CN115549945A - 基于分布式架构的信息系统安全状态扫描系统及方法 - Google Patents

基于分布式架构的信息系统安全状态扫描系统及方法 Download PDF

Info

Publication number
CN115549945A
CN115549945A CN202210905146.5A CN202210905146A CN115549945A CN 115549945 A CN115549945 A CN 115549945A CN 202210905146 A CN202210905146 A CN 202210905146A CN 115549945 A CN115549945 A CN 115549945A
Authority
CN
China
Prior art keywords
information
scanning
server
service
decision
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210905146.5A
Other languages
English (en)
Other versions
CN115549945B (zh
Inventor
张东文
单震
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chaozhou Zhuoshu Big Data Industry Development Co Ltd
Original Assignee
Chaozhou Zhuoshu Big Data Industry Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chaozhou Zhuoshu Big Data Industry Development Co Ltd filed Critical Chaozhou Zhuoshu Big Data Industry Development Co Ltd
Priority to CN202210905146.5A priority Critical patent/CN115549945B/zh
Publication of CN115549945A publication Critical patent/CN115549945A/zh
Application granted granted Critical
Publication of CN115549945B publication Critical patent/CN115549945B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于分布式架构的信息系统安全状态扫描系统及方法,属于信息系统监控技术领域,要解决的技术问题为如何对信息系统进行全方位健康监控。包括如下步骤:对局域网内服务器进行扫描,提供扫描服务并获取扫描信息,所述扫描信息包括资产信息、端口信息、服务信息、主机状态信息以及漏洞信息;对于指定的服务器,进行实时监控并获取所述服务器的主机运行状态信息;以资产为分类,汇总每个服务器对应的扫描信息以及主机运行状态信息作为资产总信息,并将资产总信息存储于数据库对应的数据表中;基于资产总信息、通过分析模型对资产进行判断决策,基于决策生成预警信息并将决策和预警信息存储至数据库;将告警信息推送至运维人员。

