大规模网站漏洞扫描方法、装置及电子设备与流程

本发明涉及信息安全技术领域，尤其是涉及一种大规模网站漏洞扫描方法、装置及电子设备。

背景技术：

随着互联网技术的发展，网页程序或者网站中不可避免地会出现网络漏洞的问题，黑客经常会利用该网络漏洞窃取企业机密信息或者互联网用户的个人信息等，给互联网的信息安全造成威胁。针对上述问题，目前通常采用漏洞扫描引擎进行漏洞监测及修复，从而确保网络信息的安全。

当前漏洞扫描引擎多采用单机或多节点部署模式。在这种模式下，当需要对大批量网站做监测时，就需要对引擎节点进行扩充，当任务数过少时，需要对引擎节点资源进行释放。如果采用传统的部署模式，当机器量过大时，服务部署将需要很大的工作量。此外，当前的漏扫集群多采用虚拟机进行部署。一般都会有一个漏扫虚拟机镜像，当需要对漏扫集群进行扩充时，就使用相关工具部署漏扫虚拟机。这种方式部署的机器安装麻烦，拆除方便。

综上所述，现有大规模网站漏洞扫描存在以下问题：引擎集群扩展麻烦，人工运维工作量大；对资源浪费比较严重。

技术实现要素：

有鉴于此，本发明的目的在于提供一种大规模网站漏洞扫描方法、装置及电子设备，将预先创建的镜像文件进行容器化部署，进而通过部署的镜像文件进行网站漏洞扫描，这种容器化部署方式，可以实现一键化扩展和收缩引擎集群，大大减少人工重复性劳动，同时对漏洞扫描过程步骤进行优化，从而提高资源使用率和提升性能。

第一方面，本发明实施例提供了一种大规模网站漏洞扫描方法，应用于物理机或者虚拟机，包括：

创建用于容器化漏洞扫描的镜像文件；

基于用户的发布指令，将创建的镜像文件发布到本地镜像库中；

当物理机或者虚拟机获取到漏洞扫描指令时，从镜像库中调取镜像文件进行容器化部署；并基于部署的镜像文件进行网站漏洞扫描。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，创建用于容器化漏洞扫描的镜像文件，具体包括：

获取基础镜像文件；

将预先编写的Dockerfile脚本安装到基础镜像文件中，以构建用于容器化漏洞扫描的镜像文件；其中，Dockerfile脚本中包括漏洞扫描程序。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，将预先编写的Dockerfile脚本安装到基础镜像文件中，以构建用于容器化漏洞扫描的镜像文件，具体包括：

运行docker build命令，以基于docker build命令将Dockerfile脚本生成目标镜像；

判断目标镜像是否正确；

如果正确，则基于目标镜像和基础镜像文件构建容器化漏洞扫描的镜像文件；

如果不正确，则生成改写指令，以提示用户基于改写指令对Dockerfile脚本进行改写。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，将创建的镜像文件发布到本地镜像库，具体包括：

执行docker push命令，将镜像文件进行上传；

对上传至本地镜像库的镜像文件，通过harbor提供的可视化界面进行显示，以供用户查看。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，从镜像库中调取镜像文件进行容器化部署，具体包括：

获取用户的命令行修改指令，根据命令行修改指令对用于部署镜像文件的目标命令行进行修改，其中，命令行修改指令包括：参数删除指令，和/或，参数更改指令；

通过执行修改之后的目标命令行，添加或者删除镜像文件，以对镜像库中的镜像文件进行容器化部署。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，从镜像库中调取镜像文件进行容器化部署，具体包括：

通过容器化管理工具获取用户对服务选项的操作指令，基于操作指令执行在服务选项中删除或者添加镜像文件的操作，以对镜像库中的镜像文件进行容器化部署。

结合第一方面，本发明实施例提供了第一方面的第六种可能的实施方式，其中，基于部署的镜像文件进行网站漏洞扫描，具体包括：

获取镜像文件中的API接口；

基于API接口，采集镜像文件中的漏洞扫描数据；

通过漏洞扫描数据执行网站漏洞扫描操作。

第二方面，本发明实施例提供一种大规模网站漏洞扫描装置，应用于物理机或者虚拟机，装置包括：

镜像创建模块，用于创建用于容器化漏洞扫描的镜像文件；

镜像发布模块，基于用户的发布指令，将创建的镜像文件发布到本地镜像库中；

漏洞扫描模块，用于在物理机或者虚拟机获取到漏洞扫描指令时，通过容器化管理工具从镜像库中调取镜像文件进行容器化部署；并基于部署的镜像文件进行网站漏洞扫描。

第三方面，本发明实施例还提供一种电子设备，包括存储器、处理器，存储器上存储有可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述第一方面所述的方法的步骤。

