一种对资产主动探测和漏洞预警的方法技术

本发明专利技术公开了一种对资产主动探测和漏洞预警的方法，该方法包括：通过多种方式判断未知主机的存活性；通过发送多种通信数据包，探测存活主机的主机指纹信息及web指纹信息；通过配置不同资产的规则判定所探测的主机是否为资产；定期同步漏洞库信息；通过扫描出的主机指纹信息及web指纹信息关联漏洞信息，进行漏洞信息预警。本发明专利技术公开的一种对资产主动探测和漏洞预警的方法，通过对海量IP进行探测，结合资产规则库信息，分析出用户特有的资产信息，能够使用户对自己的资产指纹(主机指纹及web指纹)信息进行全面的掌握，并了解潜在存在的漏洞风险，及时的对系统或使用的软件版本进行更新，提高主机的安全系数。

Method for active detection and vulnerability early warning

The invention discloses a method for active detection and early warning of asset vulnerability, the method includes determining whether the unknown host survival through a variety of ways; by sending multiple communication packets, to detect survival of host fingerprint information and web fingerprint information; through the allocation of different assets determines whether the host detection rules for assets; regular synchronization vulnerability information; by scanning a host fingerprint information and web fingerprint information related vulnerability information, vulnerability information warning. The invention discloses a method for active detection and early warning of asset vulnerability, through the detection of massive IP, with assets of the rule base information, analyze user specific asset information, users can own assets of fingerprint (host fingerprint and web fingerprint information) to conduct a comprehensive grasp and understand the potential vulnerabilities. The risk, timely on the system or use the software version update, improve the safety factor of the host.

