CN113240258B - 一种工业资产探测方法、设备及装置 - Google Patents
一种工业资产探测方法、设备及装置 Download PDFInfo
- Publication number
- CN113240258B CN113240258B CN202110486152.7A CN202110486152A CN113240258B CN 113240258 B CN113240258 B CN 113240258B CN 202110486152 A CN202110486152 A CN 202110486152A CN 113240258 B CN113240258 B CN 113240258B
- Authority
- CN
- China
- Prior art keywords
- asset
- detection
- determining
- protocol
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 139
- 230000000694 effects Effects 0.000 claims abstract description 72
- 238000000034 method Methods 0.000 claims abstract description 57
- 230000004044 response Effects 0.000 claims abstract description 26
- 239000000523 sample Substances 0.000 claims description 27
- 230000006854 communication Effects 0.000 claims description 22
- 238000004891 communication Methods 0.000 claims description 20
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000013507 mapping Methods 0.000 claims description 11
- 238000004422 calculation algorithm Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 description 8
- 230000009286 beneficial effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000003139 buffering effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Operations Research (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Marketing (AREA)
- Educational Administration (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种工业资产探测方法、设备及装置,方法包括:获取资产扫描任务,并根据所述资产扫描任务,确定活动目标设备;根据所述资产扫描任务中规定的探测协议,确定所述活动目标设备中所述探测协议所绑定的目标端口;调用所述探测协议所对应的脚本,并通过所述目标端口对所述活动目标设备进行探测;对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息。本申请通过建立资产扫描任务,然后根据资产扫描任务,确定活动目标设备,实现了能够只对处于活动状态的目标设备进行探测资产信息,提高了扫描的效率,并且通过根据资产扫描任务中规定的探测协议,只对所述探测协议所绑定的目标端口进行探测,进一步提高了扫描效率。
Description
技术领域
本申请涉及工业资产技术领域,尤其涉及一种工业资产探测方法、设备及装置。
背景技术
随着时间推移、人员不断变更,人工或电子记录的原始资产信息可能存在丢失、不一致,错误等情况,这给工业作业的管理和运营带来很大安全隐患,有些需要清理或重用的资产也难以发现,造成很大的资源浪费。
工控系统资产构成复杂、数量巨大,给资产管理带来了巨大挑战。当前的工业资产登记存在被动记录,记录不全或不一致,粒度不细,造成工业资产的管理效率低。由于工控系统更多的需要关注可用性、完整性以及保密性,因此不能直接使用互联网资产扫描的方式,否则会对工控设备产生危害和不良影响。
发明内容
本申请实施例提供一种工业资产探测方法、设备及装置,用于解决工业资产的管理效率低的问题。
本申请实施例采用下述技术方案:
一方面,本申请实施例提供了一种工业资产探测方法方法,该方法包括:获取资产扫描任务,并根据所述资产扫描任务,确定活动目标设备;根据所述资产扫描任务中规定的探测协议,确定所述活动目标设备中所述探测协议所绑定的目标端口;调用所述探测协议所对应的脚本,并通过所述目标端口对所述活动目标设备进行探测;对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息。
一个示例中,若所述探测协议的类型为传输控制协议,所述根据所述资产扫描任务中规定的探测协议,确定所述活动目标设备中所述探测协议所绑定的目标端口,具体包括:根据端口协议映射数据库,对所述探测协议所绑定目标端口进行检测,确定所述目标端口为开放状态。