Description

基于分布式架构的信息系统安全状态扫描系统及方法
技术领域
本发明涉及信息系统监控技术领域,具体地说是基于分布式架构的信息系统安全状态扫描系统及方法。
背景技术
在经济全球化的今天,信息技术已经成为促进经济发展、社会进步的巨大推动力,当今社会高度的计算机化信息资源对任何人在任何时候、任何地方都变得极有价值。不管实在存储在工作站中、服务器里还是流通于互联网上的信息都已转变为一个关系事业成败关键的策略点,这就是的保证信息安全变得格外重要,随着互联网的发展,网络入侵及安全威胁也日益严重。
现有的安全扫描监测技术是指手工地或使用特定的自动软件工具--安全扫描器,对系统风险进行评估,寻找可能对系统造成损害的安全漏洞。扫描主要涉及系统和网络两个方面,系统扫描侧重单个用户系统的平台安全性以及基于此平台的应用系统的安全,而网络扫描侧重于系统提供的网络应用和服务及相关的协议分析。
如何对信息系统进行全方位健康监控,有效监控业务系统及主机运行状态,降低人工参与度、增强扫描效率,提升内网整体安全性,是需要解决的技术问题。
发明内容
本发明的技术任务是针对以上不足,提供基于分布式架构的信息系统安全状态扫描系统及方法,来解决如何对信息系统进行全方位健康监控,有效监控业务系统及主机运行状态,降低人工参与度、增强扫描效率,提升内网整体安全性的技术问题。
第一方面,本发明的一种基于分布式架构的信息系统安全状态扫描系统,分布式部署于信息系统集群内,用于对信息系统和服务器会进行监控,所述系统包括:
扫描器,所述扫描器用于对局域网内服务器进行扫描,提供扫描服务并获取扫描信息,所述扫描服务包括资产发现、端口扫描、服务发现、主机状态扫描以及漏洞扫描服务,所述扫描信息包括资产信息、端口信息、服务信息、主机状态信息以及漏洞信息;
监控终端,所述监控终端配置于指定的服务器,对于所述指定的服务器,用于进行实时监控并获取所述服务器的主机运行状态信息;
数据库,所述数据库与所述扫描器和监控终端交互,用于获取扫描器推送的扫描信息,并获取监控终端推送的主机运行状态信息,并用于以资产为分类,汇总每个服务器对应的扫描信息以及主机运行状态信息作为资产总信息,并将资产总信息存储于数据库对应的数据表中;
分析模块,所述分析模块中配置有分析模型,用于基于资产总信息、通过分析模型对资产进行判断决策,判断资产是否处于正常水平以及是否被恶意攻击、并生成决策,用于基于决策生成预警信息并将决策和预警信息存储至数据库;
告警平台,所述告警平台用于从数据库中读取告警信息并将告警信息推送至运维人员。
更优的,所述系统还包括:
设备监控模块,所述设备监控模块用于通过snmp协议与局域网内的安全服务设备交互,获取安全服务设备的设备状态信息,并将设备状态发送至数据库;
所述分析模块用于基于设备状态信息、通过分析模型对安全服务设备进行判断决策,判断安全服务设备是否处于正常状态、从而发现已知或未知的网络攻击,并生成决策,用于基于决策生成预警信息并将决策和预警信息存储至数据库。
作为优选,所述扫描器用于通过如下操作实现资产发现和主机状态检测:调整发包频率、周期以及长度,并设置所要扫描资产所在的网段,采用三层网络、通过发送icmp包的方式发现所设置网段的所有资产以及对资产进行全面扫描;
所述分析模型用于基于资产信息以及主机状态信息,对服务器运行状态进行判断决策,确定服务器是否正常运行;
所述扫描器用于对远程服务器以及本地服务器的各种TCP端口的分配及提供的服务和软件及服务版本进行扫描,以实现端口扫描、服务发现和漏洞扫描;
所述分析模型用于基于端口信息、服务信息、以及漏洞信息对资产进行判断决策,判断端口是否为高危端口,并判断是否存在危险版本的服务程序。
作为优选,所述主机运行状态信息包括网络连接信息、流量信息、用户登录信息及业务日志信息。
所述分析模型用于基于所述主机运行状态信息、通过分析模型对指定的服务器进行判断决策,以发现高度可确信的已知及未知网络攻击及网络行为异常,定位失陷服务器、跳板服务器以及风险服务器,并生成决策。
