分布式资产信息探测方法与系统技术方案

一种分布式资产信息探测方法与系统，包括在不同区域分布式部署的多个网络资产信息收集子系统和连接所述多个网络资产信息收集子系统的分布式任务调度及数据处理子系统，基于分布式架构，所述分布式任务调度及数据处理子系统将任务分解，并通过任务调度将分解的任务分配到合适的资源中，针对多个节点实现任务分发和处理，实现任务的分布式执行，分布式地执行资产信息探测与感知，且数据存储和管理部属在一起。该分布式资产信息探测方法与系统能够及时、可靠地探测发现特定多个网络区域的活动主机，收集资产信息，为资产的变更感知提供了基础功能，也有利于快速、准确发现以便及时修复信息系统的安全漏洞。

【技术实现步骤摘要】
分布式资产信息探测方法与系统
本专利技术涉及网络资产信息安全，尤其是一种分布式资产信息探测方法与系统。
技术介绍
信息系统网络空间是由无数节点构成，每个节点都是一个接入网络的IT资产(或称信息资产)，信息资产包括主机操作系统、网络设备、安全设备、数据库、中间件、应用组件。信息资产是信息安全管理中最基础最重要的载体。随着企业内部业务的不断壮大，业务信息化的高速发展，各种业务支撑平台和管理系统越来越复杂，信息资产如服务器、存储设备、网络设备、安全设备数量越积越多，类型也越来越丰富，带给管理员的资产管理工作也愈发困难。久而久之，产生了大量的无主资产、僵尸资产，这些资产长时间无人维护，导致存在较多的已知漏洞及配置违规。更为严重的是这些资产难以纳入管理员日常维护范围内，为企业安全带来极大隐患，成为企业信息安全的软肋。以广东电网为例，常见的电力信息设备，如服务器、交换机、路由器、电力通讯终端、智能变电设备等，一旦发生安全问题，将影响电力信息的正常获取和电力服务的正常供应，不但给人们日常的生产生活带来诸多不便，也会造成极大的经济损失。当前，国家对网络安全的重视程度越来越高，IT资产的有效管理就更加重要。IT资产是信息安全管理中最基础最重要的载体，厘清IT资产，全方位无死角地掌握资产信息意义重大。同时，在查明资产信息的基础上，了解网络空间中的危险风险的防护是否有效，如网络设备所运行的服务是否存在已知漏洞及物理地址、新被曝出的漏洞对网络设备的影响范围、针对已知漏洞应如何进行修复等信息，这将有助于准确掌握企业的安全状况并有效解决威胁风险。
技术实现思路
本专利技术的主要目的在于针对现有技术的不足，提供一种分布式资产信息探测方法与系统。为实现上述目的，本专利技术采用以下技术方案：一种分布式资产信息探测系统，包括在不同区域分布式部署的多个网络资产信息收集子系统和连接所述多个网络资产信息收集子系统的分布式任务调度及数据处理子系统，基于分布式架构，所述分布式任务调度及数据处理子系统将任务分解，并通过任务调度将分解的任务分配到合适的资源中，针对多个节点实现任务分发和处理，实现任务的分布式执行，分布式地执行资产信息探测与感知，且数据存储和管理部属在一起。进一步地：所述网络资产信息收集子系统包括：基础信息收集模块，其经配置以发现联网主机，进行主机操作系统的指纹识别，以探测出远程目标主机的操作系统类型；应用组件指纹收集模块，其经配置以发现包括网络应用程序或组件的版本、服务端口、协议交互特征中的一种或多种应用程序或组件指纹信息；所述网络资产信息收集子系统还包括脆弱性感知模块，其经配置以对联网主机及应用系统的脆弱性进行感知分析，以发现操作系统、服务、应用组件的脆弱点，寻找联网主机、其系统、服务、应用组件中可能存在的漏洞。所述基础信息收集模块通过向目标主机发送一系列TCP和UDP数据包，接收应答数据包，并检测应答数据包中的每一个数据项，再与指纹数据库对比，通过分析对比探测出远程目标主机的操作系统类型。