[发明专利]智能电网中的IT资产大规模侦测系统

权利要求书

1.一种智能电网中的IT资产大规模侦测系统，包含调度服务器、数据库服务器和若干台网络设备指纹获取服务器，其特征在于：

所述调度服务器用于获取侦测任务并将侦测任务按一定规则分配给各网络设备指纹获取服务器；

所述网络设备指纹获取服务器用于在接收到调度服务器分配的侦测任务后对智能电网中的IP目标进行组件指纹探测扫描，通过将扫描到的数据与数据库服务器中的指纹库进行指纹对比，获取侦测结果，并将扫描到的数据和侦测结果发送给数据库服务器的目标库和指纹侦测结果库；

所述数据库服务器用于提供目标库、指纹库和指纹侦测结果库的查询、更新、索引。

2.根据权利要求1所述的IT资产大规模侦测系统，其特征在于所述组件指纹探测扫描包含以下步骤：

(1.1)对IP目标进行端口探测，获得至少一个开放端口和一个关闭端口，其中IP目标包括Web服务器，Web应用，操作系统；

(1.2)构造若干个探测报文，所述探测报文包含序列号和可选项的TCP探测报文、ICMP探测报文、ECN的TCP探测报文、关闭端口的TCP探测报文，关闭端口的UDP探测报文；

(1.3)将所述探测报文发送给IP目标，若某个报文没有应答，则重新发送一次；

(1.4)提取目标指纹，结合目标的已知操作系统类型，构造先验指纹库；

(1.5)使用构造的先验指纹库探测新的IP目标；

(1.6)使用HTTP协议连接远程Web服务器获取相应应答报文，通过比较应答报文特征来识别Web服务器类别与版本。

3.根据权利要求2所述的IT资产大规模侦测系统，其特征在于所述步骤1.1中：若IP目标为Web服务器时，主要探测：智能电网空间中网站响应头部数据、网站文件类型、网站对400错误响应的返回、网站对500错误响应的返回、网站对超长请求的响应返回、网站对畸形请求的响应返回、服务端口标识回显；

若IP目标为Web应用时，主要探测：智能电网空间中网站响应头部信息、HTML页面内META标签信息、HTML内JS、CSS等链接信息、特殊URL地址及URL参数、COOKIE/Session内特征字段特定文件名、文件内容及文件MD5。

4.根据权利要求1所述的IT资产大规模侦测系统，其特征在于所述指纹对比包含以下步骤：

(2.1)从IP目标响应的探测报文中提取出包含源IP地址、目的IP地址的基本信息及属性信息，整理成统一的数据格式，进行标准化指纹数据；

(2.2)通过聚类方法消除指纹数据中的噪声；

(2.3)再利用基于属性相似的概率关联方法将消除噪声的指纹数据与指纹库中的指纹信息进行关联分析，得到侦测结果。

5.根据权利要求1所述的IT资产大规模侦测系统，其特征在于所述数据库服务器采用MongoDB型分布式数据库实现分布式存储。

6.根据权利要求1所述的IT资产大规模侦测系统，其特征在于所述调度服务器包含任务下发子模块、进度汇总模块和异常处理模块，所述用于任务下发子模块用于将接收到的侦测任务放到侦测任务队列中，并将侦测任务队列中的任务按照任务下发标准接口传递给各网络设备指纹获取服务器；所述进度汇总模块用于将网络设备指纹获取服务器反馈的侦测任务执行状况进行汇总；所述异常处理模块用于在接收到网络设备指纹获取服务器的异常报告或超出一 定时间无法连接网络设备指纹获取服务器，将下发给网络设备指纹获取服务器的侦测任务转移到其他网络设备指纹获取服务器继续执行。

7.根据权利要求6所述的IT资产大规模侦测系统，其特征在于所述任务下发子模块还用于根据采集服务器的网络速度优选将侦测任务下发给速度快的采集服务器。

8.根据权利要求1所述的IT资产大规模侦测系统，其特征在于还包含UI服务器，所述UI服务器用于提供人机交互界面，将用户提出的侦测任务发送给调度服务器。

9.根据权利要求1所述的IT资产大规模侦测系统，其特征在于还包含日志服务器，所述日志服务器用于进行日志管理。

10.根据权利要求1所述的IT资产大规模侦测系统，其特征在于还包含任务管理器，所述任务管理器用于对IT资产大规模侦测系统内部任务进行管理。