局域网漏洞检测方法、系统及装置制造方法及图纸

本申请公开了一种局域网漏洞检测方法、系统及装置，该方法，包括：获取全流量数据库中的流量数据，其中，流量数据为对目标局域网进行全流量采集得到的；根据全流量数据库中的流量数据对应的源地址、源端口、目的地址和目的端口确定目标局域网中目标主机的信任地址安全组，其中，信任地址安全组中的地址信息均具有访问到目标主机的至少一个端口的权限；依次模拟信任地址安全组中的所有地址信息向目标主机的多个端口发送包含有漏洞识别规则的漏洞检测请求包，并捕获多个端口返回的漏洞检测请求包对应的应答包，以检测多个端口是否含有漏洞。洞。洞。

【技术实现步骤摘要】
局域网漏洞检测方法、系统及装置


[0001]本申请涉及网络安全领域，具体而言，涉及一种局域网漏洞检测方法、系统及装置。

技术介绍

[0002]企业局域网中存在大量有价值的数据，导致其是黑客攻击的主要选择目标。在网络安全越来越被重视的时代，各企业也慢慢开始构建内部安全管理体系。
[0003]企业局域网内的主机一般都采用基于白名单的访问控制策略作为安全防护手段，避免被不在白名单中的IP(Internet Protocol，网际互联协议)地址进行非法攻击。漏洞扫描服务器的IP地址一般都不在目标主机的白名单内，因此在目前的网络环境下，漏洞扫描往往会因为无目标主机的访问权限而检测不到任何漏洞。这就是漏洞扫描时常见的“信任危机”问题，会导致扫描流量被目标主机“拒之门外”，导致目前集中漏洞扫描方式的失效。