作为优选,所述分析模块用于基于设备状况信息、通过分析模型对安全服务设备进行判断决策,判断安全服务设备的CPU、内存、及流量是否处于正常状态,从而发现已知或未知的网路攻击行为,并生成决策。
作为优选,所述分析模块中配置有知识库,知识库中配置有资产总信息和设备状态信息以及资产总信息和设备状态信息对应的阈值;
所述学习模型为决策树模型,所述学习模型用于基于知识库对多维度的资产总信息进行判断决策,判断资产是否处于正常水平、以及是否被恶意攻击;并用于基于知识库对设备状态信息进行判断决策,判断安全服务设备是否处于正常工作状态,从而发现已知或未知的网路攻击行为。
第二方面,本发明的一种基于分布式架构的信息系统安全状态扫描方法,通过如第一方面任一项所述的基于分布式架构的信息系统安全状态扫描系统对信息系统和服务器会进行监控,所述方法包括如下步骤:
对局域网内服务器进行扫描,提供扫描服务并获取扫描信息,所述扫描服务包括资产发现、端口扫描、服务发现、主机状态扫描以及漏洞扫描服务,所述扫描信息包括资产信息、端口信息、服务信息、主机状态信息以及漏洞信息;
对于指定的服务器,进行实时监控并获取所述服务器的主机运行状态信息;
以资产为分类,汇总每个服务器对应的扫描信息以及主机运行状态信息作为资产总信息,并将资产总信息存储于数据库对应的数据表中;
基于资产总信息、通过分析模型对资产进行判断决策,判断资产是否处于正常水平以及是否被恶意攻击、并生成决策,基于决策生成预警信息并将决策和预警信息存储至数据库;
从数据库中读取告警信息并将告警信息推送至运维人员。
更优的,所述方法还包括如下步骤:
通过snmp协议与局域网内的安全服务设备交互,获取安全服务设备的设备状态信息,并将设备状态发送至数据库;
基于设备状态信息、通过分析模型对安全服务设备进行判断决策,判断安全服务设备是否处于正常状态以及是否被网络攻击、并生成决策,基于决策生成预警信息并将决策和预警信息存储至数据库。
作为优选,对局域网内服务器进行扫描,提供扫描服务并获取扫描信息,包括如下步骤:
调整发包频率、周期以及长度,并设置所要扫描资产所在的网段,采用三层网络、通过发送icmp包的方式发现所设置网段的所有资产以及对资产进行全面扫描;
对远程服务器以及本地服务器的各种TCP端口的分配及提供的服务和软件及服务版本进行扫描,以实现端口扫描、服务发现和漏洞扫描;
基于资产总信息、通过分析模型对资产进行判断决策,包括如下步骤:
基于资产信息以及主机状态信息,通过分析模型对服务器运行状态进行判断决策,确定服务器是否正常运行,并生成决策;
基于端口信息、服务信息、以及漏洞信息,通过分析模型对资产进行判断决策,判断端口是否为高危端口,并判断是否存在危险版本的服务程序,并生成决策;
所述主机运行状态信息包括网络连接信息、流量信息、用户登录信息及业务日志信息;
基于所述主机运行状态信息、通过分析模型对指定的服务器进行判断决策,以发现高度可确信的已知及未知网络攻击及网络行为异常,定位失陷服务器、跳板服务器以及风险服务器,并生成决策;
对于安全服务设备,基于设备状况信息、通过分析模型对安全服务设备进行判断决策,判断安全服务设的CPU、内存、及流量是否处于正常状态,从而发现已知或未知的网路攻击行为,并生成决策。
作为优选,所述分析模块中配置有知识库,知识库中配置有资产总信息和设备状态信息以及资产总信息和设备状态信息对应的阈值;
所述学习模型为决策树模型,所述学习模型用于基于知识库对多维度的资产总信息进行判断决策,判断资产是否处于正常水平、以及是否被恶意攻击;并用于基于知识库对设备状态信息进行判断决策,判断安全服务设备是否处于正常工作状态,从而发现已知或未知的网路攻击行为。
本发明的基于分布式架构的信息系统安全状态扫描系统方法具有以下优:
1、能够对信息系统实行全方位健康监控,有效监控业务系统及主机运行状态,降低人工参与度,增强扫描效率,提升内网整体安全性;
