基于云计算和SDN的漏洞扫描方法及系统与流程

本发明涉及计算机网络技术领域，尤其涉及一种基于云计算和sdn的漏洞扫描方法及系统。

背景技术：

漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测行为。常见的检测行为包括数据库脆弱性检测，系统弱密码检测，web服务安全检测等等。使用漏洞扫描的目的在于及时发现目标机器的安全漏洞，并在网络攻击到来前进行防范。一般地，在使用漏洞扫描后会得出一份漏洞风险报告，目标机器的管理员会根据该风险报告对系统打补丁，或加强系统应用软件等的密码强度。

如今应用在云上的漏洞扫描系统与云计算的管理平台相对独立，缺乏统一管理。漏洞扫描任务的管理和漏洞信息的反馈，都需要登陆到漏洞扫描系统自带的页面上进行。这会在进行漏洞扫描相关操作时，带来不必要的管理成本。

再者，如今应用在云上的漏洞扫描系统并不能进行弹性使用，因而导致漏洞扫描系统在没有任务时造成云上资源的浪费，或者在计算资源处于紧张情况下执行扫描任务导致漏洞扫描系统异常。另外，现有应用于云上的漏洞扫描系统大多只能针对某一特定的领域，其中如针对web服务漏洞的，并不能针对多种服务漏洞进行全面扫描。

最后，由于现有的软件定义网络(softwaredefinednetwork,sdn)网络并未针对漏洞扫描系统的大量扫描流量进行特定处理。因此，漏洞扫描系统会在进行扫描任务时影响整个sdn网络性能。这其中主要是因为sdn网络中，当网络数据大量增加时，导致网络连接数过多，虚拟交换机在查找网络流量路径的时间就会大大增加，因而影响了整个sdn网络性能。

技术实现要素：

本发明的目的在于针对上述现有技术中的缺乏统一管理、不能弹性使用，数据增多时sdn性能低的问题，提出了一种基于云计算和sdn的漏洞扫描方法及系统，能够有效提高sdn的性能。