【技术实现步骤摘要】

本专利技术涉及互联网安全
，特别涉及一种对资产主动探测和漏洞预警的方法。
技术介绍
现今社会，随着科技的高速发展，现在接入互联网的设备五花八门，除了PC和服务器，还有路由器、平板电脑、手机、摄像头等，甚至还有汽车、工业控制中的SCADA系统等比较敏感的设备，这些设备被视作节点，共同组成了网络空间，设备频繁更新换代的同时也促进着互联网业务的蓬勃发展，各类提供互联网服务的机构层出不穷，互联网服务机构使用各种各样的IT技术为各类互联网设备硬件提供多样化的服务。庞大的互联网市场带来巨大的商机，同时也隐藏着巨大的危险，2013年斯诺登事件后，黑客攻击技术得到大跨度的发展，针对应用、中间件、加密技术、特定硬件等各类攻击手段、攻击工具不断的刷新着人们的世界观，“SSL心脏出血”“震网”等高危漏洞，后续导致的信息泄露、网络攻击、硬件破坏等事件。以整合监管资产为前提，着眼于互联网风险，已经成为了目前亟待解决的问题。
技术实现思路
针对现有技术的不足，本专利技术的目的是，提供一种对资产主动探测和漏洞预警的方法，以解决原有的互联网风险中存在的监管资产漏洞的问题。本专利技术所采用的技术方案如下：一种对资产主动探测和漏洞预警的方法，包括如下步骤：步骤(10)，以任务的形式对要探测资产的IP段进行下发；步骤(20)，将探测的任务详情信息以消息的形式存储在消息中间件中；步骤(30)，资产探测引擎从消息中间件中接收到要探测的任务详情信息，发送多种不同的通信协议包，通过分析是否收到响应包及返回的响应包的内容判断主机是否存活；步骤(40)，对存活的主机进行发送多种协议的通信协议包，并分析返回的数据包中的信息进行主机指纹信息探测；步骤(50)，判断端口是否开启了http服务，进而分析此主机的web指纹信息；步骤(60)，结合主机指纹信息及web指纹信息和配置的规则库信息，来判断是否为资产信息；步骤(70)，结合漏洞库信息及探测的主机指纹信息，分析主机存在的潜在漏洞风险并进行漏洞预警；步骤(80)，对探测的主机指纹信息进行报表输出。进一步地，在上述步骤(30)中，通过分析不同协议的指定端口的响应包信息来检测主机是否存活，提供探测协议及使用的端口统一模板形式，供任务下发时选择指定，探测引擎使用指定的模板进行主机存活性的探测。进一步地，在上述在步骤(40)中，通过分析不同协议的指定端口的响应包信息来分析主机的指纹信息，将探测的协议、探测使用的端口及探测的指纹信息做成统一的模板形式，供任务下发时选择指定，探测引擎使用指定的模板进行主机指纹信息的探测。进一步地，在上述在步骤(40)中，还包括：判断所下发的任务详情是否为IP格式；若是，则去重后执行步骤(20)；若否，则给出IP格式错误提示。进一步地，在上述在步骤(40)中还包括；步骤(401)，根据指纹探测模块动态的生成探测的命令，进行探测；步骤(402)，解析探测的结果，得到主机的位置信息、主机开启的端口及协议信息、端口开启的服务信息、开启的服务使用的产品及版本信息、操作系统信息、设备品牌及型号信息、设备类型信息以及主机名信息，将解析得到的指纹信息存储在存储引擎中；步骤(403)，判断开放的端口是否为开启了http服务的端口；步骤(404)，若是，则执行步骤(50)操作；若否，则执行步骤(60)操作。进一步地，在上述在步骤(50)中还包括：步骤(501)：爬取http服务的响应头、标题、响应主体的信息并存储在存储引擎；步骤(502)：对web应用进行截图操作，存储在数据库中，方便用户查看web应用信息。进一步地，在上述在步骤(60)中，还包括：步骤(601)：建立资产规则库，实现对资产规则的增删改查管理；步骤(602)：结合探测的指纹信息和资产规则库，对探测任务的任务详情进行资产匹配；步骤(603)：若匹配为资产，将任务详情加入的资产库，更新资产库中的指纹信息；步骤(604)：若未被匹配为资产，不加入到资产库，执行漏洞预警操作；步骤(605)：定期对资产进行指纹信息探测，更新资产库中的指纹信息。进一步地，在上述在步骤(70)中，还包括：步骤(701)：定期对漏洞库进行信息同步，丰富漏洞规则库步骤；步骤(702)：分析主机使用的产品及版本信息，结合漏洞库中漏洞影响的产品版本信息，分析出主机潜在的漏洞风险，进行漏洞预警。进一步地，所述发送多种不同的通信协议包的方式包括如下三种方式：TCP协议，通过向指定的端口发送TCP协议包、SYN包或者ACK包，通过分析是否接收到响应包及响应包的内容来判断探测主机是否存活；UDP协议，通过向指定的端口发送UDP协议包，通过分析是否接收到响应包及响应包的数据内容来判断探测主机是否存活；ICMP协议，通过向主机发送ICMP echo请求包或者ICMP timestamp请求包，通过分析是否接收到响应包及响应包的数据内容来判断探测主机是否存活。进一步地，通过判断端口是否开启了http服务，进而分析此主机的web的指纹信息，所能获取到的web指纹信息主要包括：服务器前端类型及版本、组件类型及版本、服务器软件类型及版本、框架类型及版本、WEB应用及版本。本专利技术所公开的一种对资产主动探测和漏洞预警的方法，通过对海量IP进行探测，结合资产规则库信息，分析出用户特有的资产信息，并结合权威漏洞库，实现漏洞预警的功能。此外，系统管理员可对自己的资产指纹信息进行全面性的掌握，进而了解资产存在的潜在漏洞风险，及时的通过更新版本信息或者其他手段防止其他人通过此漏洞进行攻击，进而提高所属资产的安全性。附图说明图1为本专利技术所述的对资产主动探测和漏洞预警的方法的流程示意图。具体实施方式以下结合附图对本专利技术作进一步详细说明，但不作为对本专利技术的限定。本专利技术所提出的一种对资产主动探测和漏洞预警的方法，主要包括如下步骤：步骤10，以任务的形式对要探测资产的IP段进行下发；步骤20，将探测的任务详情信息以消息的形式存储在消息中间件(MQ)中；其中，经步骤10以任务的形式对要探测的资产IP段进行下发后，在步骤20中，首先要对IP的存活性进行检测，判断此IP是否存活，若存活则执行后续的步骤30操作及后续步骤，若不存活则不进行后续步骤。步骤30，资产探测引擎从消息中间件(MQ)中接收到要探测的任务详情信息，进行主机存活性检测，其发送多种不同的通信协议包，通过分析是否收到响应包及返回的响应包的内容判断主机是否存活；其中，在步骤30中，所述发送多种不同的通信协议包的方式包括如下三种方式：方式一，采用TCP协议，通过向指定的端口发送TCP协议包、SYN包或者ACK包，通过分析是否接收到响应包及响应包的内容来判断探测主机是否存活；方式二，采用UDP协议，通过向指定的端口发送UDP协议包，通过分析是否接收到响应包及响应包的数据内容来判断探测主机是否存活；方式三，采用ICMP协议，通过向主机发送ICMP echo请求包或者ICMP timestamp请求包，通过分析是否接收到响应包及响应包的数据内容来判断探测主机是否存活。此外，在步骤30中，是通过分析不同协议的指定端口的响应包信息来检测主机是否存活，将探测的协议及使用的端口做成统一的模板形式，供任务下发时选择指定，探测引擎使用指定的模板进行主机存活性的探测。以模板的形本文档来自技高网...