所述基础信息收集模块包括：主机发现子模块，其经配置以根据设定策略，查询IP地址库将目标地区转换成IP范围，根据扫描设定多个扫描进程和/或线程，探测目标机器相应端口，每个端口收到一种符合规则的回应包，则判断端口开放，每个主机只有一个开放端口，则判断主机存活，将存活主机的IP、开放的端口及协议信息存入活动主机库；优选地，所述设定策略包括扫描目标地区、扫描协议、端口范围、使用的扫描技术和规避技术；拓扑发现子模块，其经配置以通过发送特定的探测包，发现网络中的各个节点以及它们互连关系；优选地，所述节点包括路由器和主机；系统指纹信息收集子模块，其经配置以利用建立不同操作系统、不同协议栈的指纹数据库，检测目标主机的TCP和UDP应答数据包，识别系统和协议栈指纹信息；服务指纹信息收集子模块，其经配置以从服务指纹库选取相应的探测指纹发送至相应的端口，通过返回的包里的指纹进行匹配，判断是否含有相应的组件。所述系统指纹信息收集子模块使用TCP/IP协议栈指纹来识别不同的操作系统和设备，优选地，所述系统指纹信息收集子模块经配置通过如下方式来进行系统识别：分析各类系统特征，建立已知系统的指纹特征，将此指纹特征存入系统指纹库，作为指纹对比的样本库；设定系统侦测任务，选择侦测的目标主机，然后启动系统侦测任务；该任务分别挑选一个开放和一个关闭的端口，向其发送经过预先设定好的TCP/UDP/ICMP数据包，探测返回的数据包并根据返回的数据包生成一份系统指纹；优选地，所述目标主机从活动主机中选择；将探测生成的指纹与系统指纹库进行对比，查找匹配的系统；优选地，如果系统无法精确匹配，则以概率的方式确定可能的系统。所述应用组件指纹收集模块通过进行基于Web服务、服务端语言、Web开发框架、Web应用、前端库及第三方组件识别中的一种或多种来收集指纹信息。其中通过采用组件服务探测技术识别Web开发框架，其中通过应用组件页面探测技术和组件服务探测技术探测Web网站后台采用何种语言，其中通过服务组件页面探测技术来探测Web应用，优选地抓取网站的一个或几个页面与指纹库的指纹相匹配来判别相应的Web应用程序，其中采用页面探测技术探测Web空间，优选地页面探测技术包括通过页面的CLASSID来进行识别。所述脆弱性感知模块进行系统漏洞扫描、数据库漏洞扫描、Web应用漏洞扫描中的一种或多种；优选地，所述脆弱性感知模块通过后台建立的漏洞库对所扫描的漏洞进行自动匹配，并自动确认漏洞的CVE编号和是否已有利用方式。漏洞扫描基于端口扫描技术，在端口扫描后得知目标主机开启的端口以及端口上的网络服务，将这些相关信息与预先提供的漏洞库进行匹配，其中通过模拟对本系统的攻击手法，查看是否有满足匹配条件的漏洞存在；优选地，对目标主机系统进行攻击性的安全漏洞扫描，优选采用测试弱势口令，若模拟攻击成功，则表明目标主机系统存在安全漏洞。采用基于规则的匹配技术，形成的网络系统漏洞库，在此基础之上构成相应的匹配规则，由扫描程序自动进行漏洞扫描的工作，进行匹配如果满足条件，则视为存在漏洞，检测完成后将结果返回到客户端；优选地，若没有被匹配的规则，禁止系统的网络连接；优选地，漏洞数据从扫描代码中分离，以便对扫描引擎进行更新。所述网络资产信息收集子系统还包括以下模块的一种或多种：任务管理模块，其经配置以接收任务指令，调度多个收集模块按策略完成对应任务，动态地实时监控各个收集模块的运行状态信息并实时的进行任务的负载均衡和调配，以保证每个收集模块都能够合理的工作；数据过滤模块，其经配置以通过采集策略对原始数据进行匹配，对冗余的数据进行过滤；数据传输模块，其经配置以将采集数据通过隐蔽子网发送给与所述网络资产信息收集子系统连接的管理子系统。所述分布式资产信息探测系统还包括：管理子系统，其经配置提供数据展示、查询分析和运维管理功能，并为数据操作人员提供人机交互界面进行对应的业务操作；优选地，管理端通过轮询机制访问分布式数据源，服务器异步返回数据，在数据接收上，管理平台要求具有一个通知机制以及一个监听组建来周期地轮询来自数据接口服务模块的响应，当有新的数据返回后，通过数据接收处理服务将新的数据添加到响应数据存储文件中。一种分布式资产信息探测方法，使用所述本文档来自技高网...

