网络设备的漏洞扫描方法及装置与流程

本公开涉及互联网技术领域，尤其涉及一种网络设备的漏扫扫描方法及装置。

背景技术：

物联网是新一代信息技术的重要组成部分，也是“信息化”时代的重要发展阶段。顾名思义，物联网就是物物相连的互联网。随着近些年平安城市、智慧城市建设的升级以及轨道交通、电力、公安、交通、银行等行业的持续投入，物联网网络安全问题的重要性日益凸显。安防监控系统已广泛应用，在给人们带来高价值的同时其带来的安全问题也随之凸显，诸如弱口令密码、登录认证漏洞、缓冲区溢出漏洞等问题。安防监控系统作为重要的基础设施，其安全问题也尤为重要。

物联网系统中至关重要的一个组成部分，即工业控制系统是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件，通常指的是监视控制与数据采集系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)以及过程控制系统(PCS)等。工业控制系统应用广泛，已成为国家关键基础设施的重要组成部分。工控系统的安全问题，可直接影响到国计民生，已关系到国家战略安全。

2010年伊朗布什尔核电站遭“震网”病毒攻击，导致伊朗推迟核试验计划。这次攻击事件让全球第一次认识到工业控制系统安全的重要性。此后爆发“Conficker”病毒、“超级电厂”病毒等导致工业控制系统设备受到攻击。

相关技术中，针对物联网、工业控制系统中的系统、设备进行漏洞扫描是发现漏洞、防范风险的较常规手段，常规的网络扫描都是针对单一网络环境进行的，专门扫描互联网或者工业控制系统专用网络。针对专用网络设备的扫描探测一般需要面对多个不同的子网，由于专网的特殊性，这些子网之间存在相互无法访问的情况。扫描任务按照既定顺序依次扫描，扫描效率较低，

技术实现要素：

为克服相关技术中存在的问题，本公开提供一种网络设备的漏洞扫描方法及网络设备的漏洞扫描装置，该网络设备的漏洞扫描方法，设置针对子网设备的应用容器，将子网设备的属性信息与扫描任务相关联，通过应用容器中的漏洞扫描引擎进行子网设备的漏洞扫描，针对性的对子网设备进行漏洞扫描，提高扫描的效率。

根据本公开实施例的第一方面，提供一种网络设备的漏洞扫描方法，包括：将扫描任务发送到应用容器中，所述扫描任务包括至少一个子网设备的属性信息，所述应用容器中设置有漏洞扫描引擎；以及，

根据所述至少一个子网设备的属性信息，通过所述漏洞扫描引擎对所述至少一个子网设备进行漏洞扫描。

可选地，所述方法还包括：检查所述应用容器的节点的联通性。

可选地，所述方法还包括：保存所述子网设备的属性信息与所述应用容器的对应关系。

可选地，所述将扫描任务发送到应用容器中包括：根据所述子网设备的属性信息与所述应用容器的所述对应关系，将扫描任务发送至对应的应用容器。

可选地，在将扫描任务发送至对应的应用容器之前，所述方法还包括：将所述扫描任务划分为若干个组。

可选地，所述根据所述至少一个子网设备的属性信息，通过所述漏洞扫描引擎对所述至少一个子网设备进行漏洞扫描包括：所述漏洞扫描引擎将子网设备数据与预先存储的漏洞数据匹配，以进行漏洞扫描。

可选地所述漏洞扫描引擎将子网设备数据与预先存储的漏洞数据匹配，以进行漏洞扫描包括：当所述子网设备数据中的至少一项与所述预先存储的漏洞数据中的至少一项相匹配时，确定所述子网设备存在漏洞。

根据本公开实施例的第二方面，提供一种网络设备的漏洞扫描装置，包括：任务调度单元，用于将扫描任务发送到应用容器中，所述扫描任务包括至少一个子网设备的属性信息；以及漏洞扫描单元，设置在所述应用容器中，用于根据所述至少一个子网设备的属性信息，对所述至少一个子网设备进行漏洞扫描。

