专利名称:网络安全扫描方法、装置及系统的制作方法
技术领域:
本发明涉及安全技术领域,特别涉及一种网络安全扫描方法、装置及系统。
背景技术:
迅速发展的因特网(Internet)给人们的生活、工作带来了巨大的方4更, 但同时,也带来了网络信息的安全问题。能够在网络系统发生安全事故之前 对其进行预防性检查,及时发现问题并予以解决不失为一种好的办法,于是 网络安全漏洞扫描技术应运而生。目前,通常采用网络安全扫描器用于网络 安全漏洞扫描,网络安全扫描器是一种自动^r测远程或本地主^L安全脆弱点 的程序,通过使用网络安全扫描器可以发现远程服务器的各种TCP端口的分 配、提供的服务和它们的软件版本,并通过测试远程主机中的服务和软件版 本,从而可以了解到远程主机所存在的安全漏洞。
现有技术中通常采用如下的网络安全扫描方案,即在所有需要扫描的内 部网络中的任一台目标主机上安装代理软件;网络安全扫描器设置在内部网 络之外;为各个内部网络中的代理软件在网络边界处开放一个端口,该端口 连接待扫描的内部网络中的代理软件和外部的网络安全扫描器;代理软件通 过该端口转发网络安全扫描器对内部网络内的目标主机的扫描命令以及^皮扫
描的目标主机向网络安全扫描器返回的扫描结果。该方案中的网络安全扫描 器置于内部网络之外,同一安全扫描器可以同时对多个不同的内部网络中的 目标主机进行网络安全扫描,节省了网络安全扫描的成本。
发明人在实现本发明的过程中发现,现有技术中的网络安全扫描方法由 于需要在网络内部的目标主机上安装代理软件,该代理软件为可执行程序,且还需要为该代理软件与网络安全扫描器的连接在内部网络的边界开放一个 端口,因此容易带来附加的不安全因素,如代理软件易受病毒感染、网络安
全扫描完成后代理软件卸载是否完全等问题;再有,需要针对支持不同种类 的操作系统的代理软件,开发对应的支持各种操作系统的网络安全扫描器, 也会造成成本的浪费。
发明内容
本发明实施例提供了一种网络安全扫描方法、装置及系统,以提高网络 安全扫描的安全性、可靠性和通用性。
本发明实施例提供了一种网络安全扫描方法,包括
通过在内部网络中预置的网页文件向内部网络中的目标主机发送网络安 全扫描命令;
对所述内部网络中的目标主机进行网络安全扫描;
通过所述网页文件接收扫描结果,所述网页文件中建立有与所述目标主
机通信的套接字接口。
本发明实施例还提供了 一种网络安全扫描装置,包括
扫描模块,用于通过在内部网络中预置的网页文件向内部网络中的目标
主机发送网络安全扫描命令,对所述内部网络中的目标主机进行网络安全扫
描,所述网页文件中建立有与所述目标主机通信的套接字接口 ; 结果获取模块,用于通过所述网页文件接收扫描结果。 本发明实施例还提供了 一种网络安全扫描系统,包括目标主机以及如上
所述的网络安全扫描装置,所述目标主机位于内部网络中,所述网络安全扫
描装置通过预置的网页文件对所述目标主机进行网络安全扫描,所述网页文
件中建立有与所述目标主机通信的套接字接口 。
由以上技术方案可知,本发明实施例的网络安全扫描方法、装置及系统,
通过在待扫描的内部网络的网站目录下配置一个网页文件,以实现内部网络之外的网络安全扫描器对内部网络中的目标主机的网络安全扫描;无需在内 部网络中的目标主机上安装任何的代理软件,且无需为了连接代理软件和外 部的网络安全扫描器开放另外的端口 ,从而也不用针对不同的代理软件设置 不同的网络安全扫描器,可以大大提高网络安全扫描的安全性、可靠性以及 通用性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面 描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲, 在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。 图1为本发明实施例一提供的网络安全扫描方法的流程示意图; 图2为本发明实施例二提供的网络安全扫描方法的流程示意图; 图3为本发明实施例三提供的网络安全扫描装置的结构示意图; 图4为本发明实施例四提供的网络安全扫描系统的结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而 不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作 出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例一提供的网络安全扫描方法的流程示意图,待扫描 网络可以为/>司的内部网络,如图l所示,包括如下步骤
