漏洞扫描方法、系统、计算机设备及介质与流程

1.本发明涉及漏洞扫描技术领域，尤其涉及一种漏洞扫描方法、系统、计算机设备及介质。


背景技术：

2.漏洞扫描技术是一类重要的网络安全技术。通过对网络的扫描，网络管理员能了解网络的安全设置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员能根据扫描的结果修复网络安全漏洞和系统中的错误设置。而在现有的漏洞扫描机制中，漏洞扫描普遍是作为一种主动的防范措施，在进行漏洞扫描时需要主动发送大量报文去检测需要进行漏洞检测的连接设备，这样对整个网络影响比较大，容易造成网络抖动。


技术实现要素：

3.基于此，有必要针对上述问题，提出了一种在进行漏洞扫描时能避免出现网络波动的漏洞扫描方法、系统、计算机设备及介质。
4.一种漏洞扫描方法，包括：
5.获取经过交换机的镜像数据，所述镜像数据内包含多个连接设备的协议携带信息；
6.对所述协议携带信息进行协议识别，并判断所述协议携带信息是否为工控协议或私有协议；
7.当判断所述协议携带信息为工控协议时，将所述连接设备识别为工控设备，
8.获取所述协议携带信息内预设的功能码值，并判断所述功能码值是否高于预设功能码值范围；
9.若是，则判断所述工控设备存在系统漏洞。
10.进一步的，所述对所述协议携带信息进行协议识别，并判断所述协议携带信息是否为工控协议或私有协议的步骤之后，还包括：
11.当判断所述协议携带信息为私有协议时，将所述连接设备识别为私有设备，
12.获取所述私有协议信息的偏移信息数据，并判断所述偏移信息数据长度是否长于预设阈值；
13.若是，则判断所述私有设备存在系统漏洞。
14.进一步的，所述对所述协议携带信息进行协议识别，并判断所述协议携带信息是否为工控协议或私有协议的步骤，具体包括：
15.判断所述协议携带信息是否符合预设的工控协议类型；
16.若是，则判断所述协议携带信息为所述工控协议，反之则判断所述协议携带信息为所述私有协议。
17.进一步的，所述镜像数据还包括多个所述连接设备网络位置信息；
18.则所述获取经过交换机的镜像数据，所述镜像数据内包含多个连接设备的协议携
带信息的步骤之后，具体包括：
19.根据所述网络位置信息判断所述连接设备是否预先储存在连接设备库中；
20.若是，则获取所述连接设备的第一邻居设备信息以及第一拓扑位置信息，所述第一邻居设备信息用于识别所述连接设备在预设拓扑图中的邻居设备，所述第一拓扑位置信息用于识别所述连接设备在预设拓扑图当中的节点位置；
21.根据所述拓扑位置信息以及所述邻居设备信息将所述连接设备添加到所述预设拓扑图中，从而更新所述预设拓扑图。
22.进一步的，所述根据所述网络位置信息判断所述连接设备是否预先储存在连接设备库中的步骤之后，还包括：
23.若否，则将所述连接设备定为新连接设备；
24.获取所述新连接设备的第二邻居设备信息以及第二拓扑位置信息，所述第二邻居设备信息用于识别所述新连接设备在预设拓扑图中的邻居设备，所述第二拓扑位置信息用于识别所述新连接设备在预设拓扑图当中的节点位置；
25.根据所述第二拓扑位置信息以及所述第二邻居设备信息将所述新连接设备添加到所述预设拓扑图中；
26.通过预设工控设备指纹库来识别所述的新连接设备的产品信息；
27.将所述新连接设备以及对应的所述产品信息添加到所述预设拓扑图内，从而更新所述预设拓扑图。
28.进一步的，所述对所述协议携带信息进行协议识别，并判断所述协议携带信息是否为工控协议或私有协议的步骤，具体包括：
29.获取所述协议携带信息内包含的五元组信息以及厂商信息；
30.将所述五元组信息以及所述厂商信息输入到预设的卷积神经网络中进行特征提取，从而生成匹配协议特征；
31.根据所述匹配协议特征判断所述协议携带信息是否为工控协议或私有协议。
32.进一步的，所述工控协议包括工控协议匹配特征，所述私有协议包括私有协议匹配特征，所述工控协议匹配特征以及所述私有协议匹配特征储存在所述工控设备指纹库内