可选地，所述任务调度单元还被配置为：根据所述子网设备的属性信息与所述应用容器的对应关系，将扫描任务发送至对应的应用容器。

可选地，所述漏洞扫描单元还被配置为：将子网设备数据与预先存储的漏洞数据匹配，以进行漏洞扫描。

本公开的实施例提供的技术方案可以包括以下有益效果：发送包括子网设备的属性信息的扫描任务到应用容器，通过应用容器中的漏洞扫描引擎对子网设备进行漏洞扫描，针对性的对子网设备进行漏洞扫描，提高扫描的效率。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

图1是根据一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图；

图2是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图；

图3是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图；

图4是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图；

图5A是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图；

图5B是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图；

图5C是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图；

图6是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图；

图7是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图；

图8是根据一示例性实施例示出的一种网络设备的漏洞扫描装置的结构框图；

图9是根据另一示例性实施例示出的一种网络设备的漏洞扫描装置的结构框图；以及

图10是根据另一示例性实施例示出的一种网络设备的漏洞扫描装置的结构框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

图1是根据一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图，如图1所示，网络设备的漏洞扫描方法包括以下步骤。

在步骤S20中，将扫描任务发送到应用容器中。

在步骤S30中，根据所述至少一个子网设备的属性信息，通过所述漏洞扫描引擎对所述至少一个子网设备进行漏洞扫描。

在本发明实施例中，在步骤S20中，将扫描任务发送到应用容器中，其中扫描任务包括至少一个子网设备的属性信息，其中，应用容器中设置漏洞扫描引擎；以使得在步骤S30中，漏洞扫描引擎根据包含在应用容器接收到的扫描任务中的子网设备的属性信息对子网设备进行漏洞扫描。

本发明实施例可用于包含多个子网的网络中，或者用于物联网或工业控制网的不同线路中，各个子网或互联网的不同线路中设置应用容器DOCKER，各个应用容器中设置漏洞扫描引擎，各个子网接收到扫描任务后，在各个容器中独立地进行子网设备的漏洞扫描。通过该方法将整个网络的大数据量的扫描任务发送到各个相应的子网的应用容器中执行漏洞扫描，各个应用容器分别完成较小数据量的扫描任务，多个子网或多个线路并发执行漏洞扫描，提高整个网络的漏洞扫描效率。

使用应用容器DOCKER，最大限度发挥硬件性能，在各个隔离的应用容器中，并行执行相应子网设备的漏洞扫描，提高任务的并行程度。

图2是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图，如图2所示，本发明实施例的网络设备的漏洞扫描方法还可以包括以下步骤：

在步骤S10中，保存所述子网设备的属性信息与所述应用容器的对应关系。

本发明实施例中，子网设备的属性信息与应用容器具有对应关系，则可将包含该子网设备的属性信息的扫描任务发送到相关联的应用容器，例如将应用容器与子网设备的网段信息相关联，或可将设备的型号等标识信息与应用容器相关联，通过该方法使得通过相应的应用容器可确定对应的子网设备，即可在步骤S20中发送与应用容器相对应的针对相应的子网设备的扫描任务，完成定向性发送扫描任务，提高漏洞扫描的效率。

图3是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图，如图3所示，本发明实施例的网络设备的漏洞扫描方法还可以包括以下步骤：

在步骤S12中，检查所述应用容器的节点的联通性。

应用容器一方面接收扫描任务，另一方面根据扫描任务中包含的子网设备的属性信息执行子网设备的漏洞扫描，与子网设备进行数据的传输，其与子网设备的联通性决定漏洞扫描能否顺利执行。

本发明实施例中，例如可以在应用容器中的漏洞扫描引擎进行漏洞扫描前，检查应用容器的节点与子网设备的联通性，例如可以通过测试应用容器与其连接的子网的网络广播和/或收发数据包是否通畅、是否可通信来实现，在确认与子网的连接顺畅时，执行漏洞扫描，以保证漏洞扫描顺利进行。

上述实施例中，检车应用容器的节点的联通性例如还可以包括：检查应用容器接收扫描任务是否通畅。

图4是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图，如图4所示，本发明实施例的网络设备的漏洞扫描方法，所述将扫描任务发送到应用容器中的步骤包括：在步骤S20中，根据所述子网设备的属性信息与所述应用容器的所述对应关系，将扫描任务发送至对应的应用容器。

本发明实施例中，根据子网设备的属性信息与应用容器的对应关系，确定定向发送到应用容器的包含了子网设备的属性信息的扫描任务，则扫描任务与应用容器、子网设备相关联，可准确完成相应子网设备的漏洞扫描。

图5A是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图，如图5A所示，本发明实施例的网络设备的漏洞扫描方法还可以包括以下步骤：

在将扫描任务发送至对应的应用容器之前，所述方法还包括：

在步骤S11中，将所述扫描任务划分为若干个组。

本发明实施例中，在具有若干个子网或针对互联网的不同线路进行漏洞扫描时，若干个子网或互联网的不同线路设置有应用容器，向这些应用容器发送扫描任务前，将扫描任务划分为若干个组，例如可根据应用容器与子网设备的属性信息的对应关系来划定分组，作为示例，可以将子网设备的网段信息作为分组的依据，在同一网段的子网设备对应同一应用容器，对应的扫描任务划分在与该应用容器对应的扫描任务分组中，以使得发送的应用容器中的扫描任务与该应用容器所在的子网的子网设备相对应，该方法使扫描任务与应用容器对应的子网设备相关联，在向应用容器发送扫描任务时，各个分组的扫描任务定向发送到相关联的应用容器，以使得对相关联的子网设备进行扫描，提高扫描的效率。

图5B是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图，如图5B所示，本发明实施例的网络设备的漏洞扫描方法，在步骤S11中，根据子网设备的属性信息与应用容器的对应关系，将扫描任务划分为若干个组。

本发明实施例中，将子网设备的属性信息与应用容器的对应关系作为分组的依据，作为示例，例如可以见子网设备的网段信息，或在同一子网的子网设备的型号等标识信息作为分组的依据，以使得应用容器和子网设备相对应，扫描任务与应用容器相对应的子网设备向关联，建立扫描任务、应用容器和子网设备的对应关系，为后期扫描任务的发送和根据扫描任务进行漏洞扫描提供可能。

图5C是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图，如图5C所示，本发明实施例的网络设备的漏洞扫描方法，在步骤S20中，根据所述子网设备的属性信息与所述应用容器的所述对应关系，将扫描任务发送至对应的应用容器。

本发明实施例中，子网设备的属性信息与应用容器具有对应关系，扫描任务的分组根据上述对应关系来划分，在步骤S11中进行分组的扫描任务根据该对应关系被发送到对应的应用容器中。

作为示例，例如可以将子网设备的网段信息与应用容器进行对应，与应用容器对应的子网设备可以具有同一网段信息，具有该同一网段信息的子网设备的扫描任务被划分相同的分组，在根据该网段信息与应用容器的对应关系，将上述对应的扫描任务组发送到上述与该网段信息对应的应用容器，应用容器接收该扫描任务组，通过漏洞扫描引擎根据该网段信息扫描具有该网段信息的子网设备，从而执行漏洞扫描的步骤。

作为示例，将子网设备的网段信息与应用容器进行对应，与应用容器对应的子网设备可以具有若干个不同的网段信息，则与该应用容器对应的子网设备为具有不同的若干个网段信息的子网设备，并根据该若干个网段信息进行划分扫描任务分组，将该若干个扫描任务组发送到与该若干个网段信息对应的应用容器中，最终，扫描任务组仍与应用容器对应的子网设备对应，执行与应用容器对应的具有上述若干个网段信息的子网设备的漏洞扫描。

作为示例，例如可以将设备的名称、型号等标识信息与应用容器对应，则扫描任务根据与应用容器对应的具有某些名称、型号的子网设备被划分分组，并发送到与子网设备的名称、型号等标识信息关联的应用容器中。

图6是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图，如图6所示，本发明实施例的网络设备的漏洞扫描方法还可以包括以下步骤：

所述根据所述至少一个子网设备的属性信息，通过所述漏洞扫描引擎对所述至少一个子网设备进行漏洞扫描包括：

在步骤S31中，所述漏洞扫描引擎将子网设备数据与预先存储的漏洞数据匹配，以进行漏洞扫描。

本发明实施例中，在对子网设备进行漏洞扫描以确定子网设备是否存在漏洞的过程中，例如可以对子网设备数据与预先存储的漏洞数据进行匹配，根据现有的漏洞数据与子网设备数据的对比来确定是否存在漏洞。

图7是根据另一示例性实施例示出的一种网络设备的漏洞扫描方法的流程图，如图7所示，本发明实施例的网络设备的漏洞扫描方法，所述漏洞扫描引擎将子网设备数据与预先存储的漏洞数据匹配，以进行漏洞扫描包括：当所述子网设备数据中的至少一项与所述预先存储的漏洞数据中的至少一项相匹配时，确定所述子网设备存在漏洞。

根据本发明实施例，在步骤S32中，判断子网设备数据中的至少一项是否与预先存储的漏洞数据中的至少一项相匹配，如是，则在步骤S33中，确定子网设备存在漏洞。如否，则继续步骤S32中判断子网设备数据中的至少一项是否与预先存储的漏洞数据中的至少一项相匹配。

本发明实施例中，对子网设备进行漏洞扫描的过程中，对子网设备数据与现有的漏洞数据进行对比匹配，当子网设备数据中的至少一项与漏洞数据中的至少一项向匹配时，即确定存在漏洞。用于进行匹配的项例如可以包括但不限于子网设备的型号、运行服务、协议类型等。作为示例，可以将子网设备的运行软件的版本号作为确定是否存在漏洞的检测项，当子网设备的运行软件的版本号与漏洞数据中存储的版本号不相匹配时，即可确定存在漏洞，系统存在网络安全风险。

作为对图1-图5C所示的网络设备的漏洞扫描的方法的完善，上述图6和图7所示实施例中的进行漏洞扫描的步骤，可用于图1-图5C中任一网络设备的漏洞扫描的方法中。

图8是根据一示例性实施例示出的一种网络设备的漏洞扫描装置结构框图。参照图8，该系统包括任务调度单元10和漏洞扫描单元21。

该任务调度单元10被配置为：将扫描任务发送到应用容器20中，所述扫描任务包括至少一个子网设备30的属性信息；

该漏洞扫描单元21设置在所述应用容器20中，漏洞扫描单元21被配置为：根据所述至少一个子网设备30的属性信息，对所述至少一个子网设备30进行漏洞扫描。

本发明实施例中，任务调度单元10发送扫描任务到应用容器20中，应用容器20接收任务调度单元10发送的扫描任务，应用容器20中的漏洞扫描单元21根据子网设备30的属性信息，对子网设备30进行漏洞扫描。

图9是根据一示例性实施例示出的一种网络设备的漏洞扫描装置结构框图。参照图9，该系统包括任务调度单元10和若干个漏洞扫描单元21。

本发明实施例可用于包含多个子网的网络中，或者用于物联网或工业控制网的不同线路中，各个子网或互联网的不同线路中分别设置应用容器20，各个应用容器20中设置漏洞扫描单元21，各个子网应用容器20接收到来自任务调度单元10的扫描任务后，在各个应用容器20中独立地进行子网设备的漏洞扫描。通过该方法将整个网络的大数据量的扫描任务发送到各个相应的子网的应用容器中执行漏洞扫描，各个应用容器分别完成较小数据量的扫描任务，将大数据任务分为若干个较小数据量任务完成，可以实现各个子网或各条线路并发执行漏洞扫描任务，提高数据处理的效率，提高整个网络的漏洞扫描效率。

本发明实施例中，任务调度单元10还被配置为：保存所述子网设备30的属性信息与所述应用容器20的对应关系。

本发明实施例中，子网设备30的属性信息与应用容器具有对应关系，则可将包含该子网设备的属性信息的扫描任务发送到相关联的应用容器，例如将应用容器20与子网设备30的网段信息相关联，或可将子网设备30的型号等标识信息与应用容器20相关联，使得通过相应的应用容器20可确定对应的子网设备30，即可由任务调度单元10发送与应用容器20相对应的针对相应的子网设备30的扫描任务，完成定向性发送扫描任务，提高漏洞扫描的效率。