一个示例中,所述根据所述资产扫描任务,确定活动目标设备,具体包括:对所述资产扫描任务中的探测IP地址列表进行解析,确定若干IP地址;基于无状态连接的通信方式,通过传输控制协议的半连接扫描以及异步状态统计模式,对所述若干IP地址对应的目标设备分别进行探活,确定所述活动目标设备。
一个示例中,所述调用所述探测协议所对应的脚本,并通过所述目标端口对所述活动目标设备进行探测,具体包括:调用所述探测协议所对应的脚本;根据所述活动目标设备对应的工控协议的结构特征以及通信方式,通过所述目标端口对所述活动目标设备进行探测。
一个示例中,所述对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息之后,所述方法还包括:根据资产漏洞信息库,对所述资产信息进行关联匹配,确定所述活动目标设备的漏洞。
一个示例中,所述根据漏洞信息库,对所述资产信息进行关联匹配,确定所述活动目标设备的漏洞,具体包括:从所述资产漏洞信息库中,获取待匹配的漏洞;从所述待匹配漏洞的受影响资源清单中,获取待匹配的受影响资源;根据预设匹配算法,对所述资产信息与所述受影响资源进行关联匹配;若匹配成功,将所述待匹配漏洞确定为所述活动目标设备对应的漏洞。
一个示例中,所述对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息,具体包括:根据所述探测协议对应的结构元数据,对所述探测返回的响应数据进行解析,确定所述活动目标设备的特征信息;根据资产指纹信息库,对所述特征信息进行比对,确定所述活动目标设备的资产信息。
一个示例中,所述获取资产扫描任务,并根据所述资产扫描任务,确定活动目标设备,具体包括:确定所述资产扫描任务所在的扫描任务队列,在所述扫描任务队列中按照次序获取资产扫描任务;根据所述资产扫描任务,确定活动目标设备,并根据所述活动目标设备,生成活动目标资产队列;所述确定所述活动目标设备的资产信息之后,所述方法还包括:根据所述活动目标设备的资产信息,生成扫描解析结果队列。
另一方面,本申请实施例提供了一种工业资产探测设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:获取资产扫描任务,并根据所述资产扫描任务,确定活动目标设备;根据所述资产扫描任务中规定的探测协议,确定所述活动目标设备中所述探测协议所绑定的目标端口;调用所述探测协议所对应的脚本,并通过所述目标端口对所述活动目标设备进行探测;对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息。
另一方面,本申请实施例提供了一种工业资产探测装置,包括资产探活任务执行模块,用于获取资产扫描任务;并根据所述资产扫描任务,确定活动目标设备;端口检测模块,用于根据所述资产扫描任务中规定的探测协议,确定所述活动目标设备中所述探测协议所绑定的目标端口;协议探测模块,用于调用所述探测协议所对应的脚本,并通过所述目标端口对所述活动目标设备进行探测;协议解析模块,用于对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
本申请实施例通过建立资产扫描任务,然后根据资产扫描任务,确定活动目标设备,实现了能够只对处于活动状态的目标设备进行探测资产信息,提高了扫描的效率,并且通过根据资产扫描任务中规定的探测协议,只对所述探测协议所绑定的目标端口进行探测,进一步提高了扫描的效率。
附图说明
为了更清楚地说明本申请的技术方案,下面将结合附图来对本申请的部分实施例进行详细说明,附图中:
图1为本申请实施例提供的一种工业资产探测方法的流程示意图;
图2为本申请实施例提供的另一种工业资产探测方法的流程示意图;
图3为本申请实施例提供的一种工业资产探测装置的框架示意图;
图4为本申请实施例提供的一种工业资产探测设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面参照附图来对本申请的一些实施例进行详细说明。
在本申请的一些实施例中,本申请实施例涉及中间数据队列,中间数据队列是指通过队列机制,缓存数据,并加速数据读取和访问,分别包括扫描任务队列、活动目标资产队列及扫描解析结果队列。
具体地,扫描任务队列是指缓存资产扫描任务数据,包括待扫描的地址范围、待探测的协议服务清单。
活动目标资产队列是指缓存由处于活动状态的活动目标设备,以及活动目标设备对应的IP地址数据。
扫描解析结果队列是指缓存对设备的协议解析和指纹比对的结果数据,主要包含设备的资产信息,比如,资产类型、生产厂商、设备型号、固件版本等等。
需要说明的是,服务器可动态的根据队列任务排队情况对执行引擎的资源使用及线程运行做出高效管理和调度。
在本申请的一些实施例中,本申请实施例涉及元数据库,分别包括端口协议映射数据库、探测协议脚本库以及资产指纹信息库。
具体地,端口协议映射数据库包括包含通用通信协议和主要工业通信协议的定义及对应端口映射数据。
探测协议脚本库包括对基于通用通信协议以及主要工业通信协议,各种服务进行探测和分析的脚本代码库。比如,探测某个中间件、数据库、应用服务的脚本代码。
资产指纹信息库包括各类工业设备、工业控制系统、网络设备、安全设备的资产指纹特征数据。其中,指纹数据是对在与资产设备进行基于TCP/IP协议通信过程中,在获取到的回复信息数据中提取数据特征,并进行序列化和变换后的唯一标识。此外,特征数据中既包括类别数据,如生产厂家、系统类别、系统版本、设备类型,也包括具体的CPE信息。
资产漏洞信息库包括资产设备的漏洞数据,涉及的资产类型包括操作系统、网络设备、安全设备、工业控制系统设备等。漏洞库中包含漏洞相关信息:漏洞编号、漏洞名称、漏洞类型、影响资源列表、危害等级、修复方式、补救措施、解决方案、参考地址等。
在本申请的一些实施例中,本申请实施例涉及探测结果数据库,分别包括资产扫描结果数据库、漏洞匹配结果数据库。