2、网主机及信息系统监控可通过多种方案实现全面监控及信息收集,并呈现整体安全效果,通过定时扫描及不间断实时监控,可有效掌握内网安全状态,提升内网安全水平。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
下面结合附图对本发明进一步说明。
图1为实施例1基于分布式架构的信息系统安全状态扫描中分析模型的结构示意图;
图2为实施例1基于分布式架构的信息系统安全状态扫描方法的流程框图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互结合。
本发明实施例提供基于分布式架构的信息系统安全状态扫描系统及方法,用于解决如何对信息系统进行全方位健康监控,有效监控业务系统及主机运行状态,降低人工参与度、增强扫描效率,提升内网整体安全性的技术问题。
实施例1:
本发明一种基于分布式架构的信息系统安全状态扫描系统,包括扫描器、监控终端、数据库、分析模块以及告警平台,该系统分布式部署于信息系统集群内,用于对信息系统和服务器会进行监控。
扫描器用于对局域网内服务器进行扫描,提供扫描服务并获取扫描信息,所述扫描服务包括资产发现、端口扫描、服务发现、主机状态扫描以及漏洞扫描服务,所述扫描信息包括资产信息、端口信息、服务信息、主机状态信息以及漏洞信息。
作为具体实施,扫描器用于通过如下操作实现资产发现和主机状态检测:调整发包频率、周期以及长度,并设置所要扫描资产所在的网段,采用三层网络、通过发送icmp包的方式发现所设置网段的所有资产以及对资产进行全面扫描。同时,扫描器用于对远程服务器以及本地服务器的各种TCP端口的分配及提供的服务和软件及服务版本进行扫描,以实现端口扫描、服务发现和漏洞扫描。
监控终端配置于指定的服务器,对于所述指定的服务器,用于进行实时监控并获取所述服务器的主机运行状态信息,主机运行状态信息包括网络连接信息、流量信息、用户登录信息及业务日志信息。
数据库与所述扫描器和监控终端交互,用于获取扫描器推送的扫描信息,并获取监控终端推送的主机运行状态信息,并用于以资产为分类,汇总每个服务器对应的扫描信息以及主机运行状态信息作为资产总信息,并将资产总信息存储于数据库对应的数据表中。
分析模块中配置有分析模型,用于基于资产总信息、通过分析模型对资产进行判断决策,判断资产是否处于正常水平以及是否被恶意攻击、并生成决策,用于基于决策生成预警信息并将决策和预警信息存储至数据库。
作为具体实施,分析模型包括如下具体操作:
(1)分析模型用于基于资产信息以及主机状态信息,对服务器运行状态进行判断决策,确定服务器是否正常运行。
(2)分析模型用于基于端口信息、服务信息、以及漏洞信息对资产进行判断决策,判断端口是否为高危端口,并判断是否存在危险版本的服务程序。
(3)分析模型用于基于所述主机运行状态信息、通过分析模型对指定的服务器进行判断决策,以发现高度可确信的已知及未知网络攻击及网络行为异常,定位失陷服务器、跳板服务器以及风险服务器,并生成决策。
作为分析模块的具体实施,分析模块中配置有知识库,知识库中配置有资产总信息和设备状态信息以及资产总信息和设备状态信息对应的阈值。学习模型为决策树模型(结构如图1所示),所述学习模型用于基于知识库对多维度的资产总信息进行判断决策,判断资产是否处于正常水平、以及是否被恶意攻击。
告警平台用于从数据库中读取告警信息并将告警信息推送至运维人员。告警方式包括邮件和短信等。
作为本实施例的改进,该系统还包括设备监控模块,所述设备监控模块用于通过snmp协议与局域网内的安全服务设备交互,获取安全服务设备的设备状态信息,并将设备状态发送至数据库。
分析模块用于基于设备状态信息、通过分析模型对安全服务设备进行判断决策,判断安全服务设备的CPU、内存、及流量等信息是否处于正常状态,从而发现已知或未知的网络攻击、并生成决策,用于基于决策生成预警信息并将决策和预警信息存储至数据库。
分析模型用于基于知识库对设备状态信息进行判断决策,判断安全服务设备是否处于正常工作状态,从而发现已知或未知的网路攻击行为。
