一種實現(xiàn)變電站資產(chǎn)識別和漏洞管理的便攜式裝置的制作方法

本發(fā)明涉及網(wǎng)絡安全，更具體地說，它涉及一種實現(xiàn)變電站資產(chǎn)識別和漏洞管理的便攜式裝置。

背景技術：

1、目前網(wǎng)絡安全空間呈現(xiàn)多元化和復雜化，對于網(wǎng)絡空間中安全漏洞引起的安全問題，針對系統(tǒng)漏洞進行掃描以防患于未然。傳統(tǒng)的漏洞掃描框架，在漏洞掃描的速度、準確度、漏洞識別、適用性和實用性方面存在一些局限性。近些年，端口掃描技術發(fā)展愈發(fā)成熟，涌現(xiàn)了一批優(yōu)秀的輕量級掃描引擎比如masscan。masscan號稱當時最快的漏洞掃描器，其可以在網(wǎng)絡帶寬環(huán)境和掃描主機系統(tǒng)配置都無限制的情況下實現(xiàn)幾分鐘掃描全網(wǎng)，算是一個非?？旆浅８咝实膾呙杵鳎秉c就是作為極速掃描器，masscan只能在端口掃描時具有非常出色的效率，在其他方面比如漏洞掃描方面需要進行功能拓展。

2、目前國內有許多專門從事安全技術的企業(yè)，比如360、綠盟、知道創(chuàng)宇等都在漏洞掃描方面做出了突出的貢獻。其中，知道創(chuàng)宇的zoomeye打造了世界上一流的網(wǎng)絡空間掃描引擎。其他的各個大中小企業(yè)也成立了一系列的網(wǎng)絡空間安全團隊來專門研究安全領域的各個難題。家喻戶曉的360安全在漏洞掃描方面也首屈一指，不過360更為熟悉的是單機掃描和數(shù)據(jù)收集，而不是這里重點所說的網(wǎng)絡主機掃描。

3、由于網(wǎng)絡規(guī)模大，復雜性高又具有多元化特點，網(wǎng)絡漏洞也隨網(wǎng)絡變得數(shù)目規(guī)模大、種類繁多、更具有隱蔽性等特點，新的問題不斷出現(xiàn)，新的技術也需要不斷更新。針對變電站等相對封閉的系統(tǒng)，當前的漏洞掃描系統(tǒng)普遍存在更新速度慢，掃描誤報率高，更新升級困難等問題。

技術實現(xiàn)思路

1、本發(fā)明的目的在于提供一種實現(xiàn)變電站資產(chǎn)識別和漏洞管理的便攜式裝置，能夠解決電力監(jiān)控系統(tǒng)網(wǎng)絡安全監(jiān)管規(guī)模日益增長，監(jiān)管難度增大的問題，以及電力監(jiān)控系統(tǒng)網(wǎng)絡安全檢查類目多、設備繁雜，現(xiàn)有的核查技術尚不成熟，信息系統(tǒng)和控制系統(tǒng)安全風險極高的問題；還解決了電力監(jiān)控系統(tǒng)網(wǎng)絡安全核查專業(yè)門檻高，核查規(guī)范性有待提升的問題。

2、本發(fā)明的上述技術目的是通過以下技術方案得以實現(xiàn)的：

3、本技術提供了一種實現(xiàn)變電站資產(chǎn)識別和漏洞管理的便攜式裝置，包括：

4、端口掃描模塊，用于用戶進行主機存活性探測，以及存活主機的開發(fā)端口探測；

5、資產(chǎn)識別引擎模塊，用于結合預置的資產(chǎn)指紋數(shù)據(jù)庫，對存活主機的開放服務進行識別，開放服務包括操作系統(tǒng)、數(shù)據(jù)庫和中間件；

6、漏洞掃描引擎模塊，包括漏洞檢測子模塊和漏洞驗證子模塊；漏洞檢測子模塊，用于將資產(chǎn)識別引擎模塊從目標主機中獲得的目標信息與預置的漏洞信息庫匹配，并得到目標信息的非精確漏洞信息；漏洞驗證子模塊，用于根據(jù)非精確漏洞信息中的漏洞范圍，在預置的插件庫中提取非精確漏洞信息對應的模擬攻擊插件，還用于對非精確漏洞信息進行驗證，并根據(jù)驗證結果判斷得到目標主機存在的精確漏洞信息。

