WO2019153384A1

WO2019153384A1 - 一种漏洞扫描方法、服务端及系统

Info

Publication number: WO2019153384A1
Application number: PCT/CN2018/077557
Authority: WO
Inventors: 王海涵; 许友南; 钟启富; 施纯毅
Original assignee: 网宿科技股份有限公司
Priority date: 2018-02-07
Filing date: 2018-02-28
Publication date: 2019-08-15
Also published as: US20210226979A1; US11070580B1; EP3751811A1; CN108282489A; EP3751811A4; CN108282489B

Abstract

本发明公开了一种漏洞扫描方法、服务端及系统，其中，所述方法包括：识别目标主机中运行的主机服务，并建立与识别出的所述主机服务相适配的扫描任务；将建立的所述扫描任务下发至任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个扫描任务；其中，所述代理节点在针对所述目标主机执行所述至少一个扫描任务后，得到扫描结果；接收所述代理节点反馈的扫描结果，并判断识别出的所述主机服务中，是否存在指定主机服务，所述指定主机服务用于表征在所述目标主机中运行有网站资源；若存在，向所述任务调度中心再次下发所述指定主机服务对应的扫描子任务。本申请提供的技术方案，能够提高漏洞扫描的精度。

Description

一种漏洞扫描方法、服务端及系统

技术领域

本发明涉及互联网技术领域，特别涉及一种漏洞扫描方法、服务端及系统。

背景技术

随着互联网技术的不断发展，互联网中的信息安全问题也日益突出。当前，利用计算机漏洞和网络系统缺陷进行网络攻击已经成为不法分子谋取私利和犯罪的重要手段。为了及时对计算机漏洞进行修复，通常需要利用漏洞扫描工具对计算机进行扫描，从而发现计算机中已经存在的或者潜在的漏洞。

传统的漏洞扫描工具在对计算机进行扫描时，扫描内容都是预先定制好的。漏洞扫描工具可以一次性地将预先定制的扫描内容执行一遍，从而对扫描内容中限定的可能存在的漏洞进行检测。然而，这种漏洞扫描方法具备较大的局限性，针对计算机扫描的内容只能包含于预先定制的内容中，针对不同的计算机，这些定制的扫描内容可能并不适用，或者无法全面地对计算机进行漏洞扫描。因此，现有技术中漏洞扫描的精度不够高。

发明内容

本申请的目的在于提供一种漏洞扫描方法、服务端及系统，能够提高漏洞扫描的精度。

为实现上述目的，本申请一方面提供一种漏洞扫描方法，所述方法包括：识别目标主机中运行的主机服务，并建立与识别出的所述主机服务相适配的扫描任务；将建立的所述扫描任务下发至任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个扫描任务；其中，所述代理节点在针对所述目标主机执行所述至少一个扫描任务后，得到扫描结果；接收所述代理节点反馈的扫描结果，并判断识别出的所述主机服务中，是否存在指定主机服务，所述指定主机服务用于表征在所述目标主机中运行有网站资源；若存在，向所述任务调度中心再次下发所述指定主机服务对应的扫描子任务；其中，所述扫描子任务被代理节点从所述任务调度中心处获取并针对所述目标主机执行之后，得到所述目标主机中所述指定主机服务对应的扫描结果。

为实现上述目的，本申请另一方面还提供一种服务端，所述服务端包括存储器和处理器，所述存储器中存储计算机程序，所述计算机程序被所述处理器执行时，实现以下步骤：识别目标主机中运行的主机服务，并建立与识别出的所述主机服务相适配的扫描任务；将建立的所述扫描任务下发至任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个扫描任务；其中，所述代理节点在针对所述目标主机执行所述至少一个扫描任务后，得到扫描结果；接收所述代理节点反馈的扫描结果，并判断识别出的所述主机服务中，是否存在指定主机服务；所述指定主机服务用于表征在所述目标主机中运行有网站资源；若存在，向所述任务调度中心再次下发所述指定主机服务对应的扫描子任务；其中，所述扫描子任务被代理节点从所述任务调度中心处获取并针对所述目标主机执行之后，得到所述目标主机中所述指定主机服务对应的扫描结果。

