一种安全漏洞扫描系统及方法、终端、存储介质与流程

1.本技术涉及信息安全技术领域，特别涉及一种安全漏洞扫描系统及方法、终端、存储介质。


背景技术：

2.目前，漏洞扫描服务通常是由专业的信息安全服务人员，定期将漏洞扫描设备带到客户现场提供安全漏扫服务，安全漏扫设备如附图1所示。但是，此种形式有以下几个弊端：
3.(1)漏扫设备体积大且一般客户现场需要设置多个漏扫点进行扫描，服务对象一般为许多客户，携带操作非常不方便，人力成本高。
4.(2)每次漏扫产生漏扫数据存在设备本地，无法及时处理数据，分析信息系统的漏洞安全情况，及时生成报告，通知客户。
5.(3)没有统一数据管理平台，对客户的信息系统的每次漏扫情况进行收集，对客户的漏洞安全状况进行管理。
6.(4)每次漏扫结束后，无法对信息系统漏洞情况进行持续监控，以便客户查看的信息安全状况。


技术实现要素：

7.本技术实施例提供了一种安全漏洞扫描系统及方法、终端、存储介质，可以实现自动化远程漏洞扫描，最大程度减少人工参与，且系统各模块相对独立，稳定性强且资源利用率高；可以及时向客户终端进行反馈，帮助客户及时了解设备安全情况。
8.一方面，本技术实施例提供了一种安全漏洞扫描系统，包括：
9.收发模块，用于接收终端发送的漏洞扫描请求；漏洞扫描请求包括待扫描设备的标识和扫描任务信息；
10.监控模块，用于对扫描器集群的状态进行监控，根据扫描器集群中每个扫描器的状态确定对应的负载值；
11.任务管理模块，用于根据扫描任务总量和每个扫描器的负载值，从扫描器集群中确定目标扫描器，向目标扫描器分配扫描任务；对目标扫描器中的多个扫描任务进行优先级排序。
12.可选的，扫描任务信息包括扫描任务的标识；安全漏洞扫描系统还包括：
13.数据处理模块，用于获取目标扫描器在执行扫描任务后产生的扫描数据，对扫描数据进行分析处理，得到扫描结果；
14.收发模块，用于向终端发送扫描任务的标识对应的扫描结果。
15.可选的，扫描任务信息还包括扫描任务的扫描对象；
16.数据处理模块，还用于将扫描数据按照不同的扫描对象进行分类并存储于对应的漏洞库。
17.可选的，当扫描任务的扫描对象为网站，扫描任务信息包括多个扫描任务对应的多个目标网站地址时，任务管理模块，还用于：
18.若多个扫描任务对应的扫描任务量超过单个扫描器的最大负载值时，从扫描器集群中确定多个目标扫描器，将多个扫描任务分配至多个目标扫描器。
19.可选的，扫描任务信息包括扫描任务的截止时间信息和等级信息；
20.任务管理模块，还用于根据多个扫描任务中每个扫描任务对应的截止时间信息和等级信息，对多个扫描任务进行排序。
21.可选的，每个扫描器的状态包括资源使用状态、网络吞吐量和扫描任务执行状态中的至少一种。
22.可选的，收发模块，还用于将漏洞扫描请求对应的扫描任务状态信息发送至终端；扫描任务状态信息包括已执行任务信息、待执行任务信息和未执行任务信息中的至少一种。
23.另一方面，本技术实施例提供了一种安全漏洞扫描方法，包括：
24.接收终端发送的漏洞扫描请求；漏洞扫描请求包括待扫描设备的标识和扫描任务信息；
25.对扫描器集群的状态进行监控，根据扫描器集群中每个扫描器的状态确定对应的负载值；
26.根据扫描任务总量和每个扫描器的负载值，从扫描器集群中确定目标扫描器，向目标扫描器分配扫描任务；对目标扫描器中的多个扫描任务进行优先级排序。
27.另一方面，本技术实施例提供了一种终端，包括：
28.发送模块，用于向安全漏洞扫描系统发送漏洞扫描请求；漏洞扫描请求包括待扫描设备的标识和扫描任务信息；漏洞扫描请求用于指示安全漏洞扫描系统对扫描器集群的状态进行监控，根据扫描器集群中每个扫描器的状态确定对应的负载值，按照预设频率根据扫描任务总量和每个扫描器的负载值，从扫描器集群中确定目标扫描器，向目标扫描器分配扫描任务，对目标扫描器中的多个扫描任务进行优先级排序；