7、本發(fā)明的有益效果是：本方案中，通過指紋提取、資產(chǎn)識別和漏洞掃描等相關技術的優(yōu)點，有效解決了變電站資產(chǎn)核查和漏洞管理的工作，該便攜式裝置不僅可以提升工作效率、實時響應漏洞核查和修補工作，同時能夠通過裝置賦能，使得該項工作的開展更具專業(yè)性、準確性，保障了電網(wǎng)的安全。

8、在上述技術方案的基礎上，本發(fā)明還可以做如下改進。

9、進一步，上述便攜式裝置還包括：

10、數(shù)據(jù)加密模塊，用于通過rsa非對稱加密算法對公鑰進行加密，還用于通過接收方使用相應的私鑰解密并獲得數(shù)據(jù)密鑰。

11、進一步，上述資產(chǎn)指紋數(shù)據(jù)庫通過以下方式建立：基于預設的通用指紋庫，通過自動化的指紋采集工具，并依托特定變電站建立智能變電站的資產(chǎn)指紋數(shù)據(jù)庫，具體為：

12、通過區(qū)分特定變電站中不同類型的操作系統(tǒng)和不同類型的服務版本，利用特定變電站中網(wǎng)絡協(xié)議的特性構造特定數(shù)據(jù)包，通過特定數(shù)據(jù)包的分析得到特定數(shù)據(jù)包的關鍵信息，并基于關鍵信息建立資產(chǎn)指紋數(shù)據(jù)庫，關鍵信息包括序列號、確認號、窗口大小。

13、進一步，上述漏洞信息庫通過以下方式建立：基于預設的通用漏洞庫的，并疊加特定變電站特有的操作系統(tǒng)、數(shù)據(jù)庫和中間件的漏洞信息，建立針對資產(chǎn)的漏洞信息庫；其中，通用漏洞庫具體為：

14、從微軟安全響應中心獲取包含cve和kb關系的excel電子表格，利用微軟更新目錄或微軟支持資源，識別每個kb的后續(xù)補丁構建各個kb之間的累積關系，并將每個cve與其直接相關的kb進行映射，識別包含對應kb的所有后續(xù)補丁，以構建windows補丁與漏洞關聯(lián)鏈表；

15、漏洞信息庫具體為：構造通過利用網(wǎng)絡協(xié)議中的模糊處引出目標系統(tǒng)在處理網(wǎng)絡請求時特有行為的探測數(shù)據(jù)包，探測數(shù)據(jù)包包括tcp類型、udp類型和icmp類型；基于探測數(shù)據(jù)包和通用漏洞庫，疊加特定變電站特有的操作系統(tǒng)的漏洞信息，形成特定變電站的漏洞信息庫，操作系統(tǒng)包括達夢系統(tǒng)、凝思系統(tǒng)、麒麟系統(tǒng)。

16、進一步，上述對于各個數(shù)據(jù)庫和各個操作系統(tǒng)通過以下方式形成特定弱密碼庫：

17、各個數(shù)據(jù)庫的部分信息通過采用開源弱密碼爆破軟件的第一弱密碼庫，各個數(shù)據(jù)庫的另一部分信息通過腳本針對特定用戶群體的習慣生成第二弱密碼庫，第一弱密碼庫和第一弱密碼庫疊加形成特定弱密碼庫，特定弱密碼庫，用于為各個數(shù)據(jù)庫和各個操作系統(tǒng)提供遠程登錄、遠程連接的系統(tǒng)，以及為進行弱密碼掃描提供支撐。

18、進一步，上述用戶進行主機存活性探測，以及存活主機的開發(fā)端口探測通過基于tcp三次握手原理實現(xiàn)，具體為：

19、端口掃描模塊的端口掃描通過半連接tcp?syn掃描，并向目標系統(tǒng)發(fā)送探測數(shù)據(jù)包請求建立syn連接，若沒有收到syn/ack數(shù)據(jù)報文，且收到為rst數(shù)據(jù)報文，得到目標系統(tǒng)的該端口沒有打開的返回結果；若接收到syn/ack數(shù)據(jù)報文，得到目標系統(tǒng)的端口開放的返回結果，停止回復syn/ack數(shù)據(jù)報文，并發(fā)送rst數(shù)據(jù)報文終止此次連接請求。