上述是针对安全服务设备的一种分析方法,也可通过分析模块、仅对采集到的设备状况信息进行简单分析,判断设备的CPU、内存、及流量等信息是否处于正常状态,从而发现已知或未知的网路攻击行为。
本系统通过扫描器、监控终端及设备联动等方式获取到的设备状态、网络状况等信息进行汇总整理,以资产作为分类并将数据汇总并记录到数据库中,使用决策树模型对多维度原始数据与初始化阈值进行判断决策,从而判断出资产是否处于正常水平,是否被恶意攻击。系统根据历史数据进行统计分析不断完善阈值信息,满足多业务场景业务正常运行的需求,如短时间内大批量用户正常访问等情况。
实施例2:
本发明一种基于分布式架构的信息系统安全状态扫描方法,通过实施例1公开的基于分布式架构的信息系统安全状态扫描系统对信息系统和服务器会进行监控,该方法包括如下步骤:
S100、对局域网内服务器进行扫描,提供扫描服务并获取扫描信息,所述扫描服务包括资产发现、端口扫描、服务发现、主机状态扫描以及漏洞扫描服务,所述扫描信息包括资产信息、端口信息、服务信息、主机状态信息以及漏洞信息;
S200、对于指定的服务器,进行实时监控并获取所述服务器的主机运行状态信息;
S300、以资产为分类,汇总每个服务器对应的扫描信息以及主机运行状态信息作为资产总信息,并将资产总信息存储于数据库对应的数据表中;
S400、基于资产总信息、通过分析模型对资产进行判断决策,判断资产是否处于正常水平以及是否被恶意攻击、并生成决策,用于基于决策生成预警信息并将决策和预警信息存储至数据库;
S500、从数据库中读取告警信息并将告警信息推送至运维人员。
本实施例步骤S100通过扫描器调整发包频率、周期以及长度,并设置所要扫描资产所在的网段,采用三层网络、通过发送icmp包的方式发现所设置网段的所有资产以及对资产进行全面扫描。同时,通过扫描器对远程服务器以及本地服务器的各种TCP端口的分配及提供的服务和软件及服务版本进行扫描,以实现端口扫描、服务发现和漏洞扫描。
步骤S200获取的主机运行状态信息包括服务器的网络连接、流量、用户登录及业务日志。
步骤S400对资产的判断决策,包括如下方面:
(1)基于资产信息以及主机状态信息,对服务器运行状态进行判断决策,确定服务器是否正常运行。
(2)基于端口信息、服务信息、以及漏洞信息对资产进行判断决策,判断端口是否为高危端口,并判断是否存在危险版本的服务程序。
(3)基于所述主机运行状态信息、通过分析模型对指定的服务器进行判断决策,以发现高度可确信的已知及未知网络攻击及网络行为异常,定位失陷服务器、跳板服务器以及风险服务器,并生成决策。
分析模块中配置有知识库,知识库中配置有资产总信息和设备状态信息以及资产总信息和设备状态信息对应的阈值。学习模型为决策树模型,学习模型用于基于知识库对多维度的资产总信息进行判断决策,判断资产是否处于正常水平、以及是否被恶意攻击。
步骤S500通过邮件或短信的方式将预警信息推送至运维人员。
作为本实施例改进,该方法还包括如下操作:
S600、通过snmp协议与局域网内的安全服务设备交互,获取安全服务设备的设备状态信息,并将设备状态发送至数据库;
S700、基于设备状态信息、通过分析模型对安全服务设备进行判断决策,判断安全服务设备的CPU、内存、及流量等信息是否处于正常状态,从而发现已知或未知的网络攻击、并生成决策,并基于决策生成预警信息并将决策和预警信息存储至数据库。
上述实施过程中,分析模型基于知识库对设备状态信息进行判断决策,判断安全服务设备是否处于正常工作状态,从而发现已知或未知的网路攻击行为。
上述是针对安全服务设备的一种分析方法,也可仅对采集到的设备状况信息进行简单分析,判断设备的CPU、内存、及流量等信息是否处于正常状态,从而发现已知或未知的网路攻击行为。
上文通过附图和优选实施例对本发明进行了详细展示和说明,然而本发明不限于这些已揭示的实施例,基与上述多个实施例本领域技术人员可以知晓,可以组合上述不同实施例中的代码审核手段得到本发明更多的实施例,这些实施例也在本发明的保护范围之内。