29.接收模块，用于接收安全漏洞扫描系统发送的扫描结果。
30.另一方面，本技术实施例提供了一种计算机存储介质，存储介质中存储有至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现上述的安全漏洞扫描方法。
31.本技术实施例提供的一种安全漏洞扫描系统及方法、终端、存储介质具有如下有益效果：
32.安全漏洞扫描系统包括：收发模块，用于接收终端发送的漏洞扫描请求；漏洞扫描请求包括待扫描设备的标识和扫描任务信息；监控模块，用于对扫描器集群的状态进行监控，根据扫描器集群中每个扫描器的状态确定对应的负载值；任务管理模块，用于根据扫描任务总量和每个扫描器的负载值，从扫描器集群中确定目标扫描器，向目标扫描器分配扫描任务；对目标扫描器中的多个扫描任务进行优先级排序。本技术实施例提供的一种安全漏洞扫描系统，可以实现自动化远程漏洞扫描，最大程度减少人工参与，且系统各模块相对独立，稳定性强且资源利用率高；可以及时向客户终端进行反馈，帮助客户及时了解设备安全情况。
附图说明
33.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
34.图1是本技术实施例提供的一种现有的安全漏扫设备的示意图；
35.图2是本技术实施例提供的一种应用场景的示意图；
36.图3是本技术实施例提供的一种安全漏洞扫描系统的结构示意图；
37.图4是本技术实施例提供的一种安全漏洞扫描方法的流程示意图。
具体实施方式
38.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
39.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
40.请参阅图2，图2是本技术实施例提供的一种应用场景的示意图，包括部署于云端的安全漏洞扫描系统201、终端202和待扫描设备203；安全漏洞扫描系统201与终端202连接，安全漏洞扫描系统201接收终端202发送的漏洞扫描请求，漏洞扫描请求包括终端202所请求扫描的设备203的标识，安全漏洞扫描系统201根据该标识与待扫描设备203进行连接，以进行对待扫描设备203上的扫描对象的安全漏洞扫描。
41.可选的，终端202可以包括但不限于智能手机、台式计算机、平板电脑、笔记本电脑、智能音箱、数字助理、增强现实(augmented reality，ar)/虚拟现实(virtual reality，vr)设备、智能可穿戴设备等类型的电子设备。可选的，电子设备上运行的操作系统可以包括但不限于安卓系统、ios系统、linux、windows等。
42.可选的，安全漏洞扫描系统201与待扫描设备203之间可以包括但不限于通过4g/5g、wifi和以太网连接的方式进行连接；安全漏洞扫描系统201与终端202之间可以包括但不限于通过4g/5g、wifi和以太网连接的方式进行连接。
43.请参阅图3，图3是本技术实施例提供的一种安全漏洞扫描系统的结构示意图，安全漏洞扫描系统包括收发模块301、监控模块302、任务管理模块303；收发模块301与任务管理模块303连接；监控模块302分别与收发模块301、任务管理模块303连接，对各模块进行监控；
44.其中，收发模块301，通过与终端建立连接，接收终端发送的漏洞扫描请求；漏洞扫
描请求包括待扫描设备的标识和扫描任务信息；收发模块301可以同时与多个终端连接，并接收来自多个终端的多个漏洞扫描请求；