第四方面，本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，程序代码使处理器执行如第一方面所述的方法。

本发明实施例带来了以下有益效果：

本发明实施例提供的大规模网站漏洞扫描方法，应用于物理机或者虚拟机，首先创建用于容器化漏洞扫描的镜像文件；基于用户的发布指令，将创建的镜像文件发布到本地镜像库中；当物理机或者虚拟机获取到漏洞扫描指令时，通过容器化管理工具从镜像库中调取镜像文件进行容器化部署；并基于部署的镜像文件进行网站漏洞扫描。该大规模网站漏洞扫描方法，将预先创建的镜像文件进行容器化部署，进而通过部署的镜像文件进行网站漏洞扫描，这种容器化部署方式，可以实现一键化扩展和收缩引擎集群，大大减少人工重复性劳动，同时对漏洞扫描过程步骤进行优化，从而提高资源使用率和提升性能。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种大规模网站漏洞扫描方法的流程图；

图2为本发明实施例一提供的另一种大规模网站漏洞扫描方法的流程图；

图3为本发明实施例一提供的另一种大规模网站漏洞扫描方法的流程图；

图4为本发明实施例一提供的另一种大规模网站漏洞扫描方法的流程图；

图5为本发明实施例二提供的一种大规模网站漏洞扫描装置的示意图；

图6为本发明实施例三提供的一种电子设备的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现有的大规模网站漏洞扫描方法存在引擎集群扩展麻烦，人工运维工作量大以及对资源浪费比较严重等问题。

基于此，本发明实施例提供一种大规模网站漏洞扫描方法、装置及电子设备，将预先创建的镜像文件进行容器化部署，进而通过部署的镜像文件进行网站漏洞扫描，这种容器化部署方式，可以实现一键化扩展和收缩引擎集群，大大减少人工重复性劳动，同时对漏洞扫描过程步骤进行优化，从而提高资源使用率和提升性能。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种大规模网站漏洞扫描方法进行详细介绍。

实施例一：

本发明实施例提供了一种大规模网站漏洞扫描方法，该方法应用于物理机或者虚拟机，参见图1所示，该大规模网站漏洞扫描方法包括以下步骤：

S101：创建用于容器化漏洞扫描的镜像文件。

在对网站进行漏洞扫描之前，首先需要将现有的漏洞扫描引擎容器化，要想实现漏扫引擎容器化，需要创建用于容器化漏洞扫描的镜像文件。具体的镜像文件创建过程包括以下步骤，参见图2所示：

S201：获取基础镜像文件。

上述基础镜像文件可以采用多种版本的CentOS，作为一种优选实施方式，本实施例中的基础镜像文件为CentOS7.2。

S202：将预先编写的Dockerfile脚本安装到基础镜像文件中，以构建用于容器化漏洞扫描的镜像文件；其中，Dockerfile脚本中包括漏洞扫描程序。

具体的，运行docker build命令，以基于docker build命令将Dockerfile脚本生成目标镜像；也就是将Dockerfile脚本进行编译，生成可执行文本。然后运行该可执行文本，判断执行结果是否符合预期，如果是，则判断目标镜像正确，进而基于目标镜像和基础镜像文件构建容器化漏洞扫描的镜像文件；如果执行结果不符合预期，则生成改写指令，以提示用户基于改写指令对Dockerfile脚本进行改写。

S102：基于用户的发布指令，将创建的镜像文件发布到本地镜像库中。

具体的发布过程包括以下步骤，参见图3所示：

S301：执行docker push命令，将镜像文件进行上传。

S302：对上传至本地镜像库的镜像文件，通过harbor提供的可视化界面进行显示，以供用户查看。

在生成镜像文件后，将其进行压缩。在本实施例中，镜像管库管理工具采用开源的harbor，执行docker push命令将压缩的镜像文件进行上传，并通过harbor提供的可视化界面，将上传后的镜像文件进行显示，以使用户查看上传文件是否成功。

