一种漏洞扫描系统

技术领域

本发明涉及计算机安全领域，尤其涉及一种漏洞扫描系统。

背景技术

在计算机中，芯片，软件和网络等都有可能存在漏洞，而漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测(渗透攻击)行为；其能够提前对计算机系统的安全性进行检测，对于提高计算机系统的安全性大有裨益。

漏洞扫描一般包括三大步：第一步、信息收集，即用漏洞扫描器扫描系统，把所有的漏洞都收集起来，扫描发现网络IP(Internet Protocol，网际互连协议)、OS(OperatingSystem，操作系统)、服务、配置和漏洞；第二步、定义扫描方式内容和目标信息管理，即把这些信息收集起来，进行格式化的筛选，挑最高威胁的去解决，解决之后会对这些信息进行标注，表示我已经排除掉了。格式化信息，并进行筛选、分组、定义优先级；第三步、信息输出，即对企业里面不同层级的人员输出相应的报告。向不同层级的人群展示足够的信息量，生成报告和导出数据。其类型一般包括：主动扫描、被动扫描和基于Agent的扫描。

在实际中，一个计算机系统中往往包含有很多的计算机，导致漏洞扫描的任务很繁重，因此，设计一个具有很强的漏洞扫描功能的系统，就成为一个亟待解决的问题。

发明内容

有鉴于此，本发明的主要目的在于提供一种漏洞扫描系统。

为达到上述目的，本发明的技术方案是这样实现的：一种漏洞扫描系统，包括：Master主机和若干Slave主机；所述Master主机用于：存储若干漏洞扫描任务、且将漏洞扫描任务发送给Slave主机；所述Slave主机用于：在接收到漏洞扫描任务时，基于所述漏洞扫描任务进行漏洞扫描，且会将扫描结果发送给Master主机。

作为本发明实施例的一种改进，所述Master主机中存储若干漏洞扫描任务、以及每个漏洞扫描任务对应的唯一标志符，所述Master主机还用于：将所述若干漏洞扫描任务发送给每个Slave主机；所述“将漏洞扫描任务发送给Slave主机”具体包括：将漏洞扫描任务对应的唯一标识符发送给Slave主机；所述“在接收到漏洞扫描任务时，基于所述漏洞扫描任务进行漏洞扫描”具体包括：获取所述唯一标识符对应的第一漏洞扫描任务，基于第一漏洞扫描任务进行漏洞扫描。

作为本发明实施例的一种改进，所述Master主机在接收到新的第二漏洞扫描任务时，会将第二漏洞扫描任务发送给每个Slave主机；所述Master主机在探测到第三漏洞扫描任务被更新时，会将更新后的第三漏洞扫描任务发送给每个Slave主机，所述Slave主机会删除旧的的第三漏洞扫描任务、且保存新的第三漏洞扫描任务；所述Master主机在探测到第四漏洞扫描任务被删除时，会从每个Salve主机上删除第四漏洞扫描任务。

作为本发明实施例的一种改进，所述漏洞扫描任务包括至少包括：网页的URL地址和扫描脚本。

作为本发明实施例的一种改进，所述漏洞扫描任务包括至少包括：扫描脚本、被扫描主机的IP地址和端口号。

作为本发明实施例的一种改进，所述扫描脚本为基于Python语言的脚本。

作为本发明实施例的一种改进，所述Master主机中存储若干漏洞扫描任务、以及每个漏洞扫描任务对应的唯一标志符；所述“将漏洞扫描任务发送给Slave主机”具体包括：将漏洞扫描任务对应的唯一标识符发送给Slave主机；所述“在接收到漏洞扫描任务时，基于所述漏洞扫描任务进行漏洞扫描”具体包括：所述Slave主机从所述Master主机上获取所述唯一标识符对应的第五漏洞扫描任务，基于第五漏洞扫描任务进行漏洞扫描。

作为本发明实施例的一种改进，所述“所述Slave主机从所述Master主机上获取所述唯一标识符对应的第五漏洞扫描任务”具体包括：所述Slave主机中不存储有所述唯一标识符对应的第五漏洞扫描任务时，从所述Master主机上获取第五漏洞扫描任务。

