一种高效安全的大规模ISP网络漏洞评估方法技术

本发明专利技术公开了一种高效安全的大规模ISP网络漏洞评估方法，该方法如下：S01：注册；在发布服务之前，LAN向漏洞发现层发出注册请求信号(Nk，Pk)；S02：扫描终端设备；LAN将根据具体的网络负载来决定是否执行新一轮扫描；S03：提取和返回标语信息；对于TB级的原始扫描数据，标语提取层将其分为若干小数据块后分配给服务器；S04:匹配CVE和共享漏洞；构建CPE转换器完成CVE转换，将其分享给LAN的群用户。本发明专利技术采用了一种基于局域网LAN的灵活分布式架构，该架构允许各个ISP网络的每个LAN参与漏洞评估，并根据需要共享漏洞数据，为了获得更多的标语信息，本发明专利技术提供了系统参数评估方法，以确保采集任务在低负载下执行，解决标语信息收集过程中丢失率高的问题。程中丢失率高的问题。程中丢失率高的问题。

【技术实现步骤摘要】
一种高效安全的大规模ISP网络漏洞评估方法


[0001]本专利技术涉及网络漏洞测评领域，具体为一种高效安全的大规模ISP网络漏洞评估方法。

技术介绍

[0002]漏洞评估允许网络安全专业人员发现易受攻击的终端设备，随着物联网设备和系统被广泛应用在互联网中，黑客可以利用其中的物联网设备中的一个或多个中的漏洞来进行广泛的恶意网络活动，常见的解决方案是通过主动模拟攻击行为来确定相关的漏洞，其基本原理是通过主动模拟各种精心策划的攻击来破解系统，从而识别指定设备的漏洞，目前，最常见的基于模拟攻击的方法包括Nessus、Burpsuite、SQLMAP，但是考虑以下三点：1)攻击脚本数据库不可能包含所有漏洞，总会有一些遗漏的漏洞；2)它们对被评估设备的系统性能有严重的负面影响(例如，测试攻击可能使被评估系统过载或瘫痪)；3)为了确定漏洞的存在，它们会给目标设备带来巨大的计算开销，因此高处理开销和负面影响也意味着这种方法对于大规模网络是不切实际的。另一种解决方案是SB
‑
CVE的漏洞评估，其原理是直接从每个终端设备的应用层消息中提取默认服务标语，再将标语信息与公共国家漏洞数据库(NVD)中的每个常见漏洞进行匹配，这种方法最大限度地减少了终端设备的计算开销，因此选择第二种方法来识别网络中存在的漏洞，基于SB
‑
CVE的漏洞评估通常包含三个步骤：收集与被评估设备相关的标语信息；搜索漏洞数据库；生成评估报告，其中前两个是影响系统性能的重要因素，有人提出一种ShoVAT的网络设备的自动漏洞评估方法，该方法直接利用商业搜索引擎提供的用于互联网连接设备(Shodan)的标语，而不是自行收集，为了进一步提高评估准确性，又有人提出了一种基于Shodan和Google的精确漏洞评估方法，该方法甚至能够检测0day攻击，其是使用Censys API获取SB信息，然后将其与NVD漏洞数据库匹配，为了扩大用途，又出现了一种面向SCADA的漏洞评估方法，该方法利用Shodan查找SCADA设备，然后将攻击模拟与模式匹配技术结合起来，以识别其漏洞。
[0003]通常，在将应用层的服务标语信息与公共国家漏洞数据库(NVD)中的每个常见漏洞匹配之前，从每个设备的应用层消息中提取出服务标语信息，然而，由于所涉及的工作和潜在的漏洞信息泄漏，这种方法在大规模ISP网络中并不实用，尽管上述基于网络空间引擎的方法更具成本效益，但面对大规模网络，它们具有以下可扩展性问题和安全风险：(1)由于Shodan或Censys API限制了每个用户的输出项数量，这限制了评估系统的可扩展性；(2)由于ISP需要向公众可访问的易受攻击的搜索引擎，如Shodan开放整个网络，这使得设备信息可能泄漏给恶意用户，并进一步给网络带来严重威胁。

