一种用于智能网络信息系统的漏洞监控检测系统的制作方法

本发明属于网络安全技术领域，具体涉及一种用于智能网络信息系统的漏洞监控检测系统。

背景技术：

互联网的迅速发展，在为企业创造新机遇的同时，也对企业网络安全带来了新的挑战。网络攻击已成为企业损失的主要原因之一。2017年，全球有高达86％的公司曾经经历至少一次以上的网络攻击，针对企业用户网络攻击高危安全漏洞事件频发，且有越来越多的趋势：struts2rce、iot设备弱口令、es、cauchdb等系统勒索事件。在企业中承载着越来越多的设施之间互联互通，各系统之间在远程访问、远程传输、信息资源共享都提供了网络渗透攻击的有利途径。由于计算机信息系统运行程序多，同时使用通信协议复杂，导致计算机在工作时存在着多种漏洞(配置、系统、协议、后门和隐通道等)，极易被窃密者利用。大型软件每1000-4000行源程序就可能存在一个漏洞。若存储重要数据的信息系统一旦接入网络时，就有可能被窃密者利用已经存在的漏洞进行网络扫描、渗透攻击，从而达到远程控制系统主机的目的。如果黑客对企业中的众多的设备进行大量的攻击行为，那对企业造成的影响和损失无法衡量。所以及时为企业评估在网络中存在的风险资产和对象是一项艰巨而重要的使命。

因此，针对以上不足，本发明急需提供一种用于智能网络信息系统的漏洞监控检测系统，以解决网络资产的安全问题。

技术实现要素：

本发明的目的在于提供了一种用于智能网络信息系统的漏洞监控检测系统，以解决现有技术中网络资产的安全的问题。

本发明提供的用于智能网络信息系统的漏洞监控检测系统，包括：数据采集层，所述数据采集层适于周期性识别网络资产并获取所述网络资产的原始数据；数据聚合层，所述数据聚合层适于获取所述网络资产的原始数据，分析所述原始数据并一一置入标签，根据所述标签进行分类汇总，生成分类数据；数据存储层，所述数据存储层获取所述分类数据，并根据所述标签存储并分析所述分类数据，生成统计报告；和web展示层，所述web展示层与所述数据存储层连接，适于根据所述标签整合展示所述存储区所存储的分类数据以及统计报告。

如上所述的用于智能网络信息系统的漏洞监控检测系统，进一步优选为，所述数据采集层包括：网站资源探测模块，所述网站资源探测模块适于扫描指定的ip段和端口、采集端口的状态以生成端口数据、并将汇总的端口数据信息传递至缓存任务队列生成新的缓存任务；协议资源探测模块，所述协议资源探测模块适于提取缓存任务队列的缓存任务并对缓存任务中的端口进行识别，以获取所述端口的识别信息。

如上所述的用于智能网络信息系统的漏洞监控检测系统，进一步优选为，所述协议资源探测模块包括协议识别模块、网络爬虫模块和流量监控模块；所述协议识别模块适于提取缓存任务，识别缓存任务中的ip段和端口；若ip和端口被识别为非http协议的ip和端口，根据协议的发包内容将端口信息发送至服务器，比较服务器返回的协议响应信息和该端口信息，若两者匹配，则保存所述ip或端口的协议响应信息；若ip段和端口被识别为http协议的ip和端口，则将该缓存任务提交至网络爬虫模块；所述网络爬虫模块提取所述协议识别模块缓存任务并对任务中的ip和端口进行http信息的抓取，得到抓取信息；所述流量监控模块获取所述协议识别模块保存的协议响应信息和所述网络爬虫模块抓取的抓取信息，提取其中的五元组信息和http应用层协议信息，整合成原始信息。

如上所述的用于智能网络信息系统的漏洞监控检测系统，进一步优选为，所述协议响应信息包括ip、port、protocol和协议banner信息；所述抓取信息包括domain、host、ip、port、header、server、body、title；所述五元组信息包括源ip、目的ip、源端口、目的端口、使用的协议信息。