具体地,资产扫描结果数据库是指存储资产探测的结果数据,包含资产主要特性信息,包含资产类型、生产厂商、设备型号、固件版本等内容。
漏洞匹配结果数据库是指存储资产匹配到的漏洞信息数据的关联关系,包含资产的唯一ID标识、漏洞库的唯一标识。
需要说明的是,本申请实施例对涉及的中间数据队列、元数据库以及探测结果数据库,下面不再进行解释说明,请参照上述的描述内容。
图1为本申请实施例提供的一种工业资产探测方法的流程示意图,具体包括以下步骤:
S101:获取资产扫描任务,并根据资产扫描任务,确定活动目标设备。
在本申请的一些实施例中,本申请实施例涉及的方法分析功能的实现可以为终端设备的处理器,也可以为服务器,本申请对此不作特殊限制。为了方便理解和描述,以下实施例均以服务器为例进行详细描述。
需要说明的是,该服务器可以是单独的一台设备,可以是有多台设备组成的系统,即,分布式服务器,本申请实施例对此不做具体限定。
进一步地,本申请实施例中的设备,可以是任何一种工业资产,比如,主机。此外,活动目标设备是指在线的目标设备。
在本申请的一些实施例中,资产扫描任务包括待扫描的地址范围、待探测的协议服务清单。
其中,探测的协议服务包含多种IT协议及工控协议,分为TCP和UDP两类,待扫描的地址范围包括IP以及可跨网段。
需要说明的是,每个资产扫描任务中对应一个IP地址列表,该IP地址列表包括待扫描的地址范围。其中,IP地址列表可以包括单个IP、也可以包括一组指定IP。
S102:根据资产扫描任务中规定的探测协议,确定活动目标设备中探测协议所绑定的目标端口。
S103:调用探测协议所对应的脚本,并通过目标端口对活动目标设备进行探测。
在本申请的一些实施例中,服务器从探测协议脚本库中,调用探测协议所对应的脚本。
S104:对探测返回的响应数据进行解析,确定活动目标设备的资产信息。
在本申请的一些实施例中,服务器将资产信息存储到资产扫描结果数据库中,并生成扫描解析结果队列。
其中,资产信息包括资产类型、生产厂商、设备型号、固件版本等等。
需要说明的是,虽然本申请实施例是参照图1来对步骤S101至步骤S104依次进行介绍说明的,但这并不代表步骤S101至步骤S104必须按照严格的先后顺序执行。本申请实施例之所以按照图1中所示的顺序对步骤S101至步骤104依次进行介绍说明,是为了方便本领域技术人员理解本申请实施例的技术方案。换句话说,在本申请实施例中,步骤S101至步骤S104之间的先后顺序可以根据实际需要进行适当调整。
通过图1中的方法,本申请实施例通过建立资产扫描任务,然后根据资产扫描任务,确定活动目标设备,实现了能够只对处于活动状态的目标设备进行探测资产信息,提高了扫描的效率,并且通过根据资产扫描任务中规定的探测协议,只对所述探测协议所绑定的目标端口进行探测,进一步提高了扫描的效率。
基于图1的方法,本申请实施例还提供了该方法的一些具体实施方案和扩展方案,下面继续进行说明。
如图2所示,图2为本申请实施例提供的另一种工业资产探测方法的流程示意图,具体包括以下步骤:
S201:下发资产扫描任务到资产扫描任务队列。
在本申请的一些实施例中,服务器接收用户配置的资产扫描任务,然后下发资产扫描任务到资产扫描任务队列。
S202:从资产扫描任务队列中获取一个资产扫描任务。
在本申请的一个实施例中,服务器确定资产扫描任务所在的扫描任务队列,在扫描任务队列中按照次序获取资产扫描任务。
也就是说,服务器对一个资产扫描任务执行完成之后,会在扫描任务队列中按照次序获取资产扫描任务,得到下一个资产扫描任务。
S203:根据资产扫描任务,确定活动目标设备,并根据活动目标设备,生成活动目标资产队列。
在本申请的一个实施例中,服务器对资产扫描任务中的探测IP地址列表进行解析,确定若干IP地址;基于无状态连接的通信方式,通过传输控制协议的半连接扫描以及异步状态统计模式,对若干IP地址对应的目标设备分别进行探活,确定活动目标设备。
也就是说,服务器根据每个资产扫描任务对应的探测地址范围的描述,将IP地址列表解析成一个个独立的IP地址,然后循环对每个IP地址,采用无状态的快速扫描技术,使用TCP的半连接扫描及异步状态统计模式,探测IP地址对应的设备是否存活,确定活动目标设备,然后将探测结果输出至活动目标资产队列中。
本领域人员可以理解的是,本申请实施例通过无状态的扫描方式,对IP地址段中的主机进行快速探活,极大提高探活效率,缩短整体扫描时间。同时也可灵活调整和控制探活速率,增强对扫描探测环境的适用性。
S204:从活动目标资产队列中,获取一个活动目标设备。
S205:从待探测的协议服务清单中,获取一个探测协议。
S206:确定探测协议所绑定的目标端口。
在本申请的一个实施例中,服务器根据端口协议映射数据库,获得探测协议关联的目标端口。
本领域人员可以理解的是,本申请实施例通过不采用对全端口的开放状态进行扫描的探测方式,而采用只针对探测协议绑定的端口直接进行探测。既提高整体扫描效率,也可以避免对目标主机或系统造成损害。
S207:判断探测协议的类型。
在本申请的一个实施例中,如果探测协议的类型为传输控制协议,执行步骤S208,如果探测协议的类型为用户数据报协议,则执行步骤S209。
S208:判断探测协议所绑定的目标端口是否开放。
在本申请的一个实施例中,如果服务器根据端口协议映射数据库,对探测协议所绑定目标端口进行检测,确定目标端口为开放状态,则执行步骤S208。如果目标端口不开放,则执行步骤S205。
本领域人员可以理解的是,本申请实施例通过采用根据端口与协议的映射绑定关系,预先判断目标端口开放状态的方式,若端口开放则继续调用脚本,否则不调用脚本,避免了调用脚本的开销,提高整体扫描效率。
