[发明专利]智能电网中的IT资产大规模侦测系统

说明书

技术领域

本发明涉及智能电网安全领域，具体是基于指纹识别技术和分布式调度的IT资产大规模侦测系统。

背景技术

智能电网(Smart Power Grids)是建立在集成的、高速双向通信网络的基础上，通过先进的传感与测量技术、设备技术、控制技术以及先进的决策支持系统技术的应用，实现电网的可靠稳定、经济、高效、环境友好和使用安全的目标。然而，随着智能电网的建设和发展，电力设备的更新换代，导致“信息孤岛”问题愈发突出，造成智能电网中的IT资产管理混乱，进而影响信息系统的安全性和稳定性。另外，随着互联网技术的迅猛发展，各类因应用组件造成的安全事件由应用组件所造成的服务中断等事故，只能是依靠以负反馈为主的方式逐级进行问题提交。对于异构的应用组件，在某一应用组件出现安全风险时只能被动的进行单一的针对性修复或防御策略追加，而无法有效匹配全网中所有受影响的应用组件，并进行统一的安全修复和防御策略追加。对于智能电网空间应用组件的变更、系统升级等变化无法进行有效探测、追溯和安全预警，为改变被动防御的现状，实现智能电网中IT资产的主动识别、追溯，并建立有效的积极防御体系，需要建立长期的资产全状态管理及预警能力，通过周期化、自动化的软硬件资产普查，掌握各类资产的安全属性，并在漏洞爆发时可以做到有效应对，从而更符合各种政策规范的要求，为智能电网空间的稳定运行提供技术保障。

综上所述，智能电网和信息化技术的发展对于IT资产大规模侦测的全面性和精确性提出了较高的要求，需要设计一种具备IT资产自主发现能力和全方位 信息定位能力的大规模侦测系统。

发明内容

为了解决智能电网的安全性和稳定性问题，本发明提供了一种智能电网中的IT资产大规模侦测系统，利用指纹识别技术，对网络设备组件进行识别，并采用分布式架构设计实现了对智能电网中IT资产的大规模侦测。

本发明所采用的技术方案是：

一种智能电网中的IT资产大规模侦测系统，包含调度服务器、数据库服务器和若干台网络设备指纹获取服务器；

所述调度服务器用于获取侦测任务并将侦测任务按一定规则分配给各网络设备指纹获取服务器；

所述网络设备指纹获取服务器用于在接收到调度服务器分配的侦测任务后对智能电网中的IP目标进行组件指纹探测扫描，通过将扫描到的数据与数据库服务器中的指纹库进行指纹对比，获取侦测结果，并将扫描到的数据和侦测结果发送给数据库服务器的目标库和指纹侦测结果库；

所述数据库服务器用于提供目标库、指纹库和指纹侦测结果库的查询、更新、索引。

依据上述特征，所述组件指纹探测扫描包含以下步骤：

(1.1)对IP目标进行端口探测，获得至少一个开放端口和一个关闭端口，其中IP目标包括Web服务器，Web应用，操作系统；

(1.2)构造若干个探测报文，所述探测报文包含序列号和可选项的TCP探测报文、ICMP探测报文、ECN的TCP探测报文、关闭端口的TCP探测报文，关闭端口的UDP探测报文；

(1.3)将所述探测报文发送给IP目标，若某个报文没有应答，则重新发送一 次；

(1.4)提取目标指纹，结合目标的已知操作系统类型，构造先验指纹库；

(1.5)使用构造的先验指纹库探测新的IP目标；

(1.6)使用HTTP协议连接远程Web服务器获取相应应答报文，通过比较应答报文特征来识别Web服务器类别与版本。

依据上述特征，所述步骤1.1中：若IP目标为Web服务器时，主要探测：智能电网空间中网站响应头部数据、网站文件类型、网站对400错误响应的返回、网站对500错误响应的返回、网站对超长请求的响应返回、网站对畸形请求的响应返回、服务端口标识回显；

若IP目标为Web应用时，主要探测：智能电网空间中网站响应头部信息、HTML页面内META标签信息、HTML内JS、CSS等链接信息、特殊URL地址及URL参数、COOKIE/Session内特征字段特定文件名、文件内容及文件MD5。

依据上述特征，所述指纹对比包含以下步骤：

(2.1)从IP目标响应的探测报文中提取出包含源IP地址、目的IP地址的基本信息及属性信息，整理成统一的数据格式，进行标准化指纹数据；

(2.2)通过聚类方法消除指纹数据中的噪声；

(2.3)再利用基于属性相似的概率关联方法将消除噪声的指纹数据与指纹库中的指纹信息进行关联分析，得到侦测结果。