本發(fā)明涉及網(wǎng)絡(luò)安全，更具體地說，它涉及一種實(shí)現(xiàn)變電站資產(chǎn)識別和漏洞管理的便攜式裝置。

背景技術(shù)：

1、目前網(wǎng)絡(luò)安全空間呈現(xiàn)多元化和復(fù)雜化，對于網(wǎng)絡(luò)空間中安全漏洞引起的安全問題，針對系統(tǒng)漏洞進(jìn)行掃描以防患于未然。傳統(tǒng)的漏洞掃描框架，在漏洞掃描的速度、準(zhǔn)確度、漏洞識別、適用性和實(shí)用性方面存在一些局限性。近些年，端口掃描技術(shù)發(fā)展愈發(fā)成熟，涌現(xiàn)了一批優(yōu)秀的輕量級掃描引擎比如masscan。masscan號稱當(dāng)時(shí)最快的漏洞掃描器，其可以在網(wǎng)絡(luò)帶寬環(huán)境和掃描主機(jī)系統(tǒng)配置都無限制的情況下實(shí)現(xiàn)幾分鐘掃描全網(wǎng)，算是一個(gè)非?？旆浅８咝实膾呙杵鳎秉c(diǎn)就是作為極速掃描器，masscan只能在端口掃描時(shí)具有非常出色的效率，在其他方面比如漏洞掃描方面需要進(jìn)行功能拓展。

2、目前國內(nèi)有許多專門從事安全技術(shù)的企業(yè)，比如360、綠盟、知道創(chuàng)宇等都在漏洞掃描方面做出了突出的貢獻(xiàn)。其中，知道創(chuàng)宇的zoomeye打造了世界上一流的網(wǎng)絡(luò)空間掃描引擎。其他的各個(gè)大中小企業(yè)也成立了一系列的網(wǎng)絡(luò)空間安全團(tuán)隊(duì)來專門研究安全領(lǐng)域的各個(gè)難題。家喻戶曉的360安全在漏洞掃描方面也首屈一指，不過360更為熟悉的是單機(jī)掃描和數(shù)據(jù)收集，而不是這里重點(diǎn)所說的網(wǎng)絡(luò)主機(jī)掃描。

3、由于網(wǎng)絡(luò)規(guī)模大，復(fù)雜性高又具有多元化特點(diǎn)，網(wǎng)絡(luò)漏洞也隨網(wǎng)絡(luò)變得數(shù)目規(guī)模大、種類繁多、更具有隱蔽性等特點(diǎn)，新的問題不斷出現(xiàn)，新的技術(shù)也需要不斷更新。針對變電站等相對封閉的系統(tǒng)，當(dāng)前的漏洞掃描系統(tǒng)普遍存在更新速度慢，掃描誤報(bào)率高，更新升級困難等問題。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種實(shí)現(xiàn)變電站資產(chǎn)識別和漏洞管理的便攜式裝置，能夠解決電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)管規(guī)模日益增長，監(jiān)管難度增大的問題，以及電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全檢查類目多、設(shè)備繁雜，現(xiàn)有的核查技術(shù)尚不成熟，信息系統(tǒng)和控制系統(tǒng)安全風(fēng)險(xiǎn)極高的問題；還解決了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全核查專業(yè)門檻高，核查規(guī)范性有待提升的問題。

2、本發(fā)明的上述技術(shù)目的是通過以下技術(shù)方案得以實(shí)現(xiàn)的：

3、本技術(shù)提供了一種實(shí)現(xiàn)變電站資產(chǎn)識別和漏洞管理的便攜式裝置，包括：

4、端口掃描模塊，用于用戶進(jìn)行主機(jī)存活性探測，以及存活主機(jī)的開發(fā)端口探測；

5、資產(chǎn)識別引擎模塊，用于結(jié)合預(yù)置的資產(chǎn)指紋數(shù)據(jù)庫，對存活主機(jī)的開放服務(wù)進(jìn)行識別，開放服務(wù)包括操作系統(tǒng)、數(shù)據(jù)庫和中間件；