本发明实施例所提供的一种漏洞扫描系统具有以下优点：本发明公开了一种漏洞扫描系统，包括：Master主机和若干Slave主机；所述Master主机用于：存储若干漏洞扫描任务、且将漏洞扫描任务发送给Slave主机；所述Slave主机用于：在接收到漏洞扫描任务时，基于所述漏洞扫描任务进行漏洞扫描，且会将扫描结果发送给Master主机。该漏洞扫描系统能够以较快的速度进行漏洞扫描。

附图说明

图1为本发明实施例提供的一种漏洞扫描系统的结构示意图；

图2A和图2B为本发明实施例提供的一种漏洞扫描系统的一种流程示意图；

图3为本发明实施例提供的一种漏洞扫描系统的另一种流程示意图；

图4为本发明实施例提供的Master主机或Slave主机的结构示意图。

具体实施方式

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

本发明实施例一提供了一种漏洞扫描系统，如图1所示，包括：

Master主机和若干Slave主机；所述Master主机用于：存储若干漏洞扫描任务、且将漏洞扫描任务发送给Slave主机；所述Slave主机用于：在接收到漏洞扫描任务时，基于所述漏洞扫描任务进行漏洞扫描，且会将扫描结果发送给Master主机。

这里，在Master主机上可以设置有一个数据库，在该数据库中会存储有该若干漏洞扫描任务。该漏洞扫描任务至少包含有以下内容：被扫描主机的唯一标识符，漏洞的唯一标识符，针对该漏洞的攻击脚本(例如，有Python语言编写的脚本文件)等等。可选的，该Slave主机在接收到漏洞扫描任务时，基于所述漏洞扫描任务进行漏洞扫描，被扫描的主机即可以为该Salve主机本身，还以为其他计算机。

这里，可以在Master主机上设置有一个漏洞扫描计划，在漏洞扫描计划中包含有何时，针对哪个主机，执行哪个漏洞扫描任务等，当该Master主机在执行该漏洞计划时，会将漏洞扫描任务发送给Salve主机，Slave主机会依据所接受到的漏洞扫描任务进行漏洞扫描，并将扫描结果反馈给Master主机。可选的，Master主机会对所接收到的扫描结果进行过滤和存储处理。

这里，该漏洞扫描任务可以为一个POC(Proof Of Concept，概念验证)任务，其是对某些想法的一个不完整的实现，以证明其可行性，示范其原理，其目的是为了验证一些概念或理论，在计算机安全术语中，概念验证经常被用来作为0day、exploit的别名。

本实施例中，所述Master主机中存储若干漏洞扫描任务、以及每个漏洞扫描任务对应的唯一标志符，所述Master主机还用于：将所述若干漏洞扫描任务发送给每个Slave主机；所述“将漏洞扫描任务发送给Slave主机”具体包括：将漏洞扫描任务对应的唯一标识符发送给Slave主机；所述“在接收到漏洞扫描任务时，基于所述漏洞扫描任务进行漏洞扫描”具体包括：获取所述唯一标识符对应的第一漏洞扫描任务，基于第一漏洞扫描任务进行漏洞扫描。

这里，每个Slave主机上都存储有Master主机上的所有的漏洞扫描任务，可以理解的是，当执行漏洞扫描时，Slave主机就不需要再从Master主机上下载漏洞扫描任务了，从而能够极大的提高该漏洞扫描系统执行漏洞扫描的速度。

这里，给每个漏洞扫描任务都设置有一个唯一标识符，然后将该唯一标识符发送给Slave主机，于是，Slave主机就能够获取对应的漏洞扫描任务了。

本实施例中，所述Master主机在接收到新的第二漏洞扫描任务时，会将第二漏洞扫描任务发送给每个Slave主机；所述Master主机在探测到第三漏洞扫描任务被更新时，会将更新后的第三漏洞扫描任务发送给每个Slave主机，所述Slave主机会删除旧的的第三漏洞扫描任务、且保存新的第三漏洞扫描任务；所述Master主机在探测到第四漏洞扫描任务被删除时，会从每个Salve主机上删除第四漏洞扫描任务。这里，在实际使用中，用户会将新的漏洞扫描任务上传到该Master主机上时，该Master主机能够立刻探测到该新的扫描任务，然后就会将该新的扫描任务发送到所有Slave主机；同样，当某个漏洞扫描任务被更新时，也需要在所有Slave主机上，对该漏洞扫描任务进行更新；同样，当某个漏洞扫描任务被删除时，也需要在所有Slave主机上，对该漏洞扫描任务进行删除；从而能够确保所有Slave主机上的漏洞扫描任务能够与Master主机保持一致。