本发明实施例中，任务调度单元10还被配置为：根据所述子网设备30的属性信息与所述应用容器20的对应关系，将扫描任务发送至对应的应用容器。

本发明实施例中，根据子网设备30的属性信息与应用容器的对应关系，确定定向发送到应用容器20的包含了子网设备30的属性信息的扫描任务，则扫描任务与应用容器、子网设备相关联，可准确完成相应子网设备的漏洞扫描。

本发明实施例中，所述漏洞扫描单元还被配置为：将子网设备数据与预先存储的漏洞数据匹配，以进行漏洞扫描。

图10是根据另一示例性实施例示出的一种网络设备的漏洞扫描装置结构框图。参照图10，该系统还包括：物理网卡22，子网设备通过该物理网卡耦合连接到应用容器，漏洞扫描单元通过该物理网卡22以根据子网设备30的属性信息对子网设30备进行漏洞扫描；以及虚拟网卡23，应用容器通过该虚拟网卡23耦合连接到任务调度单元10，用于应用容器与任务调度单元通信，以接收任务调度单元10的扫描任务。

本发明实施例中，任务调度单元10还被配置为：检查所述应用容器20的节点的联通性。

应用容器20一方面接收扫描任务，另一方面根据扫描任务中包含的子网设备的属性信息执行子网设备的漏洞扫描，与子网设备进行数据的传输，其与子网设备的联通性决定漏洞扫描能否顺利执行。

本发明实施例中，例如可以在应用容器中的漏洞扫描单元进行漏洞扫描前，检查应用容器20的节点与子网设备30的联通性，例如任务调度单元10分析各应用容器20容器的网络状态，获取应用容器20的物理网卡22的配置与运行状态；可以通过测试应用容器20与其连接的子网的网络广播和/或收发数据包是否通畅、是否可通信来实现。在确认与子网设备30的连接顺畅时，执行漏洞扫描，以保证漏洞扫描顺利进行。

本发明实施例中，还可以包括：检查应用容器20接收扫描任务是否通畅。例如可以检查应用容器20与任务调度单元10的节点，即虚拟网卡23的联通性。在确认与应用容器20的连接顺畅时，发送扫描任务，以保证应用容器20可顺利接收扫描任务。

作为另一示例性实施方式，任务调度单元10还被配置为：在将扫描任务发送至对应的应用容器20之前，将所述扫描任务划分为若干个组。

上述实施例中，在具有若干个子网或针对互联网的不同线路进行漏洞扫描时，若干个子网或互联网的不同线路设置有应用容器20，如图9所示，向这些应用容器20发送扫描任务前，将扫描任务划分为若干个组，例如可根据应用容器与子网设备的属性信息的对应关系来划定分组，则扫描任务与应用容器20对应的子网设备30相关联，在向应用容器20发送扫描任务时，各个分组的扫描任务定向发送到相关联的应用容器20，以使得应用容器20收到的扫描任务与其相对应的子网设备30相对应，对相关联的子网设备30进行扫描，提高扫描的效率。

上述本发明实施例中，为了同时扫描探测多个不联通的子网设备，提高探测效率，引入的基于应用容器的专网设备扫描探测方法，当前网络结构不需改动，应用容器的数量可以根据子网的数量动态调配，例如，当需要两个子网时，可以部署两个应用容器，应用容器的数量例如可以与子网的数量不一致，例如可以根据需要针对某个/些子网设置超过一个应用容器，在探测时各子网的任务互不影响，提高网络漏洞扫描的效率。

漏洞扫描单元21开始探测后，获取子网设备31的数据包，对收到的数据包进行分析，尝试从数据包中发现被探测子网设备设备的型号、运行服务、协议类型，与已知的漏洞库信息进行匹配，确定子网设备的是否存在漏洞及可能的漏洞风险。漏洞扫描步骤例如可以使用图6或图7所示的漏洞扫描步骤。

本发明实施例中，上述进行漏洞扫描的步骤，例如可以将子网设备30的运行软件版本号与软件的最新版本号进行匹配，如不匹配，则确定该子网设备存在漏洞，面临安全风险，例如可以进行报错或进行自动修复。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。