技术实现思路

[0004]本申请实施例提供了一种局域网漏洞检测方法、系统及装置，以至少解决由于漏洞扫描服务器的IP地址没有目标主机的访问权限导致漏洞检测准确率低的技术问题。
[0005]根据本申请实施例的一个方面，提供了一种局域网漏洞检测方法，包括：获取全流量数据库中的流量数据，其中，所述流量数据为对目标局域网进行全流量采集得到的；根据所述全流量数据库中的流量数据对应的源地址、源端口、目的地址和目的端口确定所述目标局域网中目标主机的信任地址安全组，其中，所述信任地址安全组中的地址信息均具有访问到所述目标主机的至少一个端口的权限；依次模拟所述信任地址安全组中的所有地址信息向所述目标主机的多个端口发送包含有漏洞识别规则的漏洞检测请求包，并捕获所述多个端口返回的所述漏洞检测请求包对应的应答包，以检测所述多个端口是否含有漏洞。
[0006]可选地，根据所述全流量数据库中的流量数据对应的源地址、源端口、目的地址和目的端口确定所述目标局域网中目标主机的信任地址安全组，包括：依次查询所述全流量数据库中的每一条流量数据，以寻找每一个源地址中的源端口访问目的地址中的目的端口对应的TCP三次握手；依次将找到TCP三次握手的源地址和源地址对应的目的地址和目的端口存入互访数据库中；将所述互访数据库中的多个源地址和源地址对应的目的地址和目的端口按照源地址对应的目的地址进行分类，以确定以目标主机的地址为目的地址的多个目标源地址；将所述多个目标源地址和所述多个目标源地址分别访问的目的端口组成所述信任地址安全组。
[0007]可选地，所述依次将找到TCP三次握手的源地址和源地址对应的目的地址和目的端口存入互访数据库中，包括：建立临时存储数据库，所述临时存储数据库用于存储所述全流量数据库中已被查询的流量数据；依次查询所述全流量数据库中每一条流量数据，并将查询后的流量数据标记后存入所述临时存储数据库，直到所述全流量数据库中每一条流量数据均被存储到所述临时存储数据库中；从所述临时存储数据库中将完成三次TCP握手的
源地址和源地址对应的目的地址和目的端口存入互访数据库中。
[0008]可选地，依次模拟所述信任地址安全组中的所有地址信息向所述目标主机的多个端口发送包含有漏洞识别规则的漏洞检测请求包，包括：确定所述信任地址安全组中每个地址信息的权重值；将所述信任地址安全组中每个地址信息，按照权重值由大到小的顺序依次作为所述包含有漏洞识别规则的漏洞检测请求包对应的源地址向所述目标主机中的端口发送所述包含有漏洞识别规则的漏洞检测请求包。
[0009]可选地，所述信任地址安全组中地址信息的权重值通过以下方式确定，包括：确定所述目标主机中每个端口的权重值，其中，所述目标主机中的端口分为漏洞重要程度依次增大的第一类端口、第二类端口和第三类端口，所述第一类端口、所述第二类端口和所述第三类端口对应的权重值为依次增大的第一权重值、第二权重值和第三权重值；分别确定所述信任地址安全组中每个地址信息能够访问到的端口；将所述信任地址安全组中每个地址信息能够访问到的端口对应的权重值相加，得到所述信任地址安全组中每个地址信息的权重值。
[0010]可选地，所述方法还包括：在所述目标主机中的目标端口已被发送所述包含有漏洞识别规则的漏洞检测请求包的情况下，不再向所述目标端口重复发送所述包含有漏洞识别规则的漏洞检测请求包。
[0011]可选地，所述对目标局域网进行全流量采集，得到全流量数据库，包括：对目标局域网进行全流量采集，得到初始全流量数据；对所述初始全流量数据对应的数据包进行解包，以获取流量数据的源地址、目的地址和IP报文IP报文；剔除IP报文IP报文不属于TCP报文的流量数据，得到初步处理的全流量数据；剔除所述初步处理的全流量数据中的重复流量数据，得到完成处理的全流量数据，将所述完成处理的全流量数据存入预设数据库，得到所述全流量数据库。
[0012]可选地，所述重复流量数据通过以下方式获取，包括：获取所述初步处理的全数据流量的目标数据，其中，所述目标数据包括：源地址、目的地址、源端口、目的端口、序列号、确认字符和有效载荷；将所述初步处理的全数据流量中所述目标数据相同的流量数据确定为所述重复流量数据。
[0013]根据本申请的另一个方面，还提供了一种局域网漏洞检测系统，包括：全流量感知服务器、流量接收交换机、至少一个汇聚交换机，其中，所述全流量感知服务器通过所述流量接收交换机与所述至少一个汇聚交换机连接；所述至少一个汇聚交换机，用于采集目标局域网中多个子网的全流量数据；所述流量接收交换机，用于接收所述至少一个汇聚交换机采集到的所述全流量数据，并将所述全流量数据传输到所述全流量感知服务器中的全流量数据库中；所述全流量感知服务器，用于根据所述全流量数据库中的流量数据对应的源地址、源端口、目的地址和目的端口确定所述目标局域网中目标主机的信任地址安全组，其中，所述信任地址安全组中的地址信息均具有访问到所述目标主机的至少一个端口的权限，依次模拟所述信任地址安全组中的所有地址信息向所述目标主机的多个端口发送包含有漏洞识别规则的漏洞检测请求包，并捕获所述多个端口返回的所述漏洞检测请求包对应的应答包，以检测所述多个端口是否含有漏洞。