20、進一步，上述對存活主機的開放服務進行識別是基于可編程模式的資產(chǎn)識別方法，具體為：

21、用戶根據(jù)生成的需求指令，編寫與需求指令對應且能夠根據(jù)資產(chǎn)的特征進行匹配和分類的識別腳本和識別模板。

22、進一步，上述端口掃描模塊在用于實現(xiàn)數(shù)據(jù)包組包、多線程并發(fā)、數(shù)據(jù)包發(fā)送和數(shù)據(jù)包返回數(shù)據(jù)解析時，其中：

23、數(shù)據(jù)包組包，用于利用半連接tcp?syn掃描構造特定類型的數(shù)據(jù)包，并向目標系統(tǒng)發(fā)送探測數(shù)據(jù)包請求建立syn連接，根據(jù)返回結果判斷目標系統(tǒng)的端口開放信息；

24、多線程并發(fā)，通過建立線程池并采用多線程方式并發(fā)掃描多個主機；

25、數(shù)據(jù)包返回數(shù)據(jù)解析，通過發(fā)送特定構造的數(shù)據(jù)包到目標主機，并通過對返回數(shù)據(jù)包進行解析，若沒有收到syn/ack數(shù)據(jù)報文，且收到為rst數(shù)據(jù)報文，得到目標系統(tǒng)的該端口沒有打開的返回結果；若接收到syn/ack數(shù)據(jù)報文，得到目標系統(tǒng)的端口開放的返回結果。

26、進一步，上述資產(chǎn)識別引擎模塊在用于實現(xiàn)開放服務資產(chǎn)及版本探測、操作系統(tǒng)資產(chǎn)及版本探測和web資產(chǎn)探測時，其中：

27、開放服務資產(chǎn)及版本探測，構造通過利用網(wǎng)絡協(xié)議中的模糊處引出目標系統(tǒng)在處理網(wǎng)絡請求時特有行為的探測數(shù)據(jù)包，探測數(shù)據(jù)包包括tcp類型、udp類型和icmp類型，并結合資產(chǎn)指紋數(shù)據(jù)庫對探測數(shù)據(jù)包的返回數(shù)據(jù)包進行分析，確定開放服務的資產(chǎn)及版本；

28、操作系統(tǒng)資產(chǎn)及版本探測，利用特定變電站中網(wǎng)絡協(xié)議的特性構造特定數(shù)據(jù)包，通過特定數(shù)據(jù)包的分析得到特定數(shù)據(jù)包的關鍵信息，并對關鍵信息進行分析實現(xiàn)操作系統(tǒng)的資產(chǎn)及版本探測，關鍵信息包括序列號、確認號、窗口大小、tcp標志位、icmp代碼和ttl值。

29、web資產(chǎn)探測，通過獲取服務組件特征，并利用預設web指紋庫對網(wǎng)站的類型及服務組件、版本信息進行識別；其中，非http協(xié)議為獲取端口的連接baner信息，http或https協(xié)議使用為網(wǎng)頁中關鍵詞、特性文件的md5值和返回報文信息的關鍵字匹配。

30、進一步，上述漏洞掃描引擎模塊在實現(xiàn)疑似匹配、漏洞驗證、弱密碼爆破和主機本地掃描時，其中：

31、疑似匹配，根據(jù)識別的資產(chǎn)類型，并結合資產(chǎn)指紋數(shù)據(jù)庫中的漏洞指紋進行資產(chǎn)漏洞的疑似匹配，并給出非精確漏洞信息；

32、漏洞驗證，根據(jù)非精確漏洞信息向目標主機發(fā)送對應的poc進行漏洞驗證，并給出相應資產(chǎn)上確認的漏洞信息；

33、弱密碼爆破，對存活主機的開放服務進行識別或對存在的遠程連接弱口令時，結合漏洞信息庫中的弱密碼字典進行資產(chǎn)弱密碼爆破，并給出匹配的弱密碼信息；

34、主機本地掃描，若主機存在遠程連接弱口令時，執(zhí)行遠程連接弱口令遠程登錄主機，并對相應主機進行本地漏洞掃描并提權相關漏洞信息。

35、與現(xiàn)有技術相比，本發(fā)明至少具有以下的有益效果：

36、在本技術中，裝置首先建立資產(chǎn)指紋庫和漏洞庫兩個基礎的數(shù)據(jù)庫，資產(chǎn)指紋庫依托現(xiàn)有公開的信息進行收集，按照操作系統(tǒng)、中間件、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、web系統(tǒng)等類型，針對不同類型的設備或系統(tǒng)，建立相應的庫表結構進行存儲和維護，同時，結合智能變電站設備的特點，通過自動化的指紋采集工具，依托試點變電站，增量疊加智能變電站資產(chǎn)指紋庫。遠端對指紋庫的管理維護，通過調用api接口的方式實現(xiàn)，為了保障系統(tǒng)的安全性并且能使用戶無狀態(tài)的授權訪問相關資源，api接口采用bearer?token模式簽權認證；漏洞庫由漏洞指紋信息、poc和弱密碼三個部分組成，其中漏洞指紋信息存儲相關系統(tǒng)或數(shù)據(jù)庫、中間件等各種版本曾經(jīng)出現(xiàn)過的漏洞信息。該部分內容可以通過爬蟲的方式，針對在線平臺進行信息采集；弱密碼數(shù)據(jù)庫的信息一部分可以采用開源弱密碼爆破軟件的弱密碼庫，另一部分可以通過腳本針對特定用戶群體的習慣，自動生成，兩部分數(shù)據(jù)疊加在一起構成弱密碼庫信息；poc驗證插件庫針對資產(chǎn)掃描階段已經(jīng)確定的資產(chǎn)，通過漏洞指紋庫可以確定該資產(chǎn)疑似存在的漏洞的情況，為了進一步確認該資產(chǎn)是否真實存在這些疑似漏洞。

37、在本技術中，通過發(fā)送icmp報文確認在線存活主機，并形成存活主機列表。裝置配合線程池等多線程技術，突破傳統(tǒng)的tcp/ip協(xié)議棧對同一時刻連接數(shù)量上限的限制，采用syn半連接方式進行開放端口探測掃描。從自身指定端口向目標指定端口發(fā)送tcp?syn連接建立請求數(shù)據(jù)包，等待對方返回響應數(shù)據(jù)包。如果syn位和ack位在響應數(shù)據(jù)包中有所設置，則證明目標端口是打開的；如果所收到的答復數(shù)據(jù)包是rst連接重置數(shù)據(jù)包，則證明另一方的端口處于非活動狀態(tài)。也就是說使用這種方法只要完成建立連接的有效部分就可以完成端口掃描，相較于傳統(tǒng)的全連接掃描極大提高了掃描的速度。

38、在本技術中，在開放端口掃描的基礎上，針對已經(jīng)開放的端口，裝置針對操作系統(tǒng)、數(shù)據(jù)庫、中間件和web系統(tǒng)等采用指紋特征匹配和基于機器學習的特征匹配兩種方式進行資產(chǎn)及版本探測，用于確定目標主機開放端口上運行的具體的應用程序及版本信息，完成網(wǎng)絡資產(chǎn)掃描與識別，形成特定網(wǎng)絡的ip、port、中間件、數(shù)據(jù)庫以及操作系統(tǒng)等指紋信息，基于這些信息，漏洞掃描引擎分為兩個子模塊，分別為漏洞檢測子模塊和漏洞驗證子模塊。其中漏洞檢測子模塊的功能是將前面初始信息收集模塊收集的信息進行提取，主要為操作系統(tǒng)探測子模塊和端口服務確認子模塊收集的信息，將獲得的信息與漏洞庫中的漏洞信息進行特征匹配，獲得目標主機所含有漏洞的大致范圍；漏洞驗證子模塊的功能就是根據(jù)漏洞檢測子模塊分析出的漏洞范圍，去插件庫中提取漏洞相對應的模擬攻擊插件，然后對目標主機的可能漏洞進行驗證，根據(jù)驗證的結果，判斷出目標主機是否存在這個漏洞。

39、在本技術中，變電站資產(chǎn)識別和漏洞管理便攜式裝置將網(wǎng)絡資產(chǎn)識別功能與資產(chǎn)漏洞檢測通過該技術方案形成一個有機的整體，二者之間不再獨立，而是在檢測算法的作用下相互聯(lián)動，整個過程不需要網(wǎng)絡管理人員參與。通過該裝置能夠精確對變電站的資產(chǎn)進行核查，對漏洞就行驗證，并能以插件化的方式對持續(xù)更新的漏洞就行驗證與修補，解決了以往開展此項工作耗時耗力的問題。同時，相應的斌電站數(shù)據(jù)能夠在統(tǒng)一的管控系統(tǒng)上進行呈現(xiàn)，便于省公司一級單位全面掌握變電的安全狀況。同時，創(chuàng)新了工作思路和方法，提出的以裝置賦能變電站工作人員能力的思路，不但提升了工作效率，節(jié)約了人力、物力成本，也使得變電站在開展此項工作的時更具專業(yè)性。