为实现上述目的，本申请另一方面还提供一种漏洞扫描系统，所述系统包括服务端、任务调度中心以及代理节点，其中：所述服务端，用于识别目标主机中运行的主机服务；建立与所述主机服务相适配的扫描任务，并将建立的所述扫描任务下发至所述任务调度中心；判断识别出的所述主机服务中，是否存在指定主机服务，所述指定主机服务用于表征在所述目标主机中运行有网站资源；若存在，向所述任务调度中心再次下发所述指定主机服务对应的扫描子任务；接收所述代理节点反馈的扫描结果；所述任务调度中心，用于接收所述服务端下发的扫描任务或者扫描子任务，并将所述扫描任务或者扫描子任务放置于任务队列中；所述代理节点，用于从所述任务调度中心处获取至少一个扫描任务或者扫描子任务，并针对所述目标主机执行所述至少一个扫描任务或者扫描子任务，以得到扫描结果；向所述服务端反馈得到的扫描结果。

由上可见，本申请提供的技术方案，在对目标主机进行漏洞扫描时，可以多次下发扫描任务，并且每次下发的扫描任务，都是基于对主机中的服务、网站或者组件进行识别后确定的。具体地，在识别到目标主机中存在主机服务时，服务端可以向任务调度中心下发主机服务对应的扫描任务。若识别出的主机服务中存在表征网站资源的指定主机服务时，服务端可以再次下发针对该指定主机服务的扫描子任务。该扫描子任务相对上一次下发的扫描任务而言，能够更加全面地扫描所述指定主机服务中可能存在的漏洞。在针对表征网站资源的指定主机服务下发扫描子任务后，还可以继续收集该网站资源相关联的页面地址，并且针对收集的页面地址，服务端可以进一步地下发页面应用扫描任务，从而可以进一步地针对网站页面中可能存在的漏洞进行扫描。进一步地，可以识别出收集到的页面地址对应的页面指纹，通过将页面指纹与预设指纹库进行匹配后，可以确定网站页面中是否存在指定的页面组件。若存在，服务端可以进一步下发页面组件扫描任务，从而可以对可能存在漏洞的指定页面组件进行扫描。由上可见，本申请提供的技术方案，每次都是基于针对主机的识别结果来生成相应的扫描任务，并多次下发扫描任务，从而有针对性地对目标主机进行由浅入深的扫描过程。此外，本申请提供的技术方案，除了可以对主机进行扫描，还可以对主机上运维的网站进行扫描，从而能够实现更加全面的扫描过程。在系统结构方面，采用服务端与代理节点的分布式扫描模式，可以通过多个代理节点平行扫描的方式，提高漏洞扫描的效率。因此，本申请提供的技术方案，不仅能够提高漏洞扫描的精度，而且能够提高漏洞扫描的效率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例中系统结构示意图；

图2是本发明实施例中漏洞扫描方法流程图；

图3是本发明实施例中漏洞扫描流程图；

图4是本发明实施例中服务端的结构示意图；

图5是本发明实施例中各主体交互示意图；

图6是本发明实施例中计算机终端的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

实施例一

本申请提供的技术方案，可以应用于如图1所示的系统架构中。请参阅图1，所述系统架构可以包括服务端、任务调度中心以及代理节点。其中，所述服务端可以用于创建扫描漏洞的扫描任务，所述任务调度中心可以接收所述服务端下发的扫描任务，所述代理节点可以从所述任务调度中心处获取扫描任务，并针对相应的主机执行获取的扫描任务，从而得到与该主机相关的扫描结果。最终，扫描结果可以由代理节点上报至所述服务端。

在本申请中，上述的系统架构可以采用分布式系统的部署方式，代理节点的数量可以为多个，这多个代理节点均可以与任务调度中心相连，其中的部分代理节点可以针对同一个主机获取不同的扫描任务，并且这部分代理节点可以并行执行获取的扫描任务，从而提高漏洞扫描的效率。