【技术保护点】
一种对资产主动探测和漏洞预警的方法，其特征在于包括如下步骤：步骤(10)，以任务的形式对要探测资产的IP段进行下发；步骤(20)，将探测的任务详情信息以消息的形式存储在消息中间件中；步骤(30)，资产探测引擎从消息中间件中接收到要探测的任务详情信息，发送多种不同的通信协议包，通过分析是否收到响应包及返回的响应包的内容判断主机是否存活；步骤(40)，对存活的主机进行发送多种协议的通信协议包，并分析返回的数据包中的信息进行主机指纹信息探测；步骤(50)，判断端口是否开启了http服务，进而分析此主机的web指纹信息；步骤(60)，结合主机指纹信息及web指纹信息和配置的规则库信息，来判断是否为资产信息；步骤(70)，结合漏洞库信息及探测的主机指纹信息，分析主机存在的潜在漏洞风险并进行漏洞预警；步骤(80)，对探测的主机指纹信息进行报表输出。

【技术特征摘要】
1.一种对资产主动探测和漏洞预警的方法，其特征在于包括如下步骤：步骤(10)，以任务的形式对要探测资产的IP段进行下发；步骤(20)，将探测的任务详情信息以消息的形式存储在消息中间件中；步骤(30)，资产探测引擎从消息中间件中接收到要探测的任务详情信息，发送多种不同的通信协议包，通过分析是否收到响应包及返回的响应包的内容判断主机是否存活；步骤(40)，对存活的主机进行发送多种协议的通信协议包，并分析返回的数据包中的信息进行主机指纹信息探测；步骤(50)，判断端口是否开启了http服务，进而分析此主机的web指纹信息；步骤(60)，结合主机指纹信息及web指纹信息和配置的规则库信息，来判断是否为资产信息；步骤(70)，结合漏洞库信息及探测的主机指纹信息，分析主机存在的潜在漏洞风险并进行漏洞预警；步骤(80)，对探测的主机指纹信息进行报表输出。2.如权利要求1所述的对资产主动探测和漏洞预警的方法，其特征在于，在步骤(30)中，通过分析不同协议的指定端口的响应包信息来检测主机是否存活，提供探测协议及使用的端口统一模板形式，供任务下发时选择指定，探测引擎使用指定的模板进行主机存活性的探测。3.如权利要求1所述的对资产主动探测和漏洞预警的方法，其特征在于，在步骤(40)中，通过分析不同协议的指定端口的响应包信息来分析主机的指纹信息，将探测的协议、探测使用的端口及探测的指纹信息做成统一的模板形式，供任务下发时选择指定，探测引擎使用指定的模板进行主机指纹信息的探测。4.如权利要求3所述的对资产主动探测和漏洞预警的方法，其特征在于，在步骤(40)中，还包括：判断所下发的任务详情是否为IP格式；若是，则去重后执行步骤(20)；若否，则给出IP格式错误提示。5.如权利要求1所述的对资产主动探测和漏洞预警的方法，其特征在于，在步骤(40)中还包括；步骤(401)，根据指纹探测模块动态的生成探测的命令，进行探测；步骤(402)，解析探测的结果，得到主机的位置信息、主机开启的端口及协议信息、端口开启的服务信息、开启的服务使用的产品及版本信息、操作系统信息、设备品牌及型号信息、设备类型信息以及主机名信息，将解析得到的指纹信息存储在存储引擎中；步骤(403)，判断开放的端口是否...

【专利技术属性】
技术研发人员：韩立山，金红，刘长永，杨满智，李东阳，蒋军，
申请(专利权)人：恒安嘉新北京科技有限公司，
类型：发明
国别省市：北京;11