智能电网中的IT资产大规模侦测系统技术方案

本发明专利技术公开了一种智能电网中的IT资产大规模侦测系统，包含调度服务器、数据库服务器和若干台网络设备指纹获取服务器，所述调度服务器用于获取侦测任务并将侦测任务按一定规则分配给各网络设备指纹获取服务器；所述网络设备指纹获取服务器用于在接收到调度服务器分配的侦测任务后对智能电网中的IP目标进行组件指纹探测扫描，将获取到的识别数据发送给数据库服务器；所述数据库服务器用于将网络设备指纹获取服务器发送的识别数据存入目标库。本发明专利技术具备对智能电网中IT资产的自主发现能力，和全方位信息定位能力，实现对智能电网空间的全面、实时、精确侦测。

Large scale IT asset detection system in Smart Grid

The invention discloses an intelligent power grid IT large-scale asset detection system, including scheduling server, database server and a plurality of network equipment fingerprint access server, the server is used to obtain the detection task scheduling and detection tasks according to certain rules assigned to each network device fingerprint acquisition server; the network equipment used in fingerprint acquisition server the task scheduling server receives the detected distribution of intelligent power grid IP target components to detect fingerprint scanning, will send access to the identification data to the database server; the database server is used to identify the data network equipment fingerprint acquisition server sends the deposited object library. The invention has the capability of self discovery of the IT assets in the smart grid and the omnibearing information positioning ability, and realizes comprehensive, real-time and accurate detection of the smart grid space.