S209:调用探测协议所对应的脚本,并通过目标端口对活动目标设备进行探测。
在本申请的一个实施例中,服务器调用探测协议所对应的脚本,根据活动目标设备对应的工控协议的结构特征以及通信方式,通过目标端口对活动目标设备进行探测。
也就是说,服务器在调用探测脚本过程中,基于对工控协议的结构特征、通信过程及方式,使用工业通信协议对应的正常控制或查询指令,获取目标资产的关键特征信息。
本领域人员可以理解的是,本申请实施例通过采用在调用脚本过程中,基于对工控协议的结构特征、通信过程及方式,使用工业通信协议对应的正常控制或查询指令,获取目标资产的特征信息的无损探测方式,不会对目标工控系统或工业主机产生损害和改变,适合于工业控制系统现场环境对系统可用性的高要求。
S210:对探测返回的响应数据进行解析,确定活动目标设备的特征信息。
在本申请的一个实施例中,服务器根据探测协议对应的结构元数据,对探测返回的响应数据进行解析,确定活动目标设备的特征信息。
S211:根据资产指纹信息库,对特征信息进行比对,确定活动目标设备的资产信息。
S212:将资产信息存储至资产扫描结果数据库。
在本申请的一个实施例中,服务器在将资产信息存储至资产扫描结果数据库时,同时也会将资产信息输出至扫描解析结果队列。
S213:在待探测的协议服务清单中,判断是否还有其他探测协议。
在本申请的一个实施例中,若还有其他探测协议,则执行步骤S205,若没有其他探测协议,则执行步骤S214。
其中,服务器在待探测的协议服务清单中按照次序获取探测协议。
也就是说,服务器在对一个活动目标设备进行探测资产信息的过程中,会在本次资产扫描任务中的待探测的协议服务清单,获取下一个探测协议。
S214:在活动目标资产队列中,判断是否还有其他活动目标设备。
在本申请的一个实施例中,若还有其他活动目标设备,则执行步骤S204,若没有,则执行步骤S215。
其中,服务器在活动目标资产队列中按照次序获取活动目标设备。
也就是说,服务器完成对一个活动目标设备探测的资产信息之后,会在本次资产扫描任务中的活动目标资产队列,获取下一个活动目标设备。
S215:从扫描解析结果队列中,获取一个活动目标设备对应的资产信息。
S216:从资产漏洞信息库中,获取一个待匹配漏洞。
S217:获取待匹配漏洞对应的一个受影响资源。
S218:判断资产信息与受影响资源是否关联匹配。
在本申请的一个实施例中,服务器根据预设匹配算法,对资产信息与受影响资源进行关联匹配,若匹配,则执行步骤S219,若不匹配,则执行步骤S217。
其中,服务器在待匹配漏洞的受影响资源清单中,按照次序获取受影响资源。
也就是说,待匹配漏洞对应多个受影响资源,并按照次序与资产信息进行匹配,直至匹配成功。
S219:将活动目标设备的漏洞信息存储至漏洞匹配结果数据库。
S220:在资产漏洞信息库中,判断是否还有其他待匹配漏洞。
在本申请的一个实施例中,若还有其他待匹配漏洞,则执行步骤S216,若没有其他待匹配漏洞,则执行步骤S221。
其中,服务器在资产漏洞信息库中,按照次序获取待匹配漏洞,并将该活动目标设备的资产信息与所有的待匹配漏洞进行匹配。
也就是说,资产漏洞信息库包括多个待匹配漏洞。
S221:在扫描解析结果队列中,判断是否还有其他漏洞匹配的活动目标设备。
在本申请的一个实施例中,若还有其他漏洞匹配的活动目标设备,则执行S215,若没有其他漏洞匹配的活动目标设备,则结束。
需要说明的是,虽然本申请实施例是参照图2来对步骤S201至步骤S221依次进行介绍说明的,但这并不代表步骤S201至步骤S221必须按照严格的先后顺序执行。本申请实施例之所以按照图2中所示的顺序对步骤S201至步骤S221依次进行介绍说明,是为了方便本领域技术人员理解本申请实施例的技术方案。换句话说,在本申请实施例中,步骤S201至步骤S221之间的先后顺序可以根据实际需要进行适当调整。
基于同样的思路,本申请的一些实施例还提供了上述方法对应的设备和装置。
如图3所示,图3为本申请实施例提供的一种工业资产探测装置。
工业资产探测装置包括资产扫描配置模块310、资产探活任务执行模块320、扫描解析模块330、漏洞关联匹配任务执行模块340、任务统一调度管理模块350。其中,扫描解析模块330包括端口检测模块331、协议探测模块332、协议解析模块333、指纹比对模块334。
在本申请的一些实施例中,资产扫描配置模块310用于配置资产扫描任务,
资产探活任务执行模块320用于获取资产扫描任务,并根据资产扫描任务,确定活动目标设备,端口检测模块331用于根据资产扫描任务中规定的探测协议,确定活动目标设备中探测协议所绑定的目标端口,协议探测模块332用于调用所述探测协议所对应的脚本,并通过目标端口对活动目标设备进行探测;协议解析模块333用于对探测返回的响应数据进行解析,确定活动目标设备的资产信息。
任务统一调度管理模块350用于对资产探活任务执行模块320、扫描解析任务执行模块330、漏洞关联匹配任务执行模块340的任务调度、资源协调与管理,以及负责执行模块的启动、停止、任务分配,可动态的根据队列任务排队情况对执行引擎的资源使用及线程运行做出高效管理和调度。
基于图3的装置,本申请实施例还提供了该装置的一些具体实施方案和扩展方案,下面继续进行说明。
资产扫描配置模块310,用于下发资产扫描任务到资产扫描任务队列。
资产探活任务执行模块320,用于从资产扫描任务队列中获取一个资产扫描任务,根据资产扫描任务,确定活动目标设备,并根据活动目标设备,生成活动目标资产队列。
具体地,资产探活任务执行模块320对资产扫描任务中的探测IP地址列表进行解析,确定若干IP地址;基于无状态连接的通信方式,通过传输控制协议的半连接扫描以及异步状态统计模式,对若干IP地址对应的目标设备分别进行探活,确定活动目标设备。
