互联网资产扫描发现与服务识别的方法和装置制造方法及图纸

本申请提供了一种互联网资产扫描发现与服务识别的方法和装置，所述方法的执行主体为接入互联网并设置有扫描池的计算机，包括：确定互联网中的空闲节点；向扫描池中的IP地址对应的互联网资产发送经伪装的扫描数据包，并在本地缓存该互联网资产的IP地址及端口；然后向空闲节点发送会话确认数据包；以异步方式接收空闲节点返回的反馈数据包；根据本地缓存确定该反馈数据包对应的互联网资产，并根据该反馈数据包中的身份识别号判断该互联网资产的端口是否处于开放状态；若所述互联网资产的端口处于开放状态，则根据预设的端口与服务特征对照关系库识别所述互联网资产提供的服务。本申请通过上述手段，可有效提高互联网资产扫描效率。

【技术实现步骤摘要】
互联网资产扫描发现与服务识别的方法和装置
本申请涉及计算机网络
，特别地，涉及一种互联网资产扫描发现与服务识别的方法和装置。
技术介绍
随着互联网技术的发展，部署在互联网上的业务越来越多，然而随着互联网资产的增多，企业所面临的安全风险将更多，如何加强互联网资产的风险管理将成为安全管理员的重大挑战，企业暴漏在互联网上的资产往往成为黑客攻击的首要对象。网络资产扫描和服务识别是一种检测本地和远程计算机系统安全隐患的技术，它通过向本地或远程主机发送探测数据包，获取主机的响应，并对主机反馈的数据包进行分析，从而获得主机的端口开发情况以及主机提供的服务信息，帮助我们发现主机的弱点和漏洞，改进网络安全，防范黑客攻击。现有网络资产扫描和服务识别技术主要利用开源的工具进行扫描，包含因特网控制消息协议（ICMP，InternetControlMessageProtocol）存活探测、端口存活探测、端口开放服务探测等，目的在于发现暴漏在互联网中的具体资产及该资产上暴漏的服务，从而及时进行加固、网络封锁等，确保资产及服务的安全性。但现有工具无法兼顾效率和准确性的提升，且开源扫描工具自身也存在安全漏洞，达不到高效、精准扫描的效果，用户体验效果差。
技术实现思路
本申请提供一种互联网资产扫描发现与服务识别的方法和装置，用于解决现有技术不能高效、精准扫描发现互联网资产的问题。本申请公开的一种互联网资产扫描发现与服务识别的方法，所述方法的执行主体为接入互联网的计算机，所述计算机设置有扫描池，所述扫描池中预置有待扫描资产的IP地址、IP地址段或多IP地址段，所述方法包括：确定互联网中空闲节点的IP地址；向所述扫描池中的IP地址对应的互联网资产发送经过伪装的扫描数据包，并在本地缓存该互联网资产的IP地址及其端口；所述扫描数据包的源地址为所述空闲节点的IP地址；然后向所述空闲节点发送会话确认数据包；以异步方式接收所述空闲节点返回的反馈数据包；所述扫描数据包、会话确认数据包和反馈数据包均包括所述互联网资产的端口和身份识别号；根据本地缓存确定该反馈数据包对应的互联网资产，并根据该反馈数据包包括的身份识别号判断该互联网资产的对应端口是否处于开放状态；若所述互联网资产的对应端口处于开放状态，则根据预设的端口与服务特征对照关系库识别所述互联网资产提供的服务。优选的，还包括：重复执行上述资源扫描和服务识别步骤，直至完成对扫描池中所有IP地址对应互联网资源的扫描和服务识别。优选的，所述向所述扫描池中的IP地址对应的互联网资产发送经过伪装的扫描数据包，具体为：以并发方式向多个互联网资产发送经过伪装的扫描数据包；和/或，所述根据预设的端口与服务特征对照关系库识别所述互联网资产提供的服务，具体为：将上述互联网资产的IP地址及其处于开放状态的端口保存到本地缓冲区中，以并发方式识别所述互联网资产提供的服务。优选的，在以并发方式向多个互联网资产发送经过伪装的扫描数据包之前还包括：对扫描池中的IP地址段进行离散划分，避免在同一时间对相同IP地址段的资源进行扫描。优选的，还包括：根据反馈数据包的接收情况控制扫描数据包的发送速率。优选的，在根据预设的端口与服务特征对照关系库识别所述互联网资产提供的服务之前，还包括：建立端口黑名单，排除无需识别的互联网资源端口。优选的，在上述根据端口与服务特征对照关系识别所述互联网资产提供的服务之后，还包括：对于不能根据端口与服务特征对照关系识别的服务，基于预设的基础服务特征库，对所述互联网资产反馈的服务签名信息进行模糊识别；探针组根据模糊识别内容调度相应的探针进行服务的精准识别；所述探针包括针对服务的连接指令发起、指令回显抓取以及对回显信息的正则匹配。优选的，还包括：根据所述探针组精准识别出的服务与接口对应关系，对预设的端口与服务特征对照关系库进行自动更新。本申请公开的一种互联网资产扫描发现与服务识别的装置，包括：扫描池，所述扫描池预置有待扫描资产的IP地址、IP地址段或多IP地址段；空闲节点确定模块，用于确定互联网中空闲节点的IP地址；第一扫描发起模块，用于向所述扫描池中的IP地址对应的互联网资产发送经过伪装的扫描数据包，并在本地缓存该互联网资产的IP地址及其端口；所述扫描数据包的源地址为所述空闲节点的IP地址；第二扫描发起模块，用于在所述第一扫描发起模块向互联网资产发送扫描数据包之后向所述空闲节点发送会话确认数据包；反馈包接收模块，用于以异步方式接收所述空闲节点返回的反馈数据包；所述扫描数据包、会话确认数据包和反馈数据包均包括互联网资产的端口和身份识别号；端口状态判断模块，用于根据本地缓存确定该反馈数据包对应的互联网资产，并根据该反馈数据包包括的身份识别号判断该互联网资产的对应端口是否处于开放状态；第一服务识别模块，用于当所述互联网资产的对应端口处于开放状态时，根据预设的端口与服务特征对照关系库识别所述互联网资产提供的服务。优选的，所述装置还包括：循环控制模块，用于重复调度上述第一扫描发起模块、第二扫描发起模块、反馈包接收模块、端口状态判断模块和第一服务识别模块对扫描池中的IP地址对应的互联网资源进行扫描识别，直至完成对扫描池中所有IP地址对应互联网资源的扫描和服务识别。优选的，所述第一扫描发起模块以如下方式发送经过伪装的扫描数据包：以并发方式向多个互联网资产发送经过伪装的扫描数据包；和/或，所述第一服务识别模块采用如下方式识别所述互联网资产提供的服务：将上述互联网资产的IP地址及其处于开放状态的端口保存到本地缓冲区中，以并发方式识别所述互联网资产提供的服务。优选的，所述扫描池还用于在所述第一扫描发起模块以并发方式向多个互联网资产发送经过伪装的扫描数据包之前，对扫描池中的IP地址段进行离散划分，避免在同一时间对相同IP地址段的资源进行扫描；和/或，所述循环控制模块还用于根据反馈数据包的接收情况控制扫描数据包的发送速率。优选的，所述装置还包括：黑名单建立模块，用于建立端口黑名单，排除无需识别的互联网资源端口；第二服务识别模块，用于以预设的基础服务特征库为基础，对所述互联网资产反馈的服务签名信息进行模糊识别；以及，根据模糊识别内容调度探针组中相应的探针进行服务的精准识别；所述探针包括针对服务的连接指令发起、指令回显抓取以及对回显信息的正则匹配。优选的，所述装置还包括：特征库更新模块，用于根据所述探针组精准识别出的服务与接口对应关系，对预设的端口与服务特征对照关系库进行自动更新。与现有技术相比，本申请具有以下优点：本申请优选实施例通过伪装空闲节点向待扫描互联网资产发送扫描数据包的无状态连接形式，不占用TCP/IP协议栈资源、无需保持请求连接（SYN）、响应（ACK）和关闭连接（FIN）等状态，还可避免其他应用背景流量带来的网络开销，可较大程度地提高互联网资产扫描效率。通过将互联网资源的IP地址及其端口信息进行缓存，并将必要信息存放在扫描数据包中的形式支持异步扫描并对其提供的服务进行识别（以异步方式接收到反馈数据包后可以根据包中存放的必要信息识别对应的互联网资源），在满足高扫描和识别效率的基础上还能够确保验证的准确性。附图说明附图仅用于示出优选实施方式的目的，而并不认为是对本申请的限制。而且在整个附图中，用相同的参考符号表示本文档来自技高网...

