一种分布式网络集群风险检测方法及系统技术方案

本发明专利技术属于风险检测技术领域，其目的在于提供一种分布式网络集群风险检测方法及系统。其中的方法包括：多个风险检测客户端分别进行网络主机识别，得到对应识别的网络主机的网络资产；多个风险检测客户端分别将识别到的网络资产及其客户端标识发送至所述风险检测服务端；所述风险检测服务端接收多个风险检测客户端发送的网络资产及对应的客户端标识，并对所有网络资产进行调度，以便根据客户端标识，将各个网络资产分别分配至任一识别到该网络资产的风险检测客户端；所述风险检测服务端协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测，得到网络主机风险信息。本发明专利技术服务器硬件成本小，同时网络风险检测结果准确，效率更高。效率更高。效率更高。

【技术实现步骤摘要】
一种分布式网络集群风险检测方法及系统


[0001]本专利技术属于风险检测
，具体涉及一种分布式网络集群风险检测方法及系统。

技术介绍

[0002]随着互联网技术的飞速发展，企事业单位异地分支机构协同办公的场景急速增加，内部网络更为复杂，企事业单位部署的各种业务及网络设备也越来越多、越来越复杂。随着国家层面出台网络安全相关法律，企事业单位对网络安全的重视度逐渐增高，目前，周期性地对内部网络的安全风险检测已成为企事业单位的必要工作。
[0003]当前国内外网络风险检测系列产品的风险检测主要包括两个阶段:第一阶段是网络资产识别，第二阶段是对识别的网络资产进行风险检测。现有的网络风险检测部署模式通常包括单机扫描及分布式扫描，其中，单机扫描即直接将扫描服务器接入目标网络进行风险扫描；分布式探测扫描，即将多台扫描服务器分别部署在不同的网络中分别进行风险扫描，然后通过中心服务器对多台扫描服务器的测试结果进行汇总。
[0004]但是，在使用现有技术过程中，专利技术人发现现有技术中至少存在如下问题：
[0005]传统的单机检测过程中，对于目标网络范围比较大的企事业单位网络节点，由于防火墙的各种安全隔离设置，会存在检测盲区，导致对目标的检测不准确，或者需要对各隔离域分别进行检测，工作量比较大，同时对测试结果的汇总过程比较繁琐。
[0006]传统的分布式检测过程中，各检测点可以分别检测各自的扫描目标网络，然后将测试结果进行汇总；然而，如果要实现全网络域检测则需要各自配置全网的目标扫描，那么每个分布式扫描点均会重复对同一目标进行全面的风险扫描，使得重复工作量较大，效率低下，成本较高。