Claims (10)

1.一种基于分布式架构的信息系统安全状态扫描系统,其特征在于分布式部署于信息系统集群内,用于对信息系统和服务器会进行监控,所述系统包括:
扫描器,所述扫描器用于对局域网内服务器进行扫描,提供扫描服务并获取扫描信息,所述扫描服务包括资产发现、端口扫描、服务发现、主机状态扫描以及漏洞扫描服务,所述扫描信息包括资产信息、端口信息、服务信息、主机状态信息以及漏洞信息;
监控终端,所述监控终端配置于指定的服务器,对于所述指定的服务器,用于进行实时监控并获取所述服务器的主机运行状态信息;
数据库,所述数据库与所述扫描器和监控终端交互,用于获取扫描器推送的扫描信息,并获取监控终端推送的主机运行状态信息,并用于以资产为分类,汇总每个服务器对应的扫描信息以及主机运行状态信息作为资产总信息,并将资产总信息存储于数据库对应的数据表中;
分析模块,所述分析模块中配置有分析模型,用于基于资产总信息、通过分析模型对资产进行判断决策,判断资产是否处于正常水平以及是否被恶意攻击、并生成决策,用于基于决策生成预警信息并将决策和预警信息存储至数据库;
告警平台,所述告警平台用于从数据库中读取告警信息并将告警信息推送至运维人员。
2.根据权利要求1所述的基于分布式架构的信息系统安全状态扫描系统,其特征在于所述系统还包括:
设备监控模块,所述设备监控模块用于通过snmp协议与局域网内的安全服务设备交互,获取安全服务设备的设备状态信息,并将设备状态发送至数据库;
所述分析模块用于基于设备状态信息、通过分析模型对安全服务设备进行判断决策,判断安全服务设备是否处于正常状态、从而发现已知或未知的网络攻击,并生成决策,用于基于决策生成预警信息并将决策和预警信息存储至数据库。
3.根据权利要求1所述的基于分布式架构的信息系统安全状态扫描系统,其特征在于所述扫描器用于通过如下操作实现资产发现和主机状态检测:调整发包频率、周期以及长度,并设置所要扫描资产所在的网段,采用三层网络、通过发送icmp包的方式发现所设置网段的所有资产以及对资产进行全面扫描;
所述分析模型用于基于资产信息以及主机状态信息,对服务器运行状态进行判断决策,确定服务器是否正常运行;
所述扫描器用于对远程服务器以及本地服务器的各种TCP端口的分配及提供的服务和软件及服务版本进行扫描,以实现端口扫描、服务发现和漏洞扫描;
所述分析模型用于基于端口信息、服务信息、以及漏洞信息对资产进行判断决策,判断端口是否为高危端口,并判断是否存在危险版本的服务程序。
4.根据权利要求1所述的基于分布式架构的信息系统安全状态扫描系统,其特征在于所述主机运行状态信息包括网络连接信息、流量信息、用户登录信息及业务日志信息。
所述分析模型用于基于所述主机运行状态信息、通过分析模型对指定的服务器进行判断决策,以发现高度可确信的已知及未知网络攻击及网络行为异常,定位失陷服务器、跳板服务器以及风险服务器,并生成决策。
5.根据权利要求1所述的基于分布式架构的信息系统安全状态扫描系统,其特征在于所述分析模块用于基于设备状况信息、通过分析模型对安全服务设备进行判断决策,判断安全服务设备的CPU、内存、及流量是否处于正常状态,从而发现已知或未知的网路攻击行为,并生成决策。
6.根据权利要求2所述的基于分布式架构的信息系统安全状态扫描系统,其特征在于所述分析模块中配置有知识库,知识库中配置有资产总信息和设备状态信息以及资产总信息和设备状态信息对应的阈值;
所述学习模型为决策树模型,所述学习模型用于基于知识库对多维度的资产总信息进行判断决策,判断资产是否处于正常水平、以及是否被恶意攻击;并用于基于知识库对设备状态信息进行判断决策,判断安全服务设备是否处于正常工作状态,从而发现已知或未知的网路攻击行为。
7.一种基于分布式架构的信息系统安全状态扫描方法,其特征在于通过如权利要求1-6任一项所述的基于分布式架构的信息系统安全状态扫描系统对信息系统和服务器会进行监控,所述方法包括如下步骤:
对局域网内服务器进行扫描,提供扫描服务并获取扫描信息,所述扫描服务包括资产发现、端口扫描、服务发现、主机状态扫描以及漏洞扫描服务,所述扫描信息包括资产信息、端口信息、服务信息、主机状态信息以及漏洞信息;
对于指定的服务器,进行实时监控并获取所述服务器的主机运行状态信息;
以资产为分类,汇总每个服务器对应的扫描信息以及主机运行状态信息作为资产总信息,并将资产总信息存储于数据库对应的数据表中;
基于资产总信息、通过分析模型对资产进行判断决策,判断资产是否处于正常水平以及是否被恶意攻击、并生成决策,基于决策生成预警信息并将决策和预警信息存储至数据库;
从数据库中读取告警信息并将告警信息推送至运维人员。
8.根据权利要求7所述的基于分布式架构的信息系统安全状态扫描方法,其特征在于所述方法还包括如下步骤:
通过snmp协议与局域网内的安全服务设备交互,获取安全服务设备的设备状态信息,并将设备状态发送至数据库;
基于设备状态信息、通过分析模型对安全服务设备进行判断决策,判断安全服务设备是否处于正常状态以及是否被网络攻击、并生成决策,基于决策生成预警信息并将决策和预警信息存储至数据库。
9.根据权利要求7所述的基于分布式架构的信息系统安全状态扫描方法,其特征在于对局域网内服务器进行扫描,提供扫描服务并获取扫描信息,包括如下步骤:
调整发包频率、周期以及长度,并设置所要扫描资产所在的网段,采用三层网络、通过发送icmp包的方式发现所设置网段的所有资产以及对资产进行全面扫描;
对远程服务器以及本地服务器的各种TCP端口的分配及提供的服务和软件及服务版本进行扫描,以实现端口扫描、服务发现和漏洞扫描;
基于资产总信息、通过分析模型对资产进行判断决策,包括如下步骤:
基于资产信息以及主机状态信息,通过分析模型对服务器运行状态进行判断决策,确定服务器是否正常运行,并生成决策;
基于端口信息、服务信息、以及漏洞信息,通过分析模型对资产进行判断决策,判断端口是否为高危端口,并判断是否存在危险版本的服务程序,并生成决策;
所述主机运行状态信息包括网络连接信息、流量信息、用户登录信息及业务日志信息;
基于所述主机运行状态信息、通过分析模型对指定的服务器进行判断决策,以发现高度可确信的已知及未知网络攻击及网络行为异常,定位失陷服务器、跳板服务器以及风险服务器,并生成决策;
对于安全服务设备,基于设备状况信息、通过分析模型对安全服务设备进行判断决策,判断安全服务设的CPU、内存、及流量是否处于正常状态,从而发现已知或未知的网路攻击行为,并生成决策。
10.根据权利要求1所述的基于分布式架构的信息系统安全状态扫描方法,其特征在于所述分析模块中配置有知识库,知识库中配置有资产总信息和设备状态信息以及资产总信息和设备状态信息对应的阈值;
所述学习模型为决策树模型,所述学习模型用于基于知识库对多维度的资产总信息进行判断决策,判断资产是否处于正常水平、以及是否被恶意攻击;并用于基于知识库对设备状态信息进行判断决策,判断安全服务设备是否处于正常工作状态,从而发现已知或未知的网路攻击行为。
CN202210905146.5A 2022-07-29 2022-07-29 基于分布式架构的信息系统安全状态扫描系统及方法 Active CN115549945B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210905146.5A CN115549945B (zh) 2022-07-29 2022-07-29 基于分布式架构的信息系统安全状态扫描系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210905146.5A CN115549945B (zh) 2022-07-29 2022-07-29 基于分布式架构的信息系统安全状态扫描系统及方法

