本发明专利技术的实施例提供了一种漏洞扫描的方法及装置,其中该方法包括:获取用户输入的扫描请求;根据扫描请求,从控制器上获取一信息列表,信息列表中记录了每一服务器上所部署的虚拟机的第一信息;根据扫描请求,从信息列表中定位出需要进行漏洞扫描的目标虚拟机,并对目标虚拟机进行漏洞扫描,本发明专利技术的实施例通过多种方式定位目标虚拟机,使得通过一套漏洞扫描设备便能实现对网络的漏洞扫描,进而便于漏洞扫描设备的部署和运维管理。
【技术实现步骤摘要】
本专利技术涉及网络
,特别涉及一种漏洞扫描的方法及装置。
技术介绍
随着网络技术的飞速发展,数以万计的网络安全漏洞被公布,网络攻击者层出不穷,网络安全状况日益严峻。另外由于系统管理员疏忽或者是缺乏经验,无法人为发现网络漏洞。针对各类网页、应用系统和网络环境等扫描对象的漏洞扫描设备可检测内网主机的安全隐患,提醒安全管理人员进行系统升级和对漏洞的攻击防范,因而备受关注。传统的漏洞扫描设备通过识别扫描目标主机的工作状态,进而识别目标主机系统及服务程序的类型和版本,识别目标主机端口的状态,根据已知漏洞信息,分析系统脆弱点,最终生成扫描结果报告。最常用的主机存活扫描技术包括控制报文协议(ICMP,InternetControlMessageProtocol)的响应(echo)扫描,ICMP广播扫描等技术。对于传统的漏洞扫描的主机存活扫描技术,基于网络之间互连的协议(IP,InternetProtocol)实现主机的存活探测。当漏洞扫描设备与目标主机网络可达,通过发送ICMPecho请求给主机,等待主机ICMP回应从而判断主机是否存活;或者是通过广播整个网段来检测整个网段的存活。这种基于IP的主机存活扫描技术,以IP区分目标主机。要求目标主机具有IP的不冲突性,也带来了局限性,限制了目标主机的选择只能靠IP区分,从而不具备灵活性和多样性。而且对于如公有云多租户的场景,由于公有云多租户三层隔离,IP地址可以重复,采用现有的漏洞扫描设备则存在本质问题,无法实现集中式漏洞扫描,即针对公有云多租户整体网络的漏洞扫描。当前采取的替代解决方式是在公有云中部署分布式漏扫设备,针对每个租户一套,每套漏扫设备对单租户小范围进行漏洞扫描。这种分布式漏扫设备在解决了多租户漏扫服务的同时,代价巨大,部署麻烦而且分散,不易集中管理,多套漏扫设备成本太高,对用户的差异化漏扫服务部署繁琐。
技术实现思路
本专利技术实施例的目的在于提供一种漏洞扫描的方法及装置,通过多种方式定位目标虚拟机,使得通过一套漏洞扫描设备便能实现对网络的漏洞扫描,进而便于漏洞扫描设备的部署和运维管理。为了达到上述目的,本专利技术的实施例提供了一种漏洞扫描的方法,应用于漏洞扫描设备,该方法包括:获取用户输入的扫描请求;根据扫描请求,从控制器上获取一信息列表,信息列表中记录了每一服务器上所部署的虚拟机的第一信息;根据扫描请求,从信息列表中定位出需要进行漏洞扫描的目标虚拟机,并对目标虚拟机进行漏洞扫描。其中,根据扫描请求,从信息列表中定位出需要进行漏洞扫描的目标虚拟机,并对目标虚拟机进行漏洞扫描,具体包括:获取扫描请求中待扫描虚拟机的特征信息,待扫描虚拟机的特征信息包括物理地址、IP地址、子网标识和/或租户标识;在信息列表中查询是否存在与待扫描虚拟机的特征信息匹配的第一信息,第一信息包括虚拟机的物理地址、IP地址、子网标识、租户标识和虚拟机所对应的虚拟交换机的标识;当信息列表中存在与特征信息匹配的第一信息时,将第一信息对应的虚拟机作为目标虚拟机,并根据第一信息确定出对目标虚拟机进行漏洞扫描的路径;通过路径,对目标虚拟机进行漏洞扫描。本专利技术的实施例还提供了一种漏洞扫描的装置,应用于漏洞扫描设备,该装置包括:第一获取模块,用于获取用户输入的扫描请求;第二获取模块,用于根据扫描请求,从控制器上获取一信息列表,信息列表中记录了每一服务器上所部署的虚拟机的第一信息;定位模块,用于根据扫描请求,从信息列表中定位出需要进行漏洞扫描的目标虚拟机,并对目标虚拟机进行漏洞扫描。