CN115550038A - 一种分布式网络集群风险检测方法及系统 - Google Patents

一种分布式网络集群风险检测方法及系统 Download PDF

Info

Publication number
CN115550038A
CN115550038A CN202211203249.3A CN202211203249A CN115550038A CN 115550038 A CN115550038 A CN 115550038A CN 202211203249 A CN202211203249 A CN 202211203249A CN 115550038 A CN115550038 A CN 115550038A
Authority
CN
China
Prior art keywords
risk detection
network
client
host
asset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211203249.3A
Other languages
English (en)
Inventor
曾小勇
刘昌春
秦凯
刘青松
刘紫涵
王紫曦
赖懿
冯雷鸣
李斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Serenity Shield Chengdu Technology Co ltd
Original Assignee
Serenity Shield Chengdu Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Serenity Shield Chengdu Technology Co ltd filed Critical Serenity Shield Chengdu Technology Co ltd
Priority to CN202211203249.3A priority Critical patent/CN115550038A/zh
Publication of CN115550038A publication Critical patent/CN115550038A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于风险检测技术领域,其目的在于提供一种分布式网络集群风险检测方法及系统。其中的方法包括:多个风险检测客户端分别进行网络主机识别,得到对应识别的网络主机的网络资产;多个风险检测客户端分别将识别到的网络资产及其客户端标识发送至所述风险检测服务端;所述风险检测服务端接收多个风险检测客户端发送的网络资产及对应的客户端标识,并对所有网络资产进行调度,以便根据客户端标识,将各个网络资产分别分配至任一识别到该网络资产的风险检测客户端;所述风险检测服务端协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测,得到网络主机风险信息。本发明服务器硬件成本小,同时网络风险检测结果准确,效率更高。