如上所述的用于智能网络信息系统的漏洞监控检测系统，进一步优选为，所述数据存储层包括资产库、资产规则库、poc库、数据索引存储区、规则索引存储区和用户信息存储区，适于分别存储对应标签的数据。

如上所述的用于智能网络信息系统的漏洞监控检测系统，进一步优选为，所述资产库适于存储端口数据、网站数据、协议数据和banner数据，所述资产规则库适于存储网络安全数据规则、服务器软件规则、web应用规则和物联网设备规则。

如上所述的用于智能网络信息系统的漏洞监控检测系统，进一步优选为，所述数据聚合层包括网络资产指纹分析模块、网络资产识别分析模块和风险资产关联分析验证模块；所述资产指纹分析适于分析所述原始信息的资产特征和承载业务，并植入标签，生成分类数据；所述网络资产识别分析模块适于根据所述标签将分类数据与数据库中对应的资产库关联，并分析其有效性；所述风险资产关联分析验证模块适于根据标签信息分析资产属性、扫描出风险资产并生成资产威胁预警信息。

如上所述的用于智能网络信息系统的漏洞监控检测系统，进一步优选为，所述web展示层包括资产展示模块和风险资产分析模块，所述资产展示模块用于资产管理、资产检索、统计分析、任务管理、api以及生成图表；所述风险资产分析模块用于规则库管理和poc库管理。

如上所述的用于智能网络信息系统的漏洞监控检测系统，进一步优选为，所述网络资产数据包括网络安全产品、服务器设备、物联网设备、web组件、企业应用软件、云平台软件和数据库。

本发明与现有技术相比具有以下的优点：

本发明公开的用于智能网络信息系统的漏洞监控检测系统，包括：数据采集层，所述数据采集层适于周期性识别网络资产并获取所述网络资产的原始数据；数据聚合层，所述数据聚合层适于获取所述网络资产的原始数据，分析所述原始数据并一一置入标签，根据所述标签进行分类汇总，生成分类数据；数据存储层，所述数据存储层获取所述分类数据，并根据所述标签存储并分析所述分类数据，生成统计报告；和web展示层，所述web展示层与所述数据存储层连接，适于根据所述标签整合展示所述存储区所存储的分类数据以及统计报告。本系统通过采用多层架构，实现数据与程序分离，前台与后台分离，界面与程序分离，以保证数据的安全性，且资产识别更全面，漏洞专扫更快更全更准确，能够更快的定位风险资产。

附图说明

图1为本发明中用于智能网络信息系统的漏洞监控检测系统的架构图；

图2为本发明中使用上述用于智能网络信息系统的漏洞监控检测系统的网络拓扑图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

如图1所示，本实施例公开的用于智能网络信息系统的漏洞监控检测系统包括：数据采集层，所述数据采集层适于周期性识别网络资产并获取所述网络资产的原始数据；数据聚合层，所述数据聚合层适于获取所述网络资产的原始数据，分析所述原始数据并一一置入标签，根据所述标签进行分类汇总，生成分类数据；数据存储层，所述数据存储层获取所述分类数据，并根据所述指纹信息标签将其存储到所述数据存储层中对应的存储区；和web展示层，所述web展示层与所述数据存储层连接，适于根据所述指纹信息标签整合展示所述存储区所存储的分类数据。

如图1所示，上述实施例中，所述数据采集层包括：网站资源探测模块，所述网站资源探测模块适于扫描指定的ip段和端口、采集端口的状态以生成端口数据、并将汇总的端口数据信息传递至缓存任务队列生成新的缓存任务；协议资源探测模块，所述协议资源探测模块适于提取缓存任务队列的缓存任务并对缓存任务中的端口进行识别，以获取所述端口的识别信息。本实施例中，网站资源探测模块通过任务调度，首先使用快速全网端口扫描程序对指定的ip段和端口进行扫描，识别端口是否开放，并就端口开放与否生成端口数据，然后对获取的端口数据按照分组数据量进行汇总，并将汇总的端口数据信息传递至任务队列管理模块的高速缓存任务队列，生成新的缓存任务。协议资源探测模块适于在任务队列管理模块的高速缓存任务队列中提取缓存任务，并对任务中的端口进行识别，以获取所述端口的识别信息，并将识别后的任务信息存储在任务队列管理模块中。

