CN113704763B - 流水线式设备扫描探测方法 - Google Patents

Abstract

流水线式设备扫描探测方法，包括以下步骤，步骤一，划分设备扫描探测阶段，并将每个扫描探测阶段分别部署到多个服务器，每个扫描探测阶段对应的服务器完成各自扫描探测阶段的任务；步骤二，统计探测扫描阶段历史耗时，计算每个探测扫描阶段对应的进度权重；步骤三，计算扫描进度，显示扫描进度计算结果。本发明提供流水线式设备扫描探测方法提升了不同网段对设备探测的整体吞吐率，并且以平滑、收敛的方式更加精确的显示任务的扫描进度。

Description

流水线式设备扫描探测方法

技术领域

本发明涉互联网设备扫描技术领域，更具体的说，特别涉及一种流水线式设备扫描 探测方法。

背景技术

工控安全事关国家经济发展，民族科技进步。随着物联网时代的到来，工 业控制由传统的单机、局域网模式，慢慢向互联网模式转换，系统也由封闭走 向开放和智能。同时，对设备的操控、调试、升级等操作也由线下慢慢转变为 线上。这一切的转变，方便了对设备的监控和操作，但同时也增加了工控设备 受到网络攻击的风险。

工控安全如此重要，那是否有一种可度量的方式去检测网络空间中潜在的 漏洞，同时能比较准确的显示扫描的进度？我们知道针对工控安全的检测，往 往牵涉到多个阶段，通常的做法只能以日志显示扫描进度，无法将各个阶段串 联起来，作出整体进度评估。

并且，常规的工控扫描针对设备量未知的网络空间，很难评估探测空间中 的设备需要多长时间，这往往让管理员难以接受。

因此，现有技术存在的问题，有待于进一步改进和发展。

发明内容

(一)发明目的：为解决上述现有技术中存在的问题，本发明的目的是提供一种将互联网设备扫描任务分级，分布式的部署到多台机器上，利用流水线加快扫描进度，并且合理的显示扫描进度的设备扫描探测方法。

(二)技术方案：为了解决上述技术问题，本技术方案提供一种流水线式设备扫描探测方法，包括以下步骤，

步骤一，划分设备扫描探测阶段，并将每个扫描探测阶段分别部署到多个服务器，每个扫描 探测阶段对应的服务器完成各自扫描探测阶段的任务；

步骤二，统计探测扫描阶段历史耗时，计算每个探测扫描阶段对应的进度权重；

步骤三，计算扫描进度，显示扫描进度计算结果；

扫描进度计算公式为：

W_n表示进度权重，done_n表示已经处理的消息条目，accum_n表示累计消息条目，progress表 示任务的扫描进度。

所述流水线式设备扫描探测方法，其中，所述步骤一种依照设备扫描探测过程的不 同功能分为端口扫描(masscan)、服务探测(service)、指纹识别(finger)、漏洞匹配(exploit)、数据存库(database)五个探测扫描阶段。

所述流水线式设备扫描探测方法，其中，漏洞匹配的扫描探测阶段的服务器，对有登录功能的设备尝试弱密码登录。

所述流水线式设备扫描探测方法，其中，数据存库的扫描探测阶段对应的服务器，根 据接收的漏洞匹配结果及对应的漏洞修复方案进行信息补充，并将信息补充后的信息存储到 搜索服务器的数据库中。

所述流水线式设备扫描探测方法，其中，步骤二中，根据每个探测扫描阶段历史耗时化简后的对比值，给每个探测扫描阶段设置对应的进度权重；所有探测扫描阶段对应的进 度权重之和为1。

所述流水线式设备扫描探测方法，其中，所述步骤三中，计算扫描进度的计算模块设置扫描时长阈值和消息缺失值(delta)，当扫描时间超过设定扫描时长阈值时，当前阶段的迭代扫描还没有完成，则通过消息缺失值(delta)调整此阶段对应服务器的“消息处理数” (done)和“消息累计”(accum)，分别表示为delta_done和delta_accum，并且具体模块的 进度计算也换为

