本發(fā)明屬于網(wǎng)絡巡檢掃描器，尤其涉及一種支持編排的分布式掃描器系統(tǒng)及其實現(xiàn)方法和實現(xiàn)裝置。

背景技術：

1、資產(chǎn)發(fā)現(xiàn)、漏洞掃描是網(wǎng)絡管理員進行日常網(wǎng)絡巡檢活動時必不可少的一項操作，對于專有云環(huán)境來說尤其如此，但常規(guī)掃描器在面對這類大型網(wǎng)絡時往往存在很多局限性，比如：

2、1、性能不足：常規(guī)掃描器多數(shù)以進程的方式運行，在面對云這類大型網(wǎng)絡時，往往需要將一個大網(wǎng)段拆解成小網(wǎng)段后開啟多個進程進行掃描然后再合并掃描結果，這對前期準備工作有一定要求，且很容易因為性能不足導致掃描的效率低下。

3、2、魯棒性低：常規(guī)掃描器在工作過程中，往往對cpu、內(nèi)存和網(wǎng)絡帶寬等資源消耗較大，以進程方式運行時，操作系統(tǒng)本身并不限制其資源占用，容易影響其他進程的正常運行。若出現(xiàn)硬件故障等其他導致掃描進程異常中斷的情況，可能造成前期掃描結果丟失，前功盡棄。

4、3、功能單一，靈活性差：常規(guī)的掃描器功能相對單一，有的擅長端口探測、有的擅長漏洞掃描、有的擅長網(wǎng)站掃描、有的擅長弱口令探測等等。但在日常網(wǎng)絡巡檢活動中，管理員需要對資產(chǎn)、漏洞等情況進行全面了解，所以只能搭配多種掃描器進行掃描，但又缺乏統(tǒng)一的框架進行調(diào)度，因此管理員需要耗費大量精力解決不同掃描器之間的協(xié)調(diào)問題。而且，一旦掃描策略發(fā)生了變化，對應的腳本等自動化工具也需要進行相應的調(diào)整，維護成本高昂。

技術實現(xiàn)思路

1、為了克服常規(guī)掃描器面對大型網(wǎng)絡時存在的上述缺陷，本發(fā)明提出了一種新的基于編排框架實現(xiàn)的分布式掃描器系統(tǒng)，本發(fā)明分布式掃描器系統(tǒng)能夠支持編排，支持多目標、多場景的掃描任務，且能擴展新的掃描器，本發(fā)明實現(xiàn)了單個掃描器的獨立控制，且能夠根據(jù)任務執(zhí)行速度實現(xiàn)資源的動態(tài)分配。

2、本發(fā)明分布式掃描器系統(tǒng)基于k8s架構部署運行，在pod中運行掃描進程，通過k8s實現(xiàn)掃描器的橫向擴展和資源管控。本系統(tǒng)能夠集成多種類型的掃描器，包括但不限于端口掃描器、漏洞掃描器、弱口令掃描器、web站點掃描器等，被集成的掃描器以節(jié)點的形式封裝在組件庫中。管理員根據(jù)需求在ui界面上創(chuàng)建掃描計劃，掃描計劃以有向無環(huán)圖（簡稱：dag圖）的形式存在，編排框架根據(jù)掃描計劃啟動掃描任務，最后輸出掃描報告供管理員查看和下載。

3、具體地，本發(fā)明提供了一種支持編排的分布式掃描器系統(tǒng)實現(xiàn)方法，如圖2所示，本方法包括下述步驟：

4、s1.?封裝掃描器節(jié)點：管理員在ui界面上將單個掃描器封裝成dag圖（有向無環(huán)圖）中的節(jié)點并存入組件庫中；

5、s2.?創(chuàng)建掃描計劃：管理員在ui界面上以dag圖的形式創(chuàng)建掃描計劃，按照掃描器的執(zhí)行順序依次創(chuàng)建節(jié)點，下游節(jié)點的輸入數(shù)據(jù)在上游節(jié)點的輸出數(shù)據(jù)中選擇；

6、s3.?解析掃描計劃：編排引擎接收到掃描計劃后對其進行解析，先遍歷dag圖中的節(jié)點，確定所有的節(jié)點類型后創(chuàng)建對應kubernetes?deployments資源文件，并將其replicas設置為0，然后將其保存在數(shù)據(jù)庫中；節(jié)點的kubernetes?deployments資源文件創(chuàng)建完畢后，再創(chuàng)建具體的掃描任務記錄，根據(jù)掃描任務的執(zhí)行時間插入到任務隊列中；

7、s4.?啟動和執(zhí)行掃描任務：管理員在ui界面上啟動一個掃描任務，掃描任務開始時，編排引擎先以廣度優(yōu)先的方式遍歷dag圖中的節(jié)點，確定圖中節(jié)點的執(zhí)行順序和執(zhí)行條件；啟動的節(jié)點自動向指定的任務隊列拉取掃描目標；當前節(jié)點的任務全部執(zhí)行完成后立刻通知下游節(jié)點，編排引擎拉起下游節(jié)點；

8、s5.?生成掃描報告：所有掃描器節(jié)點完成掃描后，編排引擎將掃描結果匯聚整理生成掃描報告存入數(shù)據(jù)庫中，供管理員在線查看或下載。

9、進一步地，本發(fā)明支持編排的分布式掃描器系統(tǒng)實現(xiàn)方法步驟s1中封裝的掃描器節(jié)點實現(xiàn)統(tǒng)一的節(jié)點接口類，各掃描器節(jié)點之間的輸入輸出數(shù)據(jù)能夠靈活對接；

10、所述單個掃描器包括但不限于：端口掃描器、漏洞掃描器、弱口令掃描器、web站點掃描器。

11、進一步地，本發(fā)明支持編排的分布式掃描器系統(tǒng)實現(xiàn)方法步驟s1中還包括：管理員在ui界面上新增掃描器時，配置掃描器節(jié)點的啟動命令、接收的掃描參數(shù)、掃描結果格式化參數(shù)，創(chuàng)建任務提交后，后臺程序按照節(jié)點的配置信息構建掃描器鏡像，鏡像構建完成后保存在節(jié)點倉庫中，供創(chuàng)建掃描計劃時使用。

12、進一步地，本發(fā)明支持編排的分布式掃描器系統(tǒng)實現(xiàn)方法步驟s2中創(chuàng)建的每個節(jié)點單獨設置并行度以加快掃描速度。

13、進一步地，本發(fā)明支持編排的分布式掃描器系統(tǒng)實現(xiàn)方法步驟s4中還包括：針對定時執(zhí)行的掃描計劃，編排引擎定期生成掃描任務，每個掃描任務配置單獨的任務隊列，所有的掃描目標都放入相應的任務隊列中等待執(zhí)行；掃描任務初始化完成后，編排引擎啟動掃描任務。

14、進一步地，本發(fā)明支持編排的分布式掃描器系統(tǒng)實現(xiàn)方法中所述掃描目標包括但不限于：ip、域名、網(wǎng)站。

15、進一步地，本發(fā)明支持編排的分布式掃描器系統(tǒng)實現(xiàn)方法步驟s4中還包括：每個節(jié)點執(zhí)行前先根據(jù)配置的并行度修改節(jié)點的副本數(shù)，并啟動對應副本數(shù)的pod；當前節(jié)點任務執(zhí)行完成后調(diào)用kubernetes接口將pod的副本數(shù)設置為0，以達到資源彈性擴展的效果。

16、進一步地，本發(fā)明支持編排的分布式掃描器系統(tǒng)實現(xiàn)方法步驟s5中生成的掃描報告中包括但不限于：服務探測結果、弱口令探測結果、漏洞信息和修復建議；

17、掃描報告支持的文件格式包括但不限于：doc、excel、html、pdf、wps。

18、另一方面，本發(fā)明還提供了一種支持編排的分布式掃描器系統(tǒng)實現(xiàn)裝置，所述裝置運行時實現(xiàn)上述的支持編排的分布式掃描器系統(tǒng)實現(xiàn)方法的步驟。

19、另外，本發(fā)明還提供了一種計算機可讀存儲介質(zhì)，所述存儲介質(zhì)上存儲有計算機程序，所述程序被處理器執(zhí)行時實現(xiàn)上述的支持編排的分布式掃描器系統(tǒng)實現(xiàn)方法的步驟。

20、綜上，本發(fā)明提供了一種基于編排框架實現(xiàn)的分布式掃描器系統(tǒng)，能夠顯著提高傳統(tǒng)掃描方案的執(zhí)行效率，在提高性能、魯棒性和靈活性的同時，也為自動化和降低維護成本提供了一個更好的解決方案。本發(fā)明支持編排的分布式掃描器系統(tǒng)具有以下特點：

21、1）是一種能夠支持編排的掃描器框架，支持多目標、多場景的掃描任務，且能擴展新的掃描器。

22、2）實現(xiàn)了單個掃描器的獨立控制，能夠根據(jù)任務執(zhí)行速度實現(xiàn)資源的動態(tài)分配。

23、3）本掃描器系統(tǒng)運行在k8s集群上，編排系統(tǒng)只需要對pod的副本進行控制即可實現(xiàn)橫向擴展，而且規(guī)模越大性能越高，在面對大型網(wǎng)絡時，其性能優(yōu)勢更加明顯。

24、4）本掃描器系統(tǒng)通過k8s可以限制掃描器的資源使用，容器間互相隔離的特性也可確保掃描器與其他服務之間不會互相搶占硬件資源，且掃描任務異常中斷時，無需擔心掃描任務中斷導致半途而廢，新調(diào)諧的pod能夠接替未完成的任務繼續(xù)掃描。

25、5）管理員在面對不同的任務場景時，只需要繪制不同的dag圖即可，無需維護額外的腳本和代碼，而且能夠集成新的掃描器，可擴展性強。