如图1所示，优选的，所述协议资源探测模块包括协议识别模块、网络爬虫模块和流量监控模块；所述协议识别模块适于提取缓存任务，识别缓存任务中的ip段和端口；若ip和端口被识别为非http协议的ip和端口，根据协议的发包内容将端口信息发送至服务器，比较服务器返回的协议响应信息和该端口信息，若两者匹配，则存储所述ip或端口的协议响应信息；若ip段和端口被识别为http协议的ip和端口，则将该缓存任务提交至网络爬虫模块；所述网络爬虫模块提取所述协议识别模块缓存任务并对任务中的ip和端口进行http信息的抓取，得到抓取信息；所述流量监控模块获取所述协议识别模块保存的协议响应信息和所述网络爬虫模块抓取的抓取信息，提取其中的五元组信息和http应用层协议信息，整合成原始信息。本实施例中，所述协议识别模块适于在数据存储模块的高速缓存任务队列中提取缓存任务，然后使用多线程技术进行多并发的端口服务识别工作识别缓存任务中的ip段和端口，并获取识别信息；若ip和端口被识别为非http协议的ip和端口，则根据协议的发包内容将数据发送给服务器，然后获取服务器返回的协议响应信息并与识别信息进行比较，如果两者匹配，即获取到准确无误的协议响应信息则入库保存，如果不确定的协议识别结果则暂时不入库，以保证系统的识别准确性。若ip和端口被识别为非http协议的ip和端口，则将该缓存任务提交至网络爬虫模块；所述网络爬虫模块提取所述协议识别模块缓存任务并对任务中的ip和端口进行http信息的抓取，得到抓取信息。其中所述协议响应信息包括ip、port、protocol和协议banner信息；所述抓取信息包括domain、host、ip、port、header、server、body、title。所述流量监控模块获取所述协议响应信息和所述抓取信息，并提取其中的五元组信息和http应用层协议信息，五元组信息包括源ip、目的ip、源端口、目的端口、使用的协议信息。

如图1所示，本申请中，所述数据存储层主要承担存储数据的功能，进一步的，所述数据存储层包括资产库、资产规则库、poc库、数据索引存储区、规则索引存储区和用户信息存储区，适于分别存储对应标签的数据。其中所述资产库适于存储具有端口数据、网站数据、协议数据和banner数据等标签的用户信息、企业资产信息、协议信息和http信息、周期扫描数据等，所述资产规则库适于存储具有网络安全数据规则、服务器软件规则、web应用规则和物联网设备规则等标签的用户信息、企业资产信息、协议信息和http信息、周期扫描数据等。此外，所述数据存储层还可提供资产信息大容量数据存储和高速数据检索，以及为所述数据采集层的任务队列管理模块提供缓存空间。本实施例中，数据存储层为搭载多个数据存储模块的服务器，除了全文搜索存储、高速缓存存储、关系型数据库存储等几部分功能，还能通过优化全文搜索存储的数据索引提供快速的数据更新和查询。

