本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種自動化內(nèi)網(wǎng)安全脆弱分析系統(tǒng)。

背景技術(shù)：

隨著計算機行業(yè)越來越發(fā)達，關(guān)注計算機系統(tǒng)安全的人員越來越多，漏洞的發(fā)布量也與日俱增?，F(xiàn)代大型企業(yè)中業(yè)務(wù)系統(tǒng)和數(shù)據(jù)安全越來越受到關(guān)注，企業(yè)投入大量的精力組建安全團隊，希望提高內(nèi)網(wǎng)安全強度，及時發(fā)現(xiàn)內(nèi)網(wǎng)安全威脅和解決威脅，減少系統(tǒng)缺陷有企業(yè)帶來損失。傳統(tǒng)的漏洞掃描工具得到的掃描風險結(jié)果報表最終分析結(jié)果不通俗，只有有一定的安全經(jīng)驗的安全專業(yè)人員才能看懂，企業(yè)弄不明白這些風險到底對企業(yè)有何影響，以及如何處理風險。

技術(shù)實現(xiàn)要素：

本發(fā)明旨在解決現(xiàn)有技術(shù)的不足，而提供一種自動化內(nèi)網(wǎng)安全脆弱分析系統(tǒng)。

本發(fā)明為實現(xiàn)上述目的，采用以下技術(shù)方案：一種自動化內(nèi)網(wǎng)安全脆弱分析系統(tǒng)，其特征在于，包括互相連接的資產(chǎn)探測模塊、漏洞威脅探測模塊、集成管理平臺模塊、數(shù)據(jù)存儲模塊、分布式消息通信模塊和分布式任務(wù)調(diào)度管理模塊，

(1)資產(chǎn)探測模塊

所述資產(chǎn)探測模塊包括有主機探測組件、操作系統(tǒng)識別組件、端口服務(wù)識別組件，主動探測網(wǎng)絡(luò)中存活的設(shè)備，發(fā)現(xiàn)該設(shè)備的操作系統(tǒng)，開放端口以及端口對應(yīng)的服務(wù)；

所述主機探測組件設(shè)有多個主機探測引擎，可以獲取主機所在的網(wǎng)絡(luò)位置，探測主機是否存活，收集該主機主機名信息；

所述操作系統(tǒng)識別組件采用操作系統(tǒng)指紋對比技術(shù)，可以識別操作系統(tǒng)類型；

所述端口服務(wù)識別組件收集端口信息，可以識別對應(yīng)開放端口的服務(wù)信息，為后續(xù)的漏洞威脅探測模塊提供數(shù)據(jù)支持；

(2)漏洞威脅探測模塊

所述漏洞威脅探測模塊包括漏洞庫組件、服務(wù)脆弱性探測組件、漏洞威脅探測組件，可以發(fā)現(xiàn)內(nèi)網(wǎng)設(shè)備上運行的服務(wù)存在的漏洞，進行服務(wù)脆弱性分析，

所述漏洞庫組件由大量驗證的漏洞驗證腳本組成，可以提供全面的服務(wù)漏洞檢測服務(wù)；

所述服務(wù)脆弱性探測組件通過對提供口令輸入的目標服務(wù)進行弱口令猜解和越權(quán)訪問的探測，對服務(wù)進行脆弱性分析；

所述漏洞威脅探測組件通過對服務(wù)進行特定的信息收集，針對不同服務(wù)的特定版本進行定向的漏洞檢測，可以驗證該服務(wù)是否存在漏洞；

(3)集成管理平臺模塊

所述集成管理平臺模塊包括平臺管理組件、數(shù)據(jù)傳輸組件和報告引擎組件，可以向用戶提供直接的界面展示和管理功能，

所述平臺管理組件能夠管理平臺的web界面展示、資產(chǎn)管理和漏洞威脅感知，所述平臺管理組件設(shè)有平臺內(nèi)數(shù)據(jù)對外展示的統(tǒng)一出口；

所述數(shù)據(jù)傳輸組件對分布式漏洞探測服務(wù)中回傳的數(shù)據(jù)進行格式化，將形式各異的數(shù)據(jù)進行統(tǒng)一的格式化然后存入數(shù)據(jù)庫中，

所述報告引擎組件通過對數(shù)據(jù)進行統(tǒng)計和整理，形成報告信息，對報告數(shù)據(jù)匯總和報告格式進行統(tǒng)一定義，同時將報告導出時的文件格式進行轉(zhuǎn)換；

(4)數(shù)據(jù)存儲模塊

所述數(shù)據(jù)存儲模塊將格式化的數(shù)據(jù)統(tǒng)一保存到mysql數(shù)據(jù)庫中，通過mongodb和elasticsearch為系統(tǒng)的日志和漏洞關(guān)聯(lián)信息的存儲提供了查詢服務(wù)；