步骤101、通过在内部网络中预置的网页文件向内部网络中的目标主才几 发送网络安全扫描命令,对内部网络中的目标主机进行网络安全扫描;
具体的,先在内部网络中预置一个网页文件,该网页文件中建立有与目标主机通信的套接字(SOCKET )接口 。 SOCKET接口简单的说就是通信的 两方的一种约定,用于描述IP地址和端口,是一个通信链的句柄,从而使通 信双方可以采用约定的方式来完成两方的数据交互。进行网络安全扫描时, 在外部网络的网络安全扫描器通过访问该网页文件,从而实现对内部网络的 访问,并通过在内部网络中预置的网页文件向内部网络中的目标主才几发送网 络安全扫描命令,对内部网络中的目标主机进行网络安全扫描;
需要说明的是,网页文件的配置不受目标主机的操作系统的限制,任意 操作系统的目标主机上均可以配置相同的网页文件,且内部网络的网站可以 建立在该内部网络下的任意一台目标主才几中。
步骤102、通过网页文件接收扫描结果;
具体的,当扫描结束后,外部网络的网络安全扫描器可以通过网页文件 中建立的SOCKET接口接收扫描结果,以完成对内部网络中的目标主机的网 络安全扫描。
本实施例提供的网络安全扫描方法,通过在待扫描的内部网络的网站目 录下配置一个网页文件,以实现内部网络之外的网络安全扫描器对内部网络 中的目标主机的网络安全扫描,无需在内部网络中的目标主机上安装任何的 代理软件,且无需为了连接代理软件和外部的网络安全扫描器开放另外的端 口,从而也不用针对不同的代理软件"^殳置不同的网络安全扫描器,可以大大 提高网络安全扫描的安全性、可靠性以及通用性。
图2为本发明实施例二提供的网络安全扫描方法的流程示意图,如图2 所示,包括如下步骤
步骤201、在内部网络的根目录下设置一网页文件,该网页文件中建立 有与目标主机通信的套接字接口 ;
具体的,网页文件可以建立套接字接口,该网页文件可以为ASP.NET或 JSP等WEB页面文件类型。将该网页文件设置在内部网络的根目录下,可以 在访问该页面文件时,通过该页面文件访问内部网络中的主才几。由于该网页文件不同于应用程序,因此,可以方便地在内部网络的根目录下设置和删除。 可以理解的是,当内部网络的根目录下已经存在该网页文件时,则可以 不再执行该步骤。
步骤202、通过网页文件中建立的SOCKET接口将超文本传输协i义 (Hypertext Transfer Protocol, HTTP)数据才各式的网络安全扫描命令转换成 传输控制协议(Transmission Control Protocol, TCP)数据格式的网络安全扫 描命令,对内部网络中的目标主才几进行网络安全扫描;
一般的,由于外部网络支持HTTP协议,内部网络支持TCP/IP协议,因 此,外部网络的网络安全扫描器通过为HTTP开力文的80端口连接到内部网络 中的WEB页面文件,因此,通过WEB页面文件中建立的SOCKET接口, 向内部网络中的各个目标主机发送网络安全扫描命令时,该网页文件中的 SOCKET接口将该网络安全扫描命令从HTTP数据格式转换为TCP数据格 式,以便对内部网络中的主机网络安全扫描。
步骤203、通过网页文件中建立的SOCKET4妄口将来自目标主^L的TCP 数据格式的扫描结果转换为HTTP数据格式的扫描结果,并进行接收;
具体的,扫描结束后,该网页文件中的SOCKET接口将接收的目标主机 返回的TCP数据格式的扫描结果转换成HTTP数据格式的扫描结果,通过该 网页文件向外部网络中的网络安全扫描器返回,从而实现透明的外部网络到 内部网全各的i方问。
可见,只要在内部网络中建立了网站,无需安装任何应用软件,只需要 配置一个WEB页面文件到任意可访问的内部网站的才艮目录下,该WEB页面 文件不需安装,不需要根据不同的操作系统进行配置,添加/删除方便、彻底, 因此可以采用该方案实现大规模的、安全、方便的内部网络安全扫描。