33.则所述根据所述匹配协议特征判断所述协议携带信息是否为工控协议或私有协议的步骤，具体包括：
34.判断所述匹配协议特征是否与所述工控协议匹配特征匹配；
35.若是，则判断所述匹配协议特征与所述工控协议匹配，若否，则判断所述匹配协议特征是否与所述私有协议匹配特征匹配；
36.若是，则判断所述匹配协议特征与所述私有协议匹配。
37.一种漏洞扫描系统，包括：
38.获取单元，用于获取经过交换机的镜像数据，所述镜像数据内包含多个连接设备的协议携带信息；
39.识别单元，用于对所述协议携带信息进行协议识别，并判断所述协议携带信息是否为工控协议或私有协议；
40.协议识别单元，用于当判断所述协议携带信息为工控协议时，将所述连接设备识别为工控设备；
41.防御单元，用于获取所述协议携带信息内预设的功能码值，并判断所述功能码值是否高于预设功能码值范围；
42.判断单元，用于判断若是，则判断所述工控设备存在系统漏洞。
43.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行以下步骤：
44.获取经过交换机的镜像数据，所述镜像数据内包含多个连接设备的协议携带信息；
45.对所述协议携带信息进行协议识别，并判断所述协议携带信息是否为工控协议或私有协议；
46.当判断所述协议携带信息为工控协议时，将所述连接设备识别为工控设备；
47.获取所述协议携带信息内预设的功能码值，并判断所述功能码值是否高于预设功能码值范围；
48.若是，则判断所述工控设备存在系统漏洞。
49.一种计算机可读介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行以下步骤：
50.获取经过交换机的镜像数据，所述镜像数据内包含多个连接设备的协议携带信息；
51.对所述协议携带信息进行协议识别，并判断所述协议携带信息是否为工控协议或私有协议；
52.当判断所述协议携带信息为工控协议时，将所述连接设备识别为工控设备，
53.获取所述协议携带信息内预设的功能码值，并判断所述功能码值是否高于预设功能码值范围；
54.若是，则判断所述工控设备存在系统漏洞。
55.上述的漏洞扫描方法、系统、计算机设备及介质，通过被动获取经过交换机的镜像数据内包含的协议携带信息，并根据所述协议携带信息的具体状态判断连接设备是否遭受网络攻击，从而实现漏洞扫描功能，实现了无需在进行漏洞扫描时主动对所有连接设备进行扫描，解决了现有技术当中在进行漏洞扫描时需要主动发送大量报文去检测需要进行漏洞检测的连接设备，导致对设备网络造成较大影响，容易造成设备网络抖动的问题，减少了对设备网络的影响。
附图说明
56.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来将，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
57.其中：
58.图1为一实施例中漏洞扫描方法的流程示意图；
59.图2为一实施例中漏洞扫描系统的结构示意图；
60.图3位一实施例中计算机设备的结构框图；
具体实施方式
61.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
62.参考图1，一种漏洞扫描方法，包括：
63.s1、获取经过交换机的镜像数据，所述镜像数据内包含多个连接设备的协议携带信息；
64.如上述步骤s1所述连接设备通过所述交换机与后台系统相连，从而实现所述连接设备与所述后台系统连接的功能，之后所述后台系统通过所述交换机获取经过所述交换机的镜像数据，所述镜像数据包括所述协议携带信息，所述协议携带信息用于识别所述连接设备的协议类型；
65.此外，所述后台系统一般为后台服务器，此外，所述后台系统可以是独立的服务器，也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(content delivery network，cdn)、以及大数据和人工智能平台等基础云计算服务的云服务器，本发明对此不做限定。