45.收发模块301将漏洞扫描请求发送至任务管理模块303，任务管理模块303对漏洞扫描请求中的扫描任务信息进行统计，并计算得出扫描任务总量；
46.同时，安全漏洞扫描系统还包括扫描模块304，扫描模块304包括扫描器集群，扫描器集群用于对待扫描设备执行相应的扫描任务；
47.监控模块302，用于对扫描器集群的状态进行监控，根据扫描器集群中每个扫描器的状态确定对应的负载值；
48.任务管理模块303，用于根据扫描任务总量和每个扫描器的负载值，从扫描器集群中确定目标扫描器，向目标扫描器分配扫描任务；对目标扫描器中的多个扫描任务进行优先级排序。其中，目标扫描器用于根据待扫描设备的标识对待扫描设备上的扫描对象进行扫描。
49.本技术实施例中，安全漏洞扫描系统可以部署在云计算平台上，用户只需通过终端上传漏洞扫描请求，使得安全漏洞扫描系统可以根据漏洞扫描请求，对待扫描设备上的漏扫对象采用自动化远程漏洞扫描形式，如此，可以最大程度减少人工参与，同时系统采用分布式的结构形式，充分利用云平台的技术优势，系统中的各个模块之间相互独立，依赖程度低，使得整个系统具有较高的稳定性和扩展性。
50.本技术实施例中，采用场景化模式设计漏扫需求，用户可以根据不同待扫描设备的场景，比如待扫描设备可以是传统信息系统、云计算平台、云租户侧信息系统、大数据平台等填写漏扫需求，漏扫对象涵盖网络、主机、数据库、中间件、web应用、业务应用软件、云管软件、大数据管理软件、容器、服务、端口、地理、运营商等，此外，还可以填写外网漏扫接入地址，是否需要进行内网扫描及内网接入ip和端口、内网是否需要接入多个扫描点及接入ip地址和端口、是否需要定期进行漏扫及漏扫周期，漏扫任务紧急程度，以及漏扫类型(例如，上线前安全检查、事后安全评估、日常漏扫安全服务、深度安全检查)，最后生成相应的漏洞扫描请求。
51.可选的，监控模块302负责监控整个系统的运行状况，在监控模块302对扫描器集群进行监控的过程中，对每个扫描器的状态进行监控，每个扫描器的状态包括资源使用状态、网络吞吐量和扫描任务执行状态中的至少一种，其中，资源使用状态包括但不限于cpu使用率和内存使用率，扫描任务执行状态包括但不限于是否在执行扫描任务、正在执行的任务的标识等；然后，通过以上任几种选择状态参数进行加权计算，得出扫描器的负载值，供任务管理模块303使用。
52.本技术实施例中，任务管理模块303采用场景化模式设计漏扫任务，借助云计算的资源可弹性扩展特性，根据当前扫描任务总量弹性扩展扫描器数量和网络架构。例如，根据扫描任务信息中扫描对象、规模和目标ip数量大小以及当前空闲的扫描器和每个扫描器最大扫描目标ip并发数以及每个扫描器负载值，分配相应的漏洞扫描器数量，以实现资源的充分利用。
53.可选的，当扫描任务的扫描对象为网站(web应用)，扫描任务信息包括多个扫描任务对应的多个目标网站地址时，任务管理模块303，还用于：
54.若多个扫描任务对应的扫描任务量超过单个扫描器的最大负载值时，从扫描器集
群中确定多个目标扫描器，将多个扫描任务分配至多个目标扫描器。如此，通过对扫描任务进行切割，将多个扫描任务分配到多个目标扫描器上，可以充分利用当前负载较低的扫描器，从而提高资源利用率，进一步以提高漏洞扫描请求的处理效率。
55.可选的，扫描任务信息包括扫描任务的截止时间信息和等级信息；任务管理模块303，还用于：针对每个扫描器，根据该扫描器中多个扫描任务中每个扫描任务对应的截止时间信息和等级信息，对多个扫描任务进行排序。