一方面，本发明提供一种基于云计算和sdn的漏洞扫描方法，包括：

接收扫描任务控制指令，并根据所述扫描任务指令创建漏洞扫描任务；

创建用于执行所述漏洞扫描任务的漏洞扫描实例；

添加同一网络下的实例到漏洞扫描任务中，并选择目标实例；

在所述漏洞扫描实例上设置漏洞扫描标签，并向sdn控制器注册所述漏洞扫描实例的业务网卡；

所述sdn控制器对所述漏洞扫描实例和所述目标实例进行验证；

如果验证通过，则所述sdn控制器通过虚拟交换机下发流表，并执行漏洞扫描任务。

进一步地，所述扫描任务控制指令包括任务执行时间信息；

根据所述扫描任务指令创建漏洞扫描任务之后，还包括：

根据所述任务执行时间信息，判断所述漏洞扫描任务为即时执行或是定时执行；

如果为即时执行，则即时创建用于执行所述漏洞扫描任务的漏洞扫描实例；

如果为定时执行，则当到达预设时刻时创建用于执行所述漏洞扫描任务的漏洞扫描实例。

进一步地，所述sdn控制器对所述漏洞扫描实例和所述目标实例进行验证，包括：

所述sdn控制器接收网络数据首包，并读取所述业务网卡的注册信息，判断所述注册信息是否与漏洞扫描实例匹配，并判断目标实例是否为同一网络下的实例；

如果是，则验证通过。

进一步地，如果验证未通过，则放弃执行所述漏洞扫描任务。

进一步地，所述sdn控制器通过虚拟交换机下发流表，并执行漏洞扫描任务，包括：

所述sdn控制器下发正向流表，通过所述正向流表使得漏洞扫描任务的扫描网络包到达所述目标实例；

所述sdn控制器下发反向流表，通过所述方向流表将目标实例的响应包反馈至所述漏洞扫描实例。

进一步地，执行漏洞扫描任务，包括：

根据所述漏洞扫描任务获取扫描任务需求信息，根据所述扫描任务需求信息执行漏洞扫描任务；

在执行漏洞扫描任务中，上传任务扫描进度；

在漏洞扫描任务结束后，上传任务检测报告。

进一步地，所述方法还包括：

获取任务销毁控制指令，并根据所述任务销毁指令销毁所述漏洞扫描任务。

进一步地，销毁所述漏洞扫描任务，包括：

如果所述漏洞扫描任务正在执行，则销毁所述漏洞扫描实例，并向所述sdn控制器注销所述漏洞扫描实例的业务网卡；

如果所述漏洞扫描任务未执行，则销毁所述漏洞扫描任务。

另一方面，本发明还提供一种基于云计算和sdn的漏洞扫描系统，包括：

云平台，用于接收扫描任务控制指令，根据所述扫描任务指令创建漏洞扫描任务,创建用于执行所述漏洞扫描任务的漏洞扫描实例,添加同一网络下的实例到漏洞扫描任务中，并选择目标实例，在所述漏洞扫描实例上设置漏洞扫描标签，并向sdn控制器注册所述漏洞扫描实例的业务网卡；

sdn控制器，用于对所述漏洞扫描实例和所述目标实例进行验证；

虚拟交换机，用于验证通过时接收所述sdn控制器通下发的流表；

所述漏洞扫描实例根据所述流表执行漏洞扫描任务。

本发明提供的基于云计算和sdn的漏洞扫描方法及系统，至少包括如下有益效果：

(1)扫描更加全面，弹性按需执行扫描任务，避免了不必要的扫描，减少扫描时间，弹性创建用于执行漏洞扫描任务的漏洞扫描实例，动态调用资源，避免了云计算资源在扫描任务不执行时的浪费，有效提高sdn的性能；

(2)可以根据实际需要设置漏洞扫描任务的执行时间，有效提高了漏洞扫描的灵活性；

(3)sdn控制器下发的流表是无端口匹配的，减少流表的生成，从而减少虚拟交换机为网络数据包查找路径的时间，降低对sdn性能的影响。

附图说明

图1为本发明提供的基于云计算和sdn的漏洞扫描方法一种实施例的流程图。

图2为本发明提供的基于云计算和sdn的漏洞扫描方法中sdn控制器对所述漏洞扫描实例和所述目标实例进行验证的流程图。

图3为本发明提供的基于云计算和sdn的漏洞扫描方法中执行漏洞扫描任务的流程图。

图4为本发明提供的基于云计算和sdn的漏洞扫描系统一种实施例的结构示意图。

具体实施方式

为使本发明的目的、技术方案及效果更加清楚、明确，以下参照附图并举实施例对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

实施例一

参考图1，本实施例提供一种基于云计算和sdn的漏洞扫描方法，包括：

步骤s101，接收扫描任务控制指令，并根据所述扫描任务指令创建漏洞扫描任务；

步骤s102，创建用于执行所述漏洞扫描任务的漏洞扫描实例；

步骤s103，添加同一网络下的实例到漏洞扫描任务中，并选择目标实例；

步骤s104，在所述漏洞扫描实例上设置漏洞扫描标签，并向sdn控制器注册所述漏洞扫描实例的业务网卡；

步骤s105，所述sdn控制器对所述漏洞扫描实例和所述目标实例进行验证；

步骤s106，如果验证通过，则所述sdn控制器通过虚拟交换机下发流表，并执行漏洞扫描任务。

本实施例提供的基于云计算和sdn的漏洞扫描方法，扫描更加全面，弹性按需执行扫描任务，避免了不必要的扫描，减少扫描时间，弹性创建用于执行漏洞扫描任务的漏洞扫描实例，动态调用资源，避免了云计算资源在扫描任务不执行时的浪费，有效提高sdn的性能。

进一步地，步骤s101中，系统管理员发出扫描任务控制指令，云平台根据该扫描任务控制指令创建漏洞扫描任务，其中该漏洞扫描任务包括了管理员选择的一个或多个漏洞集等信息。

进一步地，扫描任务控制指令包括任务执行时间信息；

根据所述扫描任务指令创建漏洞扫描任务之后，获取该任务执行时间信息，根据所述任务执行时间信息，判断所述漏洞扫描任务为即时执行或是定时执行；

如果为即时执行，则即时创建用于执行所述漏洞扫描任务的漏洞扫描实例；

如果为定时执行，则当到达预设时刻时创建用于执行所述漏洞扫描任务的漏洞扫描实例。

系统管理员可以根据实际需要设置漏洞扫描任务的执行时间，有效提高了漏洞扫描的灵活性。

当需要执行漏洞扫描任务时创建漏洞扫描实例，并添加同一网络下的实例到漏洞扫描任务中，并选择其中的一个或多个实例作为目标实例，并在漏洞扫描实例上设置漏洞扫描标签，并向sdn控制器注册该漏洞扫描实例的业务网卡。