Publications (2)

Publication Number Publication Date
CN115549945A true CN115549945A (zh) 2022-12-30
CN115549945B CN115549945B (zh) 2023-10-31

Family

ID=84723680

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210905146.5A Active CN115549945B (zh) 2022-07-29 2022-07-29 基于分布式架构的信息系统安全状态扫描系统及方法

Country Status (1)

Country Link
CN (1) CN115549945B (zh)

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140283083A1 (en) * 2013-03-15 2014-09-18 Tenable Network Security, Inc. System and method for correlating log data to discover network vulnerabilities and assets
CN105939311A (zh) * 2015-08-11 2016-09-14 杭州迪普科技有限公司 一种网络攻击行为的确定方法和装置
US20160381056A1 (en) * 2015-06-23 2016-12-29 Veracode, Inc. Systems and methods for categorization of web assets
CN106453386A (zh) * 2016-11-09 2017-02-22 深圳市魔方安全科技有限公司 基于分布式技术的自动化互联网资产监控和风险检测方法
CN107979597A (zh) * 2017-11-24 2018-05-01 上海携程商务有限公司 分布式扫描的内网资产管理方法、系统、设备及存储介质
CN108769064A (zh) * 2018-06-26 2018-11-06 广东电网有限责任公司信息中心 实现漏洞治理的分布式资产识别及变更感知方法与系统
US20180332069A1 (en) * 2017-05-11 2018-11-15 Tenable, Inc. Elastic asset-based licensing model for use in a vulnerability management system
CN109246152A (zh) * 2018-11-06 2019-01-18 北京华顺信安科技有限公司 一种大范围通用漏洞扫描方法和系统
CN109525427A (zh) * 2018-11-12 2019-03-26 广东省信息安全测评中心 分布式资产信息探测方法与系统
CN110324310A (zh) * 2019-05-21 2019-10-11 国家工业信息安全发展研究中心 网络资产指纹识别方法、系统及设备
CN111625821A (zh) * 2020-05-29 2020-09-04 北京中超伟业信息安全技术股份有限公司 一种基于云平台的应用攻击检测系统
CN112653678A (zh) * 2020-12-14 2021-04-13 国家电网有限公司信息通信分公司 一种网络安全态势感知分析方法及装置
CN113486351A (zh) * 2020-06-15 2021-10-08 中国民用航空局空中交通管理局 一种民航空管网络安全检测预警平台