本申请提供一种漏洞扫描方法，所述方法可以应用于上述的系统结构中。请参阅图2和图3，所述方法可以包括以下步骤，下述步骤S11至S15的执行主体可以是上述的服务端。

S11：识别目标主机中运行的主机服务，并建立与识别出的所述主机服务相适配的扫描任务。

在本实施方式中，所述目标主机可以是待扫描漏洞的主机，服务端在针对所述目标主机下发扫描任务时，首先可以识别所述目标主机中运行的主机服务。具体地，可以通过对所述目标主机进行外部服务探测，从而检测到所述目标主机面向互联网的资产，后续可以针对这些面向互联网的资产进行漏洞扫描。此外，并不是所有的攻击都来自于外部网络，有些攻击还可能来自于目标主机内部的应用。这样，服务端还可以对所述目标主机进行内部应用检测，从而检测到所述目标主机内部的资产。

在本实施方式中，上述检测到的资产均可以作为目标主机中运行的主机服务，在检测到所述目标主机中存在运行的主机服务后，服务端可以在预设漏洞数据库中查询与识别出的所述主机服务相适配的漏洞类型。这样处理的意义在于，服务端不会盲目地下发针对所有主机服务的扫描任务，而是针对可能存在漏洞的主机服务才下发对应的扫描任务。这样，在识别出主机服务适配的漏洞类型后，服务端可以建立针对所述漏洞类型的扫描任务。其中，针对所述漏洞类型的扫描任务就可以作为与主机服务相适配的扫描任务。

S13：将建立的所述扫描任务下发至任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个扫描任务；其中，所述代理节点在针对所述目标主机执行所述至少一个扫描任务后，得到扫描结果。

在本实施方式中，服务端在建立了针对所述目标主机的扫描任务后，可以将所述扫描任务下发至所述任务调度中心。所述任务调度中心接收到扫描任务后，可以将扫描任务放置于任务列队中，以等待代理节点来获取扫描任务。

在本实施方式中，代理节点可以基于自身当前的负载情况，有选择地从任务调度中心处获取扫描任务。具体地，所述代理节点中可以包括负载均衡模块，所述负载均衡模块可以在代理节点即将从任务调度中心处获取扫描任务时，获取所述代理节点当前的负载参数。所述负载参数例如可以包括所述代理节点当前的CPU使用量、内存使用量、处理的扫描任务的数量等。负载均衡模块可以基于所述负载参数，综合算出所述代理节点当前的负载值。负载值越高，表示代理节点处理扫描任务的能力越低。这样，负载均衡模块可以根据所述代理节点当前的负载值，确定预计从所述任务调度中心获取的扫描任务的数量。具体地，负载均衡模块中可以预先存储负载值与任务数量之间的映射关系表，在该映射关系表中，可以划分负载值的区间，以及每个区间所对应的能够获取的任务数量。这样，在确定出代理节点实时的负载值之后，通过该映射关系表便可以确定当前能够获取的扫描任务的数量。

在本实施方式中，代理节点在获取了针对所述目标主机的扫描任务之后，便可以通过所述目标主机预先提供的扫描接口，执行获取的所述扫描任务。在扫描任务执行过程中，便可以检测目标主机中在主机服务方面可能存在的漏洞。当扫描任务执行完成时，便可以根据扫描得到的漏洞信息，汇总成扫描结果。该扫描结果可以由代理节点反馈至所述服务端。

S15：接收所述代理节点反馈的扫描结果，并判断识别出的所述主机服务中，是否存在指定主机服务，所述指定主机服务用于表征在所述目标主机中运行有网站资源；若存在，向所述任务调度中心再次下发所述指定主机服务对应的扫描子任务；其中，所述扫描子任务被代理节点从所述任务调度中心处获取并针对所述目标主机执行之后，得到所述目标主机中所述指定主机服务对应的扫描结果。

在本实施方式中，服务端可以接收代理节点反馈的扫描结果。该扫描结果是针对主机服务初步扫描后得到的结果。上述建立的扫描任务，可以是对可能存在漏洞的主机服务进行的浅层扫描，针对一些重点的主机服务，并不会进行更加精细的扫描。因此，在本实施方式中，可以通过逐层深入的方式，多次下发扫描任务。具体地，服务端可以判断识别出的所述主机服务中，是否存在指定主机服务。所述指定主机服务可以用于表征在所述目标主机中运行有网站资源。由于网站通常会被大量用户访问，因此表征网站资源内的指定主机服务可以是目标主机中比较重要的服务，并且可以是容易被攻击的服务。例如，所述指定主机服务为HTTP服务。在实际应用中，当确定所述目标主机中开启有HTTP服务时，服务端可以针对HTTP服务，再次建立扫描子任务。该扫描子任务可以针对网站资源进行进一步地扫描。