[0014]根据本申请的再一个方面，还提供了一种局域网漏洞检测装置，包括：采集模块，用于获取全流量数据库中的流量数据，其中，所述流量数据为对目标局域网进行全流量采
集得到的；确定模块，用于根据所述全流量数据库中的流量数据对应的源地址、源端口、目的地址和目的端口确定所述目标局域网中目标主机的信任地址安全组，其中，所述信任地址安全组中的地址信息均具有访问到所述目标主机的至少一个端口的权限；检测模块，用于依次模拟所述信任地址安全组中的所有地址信息向所述目标主机的多个端口发送包含有漏洞识别规则的漏洞检测请求包，并捕获所述多个端口返回的所述漏洞检测请求包对应的应答包，以检测所述多个端口是否含有漏洞。
[0015]根据本申请实施例的再一方面，还提供了一种非易失性存储介质，非易失性存储介质中存储有程序，其中，在程序运行时控制非易失性存储介质所在设备执行上述局域网漏洞检测方法。
[0016]根据本申本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种局域网漏洞检测方法，其特征在于，包括：获取全流量数据库中的流量数据，其中，所述流量数据为对目标局域网进行全流量采集得到的；根据所述全流量数据库中的流量数据对应的源地址、源端口、目的地址和目的端口确定所述目标局域网中目标主机的信任地址安全组，其中，所述信任地址安全组中的地址信息均具有访问到所述目标主机的至少一个端口的权限；依次模拟所述信任地址安全组中的所有地址信息向所述目标主机的多个端口发送包含有漏洞识别规则的漏洞检测请求包，并捕获所述多个端口返回的所述漏洞检测请求包对应的应答包，以检测所述多个端口是否含有漏洞。2.根据权利要求1所述的方法，其特征在于，根据所述全流量数据库中的流量数据对应的源地址、源端口、目的地址和目的端口确定所述目标局域网中目标主机的信任地址安全组，包括：依次查询所述全流量数据库中的每一条流量数据，以寻找每一个源地址中的源端口访问目的地址中的目的端口对应的传输控制协议TCP三次握手；依次将找到TCP三次握手的源地址和源地址对应的目的地址和目的端口存入互访数据库中；将所述互访数据库中的多个源地址和源地址对应的目的地址和目的端口按照源地址对应的目的地址进行分类，以确定以目标主机的地址为目的地址的多个目标源地址；将所述多个目标源地址和所述多个目标源地址分别访问的目的端口组成所述信任地址安全组。3.根据权利要求2所述的方法，其特征在于，所述依次将找到TCP三次握手的源地址和源地址对应的目的地址和目的端口存入互访数据库中，包括：建立临时存储数据库，所述临时存储数据库用于存储所述全流量数据库中已被查询的流量数据；依次查询所述全流量数据库中每一条流量数据，并将查询后的流量数据标记后存入所述临时存储数据库，直到所述全流量数据库中每一条流量数据均被存储到所述临时存储数据库中；从所述临时存储数据库中将完成三次TCP握手的源地址和源地址对应的目的地址和目的端口存入互访数据库中。4.根据权利要求1所述的方法，其特征在于，依次模拟所述信任地址安全组中的所有地址信息向所述目标主机的多个端口发送包含有漏洞识别规则的漏洞检测请求包，包括：确定所述信任地址安全组中每个地址信息的权重值；将所述信任地址安全组中每个地址信息，按照权重值由大到小的顺序依次作为所述包含有漏洞识别规则的漏洞检测请求包对应的源地址向所述目标主机中的端口发送所述包含有漏洞识别规则的漏洞检测请求包。5.根据权利要求4所述的方法，其特征在于，所述信任地址安全组中地址信息的权重值通过以下方式确定，包括：确定所述目标主机中每个端口的权重值，其中，所述目标主机中的端口分为漏洞重要程度依次增大的第一类端口、第二类端口和第三类端口，所述第一类端口、所述第二类端口
和所述第三类端口对应的权重值为依次增大的第一权重值、第二权重值和第三权重值；分别确定所述信任地址安全组中每个地址信息能够访问到的端口；将所述信任地址安全组中每个地址信息能够访问到的端口对应的权重值相加，得到所述信任地址安全组中每个地址信息的权重值。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：在所述目标主机中的目标端口已被发送...

【专利技术属性】
技术研发人员：符炜，丁永，房颉，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：