本实施例提供的网络安全扫描方法,无需在每个内部网络部署一套对应 的网络安全扫描设备,也无需在内部网络中安装任何软件,只需要在内部网 络中的网站目录下配置一个网页文件,通过该网页文件自身建立的SOCKET接口即可接通外部网络的网络安全扫描器和内部网络中的目标主机,即可以 进行远程的网络安全扫描。降低了网络安全扫描的成本,且降低了产品部署 的难度,提高了网络安全扫描的通用性,使得网络安全扫描更加方便、易执 行。
图3为本发明实施例三提供的网络安全扫描装置的结构示意图,如图3 所示,本实施例的网络安全扫描装置包括扫描模块31和结果获取模块32。
其中
扫描模块31,用于通过在内部网络中预置的网页文件向内部网络中的目 标主机发送网络安全扫描命令,对内部网络中的目标主机进行网络安全扫描, 该网页文件中建立有与所述目标主才几通信的SOCKET4妄口;
具体的,可以在内部网络的根目录下预置网页文件,该网页文件中建立 有与目标主机通信的套接字(SOCKET)接口,可以理解的是,套接字接口 可以由该网页文件建立,该网页文件可以为ASP.NET或JSP等WEB页面文 件类型。将该网页文件设置在内部网络的根目录下,可以在访问该网页文件 时,通过该网页文件向内部网络中的主机发送网络安全扫描命令,对内部网 络中的目标主机进行网络安全扫描。
可以理解的是,由于该网页文件不同于应用程序,因此,可以方便地在 内部网络的根目录下设置和删除。
结果获取模块32,用于通过网页文件接收扫描结果。
具体的,该网络安全扫描装置还可以包括有预置模块33,用于在内部网 络中预置网页文件,该网页文件设置在内部网络的根目录下。
具体的,扫描模块31可以包括命令发送单元311和扫描单元312。其
中
命令发送单元311,用于通过访问内部网络中预置的网页文件向内部网 络中的目标主机发送HTTP数据格式的网络安全扫描命令;
具体的,由于外部网络支持HTTP协议,内部网络支持TCP/IP协议,因此,当位于外部网络的网络安全扫描器通过预置的网页文件扫描内部网络中
的目标主机时,该网络安全扫描器发送的是HTTP数据格式的网络安全扫描 命令。
扫描单元312,用于根据网页文件中建立的SOCKET接口将HTTP数据 格式的网络安全扫描命令转换为TCP格式的网络安全扫描命令后对目标主机 进行网络安全扫描。
具体的,当网络安全扫描器通过网页文件发送HTTP格式的网络安全扫 描命令后,该网页文件中建立的SOCKET接口将该HTTP数据格式的网络安 全扫描命令转换为TCP格式的网络安全扫描命令并转发给目标主才几,对目标 主机进行网络安全扫描。
当扫描接收后,网页文件中的SOCKET接口将内部网络的由TCP格式 的扫描结果转换成HTTP格式的扫描结果,结果获取模块32可以通过该网页 文件接收转换后的扫描结果。
本实施例提供的网络安全扫描装置,通过在待扫描的内部网络的网站目 录下配置一个网页文件,以实现内部网络之外的网络安全扫描器对内部网络 中的目标主机的网络安全扫描;无需在内部网络中的目标主机上安装任何的 代理软件,且无需为了连接代理软件和外部的网络安全扫描器开^L另外的端 口,从而也不用针对不同的代理软件设置不同的网络安全扫描器,可以大大 提高网络安全扫描的安全性、可靠性以及通用性。
图4为本发明实施例四提供的网络安全扫描系统的结构示意图,如图4 所示,该系统包括目标主机4和如上述实施例以及图3所示的网络安全扫 描装置3。其中,目标主机4位于内部网络中,网络安全扫描装置3通过预 置的网页文件对目标主才几4进行网络安全扫描,网页文件中建立有与目标主 才几4通信的SOCKET 4妄口 。
具体的,对网络安全扫描装置3的描述请参见上述实施例,在此不再赘述。
10本实施例提供的网络安全扫描系统,通过在待扫描的内部网络的网站目 录下配置一个网页文件,以实现内部网络之外的网络安全扫描器对内部网络
中的目标主机的网络安全扫描;无需在内部网络中的目标主机上安装任何的 代理软件,且无需为了连接代理软件和外部的网络安全扫描器开放另外的端 口,从而也不用针对不同的代理软件设置不同的网络安全扫描器,可以大大 提高网络安全扫描的安全性、可靠性以及通用性。