(5)分布式消息通信模塊

所述分布式消息通信模塊使用redis作為分布式消息通信模塊的共享內(nèi)存，以共享內(nèi)存模式為基礎(chǔ)來實現(xiàn)分布式系統(tǒng)協(xié)調(diào)技術(shù)，所述分布式消息通信模塊能夠：①保證消息的傳遞：發(fā)送消息時接收者不可用，消息隊列會保留消息，直到成功地傳遞它；②提供異步的通信協(xié)議：消息的發(fā)送者將消息發(fā)送到消息隊列后可以立即返回，不用等待接收者的響應(yīng)，消息會被保存在隊列中，直到接收者取出它；③系統(tǒng)模塊解耦：只要消息格式不變，即使接收者的接口、位置、或者配置改變，也不會給發(fā)送者帶來任何改變；④提供路由：發(fā)送者無需與接收者建立連接，雙方通過消息隊列保證消息能夠從發(fā)送者路由到接收者，對于本來相互網(wǎng)絡(luò)不通的兩個服務(wù)，也可以提供消息路由；

(6)分布式任務(wù)調(diào)度管理模塊

所述分布式任務(wù)調(diào)度管理模塊中job可部署多臺，但任務(wù)調(diào)度時，只有一臺參執(zhí)行，如果一臺下線，clover選擇其他已在任務(wù)中心注冊job來執(zhí)行；能夠管理監(jiān)控程序，相關(guān)負責人的job不可用會發(fā)送郵件通知；能夠提供管理后臺，可手動停止任務(wù)，設(shè)置任務(wù)執(zhí)行頻率、恢復策略，人工干預指定哪些job來工作，可查看任務(wù)執(zhí)行進度、任務(wù)執(zhí)行失敗時會收到報警并記錄日志；支持災難重現(xiàn)，server端不可用，但client端注冊job信息會存儲到臨時db中，當server重啟后立即去讀臨時db并執(zhí)行相應(yīng)job；job支持local、remote模式以及add、update、delete操作；管理后臺可以創(chuàng)建、修改、刪除job。

特別的，所述分布式消息通信模塊中，所述分布式消息通信模塊提供的路由功能支持并發(fā)模式和順序模式；所述順序模式為：消息接收后，在消息接收者來主動刪除這條消息之前，隊列中的其他消息不可被接收，這樣保證應(yīng)用在一個任務(wù)完成后再處理下一個任務(wù)，提供了強順序性；所述并發(fā)模式為：消息被接收后，消息接收者主動刪除前，隊列的下一個消息仍可被其他應(yīng)用接收，且可以一直并發(fā)獲取下一個沒有被接收的消息。

本發(fā)明的有益效果是：本發(fā)明提供的自動化內(nèi)網(wǎng)安全脆弱分析系統(tǒng)，能夠自動對內(nèi)網(wǎng)中的資產(chǎn)進行收集整理，同時根據(jù)這些資源是否存在可以被利用的脆弱點進行分析，發(fā)現(xiàn)該網(wǎng)絡(luò)中存在的風險點。將發(fā)現(xiàn)的資產(chǎn)脆弱性進行整理形成可視化的報告提供給運維人員，通過該報告可以快速了解內(nèi)網(wǎng)中的資產(chǎn)安全狀況。

具體實施方式

下面結(jié)合實施例對本發(fā)明作進一步說明：

一種自動化內(nèi)網(wǎng)安全脆弱分析系統(tǒng)，包括互相連接的資產(chǎn)探測模塊、漏洞威脅探測模塊、集成管理平臺模塊、數(shù)據(jù)存儲模塊、分布式消息通信模塊和分布式任務(wù)調(diào)度管理模塊，

(1)資產(chǎn)探測模塊

所述資產(chǎn)探測模塊包括有主機探測組件、操作系統(tǒng)識別組件、端口服務(wù)識別組件，主動探測網(wǎng)絡(luò)中存活的設(shè)備，發(fā)現(xiàn)該設(shè)備的操作系統(tǒng)，開放端口以及端口對應(yīng)的服務(wù)；

所述主機探測組件設(shè)有多個主機探測引擎，可以獲取主機所在的網(wǎng)絡(luò)位置，探測主機是否存活，收集該主機主機名信息；

所述操作系統(tǒng)識別組件采用操作系統(tǒng)指紋對比技術(shù)，可以識別操作系統(tǒng)類型；

所述端口服務(wù)識別組件收集端口信息，可以識別對應(yīng)開放端口的服務(wù)信息，為后續(xù)的漏洞威脅探測模塊提供數(shù)據(jù)支持；

(2)漏洞威脅探測模塊

所述漏洞威脅探測模塊包括漏洞庫組件、服務(wù)脆弱性探測組件、漏洞威脅探測組件，可以發(fā)現(xiàn)內(nèi)網(wǎng)設(shè)備上運行的服務(wù)存在的漏洞，進行服務(wù)脆弱性分析，

