厂商、组件类型、组件版本、操作系统类型、操作系统版本、设备类型、产品类型、产品版本进行标注。注释系统通过调用设备厂商库、组件标识库、操作系统类型库、设备类型库、产品类型库来实现标注功能。
S103、根据设备的序列号或工业网页系统首页的消息摘要算法第五版MD5值,以及IP地址及端口信息对目标资产进行跟踪,得到跟踪结果。
根据设备的序列号或者工业WEB系统的首页MD5值,结合IP地址及端口信息来实现资产的跟踪,确保某些重要的资产即使变化地址后同样能够跟踪到。
S104、将所述基本信息和所述目标资产的信息进行汇总和存储。
通过将当前扫描到的资产数据全部汇总,方便后续查看。
面对海量IP地址,现有技术依次发包,可能被防火墙屏蔽,造成扫描精度差,多线程技术严重消耗系统资源,现有扫描技术对工业资产稳定性可能产生影响,本实施例采用随机IP发包算法,可以有效绕过防火墙屏蔽,采用协程技术发包可以有效降低系统资源消耗,采用无损安全评估方法,在不影响工业系统的稳定运行情况下完成安全评估,可以大大提高扫描结果数量,降低消耗资源,缩短扫描时间,通过随机化IP发包,扫描结果比依次发包数量增加20%左右,采用协程技术,大大降低主机的内存消耗,无损扫描的效率非常高。
本实施例通过面扫描和点扫描对各协议的服务或设备的基本信息进行标注,对目标资产进行跟踪,并对扫描和跟踪的结果进行汇总,方便对互联网工业资产的统一管理,实现在互联网高效无损地发现工业资产并识别资产的详细信息。
进一步地,在上述方法实施例的基础上,所述方法还包括:
S105、根据IP地理位置信息库和实现服务的IP地址对互联网工业资产的街道级别的地理位置进行精确定位;
具体地,地理位置匹配引擎通过调用IP地理位置信息库结合实现服务的IP地址来实现地理位置的街道级别的精确定位。
S106、根据所述基本信息的标注结果,对服务和设备的漏洞描述信息进行匹配。
具体地,通过采用无损漏洞评估算法,主要是根据注释系统的结果,通过CNNVD,CNVD,CVE,ICS-CERT库的设备及服务的漏洞描述信息来实现设备的漏洞匹配,避免直接交互发送poc代码方式给系统造成的风险,确保系统稳定平稳运行。
本实施例提供一种互联网工业资产扫描的方法,如图2所示,在扫描过程中涉及使用到的技术包括:面扫描、点扫描、注释系统、地理位置确认、漏洞匹配、资产跟踪以及启发式扫描。该方法能够实现在互联网高效无损的发现工业资产、识别资产的详细信息、识别资产的地理位置及识别资产的漏洞。
进一步地,在上述方法实施例的基础上,所述面扫描和点扫描的过程中,采用启发式扫描方式;
所述启发式扫描方式包括:
确定所有端口中的热点端口、次热点端口和剩余端口,所述剩余端口为所有端口中除所述热点端口和次热点端口之外的端口;
待所有的热点端口完成面扫描和点扫描后,对所有的次热点端口进行面扫描和点扫描;
待所有的次热点端口完成面扫描和点扫描后,对所有的剩余端口进行面扫描和点扫描。
具体地,由于某一个IP地址理论上可能存在65535个服务,因此如果只是扫描一些常见的端口,无法实现隐藏服务的发现,而工业资产很多情况下就是在隐藏的服务下开启的,而如果每一次扫描都是使用全端口来扫描,将导致扫描的周期过长,因此需要一种针对这个区域的启发式扫描来实现隐藏服务的发现。
IP&端口&协议启发式扫描功能函数如下,以某一种协议在某一个端口下为例,首先对该协议及该端口进行三次全IP地址的扫描,根据这三次结果可以将某一个端口定义为如下四种状态:
状态一:该端口扫描的服务IP地址不在改变;