在一个实施方式中，服务端在确定所述目标主机中存在HTTP服务时，可以收集与所述网站资源相关联的页面地址。该页面地址可以是网站中存在的页面URL(Uniform Resource Locator，统一资源定位符)。在收集到与网站资源相关联的页面地址后，可以建立所述页面地址对应的页面应用扫描任务。该页面应用扫描任务可以针对网站页面中可能存在的漏洞进行扫描，相比于上述的针对目标主机中普通主机服务的扫描任务而言，所述页面应用扫描任务可以更加精细地对HTTP服务所涉及的网站页面进行漏洞扫描。这样，在本实施方式中，服务端建立的所述扫描子任务便可以是所述页面应用扫描任务。

在本实施方式中，服务端在建立了所述页面应用扫描任务后，可以再次向所述任务调度中心下发所述页面应用扫描任务。这样，代理节点可以继续从所述任务调度中心处获取至少一个页面应用扫描任务，并且在所述代理节点在针对所述目标主机执行所述至少一个页面应用扫描任务后，可以得到所述页面地址对应的扫描结果，该扫描结果同样可以被反馈至所述服务端中。

在一个实施方式中，网站页面中可以包括多个页面组件，这些页面组件可以通过页面指纹(web指纹)来识别。具体地，在收集到所述页面地址后，可以进一步地识别所述页面地址的页面指纹。在实际应用中，可以通过在网页中的关键字，或者特定文件的MD5码，或者页面地址中的关键字，又或者通过页面地址的TAG模式，来识别所述页面地址对应的页面指纹。在识别出所述页面指纹之后，服务端可以将识别出的页面指纹与预设指纹库进行匹配。从而判断识别出的页面指纹是否为存在于所述预设指纹库中的指定页面指纹。所述指定页面指纹表征的页面组件存在漏洞的可能性较大，因此，在本实施方式中，在确定识别出的页面指纹为存在于所述预设指纹库中的指定页面指纹时，可以针对该页面指纹对应的页面组件进行进一步的漏洞扫描。

具体地，在本实施方式中，服务端可以建立页面组件扫描任务，该页面组件扫描任务可以针对页面地址对应的网站页面中包含的页面组件进行扫描。服务端在建立了页面组件扫描任务后，同样可以将建立的所述页面组件扫描任务再次下发至所述任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个页面组件扫描任务。这样，所述代理节点在针对所述目标主机执行所述至少一个页面组件扫描任务后，可以得到所述目标主机对应的页面组件扫描结果。

由上可见，在对目标主机进行漏洞扫描时，可以多次下发扫描任务，并且每次下发的扫描任务，都是基于对主机中的服务、网站或者组件进行识别后确定的。不仅可以对主机进行漏洞扫描，还可以对主机中的网站进行漏洞扫描，同时还能够针对某个网页组件进行扫描。随着扫描任务的多次下发，针对目标主机的扫描过程也会越来越精细。不同于现有技术中采用定制模板的扫描方式，本申请的技术方案，能够针对不同的主机，下发不同的扫描任务，并且扫描深度也会随着扫描次数的增加而不断加深，从而实现全面、精确的漏洞扫描过程。

在实际应用中，由于运营商不同，主机所处的网络环境也可能差异巨大。现有技术中在进行主机扫描时，很有可能由于网络原因，无法与待扫描的主机取得通信联系，或者通信缓慢。鉴于此，在本申请一个实施方式中，可以基于目标主机所处的网络环境，有选择地采用相适配的代理节点来执行扫描任务。具体地，在需要对目标主机进行扫描时，可以识别所述目标主机所处的网络环境。例如，可以确定所述目标主机当前采用的网络所对应的运营商，还可以确定所述目标主机当前所处的地理位置。然后，可以确定与识别出的所述网络环境相适配的目标代理节点。例如，确定出的所述目标代理节点可以与所述目标主机处于同一个运营商的网络中，并且所述目标代理节点与所述目标主机距离较近。在实际应用场景中，可以借助于内容分发网络，来选择与目标主机相适配的目标代理节点。这样，后续可以通过所述目标代理节点从所述任务调度中心获取扫描任务，并由所述目标代理节点针对所述目标主机执行获取的所述扫描任务。由于处于同一个网络环境，便可以保持较好的通信连接，从而可以避免由于网络环境差异而带来的扫描效率低下的问题。

