主机开放端口审计的方法和系统的制作方法
主机开放端口审计的方法和系统的制作方法
【技术领域】
[0001]本发明涉及网络安全领域,特别是涉及一种主机开放端口审计的方法和系统。
【背景技术】
[0002]随着信息科技的发展,通过将越来越多的计算机连接在一起构成了 Intranet (企业网)和Internet(互联网)。大型计算机网络中的主机数量庞大,如何能够全面、高效获取网络内所有主机所开放的端口及提供的服务成为最为关注的问题。因此,在网络中的大量主机,对其开放端口进行审计尤为重要。
[0003]对网络中大量主机进行开放端口审计,通常是由安全审计人员通过自动化扫描当下网络中主机开放端口的情况,实现网络中大量主机的开放端口审计或监控。
[0004]目前,现有网络主机扫描技术广泛使用类似Nmap的端口扫描技术或以Zmap扫描技术为代表的端口扫描技术。但是采用上述两种扫描技术进行开放端口审计时,方法单一,灵活性较差,具有一定的限制性。
【发明内容】
[0005]基于此,有必要针对现有的对网络中大量主机开放端口审计时,方法单一,灵活性较差,具有一定的限制性的问题,提供一种主机开放端口审计的方法和系统。
[0006]为实现本发明目的提供的一种主机开放端口审计的方法,包括如下步骤:
[0007]对一个或多个网络内的主机进行扫描配置,设置扫描方式;
[0008]根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果;
[0009]收集所述扫描结果,并将所述扫描结果导入数据库中;
[0010]对所述扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表;
[0011 ] 其中,所述扫描方式包括快速扫描、精确扫描、及全面扫描。
[0012]在其中一个实施例中,所述根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤:
[0013]所述扫描方式为所述快速扫描时,米用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果;
[0014]其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表。
[0015]在其中一个实施例中,所述根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤:
[0016]所述扫描方式为所述精确扫描时,米用Nmap扫描技术对所述一个或多个网络内的主机进行扫描,获取精确扫描结果;
[0017]其中,所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、主机名称、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。
[0018]在其中一个实施例中,所述根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤:
[0019]所述扫描方式为所述全面扫描时,米用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果;
[0020]以所述快速扫描结果作为输入,采用Nmap扫描技术对所述一个或多个网络内的主机进行进一步扫描,获取精确扫描结果;
[0021]其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表;
[0022]所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、所述主机名、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。
[0023]在其中一个实施例中,所述对所述扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表,包括如下步骤:
[0024]对所述扫描结果进行分析处理获取扫描信息;
[0025]将所述扫描信息按类型排序,生成所述扫描信息报表;
[0026]其中,所述类型包括所述主机的IP地址、所述主机的操作系统、所述主机的开放端口列表、以及所述主机的端口服务趋势。
[0027]相应的,为实现上述任一种主机开放端口审计的方法,本发明还提供了一种主机开放端口审计的系统,包括配置模块、扫描模块、存储模块和处理模块;
[0028]所述配置模块,用于对一个或多个网络内的主机进行扫描配置,设置扫描方式;
[0029]所述扫描模块,用于根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果;
[0030]所述存储模块,用于收集所述扫描结果,并将所述扫描结果导入数据库中;
[0031]所述处理模块,用于对所述扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表;
[0032]其中,所述扫描方式包括快速扫描、精确扫描、及全面扫描ο
[0033]在其中一个实施例中,所述扫描模块包括快速扫描单元,用于所述扫描方式为所述快速扫描时,采用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果;
[0034]其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表。
[0035]在其中一个实施例中,所述扫描模块包括精确扫描单元,用于所述扫描方式为所述精确扫描时,米用Nmap扫描技术对所述一个或多个网络内的主机进行扫描,获取精确扫描结果;
[0036]其中,所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、所述主机名、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。
[0037]在其中一个实施例中,所述扫描模块包括全面扫描单元,用于所述扫描方式为所述全面扫描时,采用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果;并以所述快速扫描结果作为输入,采用Nmap扫描技术对所述一个或多个网络内的主机进行扫描,获取精确扫描结果;
[0038]其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表;
[0039]所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、所述主机名、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。
[0040]在其中一个实施例中,所述处理模块包括分析单元和报表生成单元;
[0041]所述分析单元,用于对所述扫描结果进行分析处理获取扫描信息;
[0042]所述报表生成单元,用于将所述扫描信息按类型排序,生成所述扫描信息报表;
[0043]其中,所述类型包括所述主机的IP地址、所述主机的操作系统、所述主机的开放端口列表、以及所述主机的端口服务趋势。
[0044]上述主机开放端口审计的方法和系统的有益效果:其中方法包括:对一个或多个网络内的主机进行扫描配置,设置扫描方式;根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果;收集扫描结果,并将扫描结果导入数据库中;对扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表;其中,扫描方式包括快速扫描、精确扫描、及全面扫描。其通过对主机开放端口审计时,设置开放端口的扫描方式为快速扫描、精确扫描或全面扫描,从而根据不同的扫描方式对一个或多个网络内的主机进行扫描,完成开放端口的审计,具有多重选择性,扩展了开放端口的审计方法。有效地解决了现有的网络中大量主机开放端口审计时,方法单一,灵活性较差,具有一定的限制性的问题。