所述漏洞庫組件由大量驗證的漏洞驗證腳本組成，可以提供全面的服務(wù)漏洞檢測服務(wù)；

所述服務(wù)脆弱性探測組件通過對提供口令輸入的目標服務(wù)進行弱口令猜解和越權(quán)訪問的探測，對服務(wù)進行脆弱性分析；

所述漏洞威脅探測組件通過對服務(wù)進行特定的信息收集，針對不同服務(wù)的特定版本進行定向的漏洞檢測，可以驗證該服務(wù)是否存在漏洞；

(3)集成管理平臺模塊

所述集成管理平臺模塊包括平臺管理組件、數(shù)據(jù)傳輸組件和報告引擎組件，可以向用戶提供直接的界面展示和管理功能，

所述平臺管理組件能夠管理平臺的web界面展示、資產(chǎn)管理和漏洞威脅感知，所述平臺管理組件設(shè)有平臺內(nèi)數(shù)據(jù)對外展示的統(tǒng)一出口；

所述數(shù)據(jù)傳輸組件對分布式漏洞探測服務(wù)中回傳的數(shù)據(jù)進行格式化，將形式各異的數(shù)據(jù)進行統(tǒng)一的格式化然后存入數(shù)據(jù)庫中，

所述報告引擎組件通過對數(shù)據(jù)進行統(tǒng)計和整理，形成報告信息，對報告數(shù)據(jù)匯總和報告格式進行統(tǒng)一定義，同時將報告導出時的文件格式進行轉(zhuǎn)換；

(4)數(shù)據(jù)存儲模塊

所述數(shù)據(jù)存儲模塊將格式化的數(shù)據(jù)統(tǒng)一保存到mysql數(shù)據(jù)庫中，通過mongodb和elasticsearch為系統(tǒng)的日志和漏洞關(guān)聯(lián)信息的存儲提供了查詢服務(wù)；

(5)分布式消息通信模塊

所述分布式消息通信模塊使用redis作為分布式消息通信模塊的共享內(nèi)存，以共享內(nèi)存模式為基礎(chǔ)來實現(xiàn)分布式系統(tǒng)協(xié)調(diào)技術(shù)，所述分布式消息通信模塊能夠：①保證消息的傳遞：發(fā)送消息時接收者不可用，消息隊列會保留消息，直到成功地傳遞它；②提供異步的通信協(xié)議：消息的發(fā)送者將消息發(fā)送到消息隊列后可以立即返回，不用等待接收者的響應(yīng)，消息會被保存在隊列中，直到接收者取出它；③系統(tǒng)模塊解耦：只要消息格式不變，即使接收者的接口、位置、或者配置改變，也不會給發(fā)送者帶來任何改變；④提供路由：發(fā)送者無需與接收者建立連接，雙方通過消息隊列保證消息能夠從發(fā)送者路由到接收者，對于本來相互網(wǎng)絡(luò)不通的兩個服務(wù)，也可以提供消息路由；

(6)分布式任務(wù)調(diào)度管理模塊

所述分布式任務(wù)調(diào)度管理模塊中job可部署多臺，但任務(wù)調(diào)度時，只有一臺參執(zhí)行，如果一臺下線，clover選擇其他已在任務(wù)中心注冊job來執(zhí)行；能夠管理監(jiān)控程序，相關(guān)負責人的job不可用會發(fā)送郵件通知；能夠提供管理后臺，可手動停止任務(wù)，設(shè)置任務(wù)執(zhí)行頻率、恢復策略，人工干預指定哪些job來工作，可查看任務(wù)執(zhí)行進度、任務(wù)執(zhí)行失敗時會收到報警并記錄日志；支持災難重現(xiàn)，server端不可用，但client端注冊job信息會存儲到臨時db中，當server重啟后立即去讀臨時db并執(zhí)行相應(yīng)job；job支持local、remote模式以及add、update、delete操作；管理后臺可以創(chuàng)建、修改、刪除job。

特別的，所述分布式消息通信模塊中，所述分布式消息通信模塊提供的路由功能支持并發(fā)模式和順序模式；所述順序模式為：消息接收后，在消息接收者來主動刪除這條消息之前，隊列中的其他消息不可被接收，這樣保證應(yīng)用在一個任務(wù)完成后再處理下一個任務(wù)，提供了強順序性；所述并發(fā)模式為：消息被接收后，消息接收者主動刪除前，隊列的下一個消息仍可被其他應(yīng)用接收，且可以一直并發(fā)獲取下一個沒有被接收的消息。

上面對本發(fā)明進行了示例性描述，顯然本發(fā)明具體實現(xiàn)并不受上述方式的限制，只要采用了本發(fā)明的方法構(gòu)思和技術(shù)方案進行的各種改進，或未經(jīng)改進直接應(yīng)用于其它場合的，均在本發(fā)明的保護范圍之內(nèi)。