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140283083A1 (en) * 2013-03-15 2014-09-18 Tenable Network Security, Inc. System and method for correlating log data to discover network vulnerabilities and assets
US20160381056A1 (en) * 2015-06-23 2016-12-29 Veracode, Inc. Systems and methods for categorization of web assets
CN105939311A (zh) * 2015-08-11 2016-09-14 杭州迪普科技有限公司 一种网络攻击行为的确定方法和装置
CN106453386A (zh) * 2016-11-09 2017-02-22 深圳市魔方安全科技有限公司 基于分布式技术的自动化互联网资产监控和风险检测方法
US20180332069A1 (en) * 2017-05-11 2018-11-15 Tenable, Inc. Elastic asset-based licensing model for use in a vulnerability management system
CN107979597A (zh) * 2017-11-24 2018-05-01 上海携程商务有限公司 分布式扫描的内网资产管理方法、系统、设备及存储介质
CN108769064A (zh) * 2018-06-26 2018-11-06 广东电网有限责任公司信息中心 实现漏洞治理的分布式资产识别及变更感知方法与系统
CN109246152A (zh) * 2018-11-06 2019-01-18 北京华顺信安科技有限公司 一种大范围通用漏洞扫描方法和系统
CN109525427A (zh) * 2018-11-12 2019-03-26 广东省信息安全测评中心 分布式资产信息探测方法与系统
CN110324310A (zh) * 2019-05-21 2019-10-11 国家工业信息安全发展研究中心 网络资产指纹识别方法、系统及设备
CN111625821A (zh) * 2020-05-29 2020-09-04 北京中超伟业信息安全技术股份有限公司 一种基于云平台的应用攻击检测系统
CN113486351A (zh) * 2020-06-15 2021-10-08 中国民用航空局空中交通管理局 一种民航空管网络安全检测预警平台
CN112653678A (zh) * 2020-12-14 2021-04-13 国家电网有限公司信息通信分公司 一种网络安全态势感知分析方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
庞延辉;肖鹏;罗俊;: "疾控信息系统安全漏洞扫描的结果分析", 网络空间安全, no. 4 *

Also Published As

Publication number Publication date
CN115549945B (zh) 2023-10-31

Similar Documents

Publication Publication Date Title
CN111756598A (zh) 一种基于主动探测与流量分析结合的资产发现方法
CN112769796B (zh) 一种基于端侧边缘计算的云网端协同防御方法及系统
US6907430B2 (en) Method and system for assessing attacks on computer networks using Bayesian networks
CN112383538B (zh) 一种混合式高交互工业蜜罐系统及方法
US7804787B2 (en) Methods and apparatus for analyzing and management of application traffic on networks
CN108646722B (zh) 一种工业控制系统信息安全仿真模型及终端
US20190166144A1 (en) Detection of malicious network activity
Jalili et al. Detection of distributed denial of service attacks using statistical pre-processor and unsupervised neural networks
KR100716620B1 (ko) 평행 좌표계를 이용한 네트워크 감시 장치 및 방법
EP2532121B1 (en) Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions
US20110016528A1 (en) Method and Device for Intrusion Detection
US20060109793A1 (en) Network simulation apparatus and method for analyzing abnormal network
EP2487860A1 (en) Method and system for improving security threats detection in communication networks
US20050229255A1 (en) System and method for scanning a network
US20190260663A1 (en) Deriving test profiles based on security and network telemetry information extracted from the target network environment
CN111935170A (zh) 一种网络异常流量检测方法、装置及设备
CN111488577A (zh) 一种基于人工智能的漏洞利用的方法和装置
Garcia Modelling the network behaviour of malware to block malicious patterns. the stratosphere project: a behavioural ips
KR100513911B1 (ko) 정보 보안 분석 시스템
US20060265745A1 (en) Method and apparatus of detecting network activity
CN112019449B (zh) 流量识别抓包方法和装置
Ertoz et al. Detection and summarization of novel network attacks using data mining
CN112769623A (zh) 边缘环境下的物联网设备识别方法
CN104702603A (zh) 面向移动互联网的多视角安全审计系统
KR100950079B1 (ko) 은닉마코프 모델을 이용한 확률적인 네트워크 이상징후탐지 장치 및 그 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: No.999, gaolang East Road, Binhu District, Wuxi City, Jiangsu Province (software R & D building) 707

Applicant after: Chaozhou Zhuoshu Big Data Industry Development Co.,Ltd.

Address before: 214029 No.999, Gaolang East Road, Binhu District, Suzhou, Jiangsu Province (Software R&D Building) 707

Applicant before: Chaozhou Zhuoshu Big Data Industry Development Co.,Ltd.

GR01 Patent grant
GR01 Patent grant