所述流水线式设备扫描探测方法，其中，此阶段对应的服务器扫描探测超时，计算模块计算消息缺失值(delta)，计算公式为，

delta_done＝delta_accum；

delta＝abs(accum-done)。

所述流水线式设备扫描探测方法，其中，此阶段为端口扫描阶段时，则计算模块根据当前消息缺失值，计算端口扫描阶段之后的扫描探测阶段对应的消息缺失值： delta(端口扫描阶段之后的扫描探测阶段对应的消息缺失值)＝delta(当前消息缺失值) /delta_done*service.accum service.accum表示服务探测阶段消息累计数。

所述流水线式设备扫描探测方法，其中，计算模块根据计算后的端口扫描阶段之后 的扫描探测阶段对应的消息缺失值，对端口扫描阶段之后的所有阶段进行消息缺失值补偿。

所述流水线式设备扫描探测方法，其中，端口扫描阶段的消息处理数等于消息累计， 并且服务探测阶段消息累计为零0，计算模块默认扫描进度为100％。

(三)有益效果：本发明提供流水线式设备扫描探测方法提升了不同网段对设备探测的整体吞吐率，并且以平滑、收敛的方式更加精确的显示任务的扫描进度。

附图说明

图1是步骤一设备扫描探测阶段扫描顺序示意图；

图2是步骤一设备扫描探测阶段各阶段服务器扫描顺序示意图；

图3是对消息缺失的进度计算的处理方法示意图。

具体实施方式

下面结合优选的实施例对本发明做进一步详细说明，在以下的描述中阐述了更多的 细节以便于充分理解本发明，但是，本发明显然能够以多种不同于此描述的其他方式来实施， 本领域技术人员可以在不违背本发明内涵的情况下根据实际应用情况作类似推广、演绎，因 此不应以此具体实施例的内容限制本发明的保护范围。

附图是本发明的实施例的示意图，需要注意的是，此附图仅作为示例，并非是按照等比例的条件绘制的，并且不应该以此作为对本发明的实际要求保护范围构成限制。

一种流水线式设备扫描探测方法，在基于工控安全扫描系统的基础上，实现了多级 互联进度模型，能以平滑、收敛的方式显示扫描进度，让工控安全检测者能及时地了解扫描 任务的详情。

本发明是针对大量不同网段的设备探测进度不明朗的问题，提出的解决方案，不仅 提升设备探测整体的吞吐率，也能更加精确的显示任务的扫描进度。

日志数据对应的工控设备，包括电子电气工程设备、医疗设备、自动化控制设备等其它涉及到自动化的全部设备。

所有工控领域数据接入同一个系统。工控是工业控制的简称，工控领域涵盖电力、石油、水利、能源等基础行业，表现形态为含有控制协议、通信标准、安全标准等的控制设备。

一种流水线式设备扫描探测方法，包括以下步骤，

步骤一，划分设备扫描探测阶段，并将每个扫描探测阶段分别部署到多个服务器，每个扫描 探测阶段对应的服务器完成各自扫描探测阶段的任务。即对工控设备的分析进行阶段划分， 为了加快多个设备的分析，针对每一阶段都会启动若干个进程，这样可以让任务并行进行， 属于同一阶段的进程只完成属于该阶段职责，并且可以配置成启动多条流水线。

所述步骤一种依照设备扫描探测过程的不同功能分为端口扫描(masscan)、服务探测 (service)、指纹识别(finger)、漏洞匹配(exploit)、数据存库(database)五个探测扫描阶 段，每个扫描探测阶段分别部署到多个服务器，每个扫描探测阶段对应的服务器完成各自扫 描探测阶段的任务，如图1、图2所示。

每个探测扫描阶段通过消息进行通信，上一个探测扫描阶段处理消息，并产生新的 消息，发送给下一个探测扫描阶段处理(即除了数据存库阶段，其它阶段既是消费者，也是 生产者)。

端口扫描的扫描探测阶段对应的服务器利用扫描工具，探测工控设备开放的端口， 判断端口对应的服务和协议，获取设备应用程序指纹(应用程序的特征代码)、系统版本、 厂商信息，并将获取的信息发送至服务探测的扫描探测阶段对应的服务器；所述扫描工具为 开源的扫描工具，可以是nmap、masscan；

