阅读说明：本技术 漏洞的联动扫描方法 (Linkage scanning method for loopholes ) 是由 刘亚轩 何建锋 陈宏伟 于 2020-12-03 设计创作，主要内容包括：本发明公开一种漏洞的联动扫描方法,提供一种信息互通机制,通过预设的可靠认证措施,保证联动设备的可信任,当非漏扫设备发现安全事件需要进一步进行漏扫以发现潜在威胁时,能够向漏扫设备发起请求,并且漏扫设备将相应的扫描结果返回给请求设备,以便采取适当的动作。同时对于扫描结果上报防火墙等串联设备,进行相应的阻断或丢弃处理措施,有利于更深更广的对网络的系统保护。(The invention discloses a linkage scanning method of a vulnerability, and provides an information intercommunication mechanism, which ensures the credibility of linkage equipment through preset reliable authentication measures, can initiate a request to the missed scanning equipment when the non-missed scanning equipment finds that a security event needs to be further missed scanned to find a potential threat, and returns a corresponding scanning result to the request equipment by the missed scanning equipment so as to take proper action. Meanwhile, corresponding blocking or discarding treatment measures are carried out on the scanning result reporting firewall and other series devices, so that deeper and wider system protection on the network is facilitated.)

漏洞的联动扫描方法

技术领域

本发明属于网络安全技术领域，尤其是涉及一种安全漏洞的联动扫描实现方法。

背景技术

信息化与互联网的开放性与互连性，使得企业和组织内部网络与主机极易成为攻击目标或载体，因此内部计算机网络安全的重要性原来越需要被重视。而随着通信与网络技术的发展，一些区别于传统防火墙等安全设备的专门设备应运而生，如入侵检测系统、入侵防御系统、信息审计系统、漏洞扫描系统等，它们以各自的职能分工分别承担不同的安全防护工作。但是现有技术下，这些设备是并联的接入网络，虽然能及时发现网络中的威胁因素，但是无法做出有效的阻断或隔离措施，仍然需要防火墙或网关等串联设备来进行。由于各种设备的信息资源共享的局限性，目前的各个设备之间尚缺乏有效的联动方案，难以实现高度协同工作仍然是亟待解决的技术问题。例如如何实现非漏扫设备在发生安全事件后联动漏扫设备发起漏洞扫描，以及联动串联设备实现及时的威胁阻断就是现实中面临的常见问题之一。

发明内容

鉴于上述背景，本发明旨在提出一种漏扫联动方法，当非漏扫设备发现安全事件后，通过有效的联动措施，请求漏扫设备进行漏洞扫描并由防火墙等串联设备实现及时子网或主机阻断和隔离。

本发明的具体技术方案是：

漏洞的联动扫描方法，包括：监听来自非漏扫设备的扫描请求；若设备认证通过，接收扫描请求中的联动报文，根据报文内容创建并启动相应的扫描任务，对所述扫描请求指定的目标执行漏洞扫描；将所述扫描任务的扫描结果返回至所述请求设备，并根据扫描结果执行对应的处置动作。

所述非漏扫设备的认证过程包括：

设备接入网络并完成配置后，向信任列表上报设备IP与第一字符串，并在本地保存第一字符串；

非漏扫设备发起扫描请求的同时，向漏扫设备发送自身IP，漏扫设备收到非漏扫设备IP后向非漏扫设备返回第二字符串；

非漏扫设备对第一字符串与第二字符串进行加密生成第一密钥，并发送至漏扫设备；

漏扫设备根据非漏扫设备IP查询信任列表获取对应的第一字符串，对第一字符串与第二字符串进行加密生成第二密钥；对比第一密钥与第二密钥，若一致则认证通过，否则认证不通过。

所述第一字符串为设备上报IP时的时间戳，第二字符串为漏扫设备接收到非漏扫设备IP时的时间戳。

所述设备重新配置后，重新更新设备IP并重新生成对应的第一字符串。

所述认证通过的非漏扫设备，在预设的时间段内，对其发起的扫描请求不再进行认证。

上述的联动扫描方法，还包括将扫描任务的扫描结果上报至防火墙或网关设备，以及根据扫描结果，判断是否对扫描目标执行数据阻断或子网隔离；

将所述扫描任务分发至当前可用资源最多的扫描引擎，若存在至少两个可用资源最多的扫描引擎则将随机选择一个扫描引擎。

执行扫描任务之前，包括通过ping机制判断扫描目标是否在线，将在线目标加入扫描队列进行漏洞扫描，对不在线目标继续定时进行是否在线判断。

采用上述技术方案，本发明具有以下有益效果：提供一种信息互通机制，通过预设的可靠认证措施，保证联动设备的可信任，当非漏扫设备发现安全事件需要进一步进行漏扫以发现潜在威胁时，能够向漏扫设备发起请求，并且漏扫设备将相应的扫描结果返回给请求设备，以便采取适当的动作。同时对于扫描结果上报防火墙等串联设备，进行相应的阻断或丢弃处理措施，有利于更深更广的对网络的系统保护。

附图说明

图1为本发明的漏洞的联动扫描方法实施例，工作流程示意图；

图2为本发明的漏洞联动扫描方法实施例中，漏扫设备对非漏扫设备的认证过程示意图。

具体实施方式

下面结合附图与实施例，对本发明实现技术目的的具体技术方案进行详细说明。

如图1所示，漏洞的联动扫描方法，包括：监听来自非漏扫设备的扫描请求；若设备认证通过，接收扫描请求中的联动报文，根据报文内容创建并启动相应的扫描任务，对所述扫描请求指定的目标执行漏洞扫描；将所述扫描任务的扫描结果返回至所述请求设备，并根据扫描结果执行对应的处置动作。

所述认证通过的非漏扫设备，在预设的时间段内，对其发起的扫描请求不再进行认证。

上述的联动扫描方法，还包括将扫描任务的扫描结果上报至防火墙或网关设备，以及根据扫描结果，判断是否对扫描目标执行数据阻断或子网隔离；

将所述扫描任务分发至当前可用资源最多的扫描引擎，若存在至少两个可用资源最多的扫描引擎则将随机选择一个扫描引擎。

执行扫描任务之前，包括通过ping机制判断扫描目标是否在线，将在线目标加入扫描队列进行漏洞扫描，对不在线目标继续定时进行是否在线判断。

上述的联动报文内容，至少包括请求的参数列表，扫描目标IP，扫描类型等。漏扫设备根据报文内容创建相应的扫描任务，对指定的扫描目标执行漏洞扫描。

如图2所示，漏扫设备对非漏扫设备的认证过程包括：

设备接入网络并完成配置后，向信任列表上报设备IP与第一时间戳，并在本地保存第一时间戳；所述的信任列表可以是位于服务器设备。

非漏扫设备发起扫描请求的同时，向漏扫设备发送自身IP，漏扫设备收到非漏扫设备IP后向非漏扫设备返回第二时间戳。

非漏扫设备对第一时间戳与第二时间戳进行MD5加密生成第一密钥，并发送至漏扫设备。

漏扫设备根据非漏扫设备IP查询信任列表获取对应的第一时间戳，对第一时间戳与第二字符串进行MD5加密生成第二密钥；对比第一密钥与第二密钥，若一致则认证通过，否则认证不通过。

所述设备重新配置后，重新更新设备IP并重新生成对应的第一时间戳。

所述第一时间戳为设备上报IP时的时间戳，第二时间戳为漏扫设备接收到非漏扫设备IP时的时间戳。

上述的认证过程，第一密钥是由非漏扫设备生成，第二密钥是由漏扫设备根据可信任列表获取信息生成，两个密钥的数据来源为相互独立，有利于保证认证的有效性。

本发明的技术方案，提供一种信息互通机制，通过预设的可靠认证措施，保证联动设备的可信任，当非漏扫设备发现安全事件需要进一步进行漏扫以发现潜在威胁时，能够向漏扫设备发起请求，并且漏扫设备将相应的扫描结果返回给请求设备，以便采取适当的动作。同时对于扫描结果上报防火墙等串联设备，进行相应的阻断或丢弃处理措施，有利于更深更广的对网络的系统保护。