【附图说明】
[0045]图1为本发明的主机开放端口审计的方法一具体实施例流程图;
[0046]图2为本发明的主机开 放端口审计的方法另一具体实施例流程图;
[0047]图3为本发明的主机开放端口审计的系统一具体实施例结构示意图。
【具体实施方式】
[0048]为使本发明技术方案更加清楚,以下结合附图及具体实施例对本发明做进一步详细说明。
[0049]参见图1,作为一具体实施例的主机开放端口审计的方法,包括如下步骤:
[0050]步骤S100,对一个或多个网络内的主机进行扫描配置,设置扫描方式。
[0051]步骤S200,根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果。
[0052]步骤S300,收集扫描结果,并将扫描结果导入数据库中。
[0053]步骤S400,对扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表。
[0054]其中,扫描方式包括快速扫描、精确扫描、及全面扫描。
[0055]其通过对主机开放端口审计时,设置开放端口的扫描方式为快速扫描、精确扫描或全面扫描,从而根据不同的开放端口扫描方式对一个或多个网络内的主机进行扫描,完成开放端口的审计,在提高开放端口审计的速率的同时,丰富了开放端口的扫描结果。有效地解决了现有的网络中大量主机开放端口审计时,扫描速率不高和扫描结果不够丰富细致的问题。
[0056]同时,还可以根据不同情况和实际需要,对一个或多个网络内的主机进行不同方式的扫描,从而实现主机开放端口的多种扫描方式。使得在对一个或多个网络内的主机开放端口审计时,具有多种选择,丰富了开放端口审计方法,具有一定的灵活性。
[0057]具体的,作为一具体实施例的主机开放端口审计的方法,步骤S200,根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤:
[0058]步骤S210,扫描方式为快速扫描时,采用Zmap扫描技术对一个或多个网络内的主机进行扫描,获取快速扫描结果。
[0059]其中,快速扫描结果包括:主机的IP地址和主机的端口列表。
[0060]参见图2,首先执行步骤S100,对指定的一个或多个网络内的全部或部分主机进行任务调度,即进行扫描配置。其支持多个扫描任务同时执行。在进行扫描配置中,可以设置每个扫描任务的扫描开始时间、扫描范围、扫描周期、扫描方式以及任务调度顺序等扫描策略。
[0061]其中,作为一种可实施方式,以扫描任务为单位,通过设定参数进行扫描配置。具体参数设定如下:
[0062]扫描任务名称:对任务进行命名及详细描述。
[0063]扫描开始时间:执行扫描的起始时间,默认格式为:YYYY(单位为年)_MM(单位为月)-DD(单位为日)HH(单位为时):丽(单位为分):SS(单位为秒)。其中,也可由其他任务激活扫描任务。
[0064]扫描范围:选择IP地址段,支持多个IP地址段加入,且支持组织机构树和过滤器,如:172.16.1.0/24。
[0065]扫描周期:一次、每周、双周、或每月。
[0066]扫描方式:快速扫描、精确扫描、或全面扫描。其中,全面扫描为在执行开放端口扫描任务时,首先执行快速扫描获取一次扫描结果,然后在快速扫描的基础上进行精确扫描获取精确扫描结果。
[0067]关联任务:即支持任务串联,可通过选择无,或选择下一扫描任务(任务名称)来实现多项扫描任务的串联。
[0068]当执行完步骤S100,对指定的一个或多个网络内的全部或部分主机进行扫描配置后,执行步骤S210,判断扫描方式为快速扫描时,采用Zmap扫描技术对一个或多个网络内的主机进行扫描,获取快速扫描结果。
[0069]其中,步骤S210具体可通过如下步骤来实现。参见图2,首先,通过执行步骤S211,判断扫描方式是否为快速扫描。当判断出扫描方式为快速扫描时,则执行步骤S212,采用Zmap技术对指定的一个或多个网络内的全部或部分主机进行扫描,获取快速扫描结果。
[0070]此处需要说明的是,正常TCP “三次握手”为:1、建立连接时,客户端发送syn包(syn = j)到服务器;2、服务器接收到syn包,必须确认客户的SYN(ack = j+1),同时服务器自己也发送一个SYN包(syn = k),S卩SYN+ACK包;3、客户端接收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack = k+1);从而完成三次握手。
[0071]而Zmap扫描技术使用不完全的TCP “三次握手”方式连接,即Zmap扫描工具向被扫描主机发出请求,然后主动丢弃这个请求。即只执行1,不保存没有响应请求的清单,而是在传出的数据包中对识别信息进行编码,从而能对响应的数据包进行鉴别,加快了开放端口的扫描速度,提高了开放端口的扫描速率。
[0072]采用Zmap扫描技术能够获得被扫描主机的基本信息,即获取的快速扫描结果只是被扫描主机的基本信息,包括:被扫描主机的IP地址和被扫描主机的端口列表。如:zmap-w scan-1p.txt-p 80-080-14-1-1.txt,输出的快速扫描结果为 172.16.1.10。
[0073]当设置的扫描方式为快速扫描时,此时采用Zmap扫描技术对指定的一个或多个网络内的全部或部分主机进行扫描,获取快速扫描结果后,执行步骤S300,收集扫描结果,并将扫描结果导入数据库中。需要说明的是,将扫描结果导入的数据库支持Oracle、SQLServer、和Mysql等主流数据库。
[0074]应当指出的是,采用Zmap扫描技术对指定的一个或多个网络内的全部或部分主机进行扫描时,以端口遍历方式进行扫描,能够防止对单台主机产生大流量,影响主机的稳定性的现象。保证了被扫描主机的稳定性。
[0075]进一步的,作为一具体实施的主机开放端口审计的方法,步骤S200,根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤:
[0076]步骤S220,扫描方式为精确扫描时,采用Nmap扫描技术对一个或多个网络内的主机进行扫描,获取精确扫描结果。
[0077]具体的,参见图2,当执行完步骤S211,判断扫描方式是否为快速扫描时,如果扫描方式不是快速扫描,则在步骤S100中,进行扫描配置时,所设置的扫描方式可能为精确扫描。因此,执行步骤S221,对扫描方式进行再次判断,判断扫描方式是否为精确扫描,也就是说通过判断扫描配置中是否设置精确扫描。当扫描配置中设置精确扫描时,则执行步骤S222,采用Nmap扫描技术对一个或多个网络内的主机进行扫描,获取精确扫描结果。并将获取的精确扫描结果输出到步骤S300。
[0078]其中,精确扫描结果包括:主机的IP地址、主机的端口列表及名称、主机名称、主机的使用者、主机的操作系统、主机程序的banner信息,以及主机是否开放防火墙。具体的:
[0079]主机的IP地址:被扫描主机的IP地址,可来自快速扫描结果。
[0080]主机的端口名称:主机所开放的端口,例如80、443、21,同样可来自快速扫描结果。
[0081]主机名称:计算机名称,例如:0A_Server。
[0082]NetB1S name: 0A_Server (计算机名)。
[0083]主机的使用者(NetB1Suser):〈administrator〉。
[0084]主机的MAC 地址(NetB1S MAC): 70:71:be: 79: fa: 54 (Pegatron) 0
[0085]操作系统:识别主机的操作系统类型,例如Windows、Unix、Linux。