同一网段的设备探测，扫描工具会携带设备的mac信息。一个IP代表一个工控设备，而该 工控设备可能启动着多个服务，所以可扫描出多个端口(一对多)；

服务探测的扫描探测阶段对应的服务器，根据接收的应用程序指纹(应用程序的特征代码)、 系统版本、厂商信息，遍历端口到服务的映射，判断具体端口对应的服务，并将具体端口对 应的服务发送至指纹识别的扫描探测阶段对应的服务器；

判断具体端口对应的服务实现方式为，通过运行对应的服务脚本，识别出具体的服务；

如果所有脚本运行完毕，仍然没有识别出具体服务，则会尝试以http和https协议去运行 web解析。

指纹识别的扫描探测阶段对应的服务器，根据接收的具体端口对应的服务，迭代服 务到指纹的映射，识别指纹信息并解析设厂商、类型、固件版本信息；

识别指纹信息并解析设厂商、类型、固件版本信息实现方式为，根据具体协议包的定义构造 具体的请求包，并依照协的议交互规则，模拟和设备通信的过程，同时收集设备的回复包， 最后利用具体特征识别指纹信息，解析工控设备属性信息；工控设备属性信息包括厂商、类 型、固件版本等信息。

漏洞匹配的扫描探测阶段对应的服务器，根据接收的工控设备属性信息匹配对应的 漏洞，并根据披露的信息提供漏洞修复方案，并将漏洞匹配结果及对应的漏洞修复方案发送 至数据存库的扫描探测阶段对应的服务器；

匹配工控设备对应漏洞的实现方式为，漏洞匹配的扫描探测阶段对应的服务器通过公开的漏 洞库匹配工控设备对应的漏洞；

对有登录功能的设备，漏洞匹配的扫描探测阶段对应的服务器会尝试弱密码登录，匹配工控 设备对应的漏洞，避免具有弱密码的设备被病毒登录之后，进行远程操作，窃取该设备的数 据，或者使用该设备攻击同网段的设备。

公开的漏洞库包括CVE、CNVD、CNNVD等。

数据存库的扫描探测阶段对应的服务器，根据接收的漏洞匹配结果及对应的漏洞修 复方案进行信息补充，并将信息补充后的信息存储到搜索服务器的数据库中，方便用户进行 检索；

数据存库的扫描探测阶段对应的服务器，将信息补充后的信息，扫描为文档数据后，存储到 搜索服务器的数据库中；搜索服务器的数据库可以是elasticsearch数据库；方便用户进行文 档级别的检索。

信息补充包括地理位置等信息。

为了加快海量设备每个扫描探测阶段的扫描探测，端口扫描、服务探测、指纹识别、 漏洞匹配、数据存库五个探测扫描阶段分布式的部署到多个服务器上。但各个扫描探测阶段 到底分配多少服务器，需要参考经典经验值，在综合评定扫描机器的物理性能、网络带宽之 后作出决定，需要说明的是，各个扫描探测阶段要保证各个扫描探测阶段对应的服务器之间 能达到消息生产和消息消费的平衡，避免在某个扫描探测阶段的服务器上有长时间的消息堆 积。

步骤二，统计探测扫描阶段历史耗时，计算每个探测扫描阶段对应的进度权重；

统计探测扫描阶段历史耗时，根据每个探测扫描阶段历史耗时化简后的对比值，给每个探测 扫描阶段设置对应的进度权重；需要说明的是，所有探测扫描阶段对应的进度权重之和为1。

步骤三，计算扫描进度，显示扫描进度计算结果。

扫描进度计算公式为：

W_n表示进度权重，done_n表示已经处理的消息条目，accum_n表示累计消息条目，progress表 示任务的扫描进度。

常见的权重配置为：0.1*masscan_rate+0.5*service_rate+0.1*finger_rate+0.2*exploit_rate+0.1*database_rate

本申请中每个阶段之间的通信是基于消息队列，存在消息丢失的可能，所以必须妥善处理消 息丢失带来的影响。

对于消息丢失对进度计算带来的失真影响：计算扫描进度的计算模块设置扫描时长 阈值和消息缺失值(delta)，当扫描时间超过设定扫描时长阈值时，当前阶段的迭代扫描还 没有完成，则通过消息缺失值(delta)调整此阶段对应服务器的“消息处理数”(done)和 “消息累计”(accum)，分别表示为delta_done和delta_accum，并且具体模块的进度计算也 换为