进一步地，参考图2，所述sdn控制器对所述漏洞扫描实例和所述目标实例进行验证，包括：

所述sdn控制器接收网络数据首包，并读取所述业务网卡的注册信息，判断所述注册信息是否与漏洞扫描实例匹配，并判断目标实例是否为同一网络下的实例；

如果是，则验证通过。

进一步地，如果注册信息与漏洞扫描实例不匹配和/或目标实例不是同一网络下的实例，则验证未通过，则放弃执行所述漏洞扫描任务。

验证通过后，所述sdn控制器通过虚拟交换机下发流表，并执行漏洞扫描任务。

具体包括：

所述sdn控制器下发正向流表，通过所述正向流表使得漏洞扫描任务的扫描网络包到达所述目标实例；

所述sdn控制器下发反向流表，通过所述方向流表将目标实例的响应包反馈至所述漏洞扫描实例。

sdn控制器下发的流表是无端口匹配的，减少流表的生成，从而减少虚拟交换机为网络数据包查找路径的时间，降低对sdn性能的影响。

进一步地，参考图3，执行漏洞扫描任务，包括：

根据所述漏洞扫描任务获取扫描任务需求信息，如需要加载的漏洞集、目标实例等；

根据所述扫描任务需求信息执行漏洞扫描任务；

在执行漏洞扫描任务中，上传任务扫描进度；

在漏洞扫描任务结束后，上传任务检测报告。

具体地，通过调用具体命令执行漏洞扫描任务。

若不在需要某个漏洞扫描任务，可以在创建后销毁该任务，该任务将不会执行或者执行中终止。系统管理员发出任务销毁控制指令。

具体方法包括：

获取任务销毁控制指令，并根据所述任务销毁指令销毁所述漏洞扫描任务。

销毁所述漏洞扫描任务，包括：

如果所述漏洞扫描任务正在执行，则销毁所述漏洞扫描实例，并向所述sdn控制器注销所述漏洞扫描实例的业务网卡；

如果所述漏洞扫描任务未执行，则销毁所述漏洞扫描任务。

本实施例提供的基于云计算和sdn的漏洞扫描方法，至少包括如下有益效果：

(1)扫描更加全面，弹性按需执行扫描任务，避免了不必要的扫描，减少扫描时间，弹性创建用于执行漏洞扫描任务的漏洞扫描实例，动态调用资源，避免了云计算资源在扫描任务不执行时的浪费，有效提高sdn的性能；

(2)可以根据实际需要设置漏洞扫描任务的执行时间，有效提高了漏洞扫描的灵活性；

(3)sdn控制器下发的流表是无端口匹配的，减少流表的生成，从而减少虚拟交换机为网络数据包查找路径的时间，降低对sdn性能的影响。

实施例二

参考图4，本实施例提供一种基于云计算和sdn的漏洞扫描系统，包括：

云平台1，用于接收扫描任务控制指令，根据所述扫描任务指令创建漏洞扫描任务,创建用于执行所述漏洞扫描任务的漏洞扫描实例,添加同一网络下的实例到漏洞扫描任务中，并选择目标实例，在所述漏洞扫描实例上设置漏洞扫描标签，并向sdn控制器注册所述漏洞扫描实例的业务网卡；

sdn控制器2，用于对所述漏洞扫描实例和所述目标实例进行验证；

虚拟交换机3，用于验证通过时接收所述sdn控制器通下发的流表；

所述漏洞扫描实例根据所述流表执行漏洞扫描任务。

漏洞扫描系统的工作原理参考实施例一，在此不再赘述。

本实施例提供的基于云计算和sdn的漏洞扫描系统，至少包括如下有益效果：

(1)扫描更加全面，弹性按需执行扫描任务，避免了不必要的扫描，减少扫描时间，弹性创建用于执行漏洞扫描任务的漏洞扫描实例，动态调用资源，避免了云计算资源在扫描任务不执行时的浪费，有效提高sdn的性能；

(2)可以根据实际需要设置漏洞扫描任务的执行时间，有效提高了漏洞扫描的灵活性；

(3)sdn控制器下发的流表是无端口匹配的，减少流表的生成，从而减少虚拟交换机为网络数据包查找路径的时间，降低对sdn性能的影响。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。