[0086] 程序的banner 信息:例如 22/tcp ssh OpenSSH 4.3 (protocol 2.0)。
[0087]是否开放防火墙:是/否。
[0088]因此,Nmap扫描技术相对于Zmap扫描技术,扫描速度较慢,但是所获取的扫描信息丰富,可以获取如上所述的所有主机开放端口的详细信息。丰富了扫描结果。
[0089]更进一步的,作为一具体实施例的主机开放端口审计的方法,步骤S200,根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤:
[0090]步骤S230,扫描方式为全面扫描时,采用Zmap扫描技术对一个或多个网络内的主机进行扫描,获取快速扫描结果。
[0091]步骤S240,以快速扫描结果作为输入,采用Nmap扫描技术对一个或多个网络内的主机进行扫描,获取精确扫描结果。
[0092]也就是说,当扫描方式为全面扫描时,首先使用zmap扫描技术以端口遍历方式对指定的一个或多个网络内的全部或部分主机进行扫描,以防止对单台主机产生大流量影响主机稳定。然后,以快速扫描获取的快速扫描结果作为输入,也就是在快速扫描的基础上,使用Nmap扫描技术,提取快速扫描结果用于精确扫描,对指定的一个或多个网络内的全部或部分主机进行精确扫描,获取精确扫描结果。
[0093]其通过针对现有端口审计技术各自的特征,将Zmap扫描技术和Nmap扫描技术相结合,既能够迅速对网络内大量主机进行端口信息收集,又能够按需对已扫描主机进行精确扫描,获得详细的端口审计信息。实现了自动扫描并及时发现网络中主机开放端口,同时还可以全面、高效获取开放端口信息,对结果信息排序分析,保证对网络中主机端口开放进行安全审计或端口监控。
[0094]在此,需要说明的是,由于全面扫描为快速扫描与精确扫描的结合。因此,可通过在步骤S100,扫描配置中分别设置快速扫描任务和精确扫描任务,并对快速扫描任务和精确扫描任务进行任务调度排序,来实现全面扫描。
[0095]具体的,可通过以下步骤来实现。参见图2,同样首先执行步骤S211,判断扫描方式是否为快速扫描。显然,此时判断出扫描任务中设置有快速扫描。因此,扫描方式为快速扫描,执行步骤S212,采用Zmap扫描技术以端口遍历方式对指定的一个或多个网络内的全部或部分主机进行扫描,获取快速扫描结果。然后,执行步骤S221,对扫描方式进行再一次判断。由于在步骤S100中,扫描方式为全面扫描,因此,扫描任务中还设置有精确扫描任务。进而,在步骤S221中,对扫描方式进行再次判断时,还包括有精确扫描。因此,执行步骤S222,采用Nmap扫描技术对指定的一个或多个网络内的全部或部分主机进行扫描。此处,进行精确扫描时,基于快速扫描的基础,即以快速扫描结果作为输入,在快速扫描结果中,对快速扫描中已扫描主机进行精确扫描,以获取更为详细的精确扫描结果。从而在加快扫描速度的同时,丰富了扫描结果。有效地解决了现有的网络中大量主机开放端口审计时,扫描速率不高和扫描结果不够丰富细致的问题。
[0096]由于全面扫描中,使用Zmap扫描技术和Nmap扫描技术相结合的端口审计方法,因此能够对网络内大量主机进行全面、高效的端口审计。一方面利用Zmap扫描技术快速信息收集,进而结合Nmap扫描技术按需对已扫描主机进行精确扫描,获得详细的端口审计信息。之后通过将扫描信息存储至数据库,可提供后续进行分析,极大地提高了网络安全管理员在网络中主机端口开放进行安全审计或端口监控工作。
[0097]另外,需要指出的是,不论采用快速扫描、精确扫描还是全面扫描,均需收集最后的扫描结果,并对扫描结果进行分析处理,以便于后续查看和检索。因此,在执行完步骤S200,根据扫描配置,对指定的一个或多个网络内的全部或部分主机进行扫描获取扫描结果后,执行步骤S300,扫描结果收集。并将收集的扫描结果导入数据库中,用于后期分析处理。
[0098]作为又一具体实施例的主机开放端口审计的方法,步骤S400,对扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表,包括如下步骤:
[0099]步骤S410,对扫描结果进行分析处理获取扫描信息。
[0100]步骤S420,将扫描信息按类型排序,生成扫描信息报表。
[0101]其中,类型包括主机的IP地址、主机的操作系统、主机的开放端口列表、以及主机的端口服务趋势。
[0102]具体的,把数据库里扫描结果进行分析处理,生成扫描信息并展现出来便于查看。其中,扫描信息可以按类型排序(主机IP、操作系统类型、开放端口列表、端口服务趋势)并生成报表,便于查看检索。主要包括:
[0103]按任务查询:所有扫描任务列表。每个任务信息包括:扫描任务名称、扫描范围、扫描开始时间、扫描结束时间、下一扫描任务名称、主机列表等。其中,点击主机列表可跳转到详细信息列表。
[0104]按主机查询:对某一个或一段IP进行查询,查询该主机IP地址、开放的端口、提供的服务、操作系统信息、历次扫描完成时间等。
[0105]相应的,为实现上述任一种主机开放端口审计的方法,本发明还提供了一种主机开放端口审计的系统。由于本发明提供的主机开放端口审计的系统的工作原理与本发明提供的主机开放端口审计的方法原理相同或类似,因此重复之处,不再赘述。
[0106]参见图3,作为一具体实施例的主机开放端口审计的系统300,包括配置模块310、扫描模块320、存储模块330和处理模块340。
[0107]配置模块310,用于对一个或多个网络内的主机进行扫描配置,设置扫描方式。
[0108]扫描模块320,用于根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果。
[0109]存储模块330,用于收集扫描结果,并将扫描结果导入数据库中。
[0110]处理模块340,用于对扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表。
[0111]其中,扫描方式为快速扫描、精确扫描、或全面扫描。
[0112]在其中一个实施例中,参见图3,扫描模块320包括快速扫描单元321。
[0113]快速扫描单兀321,用于扫描方式为快速扫描时,米用Zmap扫描技术对一个或多个网络内的主机进行扫描,获取快速扫描结果。
[0114]其中,快速扫描结果包括:主机的IP地址和主机的端口列表。
[0115]另外,扫描模块320包括精确扫描单元322。
[0116]精确扫描单兀322,用于判断扫描方式为精确扫描时,米用Nmap扫描技术对一个或多个网络内的主机进行扫描,获取精确扫描结果。
[0117]其中,精确扫描结果包括:主机的IP地址、主机的端口列表及名称、主机名、主机的使用者、主机的操作系统、主机程序的banner信息,以及主机是否开放防火墙。
[0118]进一步的,扫描模块320包括全面扫描单元323。
[0119]全面扫描单兀323,用于判断扫描方式为全面扫描时,米用Zmap扫描技术对一个或多个网络内的主机进行扫描,获取快速扫描结果。并以快速扫描结果作为输入,采用Nmap扫描技术对一个或多个网络内的主机进行扫描,获取精确扫描结果。
[0120]其中,快速扫描结果包括:主机的IP地址和主机的端口列表。
[0121]精确扫描结果包括:主机的IP地址、主机的端口列表及名称、主机名、主机的使用者、主机的操作系统、主机程序的banner信息,以及主机是否开放防火墙。
[0122]应当指出的是,处理模块340包括分析单元341和报表生成单元342。
[012 3]分析单元341,用于对扫描结果进行分析处理获取扫描信息。
[0124]报表生成单兀342,用于将扫描信息按类型排序,生成扫描信息报表。
[0125]其中,类型包括主机的IP地址、主机的操作系统、主机的开放端口列表、以及主机的端口服务趋势。
[0126]本发明提供的主机开放端口审计的系统,通过设置配置模块310,对一个或多个网络内的主机进行扫描配置,设置扫描方式,使得扫描模块320根据配置模块310中的扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果。进而由存储模块330收集获取的扫描结果,并将扫描结果导入数据库中,用于后期分析处理。最终,由处理模块340对数据库中的扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表,以便于后续查看检索。其通过扫描模块320根据配置模块310中进行扫描配置时所设置的不同的扫描方式,如:快速扫描、精确扫描或全面扫描,对一个或多个网络内的主机进行扫描,在提高开放端口审计的速率的同时,丰富了开放端口的扫描结果。有效地解决了现有的网络中大量主机开放端口审计时,扫描速率不高和扫描结果不够丰富细致的问题。
[0127]以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【主权项】
1.一种主机开放端口审计的方法,其特征在于,包括如下步骤: 对一个或多个网络内的主机进行扫描配置,设置扫描方式; 根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果; 收集所述扫描结果,并将所述扫描结果导入数据库中; 对所述扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表; 其中,所述扫描方式包括快速扫描、精确扫描、及全面扫描。2.根据权利要求1所述的主机开放端口审计的方法,其特征在于,所述根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤: 所述扫描方式为所述快速扫描时,米用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果; 其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表。3.根据权利要求1所述的主机开放端口审计的方法,其特征在于,所述根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤: 所述扫描方式为所述精确扫描时,米用Nmap扫描技术对所述一个或多个网络内的主机进行扫描,获取精确扫描结果; 其中,所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、主机名称、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。4.根据权利要求1所述的主机开放端口审计的方法,其特征在于,所述根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤: 所述扫描方式为所述全面扫描时,采用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果; 以所述快速扫描结果作为输入,采用Nmap扫描技术对所述一个或多个网络内的主机进行进一步扫描,获取精确扫描结果; 其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表; 所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、所述主机名、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。5.根据权利要求1至4任一项所述的主机开放端口审计的方法,其特征在于,所述对所述扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表,包括如下步骤: 对所述扫描结果进行分析处理获取扫描信息; 将所述扫描信息按类型排序,生成所述扫描信息报表; 其中,所述类型包括所述主机的IP地址、所述主机的操作系统、所述主机的开放端口列表、以及所述主机的端口服务趋势。6.一种主机开放端口审计的系统,其特征在于,包括配置模块、扫描模块、存储模块和处理模块; 所述配置模块,用于对一个或多个网络内的主机进行扫描配置,设置扫描方式; 所述扫描模块,用于根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果; 所述存储模块,用于收集所述扫描结果,并将所述扫描结果导入数据库中; 所述处理模块,用于对所述扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表; 其中,所述扫描方式为快速扫描、精确扫描、及全面扫描。7.根据权利要求6所述的主机开放端口审计的系统,其特征在于,所述扫描模块包括快速扫描单元,用于所述扫描方式为所述快速扫描时,采用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果; 其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表。8.根据权利要求6所述的主机开放端口审计的系统,其特征在于,所述扫描模块包括精确扫描单兀,用于所述扫描方式为所述精确扫描时,米用Nmap扫描技术对所述一个或多个网络内的主机进行扫描,获取精确扫描结果; 其中,所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、所述主机名、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。9.根据权利要求6所述的主机开放端口审计的系统,其特征在于,所述扫描模块包括全面扫描单元,用于所述扫描方式为所述全面扫描时,采用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果;并以所述快速扫描结果作为输入,采用Nmap扫描技术对所述一个或多个网络内的主机进行扫描,获取精确扫描结果; 其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表; 所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、所述主机名、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。10.根据权利要求6至9任一项所述的主机开放端口审计的系统,其特征在于,所述处理模块包括分析单元和报表生成单元; 所述分析单元,用于对所述扫描结果进行分析处理获取扫描信息; 所述报表生成单元,用于将所述扫描信息按类型排序,生成所述扫描信息报表; 其中,所述类型包括所述主机的IP地址、所述主机的操作系统、所述主机的开放端口列表、以及所述主机的端口服务趋势。
【专利摘要】本发明公开了一种主机开放端口审计的方法和系统,其中方法包括如下步骤:对一个或多个网络内的主机进行扫描配置,设置扫描方式;根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果;收集扫描结果,并将扫描结果导入数据库中;对扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表;其中,扫描方式包括快速扫描、精确扫描、及全面扫描。其通过设置开放端口的扫描方式为快速扫描、精确扫描或全面扫描,从而根据不同的扫描方式对一个或多个网络内的主机进行扫描,具有多重选择性,扩展了开放端口的审计方法。有效地解决了现有的网络中大量主机开放端口审计时,方法单一,灵活性较差,具有一定的限制性的问题。
【IPC分类】H04L29/12, H04L12/26
【公开号】CN105490866
【申请号】CN201410482653
【发明人】刘昀, 闫磊, 苏丹, 任建伟, 吴佳, 李环媛, 宋伟
【申请人】国家电网公司, 国网冀北电力有限公司信息通信分公司
【公开日】2016年4月13日
【申请日】2014年9月19日
【技术领域】
[0001]本发明涉及网络安全领域,特别是涉及一种主机开放端口审计的方法和系统。
【背景技术】
[0002]随着信息科技的发展,通过将越来越多的计算机连接在一起构成了 Intranet (企业网)和Internet(互联网)。大型计算机网络中的主机数量庞大,如何能够全面、高效获取网络内所有主机所开放的端口及提供的服务成为最为关注的问题。因此,在网络中的大量主机,对其开放端口进行审计尤为重要。
[0003]对网络中大量主机进行开放端口审计,通常是由安全审计人员通过自动化扫描当下网络中主机开放端口的情况,实现网络中大量主机的开放端口审计或监控。
[0004]目前,现有网络主机扫描技术广泛使用类似Nmap的端口扫描技术或以Zmap扫描技术为代表的端口扫描技术。但是采用上述两种扫描技术进行开放端口审计时,方法单一,灵活性较差,具有一定的限制性。
【发明内容】
[0005]基于此,有必要针对现有的对网络中大量主机开放端口审计时,方法单一,灵活性较差,具有一定的限制性的问题,提供一种主机开放端口审计的方法和系统。
[0006]为实现本发明目的提供的一种主机开放端口审计的方法,包括如下步骤:
[0007]对一个或多个网络内的主机进行扫描配置,设置扫描方式;
[0008]根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果;
[0009]收集所述扫描结果,并将所述扫描结果导入数据库中;
[0010]对所述扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表;
[0011 ] 其中,所述扫描方式包括快速扫描、精确扫描、及全面扫描。
[0012]在其中一个实施例中,所述根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤:
[0013]所述扫描方式为所述快速扫描时,米用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果;
[0014]其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表。
[0015]在其中一个实施例中,所述根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤:
[0016]所述扫描方式为所述精确扫描时,米用Nmap扫描技术对所述一个或多个网络内的主机进行扫描,获取精确扫描结果;
[0017]其中,所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、主机名称、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。
[0018]在其中一个实施例中,所述根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤:
[0019]所述扫描方式为所述全面扫描时,米用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果;
[0020]以所述快速扫描结果作为输入,采用Nmap扫描技术对所述一个或多个网络内的主机进行进一步扫描,获取精确扫描结果;
[0021]其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表;
[0022]所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、所述主机名、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。
[0023]在其中一个实施例中,所述对所述扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表,包括如下步骤:
[0024]对所述扫描结果进行分析处理获取扫描信息;
[0025]将所述扫描信息按类型排序,生成所述扫描信息报表;
[0026]其中,所述类型包括所述主机的IP地址、所述主机的操作系统、所述主机的开放端口列表、以及所述主机的端口服务趋势。
[0027]相应的,为实现上述任一种主机开放端口审计的方法,本发明还提供了一种主机开放端口审计的系统,包括配置模块、扫描模块、存储模块和处理模块;
[0028]所述配置模块,用于对一个或多个网络内的主机进行扫描配置,设置扫描方式;
[0029]所述扫描模块,用于根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果;
[0030]所述存储模块,用于收集所述扫描结果,并将所述扫描结果导入数据库中;
[0031]所述处理模块,用于对所述扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表;
[0032]其中,所述扫描方式包括快速扫描、精确扫描、及全面扫描ο
[0033]在其中一个实施例中,所述扫描模块包括快速扫描单元,用于所述扫描方式为所述快速扫描时,采用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果;
[0034]其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表。
[0035]在其中一个实施例中,所述扫描模块包括精确扫描单元,用于所述扫描方式为所述精确扫描时,米用Nmap扫描技术对所述一个或多个网络内的主机进行扫描,获取精确扫描结果;
[0036]其中,所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、所述主机名、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。
[0037]在其中一个实施例中,所述扫描模块包括全面扫描单元,用于所述扫描方式为所述全面扫描时,采用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果;并以所述快速扫描结果作为输入,采用Nmap扫描技术对所述一个或多个网络内的主机进行扫描,获取精确扫描结果;
[0038]其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表;
[0039]所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、所述主机名、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。
[0040]在其中一个实施例中,所述处理模块包括分析单元和报表生成单元;
[0041]所述分析单元,用于对所述扫描结果进行分析处理获取扫描信息;
[0042]所述报表生成单元,用于将所述扫描信息按类型排序,生成所述扫描信息报表;
[0043]其中,所述类型包括所述主机的IP地址、所述主机的操作系统、所述主机的开放端口列表、以及所述主机的端口服务趋势。
[0044]上述主机开放端口审计的方法和系统的有益效果:其中方法包括:对一个或多个网络内的主机进行扫描配置,设置扫描方式;根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果;收集扫描结果,并将扫描结果导入数据库中;对扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表;其中,扫描方式包括快速扫描、精确扫描、及全面扫描。其通过对主机开放端口审计时,设置开放端口的扫描方式为快速扫描、精确扫描或全面扫描,从而根据不同的扫描方式对一个或多个网络内的主机进行扫描,完成开放端口的审计,具有多重选择性,扩展了开放端口的审计方法。有效地解决了现有的网络中大量主机开放端口审计时,方法单一,灵活性较差,具有一定的限制性的问题。
【附图说明】
[0045]图1为本发明的主机开放端口审计的方法一具体实施例流程图;
[0046]图2为本发明的主机开 放端口审计的方法另一具体实施例流程图;
[0047]图3为本发明的主机开放端口审计的系统一具体实施例结构示意图。
【具体实施方式】
[0048]为使本发明技术方案更加清楚,以下结合附图及具体实施例对本发明做进一步详细说明。
[0049]参见图1,作为一具体实施例的主机开放端口审计的方法,包括如下步骤:
[0050]步骤S100,对一个或多个网络内的主机进行扫描配置,设置扫描方式。
[0051]步骤S200,根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果。
[0052]步骤S300,收集扫描结果,并将扫描结果导入数据库中。
[0053]步骤S400,对扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表。
[0054]其中,扫描方式包括快速扫描、精确扫描、及全面扫描。
[0055]其通过对主机开放端口审计时,设置开放端口的扫描方式为快速扫描、精确扫描或全面扫描,从而根据不同的开放端口扫描方式对一个或多个网络内的主机进行扫描,完成开放端口的审计,在提高开放端口审计的速率的同时,丰富了开放端口的扫描结果。有效地解决了现有的网络中大量主机开放端口审计时,扫描速率不高和扫描结果不够丰富细致的问题。
[0056]同时,还可以根据不同情况和实际需要,对一个或多个网络内的主机进行不同方式的扫描,从而实现主机开放端口的多种扫描方式。使得在对一个或多个网络内的主机开放端口审计时,具有多种选择,丰富了开放端口审计方法,具有一定的灵活性。
[0057]具体的,作为一具体实施例的主机开放端口审计的方法,步骤S200,根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤:
[0058]步骤S210,扫描方式为快速扫描时,采用Zmap扫描技术对一个或多个网络内的主机进行扫描,获取快速扫描结果。
[0059]其中,快速扫描结果包括:主机的IP地址和主机的端口列表。
[0060]参见图2,首先执行步骤S100,对指定的一个或多个网络内的全部或部分主机进行任务调度,即进行扫描配置。其支持多个扫描任务同时执行。在进行扫描配置中,可以设置每个扫描任务的扫描开始时间、扫描范围、扫描周期、扫描方式以及任务调度顺序等扫描策略。
[0061]其中,作为一种可实施方式,以扫描任务为单位,通过设定参数进行扫描配置。具体参数设定如下:
[0062]扫描任务名称:对任务进行命名及详细描述。
[0063]扫描开始时间:执行扫描的起始时间,默认格式为:YYYY(单位为年)_MM(单位为月)-DD(单位为日)HH(单位为时):丽(单位为分):SS(单位为秒)。其中,也可由其他任务激活扫描任务。
[0064]扫描范围:选择IP地址段,支持多个IP地址段加入,且支持组织机构树和过滤器,如:172.16.1.0/24。
[0065]扫描周期:一次、每周、双周、或每月。
[0066]扫描方式:快速扫描、精确扫描、或全面扫描。其中,全面扫描为在执行开放端口扫描任务时,首先执行快速扫描获取一次扫描结果,然后在快速扫描的基础上进行精确扫描获取精确扫描结果。
[0067]关联任务:即支持任务串联,可通过选择无,或选择下一扫描任务(任务名称)来实现多项扫描任务的串联。
[0068]当执行完步骤S100,对指定的一个或多个网络内的全部或部分主机进行扫描配置后,执行步骤S210,判断扫描方式为快速扫描时,采用Zmap扫描技术对一个或多个网络内的主机进行扫描,获取快速扫描结果。
[0069]其中,步骤S210具体可通过如下步骤来实现。参见图2,首先,通过执行步骤S211,判断扫描方式是否为快速扫描。当判断出扫描方式为快速扫描时,则执行步骤S212,采用Zmap技术对指定的一个或多个网络内的全部或部分主机进行扫描,获取快速扫描结果。
[0070]此处需要说明的是,正常TCP “三次握手”为:1、建立连接时,客户端发送syn包(syn = j)到服务器;2、服务器接收到syn包,必须确认客户的SYN(ack = j+1),同时服务器自己也发送一个SYN包(syn = k),S卩SYN+ACK包;3、客户端接收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack = k+1);从而完成三次握手。
[0071]而Zmap扫描技术使用不完全的TCP “三次握手”方式连接,即Zmap扫描工具向被扫描主机发出请求,然后主动丢弃这个请求。即只执行1,不保存没有响应请求的清单,而是在传出的数据包中对识别信息进行编码,从而能对响应的数据包进行鉴别,加快了开放端口的扫描速度,提高了开放端口的扫描速率。
[0072]采用Zmap扫描技术能够获得被扫描主机的基本信息,即获取的快速扫描结果只是被扫描主机的基本信息,包括:被扫描主机的IP地址和被扫描主机的端口列表。如:zmap-w scan-1p.txt-p 80-080-14-1-1.txt,输出的快速扫描结果为 172.16.1.10。
[0073]当设置的扫描方式为快速扫描时,此时采用Zmap扫描技术对指定的一个或多个网络内的全部或部分主机进行扫描,获取快速扫描结果后,执行步骤S300,收集扫描结果,并将扫描结果导入数据库中。需要说明的是,将扫描结果导入的数据库支持Oracle、SQLServer、和Mysql等主流数据库。
[0074]应当指出的是,采用Zmap扫描技术对指定的一个或多个网络内的全部或部分主机进行扫描时,以端口遍历方式进行扫描,能够防止对单台主机产生大流量,影响主机的稳定性的现象。保证了被扫描主机的稳定性。
[0075]进一步的,作为一具体实施的主机开放端口审计的方法,步骤S200,根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤:
[0076]步骤S220,扫描方式为精确扫描时,采用Nmap扫描技术对一个或多个网络内的主机进行扫描,获取精确扫描结果。
[0077]具体的,参见图2,当执行完步骤S211,判断扫描方式是否为快速扫描时,如果扫描方式不是快速扫描,则在步骤S100中,进行扫描配置时,所设置的扫描方式可能为精确扫描。因此,执行步骤S221,对扫描方式进行再次判断,判断扫描方式是否为精确扫描,也就是说通过判断扫描配置中是否设置精确扫描。当扫描配置中设置精确扫描时,则执行步骤S222,采用Nmap扫描技术对一个或多个网络内的主机进行扫描,获取精确扫描结果。并将获取的精确扫描结果输出到步骤S300。
[0078]其中,精确扫描结果包括:主机的IP地址、主机的端口列表及名称、主机名称、主机的使用者、主机的操作系统、主机程序的banner信息,以及主机是否开放防火墙。具体的:
[0079]主机的IP地址:被扫描主机的IP地址,可来自快速扫描结果。
[0080]主机的端口名称:主机所开放的端口,例如80、443、21,同样可来自快速扫描结果。
[0081]主机名称:计算机名称,例如:0A_Server。
[0082]NetB1S name: 0A_Server (计算机名)。
[0083]主机的使用者(NetB1Suser):〈administrator〉。
[0084]主机的MAC 地址(NetB1S MAC): 70:71:be: 79: fa: 54 (Pegatron) 0
[0085]操作系统:识别主机的操作系统类型,例如Windows、Unix、Linux。
[0086] 程序的banner 信息:例如 22/tcp ssh OpenSSH 4.3 (protocol 2.0)。
[0087]是否开放防火墙:是/否。
[0088]因此,Nmap扫描技术相对于Zmap扫描技术,扫描速度较慢,但是所获取的扫描信息丰富,可以获取如上所述的所有主机开放端口的详细信息。丰富了扫描结果。
[0089]更进一步的,作为一具体实施例的主机开放端口审计的方法,步骤S200,根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤:
[0090]步骤S230,扫描方式为全面扫描时,采用Zmap扫描技术对一个或多个网络内的主机进行扫描,获取快速扫描结果。
[0091]步骤S240,以快速扫描结果作为输入,采用Nmap扫描技术对一个或多个网络内的主机进行扫描,获取精确扫描结果。
[0092]也就是说,当扫描方式为全面扫描时,首先使用zmap扫描技术以端口遍历方式对指定的一个或多个网络内的全部或部分主机进行扫描,以防止对单台主机产生大流量影响主机稳定。然后,以快速扫描获取的快速扫描结果作为输入,也就是在快速扫描的基础上,使用Nmap扫描技术,提取快速扫描结果用于精确扫描,对指定的一个或多个网络内的全部或部分主机进行精确扫描,获取精确扫描结果。
[0093]其通过针对现有端口审计技术各自的特征,将Zmap扫描技术和Nmap扫描技术相结合,既能够迅速对网络内大量主机进行端口信息收集,又能够按需对已扫描主机进行精确扫描,获得详细的端口审计信息。实现了自动扫描并及时发现网络中主机开放端口,同时还可以全面、高效获取开放端口信息,对结果信息排序分析,保证对网络中主机端口开放进行安全审计或端口监控。
[0094]在此,需要说明的是,由于全面扫描为快速扫描与精确扫描的结合。因此,可通过在步骤S100,扫描配置中分别设置快速扫描任务和精确扫描任务,并对快速扫描任务和精确扫描任务进行任务调度排序,来实现全面扫描。
[0095]具体的,可通过以下步骤来实现。参见图2,同样首先执行步骤S211,判断扫描方式是否为快速扫描。显然,此时判断出扫描任务中设置有快速扫描。因此,扫描方式为快速扫描,执行步骤S212,采用Zmap扫描技术以端口遍历方式对指定的一个或多个网络内的全部或部分主机进行扫描,获取快速扫描结果。然后,执行步骤S221,对扫描方式进行再一次判断。由于在步骤S100中,扫描方式为全面扫描,因此,扫描任务中还设置有精确扫描任务。进而,在步骤S221中,对扫描方式进行再次判断时,还包括有精确扫描。因此,执行步骤S222,采用Nmap扫描技术对指定的一个或多个网络内的全部或部分主机进行扫描。此处,进行精确扫描时,基于快速扫描的基础,即以快速扫描结果作为输入,在快速扫描结果中,对快速扫描中已扫描主机进行精确扫描,以获取更为详细的精确扫描结果。从而在加快扫描速度的同时,丰富了扫描结果。有效地解决了现有的网络中大量主机开放端口审计时,扫描速率不高和扫描结果不够丰富细致的问题。
[0096]由于全面扫描中,使用Zmap扫描技术和Nmap扫描技术相结合的端口审计方法,因此能够对网络内大量主机进行全面、高效的端口审计。一方面利用Zmap扫描技术快速信息收集,进而结合Nmap扫描技术按需对已扫描主机进行精确扫描,获得详细的端口审计信息。之后通过将扫描信息存储至数据库,可提供后续进行分析,极大地提高了网络安全管理员在网络中主机端口开放进行安全审计或端口监控工作。
[0097]另外,需要指出的是,不论采用快速扫描、精确扫描还是全面扫描,均需收集最后的扫描结果,并对扫描结果进行分析处理,以便于后续查看和检索。因此,在执行完步骤S200,根据扫描配置,对指定的一个或多个网络内的全部或部分主机进行扫描获取扫描结果后,执行步骤S300,扫描结果收集。并将收集的扫描结果导入数据库中,用于后期分析处理。
[0098]作为又一具体实施例的主机开放端口审计的方法,步骤S400,对扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表,包括如下步骤:
[0099]步骤S410,对扫描结果进行分析处理获取扫描信息。
[0100]步骤S420,将扫描信息按类型排序,生成扫描信息报表。
[0101]其中,类型包括主机的IP地址、主机的操作系统、主机的开放端口列表、以及主机的端口服务趋势。
[0102]具体的,把数据库里扫描结果进行分析处理,生成扫描信息并展现出来便于查看。其中,扫描信息可以按类型排序(主机IP、操作系统类型、开放端口列表、端口服务趋势)并生成报表,便于查看检索。主要包括:
[0103]按任务查询:所有扫描任务列表。每个任务信息包括:扫描任务名称、扫描范围、扫描开始时间、扫描结束时间、下一扫描任务名称、主机列表等。其中,点击主机列表可跳转到详细信息列表。
[0104]按主机查询:对某一个或一段IP进行查询,查询该主机IP地址、开放的端口、提供的服务、操作系统信息、历次扫描完成时间等。
[0105]相应的,为实现上述任一种主机开放端口审计的方法,本发明还提供了一种主机开放端口审计的系统。由于本发明提供的主机开放端口审计的系统的工作原理与本发明提供的主机开放端口审计的方法原理相同或类似,因此重复之处,不再赘述。
[0106]参见图3,作为一具体实施例的主机开放端口审计的系统300,包括配置模块310、扫描模块320、存储模块330和处理模块340。
[0107]配置模块310,用于对一个或多个网络内的主机进行扫描配置,设置扫描方式。
[0108]扫描模块320,用于根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果。
[0109]存储模块330,用于收集扫描结果,并将扫描结果导入数据库中。
[0110]处理模块340,用于对扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表。
[0111]其中,扫描方式为快速扫描、精确扫描、或全面扫描。
[0112]在其中一个实施例中,参见图3,扫描模块320包括快速扫描单元321。
[0113]快速扫描单兀321,用于扫描方式为快速扫描时,米用Zmap扫描技术对一个或多个网络内的主机进行扫描,获取快速扫描结果。
[0114]其中,快速扫描结果包括:主机的IP地址和主机的端口列表。
[0115]另外,扫描模块320包括精确扫描单元322。
[0116]精确扫描单兀322,用于判断扫描方式为精确扫描时,米用Nmap扫描技术对一个或多个网络内的主机进行扫描,获取精确扫描结果。
[0117]其中,精确扫描结果包括:主机的IP地址、主机的端口列表及名称、主机名、主机的使用者、主机的操作系统、主机程序的banner信息,以及主机是否开放防火墙。
[0118]进一步的,扫描模块320包括全面扫描单元323。
[0119]全面扫描单兀323,用于判断扫描方式为全面扫描时,米用Zmap扫描技术对一个或多个网络内的主机进行扫描,获取快速扫描结果。并以快速扫描结果作为输入,采用Nmap扫描技术对一个或多个网络内的主机进行扫描,获取精确扫描结果。
[0120]其中,快速扫描结果包括:主机的IP地址和主机的端口列表。
[0121]精确扫描结果包括:主机的IP地址、主机的端口列表及名称、主机名、主机的使用者、主机的操作系统、主机程序的banner信息,以及主机是否开放防火墙。
[0122]应当指出的是,处理模块340包括分析单元341和报表生成单元342。
[012 3]分析单元341,用于对扫描结果进行分析处理获取扫描信息。
[0124]报表生成单兀342,用于将扫描信息按类型排序,生成扫描信息报表。
[0125]其中,类型包括主机的IP地址、主机的操作系统、主机的开放端口列表、以及主机的端口服务趋势。