使扫描探测进度更加准确和平缓。

为了防止因消息队列宕机，扫描任务出现卡死的问题，计算模块会对每个扫描探测 阶段对应的服务器最近时间戳进行监测(扫描探测阶段对应的服务器的消息处理数或消息累 计变化，则更新其时间戳)，若此阶段对应的服务器时间戳长时间未进行更新(此阶段对应 的服务器的消息处理数或消息累计无变化)，则判断此阶段对应的服务器迭代扫描超时，则 此阶段对应的服务器扫描任务结束，让任务的整体进度趋于收敛。例如，某个模块的时间戳 长时间(依据进度对比不同的超时时间，经典的“进度超时对”为：[(0.95,1800),(0.1, 7200),(0,14400),(1,-1)])没有变化，则将该模块置为结束，让任务的整体进度趋于收敛。

若此阶段对应的服务器迭代扫描超时，计算模块计算消息缺失值(delta)，计算公式 为，

delta_done＝delta_accum；

delta＝abs(accum-done)；

由于端口对应服务可能是一对多，因此需要判断该阶段是否为端口扫描阶段。若该阶段不是 端口扫描阶段，则计算模块对该阶段之后的所有阶段进行消息缺失值补偿；若该阶段是端口 扫描阶段，则计算模块根据当前消息缺失值，计算端口扫描阶段之后的扫描探测阶段对应的 消息缺失值(由于一条端口扫描masscan会产生多条服务探测service，所以丢失一条端口扫 描masscan消息，对于后续阶段的补偿要根据已有服务探测service消息数量计算对应消息 补偿值delta)：

delta(端口扫描阶段之后的扫描探测阶段对应的消息缺失值)＝delta(当前消息缺失值) /delta_done*service.accum

service.accum表示服务探测阶段消息累计数。

此时计算模块根据计算后的，端口扫描阶段之后的扫描探测阶段对应的消息缺失值， 对端口扫描阶段之后的所有阶段进行消息缺失值补偿。

当一个网段里面没有网络设备的时候，端口扫描阶段(masscan)的消息处理数(done)等于消息累计(accum)，此时端口扫描阶段(masscan)做了分析，没有发现服务 设备，服务探测阶段servic没有消息进入，则服务探测阶段accum＝0，此时设置扫描进度为100％。即端口扫描阶段的done＝accumn，且服务探测阶段的accum＝＝0的时候，设置扫描进 度为100％。

所述流水线式设备扫描探测方法主要针对多个不同网段内的设备进行扫描，扫描进 度结果能平滑的显示出扫描进度的变化和任务处理的明细。对于几乎不含设备的网络空间， 由于进度的更新往往存在一定的时间间隔，任务进度有出现跳变的可能。

如图3所示，端口扫描模块、服务探测模块、指纹识别模块、漏洞匹配模块、数据 存库模块针对消息缺失的处理流程如下：

当端口扫描(masscan)、服务探测(service)、指纹识别(finger)、漏洞匹配(exploit)、数 据存库(database)五个探测扫描阶段的服务器分别进行扫描探测。

当计算模块获取的端口扫描(masscan)、服务探测(service)、指纹识别(finger)、漏洞匹配(exploit)、数据存库(database)五个探测扫描阶段的服务器的对应的消息处理数 (done)均等于消息累计(accum)，扫描任务完成，任务结束。此时，计算模块在扫描计算时依照扫描进度计算公式

对扫描进度进行计算。

当计算模块获取的端口扫描(masscan)、服务探测(service)、指纹识别(finger)、漏洞匹配(exploit)、数据存库(database)五个探测扫描阶段某个扫描探测阶段对应服务器 的消息处理数(done)小于消息累计(accum)，计算模块将该阶段对应的服务器最后更新的 信息时间戳与当前时间相比，当时差超过设定的扫描时长阈值时，计算模块指定当前消息处 理数(done)和消息累计(accum)相等，即delta_done＝delta_accum，计算delta的值：delta＝abs(accum-done)。

