[发明专利]一种融合主动与被动的脆弱性扫描方法

说明书

本发明公开了一种融合主动与被动的脆弱性扫描方法，通过主动扫描的方法得到各种主机的服务版本与相应的系统信息；通过被动扫描对网络流量进行分析以判断各主机的服务版本与相应的系统信息；以算法对这两种扫描的结果进行融合；根据版本与系统的信息以判断相应主机的漏洞信息；通过主动扫描的方法得到各种主机的服务版本与相应的系统信息，通过被动扫描对网络流量进行分析以判断各主机的服务版本与相应的系统信息，然后以一定的算法对这两种扫描的结果进行融合，然后根据版本与系统的信息以判断相应主机的漏洞信息，这种方法解决了目前市面上流行的产品在很多场景扫描能力不足的问题，同时也解决了单纯被动扫描有大量漏报，一定程度误报的问题。

技术领域

本发明属于网络安全技术领域，具体涉及一种融合主动与被动的脆弱性扫描方法。

背景技术

脆弱性扫描在计算机网络及物联网安全整体防御体系中处于事前的位置，有着相当重要的地位。脆弱性扫描分为主动扫描与被动扫描。

主动扫描的方法是由扫描器发送一系列的包，按照一定的策略，通过版本匹配或者回应包内容的分析或者回应包的状态来判别是否有某某漏洞；主动扫描方法是目前的主流方法。

但主动扫描的方法在以下的一些场景中存在一定的缺陷：大型局域网的子网因为网络部署不可达、被扫描环境如工控环境或者网络比较脆弱、被扫描网络相当复杂(如混合IPV6与IPV4网、如混合工控生产层与办公层的网络等)、被扫描的网络有防护等；在这样的场景中要么是主动扫描的方法造成系统崩溃，要么就是扫描时间无限长，要么是扫描结果不正确或者没有什么结果。

被动扫描的方法就是把扫描器部署在扫描目标网络的入口处，通过对网络流入流出的包进行分析，从而得到该网络中各主机的相关信息，进而通过各种匹配以得到该主机的相关漏洞，目前通常的做法是判断主机的ID或者操作系统信息，这种方法应用在某些专利与论文里；该种方法确实实现简单，并且也能扫描到漏洞，但是会有很大的误报。

被动扫描方法主要是通过对网络流量进行分析以判断各主机的服务版本号，然后根据版本号的信息以判断相应主机的漏洞信息；但是被动扫描的方法由于采用指纹的简单或者网络中的某些资产不活跃而存在大量误报与漏报的可能。

发明内容

本发明的目的在于提供一种融合主动与被动的脆弱性扫描方法，以解决上述背景技术中提出的主动扫描的方法存在着扫描时间无限长，扫描结果不正确或者没有什么结果问题；被动扫描的方法由于采用指纹的简单或者网络中的某些资产不活跃而存在大量误报与漏报的可能。

为实现上述目的，本发明提供如下技术方案：一种融合主动与被动的脆弱性扫描方法，方法如下：

步骤一：通过主动扫描的方法得到各种主机的服务版本与相应的系统信息；

步骤二：通过被动扫描对网络流量进行分析以判断各主机的服务版本与相应的系统信息；

步骤三：以算法对这两种扫描的结果进行融合；

步骤四：根据版本与系统的信息以判断相应主机的漏洞信息。

作为本发明的一种优选的技术方案，总体结构包括扫描中心和分析中心。

作为本发明的一种优选的技术方案，所述扫描中心包括主动扫描子系统、被动扫描子系统；所述分析中心包括资产整合子系统、漏洞匹配子系统。

作为本发明的一种优选的技术方案，所述被动扫描子系统由捕包模块、协议解析模块、服务指纹库模块、服务检测模块、发送模块、漏洞检测模块构成。

作为本发明的一种优选的技术方案，服务检测模块以多个进程或者线程进行检测。

作为本发明的一种优选的技术方案，还包括预处理模块，该模块用于对信息进行过滤，去除冗余的信息。

与现有技术相比，本发明的有益效果是：