Description

一种分布式网络集群风险检测方法及系统
技术领域
本发明属于风险检测技术领域,具体涉及一种分布式网络集群风险检测方法及系统。
背景技术
随着互联网技术的飞速发展,企事业单位异地分支机构协同办公的场景急速增加,内部网络更为复杂,企事业单位部署的各种业务及网络设备也越来越多、越来越复杂。随着国家层面出台网络安全相关法律,企事业单位对网络安全的重视度逐渐增高,目前,周期性地对内部网络的安全风险检测已成为企事业单位的必要工作。
当前国内外网络风险检测系列产品的风险检测主要包括两个阶段:第一阶段是网络资产识别,第二阶段是对识别的网络资产进行风险检测。现有的网络风险检测部署模式通常包括单机扫描及分布式扫描,其中,单机扫描即直接将扫描服务器接入目标网络进行风险扫描;分布式探测扫描,即将多台扫描服务器分别部署在不同的网络中分别进行风险扫描,然后通过中心服务器对多台扫描服务器的测试结果进行汇总。
但是,在使用现有技术过程中,发明人发现现有技术中至少存在如下问题:
传统的单机检测过程中,对于目标网络范围比较大的企事业单位网络节点,由于防火墙的各种安全隔离设置,会存在检测盲区,导致对目标的检测不准确,或者需要对各隔离域分别进行检测,工作量比较大,同时对测试结果的汇总过程比较繁琐。
传统的分布式检测过程中,各检测点可以分别检测各自的扫描目标网络,然后将测试结果进行汇总;然而,如果要实现全网络域检测则需要各自配置全网的目标扫描,那么每个分布式扫描点均会重复对同一目标进行全面的风险扫描,使得重复工作量较大,效率低下,成本较高。
发明内容
本发明旨在至少在一定程度上解决上述技术问题,本发明提供了一种分布式网络集群风险检测方法及系统。
为了实现上述目的,本发明采用以下技术方案:
第一方面,提供了一种分布式网络集群风险检测方法,基于风险检测系统实现,所述风险检测系统包括风险检测服务端以及分别与所述风险检测服务端通信连接的多个风险检测客户端;所述方法包括:
多个风险检测客户端分别进行网络主机识别,得到对应识别的网络主机的网络资产;
多个风险检测客户端分别将识别到的网络资产及其客户端标识发送至所述风险检测服务端;
所述风险检测服务端接收多个风险检测客户端发送的网络资产及对应的客户端标识,并对所有网络资产进行调度,以便根据客户端标识,将各个网络资产分别分配至任一识别到该网络资产的风险检测客户端;
所述风险检测服务端协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测,得到网络主机风险信息。
本发明可基于一台服务器完成网络风险检测,服务器硬件成本小,同时网络风险检测结果准确,效率更高。具体地,本发明在实施过程中,先基于多风险检测客户端集群分布式对全目标区域内的网络主机进行扫描并识别,以得到对应识别的网络资产,然后通过风险检测服务端对所有风险检测客户端识别的网络资产进行调度,使各个网络资产分别分配至任一识别到该网络资产的风险检测客户端,最后风险检测服务端协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测,由此可以解决传统单机检测的盲区,使得每一网络主机均能被检测到,实现对目标网络进行完整的资产识别,同时又可以解决传统分布式检测方式低效率的检测问题,基于网络资产调度流程,每个网络主机的任一网络资产均只会被一个风险检测客户端进行检测,避免重复检测及计算资源浪费的问题,进而可使得本发明的网络风险检测效率更高。
在一个可能的设计中,所述网络资产包括主机IP地址、主机端口信息和端口指纹信息;
对应地,任一风险检测客户端对目标网络主机进行识别,包括:
当前风险检测客户端对目标网络主机进行存活检测,如目标网络主机存活,则获取目标网络主机的主机IP地址,并进入下一步;
当前风险检测客户端对目标网络主机进行端口检测,得到目标网络主机的所有开放的主机端口信息;
当前风险检测客户端对目标网络主机端口进行指纹信息识别,得到目标网络主机的所有端口指纹信息。
在一个可能的设计中,当前风险检测客户端对目标网络主机进行存活检测,包括:
当前风险检测客户端向目标网络主机发送存活检测数据包;
当前风险检测客户端判断是否接收到目标网络主机发送的与所述存活检测数据包对应的存活反馈数据包,如是,则判定目标网络主机存活;其中,所述存活反馈数据包中包括目标网络主机的主机IP地址。
在一个可能的设计中,所述端口指纹信息为所述网络主机的端口对应的服务信息,包括应用软件名称、版本、协议名称、协议版本号和/或协议流程的数据包。
在一个可能的设计中,当前风险检测客户端对目标网络主机端口进行指纹信息识别,包括:
当前风险检测客户端向目标网络主机发送多个服务检测数据包;
当前风险检测客户端判断是否接收到目标网络主机发送的与任一服务检测数据包对应的服务反馈数据包,如是,则获取服务反馈数据包中的端口指纹信息;其中,目标网络主机反馈的所有服务反馈数据包中的端口指纹信息构成目标网络主机的所有端口指纹信息。