在一个实施方式中，在选用与所述目标主机所处的网络环境相适配的代理节点执行完扫描任务，并得到扫描结果之后，为了提高扫描结果的上传效率，可以在内容分发网络中有针对性地选择扫描结果回传的传输路径。在所述传输路径中各个代理节点所处的网络环境，可以与所述目标主机所处的网络环境相适配。这样，服务端可以识别所述目标主机所处的网络环境，并接收与识别出的所述网络环境相适配的代理节点上报的扫描结果。

在一个实施方式中，考虑到目标主机中，有些端口会产生比较严重的漏洞，如果这些端口没有设置访问控制措施，而直接开放的话，会导致目标主机的数据泄露。因此，在本实施方式中，可以按照指定周期对所述目标主机的指定端口进行扫描。所述指定端口可以是上述的需要设置访问控制措施的端口。当扫描结果表征所述指定端口不具备访问控制措施时，表明该指定端口可能造成数据泄露。此时，可以生成针对所述指定端口的预警信息，以提醒目标主机的管理者及时进行相应处理，也可以依据扫描结果，新增相适配的访问控制措施。

在一个实施方式中，在所述服务端还可以灵活配置扫描任务。具体地，在服务端可以自定义扫描任务被执行时的各种扫描参数。所述扫描参数例如可以是限定的扫描深度、扫描次数等。这样，所述扫描参数可以限定所述扫描任务对应的扫描方式。那么后续代理节点在执行所述扫描任务时，便可以按照所述扫描参数限定的扫描方式，执行所述扫描任务。这样处理的目的在于，可以根据用户的要求，灵活地配置漏洞扫描过程。

实施例二

请参阅图4，本申请还提供一种服务端，所述服务端包括存储器和处理器，所述存储器中存储计算机程序，所述计算机程序被所述处理器执行时，实现以下步骤：

S15：接收所述代理节点反馈的扫描结果，并判断识别出的所述主机服务中，是否存在指定主机服务；所述指定主机服务用于表征在所述目标主机中运行有网站资源；若存在，向所述任务调度中心再次下发所述指定主机服务对应的扫描子任务；其中，所述扫描子任务被代理节点从所述任务调度中心处获取并针对所述目标主机执行之后，得到所述目标主机中所述指定主机服务对应的扫描结果。

在一个实施方式中，所述计算机程序被所述处理器执行时，还实现以下步骤：

收集与所述网站资源相关联的页面地址，并建立所述页面地址对应的页面应用扫描任务；

将建立的所述页面应用扫描任务再次下发至所述任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个页面应用扫描任务；其中，所述代理节点在针对所述目标主机执行所述至少一个页面应用扫描任务后，得到所述页面地址对应的扫描结果。

识别所述页面地址的页面指纹，并将所述页面指纹与预设指纹库进行匹配，若所述页面指纹为存在于所述预设指纹库中的指定页面指纹，建立页面组件扫描任务；

将建立的所述页面组件扫描任务再次下发至所述任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个页面组件扫描任务；其中，所述代理节点在针对所述目标主机执行所述至少一个页面组件扫描任务后，得到所述目标主机对应的页面组件扫描结果。

实施例三

请参阅图1和图5，本申请还提供一种漏洞扫描系统，所述系统包括服务端、任务调度中心以及代理节点，其中：

所述服务端，用于识别目标主机中运行的主机服务；建立与所述主机服务相适配的扫描任务，并将建立的所述扫描任务下发至所述任务调度中心；判断识别出的所述主机服务中，是否存在指定主机服务，所述指定主机服务用于表征在所述目标主机中运行有网站资源；若存在，向所述任务调度中心再次下发所述指定主机服务对应的扫描子任务；接收所述代理节点反馈的扫描结果；