技术实现思路

[0007]本专利技术旨在至少在一定程度上解决上述技术问题，本专利技术提供了一种分布式网络集群风险检测方法及系统。
[0008]为了实现上述目的，本专利技术采用以下技术方案：
[0009]第一方面，提供了一种分布式网络集群风险检测方法，基于风险检测系统实现，所述风险检测系统包括风险检测服务端以及分别与所述风险检测服务端通信连接的多个风险检测客户端；所述方法包括：
[0010]多个风险检测客户端分别进行网络主机识别，得到对应识别的网络主机的网络资产；
[0011]多个风险检测客户端分别将识别到的网络资产及其客户端标识发送至所述风险检测服务端；
[0012]所述风险检测服务端接收多个风险检测客户端发送的网络资产及对应的客户端标识，并对所有网络资产进行调度，以便根据客户端标识，将各个网络资产分别分配至任一
识别到该网络资产的风险检测客户端；
[0013]所述风险检测服务端协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测，得到网络主机风险信息。
[0014]本专利技术可基于一台服务器完成网络风险检测，服务器硬件成本小，同时网络风险检测结果准确，效率更高。具体地，本专利技术在实施过程中，先基于多风险检测客户端集群分布式对全目标区域内的网络主机进行扫描并识别，以得到对应识别的网络资产，然后通过风险检测服务端对所有风险检测客户端识别的网络资产进行调度，使各个网络资产分别分配至任一识别到该网络资产的风险检测客户端，最后风险检测服务端协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测，由此可以解决传统单机检测的盲区，使得每一网络主机均能被检测到，实现对目标网络进行完整的资产识别，同时又可以解决传统分布式检测方式低效率的检测问题，基于网络资产调度流程，每个网络主机的任一网络资产均只会被一个风险检测客户端进行检测，避免重复检测及计算资源浪费的问题，进而可使得本专利技术的网络风险检测效率更高。
[0015]在一个可能的设计中，所述网络资产包括主机IP地址、主机端口信息和端口指纹信息；
[0016]对应地，任一风险检测客户端对目标网络主机进行识别，包括：
[0017]当前风险检测客户端对目标网络主机进行存活检测，如目标网络主机存活，则获取目标网络主机的主机IP地址，并进入下一步；
[0018]当前风险检测客户端对目标网络主机进行端口检测，得到目标网络主机的所有开放的主机端口信息；
[0019]当前风险检测客户端对目标网络主机端口进行指纹信息识别，得到目标网络主机的所有端口指纹信息。
[0020]在一个可能的设计中，当前风险检测客户端对目标网络主机进行存活检测，包括：
[0021]当前风险检测客户端向目标网络主机发送存活检测数据包；
[0022]当前风险检测客户端判断是否接收到目标网络主机发送的与所述存活检测数据包对应的存活反馈数据包，如是，则判定目标网络主机存活；其中，所述存活反馈数据包中包括目标网络主机的主机IP地址。
[0023]在一个可能的设计中，所述端口指纹信息为所述网络主机的端口对应的服务信息，包括应用软件名称、版本、协议名称、协议版本号和/或协议流程的数据包。
[0024]在一个可能的设计中，当前风险检测客户端对目标网络主机端口进行指纹信息识别，包括：
[0025]当前风险检测客户端向目标网络主机发送多个服务检测数据包；
[0026]当前风险检测客户端判断是否接收到目标网络主机发送的与任一服务检测数据包对应的服务反馈数据包，如是，则获取服务反馈数据包中的端口指纹信息；其中，目标网络主机反馈的所有服务反馈数据包中的端口指纹信息构成目标网络主机的所有端口指纹信息。
[0027]在一个可能的设计中，所述风险检测服务端对所有网络资产进行调度，基于所述风险检测服务端执行，包括：
[0028]获取客户端列表，所述客户端列表包括与所述风险检测服务端通信连接的所有风
险检测客户端；
[0029]获取资产列表，所述资产列表包括多个风险检测客户端发送的所有网络主机的网络资产；
[0030]对所述资产列表中的所有网络资产进行迭代分配处理，以将所述资产列表中的每一网络资产分配至所述客户端列表中的任一识别到该网络资产的风险检测客户端。
[0031]在一个可能的设计中，对所述资产列表中的所有网络资产进行迭代分配处理，以将所述资产列表中的每一网络资产分配至所述客户端列表中的任一识别到该网络资产的风险检测客户端，包括：
[0032]判断所述资产列表是否迭代结束，如是，则结束调度操作，如否，则进入下一步；
[0033]提取所述资产列表中当前迭代的网络资产；
[0034]获取当前网络资产对应的所有风险检测客户端；
[0035]查找当前网络资产对应的所有风险检测客户端中，分配的网络资产数量最少的风险检测客户端；
[0036]将当前网络资产分配至该网络资产数量最少的风险检测客户端，并将该网络资产数量最少的风险检测客户端的分配资产计数加1；
[0037]重新对所述资产列表进行迭代分配处理，直到所述资产列表迭代结束。
[0038]在一个可能的设计中，查找当前网络资产对应的所有风险检测客户端中，分配的网络资产数量最少的风险本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种分布式网络集群风险检测方法，其特征在于：基于风险检测系统实现，所述风险检测系统包括风险检测服务端以及分别与所述风险检测服务端通信连接的多个风险检测客户端；所述方法包括：多个风险检测客户端分别进行网络主机识别，得到对应识别的网络主机的网络资产；多个风险检测客户端分别将识别到的网络资产及其客户端标识发送至所述风险检测服务端；所述风险检测服务端接收多个风险检测客户端发送的网络资产及对应的客户端标识，并对所有网络资产进行调度，以便根据客户端标识，将各个网络资产分别分配至任一识别到该网络资产的风险检测客户端；所述风险检测服务端协同多个风险检测客户端对其分配得到的网络主机的网络资产进行风险检测，得到网络主机风险信息。2.根据权利要求1所述的一种分布式网络集群风险检测方法，其特征在于：所述网络资产包括主机IP地址、主机端口信息和端口指纹信息；对应地，任一风险检测客户端对目标网络主机进行识别，包括：当前风险检测客户端对目标网络主机进行存活检测，如目标网络主机存活，则获取目标网络主机的主机IP地址，并进入下一步；当前风险检测客户端对目标网络主机进行端口检测，得到目标网络主机的所有开放的主机端口信息；当前风险检测客户端对目标网络主机端口进行指纹信息识别，得到目标网络主机的所有端口指纹信息。3.根据权利要求2所述的一种分布式网络集群风险检测方法，其特征在于：当前风险检测客户端对目标网络主机进行存活检测，包括：当前风险检测客户端向目标网络主机发送存活检测数据包；当前风险检测客户端判断是否接收到目标网络主机发送的与所述存活检测数据包对应的存活反馈数据包，如是，则判定目标网络主机存活；其中，所述存活反馈数据包中包括目标网络主机的主机IP地址。4.根据权利要求2所述的一种分布式网络集群风险检测方法，其特征在于：所述端口指纹信息为所述网络主机的端口对应的服务信息，包括应用软件名称、版本、协议名称、协议版本号和/或协议流程的数据包。5.根据权利要求2或4所述的一种分布式网络集群风险检测方法，其特征在于：当前风险检测客户端对目标网络主机端口进行指纹信息识别，包括：当前风险检测客户端向目标网络主机发送多个服务检测数据包；当前风险检测客户端判断是否接收到目标网络主机发送的与任一服务检测数据包对应的服务反馈数据包，如是，则获取服务反馈数据包中的端口指纹信息；其中，目标网络主机反馈的所有服务反馈数据包中的端口指纹信息构成目标网络主机的所有端口指纹信息。6.根据权利要求1所述的一种分布式网络集群风险检测方法，其特征在于...

【专利技术属性】
技术研发人员：曾小勇，刘昌春，秦凯，刘青松，刘紫涵，王紫曦，赖懿，冯雷鸣，李斌，
申请(专利权)人：宁静之盾成都科技有限公司，
类型：发明
国别省市：