状态二:该端口不存在服务;
状态三:该端口的服务存在部分IP地址不改变,部分改变,且发现服务与IP数比值低于等于阀值(说明该端口上存在该服务数量较少);
状态四:该端口的服务存在部分IP地址不改变,部分改变(3次),且发现服务与IP数比值高于阀值(说明该端口上存在该服务数量较多)。
在多次周期性扫描过程中,某一个协议在某一个端口上的状态是可以变化的。
对于处于不同状态下IP&端口&服务在下一轮扫描中将采取不同的抽取IP时的四种状态如下:
状态一:后续只对存在服务IP地址做扫描验证;
状态二:后续每扫描N周期重新扫描一次该端口,如果还是无服务状态后续每次周期增加N+M次;
状态三:建立IP服务积分制,在第一阶段进行三次全IP的扫描,如果某IP出现了两次该服务确定该服务的积分为10,出现过一次的积分为7,后续扫描选择全部积分大于等于7的IP,抽取40%的大于等于4积分的IP,抽取20%的大于等于2积分的IP,抽取10%的0积分的IP,每次验证如果该IP服务不存在则积分减少1,如果该服务存在服务则增加积分1,但不能超过10,不能小于0;
状态四:建立IP服务积分制,第一阶段进行三次全IP的扫描,如果某IP出现了两次该服务确定该服务的积分为10,出现过一次的积分为70,积分不得超过10后续扫描选择全部积分大于等于3的IP,抽取70%的大于等于1积分的IP,抽取50%积分为0的IP,每次验证如果该IP服务不存在则积分减少1,如果该服务存在服务则增加积分1,但不能超过10,不能小于0。
具体地,启发式扫描方式的整体流程如图3所示,首先对全局服务热点端口进行配置,然后将热点端口添加到启发式扫描功能函数,接着将次热点端口添加到启发式扫描功能函数,最好分批次将剩余端口添加到启发式扫描功能函数。
对于全局服务热点端口,以FTP为例,FTP具备的热点端口包括:21、22、23、2222、5000,次热点端口包括:25、26、31、81和990,其他的剩余端口为热点端口和次热点端口以外的全部0~65536中的端口。
进一步地,在上述方法实施例的基础上,S101中所述对所述互联网工业资产进行点扫描,具体包括:
根据端口开放服务概率表对各端口进行协议交互,协议交互过程中对所述互联网工业资产进行点扫描。
具体地,点扫描主要用来做协议交互,并保存完整的协议交互过程。由于每一个端口都可能存在各种类型的服务,因此在针对端口做协议交互时需要引入端口开放服务概率表。比如端口21,该端口存在FTP的概率最大,因此需要先进行这个协议的扫描,如果失败在尝试概率第二大的协议,直到探测结束。
图4示出了本实施例提供的一种互联网工业资产扫描处理装置的结构示意图,所述装置包括:面扫描模块401、点扫描模块402、资产跟踪模块403和信息汇总模块404,其中:
所述面扫描模块401用于对互联网工业资产进行面扫描,若通过面扫描判断获知传输控制协议TCP服务的端口已开放,则对所述互联网工业资产进行点扫描;
所述点扫描模块402用于对点扫描过程中扫描到的各协议的服务或设备的基本信息进行标注,所述基本信息包括厂商、组件类型、组件版本、操作系统类型、操作系统版本、设备类型、产品类型和产品版本;
所述资产跟踪模块403用于根据设备的序列号或工业网页系统首页的消息摘要算法第五版MD5值,以及IP地址及端口信息对目标资产进行跟踪,得到跟踪结果;
所述信息汇总模块404用于将所述基本信息和所述目标资产的信息进行汇总和存储。
具体地,所述面扫描模块401对互联网工业资产进行面扫描,若通过面扫描判断获知传输控制协议TCP服务的端口已开放,则对所述互联网工业资产进行点扫描;所述点扫描模块402对点扫描过程中扫描到的各协议的服务或设备的基本信息进行标注,所述基本信息包括厂商、组件类型、组件版本、操作系统类型、操作系统版本、设备类型、产品类型和产品版本;所述资产跟踪模块403根据设备的序列号或工业网页系统首页的消息摘要算法第五版MD5值,以及IP地址及端口信息对目标资产进行跟踪,得到跟踪结果;所述信息汇总模块404将所述基本信息和所述目标资产的信息进行汇总和存储。
本实施例通过面扫描和点扫描对各协议的服务或设备的基本信息进行标注,对目标资产进行跟踪,并对扫描和跟踪的结果进行汇总,方便对互联网工业资产的统一管理,实现在互联网高效无损地发现工业资产并识别资产的详细信息。
进一步地,在上述装置实施例的基础上,所述面扫描和点扫描的过程中,采用启发式扫描方式;
所述启发式扫描方式包括:
确定所有端口中的热点端口、次热点端口和剩余端口,所述剩余端口为所有端口中除所述热点端口和次热点端口之外的端口;
待所有的热点端口完成面扫描和点扫描后,对所有的次热点端口进行面扫描和点扫描;
待所有的次热点端口完成面扫描和点扫描后,对所有的剩余端口进行面扫描和点扫描。
进一步地,在上述装置实施例的基础上,所述装置还包括:
资产定位模块,用于根据IP地理位置信息库和实现服务的IP地址对互联网工业资产的街道级别的地理位置进行精确定位;
信息匹配模块,用于根据所述基本信息的标注结果,对服务和设备的漏洞描述信息进行匹配。
进一步地,在上述装置实施例的基础上,所述面扫描模块401具体用于:
根据端口开放服务概率表对各端口进行协议交互,协议交互过程中对所述互联网工业资产进行点扫描。
进一步地,在上述装置实施例的基础上,所述面扫描使用无状态扫描,所述无状态扫描过程中TCP采用不完整的两次握手。
本实施例所述的互联网工业资产扫描处理装置可以用于执行上述方法实施例,其原理和技术效果类似,此处不再赘述。
参照图5,所述电子设备,包括:处理器(processor)501、存储器(memory)502和总线503;
其中,
所述处理器501和存储器502通过所述总线503完成相互间的通信;
所述处理器501用于调用所述存储器502中的程序指令,以执行上述各方法实施例所提供的方法。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种互联网工业资产扫描处理方法,其特征在于,包括:
对互联网工业资产进行面扫描,若通过面扫描判断获知传输控制协议TCP服务的端口已开放,则对所述互联网工业资产进行点扫描;
对点扫描过程中扫描到的各协议的服务或设备的基本信息进行标注,所述基本信息包括厂商、组件类型、组件版本、操作系统类型、操作系统版本、设备类型、产品类型和产品版本;
根据设备的序列号或工业网页系统首页的消息摘要算法第五版MD5值,以及IP地址及端口信息对目标资产进行跟踪,得到跟踪结果;
将所述基本信息和所述目标资产的信息进行汇总和存储;
其中,所述面扫描和点扫描的过程中,采用启发式扫描方式;
所述启发式扫描方式包括:
确定所有端口中的热点端口、次热点端口和剩余端口,所述剩余端口为所有端口中除所述热点端口和次热点端口之外的端口;
待所有的热点端口完成面扫描和点扫描后,对所有的次热点端口进行面扫描和点扫描;
待所有的次热点端口完成面扫描和点扫描后,对所有的剩余端口进行面扫描和点扫描。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据IP地理位置信息库和实现服务的IP地址对互联网工业资产的街道级别的地理位置进行精确定位;