【技术保护点】
1.一种分布式资产信息探测系统，其特征在于,包括在不同区域分布式部署的多个网络资产信息收集子系统和连接所述多个网络资产信息收集子系统的分布式任务调度及数据处理子系统，基于分布式架构，所述分布式任务调度及数据处理子系统将任务分解，并通过任务调度将分解的任务分配到合适的资源中，针对多个节点实现任务分发和处理，实现任务的分布式执行，分布式地执行资产信息探测与感知，且数据存储和管理部属在一起；优选地，所述网络资产信息收集子系统包括：基础信息收集模块，其经配置以发现联网主机，进行主机操作系统的指纹识别，以探测出远程目标主机的操作系统类型；应用组件指纹收集模块，其经配置以发现包括网络应用程序或组件的版本、服务端口、协议交互特征中的一种或多种应用程序或组件指纹信息；所述网络资产信息收集子系统还包括脆弱性感知模块，其经配置以对联网主机及应用系统的脆弱性进行感知分析，以发现操作系统、服务、应用组件的脆弱点，寻找联网主机、其系统、服务、应用组件中可能存在的漏洞。

【技术特征摘要】
1.一种分布式资产信息探测系统，其特征在于,包括在不同区域分布式部署的多个网络资产信息收集子系统和连接所述多个网络资产信息收集子系统的分布式任务调度及数据处理子系统，基于分布式架构，所述分布式任务调度及数据处理子系统将任务分解，并通过任务调度将分解的任务分配到合适的资源中，针对多个节点实现任务分发和处理，实现任务的分布式执行，分布式地执行资产信息探测与感知，且数据存储和管理部属在一起；优选地，所述网络资产信息收集子系统包括：基础信息收集模块，其经配置以发现联网主机，进行主机操作系统的指纹识别，以探测出远程目标主机的操作系统类型；应用组件指纹收集模块，其经配置以发现包括网络应用程序或组件的版本、服务端口、协议交互特征中的一种或多种应用程序或组件指纹信息；所述网络资产信息收集子系统还包括脆弱性感知模块，其经配置以对联网主机及应用系统的脆弱性进行感知分析，以发现操作系统、服务、应用组件的脆弱点，寻找联网主机、其系统、服务、应用组件中可能存在的漏洞。2.如权利要求1所述的分布式资产信息探测系统，其特征在于,所述基础信息收集模块包括：主机发现子模块，其经配置以根据设定策略，查询IP地址库将目标地区转换成IP范围，根据扫描设定多个扫描进程和/或线程，探测目标机器相应端口，每个端口收到一种符合规则的回应包，则判断端口开放，每个主机只有一个开放端口，则判断主机存活，将存活主机的IP、开放的端口及协议信息存入活动主机库；优选地，所述设定策略包括扫描目标地区、扫描协议、端口范围、使用的扫描技术和规避技术；拓扑发现子模块，其经配置以通过发送特定的探测包，发现网络中的各个节点以及它们互连关系；优选地，所述节点包括路由器和主机；系统指纹信息收集子模块，其经配置以利用建立不同操作系统、不同协议栈的指纹数据库，检测目标主机的TCP和UDP应答数据包，识别系统和协议栈指纹信息；服务指纹信息收集子模块，其经配置以从服务指纹库选取相应的探测指纹发送至相应的端口，通过返回的包里的指纹进行匹配，判断是否含有相应的组件。3.如权利要求2所述的分布式资产信息探测系统，其特征在于,所述系统指纹信息收集子模块使用TCP/IP协议栈指纹来识别不同的操作系统和设备，优选地，所述系统指纹信息收集子模块经配置通过如下方式来进行系统识别：分析各类系统特征，建立已知系统的指纹特征，将此指纹特征存入系统指纹库，作为指纹对比的样本库；设定系统侦测任务，选择侦测的目标主机，然后启动系统侦测任务；该任务分别挑选一个开放和一个关闭的端口，向其发送经过预先设定好的TCP/UDP/ICMP数据包，探测返回的数据包并根据返回的数据包生成一份系统指纹；优选地，所述目标主机从活动主机中选择；将探测生成的指纹与系统指纹库进行对比，查找匹配的系统；优选地，如果系统无法精确匹配，则以概率的方式确定可能的系统。4.如权利要求1至3任一项所述的分布式资产信息探测系统，其特征在于,所述应用组件指纹收集模块通过进行基于Web服务、服务端语言、Web开发框架、Web应用、前端库及第三方组件识别中的一种或多种来收集指纹信息，其中通过采用组件服务探测技术识别Web开发框架，其中通过应用组件页面探测技术和组件服务探测技术探测Web网站后台采用何种语言，其中通过服务组件页面探测技术来探测Web应用，优选地抓取网站的一个或几个页面与指纹库的指纹相匹配来判别相应的...

【专利技术属性】
技术研发人员：陈志华，吉威炎，李虹，何文婷，刘洋，麦浩镔，廖璐，林仲武，余肖辉，
申请(专利权)人：广东省信息安全测评中心，
类型：发明
国别省市：广东,44