其中,定位模块包括:第一获取单元,用于获取扫描请求中待扫描虚拟机的特征信息,待扫描虚拟机的特征信息包括物理地址、IP地址、子网标识和/或租户标识;查询单元,用于在信息列表中查询是否存在与待扫描虚拟机的特征信息匹配的第一信息,第一信息包括虚拟机的物理地址、IP地址、子网标识、租户标识和虚拟机所对应的虚拟交换机的标识,并当信息列表中存在与特征信息匹配的第一信息时,触发确定单元;确定单元,用于根据查询单元的触发,将第一信息对应的虚拟机作为目标虚拟机,并根据第一信息确定出对目标虚拟机进行漏洞扫描的路径;扫描单元,用于通过路径,对目标虚拟机进行漏洞扫描。本专利技术的实施例还提供了一种漏洞扫描设备,包括上述的漏洞扫描的装置。本专利技术的实施例还提供了一种漏洞扫描的方法,应用于控制器,该方法包括:从虚拟交换机上获取每一服务器上所部署的虚拟机的第二信息;将第二信息存入一信息列表;将信息列表传输给漏洞扫描设备。其中,从虚拟交换机上获取每一服务器上所部署的虚拟机的第二信息,具体为:通过openflow协议从虚拟交换机上获取每一服务器上所部署的虚拟机的第二信息,虚拟机的第二信息包括虚拟机的物理地址、IP地址、子网标识和租户标识。其中,将第二信息存入一信息列表,具体包括:在第二信息中添加与第二信息所属虚拟机所对应的虚拟交换机的标识,得到第一信息;将第一信息存入信息列表中。本专利技术的实施例还提供了一种漏洞扫描的装置,应用于控制器,该装置包括:第三获取模块,用于从虚拟交换机上获取每一服务器上所部署的虚拟机的第二信息;存储模块,用于将第二信息存入一信息列表;第一传输模块,用于将信息列表传输给漏洞扫描设备。其中,第三获取模块包括:第二获取单元,用于通过openflow协议从虚拟交换机上获取每一服务器上所部署的虚拟机的第二信息,虚拟机的第二信息包括虚拟机的物理地址、IP地址、子网标识和租户标识。其中,存储模块包括:添加单元,用于在第二信息中添加与第二信息所属虚拟机所对应的虚拟交换机的标识,得到第一信息;存储单元,用于将第一信息存入信息列表中。本专利技术的实施例还提供了一种控制器,包括上述的漏洞扫描的装置。本专利技术的实施例还提供了一种漏洞扫描的方法,应用于虚拟交换机,该方法包括:获取服务器上所部署的虚拟机的第二信息;将虚拟机的第二信息传输给控制器。其中,将虚拟机的第二信息传输给控制器,具体为:通过openflow协议将第二信息传输给控制器,虚拟机的第二信息包括虚拟机的物理地址、IP地址、子网标识和租户标识。本专利技术的实施例还提供了一种漏洞扫描的装置,应用于虚拟交换机,该装置包括:第四获取模块,用于获取服务器上所部署的虚拟机的第二信息;第二传输模块,用于将虚拟机的第二信息传输给控制器。其中,第二传输模块包括:传输单元,用于通过openflow协议将第二信息传输给控制器,虚拟机的第二信息包括虚拟机的物理地址、IP地址、子网标识和租户标识。本专利技术的实施例还提供了一种虚拟交换机,包括上述的漏洞扫描的装置。本专利技术的上述方案至少包括以下有益效果:在本专利技术的实施例中,通过根据获取到的扫描请求,从控制器上获取到的信息列表中定位出需要进行漏洞扫描的目标虚拟机,并对目标虚拟机进行漏洞扫描,解决了只能靠IP区分目标虚拟机,导致需要通过部署多套漏洞扫描设备对网络进行漏洞扫描的问题,达到了通过多种方式定位目标虚拟机,使得通过一套漏洞扫描设备便能实现对网络的漏洞扫描,进而便于漏洞扫描设备的部署和运维管理的效果。附图说明图1为本专利技术第一实施例中应用于漏洞扫描设备的漏洞扫描的方法的流程图;图2为本专利技术第一实施例中漏洞扫描设备、控制器和虚拟交换机的示意图;图3为本专利技术第二实施例中应用本文档来自技高网...
【技术保护点】
一种漏洞扫描的方法,应用于漏洞扫描设备,其特征在于,所述方法包括:获取用户输入的扫描请求;根据所述扫描请求,从控制器上获取一信息列表,所述信息列表中记录了每一服务器上所部署的虚拟机的第一信息;根据所述扫描请求,从所述信息列表中定位出需要进行漏洞扫描的目标虚拟机,并对所述目标虚拟机进行漏洞扫描。
【技术特征摘要】
1.一种漏洞扫描的方法,应用于漏洞扫描设备,其特征在于,所述方法包括:获取用户输入的扫描请求;根据所述扫描请求,从控制器上获取一信息列表,所述信息列表中记录了每一服务器上所部署的虚拟机的第一信息;根据所述扫描请求,从所述信息列表中定位出需要进行漏洞扫描的目标虚拟机,并对所述目标虚拟机进行漏洞扫描。2.如权利要求1所述的方法,其特征在于,所述根据所述扫描请求,从所述信息列表中定位出需要进行漏洞扫描的目标虚拟机,并对所述目标虚拟机进行漏洞扫描,具体包括:获取所述扫描请求中待扫描虚拟机的特征信息,所述待扫描虚拟机的特征信息包括物理地址、IP地址、子网标识和/或租户标识;在所述信息列表中查询是否存在与所述待扫描虚拟机的特征信息匹配的第一信息,所述第一信息包括虚拟机的物理地址、IP地址、子网标识、租户标识和虚拟机所对应的虚拟交换机的标识;当所述信息列表中存在与所述特征信息匹配的第一信息时,将所述第一信息对应的虚拟机作为目标虚拟机,并根据所述第一信息确定出对所述目标虚拟机进行漏洞扫描的路径;通过所述路径,对所述目标虚拟机进行漏洞扫描。3.一种漏洞扫描的装置,应用于漏洞扫描设备,其特征在于,所述装置包括:第一获取模块,用于获取用户输入的扫描请求;第二获取模块,用于根据所述扫描请求,从控制器上获取一信息列表,所述信息列表中记录了每一服务器上所部署的虚拟机的第一信息;定位模块,用于根据所述扫描请求,从所述信息列表中定位出需要进行漏洞扫描的目标虚拟机,并对所述目标虚拟机进行漏洞扫描。4.如权利要求3所述的装置,其特征在于,所述定位模块包括:第一获取单元,用于获取所述扫描请求中待扫描虚拟机的特征信息,所述待扫描虚拟机的特征信息包括物理地址、IP地址、子网标识和/或租户标识;查询单元,用于在所述信息列表中查询是否存在与所述待扫描虚拟机的特征信息匹配的第一信息,所述第一信息包括虚拟机的物理地址、IP地址、子网标识、租户标识和虚拟机所对应的虚拟交换机的标识,并当所述信息列表中存在与所述特征信息匹配的第一信息时,触发确定单元;确定单元,用于根据所述查询单元的触发,将所述第一信息对应的虚拟机作为目标虚拟机,并根据所述第一信息确定出对所述目标虚拟机进行漏洞扫描的路径;扫描单元,用于通过所述路径,对所述目标虚拟机进行漏洞扫描。5.一种漏洞扫描设备,其特征在于,包括如权利要求3~4任一项所述的漏洞扫描的装置。6.一种漏洞扫描的方法,应用于控制器,其特征在于,所述方法包括:从虚拟交换机上获取每一服务器上所部署的虚拟机的...
【专利技术属性】
技术研发人员:顾戎,李晨,
申请(专利权)人:中国移动通信集团公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。