6、漏洞掃描引擎模塊，包括漏洞檢測子模塊和漏洞驗(yàn)證子模塊；漏洞檢測子模塊，用于將資產(chǎn)識別引擎模塊從目標(biāo)主機(jī)中獲得的目標(biāo)信息與預(yù)置的漏洞信息庫匹配，并得到目標(biāo)信息的非精確漏洞信息；漏洞驗(yàn)證子模塊，用于根據(jù)非精確漏洞信息中的漏洞范圍，在預(yù)置的插件庫中提取非精確漏洞信息對應(yīng)的模擬攻擊插件，還用于對非精確漏洞信息進(jìn)行驗(yàn)證，并根據(jù)驗(yàn)證結(jié)果判斷得到目標(biāo)主機(jī)存在的精確漏洞信息。

7、本發(fā)明的有益效果是：本方案中，通過指紋提取、資產(chǎn)識別和漏洞掃描等相關(guān)技術(shù)的優(yōu)點(diǎn)，有效解決了變電站資產(chǎn)核查和漏洞管理的工作，該便攜式裝置不僅可以提升工作效率、實(shí)時(shí)響應(yīng)漏洞核查和修補(bǔ)工作，同時(shí)能夠通過裝置賦能，使得該項(xiàng)工作的開展更具專業(yè)性、準(zhǔn)確性，保障了電網(wǎng)的安全。

8、在上述技術(shù)方案的基礎(chǔ)上，本發(fā)明還可以做如下改進(jìn)。

9、進(jìn)一步，上述便攜式裝置還包括：

10、數(shù)據(jù)加密模塊，用于通過rsa非對稱加密算法對公鑰進(jìn)行加密，還用于通過接收方使用相應(yīng)的私鑰解密并獲得數(shù)據(jù)密鑰。

11、進(jìn)一步，上述資產(chǎn)指紋數(shù)據(jù)庫通過以下方式建立：基于預(yù)設(shè)的通用指紋庫，通過自動化的指紋采集工具，并依托特定變電站建立智能變電站的資產(chǎn)指紋數(shù)據(jù)庫，具體為：

12、通過區(qū)分特定變電站中不同類型的操作系統(tǒng)和不同類型的服務(wù)版本，利用特定變電站中網(wǎng)絡(luò)協(xié)議的特性構(gòu)造特定數(shù)據(jù)包，通過特定數(shù)據(jù)包的分析得到特定數(shù)據(jù)包的關(guān)鍵信息，并基于關(guān)鍵信息建立資產(chǎn)指紋數(shù)據(jù)庫，關(guān)鍵信息包括序列號、確認(rèn)號、窗口大小。

13、進(jìn)一步，上述漏洞信息庫通過以下方式建立：基于預(yù)設(shè)的通用漏洞庫的，并疊加特定變電站特有的操作系統(tǒng)、數(shù)據(jù)庫和中間件的漏洞信息，建立針對資產(chǎn)的漏洞信息庫；其中，通用漏洞庫具體為：

14、從微軟安全響應(yīng)中心獲取包含cve和kb關(guān)系的excel電子表格，利用微軟更新目錄或微軟支持資源，識別每個(gè)kb的后續(xù)補(bǔ)丁構(gòu)建各個(gè)kb之間的累積關(guān)系，并將每個(gè)cve與其直接相關(guān)的kb進(jìn)行映射，識別包含對應(yīng)kb的所有后續(xù)補(bǔ)丁，以構(gòu)建windows補(bǔ)丁與漏洞關(guān)聯(lián)鏈表；

15、漏洞信息庫具體為：構(gòu)造通過利用網(wǎng)絡(luò)協(xié)議中的模糊處引出目標(biāo)系統(tǒng)在處理網(wǎng)絡(luò)請求時(shí)特有行為的探測數(shù)據(jù)包，探測數(shù)據(jù)包包括tcp類型、udp類型和icmp類型；基于探測數(shù)據(jù)包和通用漏洞庫，疊加特定變電站特有的操作系統(tǒng)的漏洞信息，形成特定變電站的漏洞信息庫，操作系統(tǒng)包括達(dá)夢系統(tǒng)、凝思系統(tǒng)、麒麟系統(tǒng)。

16、進(jìn)一步，上述對于各個(gè)數(shù)據(jù)庫和各個(gè)操作系統(tǒng)通過以下方式形成特定弱密碼庫：

17、各個(gè)數(shù)據(jù)庫的部分信息通過采用開源弱密碼爆破軟件的第一弱密碼庫，各個(gè)數(shù)據(jù)庫的另一部分信息通過腳本針對特定用戶群體的習(xí)慣生成第二弱密碼庫，第一弱密碼庫和第一弱密碼庫疊加形成特定弱密碼庫，特定弱密碼庫，用于為各個(gè)數(shù)據(jù)庫和各個(gè)操作系統(tǒng)提供遠(yuǎn)程登錄、遠(yuǎn)程連接的系統(tǒng)，以及為進(jìn)行弱密碼掃描提供支撐。

18、進(jìn)一步，上述用戶進(jìn)行主機(jī)存活性探測，以及存活主機(jī)的開發(fā)端口探測通過基于tcp三次握手原理實(shí)現(xiàn)，具體為：

19、端口掃描模塊的端口掃描通過半連接tcp?syn掃描，并向目標(biāo)系統(tǒng)發(fā)送探測數(shù)據(jù)包請求建立syn連接，若沒有收到syn/ack數(shù)據(jù)報(bào)文，且收到為rst數(shù)據(jù)報(bào)文，得到目標(biāo)系統(tǒng)的該端口沒有打開的返回結(jié)果；若接收到syn/ack數(shù)據(jù)報(bào)文，得到目標(biāo)系統(tǒng)的端口開放的返回結(jié)果，停止回復(fù)syn/ack數(shù)據(jù)報(bào)文，并發(fā)送rst數(shù)據(jù)報(bào)文終止此次連接請求。

20、進(jìn)一步，上述對存活主機(jī)的開放服務(wù)進(jìn)行識別是基于可編程模式的資產(chǎn)識別方法，具體為：

21、用戶根據(jù)生成的需求指令，編寫與需求指令對應(yīng)且能夠根據(jù)資產(chǎn)的特征進(jìn)行匹配和分類的識別腳本和識別模板。

22、進(jìn)一步，上述端口掃描模塊在用于實(shí)現(xiàn)數(shù)據(jù)包組包、多線程并發(fā)、數(shù)據(jù)包發(fā)送和數(shù)據(jù)包返回?cái)?shù)據(jù)解析時(shí)，其中：

23、數(shù)據(jù)包組包，用于利用半連接tcp?syn掃描構(gòu)造特定類型的數(shù)據(jù)包，并向目標(biāo)系統(tǒng)發(fā)送探測數(shù)據(jù)包請求建立syn連接，根據(jù)返回結(jié)果判斷目標(biāo)系統(tǒng)的端口開放信息；

24、多線程并發(fā)，通過建立線程池并采用多線程方式并發(fā)掃描多個(gè)主機(jī)；

25、數(shù)據(jù)包返回?cái)?shù)據(jù)解析，通過發(fā)送特定構(gòu)造的數(shù)據(jù)包到目標(biāo)主機(jī)，并通過對返回?cái)?shù)據(jù)包進(jìn)行解析，若沒有收到syn/ack數(shù)據(jù)報(bào)文，且收到為rst數(shù)據(jù)報(bào)文，得到目標(biāo)系統(tǒng)的該端口沒有打開的返回結(jié)果；若接收到syn/ack數(shù)據(jù)報(bào)文，得到目標(biāo)系統(tǒng)的端口開放的返回結(jié)果。

26、進(jìn)一步，上述資產(chǎn)識別引擎模塊在用于實(shí)現(xiàn)開放服務(wù)資產(chǎn)及版本探測、操作系統(tǒng)資產(chǎn)及版本探測和web資產(chǎn)探測時(shí)，其中：

27、開放服務(wù)資產(chǎn)及版本探測，構(gòu)造通過利用網(wǎng)絡(luò)協(xié)議中的模糊處引出目標(biāo)系統(tǒng)在處理網(wǎng)絡(luò)請求時(shí)特有行為的探測數(shù)據(jù)包，探測數(shù)據(jù)包包括tcp類型、udp類型和icmp類型，并結(jié)合資產(chǎn)指紋數(shù)據(jù)庫對探測數(shù)據(jù)包的返回?cái)?shù)據(jù)包進(jìn)行分析，確定開放服務(wù)的資產(chǎn)及版本；

28、操作系統(tǒng)資產(chǎn)及版本探測，利用特定變電站中網(wǎng)絡(luò)協(xié)議的特性構(gòu)造特定數(shù)據(jù)包，通過特定數(shù)據(jù)包的分析得到特定數(shù)據(jù)包的關(guān)鍵信息，并對關(guān)鍵信息進(jìn)行分析實(shí)現(xiàn)操作系統(tǒng)的資產(chǎn)及版本探測，關(guān)鍵信息包括序列號、確認(rèn)號、窗口大小、tcp標(biāo)志位、icmp代碼和ttl值。

29、web資產(chǎn)探測，通過獲取服務(wù)組件特征，并利用預(yù)設(shè)web指紋庫對網(wǎng)站的類型及服務(wù)組件、版本信息進(jìn)行識別；其中，非http協(xié)議為獲取端口的連接baner信息，http或https協(xié)議使用為網(wǎng)頁中關(guān)鍵詞、特性文件的md5值和返回報(bào)文信息的關(guān)鍵字匹配。

30、進(jìn)一步，上述漏洞掃描引擎模塊在實(shí)現(xiàn)疑似匹配、漏洞驗(yàn)證、弱密碼爆破和主機(jī)本地掃描時(shí)，其中：

31、疑似匹配，根據(jù)識別的資產(chǎn)類型，并結(jié)合資產(chǎn)指紋數(shù)據(jù)庫中的漏洞指紋進(jìn)行資產(chǎn)漏洞的疑似匹配，并給出非精確漏洞信息；

32、漏洞驗(yàn)證，根據(jù)非精確漏洞信息向目標(biāo)主機(jī)發(fā)送對應(yīng)的poc進(jìn)行漏洞驗(yàn)證，并給出相應(yīng)資產(chǎn)上確認(rèn)的漏洞信息；

33、弱密碼爆破，對存活主機(jī)的開放服務(wù)進(jìn)行識別或?qū)Υ嬖诘倪h(yuǎn)程連接弱口令時(shí)，結(jié)合漏洞信息庫中的弱密碼字典進(jìn)行資產(chǎn)弱密碼爆破，并給出匹配的弱密碼信息；

34、主機(jī)本地掃描，若主機(jī)存在遠(yuǎn)程連接弱口令時(shí)，執(zhí)行遠(yuǎn)程連接弱口令遠(yuǎn)程登錄主機(jī)，并對相應(yīng)主機(jī)進(jìn)行本地漏洞掃描并提權(quán)相關(guān)漏洞信息。

35、與現(xiàn)有技術(shù)相比，本發(fā)明至少具有以下的有益效果：

36、在本技術(shù)中，裝置首先建立資產(chǎn)指紋庫和漏洞庫兩個(gè)基礎(chǔ)的數(shù)據(jù)庫，資產(chǎn)指紋庫依托現(xiàn)有公開的信息進(jìn)行收集，按照操作系統(tǒng)、中間件、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、web系統(tǒng)等類型，針對不同類型的設(shè)備或系統(tǒng)，建立相應(yīng)的庫表結(jié)構(gòu)進(jìn)行存儲和維護(hù)，同時(shí)，結(jié)合智能變電站設(shè)備的特點(diǎn)，通過自動化的指紋采集工具，依托試點(diǎn)變電站，增量疊加智能變電站資產(chǎn)指紋庫。遠(yuǎn)端對指紋庫的管理維護(hù)，通過調(diào)用api接口的方式實(shí)現(xiàn)，為了保障系統(tǒng)的安全性并且能使用戶無狀態(tài)的授權(quán)訪問相關(guān)資源，api接口采用bearer?token模式簽權(quán)認(rèn)證；漏洞庫由漏洞指紋信息、poc和弱密碼三個(gè)部分組成，其中漏洞指紋信息存儲相關(guān)系統(tǒng)或數(shù)據(jù)庫、中間件等各種版本曾經(jīng)出現(xiàn)過的漏洞信息。該部分內(nèi)容可以通過爬蟲的方式，針對在線平臺進(jìn)行信息采集；弱密碼數(shù)據(jù)庫的信息一部分可以采用開源弱密碼爆破軟件的弱密碼庫，另一部分可以通過腳本針對特定用戶群體的習(xí)慣，自動生成，兩部分?jǐn)?shù)據(jù)疊加在一起構(gòu)成弱密碼庫信息；poc驗(yàn)證插件庫針對資產(chǎn)掃描階段已經(jīng)確定的資產(chǎn)，通過漏洞指紋庫可以確定該資產(chǎn)疑似存在的漏洞的情況，為了進(jìn)一步確認(rèn)該資產(chǎn)是否真實(shí)存在這些疑似漏洞。

37、在本技術(shù)中，通過發(fā)送icmp報(bào)文確認(rèn)在線存活主機(jī)，并形成存活主機(jī)列表。裝置配合線程池等多線程技術(shù)，突破傳統(tǒng)的tcp/ip協(xié)議棧對同一時(shí)刻連接數(shù)量上限的限制，采用syn半連接方式進(jìn)行開放端口探測掃描。從自身指定端口向目標(biāo)指定端口發(fā)送tcp?syn連接建立請求數(shù)據(jù)包，等待對方返回響應(yīng)數(shù)據(jù)包。如果syn位和ack位在響應(yīng)數(shù)據(jù)包中有所設(shè)置，則證明目標(biāo)端口是打開的；如果所收到的答復(fù)數(shù)據(jù)包是rst連接重置數(shù)據(jù)包，則證明另一方的端口處于非活動狀態(tài)。也就是說使用這種方法只要完成建立連接的有效部分就可以完成端口掃描，相較于傳統(tǒng)的全連接掃描極大提高了掃描的速度。

38、在本技術(shù)中，在開放端口掃描的基礎(chǔ)上，針對已經(jīng)開放的端口，裝置針對操作系統(tǒng)、數(shù)據(jù)庫、中間件和web系統(tǒng)等采用指紋特征匹配和基于機(jī)器學(xué)習(xí)的特征匹配兩種方式進(jìn)行資產(chǎn)及版本探測，用于確定目標(biāo)主機(jī)開放端口上運(yùn)行的具體的應(yīng)用程序及版本信息，完成網(wǎng)絡(luò)資產(chǎn)掃描與識別，形成特定網(wǎng)絡(luò)的ip、port、中間件、數(shù)據(jù)庫以及操作系統(tǒng)等指紋信息，基于這些信息，漏洞掃描引擎分為兩個(gè)子模塊，分別為漏洞檢測子模塊和漏洞驗(yàn)證子模塊。其中漏洞檢測子模塊的功能是將前面初始信息收集模塊收集的信息進(jìn)行提取，主要為操作系統(tǒng)探測子模塊和端口服務(wù)確認(rèn)子模塊收集的信息，將獲得的信息與漏洞庫中的漏洞信息進(jìn)行特征匹配，獲得目標(biāo)主機(jī)所含有漏洞的大致范圍；漏洞驗(yàn)證子模塊的功能就是根據(jù)漏洞檢測子模塊分析出的漏洞范圍，去插件庫中提取漏洞相對應(yīng)的模擬攻擊插件，然后對目標(biāo)主機(jī)的可能漏洞進(jìn)行驗(yàn)證，根據(jù)驗(yàn)證的結(jié)果，判斷出目標(biāo)主機(jī)是否存在這個(gè)漏洞。

39、在本技術(shù)中，變電站資產(chǎn)識別和漏洞管理便攜式裝置將網(wǎng)絡(luò)資產(chǎn)識別功能與資產(chǎn)漏洞檢測通過該技術(shù)方案形成一個(gè)有機(jī)的整體，二者之間不再獨(dú)立，而是在檢測算法的作用下相互聯(lián)動，整個(gè)過程不需要網(wǎng)絡(luò)管理人員參與。通過該裝置能夠精確對變電站的資產(chǎn)進(jìn)行核查，對漏洞就行驗(yàn)證，并能以插件化的方式對持續(xù)更新的漏洞就行驗(yàn)證與修補(bǔ)，解決了以往開展此項(xiàng)工作耗時(shí)耗力的問題。同時(shí)，相應(yīng)的斌電站數(shù)據(jù)能夠在統(tǒng)一的管控系統(tǒng)上進(jìn)行呈現(xiàn)，便于省公司一級單位全面掌握變電的安全狀況。同時(shí)，創(chuàng)新了工作思路和方法，提出的以裝置賦能變電站工作人員能力的思路，不但提升了工作效率，節(jié)約了人力、物力成本，也使得變電站在開展此項(xiàng)工作的時(shí)更具專業(yè)性。