本实施例中，所述漏洞扫描任务包括至少包括：网页的URL(Uniform ResourceLocator，统一资源定位器)地址和扫描脚本。这里，当需要对某个网页进行漏洞扫描时，就需要提供该网页的URL地址和扫描脚本。

本实施例中，所述漏洞扫描任务包括至少包括：扫描脚本、被扫描主机的IP(Internet Protocol，网际互连协议)地址和端口号。这里，当需要对某个网络服务进行漏洞扫描时，就需要提供该网络服务的IP地址和扫描脚本。

本实施例中，所述扫描脚本为基于Python语言的脚本。

这里，图2A和图2B示出了该漏洞扫描系统的一个流程图，该漏洞扫描系统用于执行POC任务，在Slave主机上会专门设置有一个目录pocs，在该目录pocs下面存储了不同的漏洞扫描任务，例如，用于对nginx进行扫描的脚本文件，1**.py和3**.py等，用于对structs2进行扫描的脚本文件，2**.py等。在Slave主机上会启动一个基于Python语言的漏洞扫描程序，该漏洞扫描程序能够与Master主机进行通信。如图2A所示，该Slave主机会行以下步骤：

步骤201、202和203：在该漏洞扫描程序启动时，会调用poc模块初始化函数init_poc_module()，该初始化函数会执行模块动态加载(即加载目录pocs下所有Python脚本文件)，并且建立一个文件字典，在该文件字典中存储有appName(例如，nginx或struct2等)与Python脚本文件的映射关系，例如，“ngnix”映射到“1**.py”和“3**.py”，“struts2”映射到“2**.py”；

步骤204：Slave主机接收Master主机发送的漏洞扫描POC任务(其中包含唯一标志符)；

步骤205：从漏洞扫描POC任务解析任务参数，其中包括网页的URL地址，IP地址和PORT(即端口)号，服务appName(即唯一标志符，例如，nginx或struct2)和指纹数据(每个漏洞都有一些特有的特征(即指纹)，在实际的漏洞扫描中，可以用基于该特征来识别漏洞)，可选的，1**.py文件和3**.py文件可以分别对应到不同的特征；

步骤206,：将服务和指纹组合，然后与appName(例如，nginx或struct2等)，根据最新的文件字典，获取该appName对应的Python脚本文件，例如，基于文件字典，获取“nginx”对应有两个Python脚本文件1**.py文件和3**.py，然后在基于指纹，获取1**.py文件；

步骤207：通过集成封装的pocsuite3框架，调用相关的api来验证poc，即执行漏洞扫描；

步骤208：将扫描结果推送给服务端(即Master主机)。

如图2B中步骤209、210和211所示，该Salve主机会接收Master主机发送的poc新增指令，依据该指令在目录pocs下增加一个指令，例如，增加一个4**.py的文件，该文件与nginx映射；该Salve主机会接收Master主机发送的poc更新指令，例如，在目录pocs中，存在一个与“struts”相映射的文件2**.py，对该文件进行更新；该Salve主机会接收Master主机发送的poc删除指令，例如，在目录pocs中，存在一个与“nginx”相映射的文件3**.py，对该文件进行删除。可以理解的是，进行了上述的操作之后，需要对文件字典进行更新。

本发明实施例二提供了一种漏洞扫描系统，如图1所示，包括：

Master主机和若干Slave主机；所述Master主机用于：存储若干漏洞扫描任务、且将漏洞扫描任务发送给Slave主机；所述Slave主机用于：在接收到漏洞扫描任务时，基于所述漏洞扫描任务进行漏洞扫描，且会将扫描结果发送给Master主机。

本实施例中，所述Master主机中存储若干漏洞扫描任务、以及每个漏洞扫描任务对应的唯一标志符；所述“将漏洞扫描任务发送给Slave主机”具体包括：将漏洞扫描任务对应的唯一标识符发送给Slave主机；所述“在接收到漏洞扫描任务时，基于所述漏洞扫描任务进行漏洞扫描”具体包括：所述Slave主机从所述Master主机上获取所述唯一标识符对应的第五漏洞扫描任务，基于第五漏洞扫描任务进行漏洞扫描。这里，每个Slave主机上都不存储有全部的漏洞扫描任务，可以理解的是，当执行漏洞扫描时，Slave主机需要从Master主机上下载漏洞扫描任务，有些场合下，在执行漏洞扫描任务时，还需要有很多的数据，该数据会占有很大的空间，因此，能够极大的节约Slave主机的存储空间，也能够减少Master主机与Slave主机之间的网络负担。

本实施例中，所述“所述Slave主机从所述Master主机上获取所述唯一标识符对应的第五漏洞扫描任务”具体包括：所述Slave主机中不存储有所述唯一标识符对应的第五漏洞扫描任务时，从所述Master主机上获取第五漏洞扫描任务。

这里，图3示出了该漏洞扫描系统的一个流程图，该漏洞扫描系统用于执行POC任务，在Master主机上会存储有若干基于Python语言的脚本文件，该文件结构为id_code_hash.py，其中，id为一个编号(例如，可以为自然数，或一个字符串)，该id映射到一个漏洞，具体的可以为一个漏洞的编号；code_hash＝md5(code)，其中，md5为信息摘要算法第五版本，英文全拼为：Message-Digest Algorithm 5th，code为对于该脚本文件中的内容。

包括以下步骤：

步骤301，Master主机把多个唯一标识符组成一个队列(即poc_list)，然后从该队列中获取队头的唯一标识符并发送给Slave主机；

步骤302和307：Slave主机接受到该唯一标识符，然后在本地搜寻该唯一标识符对应的漏洞扫描任务(即对应的脚本文件，即id_code_hash.py)；为了提高搜寻速度，可以在内存中存储有Slave机器上所存储的所有脚本文件的索引，即内存中存储有id:code_hash这个字符串；

步骤303和304：如果Slave主机上存储有id_code_hash.py，则加载；

步骤305和306：开启多线程来执行该id_code_hash.py，然后返回结果，这里，如果在扫描的过程中，确认某个漏洞存在，则结果中可以包含有该漏洞对应的id即可；

步骤308、309和310：本地没有对应的脚本文件，则需要从Master主机上下载；在步骤309中，为了扩大本地的存储空间，可以将一些无关的文件删除，例如，当脚本文件名中的id＝1时，可以将文件名开头为“1”的脚本文件都删除；

步骤311：从数据库脚本code加载该脚本文件，例如，调用poc模块初始化函数init_poc_module()，该初始化函数会执行模块动态加载该脚本文件。

可选的，在该漏洞扫描系统中，可以给漏洞扫描任务设置有一个最大执行时间，当Slave机器执行漏洞扫描任务时，如果所花费的时间大于该漏洞扫描任务对应的最大执行时间时，则停止执行，且需要将超时的信息发送给Master主机，之后，Master主机可以将该漏洞扫描任务发送给其他的Slave主机再次执行。此外，当Master主机确定该漏洞扫描任务每次执行都超过其最大执行时间、且超过的次数大于预设阀值时，可以向用户展示该信息，以便于用户进行修正。

可选的，在该漏洞扫描系统中，当Slave机器执行漏洞扫描任务失败时，则需要将失败的信息发送给Master主机，之后，Master主机可以将该漏洞扫描任务发送给其他的Slave主机再次执行。此外，当Master主机确定该漏洞扫描任务每次执行都失败时、且超过的次数大于预设阀值时，可以向用户展示该信息，以便于用户进行修正。