如图1所示，进一步的，本实施例中，所述数据聚合层包括网络资产指纹分析模块、网络资产识别分析模块和风险资产关联分析验证模块；所述资产指纹分析适于分析所述原始信息的资产特征和承载业务，并植入标签，生成分类数据；所述网络资产识别分析模块适于根据所述标签将分类数据与数据库中对应的资产库关联，并分析其有效性；所述风险资产关联分析验证模块适于根据标签信息分析资产属性、扫描出风险资产并生成资产威胁预警信息。任何网络资产都会包含自己特有的指纹信息，特征一般位于协议的banner信息和网站的header或body里面，网警p01通过自主收集的数万条识别规则，将其中的指纹信息置入资产信息里面，以标签的形式体现，并且可以任意重新处理资产的标签，以方便统计和关联。所述网络资产识别分析模块先将分类数据与资产库进行关联，并将其中能够完成关联的数据标记为存活资产，并完成数据的绑定与存储，以便后续的资产管理和统计报表使用。因扫描可以周期性进行，因此资产的有效性分析是指当前扫描周期和上次扫描周期的资产数据进行对比，以此为依据得出获取新增和减少的资产信息，获取其有效性，方便跟踪资产的变化情况。

如图1所示，进一步的，本实施例中，所述web展示层包括资产展示模块和风险资产分析模块，所述资产展示模块用于资产管理、资产检索、统计分析、任务管理、api以及生成图表；所述风险资产分析模块用于规则库管理和poc库管理。资产展示模块包括巡检管理、控制台、资产导入、资产管理、数据检索、报表管理、漏洞管理、流量分析等ui展示和任务操作相关的功能。巡检管理主要是在添加要扫描的ip段等信息后，直接开始资产扫描、漏洞扫描、指纹识别等连贯的操作，以上所有的进度都完成后，可以点击生成报告的按钮来生成统计报告并存储，历史的统计报告可以在报表管理里查看。控制台展示主要的资产统计图表、漏洞统计图表，可以生成自定义图表和仪表盘。在资产展示模块还提供了初始资产导入的功能，包括上传文件(csv/txt)导入和自定义(ip/ip段/域名等)导入两种方式。资产管理包括资产详情查看、资产列表的展示、普通搜索、高级搜索、指纹搜索、结果导出、http应用资产导出和查询结果报表生成等功能。整个企业的资产管理功能基本上都包括在这里面。在数据检索部分根据查询语法或用户的检索规则在存储的数据中查找相关数据，预置的规则列表可以方便用户搜索满足这个指纹的企业资产，包含了多种厂商、产品、数据库、工控的检索规则，可以通过列表上相关的规则条目对该条目进行快速查询检索。报表管理可以根据资产的统计、分析生成各种类型的图表，包括饼图、柱型图、折线图、地图。漏洞管理将漏洞专扫的结果以列表形式展示出来，并支持将扫描结果导出。流量分析通过开关控制功能是否启用，功能启用后列表页显示流量访问情况。在任务管理部分主要实现对任务进行调度和管理，包括任务的下发、并发数控制、带宽限制等功能。

进一步的，本实施例中，所述网络资产数据包括但不限于网络安全产品、服务器设备、物联网设备、web组件、企业应用软件、云平台软件和数据库。

如图2所示，本申请还公开使用用于智能网络信息系统的漏洞监控检测系统的网络拓扑图，其中，操作员首先通过网站服务器前端管理调用api，并于redis消息列队中发布任务，redis消息列队将通过sidekiq任务分发，并进行网络资产的爬虫爬取，其中分为http爬虫、端口扫描、协议识别三个方面进行爬取，其中，爬取的缓存数据存于mysql数据库中，elasticsearch索引服务器直接调用缓存数据，对其进行分析展示。

与现有技术相比，本申请的优点在于：

1、资产识别更全面，通过大量的规则来对资产进行匹配，组件信息从硬件到应用层；

2、漏洞专扫更快更全更准确，通过poc全网段查询语句和漏洞检测代码的编写能够更快的定位风险资产；

3、系统采用多层架构，实现数据与程序分离，前台与后台分离，界面与程序分离，以保证数据的安全性。

4、部署要求简便，无需再被监测的服务器或客户端上安装任何的软件和代理。

5、技术平台的基础组件和扫描节点可根据需求动态扩展，且无需额外的大规模开发；前台web服务能够保持良好的功能扩充，满足需求的快速开展。编写的代码满足一定的设计模式，如单一职责原则、依赖倒置原则、接口隔离原则、开闭原则等。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。