扫描解析任务执行模块330,循环执行以下处理步骤:
扫描解析任务执行模块330从活动目标资产队列中,获取一个活动目标设备,以及从待探测的协议服务清单中,获取一个探测协议,然后确定探测协议所绑定的目标端口,然后判断探测协议的类型。
需要说明的是,如果探测协议的类型为传输控制协议,则检测目标端口的开放状态,若是用户数据报协议,则不需要检测目标端口的开放状态。
其中,扫描解析任务执行模块330中的端口检测模块331根据端口协议映射数据库,判断传输控制协议类型的探测协议所绑定的目标端口是否开放。如果开放,则继续探测资产信息,若不开放,则不进行探测资产信息。
协议探测模块332调用探测协议所对应的脚本,并通过目标端口对活动目标设备进行探测。
具体地,协议探测模块332调用探测协议所对应的脚本,根据活动目标设备对应的工控协议的结构特征以及通信方式,通过目标端口对活动目标设备进行探测。
协议解析模块333,对探测返回的响应数据进行解析,确定活动目标设备的特征信息,根据资产指纹信息库,对特征信息进行比对,确定活动目标设备的资产信息。
具体地,协议解析模块333根据探测协议对应的结构元数据,对探测返回的响应数据进行解析,确定活动目标设备的特征信息。
扫描解析任务执行模块330将资产信息存储至资产扫描结果数据库,同时也会将资产信息输出至扫描解析结果队列。
扫描解析任务执行模块330,在待探测的协议服务清单中,判断是否还有其他探测协议。若还有其他探测协议,则在本次资产扫描任务中的待探测的协议服务清单,获取下一个探测协议,进行协议探测。若没有,在活动目标资产队列中,判断是否还有其他活动目标设备,若有,在本次资产扫描任务中的活动目标资产队列,获取下一个活动目标设备。
漏洞关联匹配任务执行模块340,从扫描解析结果队列中,获取一个活动目标设备对应的资产信息。然后从资产漏洞信息库中,获取一个待匹配漏洞。然后获取待匹配漏洞对应的一个受影响资源。然后根据预设匹配算法,判断资产信息与受影响资源是否关联匹配。然后将活动目标设备的漏洞信息存储至漏洞匹配结果数据库。
进一步地,在资产漏洞信息库中,判断是否还有其他待匹配漏洞。若还有其他待匹配漏洞,继续进行匹配。若没有,则在扫描解析结果队列中,判断是否还有其他漏洞匹配的活动目标设备。若没有其他漏洞匹配的活动目标设备,则结束。
图4为本申请实施例提供的一种工业资产探测设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
获取资产扫描任务,并根据资产扫描任务,确定活动目标设备;
根据资产扫描任务中规定的探测协议,确定活动目标设备中探测协议所绑定的目标端口;
调用探测协议所对应的脚本,并通过目标端口对所述活动目标设备进行探测;
对探测返回的响应数据进行解析,确定活动目标设备的资产信息。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备和装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请实施例提供的设备和装置与方法是一一对应的,因此,设备和装置也具有与其对应的方法类似的有益技术效果,由于上面已经对方法的有益技术效果进行了详细说明,因此,这里不再赘述设备和装置的有益技术效果。
其中,该设备在硬件层面上包括处理器,可选地还包括存储器和总线,此外该设备还允许包括其它业务所需要的硬件。
其中,存储器用于存放执行指令,该执行指令具体是能够被执行的计算机程序。进一步,存储器可以包括内存和非易失性存储器(non-volatile memory),并向处理器提供执行指令和数据。示例性地,内存可以是高速随机存取存储器(Random-Access Memory,RAM),非易失性存储器可以是至少1个磁盘存储器。
其中,总线用于将处理器、存储器和网络接口相互连接到一起。该总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线、EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为了便于表示,图4中仅用一个双向箭头表示,但这并不表示仅有一根总线或一种类型的总线。
在上述设备的一种可行的实施方式中,处理器可以先从非易失性存储器中读取对应的执行指令到内存中再运行,也可以先从其它设备上获取相应的执行指令再运行。处理器在执行存储器所存放的执行指令时,能够实现本申请实施例上述任一实施例中的方法。
本领域技术人员能够理解的是,上述的方法可以应用于处理器中,也可以借助处理器来实现。示例性地,处理器是一种集成电路芯片,具有处理信号的能力。在处理器执行上述方法的过程中,上述方法的各步骤可以通过处理器中硬件形式的集成逻辑电路或软件形式的指令完成。进一步,上述处理器可以是通用处理器,例如中央处理器(CentralProcessing Unit,CPU)、网络处理器(Network Processor,NP)、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件、微处理器以及其它任何常规的处理器。
本领域技术人员还能够理解的是,本申请实施例上述方法实施例的步骤可以被硬件译码处理器执行完成,也可以被译码处理器中的硬件和软件模块组合执行完成。其中,软件模块可以位于随机存储器、闪存、只读存储器、可编程只读存储器、电可擦写可编程存储器、寄存器等其它本领域成熟的存储介质中。该存储介质位于存储器中,处理器读取存储器中的信息之后结合其硬件完成上述方法实施例中步骤的执行。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请技术原理之内所作的任何修改、等同替换、改进等,均应落入本申请的保护范围之内。