在一个可能的设计中,所述风险检测服务端对所有网络资产进行调度,基于所述风险检测服务端执行,包括:
获取客户端列表,所述客户端列表包括与所述风险检测服务端通信连接的所有风险检测客户端;
获取资产列表,所述资产列表包括多个风险检测客户端发送的所有网络主机的网络资产;
对所述资产列表中的所有网络资产进行迭代分配处理,以将所述资产列表中的每一网络资产分配至所述客户端列表中的任一识别到该网络资产的风险检测客户端。
在一个可能的设计中,对所述资产列表中的所有网络资产进行迭代分配处理,以将所述资产列表中的每一网络资产分配至所述客户端列表中的任一识别到该网络资产的风险检测客户端,包括:
判断所述资产列表是否迭代结束,如是,则结束调度操作,如否,则进入下一步;
提取所述资产列表中当前迭代的网络资产;
获取当前网络资产对应的所有风险检测客户端;
查找当前网络资产对应的所有风险检测客户端中,分配的网络资产数量最少的风险检测客户端;
将当前网络资产分配至该网络资产数量最少的风险检测客户端,并将该网络资产数量最少的风险检测客户端的分配资产计数加1;
重新对所述资产列表进行迭代分配处理,直到所述资产列表迭代结束。
在一个可能的设计中,查找当前网络资产对应的所有风险检测客户端中,分配的网络资产数量最少的风险检测客户端后,如网络资产数量最少的风险检测客户端并列有多个,则将当前网络资产分配至多个网络资产数量最少的风险检测客户端中,位于客户端列表中排列位置在前的风险检测客户端。
在一个可能的设计中,判断所述资产列表是否迭代结束时,如是,所述方法还包括:
清理所述客户端列表中分配的网络资产数量为0的风险检测客户端,然后结束调度操作。
第二方面,提供了一种分布式网络集群风险检测系统,包括风险检测服务端以及分别与所述风险检测服务端通信连接的多个风险检测客户端;其中,
多个风险检测客户端用于分别进行网络主机识别,得到对应识别的网络主机的网络资产,并分别将识别到的网络资产及其客户端标识发送至所述风险检测服务端;
所述风险检测服务端用于接收多个风险检测客户端发送的网络资产及对应的客户端标识,并对所有网络资产进行调度,以便根据客户端标识,将各个网络资产分别分配至任一识别到该网络资产的风险检测客户端;所述风险检测服务端还用于协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测,得到网络主机风险信息。
附图说明
图1是本发明中分布式网络集群风险检测系统的模块框图;
图2是本发明中分布式网络集群风险检测方法的流程图;
图3是本发明中风险检测服务端对所有网络资产进行调度的一种实施方式的流程图;
图4是本发明中风险检测服务端对所有网络资产进行调度的另一种实施方式的流程图。
具体实施方式
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将结合附图和实施例或现有技术的描述对本发明作简单地介绍,显而易见地,下面关于附图结构的描述仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在此需要说明的是,对于这些实施例方式的说明用于帮助理解本发明,但并不构成对本发明的限定。
实施例1:
本实施例第一方面提供了一种分布式网络集群风险检测方法,可以但不限于由具有一定计算资源的计算机设备或虚拟机执行,例如由个人计算机、智能手机、个人数字助理或可穿戴设备等电子设备执行,或者由虚拟机执行。
具体地,本实施例中的分布式网络集群风险检测方法基于风险检测系统实现,如图1所示,所述风险检测系统包括风险检测服务端以及分别与所述风险检测服务端通信连接的多个风险检测客户端,应当理解的是,每个风险检测客户端对应部署一个低成本的客户端软件,其可以适应各种类型操作系统及硬件环境;具体地,风险检测客户端的数量视用户的网络环境复杂度而定,此处不予限制。应当理解的是,风险检测客户端用于提供应用服务,作为示例,多个风险监测客户端分别为位于网络1区的风险检测客户端1、位于网络2区的风险检测客户端2、位于网络3区的风险检测客户端3和位于网络n区的风险检测客户端n,其中各网络区的开放范围示例如下:网络1区的服务对所有网络区域开放,网络2区的服务对网络3区开放,网络3区及网络n区的服务仅对本网络区域开放。
本实施例中,如图2所示,所述方法可以但不限于包括有如下步骤:
S1.多个风险检测客户端分别进行网络主机识别,得到对应识别的网络主机的网络资产;
本实施例中,所述网络资产包括主机IP地址、主机端口信息和端口指纹信息;
对应地,任一风险检测客户端对目标网络主机进行识别,包括:
S101.当前风险检测客户端对目标网络主机进行存活检测,如目标网络主机存活,则获取目标网络主机的主机IP地址,并进入下一步;需要说明的是,主机IP地址即为目标网络主机的网络地址,根据该主机IP地址可唯一确定该目标网络主机。
具体地,当前风险检测客户端对目标网络主机进行存活检测,包括:
A1.当前风险检测客户端向目标网络主机发送存活检测数据包;
A2.当前风险检测客户端判断是否接收到目标网络主机发送的与所述存活检测数据包对应的存活反馈数据包,如是,则判定目标网络主机存活,如否,则判定目标网络主机不存活,或在指定时长后重新对目标网络主机进行存活检测,并在指定次数存活检测均未接收到存活反馈数据包时,判定目标网络主机不存活,此处不予限制;其中,所述存活反馈数据包中包括目标网络主机的主机IP地址。
S102.当前风险检测客户端对目标网络主机进行端口检测,得到目标网络主机的所有开放的主机端口信息;需要说明的是,主机端口信息为目标网络主机对外提供应用服务的端口,通过端口检测,可判断目标网络主机端口的存活状态,以此保证目标网络主机可提供端口对应的对外服务。
S103.当前风险检测客户端对目标网络主机端口进行指纹信息识别,得到目标网络主机的所有端口指纹信息。需要说明的是,端口指纹信息为对应端口服务的指纹信息,如承载该服务的应用软件名称、版本、协议名称、协议版本号以及协议流程的数据包等信息。
本实施例中,所述端口指纹信息为所述网络主机的端口对应的服务信息,包括应用软件名称、版本、协议名称、协议版本号和/或协议流程的数据包。
具体地,当前风险检测客户端对目标网络主机端口进行指纹信息识别,包括:
B1.当前风险检测客户端向目标网络主机发送多个服务检测数据包;
B2.当前风险检测客户端判断是否接收到目标网络主机发送的与任一服务检测数据包对应的服务反馈数据包,如是,则获取服务反馈数据包中的端口指纹信息;其中,目标网络主机反馈的所有服务反馈数据包中的端口指纹信息构成目标网络主机的所有端口指纹信息。需要说明的是,在对目标网络主机端口进行指纹信息识别过程中,当前风险检测客户端基于端口指纹信息的不同,向目标网络主机发送相应的服务检测数据包,如有反馈则表明目标网络主机中存在该端口指纹信息。
应当理解的是,网络资产的内容用以决定后续进行网络风险检测的基础,本实施例中,网络资产包括主机IP地址、主机端口信息和端口指纹信息,对应后续风险检测服务端协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测时,可检测上述网络资产的风险情况,相应的主机风险信息包括当前网络主机弱密码风险、WEB服务风险、服务软件漏洞风险以及非法设备接入风险等风险信息等风险信息。
S2.多个风险检测客户端分别将识别到的网络资产及其客户端标识发送至所述风险检测服务端;需要说明的是,任一网络主机的网络资产均可被一个或多个风险检测客户端识别,因而可能存在一个网络资产对应多个客户端标识的情况,此处不予限制。
S3.所述风险检测服务端接收多个风险检测客户端发送的网络资产及对应的客户端标识,并对所有网络资产进行调度,以便根据客户端标识,将各个网络资产分别分配至任一识别到该网络资产的风险检测客户端;需要说明的是,客户端标识即风险检测客户端的唯一编码,通过该唯一编码,风险检测服务端可唯一查询到对应的风险检测客户端。
本实施例中,所述风险检测服务端对所有网络资产进行调度,基于所述风险检测服务端执行,如图3所示,包括:
S301.获取客户端列表,所述客户端列表包括与所述风险检测服务端通信连接的所有风险检测客户端;
S302.获取资产列表,所述资产列表包括多个风险检测客户端发送的所有网络主机的网络资产;其中,任一网络主机的网络资产可被一个或多个风险检测客户端识别得到。
S303.对所述资产列表中的所有网络资产进行迭代分配处理,以将所述资产列表中的每一网络资产分配至所述客户端列表中的任一识别到该网络资产的风险检测客户端。需要说明的是,任一网络主机的网络资产可能被多个风险检测客户端识别,因而可能存在一个网络资产对应多个风险检测客户端的情况,对所述资产列表进行迭代分配处理,以将资产列表中的任一网络主机只分配给一个风险检测客户端,由此避免风险检测客户端重复检测、浪费计算资源的问题。
需要说明的是,针对同一网络主机的多个网络资产,可分配至多个不同的风险检测客户端,由此便于实现网络资产的均匀分配,进而提高后续的风险检测速度。
具体地,对所述资产列表中的所有网络资产进行迭代分配处理,以将所述资产列表中的每一网络资产分配至所述客户端列表中的任一识别到该网络资产的风险检测客户端,如图4所示,包括:
C1.判断所述资产列表是否迭代结束,如是,则结束调度操作,如否,则进入下一步,即进入步骤C2;应当理解的是,判断所述资产列表是否迭代结束,即,判断所述资产列表中当前迭代的网络资产是否为所述资产列表中的最后一个,即判断所述资产列表中是否还存在未分配的网络资产,所述资产列表迭代结束,即表明所述资产列表中的所有网络资产均已分配至对应的风险检测客户端。
C2.提取所述资产列表中当前迭代的网络资产;
C3.获取当前网络资产对应的所有风险检测客户端;需要说明的是,获取当前网络资产对应的所有风险检测客户端,可便于进行后续分配,以将网络资产分配至任一对应的风险检测客户端。
C4.查找当前网络资产对应的所有风险检测客户端中,分配的网络资产数量最少的风险检测客户端;
C5.将当前网络资产分配至该网络资产数量最少的风险检测客户端,并将该网络资产数量最少的风险检测客户端的分配资产计数加1;
本实施例中,查找当前网络资产对应的所有风险检测客户端中,分配的网络资产数量最少的风险检测客户端后,如网络资产数量最少的风险检测客户端并列有多个,则将当前网络资产分配至多个网络资产数量最少的风险检测客户端中,位于客户端列表中排列位置在前的风险检测客户端。
重新对所述资产列表进行迭代分配处理,即返回步骤C1,直到所述资产列表迭代结束。
本实施例中,判断所述资产列表是否迭代结束时,如是,所述方法还包括:
C6.清理所述客户端列表中分配的网络资产数量为0的风险检测客户端,然后结束调度操作。
需要说明的是,当某一风险检测客户端分配的网络资产数量为0时,通常表明该风险检测客户端所检测的网络主机的网络不可达,该风险检测客户端无法访问对应的网络主机,或者对风险检测客户端配置不正确;本实施例中,判定所述资产列表迭代结束后清理分配的网络资产数量为0的风险检测客户端,可避免无法进行后续风险检测的风险检测客户端占用风险检测服务端的资源,从而便于进一步提升后续的风险检测速度。
需要说明的是,结束调度操作后,每个风险检测客户端所分配得到的网络资产均是其进行网络主机识别过程中识别到的网络资产,网络均可达,且本实施例中通过对所有网络资产进行调度的方法,为每一个网络资产分配一个风险检测客户端,可避免冗余的多次风险检测、计算资源浪费以及增加检测时间周期等问题,实现了风险检测客户端计算资源的最优分配,利于提升后续风险检测的效率。
S4.所述风险检测服务端协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测,得到网络主机风险信息。本实施例中,所述风险检测服务端得到网络主机风险信息后,还对网络主机风险信息进行存储。
本实施例可基于一台服务器完成网络风险检测,服务器硬件成本小,同时网络风险检测结果准确,效率更高。具体地,本实施例在实施过程中,先基于多风险检测客户端集群分布式对全目标区域内的网络主机进行扫描并识别,以得到对应识别的网络资产,然后通过风险检测服务端对所有风险检测客户端识别的网络资产进行调度,使各个网络资产分别分配至任一识别到该网络资产的风险检测客户端,最后风险检测服务端协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测,由此可以解决传统单机检测的盲区,使得每一网络主机均能被检测到,实现对目标网络进行完整的资产识别,同时又可以解决传统分布式检测方式低效率的检测问题,基于网络资产调度流程,每个网络主机的任一网络资产均只会被一个风险检测客户端进行检测,避免重复检测及计算资源浪费的问题,进而可使得本实施例的网络风险检测效率更高。
实施例2:
本实施例提供一种分布式网络集群风险检测系统,用于实现实施例1中分布式网络集群风险检测方法;如图1所示,所述分布式网络集群风险检测系统包括风险检测服务端以及分别与所述风险检测服务端通信连接的多个风险检测客户端;其中,
多个风险检测客户端用于分别进行网络主机识别,得到对应识别的网络主机的网络资产,并分别将识别到的网络资产及其客户端标识发送至所述风险检测服务端;
所述风险检测服务端用于接收多个风险检测客户端发送的网络资产及对应的客户端标识,并对所有网络资产进行调度,以便根据客户端标识,将各个网络资产分别分配至任一识别到该网络资产的风险检测客户端;所述风险检测服务端还用于协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测,得到网络主机风险信息。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
最后应说明的是,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种分布式网络集群风险检测方法,其特征在于:基于风险检测系统实现,所述风险检测系统包括风险检测服务端以及分别与所述风险检测服务端通信连接的多个风险检测客户端;所述方法包括:
多个风险检测客户端分别进行网络主机识别,得到对应识别的网络主机的网络资产;
多个风险检测客户端分别将识别到的网络资产及其客户端标识发送至所述风险检测服务端;
所述风险检测服务端接收多个风险检测客户端发送的网络资产及对应的客户端标识,并对所有网络资产进行调度,以便根据客户端标识,将各个网络资产分别分配至任一识别到该网络资产的风险检测客户端;
所述风险检测服务端协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测,得到网络主机风险信息。
2.根据权利要求1所述的一种分布式网络集群风险检测方法,其特征在于:所述网络资产包括主机IP地址、主机端口信息和端口指纹信息;
对应地,任一风险检测客户端对目标网络主机进行识别,包括:
当前风险检测客户端对目标网络主机进行存活检测,如目标网络主机存活,则获取目标网络主机的主机IP地址,并进入下一步;
当前风险检测客户端对目标网络主机进行端口检测,得到目标网络主机的所有开放的主机端口信息;
当前风险检测客户端对目标网络主机端口进行指纹信息识别,得到目标网络主机的所有端口指纹信息。
3.根据权利要求2所述的一种分布式网络集群风险检测方法,其特征在于:当前风险检测客户端对目标网络主机进行存活检测,包括:
当前风险检测客户端向目标网络主机发送存活检测数据包;
当前风险检测客户端判断是否接收到目标网络主机发送的与所述存活检测数据包对应的存活反馈数据包,如是,则判定目标网络主机存活;其中,所述存活反馈数据包中包括目标网络主机的主机IP地址。
4.根据权利要求2所述的一种分布式网络集群风险检测方法,其特征在于:所述端口指纹信息为所述网络主机的端口对应的服务信息,包括应用软件名称、版本、协议名称、协议版本号和/或协议流程的数据包。
5.根据权利要求2或4所述的一种分布式网络集群风险检测方法,其特征在于:当前风险检测客户端对目标网络主机端口进行指纹信息识别,包括:
当前风险检测客户端向目标网络主机发送多个服务检测数据包;
当前风险检测客户端判断是否接收到目标网络主机发送的与任一服务检测数据包对应的服务反馈数据包,如是,则获取服务反馈数据包中的端口指纹信息;其中,目标网络主机反馈的所有服务反馈数据包中的端口指纹信息构成目标网络主机的所有端口指纹信息。
6.根据权利要求1所述的一种分布式网络集群风险检测方法,其特征在于:所述风险检测服务端对所有网络资产进行调度,基于所述风险检测服务端执行,包括:
获取客户端列表,所述客户端列表包括与所述风险检测服务端通信连接的所有风险检测客户端;
获取资产列表,所述资产列表包括多个风险检测客户端发送的所有网络主机的网络资产;
对所述资产列表中的所有网络资产进行迭代分配处理,以将所述资产列表中的每一网络资产分配至所述客户端列表中的任一识别到该网络资产的风险检测客户端。
7.根据权利要求6所述的一种分布式网络集群风险检测方法,其特征在于:对所述资产列表中的所有网络资产进行迭代分配处理,以将所述资产列表中的每一网络资产分配至所述客户端列表中的任一识别到该网络资产的风险检测客户端,包括:
判断所述资产列表是否迭代结束,如是,则结束调度操作,如否,则进入下一步;
提取所述资产列表中当前迭代的网络资产;
获取当前网络资产对应的所有风险检测客户端;
查找当前网络资产对应的所有风险检测客户端中,分配的网络资产数量最少的风险检测客户端;
将当前网络资产分配至该网络资产数量最少的风险检测客户端,并将该网络资产数量最少的风险检测客户端的分配资产计数加1;
重新对所述资产列表进行迭代分配处理,直到所述资产列表迭代结束。
8.根据权利要求7所述的一种分布式网络集群风险检测方法,其特征在于:查找当前网络资产对应的所有风险检测客户端中,分配的网络资产数量最少的风险检测客户端后,如网络资产数量最少的风险检测客户端并列有多个,则将当前网络资产分配至多个网络资产数量最少的风险检测客户端中,位于客户端列表中排列位置在前的风险检测客户端。
9.根据权利要求7所述的一种分布式网络集群风险检测方法,其特征在于:判断所述资产列表是否迭代结束时,如是,所述方法还包括:
清理所述客户端列表中分配的网络资产数量为0的风险检测客户端,然后结束调度操作。
10.一种分布式网络集群风险检测系统,其特征在于:包括风险检测服务端以及分别与所述风险检测服务端通信连接的多个风险检测客户端;其中,
多个风险检测客户端用于分别进行网络主机识别,得到对应识别的网络主机的网络资产,并分别将识别到的网络资产及其客户端标识发送至所述风险检测服务端;
所述风险检测服务端用于接收多个风险检测客户端发送的网络资产及对应的客户端标识,并对所有网络资产进行调度,以便根据客户端标识,将各个网络资产分别分配至任一识别到该网络资产的风险检测客户端;所述风险检测服务端还用于协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测,得到网络主机风险信息。
CN202211203249.3A 2022-09-29 2022-09-29 一种分布式网络集群风险检测方法及系统 Pending CN115550038A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211203249.3A CN115550038A (zh) 2022-09-29 2022-09-29 一种分布式网络集群风险检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211203249.3A CN115550038A (zh) 2022-09-29 2022-09-29 一种分布式网络集群风险检测方法及系统

Publications (1)

Publication Number Publication Date
CN115550038A true CN115550038A (zh) 2022-12-30

Family

ID=84732076

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211203249.3A Pending CN115550038A (zh) 2022-09-29 2022-09-29 一种分布式网络集群风险检测方法及系统

Country Status (1)

Country Link
CN (1) CN115550038A (zh)

Similar Documents

Publication Publication Date Title
US9501345B1 (en) Method and system for creating enriched log data
US9094309B2 (en) Detecting transparent network communication interception appliances
US11696110B2 (en) Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain
US20220329591A1 (en) Method, apparatus and device for generating device fingerprint and storage medium
US20090182864A1 (en) Method and apparatus for fingerprinting systems and operating systems in a network
US9621512B2 (en) Dynamic network action based on DHCP notification
JP2002169694A (ja) ネットワーク上のpxeクライアントにdhcpサーバを介してブート・サーバを自動的に割り当てる方法とシステム
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
CN107800565A (zh) 巡检方法、装置、系统、计算机设备和存储介质
KR101682513B1 (ko) 다중-코어 플랫폼들을 위한 dns 프록시 서비스
CN115826444A (zh) 基于dns解析的安全访问控制方法、系统、装置及设备
CN111371914A (zh) Ip库生成方法、域名解析方法、电子设备和可读存储介质
WO2024036470A1 (en) Computing power network system
CN115550038A (zh) 一种分布式网络集群风险检测方法及系统
CN106936643B (zh) 一种设备联动方法以及终端设备
WO2022264366A1 (ja) 探索装置、探索範囲決定方法及び探索範囲決定プログラム
CN111988446B (zh) 一种报文处理方法、装置、电子设备及存储介质
CN111385293B (zh) 一种网络风险检测方法和装置
CN115801727A (zh) 域名解析方法、装置、电子设备和存储介质
CN112968915A (zh) Dns域名服务器攻击的处理方法、处理系统、处理装置
Mokhov et al. Automating MAC spoofer evidence gathering and encoding for investigations
CN106603473B (zh) 网络安全信息的处理方法及网络安全信息的处理系统
CN108475210B (zh) 机架感知
US7813274B1 (en) Dynamic demultiplexing of network traffic
KR102089417B1 (ko) 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination