本發(fā)明涉及智能電網(wǎng)安全領(lǐng)域，具體是基于指紋識(shí)別技術(shù)和分布式調(diào)度的IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)。

背景技術(shù)：

智能電網(wǎng)(Smart Power Grids)是建立在集成的、高速雙向通信網(wǎng)絡(luò)的基礎(chǔ)上，通過(guò)先進(jìn)的傳感與測(cè)量技術(shù)、設(shè)備技術(shù)、控制技術(shù)以及先進(jìn)的決策支持系統(tǒng)技術(shù)的應(yīng)用，實(shí)現(xiàn)電網(wǎng)的可靠穩(wěn)定、經(jīng)濟(jì)、高效、環(huán)境友好和使用安全的目標(biāo)。然而，隨著智能電網(wǎng)的建設(shè)和發(fā)展，電力設(shè)備的更新?lián)Q代，導(dǎo)致“信息孤島”問(wèn)題愈發(fā)突出，造成智能電網(wǎng)中的IT資產(chǎn)管理混亂，進(jìn)而影響信息系統(tǒng)的安全性和穩(wěn)定性。另外，隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，各類因應(yīng)用組件造成的安全事件由應(yīng)用組件所造成的服務(wù)中斷等事故，只能是依靠以負(fù)反饋為主的方式逐級(jí)進(jìn)行問(wèn)題提交。對(duì)于異構(gòu)的應(yīng)用組件，在某一應(yīng)用組件出現(xiàn)安全風(fēng)險(xiǎn)時(shí)只能被動(dòng)的進(jìn)行單一的針對(duì)性修復(fù)或防御策略追加，而無(wú)法有效匹配全網(wǎng)中所有受影響的應(yīng)用組件，并進(jìn)行統(tǒng)一的安全修復(fù)和防御策略追加。對(duì)于智能電網(wǎng)空間應(yīng)用組件的變更、系統(tǒng)升級(jí)等變化無(wú)法進(jìn)行有效探測(cè)、追溯和安全預(yù)警，為改變被動(dòng)防御的現(xiàn)狀，實(shí)現(xiàn)智能電網(wǎng)中IT資產(chǎn)的主動(dòng)識(shí)別、追溯，并建立有效的積極防御體系，需要建立長(zhǎng)期的資產(chǎn)全狀態(tài)管理及預(yù)警能力，通過(guò)周期化、自動(dòng)化的軟硬件資產(chǎn)普查，掌握各類資產(chǎn)的安全屬性，并在漏洞爆發(fā)時(shí)可以做到有效應(yīng)對(duì)，從而更符合各種政策規(guī)范的要求，為智能電網(wǎng)空間的穩(wěn)定運(yùn)行提供技術(shù)保障。

綜上所述，智能電網(wǎng)和信息化技術(shù)的發(fā)展對(duì)于IT資產(chǎn)大規(guī)模偵測(cè)的全面性和精確性提出了較高的要求，需要設(shè)計(jì)一種具備IT資產(chǎn)自主發(fā)現(xiàn)能力和全方位 信息定位能力的大規(guī)模偵測(cè)系統(tǒng)。

技術(shù)實(shí)現(xiàn)要素：

為了解決智能電網(wǎng)的安全性和穩(wěn)定性問(wèn)題，本發(fā)明提供了一種智能電網(wǎng)中的IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)，利用指紋識(shí)別技術(shù)，對(duì)網(wǎng)絡(luò)設(shè)備組件進(jìn)行識(shí)別，并采用分布式架構(gòu)設(shè)計(jì)實(shí)現(xiàn)了對(duì)智能電網(wǎng)中IT資產(chǎn)的大規(guī)模偵測(cè)。

本發(fā)明所采用的技術(shù)方案是：

一種智能電網(wǎng)中的IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)，包含調(diào)度服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和若干臺(tái)網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器；

所述調(diào)度服務(wù)器用于獲取偵測(cè)任務(wù)并將偵測(cè)任務(wù)按一定規(guī)則分配給各網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器；

所述網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器用于在接收到調(diào)度服務(wù)器分配的偵測(cè)任務(wù)后對(duì)智能電網(wǎng)中的IP目標(biāo)進(jìn)行組件指紋探測(cè)掃描，通過(guò)將掃描到的數(shù)據(jù)與數(shù)據(jù)庫(kù)服務(wù)器中的指紋庫(kù)進(jìn)行指紋對(duì)比，獲取偵測(cè)結(jié)果，并將掃描到的數(shù)據(jù)和偵測(cè)結(jié)果發(fā)送給數(shù)據(jù)庫(kù)服務(wù)器的目標(biāo)庫(kù)和指紋偵測(cè)結(jié)果庫(kù)；

所述數(shù)據(jù)庫(kù)服務(wù)器用于提供目標(biāo)庫(kù)、指紋庫(kù)和指紋偵測(cè)結(jié)果庫(kù)的查詢、更新、索引。

依據(jù)上述特征，所述組件指紋探測(cè)掃描包含以下步驟：

(1.1)對(duì)IP目標(biāo)進(jìn)行端口探測(cè)，獲得至少一個(gè)開(kāi)放端口和一個(gè)關(guān)閉端口，其中IP目標(biāo)包括Web服務(wù)器，Web應(yīng)用，操作系統(tǒng)；

(1.2)構(gòu)造若干個(gè)探測(cè)報(bào)文，所述探測(cè)報(bào)文包含序列號(hào)和可選項(xiàng)的TCP探測(cè)報(bào)文、ICMP探測(cè)報(bào)文、ECN的TCP探測(cè)報(bào)文、關(guān)閉端口的TCP探測(cè)報(bào)文，關(guān)閉端口的UDP探測(cè)報(bào)文；

(1.3)將所述探測(cè)報(bào)文發(fā)送給IP目標(biāo)，若某個(gè)報(bào)文沒(méi)有應(yīng)答，則重新發(fā)送一 次；

(1.4)提取目標(biāo)指紋，結(jié)合目標(biāo)的已知操作系統(tǒng)類型，構(gòu)造先驗(yàn)指紋庫(kù)；

(1.5)使用構(gòu)造的先驗(yàn)指紋庫(kù)探測(cè)新的IP目標(biāo)；

(1.6)使用HTTP協(xié)議連接遠(yuǎn)程Web服務(wù)器獲取相應(yīng)應(yīng)答報(bào)文，通過(guò)比較應(yīng)答報(bào)文特征來(lái)識(shí)別Web服務(wù)器類別與版本。

依據(jù)上述特征，所述步驟1.1中：若IP目標(biāo)為Web服務(wù)器時(shí)，主要探測(cè)：智能電網(wǎng)空間中網(wǎng)站響應(yīng)頭部數(shù)據(jù)、網(wǎng)站文件類型、網(wǎng)站對(duì)400錯(cuò)誤響應(yīng)的返回、網(wǎng)站對(duì)500錯(cuò)誤響應(yīng)的返回、網(wǎng)站對(duì)超長(zhǎng)請(qǐng)求的響應(yīng)返回、網(wǎng)站對(duì)畸形請(qǐng)求的響應(yīng)返回、服務(wù)端口標(biāo)識(shí)回顯；

若IP目標(biāo)為Web應(yīng)用時(shí)，主要探測(cè)：智能電網(wǎng)空間中網(wǎng)站響應(yīng)頭部信息、HTML頁(yè)面內(nèi)META標(biāo)簽信息、HTML內(nèi)JS、CSS等鏈接信息、特殊URL地址及URL參數(shù)、COOKIE/Session內(nèi)特征字段特定文件名、文件內(nèi)容及文件MD5。

依據(jù)上述特征，所述指紋對(duì)比包含以下步驟：

(2.1)從IP目標(biāo)響應(yīng)的探測(cè)報(bào)文中提取出包含源IP地址、目的IP地址的基本信息及屬性信息，整理成統(tǒng)一的數(shù)據(jù)格式，進(jìn)行標(biāo)準(zhǔn)化指紋數(shù)據(jù)；

(2.2)通過(guò)聚類方法消除指紋數(shù)據(jù)中的噪聲；

(2.3)再利用基于屬性相似的概率關(guān)聯(lián)方法將消除噪聲的指紋數(shù)據(jù)與指紋庫(kù)中的指紋信息進(jìn)行關(guān)聯(lián)分析，得到偵測(cè)結(jié)果。

優(yōu)選地，所述數(shù)據(jù)庫(kù)服務(wù)器采用MongoDB型分布式數(shù)據(jù)庫(kù)實(shí)現(xiàn)分布式存儲(chǔ)。

優(yōu)選地，所述調(diào)度服務(wù)器包含任務(wù)下發(fā)子模塊、進(jìn)度匯總模塊和異常處理模塊，所述用于任務(wù)下發(fā)子模塊用于將接收到的偵測(cè)任務(wù)放到偵測(cè)任務(wù)隊(duì)列中，并將偵測(cè)任務(wù)隊(duì)列中的任務(wù)按照任務(wù)下發(fā)標(biāo)準(zhǔn)接口傳遞給各網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器；所述進(jìn)度匯總模塊用于將網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器反饋的偵測(cè)任務(wù)執(zhí) 行狀況進(jìn)行匯總；所述異常處理模塊用于在接收到網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器的異常報(bào)告或超出一定時(shí)間無(wú)法連接網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器，將下發(fā)給網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器的偵測(cè)任務(wù)轉(zhuǎn)移到其他網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器繼續(xù)執(zhí)行。

優(yōu)選地，所述任務(wù)下發(fā)子模塊還用于根據(jù)采集服務(wù)器的網(wǎng)絡(luò)速度優(yōu)選將偵測(cè)任務(wù)下發(fā)給速度快的采集服務(wù)器。

進(jìn)一步，所述的IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)還包含UI服務(wù)器，所述UI服務(wù)器

用于提供人機(jī)交互界面，將用戶提出的偵測(cè)任務(wù)發(fā)送給調(diào)度服務(wù)器。

進(jìn)一步，所述的IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)還包含日志服務(wù)器，所述日志服務(wù)

器用于進(jìn)行日志管理。

進(jìn)一步，所述的IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)還包含任務(wù)管理器，所述任務(wù)管理

器用于對(duì)IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)內(nèi)部任務(wù)進(jìn)行管理。

本發(fā)明的有益效果是具備對(duì)智能電網(wǎng)空間中IT資產(chǎn)的自主發(fā)現(xiàn)能力，對(duì)IT資產(chǎn)進(jìn)行全方位信息定位，實(shí)現(xiàn)對(duì)智能電網(wǎng)空間的全面、實(shí)時(shí)、精確偵測(cè)。

附圖說(shuō)明

圖1為本發(fā)明智能電網(wǎng)中的IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)拓?fù)鋱D；

圖2為本發(fā)明智能電網(wǎng)中的IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)組成圖；

圖3為本發(fā)明所述系統(tǒng)分布式數(shù)據(jù)存儲(chǔ)示意圖；

圖4為本發(fā)明所述系統(tǒng)任務(wù)調(diào)度流程圖；

圖5為仿真測(cè)試2中心臟出血漏洞數(shù)目隨時(shí)間變化示意圖。

具體實(shí)施方式

下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步說(shuō)明。本發(fā)明實(shí)施例在以本發(fā)明技術(shù)方案為前提下實(shí)施，給出了詳細(xì)的實(shí)施方式和具體的操作過(guò)程，但本發(fā)明的保護(hù)范圍不限于下面的實(shí)施例。

本發(fā)明智能電網(wǎng)中IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)包括調(diào)度服務(wù)器、網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和UI服務(wù)器等，經(jīng)由路由器進(jìn)行連接，通過(guò)任務(wù)調(diào)度，利用分布式存儲(chǔ)等技術(shù)，完成對(duì)智能電網(wǎng)中各局域網(wǎng)設(shè)備的指紋獲取和判別，系統(tǒng)部署參考附圖圖1。各服務(wù)器硬件配置見(jiàn)表一。

表一

本發(fā)明智能電網(wǎng)中IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)利用指紋探測(cè)技術(shù)，對(duì)智能電網(wǎng)空間設(shè)備進(jìn)行大規(guī)模偵測(cè)。系統(tǒng)包括調(diào)度服務(wù)器、UI(User Interface，用戶界面)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器等，核心是由網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器構(gòu)成的基于指紋庫(kù)的網(wǎng)絡(luò)設(shè)備組件識(shí)別模塊，其偵測(cè)目標(biāo)對(duì)象包括智能電網(wǎng)中的服務(wù)器、應(yīng)用程序服務(wù)器、路由器、防火墻、網(wǎng)絡(luò)攝像頭和交換機(jī)等。另外，由于智能電網(wǎng)空間的IT資產(chǎn)信息多、規(guī)模大，所以調(diào)度服務(wù)器采 用分布式技術(shù)，對(duì)偵測(cè)任務(wù)建立探測(cè)引擎集群，實(shí)現(xiàn)對(duì)智能電網(wǎng)中IT資產(chǎn)的大規(guī)模分布式偵測(cè)和采集任務(wù)。其具體拓?fù)浣Y(jié)構(gòu)參考附圖圖1，其中：

調(diào)度服務(wù)器采用分布式調(diào)度技術(shù)，分為分布式數(shù)據(jù)存儲(chǔ)和任務(wù)調(diào)度，對(duì)偵測(cè)任務(wù)建立探測(cè)引擎集群，實(shí)現(xiàn)對(duì)智能電網(wǎng)中IT資產(chǎn)的大規(guī)模分布式偵測(cè)和采集任務(wù)；

UI服務(wù)器為界面有關(guān)的軟件人機(jī)交互、操作邏輯等提供服務(wù)，操作界面包含報(bào)表、站點(diǎn)管理、系統(tǒng)管理等，其中報(bào)表信息從數(shù)據(jù)庫(kù)服務(wù)器中獲取，站點(diǎn)管理、系統(tǒng)管理的信息從調(diào)度服務(wù)器中獲??；

數(shù)據(jù)庫(kù)服務(wù)器為智能電網(wǎng)空間應(yīng)用提供包括查詢、更新、事務(wù)管理、索引、高速緩存、查詢優(yōu)化、安全及多用戶存取控制等操作，為調(diào)度服務(wù)器、UI服務(wù)器、網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器等提出的請(qǐng)求提供全方位服務(wù)，并提供了用于數(shù)據(jù)操縱的標(biāo)準(zhǔn)接口API、監(jiān)控性能、并發(fā)控制等工具，由DBA(Database Administrator，數(shù)據(jù)庫(kù)管理員)統(tǒng)一負(fù)責(zé)數(shù)據(jù)庫(kù)訪問(wèn)及網(wǎng)絡(luò)管理的授權(quán)任務(wù)；

網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器根據(jù)返回信息，利用指紋比對(duì)技術(shù)，結(jié)合指紋數(shù)據(jù)庫(kù)，對(duì)該設(shè)備所使用的組件類型進(jìn)行識(shí)別，指紋數(shù)據(jù)庫(kù)數(shù)據(jù)請(qǐng)求由網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器發(fā)出，數(shù)據(jù)庫(kù)服務(wù)器接收到請(qǐng)求后進(jìn)行查詢、更新、事務(wù)管理、索引、高速緩存、查詢優(yōu)化、安全及多用戶存取控制等操作。

指紋對(duì)比技術(shù)首先采用聚類算法消除指紋數(shù)據(jù)中的噪聲(異常數(shù)據(jù))，再將處理后的數(shù)據(jù)與指紋數(shù)據(jù)庫(kù)中的信息進(jìn)行關(guān)聯(lián)分析。指紋對(duì)比過(guò)程主要由屬性提取、信息標(biāo)準(zhǔn)化、聚類引擎、關(guān)聯(lián)分析四部分組成。在聚類實(shí)現(xiàn)前，通過(guò)對(duì)采集到的報(bào)文分析，提取出源IP地址、目的IP地址等基本信息及屬性信息，整理成統(tǒng)一的數(shù)據(jù)格式，進(jìn)行信息標(biāo)準(zhǔn)化。通過(guò)聚類，消除指紋數(shù)據(jù)中的噪聲(異常數(shù)據(jù))，再利用基于屬性相似的概率關(guān)聯(lián)方法將處理后的數(shù)據(jù)與指紋數(shù)據(jù)庫(kù)中 其他指紋信息進(jìn)行關(guān)聯(lián)分析，為智能電網(wǎng)中的IT資產(chǎn)大規(guī)模偵測(cè)提供數(shù)據(jù)支撐。

本發(fā)明所述智能電網(wǎng)中的IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)的組成參考附圖圖2。偵測(cè)目標(biāo)對(duì)象包括智能電網(wǎng)中的服務(wù)器、應(yīng)用程序服務(wù)器、路由器、防火墻、網(wǎng)絡(luò)攝像頭和交換機(jī)等；偵測(cè)掃描模塊由分布式調(diào)度和各個(gè)端口探測(cè)引擎構(gòu)成，其中分布式調(diào)度模塊由調(diào)度服務(wù)器負(fù)責(zé)，各端口探測(cè)引擎存在于網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器中；數(shù)據(jù)中心主要由數(shù)據(jù)庫(kù)服務(wù)器構(gòu)成包括數(shù)據(jù)庫(kù)主服務(wù)器和數(shù)據(jù)庫(kù)從服務(wù)器，管理指紋庫(kù)、目標(biāo)庫(kù)和指紋探測(cè)結(jié)果庫(kù)；數(shù)據(jù)展示模塊由UI服務(wù)器對(duì)數(shù)據(jù)庫(kù)服務(wù)器中存儲(chǔ)的指紋、目標(biāo)和指紋探測(cè)結(jié)果進(jìn)行數(shù)據(jù)查詢、數(shù)據(jù)統(tǒng)計(jì)和數(shù)據(jù)導(dǎo)出操作；綜合管理模塊的引擎管理操作由調(diào)度服務(wù)器完成，日志管理和任務(wù)管理操作分別由日志管理服務(wù)器、任務(wù)管理服務(wù)器完成。分布式調(diào)度模塊管理各個(gè)端口探測(cè)引擎，針對(duì)偵測(cè)目標(biāo)對(duì)象，結(jié)合指紋庫(kù)，進(jìn)行周期性的組件指紋探測(cè)，并將結(jié)果數(shù)據(jù)存儲(chǔ)入庫(kù)，供數(shù)據(jù)展示模塊調(diào)用，進(jìn)行查詢、統(tǒng)計(jì)、導(dǎo)出等操作。探測(cè)結(jié)果存儲(chǔ)在指紋探測(cè)結(jié)果庫(kù)中，通過(guò)數(shù)據(jù)展示模塊對(duì)數(shù)據(jù)進(jìn)行處理，可以實(shí)現(xiàn)數(shù)據(jù)查詢、數(shù)據(jù)統(tǒng)計(jì)和數(shù)據(jù)導(dǎo)出等功能。綜合管理模塊負(fù)責(zé)任務(wù)管理、引擎管理以及日志管理，保證系統(tǒng)的正常運(yùn)轉(zhuǎn)。用戶建立任務(wù)后，UI通過(guò)API接口傳遞到后臺(tái)數(shù)據(jù)庫(kù)，由調(diào)度服務(wù)器獲取任務(wù)并將任務(wù)按一定分配規(guī)則分配給各網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器，分配規(guī)則可以按照偵測(cè)任務(wù)的先后順序、優(yōu)先級(jí)、先后順預(yù)與優(yōu)先級(jí)的組合或者其它次序。網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器接收任務(wù)后執(zhí)行檢測(cè)功能，通過(guò)命令行參數(shù)驅(qū)動(dòng)Xmap、Wmap和POC(Proof of Concept，驗(yàn)證測(cè)試)功能的執(zhí)行，獲取到相應(yīng)數(shù)據(jù)后，以IP或域名的方式歸類到相應(yīng)字段，再通過(guò)調(diào)度算法將獲取數(shù)據(jù)入庫(kù)到MongoDB。最終由UI接口從數(shù)據(jù)庫(kù)提取相應(yīng)數(shù)據(jù)完成信息的展示。

網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器所執(zhí)行的指紋探測(cè)技術(shù)包括Web服務(wù)器指紋探測(cè)、 Web應(yīng)用指紋探測(cè)和操作系統(tǒng)指紋探測(cè)：

1、Web服務(wù)器指紋探測(cè)模塊主要通過(guò)探測(cè)：智能電網(wǎng)空間中網(wǎng)站響應(yīng)頭部數(shù)據(jù)、網(wǎng)站文件類型、網(wǎng)站對(duì)400錯(cuò)誤響應(yīng)的返回、網(wǎng)站對(duì)500錯(cuò)誤響應(yīng)的返回(如果存在)、網(wǎng)站對(duì)超長(zhǎng)請(qǐng)求的響應(yīng)返回、網(wǎng)站對(duì)畸形請(qǐng)求的響應(yīng)返回、服務(wù)端口標(biāo)識(shí)回顯等請(qǐng)求，并利用返回信息作為判別依據(jù)對(duì)Web服務(wù)器的指紋進(jìn)行判斷，再通過(guò)指紋解析引擎獲得目標(biāo)網(wǎng)站的Web服務(wù)器發(fā)行版本及版本號(hào)等信息，同時(shí)，這些探測(cè)信息可用于輔助判斷遠(yuǎn)程服務(wù)器上運(yùn)行的操作系統(tǒng)、WEB腳本語(yǔ)言、Web組件及相應(yīng)版本型號(hào)；

2、Web應(yīng)用指紋探測(cè)模塊利用高精度的指紋識(shí)別技術(shù)對(duì)Web應(yīng)用進(jìn)行精確識(shí)別，主要通過(guò)探測(cè)Web應(yīng)用服務(wù)器上所運(yùn)行的第三方Web組件特征信息來(lái)判斷其所使用的組件情況和具體版本信息，包括以下幾個(gè)請(qǐng)求和返回信息進(jìn)行Web應(yīng)用指紋判斷：智能電網(wǎng)空間中網(wǎng)站響應(yīng)頭部信息、HTML頁(yè)面內(nèi)META標(biāo)簽信息、HTML內(nèi)JS、CSS等鏈接信息、特殊URL地址及URL參數(shù)、COOKIE/Session內(nèi)特征字段特定文件名、文件內(nèi)容及文件MD5，并將這些信息進(jìn)行組合匹配，包括：網(wǎng)站響應(yīng)頭部信息、HTML頁(yè)面信息、特殊URL信息、網(wǎng)站文件MD5哈希值信息等；

3、操作系統(tǒng)指紋探測(cè)模塊基于Nmap端口掃描工具，不斷持續(xù)跟蹤和分析不同版本操作系統(tǒng)在TCP/IP棧中的數(shù)據(jù)特征，獲得網(wǎng)站開(kāi)放端信息、端口上的協(xié)議類型和版本號(hào)等信息。通過(guò)對(duì)掃描結(jié)果的處理，從Banner中獲取網(wǎng)站使用的Web容器及類型以及其它應(yīng)用的信息。不同操作系統(tǒng)在接收TCP或UDP請(qǐng)求時(shí)，其返回的數(shù)據(jù)填充內(nèi)容、IP頭中的SEQ NUMBER等特征呈現(xiàn)出不同的規(guī)律，在該規(guī)律上進(jìn)行深度挖掘，可以精確識(shí)別操作系統(tǒng)服務(wù)版本及其版本號(hào)。

本發(fā)明所述系統(tǒng)的網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器是整個(gè)系統(tǒng)的核心，它采用如下 方法進(jìn)行探測(cè)：

(1)對(duì)IP目標(biāo)進(jìn)行端口探測(cè)，獲得至少一個(gè)開(kāi)放端口和一個(gè)關(guān)閉端口；

(2)構(gòu)造16個(gè)探測(cè)報(bào)文，包含6個(gè)序列號(hào)和可選項(xiàng)的TCP探測(cè)報(bào)文，2個(gè)ICMP探測(cè)報(bào)文，1個(gè)ECN的TCP探測(cè)報(bào)文，6個(gè)關(guān)閉端口的TCP探測(cè)報(bào)文，1個(gè)關(guān)閉端口的UDP探測(cè)報(bào)文；

(3)構(gòu)造的16個(gè)探測(cè)報(bào)文，確保每個(gè)報(bào)文在100ms內(nèi)發(fā)送。如果某個(gè)報(bào)文沒(méi)有應(yīng)答，則重新發(fā)送一次；

(4)提取目標(biāo)指紋，結(jié)合目標(biāo)的已知操作系統(tǒng)類型，構(gòu)造先驗(yàn)指紋庫(kù)；

(5)使用構(gòu)造的先驗(yàn)指紋庫(kù)探測(cè)新的目標(biāo)主機(jī)；

(6)使用HTTP協(xié)議連接遠(yuǎn)程Web服務(wù)器獲取相應(yīng)應(yīng)答報(bào)文，通過(guò)比較應(yīng)答報(bào)文特征來(lái)識(shí)別Web服務(wù)器類別與版本。

本發(fā)明所述系統(tǒng)采用分布式調(diào)度技術(shù)，該技術(shù)分為分布式數(shù)據(jù)存儲(chǔ)和任務(wù)調(diào)度，其中分布式數(shù)據(jù)存儲(chǔ)功能由數(shù)據(jù)庫(kù)服務(wù)器完成，任務(wù)調(diào)度由調(diào)度服務(wù)器完成。

1、分布式數(shù)據(jù)存儲(chǔ)采用MongoDB這一文檔型分布式數(shù)據(jù)庫(kù)實(shí)現(xiàn)分布式存儲(chǔ)，如附圖圖3所示，多個(gè)節(jié)點(diǎn)數(shù)據(jù)庫(kù)服務(wù)器用于存儲(chǔ)網(wǎng)站檢測(cè)的相關(guān)數(shù)據(jù)及結(jié)果數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)等大量數(shù)據(jù)內(nèi)容，其中MongoDB把數(shù)據(jù)保存到其他機(jī)器當(dāng)中，所用到的MongodbShard指的是分片，Shard為水平方向的多節(jié)點(diǎn)數(shù)據(jù)分散存儲(chǔ)，通過(guò)并行計(jì)算可滿足大規(guī)模網(wǎng)絡(luò)空間數(shù)據(jù)的并發(fā)訪問(wèn)、處理和分析等需求，并采用主從存儲(chǔ)和分片存儲(chǔ)方法。

2、任務(wù)調(diào)度模塊，調(diào)用各組件指紋探測(cè)模塊，對(duì)智能電網(wǎng)中各局域網(wǎng)內(nèi)的IP目標(biāo)進(jìn)行組件指紋探測(cè)掃描；最后任務(wù)調(diào)度模塊將掃描結(jié)果寫(xiě)入目標(biāo)組件指紋數(shù)據(jù)庫(kù)，完成了整個(gè)系統(tǒng)的任務(wù)生成、任務(wù)分發(fā)、任務(wù)接收、任務(wù)執(zhí)行、異 常處理、數(shù)據(jù)統(tǒng)計(jì)、任務(wù)復(fù)雜均衡等功能，其執(zhí)行流程參考附圖圖4。當(dāng)任務(wù)下發(fā)時(shí)，偵測(cè)任務(wù)自動(dòng)將大的偵測(cè)任務(wù)拆分為內(nèi)部小任務(wù)，并將小任務(wù)存放任務(wù)隊(duì)列。內(nèi)部小任務(wù)按照任務(wù)下發(fā)標(biāo)準(zhǔn)接口，傳遞給檢測(cè)模塊節(jié)點(diǎn)。各業(yè)務(wù)層的業(yè)務(wù)檢測(cè)模塊均提供標(biāo)準(zhǔn)的任務(wù)接受API，任務(wù)下發(fā)子模塊，驗(yàn)證任務(wù)參數(shù)數(shù)據(jù)的正確性，并將任務(wù)參數(shù)數(shù)據(jù)按照API規(guī)范傳遞到各個(gè)業(yè)務(wù)層檢測(cè)節(jié)點(diǎn)。為保證負(fù)載均衡，任務(wù)下發(fā)算法在內(nèi)部自動(dòng)將大的偵測(cè)任務(wù)拆分為小的任務(wù)，存放到隊(duì)列，將隊(duì)列中的任務(wù)下發(fā)給多個(gè)區(qū)域的多個(gè)業(yè)務(wù)檢測(cè)單元；其間會(huì)記錄各個(gè)檢測(cè)單元到目標(biāo)網(wǎng)絡(luò)的速度，用于指導(dǎo)下一批次任務(wù)優(yōu)選最快的檢測(cè)單元。當(dāng)下發(fā)給檢測(cè)節(jié)點(diǎn)的任務(wù)由于檢測(cè)節(jié)點(diǎn)服務(wù)器故障或網(wǎng)絡(luò)故障而無(wú)法完成時(shí)，異常處理模塊接受檢測(cè)節(jié)點(diǎn)的異常報(bào)告或超出一定時(shí)間無(wú)法連接檢測(cè)節(jié)點(diǎn)時(shí)，自動(dòng)將下發(fā)給該檢測(cè)節(jié)點(diǎn)的任務(wù)轉(zhuǎn)移到其他節(jié)點(diǎn)繼續(xù)執(zhí)行。最后檢測(cè)節(jié)點(diǎn)按照API規(guī)范匯報(bào)進(jìn)度，進(jìn)度匯總模塊將這些進(jìn)度信息匯總存儲(chǔ)，供界面讀取。

智能電網(wǎng)中IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)采用B/S架構(gòu)，支持集群方式的集中部署、統(tǒng)一管理。系統(tǒng)中各服務(wù)器部署于內(nèi)網(wǎng)中，與外網(wǎng)保持物理隔離；網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器部署在核心交換機(jī)鏡像端口上，通過(guò)路由器將探測(cè)到的指紋數(shù)據(jù)傳輸?shù)较到y(tǒng)數(shù)據(jù)庫(kù)服務(wù)器內(nèi)的指紋庫(kù)中。

偵測(cè)掃描：測(cè)試環(huán)境中部署9臺(tái)網(wǎng)絡(luò)設(shè)備指紋獲取服務(wù)器和1臺(tái)調(diào)度服務(wù)器，9臺(tái)組件指紋探測(cè)服務(wù)器的端口探測(cè)引擎可實(shí)現(xiàn)每天約百萬(wàn)級(jí)指紋發(fā)現(xiàn)并由調(diào)度服務(wù)器采用分布式調(diào)度統(tǒng)一對(duì)它們進(jìn)行引擎管理。

數(shù)據(jù)中心及數(shù)據(jù)展示：采集到的指紋信息通過(guò)路由器傳輸?shù)絻?nèi)網(wǎng)數(shù)據(jù)庫(kù)服務(wù)器。仿真實(shí)驗(yàn)測(cè)試系統(tǒng)部署了3臺(tái)數(shù)據(jù)庫(kù)服務(wù)器和1臺(tái)UI服務(wù)器，所有的服務(wù)器均位于內(nèi)網(wǎng)，用于數(shù)據(jù)存儲(chǔ)和系統(tǒng)管理。內(nèi)網(wǎng)出口處部署一臺(tái)路由器，用于提供傳輸數(shù)據(jù)的保護(hù)。

綜合管理：智能電網(wǎng)中的IT資產(chǎn)偵測(cè)系統(tǒng)由內(nèi)智能電網(wǎng)的管理部門(mén)通過(guò)PC控制端，訪問(wèn)內(nèi)網(wǎng)中的管理服務(wù)器，進(jìn)行系統(tǒng)的維護(hù)管理。

仿真測(cè)試1，智能電網(wǎng)空間各網(wǎng)絡(luò)設(shè)備，例如路由器和網(wǎng)絡(luò)攝像頭，都具有各自的固件。不同固件就是不同的操作系統(tǒng)，屬于網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)。針對(duì)網(wǎng)絡(luò)設(shè)備各自特有的固件進(jìn)行分析，可以研究網(wǎng)絡(luò)設(shè)備的安全漏洞。固件存在漏洞一般是由程序員在開(kāi)發(fā)攝像頭功能性程序的過(guò)程中疏忽造成，可能導(dǎo)致命令執(zhí)行等高危漏洞，而存在后門(mén)帳號(hào)可能是開(kāi)發(fā)人員(個(gè)人行為)或者生產(chǎn)廠商(公司行為)預(yù)留的。Dlink路由器的固件是指其內(nèi)部運(yùn)行的系統(tǒng)及程序，系統(tǒng)一般是輕量級(jí)的類Unix操作系統(tǒng)，而程序用于控制和實(shí)現(xiàn)路由器的各種功能。利用IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)，通過(guò)基于固件分析的網(wǎng)絡(luò)設(shè)備漏洞研究技術(shù)，可以發(fā)現(xiàn)Dlink路由器中存在安全漏洞的設(shè)備信息。在2013年10月份曝光的Dlink路由器漏洞中，受影響的D-LINK路由固件版本涉及DIR-100、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TM-G5240、TM-G5240、BRL-04R、BRL-04UR、BRL-04CW、BRL-04FWU。通過(guò)智能電網(wǎng)中的IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)探測(cè)發(fā)現(xiàn)，搭建的電力系統(tǒng)網(wǎng)絡(luò)中約63,000臺(tái)設(shè)備受到影響。

仿真測(cè)試2，心臟出血漏洞通過(guò)讀取智能電網(wǎng)空間網(wǎng)絡(luò)服務(wù)器內(nèi)存，攻擊者可以訪問(wèn)敏感數(shù)據(jù)，從而危及服務(wù)器和用戶的安全。敏感的安全數(shù)據(jù)，如服務(wù)器的專用主密鑰，可使攻擊者在服務(wù)器和客戶端未使用完全正向保密時(shí)，通過(guò)被動(dòng)中間人攻擊解密當(dāng)前或已存儲(chǔ)的傳輸數(shù)據(jù)；或在通信方使用完全正向保密的情況下，發(fā)動(dòng)主動(dòng)中間人攻擊。攻擊者無(wú)法控制服務(wù)器返回的數(shù)據(jù)，因?yàn)榉?wù)器會(huì)響應(yīng)隨機(jī)的內(nèi)存塊。利用智能電網(wǎng)中IT資產(chǎn)大規(guī)模偵測(cè)系統(tǒng)，在基于Opnet搭建的電力系統(tǒng)網(wǎng)絡(luò)通信仿真環(huán)境中，偵測(cè)結(jié)果發(fā)現(xiàn)714828個(gè)主機(jī)處于易受攻擊狀態(tài)。附圖圖5為心臟出血漏洞數(shù)目隨時(shí)間變化示意圖，在該示意圖 顯示隨著時(shí)間推移，心臟出血漏洞正逐步被修復(fù)。

可以理解的是，對(duì)本領(lǐng)域普通技術(shù)人員來(lái)說(shuō)，可以根據(jù)本發(fā)明的技術(shù)方案及其發(fā)明構(gòu)思加以等同替換或改變，而所有這些改變或替換都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。