程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于 一计算机可获取存储介质中,该程序在执行时,可包括如上述各方法的实施 例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。
最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其 限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术 人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或 者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技
术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1、一种网络安全扫描方法,其特征在于,包括通过在内部网络中预置的网页文件向内部网络中的目标主机发送网络安全扫描命令;对所述内部网络中的目标主机进行网络安全扫描;通过所述网页文件接收扫描结果,所述网页文件中建立有与所述目标主机通信的套接字接口。
2、 根据权利要求1所述的网络安全扫描方法,其特征在于, 所述通过在内部网络中预置的网页文件向内部网络中的目标主才几发送网络安全扫描命令包括通过所述网页文件中建立的所述套接字接口将超文本 传输协议HTTP数据格式的网络安全扫描命令转换成传输控制协议TCP数据 格式的网络安全扫描命令;所述通过所述网页文件接收扫描结果包括通过所述网页文件中建立的 所述套接字接口将来自所述目标主机的TCP数据格式的扫描结果转换为 HTTP数据格式的扫描结果,并接收所述HTTP数据格式的扫描结果。
3、 根据权利要求1所述的网络安全扫描方法,其特征在于,所述网页文 件设置在所述内部网络的根目录下。
4、 一种网络安全扫描装置,其特征在于,包括扫描模块,用于通过在内部网络中预置的网页文件向内部网络中的目标 主机发送网络安全扫描命令,对所述内部网络中的目标主机进行网络安全扫 描,所述网页文件中建立有与所述目标主机通信的套接字接口 ;结果获取模块,用于通过所述网页文件接收扫描结果。
5、 根据权利要求4所述的网络安全扫描装置,其特征在于,还包括 预置模块,用于在所述内部网络中预置网页文件。
6、 根据权利要求4所述的网络安全扫描装置,其特征在于,所述扫描模 块包括命令发送单元,用于通过访问所述内部网络中预置的网页文件向所述内部网络中的目标主机发送HTTP数据格式的网络安全扫描命令;扫描单元,用于根据所述网页文件中建立的所述套接字接口将所述HTTP数据格式的网络安全扫描命令转换为TCP数据格式的网络安全扫描命令后对所述目标主机进行网络安全扫描;所述结果获取^t块用于通过所述网页接收扫描结果,所述扫描结果已通过所述网页中建立的套接字接口由TCP数据格式转换成HTTP数据格式。
7、 一种网络安全扫描系统,其特征在于,包括目标主机以及如权利要求4-6任一项所述的网络安全扫描装置,所述目标主机位于内部网络中,所述网络安全扫描装置通过预置的网页文件对所述目标主机进行网络安全扫描,所述网页文件中建立有与所述目标主机通信的套接字接口 。
全文摘要
本发明实施例涉及一种网络安全扫描方法、装置及系统。其中该网络安全扫描方法包括通过在内部网络中预置的网页文件向内部网络中的目标主机发送网络安全扫描命令,对内部网络中的目标主机进行网络安全扫描,并通过网页文件接收扫描结果,该网页文件中建立有与所述目标主机通信的套接字接口。本发明实施例的网络安全扫描方法、装置及系统,无需在内部网络中的目标主机上安装任何的代理软件,且无需为了连接代理软件和外部的网络安全扫描器开放另外的端口,从而也不用针对不同的代理软件设置不同的网络安全扫描器,可以大大提高网络安全扫描的安全性、可靠性以及通用性。
文档编号H04L29/08GK101605134SQ200910139508
公开日2009年12月16日 申请日期2009年6月30日 优先权日2009年6月30日
发明者欢 王 申请人:成都市华为赛门铁克科技有限公司