图4为本发明实施例提供的Master主机或Slave主机的结构示意图。应用于某一电子设备的结构示意图，图4所示的电子设备700包括：至少一个处理器701、存储器702、至少一个网络接口704和其他用户接口703。电子设备700中的各个组件通过总线系统705耦合在一起。可理解，总线系统705用于实现这些组件之间的连接通信。总线系统705除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图4中将各种总线都标为总线系统705。

其中，用户接口703可以包括显示器、键盘或者点击设备(例如，鼠标，轨迹球(trackball)、触感板或者触摸屏等。

可以理解，本发明实施例中的存储器702可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synch link DRAM，SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM，DRRAM)。本文描述的存储器702旨在包括但不限于这些和任意其它适合类型的存储器。

在一些实施方式中，存储器702存储了如下的元素，可执行单元或者数据结构，或者他们的子集，或者他们的扩展集：操作系统7021和应用程序7022。

其中，操作系统7021，包含各种系统程序，例如框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务。应用程序7022，包含各种应用程序，例如媒体播放器(Media Player)、浏览器(Browser)等，用于实现各种应用业务。实现本发明实施例方法的程序可以包含在应用程序7022中。

在本发明实施例中，通过调用存储器702存储的程序或指令，具体的，可以是应用程序7022中存储的程序或指令，

应用于上位机时，处理器701用于执行各方法实施例所提供的方法步骤，例如包括：

接收传感器和/或PLC发送的目标数据集；

将所述目标数据集发送给服务器；由所述服务器根据所述目标数据集进行相应操作；

所述目标数据集，包括以下至少之一：探测数据、探测数据对应的类型符号、描述采集探测数据的设备的标志符。

应用于服务器时，处理器701用于执行各方法实施例所提供的方法步骤，例如包括：

接收上位机发送的数据集；

对所述数据集进行分析，根据分析结果针对所述数据集中的数据执行不同的操作；

所述数据集，包括以下至少之一：探测数据、探测数据对应的类型符号、描述采集探测数据的设备的标志符。

上述本发明实施例揭示的方法可以应用于处理器701中，或者由处理器701实现。处理器701可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器701中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器701可以是通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(FieldProgrammable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件单元组合执行完成。软件单元可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器702，处理器701读取存储器702中的信息，结合其硬件完成上述方法的步骤。

可以理解的是，本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(ApplicationSpecific Integrated Circuits，ASIC)、数字信号处理器(Digital Signal Processing，DSP)、数字信号处理设备(DSP Device，DSPD)、可编程逻辑设备(Programmable LogicDevice，PLD)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)、通用处理器、控制器、微控制器、微处理器、用于执行本申请所述功能的其它电子单元或其组合中。

对于软件实现，可通过执行本文所述功能的单元来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。

本实施例提供的电子设备可以是上述的电子设备，可执行上述优化方法的所有步骤，进而实现上述优化方法的技术效果，具体请参照上述相关描述，为简洁描述，在此不作赘述。

本发明实施例还提供了一种存储介质(计算机可读存储介质)。这里的存储介质存储有一个或者多个程序。其中，存储介质可以包括易失性存储器，例如随机存取存储器；存储器也可以包括非易失性存储器，例如只读存储器、快闪存储器、硬盘或固态硬盘；存储器还可以包括上述种类的存储器的组合。

当存储介质中一个或者多个程序可被一个或者多个处理器执行，以实现上述在运维监控装置执行的优化方法。

应用于上位机时，所述处理器用于执行存储器中存储的运维监控程序，以实现以下在上位机侧执行的优化方法的步骤：

接收传感器和/或可编程逻辑控制器PLC发送的目标数据集；

将所述目标数据集发送给服务器；由所述服务器根据所述目标数据集进行相应操作；

所述目标数据集，包括以下至少之一：探测数据、探测数据对应的类型符号、描述采集探测数据的设备的标志符。

应用于服务器时，所述处理器用于执行存储器中存储的运维监控程序，以实现以下在服务器侧执行的优化方法的步骤：

接收上位机发送的数据集；

对所述数据集进行分析，根据分析结果针对所述数据集中的数据执行不同的操作；

所述数据集，包括以下至少之一：探测数据、探测数据对应的类型符号、描述采集探测数据的设备的标志符。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。