S103：当物理机或者虚拟机获取到漏洞扫描指令时，通过容器化管理工具从镜像库中调取镜像文件进行容器化部署；并基于部署的镜像文件进行网站漏洞扫描。

容器化部署包括两种方式，一种是通过命令行来实现，另一种是通过容器化管理工具来实现。

第一种：

获取用户的命令行修改指令，根据命令行修改指令对用于部署镜像文件的目标命令行进行修改，其中，命令行修改指令包括：参数删除指令，和/或，参数更改指令；通过执行修改之后的目标命令行，添加或者删除镜像文件，以对镜像库中的镜像文件进行容器化部署。

具体的，在通过命令行进行容器化部署时，可以通过修改命令中的name后面的参数，来改变所添加的镜像文件，也可以直接使用dockerrm f容器名(CONTAINER ID)，来删除某个镜像文件。通过上述方式可以随意地添加或者删除镜像文件，从而实现对镜像文件的容器化部署。

第二种：

通过容器化管理工具获取用户对服务选项的操作指令，基于操作指令执行在服务选项中删除或者添加镜像文件的操作，以对镜像库中的镜像文件进行容器化部署。

具体的，通过开源的rancher可视化工具对镜像文件进行容器化部署，首先创建一个应用栈，并添加一个服务，然后通过改该服务下的镜像文件数量来实现容器的管理维护，采用容器化管理工具对镜像文件进行容器化部署，相比于通过命令行的方式，更加简单方便，部署效率理高。

基于部署的镜像文件进行网站漏洞扫描，具体包括以下步骤，参见图4所示：

S401：获取镜像文件中的API接口。

S402：基于API接口，采集镜像文件中的漏洞扫描数据。

S403：通过漏洞扫描数据执行网站漏洞扫描操作。

每个镜像文件中都集成了一个漏扫工具。其对外提供API接口，具体的包括：执行任务接口，进度回传接口，数据回传接口。通过上述API接口可以使物理机或者虚拟机，利用上述镜像文件，实现大规模的网站漏洞扫描。

本发明实施例所提供的大规模网站漏洞扫描方法，将预先创建的镜像文件进行容器化部署，进而通过部署的镜像文件进行网站漏洞扫描，这种容器化部署方式，可以实现一键化扩展和收缩引擎集群，大大减少人工重复性劳动，同时对漏洞扫描过程步骤进行优化，从而提高资源使用率和提升性能。

实施例二：

本发明实施例提供一种大规模网站漏洞扫描装置，该装置应用于物理机或者虚拟机中，参见图5所示，该装置包括：镜像创建模块51、镜像发布模块52、漏洞扫描模块53。

其中，镜像创建模块51，用于创建用于容器化漏洞扫描的镜像文件；镜像发布模块52，基于用户的发布指令，将创建的镜像文件发布到本地镜像库中；漏洞扫描模块53，用于在物理机或者虚拟机获取到漏洞扫描指令时，通过容器化管理工具从镜像库中调取镜像文件进行容器化部署；并基于部署的镜像文件进行网站漏洞扫描。

本发明实施例所提供的大规模网站漏洞扫描装置中，各个模块与前述大规模网站漏洞扫描方法具有相同的技术特征，因此，同样可以实现上述功能。本装置中各个模块的具体工作过程参见上述方法实施例，在此不再赘述。

实施例三：

本发明实施例还提供一种电子设备，参见图6所示，该电子设备包括：处理器60，存储器61，总线62和通信接口63，所述处理器60、通信接口63和存储器61通过总线62连接；处理器60用于执行存储器61中存储的可执行模块，例如计算机程序。处理器执行计算机程序时实现如方法实施例所述的方法的步骤。

其中，存储器61可能包含高速随机存取存储器(RAM，RandomAccessMemory)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个通信接口63(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线62可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器61用于存储程序，所述处理器60在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流程定义的装置所执行的方法可以应用于处理器60中，或者由处理器60实现。

处理器60可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器60中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器60可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital Signal Processing，简称DSP)、专用集成电路(Application Specific Integrated Circuit，简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器61，处理器60读取存储器61中的信息，结合其硬件完成上述方法的步骤。

本发明实施例所提供的大规模网站漏洞扫描方法的计算机程序产品，包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置及电子设备的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

附图中的流程图和框图显示了根据本发明的多个实施例方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。