根据所述基本信息的标注结果,对服务和设备的漏洞描述信息进行匹配。
3.根据权利要求1所述的方法,其特征在于,所述对所述互联网工业资产进行点扫描,具体包括:
根据端口开放服务概率表对各端口进行协议交互,协议交互过程中对所述互联网工业资产进行点扫描。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述面扫描使用无状态扫描,所述无状态扫描过程中TCP采用不完整的两次握手。
5.一种互联网工业资产扫描处理装置,其特征在于,包括:
面扫描模块,用于对互联网工业资产进行面扫描,若通过面扫描判断获知传输控制协议TCP服务的端口已开放,则对所述互联网工业资产进行点扫描;
点扫描模块,用于对点扫描过程中扫描到的各协议的服务或设备的基本信息进行标注,所述基本信息包括厂商、组件类型、组件版本、操作系统类型、操作系统版本、设备类型、产品类型和产品版本;
资产跟踪模块,用于根据设备的序列号或工业网页系统首页的消息摘要算法第五版MD5值,以及IP地址及端口信息对目标资产进行跟踪,得到跟踪结果;
信息汇总模块,用于将所述基本信息和所述目标资产的信息进行汇总和存储;
其中,所述面扫描和点扫描的过程中,采用启发式扫描方式;
所述启发式扫描方式包括:
确定所有端口中的热点端口、次热点端口和剩余端口,所述剩余端口为所有端口中除所述热点端口和次热点端口之外的端口;
待所有的热点端口完成面扫描和点扫描后,对所有的次热点端口进行面扫描和点扫描;
待所有的次热点端口完成面扫描和点扫描后,对所有的剩余端口进行面扫描和点扫描。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
资产定位模块,用于根据IP地理位置信息库和实现服务的IP地址对互联网工业资产的街道级别的地理位置进行精确定位;
信息匹配模块,用于根据所述基本信息的标注结果,对服务和设备的漏洞描述信息进行匹配。
7.根据权利要求5所述的装置,其特征在于,所述面扫描模块具体用于:
根据端口开放服务概率表对各端口进行协议交互,协议交互过程中对所述互联网工业资产进行点扫描。
8.根据权利要求5-7任一项所述的装置,其特征在于,所述面扫描使用无状态扫描,所述无状态扫描过程中TCP采用不完整的两次握手。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至4任一所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行如权利要求1至4任一所述的方法。
CN201810879059.0A 2018-08-03 2018-08-03 一种互联网工业资产扫描处理方法及装置 Active CN109347892B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810879059.0A CN109347892B (zh) 2018-08-03 2018-08-03 一种互联网工业资产扫描处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810879059.0A CN109347892B (zh) 2018-08-03 2018-08-03 一种互联网工业资产扫描处理方法及装置