56.具体的，用户通过终端上传的漏洞扫描请求中携带有用户填写的扫描任务截止时间，以及扫描任务的等级信息，等级信息表征该扫描任务的价值程度或重要程度；从而，任务管理模块303可以根据实际需求针对每个扫描器中的多个扫描任务进行调度，调度时采用一种动态优先级实时任务调度的策略；即，根据扫描任务的等级信息、截止时间信息以及剩余时间信息这3种特征参数动态确定每个扫描任务的优先级；进一步地，任务管理模块303还可以调度漏扫资源以完成优先级较高的扫描任务；其中，漏扫资源包括扫描器资源(例如，扫描器数量和扫描器性能)和虚拟网络通信资源(例如出口带宽、虚拟网络架构)，如此，可以保证足够资源进行漏洞扫描执行。
57.可选的，扫描任务信息包括扫描任务的标识；如图3所示，安全漏洞扫描系统还包括：
58.数据处理模块305，其分别与漏扫模块304、收发模块301、监控模块302连接，数据处理模块305用于从漏扫模块304处获取目标扫描器在执行扫描任务后产生的扫描数据，对扫描数据进行分析处理，得到扫描结果；
59.收发模块301，用于从数据处理模块305处获取扫描结果，然后向终端发送扫描任务的标识对应的扫描结果。
60.可选的，通过收发模块301还将漏洞扫描请求对应的扫描任务状态信息发送至终端；扫描任务状态信息包括已执行任务信息、待执行任务信息和未执行任务信息中的至少一种。收发模块借助云计算平台的易接入特性，用户在任意位置、使用各种终端进行漏洞扫描请求的发送、查看报告、设备安全状况，使得用户可以随时随地了解安全情况。具体的，扫描任务状态信息、扫描结果等推送信息在终端上的推送模式包括但不限于短信、邮件、应用程序消息。
61.可选的，扫描任务信息还包括扫描任务的扫描对象；扫描对象即网络、主机、数据库、中间件、web应用(网站)、业务应用软件、云管软件、大数据管理软件、容器、服务、端口、地理、运营商等；数据处理模块305，还用于将扫描数据按照不同的扫描对象进行分类并存储于对应的漏洞库。
62.具体的，对用户每次扫描数据进行收集、存储，其采用场景化模式进行数据处理和存储，对数据按照场景化模式进行分类、归档，建立对应的漏洞库，比如网络漏洞库、主机漏洞库、应用漏洞库、云计算漏洞库等；同时还可以与cert、cnvd、cnnvd三大漏洞库同步，通过对扫描数据的和漏洞的特征值、特征码进行ai分析、提取、漏洞学习，完善安全防护规则，并根据对应场景进行系统建模，分析信息系统可能潜在的风险点和脆弱面并给出相关安全建议，挖掘信息系统潜在的漏洞，将系统漏洞情况可以图形化实时展示给客户，以便用户有针对性进行防护。
63.综上，本技术实施例提供的一种安全漏洞扫描系统，可以实现自动化远程漏洞扫
描，最大程度减少人工参与，且系统各模块相对独立，稳定性强且资源利用率高；可以及时向客户终端进行反馈，帮助客户及时了解设备安全情况。
64.本技术实施例还提供了一种安全漏洞扫描方法，图4是本技术实施例提供的一种安全漏洞扫描方法的流程示意图，本说明书提供了如实施例或流程图的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的系统或服务器产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图4所示，该方法可以包括：
65.s401：接收终端发送的漏洞扫描请求；漏洞扫描请求包括待扫描设备的标识和扫描任务信息；
66.s403：对扫描器集群的状态进行监控，根据扫描器集群中每个扫描器的状态确定对应的负载值；
67.s405：根据扫描任务总量和每个扫描器的负载值，从扫描器集群中确定目标扫描器，向目标扫描器分配扫描任务；对目标扫描器中的多个扫描任务进行优先级排序。
68.可选的，扫描任务信息包括扫描任务的标识；该方法还包括：
69.s406：获取目标扫描器在执行扫描任务后产生的扫描数据，对扫描数据进行分析处理，得到扫描结果；
70.s407：向终端发送扫描任务的标识对应的扫描结果。
71.可选的，扫描任务信息还包括扫描任务的扫描对象；该方法还包括：
72.s408：将扫描数据按照不同的扫描对象进行分类并存储于对应的漏洞库。
73.可选的，当扫描任务的扫描对象为网站，扫描任务信息包括多个扫描任务对应的多个目标网站地址时，上述步骤s405中，可以包括：
74.s4051：若多个扫描任务对应的扫描任务量超过单个扫描器的最大负载值时，从扫描器集群中确定多个目标扫描器，将多个扫描任务分配至多个目标扫描器。
75.可选的，扫描任务信息包括扫描任务的截止时间信息和等级信息；该方法还包括：
76.s4052：根据多个扫描任务中每个扫描任务对应的截止时间信息和等级信息，对多个扫描任务进行排序。
77.可选的，每个扫描器的状态包括资源使用状态、网络吞吐量和扫描任务执行状态中的至少一种。
78.可选的，该方法还可以包括：
79.s404：将漏洞扫描请求对应的扫描任务状态信息发送至终端；扫描任务状态信息包括已执行任务信息、待执行任务信息和未执行任务信息中的至少一种。
80.本技术实施例中的方法与系统实施例基于同样地申请构思。
81.本技术实施例还提供了一种终端，包括：
82.发送模块，用于向安全漏洞扫描系统发送漏洞扫描请求；漏洞扫描请求包括待扫描设备的标识和扫描任务信息；漏洞扫描请求用于指示安全漏洞扫描系统对扫描器集群的状态进行监控，根据扫描器集群中每个扫描器的状态确定对应的负载值，按照预设频率根据扫描任务总量和每个扫描器的负载值，从扫描器集群中确定目标扫描器，向目标扫描器分配扫描任务，对目标扫描器中的多个扫描任务进行优先级排序；
83.接收模块，用于接收安全漏洞扫描系统发送的扫描结果。
84.该实施例中，用户可以通过终端，根据不同待扫描设备的场景，比如待扫描设备可以是传统信息系统、云计算平台、云租户侧信息系统、大数据平台等填写漏扫需求，漏扫对象涵盖网络、主机、数据库、中间件、web应用、业务应用软件、云管软件、大数据管理软件、容器、服务、端口、地理、运营商等，此外，还可以填写外网漏扫接入地址，是否需要进行内网扫描及内网接入ip和端口、内网是否需要接入多个扫描点及接入ip地址和端口、是否需要定期进行漏扫及漏扫周期，漏扫任务紧急程度，以及漏扫类型(例如，上线前安全检查、事后安全评估、日常漏扫安全服务、深度安全检查)，最后生成相应的漏洞扫描请求。
85.可选的，终端还包括：
86.交互显示模块，用于根据输入的待扫描设备的标识、扫描任务的扫描对象、截止时间信息和等级信息，生成所述漏洞扫描请求；当接收到来自安全漏洞扫描系统发送的扫描结果时，交互显示模块还用于以图形化形式显示所述扫描结果。
87.本技术的实施例还提供了一种计算机存储介质，其特征在于，存储介质中存储有至少一条指令或至少一段程序，至少一条指令或至少一段程序由处理器加载并执行以实现上述实施例中所述的安全漏洞扫描方法。
88.可选地，在本实施例中，上述存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
89.需要说明的是：上述本技术实施例先后顺序仅仅为了描述，不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
90.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
91.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
92.以上所述仅为本技术的较佳实施例，并不用以限制本技术，凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。