所述任务调度中心，用于接收所述服务端下发的扫描任务或者扫描子任务，并将所述扫描任务或者扫描子任务放置于任务队列中；

所述代理节点，用于从所述任务调度中心处获取至少一个扫描任务或者扫描子任务，并针对所述目标主机执行所述至少一个扫描任务或者扫描子任务，以得到扫描结果；向所述服务端反馈得到的扫描结果。

在本实施方式中，代理节点的数量可以为多个，这多个代理节点均可以与任务调度中心相连，其中的部分代理节点可以针对同一个主机获取不同的扫描任务，并且这部分代理节点可以并行执行获取的扫描任务，从而提高漏洞扫描的效率。

在一个实施方式中，所述服务端还用于收集与所述网站资源相关联的页面地址，并建立所述页面地址对应的页面应用扫描任务；将建立的所述页面应用扫描任务再次下发至所述任务调度中心。

在一个实施方式中，所述服务端在收集与所述网站资源相关联的页面地址之后，还用于识别所述页面地址的页面指纹，并将所述页面指纹与预设指纹库进行匹配，若所述页面指纹为存在于所述预设指纹库中的指定页面指纹，建立页面组件扫描任务；将建立的所述页面组件扫描任务再次下发至所述任务调度中心。

在一个实施方式中，所述服务端还用于识别所述目标主机所处的网络环境，并确定与识别出的所述网络环境相适配的目标代理节点，以通过所述目标代理节点从所述任务调度中心获取扫描任务或者扫描子任务，并由所述目标代理节点针对所述目标主机执行获取的所述扫描任务或者扫描子任务。

在一个实施方式中，所述代理节点中还包括寻址模块，所述寻址模块用于确定与所述目标主机所处的网络环境相适配的目标代理节点，并通过确定的所述目标代理节点将扫描结果上报至所述服务端。

在一个实施方式中，所述代理节点中还包括负载均衡模块，所述负载均衡模块用于获取所述代理节点当前的负载参数，并基于所述负载参数，确定预计从所述任务调度中心获取的扫描任务或者扫描子任务的数量。具体地，所述代理节点可以基于自身当前的负载情况，有选择地从任务调度中心处获取扫描任务。所述负载均衡模块可以在代理节点即将从任务调度中心处获取扫描任务时，获取所述代理节点当前的负载参数。所述负载参数例如可以包括所述代理节点当前的CPU使用量、内存使用量、处理的扫描任务的数量等。负载均衡模块可以基于所述负载参数，综合算出所述代理节点当前的负载值。负载值越高，表示代理节点处理扫描任务的能力越低。这样，负载均衡模块可以根据所述代理节点当前的负载值，确定预计从所述任务调度中心获取的扫描任务的数量。具体地，负载均衡模块中可以预先存储负载值与任务数量之间的映射关系表，在该映射关系表中，可以划分负载值的区间，以及每个区间所对应的能够获取的任务数量。这样，在确定出代理节点实时的负载值之后，通过该映射关系表便可以确定当前能够获取的扫描任务的数量。

请参阅图6，在本申请中，上述实施例中的技术方案可以应用于如图6所示的计算机终端10上。计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解，图6所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图6中所示更多或者更少的组件，或者具有与图6所示不同的配置。

存储器104可用于存储应用软件的软件程序以及模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

由上可见，本申请提供的技术方案，在对目标主机进行漏洞扫描时，可以多次下发扫描任务，并且每次下发的扫描任务，都是基于对主机中的主机服务、网站或者组件进行识别后确定的。具体地，在识别到目标主机中存在主机服务时，服务端可以向任务调度中心下发主机服务对应的扫描任务。若识别出的主机服务中存在表征网站资源的指定主机服务时，服务端可以再次下发针对该指定主机服务的扫描子任务。该扫描子任务相对上一次下发的扫描任务而言，能够更加全面地扫描所述指定主机服务中可能存在的漏洞。在针对表征网站资源的指定主机服务下发扫描子任务后，还可以继续收集该网站资源相关联的页面地址，并且针对收集的页面地址，服务端可以进一步地下发页面应用扫描任务，从而可以进一步地针对网站页面中可能存在的漏洞进行扫描。进一步地，可以识别出收集到的页面地址对应的页面指纹，通过将页面指纹与预设指纹库进行匹配后，可以确定网站页面中是否存在指定的页面组件。若存在，服务端可以进一步下发页面组件扫描任务，从而可以对可能存在漏洞的指定页面组件进行扫描。由上可见，本申请提供的技术方案，每次都是基于针对主机的识别结果来生成相应的扫描任务，并多次下发扫描任务，从而有针对性地对目标主机进行由浅入深的扫描过程。此外，本申请提供的技术方案，除了可以对主机进行扫描，还可以对主机上运维的网站进行扫描，从而能够实现更加全面的扫描过程。在系统结构方面，采用服务端与代理节点的分布式扫描模式，可以通过多个代理节点平行扫描的方式，提高漏洞扫描的效率。因此，本申请提供的技术方案，不仅能够提高漏洞扫描的精度，而且能够提高漏洞扫描的效率。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件来实现。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种漏洞扫描方法，其特征在于，所述方法包括：