计算模块确认该阶段是否为端口扫描(masscan)扫描探测阶段，若该阶段不是端口 扫描(masscan)的扫描探测阶段，则计算模块迭代补偿该阶段之后的所有阶段。

由于一条端口扫描masscan会产生多条服务探测service，所以丢失一条端口扫描masscan消息，对于后续阶段的补偿要根据已有服务探测service消息数量计算对应消息补偿 值delta，因此，若该阶段是端口扫描(masscan)的扫描探测阶段，则计算模块根据已有服 务探测service消息数量计算对应消息补偿值delta，计算公式为：

delta(端口扫描阶段之后的扫描探测阶段对应的消息缺失值)＝delta(当前消息缺失值) /delta_done*service.accum

service.accum表示服务探测阶段消息累计数，

然后计算模块根据delta(端口扫描阶段之后的扫描探测阶段对应的消息缺失值)迭代补偿 该阶段之后的所有阶段。

对于每个扫描探测阶段对应的服务器，用accum表示累计进来的消息，用done表示累计已处理的消息。

计算模块检测accum和done的变化，未出现消息缺失的情况下,done最终等于accum。

当出现消息缺失，经过时间阈值的时间内监控，done<accum，此时调整此阶段的done，让done等于accum(同时记delta＝accum-done)；同时，调整此后所有阶段的done、accum(即给它们都加上delta，默认丢失地delta个消息已经处理完毕)。

当消息缺失的阶段为端口扫描阶段的时候，由于一条端口扫描masscan会产生多条服 务探测service，所以丢失一条端口扫描masscan消息，对于后续阶段的补偿要根据已有服务 探测service消息数量计算对应消息补偿值delta，delta(端口扫描阶段之后的扫描探测阶段 对应的消息缺失值)＝delta(当前消息缺失值)/delta_done*service.accum；

在根据计算后的端口扫描阶段之后的扫描探测阶段对应的消息缺失值，对端口扫描阶段之后 的所有阶段进行消息缺失值补偿。

本发明数据扫描数据的获取方式可以是单机、局域网、互联网，这里不做具体限制。

流水线式设备扫描探测方法还包括：

步骤四，安全模块对存在网络攻击隐患的设备进行防御；所述安全模块获取存在网络攻击隐 患的设备信息，所述安全模块从公开的漏洞库筛选与存在网络攻击隐患的设备相关的网络攻 击数据；

所述网络攻击数据包括在所述网络攻击事件中发生的至少一种网络攻击行为所对应的攻击行 为数据；

所述安全模块获取威胁建模模型，并根据所述威胁建模模型，将所述网络攻击数据中的攻击 行为数据映射成对应的攻击行为特征；并将所述网络攻击数据中的基础设施数据，转换成对 应的基础设施特征；所述安全模块根据所述攻击行为特征和所述基础设施特征，确定与所述 网络攻击事件对应的网络攻击特征，所述安全模块根据网络攻击特征对设备存在的网络攻击 隐患进行提示，使管理员及时发现设备的网络攻击漏洞，以便于管理员针对设备存在的网络 攻击隐患对设备进行升级/改造。

所述安全模块包括溯源功能，当管理员不能及时对存在的网络攻击隐患的设备进行 升级改造时，所述溯源功能开启。存在的网络攻击隐患的设备在受到网络攻击时，所述溯源 功能对受到的网络攻击信息进行追踪溯源。

所述溯源功能通过对应网络攻击信息进行复制，并将复制的网络攻击信息沿网络攻 击信息来源途径进行反向发送，同步将来源途径反向信息附着记录在复制的网络攻击信息上； 当复制的网络攻击信息到达攻击起点时，复制的带有的网络攻击信息来源途径的网络攻击信 息进行复制，得到网络攻击溯源信息，所述网络溯源信息根据记录的来源途径反向信息，返 回至存在的网络攻击隐患对设备，所述安全模块读取所述网络溯源信息，并将所述网络溯源 信息进行显示。管理员可以将所述网络溯源信息提供给相关处理部门，相关处理部门可以根 据所述网络溯源信息，对进行网络攻击的操作设备进行获取，由此找到网络攻击的操作人， 避免更多的设备遭受网络攻击。

流水线式设备扫描探测方法，在基于工控安全扫描系统的基础上，自主研发了一套 抽象的多级互联进度模型，能以平滑、收敛的方式显示扫描进度，让工控安全检测者能及时 地了解扫描任务的详情。

以上内容是对本发明创造的优选的实施例的说明，可以帮助本领域技术人员更充分 地理解本发明创造的技术方案。但是，这些实施例仅仅是举例说明，不能认定本发明创造的 具体实施方式仅限于这些实施例的说明。对本发明创造所属技术领域的普通技术人员来说， 在不脱离本发明创造构思的前提下，还可以做出若干简单推演和变换，都应当视为属于本发 明创造的保护范围。

Claims (5)

1.流水线式设备扫描探测方法，其特征在于，包括以下步骤，

步骤一，划分设备扫描探测阶段，并将每个扫描探测阶段分别部署到多个服务器，每个扫描探测阶段对应的服务器完成各自扫描探测阶段的任务；

所述步骤一中依照设备扫描探测过程的不同功能分为端口扫描（masscan）、服务探测（service）、指纹识别（finger）、漏洞匹配（exploit）、数据存库（database）五个探测扫描阶段；

端口扫描的扫描探测阶段对应的服务器利用扫描工具，探测工控设备开放的端口，并将获取的信息发送至服务探测的扫描探测阶段对应的服务器；同一网段的设备探测可扫描出多个端口；

步骤二，统计探测扫描阶段历史耗时，计算每个探测扫描阶段对应的进度权重；

步骤三，计算扫描进度，显示扫描进度计算结果；

扫描进度计算公式为：

W _n 表示进度权重，done _n 表示已经处理的消息条目，accum _n 表示累计消息条目，progress表示任务的扫描进度；

对于步骤三中，包含对于消息丢失对进度计算带来的失真影响：计算扫描进度的计算模块设置扫描时长阈值和消息缺失值（delta），当扫描时间超过设定扫描时长阈值时，当前阶段的迭代扫描还没有完成，则通过消息缺失值（delta）调整此阶段对应服务器的“消息处理数”（done）和“消息累计”（accum），分别表示为delta_done和delta_accum，并且具体模块的进度计算也换为

；

计算模块会对每个扫描探测阶段对应的服务器最近时间戳进行监测，若此阶段对应的服务器时间戳长时间未进行更新，则判断此阶段对应的服务器迭代扫描超时，则此阶段对应的服务器扫描任务结束：delta_done=delta_accum；

若此阶段对应的服务器扫描探测超时，计算模块计算消息缺失值（delta），计算公式为，

delta=abs（accum-done）；

判断该阶段是否为端口扫描阶段，若该阶段不是端口扫描阶段，则计算模块对该阶段之后的所有阶段进行消息缺失值补偿；若该阶段为端口扫描阶段时，则计算模块根据当前消息缺失值，计算端口扫描阶段之后的扫描探测阶段对应的消息缺失值：

端口扫描阶段之后的扫描探测阶段对应的消息缺失值=当前消息缺失值/delta_done* service.accum

service.accum表示服务探测阶段消息累计数；

计算模块根据计算后的端口扫描阶段之后的扫描探测阶段对应的消息缺失值，对端口扫描阶段之后的所有阶段进行消息缺失值补偿。

2.根据权利要求1所述流水线式设备扫描探测方法，其特征在于，漏洞匹配的扫描探测阶段的服务器，对有登录功能的设备尝试弱密码登录。

3.根据权利要求1所述流水线式设备扫描探测方法，其特征在于，数据存库的扫描探测阶段对应的服务器，根据接收的漏洞匹配结果及对应的漏洞修复方案进行信息补充，并将信息补充后的信息存储到搜索服务器的数据库中。

4.根据权利要求1所述流水线式设备扫描探测方法，其特征在于，步骤二中，根据每个探测扫描阶段历史耗时化简后的对比值，给每个探测扫描阶段设置对应的进度权重；所有探测扫描阶段对应的进度权重之和为1。

5.根据权利要求1所述流水线式设备扫描探测方法，其特征在于，端口扫描阶段的消息处理数等于消息累计，并且服务探测阶段消息累计为零，计算模块默认扫描进度为100%。

Images