Claims (4)
1.一种工业资产探测方法,其特征在于,所述方法包括:
获取资产扫描任务,并根据所述资产扫描任务,确定活动目标设备;
根据所述资产扫描任务中规定的探测协议,确定所述活动目标设备中所述探测协议所绑定的目标端口;
调用所述探测协议所对应的脚本,并通过所述目标端口对所述活动目标设备进行探测;
对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息;
所述根据所述资产扫描任务,确定活动目标设备,具体包括:
对所述资产扫描任务中的探测IP地址列表进行解析,确定若干IP地址;
基于无状态连接的通信方式,通过传输控制协议的半连接扫描以及异步状态统计模式,对所述若干IP地址对应的目标设备分别进行探活,确定所述活动目标设备;
若所述探测协议的类型为传输控制协议,所述根据所述资产扫描任务中规定的探测协议,确定所述活动目标设备中所述探测协议所绑定的目标端口,具体包括:
根据端口协议映射数据库,对所述探测协议所绑定目标端口进行检测,确定所述目标端口为开放状态;
所述调用所述探测协议所对应的脚本,并通过所述目标端口对所述活动目标设备进行探测,具体包括:
调用所述探测协议所对应的脚本;
根据所述活动目标设备对应的工控协议的结构特征以及通信方式,通过所述目标端口对所述活动目标设备进行探测;
所述对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息,具体包括:
根据所述探测协议对应的结构元数据,对所述探测返回的响应数据进行解析,确定所述活动目标设备的特征信息;
根据资产指纹信息库,对所述特征信息进行比对,确定所述活动目标设备的资产信息;
所述对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息之后,所述方法还包括:
根据资产漏洞信息库,对所述资产信息进行关联匹配,确定所述活动目标设备的漏洞;
所述根据漏洞信息库,对所述资产信息进行关联匹配,确定所述活动目标设备的漏洞,具体包括:
从所述资产漏洞信息库中,获取待匹配的漏洞;
从所述待匹配漏洞的受影响资源清单中,获取待匹配的受影响资源;
根据预设匹配算法,对所述资产信息与所述受影响资源进行关联匹配;
若匹配成功,将所述待匹配漏洞确定为所述活动目标设备对应的漏洞。
2.根据权利要求1所述的方法,其特征在于,所述获取资产扫描任务,并根据所述资产扫描任务,确定活动目标设备,具体包括:
确定所述资产扫描任务所在的扫描任务队列,在所述扫描任务队列中按照次序获取所述资产扫描任务;
根据所述资产扫描任务,确定活动目标设备,并根据所述活动目标设备,生成活动目标资产队列;
所述确定所述活动目标设备的资产信息之后,所述方法还包括:
根据所述活动目标设备的资产信息,生成扫描解析结果队列。
3.一种工业资产探测设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
获取资产扫描任务,并根据所述资产扫描任务,确定活动目标设备;
根据所述资产扫描任务中规定的探测协议,确定所述活动目标设备中所述探测协议所绑定的目标端口;
调用所述探测协议所对应的脚本,并通过所述目标端口对所述活动目标设备进行探测;
对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息;
所述根据所述资产扫描任务,确定活动目标设备,具体包括:
对所述资产扫描任务中的探测IP地址列表进行解析,确定若干IP地址;
基于无状态连接的通信方式,通过传输控制协议的半连接扫描以及异步状态统计模式,对所述若干IP地址对应的目标设备分别进行探活,确定所述活动目标设备;
若所述探测协议的类型为传输控制协议,所述根据所述资产扫描任务中规定的探测协议,确定所述活动目标设备中所述探测协议所绑定的目标端口,具体包括:
根据端口协议映射数据库,对所述探测协议所绑定目标端口进行检测,确定所述目标端口为开放状态;
所述调用所述探测协议所对应的脚本,并通过所述目标端口对所述活动目标设备进行探测,具体包括:
调用所述探测协议所对应的脚本;
根据所述活动目标设备对应的工控协议的结构特征以及通信方式,通过所述目标端口对所述活动目标设备进行探测;
所述对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息,具体包括:
根据所述探测协议对应的结构元数据,对所述探测返回的响应数据进行解析,确定所述活动目标设备的特征信息;
根据资产指纹信息库,对所述特征信息进行比对,确定所述活动目标设备的资产信息;
所述对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息之后,还包括:
根据资产漏洞信息库,对所述资产信息进行关联匹配,确定所述活动目标设备的漏洞;
所述根据漏洞信息库,对所述资产信息进行关联匹配,确定所述活动目标设备的漏洞,具体包括:
从所述资产漏洞信息库中,获取待匹配的漏洞;
从所述待匹配漏洞的受影响资源清单中,获取待匹配的受影响资源;
根据预设匹配算法,对所述资产信息与所述受影响资源进行关联匹配;
若匹配成功,将所述待匹配漏洞确定为所述活动目标设备对应的漏洞。
4.一种工业资产探测装置,其特征在于,包括:
资产探活任务执行模块,用于获取资产扫描任务;并根据所述资产扫描任务,确定活动目标设备;
端口检测模块,用于根据所述资产扫描任务中规定的探测协议,确定所述活动目标设备中所述探测协议所绑定的目标端口;
协议探测模块,用于调用所述探测协议所对应的脚本,并通过所述目标端口对所述活动目标设备进行探测;
协议解析模块,用于对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息;