Publications (2)

Publication Number Publication Date
CN109347892A CN109347892A (zh) 2019-02-15
CN109347892B true CN109347892B (zh) 2021-09-03

Family

ID=65296792

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810879059.0A Active CN109347892B (zh) 2018-08-03 2018-08-03 一种互联网工业资产扫描处理方法及装置

Country Status (1)

Country Link
CN (1) CN109347892B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109743333A (zh) * 2019-02-27 2019-05-10 南京众智维信息科技有限公司 一种全方位分析企业网络安全漏洞的系统
CN110336684B (zh) * 2019-03-21 2022-03-18 北京天防安全科技有限公司 一种网络资产智能识别方法及系统
CN112636985B (zh) * 2020-12-30 2023-04-18 国网青海省电力公司信息通信公司 基于自动化发现算法的网络资产探测装置
CN113938404B (zh) * 2021-10-12 2023-04-07 北京恒安嘉新安全技术有限公司 一种资产探测方法、装置、设备、系统及存储介质
CN114500346B (zh) * 2022-04-08 2022-08-02 北京华顺信安科技有限公司 一种网络空间测绘方法及装置
CN115208963A (zh) * 2022-07-02 2022-10-18 北京华顺信安科技有限公司 一种多维度的ip资产标定方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101610174A (zh) * 2009-07-24 2009-12-23 深圳市永达电子股份有限公司 一种日志关联分析系统与方法
CN102592192A (zh) * 2011-12-27 2012-07-18 浙江省电力公司 信息运行维护管理系统
CN106254384A (zh) * 2016-09-14 2016-12-21 杭州华三通信技术有限公司 一种服务访问方法及装置
CN106453376A (zh) * 2016-10-27 2017-02-22 成都知道创宇信息技术有限公司 一种基于tcp包特征的无状态扫描过滤方法
CN107579876A (zh) * 2017-09-15 2018-01-12 中国移动通信集团广东有限公司 一种资产增量自动探测分析方法及装置
CN108282489A (zh) * 2018-02-07 2018-07-13 网宿科技股份有限公司 一种漏洞扫描方法、服务端及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4018361B2 (ja) * 2001-09-25 2007-12-05 富士フイルム株式会社 ネットワーク環境通知方法、ネットワーク環境通知システム、及びプログラム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101610174A (zh) * 2009-07-24 2009-12-23 深圳市永达电子股份有限公司 一种日志关联分析系统与方法
CN102592192A (zh) * 2011-12-27 2012-07-18 浙江省电力公司 信息运行维护管理系统
CN106254384A (zh) * 2016-09-14 2016-12-21 杭州华三通信技术有限公司 一种服务访问方法及装置
CN106453376A (zh) * 2016-10-27 2017-02-22 成都知道创宇信息技术有限公司 一种基于tcp包特征的无状态扫描过滤方法
CN107579876A (zh) * 2017-09-15 2018-01-12 中国移动通信集团广东有限公司 一种资产增量自动探测分析方法及装置
CN108282489A (zh) * 2018-02-07 2018-07-13 网宿科技股份有限公司 一种漏洞扫描方法、服务端及系统

Also Published As

Publication number Publication date
CN109347892A (zh) 2019-02-15

Similar Documents

Publication Publication Date Title
CN109347892B (zh) 一种互联网工业资产扫描处理方法及装置
CN109829310B (zh) 相似攻击的防御方法及装置、系统、存储介质、电子装置
EP3424178B1 (en) Deterministic reproduction of client/server computer state or output sent to one or more client computers
US7685637B2 (en) System security approaches using sub-expression automata
US20200045073A1 (en) Test system and method for identifying security vulnerabilities of a device under test
US10313370B2 (en) Generating malware signatures based on developer fingerprints in debug information
EP3232359B1 (en) Identification device, identification method, and identification program
CN104580133A (zh) 恶意程序防护方法与系统及其过滤表格更新方法
US20230336524A1 (en) In-line detection of algorithmically generated domains
CN110740144B (zh) 确定攻击目标的方法、装置、设备及存储介质
US7216364B2 (en) System security approaches using state tables
US10701087B2 (en) Analysis apparatus, analysis method, and analysis program
CN111478888B (zh) 一种旁路阻断方法、设备及存储介质
KR100439170B1 (ko) 인터넷에서 에지 라우터의 로그정보를 이용한 공격자 역추적 방법
CN102724068B (zh) 一种在IPv6混合网络中进行审计日志资产识别的方法
CN113098727A (zh) 一种数据包检测处理方法与设备
US20190281079A1 (en) Timely detection of network traffic to registered dga generated domains
CN113179251B (zh) 一种前端文件处理方法、装置、设备及机器可读存储介质
CN114003904B (zh) 情报共享方法、装置、计算机设备及存储介质
CN110381016A (zh) Cc攻击的防护方法及装置、存储介质、计算机设备
CN114826727A (zh) 流量数据采集方法、装置、计算机设备、存储介质
CN114448829A (zh) 一种工控网络资产探测装置及其探测方法
Sivabalan et al. Detecting IoT zombie attacks on web servers
CN113938404A (zh) 一种资产探测方法、装置、设备、系统及存储介质
RU101224U1 (ru) Система выявления и минимизации риска ложных срабатываний

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088

Applicant after: Qianxin Technology Group Co.,Ltd.

Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing.

Applicant before: Beijing Qi'anxin Technology Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant