CN116915451B - 一种基于自定义策略的网络资产扫描系统、方法、计算机设备及计算机可读存储介质 - Google Patents

一种基于自定义策略的网络资产扫描系统、方法、计算机设备及计算机可读存储介质 Download PDF

Info

Publication number
CN116915451B
CN116915451B CN202310802612.1A CN202310802612A CN116915451B CN 116915451 B CN116915451 B CN 116915451B CN 202310802612 A CN202310802612 A CN 202310802612A CN 116915451 B CN116915451 B CN 116915451B
Authority
CN
China
Prior art keywords
scanning
network asset
network
strategy
scanned
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310802612.1A
Other languages
English (en)
Other versions
CN116915451A (zh
Inventor
王昊天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Dragon Technology Co ltd
Original Assignee
Shanghai Dragon Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Dragon Technology Co ltd filed Critical Shanghai Dragon Technology Co ltd
Priority to CN202310802612.1A priority Critical patent/CN116915451B/zh
Publication of CN116915451A publication Critical patent/CN116915451A/zh
Application granted granted Critical
Publication of CN116915451B publication Critical patent/CN116915451B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种基于自定义策略的网络资产扫描系统及方法,属于网络安全技术领域。其中,网络资产扫描系统包括:创建模块,用于创建多个网络资产扫描单元;配置模块,用于为每个网络资产扫描单元预先配置至少一种用于对相应层级的网络资产进行扫描的扫描策略;接收模块,用于接收用户输入的待扫描对象以及针对所述每个所述网络资产扫描单元自定义选择的待扫描策略;扫描模块,用于根据每个所述网络资产扫描单元的待扫描策略,调用每个所述网络资产扫描单元对所述待扫描对象所包括的各个层级的网络资产进行扫描。本申请提供了更高的灵活性,能够使得用户能够根据特定的网络资产扫描需求进行定制化的资产扫描。

Description

一种基于自定义策略的网络资产扫描系统、方法、计算机设备 及计算机可读存储介质
技术领域
本申请涉及网络安全技术领域,尤其是涉及一种基于自定义策略的网络资产扫描系统及方法。
背景技术
网络资产的范畴很广,从门户网站、信息系统到中间件、操作系统,再到各种网络设备、安全设备和IoT设备等等,凡是网络当中活动的或者可以被访问到的目标,都可以归类为网络资产。网络资产是企业信息化建设的基础,也是网络安全的重要组成部分,通过全面了解和发现目标企业的各个层级的资产信息,可以帮助企业建立完整的网络资产清单,为企业的网络安全管理提供基础数据和支持。
目前,市场上存在许多网络安全扫描工具,这些工具可以进行端口扫描、漏洞评估和服务识别等功能,通过提供一组默认的扫描模块和方法,以识别网络资产和发现潜在的安全漏洞。
针对上述相关技术,发明人发现由于常见的网络资产扫描工具通常只能提供固定的扫描模块和方法,使得用户无法根据自身需求选择不同的扫描策略,导致无法满足特定的网络资产扫描需求。
发明内容
为了满足特定的网络资产扫描需求,本申请提供了一种基于自定义策略的网络资产扫描系统及方法。
第一方面,本申请提供一种基于自定义策略的网络资产扫描系统,采用如下的技术方案:
一种基于自定义策略的网络资产扫描系统,所述系统包括:
创建模块,用于创建多个网络资产扫描单元;
配置模块,用于为每个网络资产扫描单元预先配置至少一种用于对相应层级的网络资产进行扫描的扫描策略;
接收模块,用于接收用户输入的待扫描对象以及针对所述每个所述网络资产扫描单元自定义选择的待扫描策略;
扫描模块,用于根据每个所述网络资产扫描单元的待扫描策略,调用每个所述网络资产扫描单元对所述待扫描对象所包括的各个层级的网络资产进行扫描。
通过采用上述技术方案,创建多个用于对各个层级的网络资产进行资产扫描的网络资产扫描单元,并为每个网络资产扫描单元配置至少一种扫描策略供用户自定义选择,用户仅需输入目标公司名称,并根据需求选择合适的待扫描策略来扩展扫描功能,每个网络资产扫描单元即可按照用户选择的待扫描策略自动对该公司的各个层级的网络资产进行扫描,从而为网络资产扫描提供了更高的灵活性,使得用户能够根据特定的网络资产扫描需求进行定制化的资产扫描。
可选的,所述多个网络资产扫描单元按照所述各个层级从上到下的顺序至少包括:
一级网络资产扫描单元,用于根据所述待扫描对象,获取对应的子公司名称列表;
二级网络资产扫描单元,用于根据所述待扫描对象或所述子公司名称列表,获取对应的备案域名列表;
三级网络资产扫描单元,用于根据所述备案域名列表,获取对应的子域名列表;
四级网络资产扫描单元,用于根据所述子域名列表,获取对应的IP地址列表。
通过采用上述技术方案,待扫描对象可以为用户所需查询的目标公司名称,根据目标公司名称依次查询子公司名称、备案域名、子域名、IP地址,从而能够帮助用户建立一个全面的网络资产清单,了解公司在互联网上的资产分布和漏洞风险,有利于进行资产管理、网络安全防护以及业务规划等方面的工作。
可选的,所述多个网络资产扫描单元按照所述各个层级从上到下的顺序还包括:
五级网络资产扫描单元,用于根据所述IP地址列表,获取对应的开放端口列表;
六级网络资产扫描单元,用于根据所述IP地址列表和开放端口列表,获取对应的组件列表。
通过采用上述技术方案,待扫描对象可以为用户所需查询的目标公司名称,在查询得到IP地址列表后,可通过IP地址列表再依次查询开放端口和具体组件,通过了解目标主机上开放的端口和具体组件,可以方便确定潜在的安全风险,发现漏洞并采取适当的措施来提高系统的安全性;基于上述网络资产扫描流程,本申请提供了一种系统性的网络资产扫描方法,能够准确全面且多层级地了解和发现目标公司的各个层级的网络资产信息。
可选的,所述一级网络资产扫描单元预先配置的扫描策略至少包括:调用国家信用信息系统查询接口和调用商业信息数据库查询接口;
所述二级网络资产扫描单元预先配置的扫描策略至少包括:调用商业信息数据库查询接口;
所述三级网络资产扫描单元预先配置的扫描策略至少包括:字典爆破策略、递归查询策略、爬取及搜索引擎策略、域名传承策略、第三方服务及接口策略;
所述四级网络资产扫描单元预先配置的扫描策略至少包括:DNS解析策略和第三方在线服务及接口策略;
所述五级网络资产扫描单元预先配置的扫描策略至少包括:全面端口扫描策略、常见端口扫描策略和端口范围扫描策略;
所述六级网络资产扫描单元预先配置的扫描策略至少包括:服务识别策略和Web应用扫描策略。
通过采用上述技术方案,可以理解的是,上述各个扫描策略的选择均取决于用户需求和待扫描对象的实际情况。以五级网络资产扫描单元中的端口扫描为例:全面端口扫描策略可以提供最全面的结果,但可能需要花费更多的时间和资源;常见端口扫描策略可以更快速地检查目标上是否有常用服务,但仅限于常见的端口号的扫描,无法发现不常见或自定义的端口;端口范围扫描策略,可以帮助用户根据具体需求进行端口范围的定制,提供了便捷性和灵活性,但在扫描大范围端口时,可能需要较长时间和更多的网络资源;因此,根据实际情况或用户需求选择合适的扫描策略才更能够满足用户的定制化需求。
可选的,所述系统还包括:
展示模块,用于对所述每个网络资产扫描单元预先配置的至少一种扫描策略进行展示;
输入模块,连接于接收模块,用于供用户输入所述待扫描对象以及针对所述每个网络资产扫描单元自定义选择的待扫描策略。
通过采用上述技术方案,用户通过输入模块输入所需查询的目标公司名称作为待扫描对象,同时利用展示模块向用户展示每个网络资产扫描单元预先配置的扫描策略,可以帮助用户快速了解和比较不同的扫描策略,进而根据不同的目标公司来选择和调整扫描策略,以满足特定的网络资产扫描需求,提高了网络资产扫描的灵活性和适应性。
可选的,所述系统还包括:
存储模块,用于将扫描得到的各个层级的网络资产存储在所述待扫描对象对应的网络资产数据库中;
所述展示模块,还用于对所述网络资产数据库中所述待扫描对象的各个层级的网络资产进行展示。
通过采用上述技术方案,利用存储模块能够将不同层级扫描得到的网络资产信息集中存储在网络资产数据库中,形成完整的网络资产清单,以更好地管理和维护网络资产;利用展示模块能够以可视化的方式展示和浏览待扫描对象及其对应的网络资产的层级关系,不仅可以帮助用户更好地了解网络资产架构,还可以更直观地掌握各个层级的详细信息。
第二方面,本申请提供一种基于自定义策略的网络资产扫描方法,采用如下的技术方案:
一种基于自定义策略的网络资产扫描方法,应用于第一方面所述的网络资产扫描系统,所述方法包括:
创建多个网络资产扫描单元;
为每个网络资产扫描单元预先配置至少一种用于对相应层级的网络资产进行扫描的扫描策略;
接收用户输入的待扫描对象以及针对所述每个所述网络资产扫描单元自定义选择的待扫描策略;
根据每个所述网络资产扫描单元的待扫描策略,调用每个所述网络资产扫描单元对所述待扫描对象所包括的各个层级的网络资产进行扫描。
通过采用上述技术方案,用户仅需输入目标公司名称,并根据需求选择合适的待扫描策略来扩展扫描功能,每个网络资产扫描单元即可按照用户选择的待扫描策略自动对该公司的各个层级的网络资产进行扫描,从而为网络资产扫描提供了更高的灵活性,使得用户能够根据特定的网络资产扫描需求进行定制化的资产扫描。
可选的,所述网络资产扫描方法包括:
将扫描得到的各个层级的网络资产存储在所述待扫描对象对应的网络资产数据库中;
对所述网络资产数据库中所述待扫描对象的各个层级的网络资产进行展示。
通过采用上述技术方案,将不同层级扫描得到的网络资产信息集中存储在网络资产数据库中,形成完整的网络资产清单,以更好地管理和维护网络资产以可视化的方式展示和浏览待扫描对象及其对应的网络资产的层级关系,不仅可以帮助用户更好地了解网络资产架构,还可以更直观地掌握各个层级的详细信息。
第三方面,本申请提供一种计算机设备,采用如下的技术方案:
一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的方法。
第四方面,本申请提供一种计算机可读存储介质,采用如下的技术方案:
一种计算机可读存储介质,存储有能够被处理器加载并执行如第一方面中任一种方法的计算机程序。
综上所述,本申请包括以下至少一种有益技术效果:通过创建多个用于对各个层级的网络资产进行资产扫描的网络资产扫描单元,并为每个网络资产扫描单元配置至少一种扫描策略供用户自定义选择,用户仅需输入目标公司名称,并根据需求选择合适的待扫描策略来扩展扫描功能,每个网络资产扫描单元即可按照用户选择的待扫描策略自动对该公司的各个层级的网络资产进行扫描,从而为网络资产扫描提供了更高的灵活性,使得用户能够根据特定的网络资产扫描需求进行定制化的资产扫描。
附图说明
图1是本申请其中一个实施例的网络资产扫描系统的结构框图。
图2是本申请其中一个实施例的多个网络资产扫描单元的结构框图。
图3是本申请又一个实施例的网络资产扫描系统的结构框图。
图4是本申请其中一个实施例的网络资产扫描方法的流程示意图。
图5是本申请又一个实施例的网络资产扫描方法的流程示意图。
附图标记说明:101、创建模块;102、配置模块;103、接收模块;104、扫描模块;105、展示模块;106、输入模块;107、存储模块;201、一级网络资产扫描单元;202、二级网络资产扫描单元;203、三级网络资产扫描单元;204、四级网络资产扫描单元;205、五级网络资产扫描单元;206、六级网络资产扫描单元。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图1-5及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
基于前述背景技术中所提及的问题,目前,常见的网络资产扫描工具通常缺乏用户自定义选择的功能,用户无法根据具体情况进行灵活配置和调整,导致无法适应不同的网络环境和特定需求。
为解决上述技术问题,本申请实施例创新性地提供一种基于自定义策略的网络资产扫描系统,下面结合附图进行介绍。
参照图1,一种基于自定义策略的网络资产扫描系统包括:
创建模块101,用于创建多个网络资产扫描单元;
其中,每个网络资产扫描单元用于对待扫描对象所包括的其中一个层级的网络资产进行资产扫描;
配置模块102,用于为每个网络资产扫描单元预先配置至少一种用于对相应层级的网络资产进行扫描的扫描策略;
其中,每个网络资产扫描单元都配置有至少一种扫描策略供用户进行选择;例如,在需要扫描子公司名称时,扫描策略可以为通过国家企业信用信息公示系统查询接口进行扫描查询,也可以为通过其他商业数据库查询接口进行扫描查询;通过提供多种扫描策略供用户选择,能够帮助用户获得更加丰富全面的网络资产信息。
接收模块103,用于接收用户输入的待扫描对象以及针对每个网络资产扫描单元自定义选择的待扫描策略;
其中,待扫描对象可以为用户需要查询的特定的目标公司名称;用户可根据实际情况和特定需求,针对每个网络资产扫描单元选择其中一种或多种扫描策略组合以作为每个网络资产扫描单元的待扫描策略。
扫描模块104,用于根据每个网络资产扫描单元的待扫描策略,调用每个网络资产扫描单元对待扫描对象所包括的各个层级的网络资产进行扫描。
上述实施方式中,通过创建多个用于对各个层级的网络资产进行资产扫描的网络资产扫描单元,并为每个网络资产扫描单元配置至少一种扫描策略供用户自定义选择,用户仅需输入目标公司名称,并根据需求选择合适的待扫描策略来扩展扫描功能,每个网络资产扫描单元即可按照用户选择的待扫描策略自动对该公司的各个层级的网络资产进行扫描,从而为网络资产扫描提供了更高的灵活性,使得用户能够根据特定的网络资产扫描需求进行定制化的资产扫描。
参照图2所示,图2所示为多个网络资产扫描单元的结构示意图,在本申请的一个实施例中,多个网络资产扫描单元按照各个层级从上到下的顺序至少包括:
一级网络资产扫描单元201,用于根据待扫描对象,获取对应的子公司名称列表;
其中,待扫描对象可以为目标公司名称,通过目标公司名称到子公司名称的映射,可以识别出目标公司旗下的多个不同子公司,进而方便了解组织架构和业务范围;
二级网络资产扫描单元202,用于根据待扫描对象或子公司名称列表,获取对应的备案域名列表;
其中,备案域名是标识互联网资源的重要组成部分,通过了解公司或子公司的备案域名,能够有助于确定公司以及子公司的在线业务范围和网络资产;
需要说明的是,由于待扫描对象中的目标公司可能并不存在对应的子公司,此时即可通过二级网络资产扫描单元202扫描该目标公司对应的备案域名,以获取对应的备案域名列表。
三级网络资产扫描单元203,用于根据备案域名列表,获取对应的子域名列表;
其中,由域名到子域名的映射可以提供更详细的信息,子域名通常表示不同的业务功能或部门,通过了解子域名列表,能够更好地了解公司的网络结构和在线业务;
四级网络资产扫描单元204,用于根据子域名列表,获取对应的IP地址列表。
其中,从子域名到IP地址的映射可以确定子域名所对应的具体IP地址,这对于网络资产扫描和漏洞评估非常重要,可以帮助目标公司发现和管理在互联网上的IP地址和相关资产,以便有效地进行安全风险评估和防御措施。
上述实施方式中,待扫描对象可以为用户所需查询的目标公司名称,根据目标公司名称依次查询子公司名称、备案域名、子域名、IP地址,从而能够帮助用户建立一个全面的网络资产清单,了解公司在互联网上的资产分布和漏洞风险,有利于进行资产管理、网络安全防护以及业务规划等方面的工作。
参照图2,作为本申请进一步的实施方式,多个网络资产扫描单元按照各个层级从上到下的顺序还包括:
五级网络资产扫描单元205,用于根据IP地址列表,获取对应的开放端口列表;
其中,从IP地址到端口的扫描可以帮助确定目标主机上开放的端口号,端口号用于标识网络通信中的不同服务或应用程序,通过扫描目标主机的端口,可以识别出目标主机上运行的具体服务和应用程序;
六级网络资产扫描单元206,用于根据IP地址列表和开放端口列表,获取对应的组件列表。
其中,利用IP地址和开放端口向目标主机发送特定的请求并观察响应,可以识别出服务或应用程序使用的组件、框架、版本信息等,这对于安全评估、漏洞分析和补丁管理非常重要。
上述实施方式中,待扫描对象可以为用户所需查询的目标公司名称,在查询得到IP地址列表后,可通过IP地址列表再依次查询开放端口和具体组件,通过了解目标主机上开放的端口和具体组件,可以方便确定潜在的安全风险,发现漏洞并采取适当的措施来提高系统的安全性。
另外,基于上述网络资产扫描流程,相比于现有的网络资产扫描工具仅提供特定的网络资产扫描功能,本申请提供了一种系统性的网络资产扫描方法,能够准确全面且多层级地了解和发现目标公司的各个层级的网络资产信息,大大节省了时间和人力成本。
在本申请的一个实施例中,一级网络资产扫描单元201预先配置的扫描策略至少包括:调用国家信用信息系统查询接口和调用商业信息数据库查询接口;
其中,将待扫描对象中的目标公司名称作为输入参数,可以通过调用国家信用信息系统的API接口进行查询,该系统提供了大量的公司注册信息,包括公司名称、注册资本、法定代表人、注册地址、股东信息等等;也可通过例如阿里巴巴、天眼查等的商业信息数据库的API接口进行查询,商业数据库通常会提供更全面丰富的商业信息,包括子公司的名称、关联公司等。
在本申请的一个实施例中,二级网络资产扫描单元202预先配置的扫描策略至少包括:调用商业信息数据库查询接口;
其中,将子公司名称作为输入参数,可以通过例如阿里巴巴、天眼查等的商业信息数据库的API接口进行查询,这些商业数据库的API接口通常提供了域名信息查询功能,可以根据子公司名称进行关联查询,获取子公司所拥有的备案域名。
在本申请的一个实施例中,三级网络资产扫描单元203预先配置的扫描策略至少包括:字典爆破策略、递归查询策略、爬取及搜索引擎策略、域名传承策略、第三方服务及接口策略;
其中,可将备案域名列表中的各个备案域名作为目标域名,字典爆破策略即使用预定义的字典或常用子域名列表,将这些子域名附加到目标域名的前缀上。递归查询策略即通过DNS递归查询请求,向目标域名的DNS服务器发出请求,以获取可能存在的子域名记录。爬取及搜索引擎策略即使用网络爬虫工具或搜索引擎搜索与目标域名相关的链接和页面,以发现与目标域名相关的其他子域名。域名传承策略即检查目标域名的DNS配置,查看是否有其他子域名通过CNAME或NS记录传承到不同的域名。第三方服务及接口策略即使用第三方提供的子域名发现服务或API接口,如SecurityTrails、Shodan、Censys等,这些服务维护了广泛的域名和子域名数据库,可以提供更全面和准确的子域名发现结果。需要说明的是,用户可根据时间、准确率和成本等需求,选择合适的子域名扫描策略,例如可选择一种扫描策略,也可以选择多种组合的扫描策略。
在本申请的一个实施例中,四级网络资产扫描单元204预先配置的扫描策略至少包括:DNS解析策略和第三方在线服务及接口策略;
其中,可将子域名列表中的各个子域名作为目标域名,DNS解析策略即使用标准的DNS解析机制,向目标域名的DNS服务器发送查询请求,获取该域名对应的IP地址;第三方在线服务及接口策略即使用一些在线服务和API接口进行IP地址扫描,如SecurityTrails、Shodan、Censys等,这些服务提供了查询子域名关联IP地址的功能。
在本申请的一个实施例中,五级网络资产扫描单元205预先配置的扫描策略至少包括:全面端口扫描策略、常见端口扫描策略和端口范围扫描策略;
其中,将IP地址列表中的各个IP地址作为目标IP地址,全面端口扫描策略即对目标IP地址进行全面端口扫描,通过发送特定的网络请求到目标IP地址的各个端口,以确定哪些端口处于开放状态,进而获取对应的开放端口列表;常见端口扫描策略即针对针对常见的端口号,如HTTP(端口80)、HTTPS(端口443)、FTP(端口21)、SSH(端口22)等,直接向目标IP地址发送连接请求,以确定这些常见端口是否开放,进而获取对应的开放端口列表;端口范围扫描策略即通过指定一个端口范围,如1-1000,对目标IP地址进行扫描,以扫描指定范围内的所有端口,以发现潜在的服务和应用程序。
需要说明的是,由于各个端口扫描策略均有相应的优缺点,例如:全面端口扫描策略可以提供最全面的结果,但可能需要花费更多的时间和资源;常见端口扫描策略可以更快速地检查目标上是否有常用服务,但仅限于常见的端口号的扫描,无法发现不常见或自定义的端口;端口范围扫描策略,可以帮助用户根据具体需求进行端口范围的定制,提供了便捷性和灵活性,但在扫描大范围端口时,可能需要较长时间和更多的网络资源。因此,在进行端口扫描策略选择时,用户可根据实际需求,选择其中任意一种策略作为五级网络资产扫描单元205对应的端口扫描策略。
在本申请的一个实施例中,六级网络资产扫描单元206预先配置的扫描策略至少包括:服务识别策略和Web应用扫描策略。
其中,将IP地址列表中的各个IP地址作为目标IP地址,将开放端口列表中的各个开放端口作为目标端口;服务识别策略即通过发送特定的网络请求和观察目标主机的响应,识别目标IP地址上运行的具体服务和应用程序,通过目标端口号和服务响应的特征,可以确定目标主机上使用的组件类型和版本信息;Web应用扫描策略即通过指定目标IP地址和目标端口,使用Web应用扫描工具建立与目标主机的连接,并发送相应的请求获取Web应用程序的信息,以识别Web应用程序的组件和框架。
上述实施方式中,各个扫描策略的选择均取决于用户需求和待扫描对象的实际情,可以理解的是,根据实际情况或用户需求选择合适的扫描策略才更能够满足用户的定制化需求。相比于现有的网络资产扫描工具可能存在误报或漏报的情况,本申请通过多个网络资产扫描单元和多种扫描策略相结合的方式,提高了数据质量和准确性,能够帮助用户获得准确全面的网络资产信息,同时还允许用户外接第三方服务插件,以拓展对应的资产扫描功能,从而提供了更高的灵活性和可定制性。
参照图3,作为网络资产扫描系统进一步的实施方式,系统还包括:
展示模块105,连接于配置模块102,用于对每个网络资产扫描单元预先配置的至少一种扫描策略进行展示;
输入模块106,连接于接收模块103,用于供用户输入待扫描对象以及针对每个网络资产扫描单元自定义选择的待扫描策略。
其中,可将各个扫描策略通过提供定制选项的方式供用户进行选择。
上述实施方式中,用户通过输入模块106输入所需查询的目标公司名称作为待扫描对象,同时利用展示模块105向用户展示每个网络资产扫描单元预先配置的扫描策略,可以帮助用户快速了解和比较不同的扫描策略,进而根据不同的目标公司来选择和调整扫描策略,以满足特定的网络资产扫描需求,提高了网络资产扫描的灵活性和适应性。
参照图3,作为网络资产扫描系统进一步的实施方式,系统还包括:
存储模块107,连接于扫描模块104,用于将扫描得到的各个层级的网络资产存储在待扫描对象对应的网络资产数据库中;
其中,网络资产数据库中包括每个待扫描对象及其对应的网络资产数据,即包括从公司名称到子公司名称、子公司名称到域名、域名到子域名、子域名到IP地址、IP地址到端口、端口到组件等多个层级的网络资产信息。
展示模块105,连接于存储模块107,还用于对网络资产数据库中待扫描对象的各个层级的网络资产进行展示。
上述实施方式中,利用存储模块107能够将不同层级扫描得到的网络资产信息集中存储在网络资产数据库中,形成完整的网络资产清单,以更好地管理和维护网络资产,也方便用户随时回溯查询历史扫描结果;利用展示模块105能够以可视化的方式展示和浏览待扫描对象及其对应的网络资产的层级关系,不仅可以帮助用户更好地了解网络资产架构,还可以更直观地掌握各个层级的详细信息。
进一步地,本申请实施例还提供一种基于自定义策略的网络资产扫描方法。
参照图4,一种基于自定义策略的网络资产扫描方法,应用于上述的网络资产扫描系统,方法包括:
步骤S101,创建多个网络资产扫描单元;
步骤S102,为每个网络资产扫描单元预先配置至少一种用于对相应层级的网络资产进行扫描的扫描策略;
步骤S103,接收用户输入的待扫描对象以及针对每个网络资产扫描单元自定义选择的待扫描策略;
步骤S104,根据每个网络资产扫描单元的待扫描策略,调用每个网络资产扫描单元对待扫描对象所包括的各个层级的网络资产进行扫描。
上述实施方式中,创建多个用于对各个层级的网络资产进行资产扫描的网络资产扫描单元,并为每个网络资产扫描单元配置至少一种扫描策略供用户自定义选择,用户仅需输入目标公司名称,并根据需求选择合适的待扫描策略来扩展扫描功能,每个网络资产扫描单元即可按照用户选择的待扫描策略自动对该公司的各个层级的网络资产进行扫描,从而为网络资产扫描提供了更高的灵活性,使得用户能够根据特定的网络资产扫描需求进行定制化的资产扫描。
参照图5,作为网络资产扫描方法进一步的实施方式,网络资产扫描方法还包括:
步骤S201,将扫描得到的各个层级的网络资产存储在待扫描对象对应的网络资产数据库中;
步骤S202,对网络资产数据库中待扫描对象的各个层级的网络资产进行展示。
本申请实施例的网络资产扫描方法应用于上述的网络资产扫描系统,且网络资产扫描方法中各个步骤的具体过程可参考上述系统实施例中的对应过程。
在本申请所提供的几个实施例中,应该理解到,所提供的方法和系统,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的;例如,某个模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本申请实施例还公开一种计算机设备。
计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现如上述的网络资产扫描方法。
本申请实施例还公开一种计算机可读存储介质。
计算机可读存储介质,存储有能够被处理器加载并执行如上述的网络资产扫描方法中任一种方法的计算机程序。
其中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用;计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
需要说明的是,在上述实施例中,对各个实施例的描述各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,本说明书(包括摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。

Claims (7)

1.一种基于自定义策略的网络资产扫描系统,其特征在于,所述系统包括:
创建模块(101),用于创建多个网络资产扫描单元;
配置模块(102),用于为每个网络资产扫描单元预先配置至少一种用于对相应层级的网络资产进行扫描的扫描策略;
接收模块(103),用于接收用户输入的待扫描对象以及针对所述每个所述网络资产扫描单元自定义选择的待扫描策略;
扫描模块(104),用于根据每个所述网络资产扫描单元的待扫描策略,调用每个所述网络资产扫描单元对所述待扫描对象所包括的各个层级的网络资产进行扫描;所述多个网络资产扫描单元按照所述各个层级从上到下的顺序至少包括:
一级网络资产扫描单元(201),用于根据所述待扫描对象,获取对应的子公司名称列表;
二级网络资产扫描单元(202),用于根据所述待扫描对象或所述子公司名称列表,获取对应的备案域名列表;
三级网络资产扫描单元(203),用于根据所述备案域名列表,获取对应的子域名列表;
四级网络资产扫描单元(204),用于根据所述子域名列表,获取对应的IP地址列表;所述多个网络资产扫描单元按照所述各个层级从上到下的顺序还包括:
五级网络资产扫描单元(205),用于根据所述IP地址列表,获取对应的开放端口列表;
六级网络资产扫描单元(206),用于根据所述IP地址列表和开放端口列表,获取对应的组件列表;
所述一级网络资产扫描单元(201)预先配置的扫描策略至少包括:调用国家信用信息系统查询接口和调用商业信息数据库查询接口;
所述二级网络资产扫描单元(202)预先配置的扫描策略至少包括:调用商业信息数据库查询接口;
所述三级网络资产扫描单元(203)预先配置的扫描策略至少包括:字典爆破策略、递归查询策略、爬取及搜索引擎策略、域名传承策略、第三方服务及接口策略;
所述四级网络资产扫描单元(204)预先配置的扫描策略至少包括:DNS解析策略和第三方在线服务及接口策略;
所述五级网络资产扫描单元(205)预先配置的扫描策略至少包括:全面端口扫描策略、常见端口扫描策略和端口范围扫描策略;
所述六级网络资产扫描单元(206)预先配置的扫描策略至少包括:服务识别策略和Web应用扫描策略。
2.根据权利要求1所述的一种基于自定义策略的网络资产扫描系统,其特征在于,所述系统还包括:
展示模块(105),用于对所述每个网络资产扫描单元预先配置的至少一种扫描策略进行展示;
输入模块(106),连接于接收模块(103),用于供用户输入所述待扫描对象以及针对所述每个网络资产扫描单元自定义选择的待扫描策略。
3.根据权利要求2所述的一种基于自定义策略的网络资产扫描系统,其特征在于,所述系统还包括:
存储模块(107),用于将扫描得到的各个层级的网络资产存储在所述待扫描对象对应的网络资产数据库中;
所述展示模块(105),还用于对所述网络资产数据库中所述待扫描对象的各个层级的网络资产进行展示。
4.一种基于自定义策略的网络资产扫描方法,其特征在于,应用于所述权利要求1-3任意一项所述的网络资产扫描系统,所述方法包括:
创建多个网络资产扫描单元;
为每个网络资产扫描单元预先配置至少一种用于对相应层级的网络资产进行扫描的扫描策略;
接收用户输入的待扫描对象以及针对所述每个所述网络资产扫描单元自定义选择的待扫描策略;
根据每个所述网络资产扫描单元的待扫描策略,调用每个所述网络资产扫描单元对所述待扫描对象所包括的各个层级的网络资产进行扫描。
5.根据权利要求4所述的一种基于自定义策略的网络资产扫描方法,其特征在于,
将扫描得到的各个层级的网络资产存储在所述待扫描对象对应的网络资产数据库中;
对所述网络资产数据库中所述待扫描对象的各个层级的网络资产进行展示。
6.一种计算机设备,其特征在于:包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求4到5任意一项所述方法。
7.一种计算机可读存储介质,其特征在于:存储有能够被处理器加载并执行如权利要求4到5任意一项所述方法的计算机程序。
CN202310802612.1A 2023-06-30 2023-06-30 一种基于自定义策略的网络资产扫描系统、方法、计算机设备及计算机可读存储介质 Active CN116915451B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310802612.1A CN116915451B (zh) 2023-06-30 2023-06-30 一种基于自定义策略的网络资产扫描系统、方法、计算机设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310802612.1A CN116915451B (zh) 2023-06-30 2023-06-30 一种基于自定义策略的网络资产扫描系统、方法、计算机设备及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN116915451A CN116915451A (zh) 2023-10-20
CN116915451B true CN116915451B (zh) 2024-03-22

Family

ID=88350350

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310802612.1A Active CN116915451B (zh) 2023-06-30 2023-06-30 一种基于自定义策略的网络资产扫描系统、方法、计算机设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN116915451B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108183916A (zh) * 2018-01-15 2018-06-19 华北电力科学研究院有限责任公司 一种基于日志分析的网络攻击检测方法及装置
CN109660401A (zh) * 2018-12-20 2019-04-19 中国电子科技集团公司第三十研究所 一种分布式网络资产探测方法
CN110336684A (zh) * 2019-03-21 2019-10-15 北京天防安全科技有限公司 一种网络资产智能识别方法及系统
CN112637159A (zh) * 2020-12-14 2021-04-09 杭州安恒信息技术股份有限公司 一种基于主动探测技术的网络资产扫描方法、装置及设备
CN113114666A (zh) * 2021-04-09 2021-07-13 天津理工大学 一种sdn网络中针对扫描攻击的移动目标防御方法
CN115766530A (zh) * 2022-12-01 2023-03-07 西安捷润数码科技有限公司 一种内网资产的监控方法
CN116015745A (zh) * 2022-12-06 2023-04-25 江苏林洋能源股份有限公司 基于指纹识别互联网资产的方法、设备及介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9191409B2 (en) * 2013-11-25 2015-11-17 Level 3 Communications, Llc System and method for a security asset manager

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108183916A (zh) * 2018-01-15 2018-06-19 华北电力科学研究院有限责任公司 一种基于日志分析的网络攻击检测方法及装置
CN109660401A (zh) * 2018-12-20 2019-04-19 中国电子科技集团公司第三十研究所 一种分布式网络资产探测方法
CN110336684A (zh) * 2019-03-21 2019-10-15 北京天防安全科技有限公司 一种网络资产智能识别方法及系统
CN112637159A (zh) * 2020-12-14 2021-04-09 杭州安恒信息技术股份有限公司 一种基于主动探测技术的网络资产扫描方法、装置及设备
CN113114666A (zh) * 2021-04-09 2021-07-13 天津理工大学 一种sdn网络中针对扫描攻击的移动目标防御方法
CN115766530A (zh) * 2022-12-01 2023-03-07 西安捷润数码科技有限公司 一种内网资产的监控方法
CN116015745A (zh) * 2022-12-06 2023-04-25 江苏林洋能源股份有限公司 基于指纹识别互联网资产的方法、设备及介质

Also Published As

Publication number Publication date
CN116915451A (zh) 2023-10-20

Similar Documents

Publication Publication Date Title
US9336400B2 (en) Information asset placer
US11948115B2 (en) Systems and methods for monitoring information security effectiveness
US10795643B2 (en) System and method for resource reconciliation in an enterprise management system
US10171318B2 (en) System and method of identifying internet-facing assets
US8990910B2 (en) System and method using globally unique identities
US20180137288A1 (en) System and method for modeling security threats to prioritize threat remediation scheduling
US9122720B2 (en) Enriching database query responses using data from external data sources
US6826698B1 (en) System, method and computer program product for rule based network security policies
CN114846462A (zh) 使用图数据结构的资产搜索发现系统
US8620908B2 (en) Retrieving configuration records from a configuration management database
US8856315B2 (en) Device classification system
CN108574742B (zh) 域名信息收集方法及域名信息收集装置
US11477167B2 (en) Systems and methods for performing dynamic firewall rule evaluation
AU2012271083A1 (en) Enriching database query responses using data from external data sources
US9355270B2 (en) Security configuration systems and methods for portal users in a multi-tenant database environment
US8086701B2 (en) Platform for managing and configuring network state
CN116915451B (zh) 一种基于自定义策略的网络资产扫描系统、方法、计算机设备及计算机可读存储介质
CN116800716A (zh) 一种企业ip地址段的获取方法及系统
WO2023014523A1 (en) Application security posture identifier
WO2014038925A1 (en) User-centric online identity management
US20230344848A1 (en) Efficient management of complex attack surfaces
RU2681334C2 (ru) Система и способ идентификации информационных активов
CN116578999A (zh) 一种数据安全处理方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant