[发明专利]一种服务器智能扫描方法及装置

说明书

本发明公开了一种服务器智能扫描方法及装置，此方法包括：获取可对外开放端口列表和不可对外开放端口列表；扫描服务器的端口，从扫描的端口中确定对外开放的目标端口；判断目标端口是否位于可对外开放端口列表和/或不可对外开放端口列表中并根据判断结果确定目标端口为正常端口、目标端口为恶意端口或者防火墙策略故障。本发明实现了无需全端口扫描的自动端口扫描，实现短时间内完成大批量服务器的端口扫描，大大提升了端口扫描速度，并且可排除服务器自身对外发起请求时随机开放的端口，防止了扫描时产生混淆，并且能够自动判断防火墙策略是否失效以及自动判断服务器是否开了恶意端口。

技术领域

本发明涉及服务器数据监控技术领域，尤其涉及一种服务器智能扫描方法及装置。

背景技术

在几千台甚至上万台服务器的环境下，运维安全人员通过在外网架设扫描器定时对所有服务器进行端口扫描以及应用服务类型识别。扫描器在扫描时，一般进行全端口(0-65535)扫描，然后在从开放端口中筛选出异常的端口由于互联网公司服务器众多，这种扫描需要很长时间才能完成。另外，由于服务器对外发起请求时本地也会随机打开一个端口，所以使用扫描器进行扫描时会对结果造成混淆，导致扫描的准确率不高。应用服务类型识别一般需要根据本地服务指纹库进行匹配，识别精确度不高，尤其是对于自主研发的应用服务的识别率更低。

现有技术的中的缺点包括：需要扫描0-65535端口才能精确识别开放了哪些端口，浪费系统资源和时间；对于成千甚至上万台服务器环境下，扫描周期非常长，有可能数周甚至数月；无法精确识别端口对应的服务；无法检测系统是否启动了服务进程；无法判断防火墙端口限制策略是否失效及是否完整。

发明内容

为了解决上述问题，本发明提供了一种服务器智能扫描方法及装置。

本发明提供的智能扫描方法包括：

获取可对外开放端口列表和不可对外开放端口列表；

扫描服务器的端口，从扫描的端口中确定对外开放的目标端口；

判断所述目标端口是否位于所述可对外开放端口列表和/或不可对外开放端口列表中并根据判断结果确定所述目标端口为正常端口、所述目标端口为恶意端口或者防火墙策略故障。

上述智能扫描方法还具有以下特点：

所述获取可对外开放端口列表和不可对外开放端口列表包括：从管理平台或数据库获取可对外开放端口列表和不可对外开放端口列表，或者接收到的文件或预先存储的文件中解析出所述可对外开放端口列表和不可对外开放端口列表。

上述智能扫描方法还具有以下特点：

所述扫描服务器的端口包括：从服务器接收所述服务器所监听的端口的信息，根据所述服务器所监听的端口的信息扫描所述服务器所监听的端口。

上述智能扫描方法还具有以下特点：

所述判断所述目标端口是否位于所述可对外开放端口列表和/或不可对外开放端口列表中并根据判断结果确定所述目标端口为正常端口、所述目标端口为恶意端口或者防火墙失效包括：

在判断结果为所述目标端口位于所述可对外开放的端口列表中时确定所述目标端口为正常端口；

在判断结果为所述目标端口位于所述不可对外开放的端口中时确定防火墙策略故障，所述防火墙策略故障包括防火墙策略失效或者策略不完整；

在判断结果为所述目标端口不位于所述可对外开放端口列表中并且不位于所述不可对外开放端口列表中时确定所述目标端口为恶意端口。

上述智能扫描方法还具有以下特点：

所述方法还包括：从管理平台获取进程服务列表；

从服务器接收所述服务器所监听的端口对应的进程服务的名称；