所述根据所述资产扫描任务,确定活动目标设备,具体包括:
对所述资产扫描任务中的探测IP地址列表进行解析,确定若干IP地址;
基于无状态连接的通信方式,通过传输控制协议的半连接扫描以及异步状态统计模式,对所述若干IP地址对应的目标设备分别进行探活,确定所述活动目标设备;
若所述探测协议的类型为传输控制协议,所述根据所述资产扫描任务中规定的探测协议,确定所述活动目标设备中所述探测协议所绑定的目标端口,具体包括:
根据端口协议映射数据库,对所述探测协议所绑定目标端口进行检测,确定所述目标端口为开放状态;
所述调用所述探测协议所对应的脚本,并通过所述目标端口对所述活动目标设备进行探测,具体包括:
调用所述探测协议所对应的脚本;
根据所述活动目标设备对应的工控协议的结构特征以及通信方式,通过所述目标端口对所述活动目标设备进行探测;
所述对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息,具体包括:
根据所述探测协议对应的结构元数据,对所述探测返回的响应数据进行解析,确定所述活动目标设备的特征信息;
根据资产指纹信息库,对所述特征信息进行比对,确定所述活动目标设备的资产信息;
所述对所述探测返回的响应数据进行解析,确定所述活动目标设备的资产信息之后,还包括:
根据资产漏洞信息库,对所述资产信息进行关联匹配,确定所述活动目标设备的漏洞;
所述根据漏洞信息库,对所述资产信息进行关联匹配,确定所述活动目标设备的漏洞,具体包括:
从所述资产漏洞信息库中,获取待匹配的漏洞;
从所述待匹配漏洞的受影响资源清单中,获取待匹配的受影响资源;
根据预设匹配算法,对所述资产信息与所述受影响资源进行关联匹配;
若匹配成功,将所述待匹配漏洞确定为所述活动目标设备对应的漏洞。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110486152.7A CN113240258B (zh) | 2021-04-30 | 2021-04-30 | 一种工业资产探测方法、设备及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110486152.7A CN113240258B (zh) | 2021-04-30 | 2021-04-30 | 一种工业资产探测方法、设备及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113240258A CN113240258A (zh) | 2021-08-10 |
CN113240258B true CN113240258B (zh) | 2023-04-28 |
Family
ID=77131987
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110486152.7A Active CN113240258B (zh) | 2021-04-30 | 2021-04-30 | 一种工业资产探测方法、设备及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113240258B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301676B (zh) * | 2021-12-28 | 2023-07-18 | 国网宁夏电力有限公司 | 一种电力监控系统的无损化资产探测方法、装置和存储介质 |
CN114499974B (zh) * | 2021-12-28 | 2023-12-19 | 深圳供电局有限公司 | 设备探测方法、装置、计算机设备和存储介质 |
CN114422341B (zh) * | 2022-01-14 | 2022-12-30 | 杭州立思辰安科科技有限公司 | 一种基于指纹特征的工控资产识别方法及系统 |
CN114584477B (zh) * | 2022-02-10 | 2023-06-27 | 烽台科技(北京)有限公司 | 工控资产的探测方法、装置、终端及存储介质 |
CN114745300A (zh) * | 2022-03-29 | 2022-07-12 | 成都安恒信息技术有限公司 | 网络资产的探测方法、装置、电子装置和存储介质 |
CN114900341B (zh) * | 2022-04-24 | 2023-11-03 | 京东科技信息技术有限公司 | 混合云环境下的扫描探测方法、装置、系统、设备和介质 |
CN115208963A (zh) * | 2022-07-02 | 2022-10-18 | 北京华顺信安科技有限公司 | 一种多维度的ip资产标定方法 |
CN116070218B (zh) * | 2023-03-28 | 2023-06-30 | 北京六方云信息技术有限公司 | 工业资产的探测方法、终端设备及存储介质 |
CN117061244B (zh) * | 2023-10-10 | 2024-01-30 | 杭州海康威视数字技术股份有限公司 | 基于主动扫描的视频网资产管理方法、装置及设备 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110324310A (zh) * | 2019-05-21 | 2019-10-11 | 国家工业信息安全发展研究中心 | 网络资产指纹识别方法、系统及设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108390861A (zh) * | 2018-01-29 | 2018-08-10 | 中国电子科技网络信息安全有限公司 | 一种网络空间工控资产的威胁检测方法 |
CN112398782A (zh) * | 2019-08-15 | 2021-02-23 | 北京国双科技有限公司 | 网络资产的识别方法、装置、介质及设备 |
CN111709009A (zh) * | 2020-06-17 | 2020-09-25 | 杭州安恒信息技术股份有限公司 | 联网工业控制系统的探测方法、装置、计算机设备和介质 |
CN112468360A (zh) * | 2020-11-13 | 2021-03-09 | 北京安信天行科技有限公司 | 一种基于指纹的资产发现识别和检测方法及系统 |
CN112615831A (zh) * | 2020-12-11 | 2021-04-06 | 杭州安恒信息技术股份有限公司 | 一种基于工业互联网的漏洞扫描平台、方法、设备及介质 |
-
2021
- 2021-04-30 CN CN202110486152.7A patent/CN113240258B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110324310A (zh) * | 2019-05-21 | 2019-10-11 | 国家工业信息安全发展研究中心 | 网络资产指纹识别方法、系统及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN113240258A (zh) | 2021-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113240258B (zh) | 一种工业资产探测方法、设备及装置 | |
TWI603600B (zh) | 利用運行期代理器及網路探查器判定漏洞之技術 | |
US10257222B2 (en) | Cloud checking and killing method, device and system for combating anti-antivirus test | |
CN111143087B (zh) | 一种接口调用方法、装置、存储介质和服务器 | |
US11108803B2 (en) | Determining security vulnerabilities in application programming interfaces | |
CN109889511B (zh) | 进程dns活动监控方法、设备及介质 | |
CN112685745B (zh) | 一种固件检测方法、装置、设备及存储介质 | |
CN111338958A (zh) | 一种测试用例的参数生成方法、装置及终端设备 | |
CN110766409A (zh) | Ssl证书校验方法、装置、设备及计算机存储介质 | |
Song et al. | Rule-based verification of network protocol implementations using symbolic execution | |
CN111314326B (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
CN110691090B (zh) | 网站检测方法、装置、设备及存储介质 | |
CN110049106B (zh) | 业务请求处理系统及方法 | |
CN111064730A (zh) | 网络安全检测方法、装置、设备及存储介质 | |
Mostafa et al. | Netdroid: Summarizing network behavior of android apps for network code maintenance | |
CN111049795B (zh) | 分布式Web应用的敏感数据未加密漏洞的检测方法及装置 | |
Brzezinski | Intrusion detection as passive testing: linguistic support with TTCN-3 | |
CN114051061A (zh) | 互联网应用协议分析方法及系统 | |
CN113949568B (zh) | 中间件识别方法、装置、计算设备及存储介质 | |
CN106357664B (zh) | 漏洞检测方法及装置 | |
CN113098847B (zh) | 供应链管理方法、系统、存储介质和电子设备 | |
CN116881880B (zh) | 时空数据管理系统及时空数据服务化资源协同调度方法 | |
CN116702146B (zh) | 一种Web服务器的注入漏洞扫描方法和系统 | |
RU2758974C1 (ru) | Способ комбинированного контроля состояния процесса функционирования автоматизированных систем | |
CN112417328B (zh) | 一种网页监控方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A method, equipment, and device for detecting industrial assets Granted publication date: 20230428 Pledgee: Rizhao Bank Co.,Ltd. Jinan Branch Pledgor: Shandong Yuntian Safety Technology Co.,Ltd. Registration number: Y2024980008627 |