[0126]本发明提供的主机开放端口审计的系统,通过设置配置模块310,对一个或多个网络内的主机进行扫描配置,设置扫描方式,使得扫描模块320根据配置模块310中的扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果。进而由存储模块330收集获取的扫描结果,并将扫描结果导入数据库中,用于后期分析处理。最终,由处理模块340对数据库中的扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表,以便于后续查看检索。其通过扫描模块320根据配置模块310中进行扫描配置时所设置的不同的扫描方式,如:快速扫描、精确扫描或全面扫描,对一个或多个网络内的主机进行扫描,在提高开放端口审计的速率的同时,丰富了开放端口的扫描结果。有效地解决了现有的网络中大量主机开放端口审计时,扫描速率不高和扫描结果不够丰富细致的问题。
[0127]以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【主权项】
1.一种主机开放端口审计的方法,其特征在于,包括如下步骤: 对一个或多个网络内的主机进行扫描配置,设置扫描方式; 根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果; 收集所述扫描结果,并将所述扫描结果导入数据库中; 对所述扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表; 其中,所述扫描方式包括快速扫描、精确扫描、及全面扫描。2.根据权利要求1所述的主机开放端口审计的方法,其特征在于,所述根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤: 所述扫描方式为所述快速扫描时,米用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果; 其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表。3.根据权利要求1所述的主机开放端口审计的方法,其特征在于,所述根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤: 所述扫描方式为所述精确扫描时,米用Nmap扫描技术对所述一个或多个网络内的主机进行扫描,获取精确扫描结果; 其中,所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、主机名称、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。4.根据权利要求1所述的主机开放端口审计的方法,其特征在于,所述根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果,包括如下步骤: 所述扫描方式为所述全面扫描时,采用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果; 以所述快速扫描结果作为输入,采用Nmap扫描技术对所述一个或多个网络内的主机进行进一步扫描,获取精确扫描结果; 其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表; 所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、所述主机名、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。5.根据权利要求1至4任一项所述的主机开放端口审计的方法,其特征在于,所述对所述扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表,包括如下步骤: 对所述扫描结果进行分析处理获取扫描信息; 将所述扫描信息按类型排序,生成所述扫描信息报表; 其中,所述类型包括所述主机的IP地址、所述主机的操作系统、所述主机的开放端口列表、以及所述主机的端口服务趋势。6.一种主机开放端口审计的系统,其特征在于,包括配置模块、扫描模块、存储模块和处理模块; 所述配置模块,用于对一个或多个网络内的主机进行扫描配置,设置扫描方式; 所述扫描模块,用于根据所述扫描配置,对所述一个或多个网络内的主机进行扫描,获取相应的扫描结果; 所述存储模块,用于收集所述扫描结果,并将所述扫描结果导入数据库中; 所述处理模块,用于对所述扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表; 其中,所述扫描方式为快速扫描、精确扫描、及全面扫描。7.根据权利要求6所述的主机开放端口审计的系统,其特征在于,所述扫描模块包括快速扫描单元,用于所述扫描方式为所述快速扫描时,采用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果; 其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表。8.根据权利要求6所述的主机开放端口审计的系统,其特征在于,所述扫描模块包括精确扫描单兀,用于所述扫描方式为所述精确扫描时,米用Nmap扫描技术对所述一个或多个网络内的主机进行扫描,获取精确扫描结果; 其中,所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、所述主机名、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。9.根据权利要求6所述的主机开放端口审计的系统,其特征在于,所述扫描模块包括全面扫描单元,用于所述扫描方式为所述全面扫描时,采用Zmap扫描技术对所述一个或多个网络内的主机进行扫描,获取快速扫描结果;并以所述快速扫描结果作为输入,采用Nmap扫描技术对所述一个或多个网络内的主机进行扫描,获取精确扫描结果; 其中,所述快速扫描结果包括:所述主机的IP地址和所述主机的端口列表; 所述精确扫描结果包括:所述主机的IP地址、所述主机的端口列表及名称、所述主机名、所述主机的使用者、所述主机的操作系统、所述主机程序的banner信息,以及所述主机是否开放防火墙。10.根据权利要求6至9任一项所述的主机开放端口审计的系统,其特征在于,所述处理模块包括分析单元和报表生成单元; 所述分析单元,用于对所述扫描结果进行分析处理获取扫描信息; 所述报表生成单元,用于将所述扫描信息按类型排序,生成所述扫描信息报表; 其中,所述类型包括所述主机的IP地址、所述主机的操作系统、所述主机的开放端口列表、以及所述主机的端口服务趋势。
【专利摘要】本发明公开了一种主机开放端口审计的方法和系统,其中方法包括如下步骤:对一个或多个网络内的主机进行扫描配置,设置扫描方式;根据扫描配置,对一个或多个网络内的主机进行扫描,获取相应的扫描结果;收集扫描结果,并将扫描结果导入数据库中;对扫描结果进行分析处理,获取扫描信息,并生成扫描信息报表;其中,扫描方式包括快速扫描、精确扫描、及全面扫描。其通过设置开放端口的扫描方式为快速扫描、精确扫描或全面扫描,从而根据不同的扫描方式对一个或多个网络内的主机进行扫描,具有多重选择性,扩展了开放端口的审计方法。有效地解决了现有的网络中大量主机开放端口审计时,方法单一,灵活性较差,具有一定的限制性的问题。
【IPC分类】H04L29/12, H04L12/26
【公开号】CN105490866
【申请号】CN201410482653
【发明人】刘昀, 闫磊, 苏丹, 任建伟, 吴佳, 李环媛, 宋伟
【申请人】国家电网公司, 国网冀北电力有限公司信息通信分公司
【公开日】2016年4月13日
【申请日】2014年9月19日
最新回复(0)