技术实现思路

[0004]本专利技术的目的在于提供一种高效安全的大规模ISP网络漏洞评估方法，以解决上述
技术介绍
中存在的问题。
[0005]为实现上述目的，本专利技术提供如下技术方案：一种高效安全的大规模ISP网络漏洞
评估方法，该方法如下：
[0006]S01：注册；在发布服务之前，LAN向漏洞发现层发出注册请求信号(Nk，Pk)，其中Nk表示设备终端的数量，Pk表示涉及的公共IP地址；
[0007]S02：扫描终端设备；LAN将根据具体的网络负载来决定是否执行新一轮扫描，若是，管理员将为其分配足够的内存和带宽资源，之后标语提取层使用NMAP来启动扫描任务；
[0008]S03：提取和返回标语信息；对于TB级的原始扫描数据，标语提取层将其分为若干小数据块，并将每个数据块分配给服务器，每个服务器提取初始的标语信息，并从初始数据中删除不完整的标语信息，此外，标语提取层将清理后的数据返回给漏洞发现层；
[0009]S04：匹配CVE和共享漏洞；匹配CVE和共享漏洞，漏洞发现层定期下载NVD的可扩展标记语言文件，并从中提取所有CPE条目，同时，将标语信息转换成CPE，漏洞发现层从标语提取层接收到标语信息后，将标语转换成CPE，并在NVD中搜索来获得CVE，此外，还将它们分享给LAN中的群用户。
[0010]优选的，所述标语提取层用于包转发设备性能测量以及局域网健康评估，前者用于确定优先影响网络扫描质量的关键性能指标及其权重，并进一步给出分组转发设备性能的综合表达式，后者用于计算在线设备的指标，并进一步给出整体网络性能的综合表达式。
[0011]优选的，所述漏洞发现层用于将标语信息转换成CPE和CVE的搜索。
[0012]与现有技术相比，本专利技术的有益效果是：
[0013]1、采用了一种基于局域网LAN的灵活分布式架构，该架构允许各个ISP网络的每个LAN参与漏洞评估，并根据需要共享漏洞数据，为了获得更多的标语信息，本专利技术提供了系统参数评估方法，以确保采集任务在轻网络负载下执行，解决标语信息收集过程中丢失率高的问题。
[0014]2、为了加快CVE匹配，本专利技术提供了高效的CPE转换器和快速CVE搜索算法。
附图说明
[0015]图1为基于局域网的漏洞评估系统架构图。
[0016]图2为cpe转换器结构图。
[0017]图3为安全漏洞共享协议图。
具体实施方式
[0018]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0019]请参阅图1
‑
3所示，本专利技术提供一种技术方案：一种高效安全的大规模ISP网络漏洞评估方法，该方法如下：
[0020]S01：注册；在发布服务之前，LAN向漏洞发现层发出注册请求信号，其中Nk表示设备终端的数量，Pk表示涉及的公共IP地址；
[0021]其中，漏洞发现层使用web服务技术，以标准形式发布其服务，为了实现高可扩展性，ISP可以借助云计算来部署，发布的服务只能由LAN授权的用户访问，如由ISP和国家监
管机构来访问，漏洞发现者是进入系统的中心点，有三个功能：维护部署者列表和数据用户列表；将服务横幅转换为与CVE关联的CPE形式，然后将其与NVD匹配；提供查询中心并实现漏洞信息共享；
[0022]S02：扫描终端设备；LAN将根据具体的网络负载来决定是否执行新一轮扫描，若是，管理员将为其分配足够的内存和带宽资源，之后标语提取层使用NMAP来启动扫描任务；
[0023]其中，标语提取层可以工作在局域网的网关服务器上，随着边缘计算的发展，越来越多的局域网管理员开始在网关上提供边缘计算服务，因此将标语提取迁移到边缘计算的网关比较合理，每个标语提取器都提供了一个用于与漏洞发现层通信的接口，以及一个用于扫描终端设备的接口，它包括两个任务：利用现有的被动扫描工具NMAP扫描每个终端设备，从返回的应用层消息中提取标语信息；本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种高效安全的大规模ISP网络漏洞评估方法，其特征在于，该方法如下：S01：注册；在发布服务之前，LAN向漏洞发现层发出注册请求信号(Nk，Pk)，其中Nk表示设备终端的数量，Pk表示涉及的公共IP地址；S02：扫描终端设备；LAN将根据具体的网络负载来决定是否执行新一轮扫描，若是，管理员将为其分配足够的内存和带宽资源，之后标语提取层使用NMAP来启动扫描任务；S03：提取和返回标语信息；对于TB级的原始扫描数据，标语提取层将其分为若干小数据块，并将每个数据块分配给服务器，每个服务器提取初始的标语信息，并从初始数据中删除不完整的标语信息，此外，标语提取层将清理后的数据返回给漏洞发现层；S04：匹配CVE和共享漏洞；匹配CVE和共享漏洞，漏洞发现层定期下...

【专利技术属性】
技术研发人员：鲁宁，姜维，邹俊杰，史闻博，黄儒霄，张广岩，
申请(专利权)人：东北大学秦皇岛分校，
类型：发明
国别省市：