【技术保护点】
1.一种互联网资产扫描发现与服务识别的方法，其特征在于，所述方法的执行主体为接入互联网的计算机，所述计算机设置有扫描池，所述扫描池中预置有待扫描资产的IP地址、IP地址段或多IP地址段，所述方法包括：确定互联网中空闲节点的IP地址；向所述扫描池中的IP地址对应的互联网资产发送经过伪装的扫描数据包，并在本地缓存该互联网资产的IP地址及其端口；所述扫描数据包的源地址为所述空闲节点的IP地址；然后向所述空闲节点发送会话确认数据包；以异步方式接收所述空闲节点返回的反馈数据包；所述扫描数据包、会话确认数据包和反馈数据包均包括所述互联网资产的端口和身份识别号；根据本地缓存确定该反馈数据包对应的互联网资产，并根据该反馈数据包包括的身份识别号判断该互联网资产的对应端口是否处于开放状态；若所述互联网资产的对应端口处于开放状态，则根据预设的端口与服务特征对照关系库识别所述互联网资产提供的服务。

【技术特征摘要】
1.一种互联网资产扫描发现与服务识别的方法，其特征在于，所述方法的执行主体为接入互联网的计算机，所述计算机设置有扫描池，所述扫描池中预置有待扫描资产的IP地址、IP地址段或多IP地址段，所述方法包括：确定互联网中空闲节点的IP地址；向所述扫描池中的IP地址对应的互联网资产发送经过伪装的扫描数据包，并在本地缓存该互联网资产的IP地址及其端口；所述扫描数据包的源地址为所述空闲节点的IP地址；然后向所述空闲节点发送会话确认数据包；以异步方式接收所述空闲节点返回的反馈数据包；所述扫描数据包、会话确认数据包和反馈数据包均包括所述互联网资产的端口和身份识别号；根据本地缓存确定该反馈数据包对应的互联网资产，并根据该反馈数据包包括的身份识别号判断该互联网资产的对应端口是否处于开放状态；若所述互联网资产的对应端口处于开放状态，则根据预设的端口与服务特征对照关系库识别所述互联网资产提供的服务。2.根据权利要求1所述的方法，其特征在于，还包括：重复执行上述资源扫描和服务识别步骤，直至完成对扫描池中所有IP地址对应互联网资源的扫描和服务识别。3.根据权利要求1或2所述的方法，其特征在于，所述向所述扫描池中的IP地址对应的互联网资产发送经过伪装的扫描数据包，具体为：以并发方式向多个互联网资产发送经过伪装的扫描数据包；和/或，所述根据预设的端口与服务特征对照关系库识别所述互联网资产提供的服务，具体为：将上述互联网资产的IP地址及其处于开放状态的端口保存到本地缓冲区中，以并发方式识别所述互联网资产提供的服务。4.根据权利要求3所述的方法，其特征在于，在以并发方式向多个互联网资产发送经过伪装的扫描数据包之前还包括：对扫描池中的IP地址段进行离散划分，避免在同一时间对相同IP地址段的资源进行扫描。5.根据权利要求2所述的方法，其特征在于，还包括：根据反馈数据包的接收情况控制扫描数据包的发送速率。6.根据权利要求1所述的方法，其特征在于，在根据预设的端口与服务特征对照关系库识别所述互联网资产提供的服务之前，还包括：建立端口黑名单，排除无需识别的互联网资源端口。7.根据权利要求1或6所述的方法，其特征在于，在上述根据端口与服务特征对照关系识别所述互联网资产提供的服务之后，还包括：对于不能根据端口与服务特征对照关系识别的服务，基于预设的基础服务特征库，对所述互联网资产反馈的服务签名信息进行模糊识别；探针组根据模糊识别内容调度相应的探针进行服务的精准识别；所述探针包括针对服务的连接指令发起、指令回显抓取以及对回显信息的正则匹配。8.根据权利要求7所述的方法，其特征在于，还包括：根据所述探针组精准识别出的服务与接口对应关系，对预设的端口与服务特征对照关系库进行自动更新。9.一种互联网资产扫描发现与服务识别的装置...

【专利技术属性】
技术研发人员：郝长久，赵贵阳，周春楠，
申请(专利权)人：亿阳安全技术有限公司，
类型：发明
国别省市：北京,11