漏洞扫描工具的调度方法及其调度系统的制作方法
【技术领域】
[0001]本发明涉及信息安全技术领域,特别是涉及一种漏洞扫描工具的调度方法及其调度系统。
【背景技术】
[0002]漏洞扫描技术是一类重要的网络安全技术,由于系统平台、WEB网站和/或设备(以下均称为设备)在使用过程中都可能会产生各种类型的漏洞,为了保证设备的安全性,需要通过与产生的漏洞类型相对应的漏洞扫描工具对设备进行漏洞扫描,进而对扫描出的漏洞采取相关的补救措施,如对漏洞采取打补丁等方式。
[0003]现有技术中,企业为应对日益复杂的信息安全态势,一般需要采购不同厂商的不同类型的漏洞扫描工具,这些漏洞扫描工具的扫描范围既覆盖操作系统、防火墙、路由器等系统层面的设备,也覆盖0A、ERP等站点形式的WEB层面的设备等。由于漏洞扫描工具的功能和针对性有限,只能满足特定设备的特定类型的漏洞扫描需求,还由于局域网内网络部署的安全防护隔绝策略等原因,通常需要进行漏洞扫描工具的部署,使漏洞扫描工具与不同的设备以及特定类型的漏洞扫描需求对应,即,根据需要扫描的不同的设备以及需要扫描的漏洞类型对漏洞扫描工具进行配置。具体的,在实施漏洞扫描任务之前,逐一将漏洞扫描任务以及被扫描设备与漏洞扫描工具之间建立对应关系,即部署漏洞扫描工具。在对某一层面的设备进行漏洞扫描的情况下,根据下发的漏洞扫描任务,以先后顺序调度已经部署的漏洞扫描工具,由不同类型的漏洞扫描工具对待扫描的特定设备进行漏洞扫描,如漏洞扫描工具A (包括漏洞扫描工具A1、A2等)扫描待扫描设备的漏洞类型A,漏洞扫描工具B(包括漏洞扫描工具B1、B2等)扫描待扫描设备的漏洞类型B等等。按照上述方式,在漏洞扫描任务涉及范围较大、业务较为复杂的情况下,只能等待某一个漏洞扫描工具的漏洞扫描任务执行完毕,之后再利用另一个漏洞扫描工具执行后续的漏洞扫描任务。
[0004]由上可知,在对漏洞扫描工具下发漏洞扫描任务后,根据漏洞扫描任务的先后顺序调度漏洞扫描工具逐一对待扫描设备进行漏洞扫描,当其中一个漏洞扫描工具完成漏洞扫描之后,再进行另一个漏洞扫描工具的漏洞扫描;容易导致漏洞扫描工具对应的漏洞扫描任务排队执行,造成严重的资源浪费,以及,造成漏洞扫描工作量较大、漏洞扫描时间较长。
【发明内容】
[0005]本发明实施例中提供了一种漏洞扫描工具的调度方法及其调度系统,以解决现有技术中的在进行漏洞扫描工具调度过程中,容易导致漏洞扫描工具对应的漏洞扫描任务排队执行,造成严重的资源浪费,以及,造成漏洞扫描工作量较大、漏洞扫描时间较长等的问题。
[0006]为了解决上述技术问题,本发明实施例公开了如下技术方案:
[0007]第一方面,本发明实施例提供一种漏洞扫描工具的调度方法,该调度方法包括:
[0008]创建漏洞扫描任务,且所述漏洞扫描任务包括与设备类型对应的漏洞扫描子任务;
[0009]获取每个漏洞扫描工具的资源消耗数据;
[0010]根据所述漏洞扫描子任务和所述资源消耗数据平衡调度所述漏洞扫描工具对待扫描设备扫描。
[0011]结合第一方面,在第一方面第一种可能的实现方式中,所述资源消耗数据为包括任务数据和扫描进度的资源消耗数据。
[0012]结合第一方面,在第一方面第二种可能的实现方式中,所述根据所述漏洞扫描子任务和所述资源消耗数据平衡调度所述漏洞扫描工具对待扫描设备扫描,包括:
[0013]根据所述资源消耗数据将所述漏洞扫描子任务对应拆解成多个原子扫描任务;
[0014]根据所述原子扫描任务调度漏洞扫描工具对待扫描设备扫描。
[0015]结合第一方面第二种可能的实现方式,在第一方面第三种可能的实现方式中,所述根据所述资源消耗数据将所述漏洞扫描子任务对应拆解成多个原子扫描任务,包括:根据资源消耗数据的大小,将所述漏洞扫描子任务对应拆解成多个原子扫描任务;其中,
[0016]所述原子扫描任务的大小与所述原子扫描任务对应的漏洞扫描工具的资源消耗数据的大小呈反比。
[0017]结合第一方面第三种可能的实现方式,在第一方面第四种可能的实现方式中,所述根据资源消耗数据的大小,将所述漏洞扫描子任务对应拆解成多个原子扫描任务,包括:
[0018]查找每个漏洞扫描工具的任务数据和扫描进度的资源消耗数据;
[0019]判断漏洞扫描工具的任务数据是否达到最大任务阈值;
[0020]如果所述任务数据未达到最大任务阈值,将所述漏洞扫描子任务拆解成与所述漏洞扫描工具对应的原子扫描任务,且所述原子扫描任务的大小与漏洞扫描工具的最大任务阈值和任务数据的差值相等;
[0021]如果所述任务数据达到最大任务阈值,判断所述漏洞扫描工具的扫描进度是否达到最大进度阈值;
[0022]如果扫描进度达到最大进度阈值,将所述漏洞扫描子任务拆解成与所述漏洞扫描工具对应的原子扫描任务,且所述原子扫描任务的大小与达到最大进度阈值的被漏洞扫描工具扫描的设备的数量相等;
[0023]如果所述扫描进度未达到最大任务阈值,停止拆解漏洞扫描子任务或停止创建漏洞扫描任务。
[0024]第二方面,本发明实施例提供一种漏洞扫描工具的调度系统,所述调度系统包括:
[0025]任务创建模块,用于创建漏洞扫描任务,且所述漏洞扫描任务包括与设备类型对应的漏洞扫描子任务;
[0026]数据获取模块,用于获取每个漏洞扫描工具的资源消耗数据;
[0027]工具调度模块,用于根据所述漏洞扫描子任务和所述资源消耗数据平衡调度所述漏洞扫描工具对待扫描设备扫描。
[0028]结合第二方面,在第二方面第一种可能的实现方式中,所述资源消耗数据为包括任务数据和扫描进度的资源消耗数据。
[0029]结合第二方面第一种可能的实现方式,在第二方面第二种可能的实现方式中,所述工具调度模块包括:
[0030]任务拆解子模块,用于根据所述资源消耗数据将所述漏洞扫描子任务对应拆解成多个原子扫描任务;
[0031]工具调度子模块,用于根据所述原子扫描任务调度漏洞扫描工具对待扫描设备扫描。
[0032]结合第二方面第二种可能的实现方式,在第二方面第三种可能的实现方式中,所述任务拆解子模块包括:
[0033]任务拆解单元,用于根据资源消耗数据的大小,将所述漏洞扫描子任务对应拆解成多个原子扫描任务;其中,所述原子扫描任务的大小与所述原子扫描任务对应的漏洞扫描工具的资源消耗数据的大小呈反比。
[0034]结合第二方面,在第二方面第四种可能的实现方式中,所述任务拆解单元包括:
[0035]查找子单元,用于查找每个漏洞扫描工具的任务数据和扫描进度的资源消耗数据;
[0036]第一判断子单元,用于判断漏洞扫描工具的任务数据是否达到最大任务阈值;
[0037]第一拆解子单元,用于如果所述任务数据未达到最大任务阈值,将所述漏洞扫描子任务拆解成与所述漏洞扫描工具对应的原子扫描任务,且所述原子扫描任务的大小与漏洞扫描工具的最大任务阈值和任务数据的差值相等;
[0038]第二判断子单元,用于如果所述任务数据达到最大任务阈值,判断所述漏洞扫描工具的扫描进度是否达到最大进度阈值;
[0039]第二拆解子单元,用于如果所述扫描进度达到最大进度阈值,将所述漏洞扫描子任务拆解成与所述漏洞扫描工具对应的原子扫描任务,且所述原子扫描任务的大小与达到最大进度阈值的被漏洞扫描工具扫描的设备的数量相等;
[0040]停止子单元,用于如果所述扫描进度未达到最大任务阈值,停止拆解漏洞扫描子任务或停止创建漏洞扫描任务。
[0041]由以上技术方案可见,本发明实施例提供的漏洞扫描工具的调度方法,通过在创建漏洞扫描任务的同时,获取每个漏洞扫描工具的资源消耗数据,从而能够根据获取的资源消耗数据和对应拆解的与设备类型对应的漏洞扫描子任务,调度对应的漏洞扫描工具对待扫描设备进行漏洞扫描;本实施例能够获取漏洞扫描工具的任务数据和扫描进度,平衡调度漏洞扫描工具能够多线程对待扫描设备进行漏洞扫描,避免增加同一个漏洞扫描工具的负载,从而有效提高漏洞扫描工具的漏洞扫描速度和漏洞扫描时间。
[0042]进一步的,本发明实施例提供的漏洞扫描工具的调度方法,通过对包括任务数据和扫描进度的资源信息进行判断,根据当前漏洞扫描工具的任务数据和扫描进度,将漏洞扫描子任务拆解为对应漏洞扫描工具的原子扫描任务,并根据原子扫描任务调度漏洞扫描工具对待扫描设备进行漏洞扫描,避免漏洞扫描工具超负载工作,