【技术实现步骤摘要】
智能电网中的IT资产大规模侦测系统
本专利技术涉及智能电网安全领域，具体是基于指纹识别技术和分布式调度的IT资产大规模侦测系统。
技术介绍
智能电网(SmartPowerGrids)是建立在集成的、高速双向通信网络的基础上，通过先进的传感与测量技术、设备技术、控制技术以及先进的决策支持系统技术的应用，实现电网的可靠稳定、经济、高效、环境友好和使用安全的目标。然而，随着智能电网的建设和发展，电力设备的更新换代，导致“信息孤岛”问题愈发突出，造成智能电网中的IT资产管理混乱，进而影响信息系统的安全性和稳定性。另外，随着互联网技术的迅猛发展，各类因应用组件造成的安全事件由应用组件所造成的服务中断等事故，只能是依靠以负反馈为主的方式逐级进行问题提交。对于异构的应用组件，在某一应用组件出现安全风险时只能被动的进行单一的针对性修复或防御策略追加，而无法有效匹配全网中所有受影响的应用组件，并进行统一的安全修复和防御策略追加。对于智能电网空间应用组件的变更、系统升级等变化无法进行有效探测、追溯和安全预警，为改变被动防御的现状，实现智能电网中IT资产的主动识别、追溯，并建立有效的积极防御体系，需要建立长期的资产全状态管理及预警能力，通过周期化、自动化的软硬件资产普查，掌握各类资产的安全属性，并在漏洞爆发时可以做到有效应对，从而更符合各种政策规范的要求，为智能电网空间的稳定运行提供技术保障。综上所述，智能电网和信息化技术的发展对于IT资产大规模侦测的全面性和精确性提出了较高的要求，需要设计一种具备IT资产自主发现能力和全方位信息定位能力的大规模侦测系统。
技术实现思路
为了解决智能电网的安全性和稳定性问题，本专利技术提供了一种智能电网中的IT资产大规模侦测系统，利用指纹识别技术，对网络设备组件进行识别，并采用分布式架构设计实现了对智能电网中IT资产的大规模侦测。本专利技术所采用的技术方案是：一种智能电网中的IT资产大规模侦测系统，包含调度服务器、数据库服务器和若干台网络设备指纹获取服务器；所述调度服务器用于获取侦测任务并将侦测任务按一定规则分配给各网络设备指纹获取服务器；所述网络设备指纹获取服务器用于在接收到调度服务器分配的侦测任务后对智能电网中的IP目标进行组件指纹探测扫描，通过将扫描到的数据与数据库服务器中的指纹库进行指纹对比，获取侦测结果，并将扫描到的数据和侦测结果发送给数据库服务器的目标库和指纹侦测结果库；所述数据库服务器用于提供目标库、指纹库和指纹侦测结果库的查询、更新、索引。依据上述特征，所述组件指纹探测扫描包含以下步骤：(1.1)对IP目标进行端口探测，获得至少一个开放端口和一个关闭端口，其中IP目标包括Web服务器，Web应用，操作系统；(1.2)构造若干个探测报文，所述探测报文包含序列号和可选项的TCP探测报文、ICMP探测报文、ECN的TCP探测报文、关闭端口的TCP探测报文，关闭端口的UDP探测报文；(1.3)将所述探测报文发送给IP目标，若某个报文没有应答，则重新发送一次；(1.4)提取目标指纹，结合目标的已知操作系统类型，构造先验指纹库；(1.5)使用构造的先验指纹库探测新的IP目标；(1.6)使用HTTP协议连接远程Web服务器获取相应应答报文，通过比较应答报文特征来识别Web服务器类别与版本。依据上述特征，所述步骤1.1中：若IP目标为Web服务器时，主要探测：智能电网空间中网站响应头部数据、网站文件类型、网站对400错误响应的返回、网站对500错误响应的返回、网站对超长请求的响应返回、网站对畸形请求的响应返回、服务端口标识回显；若IP目标为Web应用时，主要探测：智能电网空间中网站响应头部信息、HTML页面内META标签信息、HTML内JS、CSS等链接信息、特殊URL地址及URL参数、COOKIE/Session内特征字段特定文件名、文件内容及文件MD5。依据上述特征，所述指纹对比包含以下步骤：(2.1)从IP目标响应的探测报文中提取出包含源IP地址、目的IP地址的基本信息及属性信息，整理成统一的数据格式，进行标准化指纹数据；(2.2)通过聚类方法消除指纹数据中的噪声；(2.3)再利用基于属性相似的概率关联方法将消除噪声的指纹数据与指纹库中的指纹信息进行关联分析，得到侦测结果。优选地，所述数据库服务器采用MongoDB型分布式数据库实现分布式存储。优选地，所述调度服务器包含任务下发子模块、进度汇总模块和异常处理模块，所述用于任务下发子模块用于将接收到的侦测任务放到侦测任务队列中，并将侦测任务队列中的任务按照任务下发标准接口传递给各网络设备指纹获取服务器；所述进度汇总模块用于将网络设备指纹获取服务器反馈的侦测任务执行状况进行汇总；所述异常处理模块用于在接收到网络设备指纹获取服务器的异常报告或超出一定时间无法连接网络设备指纹获取服务器，将下发给网络设备指纹获取服务器的侦测任务转移到其他网络设备指纹获取服务器继续执行。优选地，所述任务下发子模块还用于根据采集服务器的网络速度优选将侦测任务下发给速度快的采集服务器。进一步，所述的IT资产大规模侦测系统还包含UI服务器，所述UI服务器用于提供人机交互界面，将用户提出的侦测任务发送给调度服务器。进一步，所述的IT资产大规模侦测系统还包含日志服务器，所述日志服务器用于进行日志管理。进一步，所述的IT资产大规模侦测系统还包含任务管理器，所述任务管理器用于对IT资产大规模侦测系统内部任务进行管理。本专利技术的有益效果是具备对智能电网空间中IT资产的自主发现能力，对IT资产进行全方位信息定位，实现对智能电网空间的全面、实时、精确侦测。附图说明图1为本专利技术智能电网中的IT资产大规模侦测系统拓扑图；图2为本专利技术智能电网中的IT资产大规模侦测系统组成图；图3为本专利技术所述系统分布式数据存储示意图；图4为本专利技术所述系统任务调度流程图；图5为仿真测试2中心脏出血漏洞数目随时间变化示意图。具体实施方式下面结合附图和实施例对本专利技术作进一步说明。本专利技术实施例在以本专利技术技术方案为前提下实施，给出了详细的实施方式和具体的操作过程，但本专利技术的保护范围不限于下面的实施例。本专利技术智能电网中IT资产大规模侦测系统包括调度服务器、网络设备指纹获取服务器、数据库服务器和UI服务器等，经由路由器进行连接，通过任务调度，利用分布式存储等技术，完成对智能电网中各局域网设备的指纹获取和判别，系统部署参考附图图1。各服务器硬件配置见表一。表一本专利技术智能电网中IT资产大规模侦测系统利用指纹探测技术，对智能电网空间设备进行大规模侦测。系统包括调度服务器、UI(UserInterface，用户界面)服务器、数据库服务器和网络设备指纹获取服务器等，核心是由网络设备指纹获取服务器构成的基于指纹库的网络设备组件识别模块，其侦测目标对象包括智能电网中的服务器、应用程序服务器、路由器、防火墙、网络摄像头和交换机等。另外，由于智能电网空间的IT资产信息多、规模大，所以调度服务器采用分布式技术，对侦测任务建立探测引擎集群，实现对智能电网中IT资产的大规模分布式侦测和采集任务。其具体拓扑结构参考附图图1，其中：调度服务器采用分布式调度技术，分为分布式数据存储和任务调度，对侦测任务建立探测引擎集群，实现对智能电网中IT资产的大规模本文档来自技高网...

【技术保护点】
一种智能电网中的IT资产大规模侦测系统，包含调度服务器、数据库服务器和若干台网络设备指纹获取服务器，其特征在于：所述调度服务器用于获取侦测任务并将侦测任务按一定规则分配给各网络设备指纹获取服务器；所述网络设备指纹获取服务器用于在接收到调度服务器分配的侦测任务后对智能电网中的IP目标进行组件指纹探测扫描，通过将扫描到的数据与数据库服务器中的指纹库进行指纹对比，获取侦测结果，并将扫描到的数据和侦测结果发送给数据库服务器的目标库和指纹侦测结果库；所述数据库服务器用于提供目标库、指纹库和指纹侦测结果库的查询、更新、索引。

【技术特征摘要】
1.一种智能电网中的IT资产大规模侦测系统，包含调度服务器、数据库服务器和若干台网络设备指纹获取服务器，其特征在于：所述调度服务器用于获取侦测任务并将侦测任务按一定规则分配给各网络设备指纹获取服务器；所述网络设备指纹获取服务器用于在接收到调度服务器分配的侦测任务后对智能电网中的IP目标进行组件指纹探测扫描，通过将扫描到的数据与数据库服务器中的指纹库进行指纹对比，获取侦测结果，并将扫描到的数据和侦测结果发送给数据库服务器的目标库和指纹侦测结果库；所述数据库服务器用于提供目标库、指纹库和指纹侦测结果库的查询、更新、索引。2.根据权利要求1所述的IT资产大规模侦测系统，其特征在于所述组件指纹探测扫描包含以下步骤：(1.1)对IP目标进行端口探测，获得至少一个开放端口和一个关闭端口，其中IP目标包括Web服务器，Web应用，操作系统；(1.2)构造若干个探测报文，所述探测报文包含序列号和可选项的TCP探测报文、ICMP探测报文、ECN的TCP探测报文、关闭端口的TCP探测报文，关闭端口的UDP探测报文；(1.3)将所述探测报文发送给IP目标，若某个报文没有应答，则重新发送一次；(1.4)提取目标指纹，结合目标的已知操作系统类型，构造先验指纹库；(1.5)使用构造的先验指纹库探测新的IP目标；(1.6)使用HTTP协议连接远程Web服务器获取相应应答报文，通过比较应答报文特征来识别Web服务器类别与版本。3.根据权利要求2所述的IT资产大规模侦测系统，其特征在于所述步骤1.1中：若IP目标为Web服务器时，主要探测：智能电网空间中网站响应头部数据、网站文件类型、网站对400错误响应的返回、网站对500错误响应的返回、网站对超长请求的响应返回、网站对畸形请求的响应返回、服务端口标识回显；若IP目标为Web应用时，主要探测：智能电网空间中网站响应头部信息、HTML页面内META标签信息、HTML内JS、CSS等链接信息、特殊URL地址及...

【专利技术属性】
技术研发人员：王红凯，张旭东，郑生军，夏正敏，王莉，伍军，陈昊，李建华，夏业超，
申请(专利权)人：国家电网公司，国网浙江省电力公司信息通信分公司，国网甘肃省电力公司信息通信公司，国网冀北电力有限公司信息通信分公司，北京国电通网络技术有限公司，上海交通大学，
类型：发明
国别省市：北京,11