66.s2、对所述协议携带信息进行协议识别，并判断所述协议携带信息是否为工控协议或私有协议；
67.如上述步骤s2所述，所述工控协议为业内常规使用且协议格式公开的通讯协议，而所述私有协议即为协议格式不公开，即协议格式由用户自行修改的通讯协议；
68.所述后台系统对获取到的所述协议携带信息进行协议识别，从而实现根据所述协议携带信息识别所述协议携带信息的类型以及对应连接设备的设备类型的功能。
69.s3、当判断所述协议携带信息为工控协议时，将所述连接设备识别为工控设备；
70.如上述步骤s3所述，当所述后台系统判断所述协议携带信息与预设的工控协议类型匹配时，将所述连接设备识别为工控设备，同时判定；
71.s4、获取所述协议携带信息内预设的功能码值，并判断所述功能码值是否高于预设功能码值范围；
72.如上述步骤s4所述，所述后台系统获取在所述协议携带信息内预设的功能码值，并判断所述功能码值是否高于预设功能码值范围，从而实现判断协议携带信息匹配的所述工控设备是否被网络攻击的功能。
73.s5、若是，则判断所述工控设备存在系统漏洞。
74.如上述步骤s5所述，当所述后台系统判断所述功能码值高于预设功能码值范围时，判定所述工控设备被网络攻击，则此时所述后台系统可以识别出所述工控设备存在系统漏洞，并发出相应警告。
75.本实施例通过上述方法，通过被动获取经过交换机的镜像数据内包含的协议携带信息，并根据所述协议携带信息的具体状态判断连接设备是否遭受网络攻击，从而实现漏洞扫描功能的方式实现了无需在进行漏洞扫描时主动对所有连接设备进行扫描，解决了现有技术当中在进行漏洞扫描时需要主动发送大量报文去检测需要进行漏洞检测的连接设备，导致对设备网络造成较大影响，容易造成设备网络抖动的问题，减少了对设备网络的影
响。
76.一实施例中，所述步骤s2之后，还包括：
77.s21、当判断所述协议携带信息为私有协议时，将所述连接设备识别为私有设备，所述协议携带信息为私有协议信息，获取所述私有协议信息的偏移信息数据，并判断所述偏移信息数据长度是否长于预设阈值，若是，则判断所述私有设备存在系统漏洞。
78.如上述实施例所述，所述后台系统判断所述协议携带信息是否与预设的私有协议类型匹配，若是，则所述后台系统判断所述协议携带信息为私有协议，所述连接设备为私有设备，之后所述后台系统获取所述协议携带信息内包含的偏移信息数据，所述偏移信息数据是指的根据所述私有协议的标准，从所述私有协议信息内提取的数据的偏移量数值，当所述偏移量数值大于预设阈值时，则所述后台系统可以判断所述协议携带信息内的数据偏移量过大，不符合所述私有协议的标准，存在被攻击的情况，因此所述后台系统判断所述偏移信息数据的长度是否长于预设阈值，若是，则所述后台系统所述私有设备被网络攻击，则此时所述后台系统可以识别出所述私有设备存在系统漏洞，并发出相应警告。
79.一实施例中，所述步骤s2，具体包括：
80.s22、判断所述协议携带信息是否符合预设的工控协议类型，若是，则判断所述协议携带信息为所述工控协议，反之则判断所述协议携带信息为所述私有协议。
81.如上述实施例所述，所述后台系统提取所述协议携带信息内包含的特征信息以及协议端口信息，并根据所述特征信息以及所述协议端口信息判断所述协议携带信息是否与预设的工控协议类型匹配，所述工控协议类型包括：profinetios、modbus、opcdas、dnp3、iec104、mms、hexagon、ftp、cocas、opcuas_rcp、sv、s7、mqtts，当所述后台系统判断所述特征信息以及所述协议端口信息是否符合上述的工控协议类型，若是，则所述后台系统判断所述协议携带信息为所述工控协议，若否，则所述后台系统判断所述协议携带信息为所述私有协议。
82.一实施例中，所述镜像数据还包括多个所述连接设备网络位置信息；
83.则所述步骤s1之后，还包括：
84.s11、根据所述网络位置信息判断所述连接设备是否预先储存在连接设备库中，若是，则获取所述连接设备的第一邻居设备信息以及第一拓扑位置信息，所述第一邻居设备信息用于识别所述连接设备在预设拓扑图中的邻居设备，所述第一拓扑位置信息用于识别所述连接设备在预设拓扑图当中的节点位置，根据所述拓扑位置信息以及所述邻居设备信息将所述连接设备添加到所述预设拓扑图中，从而更新所述预设拓扑图。
85.如上述实施例所述，所述网络位置信息包括ip数据以及mac数据，所述后台系统内设有所述连接设备库，则所述后台系统判断所述ip数据以及所述mac数据是否储存在所述连接设备库中，若是，则判断所述连接设备曾经与所述后台系统连接且历史连接位置存在于预设拓扑图中，之后所述后台系统根据所述历史连接位置获取所述预设拓扑图中与所述历史连接位置匹配的历史邻居设备信息，并判断所述历史连接位置与所述第一拓扑位置信息是否匹配以及所述历史邻居设备信息与所述第一邻居设备信息是否匹配，若都匹配成功，则所述后台系统将所述连接设备添加到所述预设拓扑图中并更新所述预设拓扑图当前的连接状态。
86.一实施例中，所述根据所述网络位置信息判断所述连接设备是否预先储存在连接
设备库中的步骤之后，还包括：
87.s12、若否，则将所述连接设备定为新连接设备，获取所述新连接设备的第二邻居设备信息以及第二拓扑位置信息，所述第二邻居设备信息用于识别所述新连接设备在预设拓扑图中的邻居设备，所述第二拓扑位置信息用于识别所述新连接设备在预设拓扑图当中的节点位置，根据所述第二拓扑位置信息以及所述第二邻居设备信息将所述新连接设备添加到所述预设拓扑图中，通过预设工控设备指纹库来识别所述的新连接设备的产品信息，将所述新连接设备以及对应的所述产品信息添加到所述预设拓扑图内，从而更新所述预设拓扑图。
88.如上述实施例所述，若所述后台系统判断所述ip数据以及所述mac数据没有储存在所述连接设备库中是，则所述后台系统识别所述连接设备定为新连接设备，并获取所述连接设备的第二邻居设备信息以及第二拓扑位置信息，之后所述后台系统获取所述预设拓扑图，并判断所述预设拓扑图内与所述第二拓扑位置信息对应的位置是否已经存在所述连接设备，若否，则根据所述第二拓扑位置信息以及所述第二邻居设备信息将所述新连接设备添加到所述预设拓扑图中，之后所述后台系统再经由预设的预设工控设备指纹库来识别所述的新连接设备的产品信息，所述产品信息包含与所述新连接设备匹配对应的运行参数数据，并将所述产品信息添加到所述预设拓扑图内所述新连接设备上，从而达到在所述预设拓扑图更新所述新连接设备以及所述新连接设备的对应参数的功能。
89.一实施例中，所述步骤s2，具体包括：
90.s23、获取所述协议携带信息内包含的五元组信息以及厂商信息，将所述五元组信息以及所述厂商信息输入到预设的卷积神经网络中进行特征提取，从而生成匹配协议特征，根据所述匹配协议特征判断所述协议携带信息是否为工控协议或私有协议。
91.如上述实施例所述，所述后台系统获取所述协议携带信息内内包含的五元组信息以及厂商信息，可以理解的是，所述五元组信息包括ip地址数据、源端口数据、目的ip地址数据，目的端口数据和传输层协议数据，之后所述后台系统将所述ip地址数据、所述源端口数据、所述目的ip地址数据，所述目的端口数据和所述传输层协议数据以及所述厂商信息输入到预设的卷积神经网络中进行特征提取，从而提取出与所述协议携带信息匹配的匹配协议特征，之后所述后台系统从预设工控协议特征库以及预设私有协议特征库，并判断所述匹配协议特征是否存在于所述预设工控协议特征库与所述预设私有协议特征库中，当所述匹配协议特征存在于所述预设工控协议特征库中时，所述后台系统判断所述协议携带信息为所述工控协议，而当所述匹配协议特征存在于所述预设私有协议特征库中时，所述后台系统判断所述协议携带信息为所述私有协议。
92.一实施例中，所述工控协议包括工控协议匹配特征，所述私有协议包括私有协议匹配特征，所述工控协议匹配特征以及所述私有协议匹配特征储存在所述工控设备指纹库内；
93.则所述根据所述匹配协议特征判断所述协议携带信息是否为工控协议或私有协议的步骤，具体包括：
94.s24、判断所述匹配协议特征是否与所述工控协议匹配特征匹配，若是，则判断所述匹配协议特征与所述工控协议匹配，若否，则判断所述匹配协议特征是否与所述私有协议匹配特征匹配，若是，则判断所述匹配协议特征与所述私有协议匹配。
95.如上述实施例所述，所述后台系统将通过所述预设的卷积神经网络提取的所述匹配协议特征储存到所述工控设备指纹库内，所述工控设备指纹库内预先储存有所述工控协议匹配特征以及所述私有协议匹配特征，之后所述后台系统判断储存在所述工控设备指纹库内的所述匹配协议特征是否与所述工控协议匹配特征，若是，则所述后台系统判断所述匹配协议特征与所述工控协议匹配，即所述匹配协议特征对应所述连接设备的协议为工控协议，若否，则所述判断储存在所述工控设备指纹库内的所述匹配协议特征是否与所述私有协议匹配特征，若是，则所述后台系统判断所述匹配协议特征与所述私有协议匹配，即所述匹配协议特征对应所述连接设备的协议为私有协议。
96.参考图2，一种漏洞扫描系统，包括：
97.获取单元1，用于获取经过交换机的镜像数据，所述镜像数据内包含多个连接设备的协议携带信息；
98.识别单元2，用于对所述协议携带信息进行协议识别，并判断所述协议携带信息是否为工控协议或私有协议；
99.协议识别单元3，用于当判断所述协议携带信息为工控协议时，将所述连接设备识别为工控设备；
100.防御单元4，用于获取所述协议携带信息内预设的功能码值，并判断所述功能码值是否高于预设功能码值范围；
101.判断单元5，用于判断若是，则判断所述工控设备存在系统漏洞。
102.上述各单元为执行上述漏洞扫描系统，在此不再一一介绍。
103.图3示出了一个实施例中计算机设备的内部结构图。该计算机设备具体可以是服务器，所述服务器包括但不限于高性能计算机和高性能计算机集群。如图3所示，该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统，还可存储有计算机程序，该计算机程序被处理器执行时，可使得处理器实现所述员工状态判断方法。该内存储器中也可储存有计算机程序，该计算机程序被处理器执行时，可使得处理器执行所述绝缘油过滤方法。
104.在一个实施例中，本发明提供的客户行为识别方法可以实现为一种计算机程序的形式，计算机程序可在如图3所示的计算机设备上运行。计算机设备的存储器中可存储组成邮件自动分类聚合装置的各个程序模板。比如：获取单元1、识别单元2、协议识别单元3、防御单元4以及判断单元5。
105.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如下步骤：
106.获取经过交换机的镜像数据，所述镜像数据内包含多个连接设备的协议携带信息，对所述协议携带信息进行协议识别，并判断所述协议携带信息是否为工控协议或私有协议，当判断所述协议携带信息为工控协议时，将所述连接设备识别为工控设备，获取所述协议携带信息内预设的功能码值，并判断所述功能码值是否高于预设功能码值范围，若是，则判断所述工控设备存在系统漏洞。
107.综合上述实施例可知，本发明最大的有益效果在于，通过被动获取经过交换机的镜像数据内包含的协议携带信息，并根据所述协议携带信息的具体状态判断连接设备是否
遭受网络攻击，从而实现漏洞扫描功能的方式实现了无需在进行漏洞扫描时主动对所有连接设备进行扫描，解决了现有技术当中在进行漏洞扫描时需要主动发送大量报文去检测需要进行漏洞检测的连接设备，导致对设备网络造成较大影响，容易造成设备网络抖动的问题，减少了对设备网络的影响。
108.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本发明所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、以及双数据率等。
109.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
110.以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。