识别目标主机中运行的主机服务，并建立与识别出的所述主机服务相适配的扫描任务；

将建立的所述扫描任务下发至任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个扫描任务；其中，所述代理节点在针对所述目标主机执行所述至少一个扫描任务后，得到扫描结果；

接收所述代理节点反馈的扫描结果，并判断识别出的所述主机服务中，是否存在指定主机服务，所述指定主机服务用于表征在所述目标主机中运行有网站资源；若存在，向所述任务调度中心再次下发所述指定主机服务对应的扫描子任务；其中，所述扫描子任务被代理节点从所述任务调度中心处获取并针对所述目标主机执行之后，得到所述目标主机中所述指定主机服务对应的扫描结果。
根据权利要求1所述的方法，其特征在于，建立与识别出的所述主机服务相适配的扫描任务包括：

在预设漏洞数据库中查询与识别出的所述主机服务相适配的漏洞类型；

建立针对所述漏洞类型的扫描任务，并将建立的所述扫描任务作为与识别出的所述主机服务相适配的扫描任务。
根据权利要求1所述的方法，其特征在于，所述扫描子任务包括页面应用扫描任务；相应地，向所述任务调度中心再次下发所述指定主机服务对应的扫描子任务包括：

收集与所述网站资源相关联的页面地址，并建立所述页面地址对应的页面应用扫描任务；

将建立的所述页面应用扫描任务再次下发至所述任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个页面应用扫描任务；其中，所述代理节点在针对所述目标主机执行所述至少一个页面应用扫描任务后，得到所述页面地址对应的扫描结果。
根据权利要求3所述的方法，其特征在于，在收集与所述网站资源相关联的页面地址之后，所述方法还包括：

识别所述页面地址的页面指纹，并将所述页面指纹与预设指纹库进行匹配，若所述页面指纹为存在于所述预设指纹库中的指定页面指纹，建立页面组件扫描任务；

将建立的所述页面组件扫描任务再次下发至所述任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个页面组件扫描任务；其中，所述代理节点在针对所述目标主机执行所述至少一个页面组件扫描任务后，得到所述目标主机对应的页面组件扫描结果。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

识别所述目标主机所处的网络环境，并确定与识别出的所述网络环境相适配的目标代理节点；

通过所述目标代理节点从所述任务调度中心获取扫描任务，并由所述目标代理节点针对所述目标主机执行获取的所述扫描任务。
根据权利要求1所述的方法，其特征在于，接收所述代理节点反馈的扫描结果包括：

识别所述目标主机所处的网络环境，并接收与识别出的所述网络环境相适配的代理节点上报的扫描结果。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

按照指定周期对所述目标主机的指定端口进行扫描，当扫描结果表征所述指定端口不具备访问控制措施时，生成针对所述指定端口的预警信息。
根据权利要求1所述的方法，其特征在于，所述扫描任务中携带扫描参数，所述扫描参数用于限定所述扫描任务对应的扫描方式；相应地，所述代理节点按照所述扫描参数限定的扫描方式，执行所述扫描任务。
一种服务端，其特征在于，所述服务端包括存储器和处理器，所述存储器中存储计算机程序，所述计算机程序被所述处理器执行时，实现以下步骤：

识别目标主机中运行的主机服务，并建立与识别出的所述主机服务相适配的扫描任务；

将建立的所述扫描任务下发至任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个扫描任务；其中，所述代理节点在针对所述目标主机执行所述至少一个扫描任务后，得到扫描结果；

接收所述代理节点反馈的扫描结果，并判断识别出的所述主机服务中，是否存在指定主机服务；所述指定主机服务用于表征在所述目标主机中运行有网站资源；若存在，向所述任务调度中心再次下发所述指定主机服务对应的扫描子任务；其中，所述扫描子任务被代理节点从所述任务调度中心处获取并针对所述目标主机执行之后，得到所述目标主机中所述指定主机服务对应的扫描结果。
根据权利要求9所述的服务端，其特征在于，所述计算机程序被所述处理器执行时，还实现以下步骤：

收集与所述网站资源相关联的页面地址，并建立所述页面地址对应的页面应用扫描任务；

将建立的所述页面应用扫描任务再次下发至所述任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个页面应用扫描任务；其中，所述代理节点在针对所述目标主机执行所述至少一个页面应用扫描任务后，得到所述页面地址对应的扫描结果。
根据权利要求10所述的服务端，其特征在于，所述计算机程序被所述处理器执行时，还实现以下步骤：

识别所述页面地址的页面指纹，并将所述页面指纹与预设指纹库进行匹配，若所述页面指纹为存在于所述预设指纹库中的指定页面指纹，建立页面组件扫描任务；

将建立的所述页面组件扫描任务再次下发至所述任务调度中心，以使得代理节点从所述任务调度中心处获取至少一个页面组件扫描任务；其中，所述代理节点在针对所述目标主机执行所述至少一个页面组件扫描任务后，得到所述目标主机对应的页面组件扫描结果。
一种漏洞扫描系统，其特征在于，所述系统包括服务端、任务调度中心以及代理节点，其中：

所述服务端，用于识别目标主机中运行的主机服务；建立与所述主机服务相适配的扫描任务，并将建立的所述扫描任务下发至所述任务调度中心；判断识别出的所述主机服务中，是否存在指定主机服务，所述指定主机服务用于表征在所述目标主机中运行有网站资源；若存在，向所述任务调度中心再次下发所述指定主机服务对应的扫描子任务；接收所述代理节点反馈的扫描结果；

所述任务调度中心，用于接收所述服务端下发的扫描任务或者扫描子任务，并将所述扫描任务或者扫描子任务放置于任务队列中；

所述代理节点，用于从所述任务调度中心处获取至少一个扫描任务或者扫描子任务，并针对所述目标主机执行所述至少一个扫描任务或者扫描子任务，以得到扫描结果；向所述服务端反馈得到的扫描结果。
根据权利要求12所述的系统，其特征在于，所述服务端还用于收集与所述网站资源相关联的页面地址，并建立所述页面地址对应的页面应用扫描任务；将建立的所述页面应用扫描任务再次下发至所述任务调度中心。
根据权利要求13所述的系统，其特征在于，所述服务端在收集与所述网站资源相关联的页面地址之后，还用于识别所述页面地址的页面指纹，并将所述页面指纹与预设指纹库进行匹配，若所述页面指纹为存在于所述预设指纹库中的指定页面指纹，建立页面组件扫描任务；将建立的所述页面组件扫描任务再次下发至所述任务调度中心。
根据权利要求12所述的系统，其特征在于，所述服务端还用于识别所述目标主机所处的网络环境，并确定与识别出的所述网络环境相适配的目标代理节点，以通过所述目标代理节点从所述任务调度中心获取扫描任务或者扫描子任务，并由所述目标代理节点针对所述目标主机执行获取的所述扫描任务或者扫描子任务。
根据权利要求12所述的系统，其特征在于，所述代理节点中还包括寻址模块，所述寻址模块用于确定与所述目标主机所处的网络环境相适配的目标代理节点，并通过确定的所述目标代理节点将扫描结果上报至所述服务端。
根据权利要求12所述的系统，其特征在于，所述代理节点中还包括负载均衡模块，所述负载均衡模块用于获取所述代理节点当前的负载参数，并基于所述负载参数，确定预计从所述任务调度中心获取的扫描任务或者扫描子任务的数量。