一种漏洞扫描方法及装置制造方法及图纸

本发明专利技术实施例公开了一种漏洞扫描方法及装置，根据待测网络设备的IP地址对待测网络设备进行探测，确定待测网络设备上的资源，并根据资源与漏洞插件的对应关系，确定待测网络设备上的资源对应的漏洞插件，至少根据待测网络设备上的资源对应的漏洞插件确定待测网络设备对应的漏洞插件，加载待测网络设备对应的漏洞插件，并调度加载后的漏洞插件对待测网络设备进行漏洞扫描。本发明专利技术实施例中，通过确定待测网络设备上的资源对应的漏洞插件，能够仅加载对该待测网络设备进行漏洞扫描时需要的漏洞插件，而无需加载不需要的漏洞插件，从而可以提高漏洞扫描的灵活性，还能节省漏洞扫描所需的系统资源，提高漏洞扫描的效率。

A vulnerability scanning method and device

【技术实现步骤摘要】
一种漏洞扫描方法及装置
本专利技术涉及网络安全
，尤其涉及一种漏洞扫描方法及装置。
技术介绍
网络设备的漏洞扫描是一种常用的资源探测方式，通过扫描网络设备中的主机系统漏洞、服务漏洞和应用漏洞，能够准确识别网络设备的资产状态，提高对网络设备进行资产管理的安全性和灵活性。现阶段，在对网络设备进行漏洞扫描时，通常需要先加载全部的漏洞插件，再从已加载的漏洞插件中调度需要的漏洞插件进行漏洞扫描。该种方式存在的问题是：不同的网络设备需要不同的漏洞插件，针对于某一网络设备来说，全部的漏洞插件中会包含较多无用的漏洞插件，因此，采用加载全部的漏洞插件进行漏洞扫描的方式，会造成大量的无用资源开销，导致漏洞扫描的效率较低。综上，目前亟需一种漏洞扫描方法，用以减轻漏洞扫描时的资源开销，提高漏洞扫描的效率。
技术实现思路
本专利技术实施例提供一种漏洞扫描方法及装置，用以减轻漏洞扫描时的资源开销，提高漏洞扫描的效率。第一方面，本专利技术实施例提供的一种漏洞扫描方法，所述方法包括：根据待测网络设备的IP地址，对所述待本文档来自技高网...

【技术保护点】
1.一种漏洞扫描方法，其特征在于，所述方法包括：/n根据待测网络设备的IP地址，对所述待测网络设备进行探测，确定所述待测网络设备上的资源；/n根据资源与漏洞插件的对应关系，确定所述待测网络设备上的资源对应的漏洞插件，并至少根据所述待测网络设备上的资源对应的漏洞插件确定所述待测网络设备对应的漏洞插件；/n加载所述待测网络设备对应的漏洞插件，并调度加载后的所述漏洞插件对所述待测网络设备进行漏洞扫描。/n

【技术特征摘要】
1.一种漏洞扫描方法，其特征在于，所述方法包括：
根据待测网络设备的IP地址，对所述待测网络设备进行探测，确定所述待测网络设备上的资源；
根据资源与漏洞插件的对应关系，确定所述待测网络设备上的资源对应的漏洞插件，并至少根据所述待测网络设备上的资源对应的漏洞插件确定所述待测网络设备对应的漏洞插件；
加载所述待测网络设备对应的漏洞插件，并调度加载后的所述漏洞插件对所述待测网络设备进行漏洞扫描。


2.根据权利要求1所述的方法，其特征在于，所述根据待测网络设备的IP地址，对所述待测网络设备进行探测之前，还包括：
确定所述待测网络设备的IP地址处于存活状态。


3.根据权利要求1所述的方法，其特征在于，所述待测网络设备上的资源包括开放端口、关闭端口和每个开放端口上运行的端口服务；所述资源与漏洞插件的对应关系按照操作系统、端口服务和漏洞插件的层级关系进行设置；
所述根据资源与漏洞插件的对应关系，确定所述待测网络设备上的资源对应的漏洞插件，包括：
根据所述开放端口和关闭端口，确定所述待测网络设备上运行的目标操作系统；
根据所述资源与漏洞插件的对应关系中所述目标操作系统下的各个端口服务对应的漏洞插件，确定每个开放端口上运行的端口服务对应的漏洞插件，将各个开放端口上运行的端口服务对应的漏洞插件作为所述待测网络设备上的资源对应的漏洞插件。


4.根据权利要求1所述的方法，其特征在于，所述至少根据所述待测网络设备上的资源对应的漏洞插件确定所述待测网络设备对应的漏洞插件，包括：
根据所述待测网络设备的类型，确定所述待测网络设备对应的通用漏洞插件；
将所述待测网络设备的资源对应的漏洞插件和所述通用漏洞插件确定为所述待测网络设备对应的漏洞插件。


5.根据权利要求1至4中任一项所述的方法，其特征在于，所述调度加载后的所述漏洞插件对所述待测网络设备进行漏洞扫描，包括：
根据加载后的各个漏洞插件的依赖关系，将所述各个漏洞插件划分为多条漏洞插件序列，每条漏洞插件序列中的各个漏洞插件具有依赖关系；
并行调度所述多条漏洞插件序列中的漏洞插件；针对于任一漏洞插件序列，按照所述漏洞插件序列中的漏洞插件的依赖关系依次调度所述漏洞插件序列中的漏洞插件。


6.根据权利要求5所述的方法，其特征在于，所述并行调度所述多条漏洞插件序列中的漏洞插件，包括：
在多个时间片内并行调度所述多条漏洞插件序列中的漏洞插件；
其中，任一时间片内调度的漏洞插件通过如下方式确定：
从每个漏洞插件序列中确定出还未调度的且处于最底层依赖关系的备选漏洞插件；
根据各个漏洞插件所需的资源占用量，确定每个漏洞插件序列中还未调度的漏洞插件所需的总资源占用量，将所需的总资源占用量最大的漏洞插件序列中的备选漏洞插件作为所述时间片对应的一个目标漏洞插件；
从除所述目标漏洞插件以外的其他备选漏洞插件中获取其它目标漏洞插件，所述目标漏洞插件和所述其它目标漏洞插件所需的总资源占用量小于或等于设定资源占用量。


7.根据权利要求6所述的方法，其特征在于，所述每个漏洞插件所需的资源占用量通过如下方式得到：
调度所述漏洞插件对多个网络设备进行漏洞扫描，并记录所述漏洞插件每次调度时耗费的资源占用量；
根据所述漏洞插件在各次调度时耗费的总资源占用量和调度次数，确定所述漏洞插件所需的资源占用量。


8.根据权利要求6所述的方法，其特征在于，所述漏洞插件每次调度时耗费的资源占用量通过如下方式得到：
获取所述漏洞插件在所述调度中消耗的中央处理器CPU时间、输入/输出I/O时间、内存使用量和网络带宽使用量中的任意一项或任意多项信息；
使用预设资源算法对获取到的所述信息进行计算，得到所述漏洞插件在每次调度时耗费的资源占用量。


9.一种漏洞扫描装置，其特征在于，所述装置包括：
探测模块，用于根据待测网络设备的IP地址，对所述待测网络设备进行探测，确定所述待测网络...

【专利技术属性】
技术研发人员：张楠，齐小兵，郭朝辉，任进，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京;11