[发明专利]一种多引擎暴露资产扫描与管理系统

权利要求书

1.一种多引擎暴露资产扫描与管理系统，其特征在于，包括

主机发现，在主机发现过程中，扫描端向所要扫描的IP发送数据包，如果该IP有回应，就说明该IP所代表的的设备存在；

端口扫描，扫描引擎10多种类型的端口扫描方法，如TCP SYN/ACK/FIN/Xmas/NULL/Windows/Connect,FTP Bounce,Idle scan,UDP port unreachable/ UDP recv_from, IPprotocol,SCTPINIT/SCTP COOKIE ECHO扫描方式，原理是基于网络数据包的特征或者网络编程API来判定端口的状态；

服务识别；

系统识别，扫描引擎使用TCP/IP协议栈指纹来识别不同的操作系统和设备，在RFC规范中，有些地方对TCP/IP的实现并没有强制规定，由此不同的TCP/IP方案中可能都有自己的特殊的处理方式，Nmap主要是根据这些细节上的差异来判断操作系统的类型的。

2.根据权利要求1所述的多引擎暴露资产扫描与管理系统，其特征在于，所述服务识别包括以下步骤：

S1，首先检查open与open|filtered状态的端口是否在排除端口列表内，如果在排除列表，将该端口剔除；

S2，如果是TCP端口，尝试建立TCP连接，如果通过Welcome Banner无法确定应用程序版本，那么nmap再尝试发送其他的探测包即从nmap-services-probes中挑选合适的probe，将probe得到回复包与数据库中的签名进行对比；

S3，如果反复探测都无法得出具体应用，那么打印出应用返回报文，让用户自行进一步判定；

S4，如果是UDP端口，那么直接使用osscan-services-probes中探测包进行探测匹配，根据结果对比分析出UDP应用服务类型；

S5，如果探测到应用程序是SSL，那么调用openSSL进一步的侦查运行在SSL之上的具体的应用类型；

S6，如果探测到应用程序是SunRPC，那么调用brute-forceRPC grinder进一步探测具体服务。

3.根据权利要求1所述的多引擎暴露资产扫描与管理系统，其特征在于，所述系统识别包括以下步骤：

A1，扫描引擎内部包含了3382多已知系统的指纹特征，在文件osscan-os-db文件中，将此指纹数据库作为进行指纹对比的样本库；

A2，分别挑选一个open和closed的端口，向其发送经过精心设计的TCP/UDP/ICMP数据包，根据返回的数据包生成一份系统指纹；

A3，将探测生成的指纹与nmap-os-db中指纹进行对比，查找匹配的系统，如果无法匹配，以概率形式列举出可能的系统。