2. 技术
  3. 一种基于多节点协同的资产探测方法与流程

一种基于多节点协同的资产探测方法与流程

xiaoxiao3月前  23

本发明属于网络安全领域,具体涉及一种基于多节点协同的资产探测方法。


背景技术:

1、目前资产探测策略是多引擎分段探测,每个引擎负责一个地址段探测,即基于ip地址进行地址范围分配,在同一个地址范围内,由同一个引擎进行并发探测,并且探测结果通常来自于同一个引擎,探测结果并未进行验证。例如,不同引擎资产探测地址范围分配,引擎一:28.21*.*,引擎二:28.22*.*,引擎三:28.23*.*。

2、部分资产安全防护机制较高,高频次探测行为可能误认为网络攻击行为,对这类资产进行探测时,如果同一个ip地址、同一个引擎对该类资产进行探测,资产探测存在测量不准确、不完整甚至出现虚假信息。比如,如果同一个ip地址对于自身不同端口进行三次及以上端口扫描,并且该ip地址并不是白名单中,则阻止该ip地址的后续访问,并且该ip地址放入临时黑名单中,通常6-12小时后,才可以再访问资产端口和服务。该情况下,针对该资产后续端口探测结果将是错误的和不正确的。

3、当前,资产探测流程机制存在如下问题:一是资产探测未考虑安全防护机制规避,所有资产探测采用同一个机制和策略,造成高安全防护机制下资产探测仅仅探测有限端口,其他端口探测结果并未进行有效探测;二是探测同一资产的多个端口、多个服务时,采用同一个节点、同一个引擎、同一个代理和同一个ip地址,容易触发资产安全防护机制,造成高安全防护机制下资产探测结果不准确;三是资产探测结果并未采用多个节点探测结果进行验证,造成高安全防护节点探测结果误报率较高。


技术实现思路

1、(一)要解决的技术问题

2、本发明要解决的技术问题是如何提供一种基于多节点协同的资产探测方法,以解决资产探测未考虑安全防护机制规避、高安全防护机制资产探测结果不准确等问题。

3、(二)技术方案

4、为了解决上述技术问题,本发明提出一种基于多节点协同的资产探测方法,该方法包括如下步骤:

5、s1、调度子系统依据调度探测策略,下发资源申请任务;

6、s2、探测执行子系统接收调度子系统的资源申请任务,判断系统满足资源申请任务需求后,向ip资源池、代理资源池、引擎资源池申请相关资源,申请成功后,生成探测执行单元实体,返回调度子系统资源创建成功响应;

7、s3、调度子系统接收到探测执行子系统资源创建成功响应后,采用多节点协同策略,生成探测任务,并下发到探测执行子系统,探测任务包括多条子任务;

8、s4、探测执行子系统接收调度子系统的探测任务后,依据探测任务,对于同一个资源待测每一个端口均采用不同探测执行单元探测,同时对于每一个端口采用多个探测执行单元探测,探测结果返回后,统一发送给决策子系统;

9、s5、决策子系统依据探测执行子系统的探测结果,针对同一个资源同一个端口探测多个结果进行分析和处理,输出唯一探测决策结果,发送到存储子系统,实现探测结果存储。

10、(三)有益效果

11、本发明提出一种基于多节点协同的资产探测方法,本发明的有益效果在于:

12、1.高安全等级资产探测方法。

13、2.资产(高安全等级)探测结果更准确、更全面。

14、3.提高节点资源(ip地址、探测引擎、探测代理)使用寿命和有效性。



技术特征:

1.一种基于多节点协同的资产探测方法,其特征在于,该方法包括如下步骤:

2.如权利要求1所述的基于多节点协同的资产探测方法,其特征在于,该方法基于多节点协同资产探测系统,该系统包括:应用层、中间层和资源层,应用层包括调度子系统和决策子系统,中间层包括探测执行子系统和存储子系统,资源层包括ip资源池、代理资源池和引擎资源池。

3.如权利要求2所述的基于多节点协同的资产探测方法,其特征在于,资源申请任务包括:探测地址空间、探测执行单元数量、探测执行单元使用ip地址资源数量、探测使用代理类型和代理资源数量、探测使用引擎类型和引擎数量。

4.如权利要求3所述的基于多节点协同的资产探测方法,其特征在于,所述s3中多节点协同策略包括:资产不同端口使用不同探测执行单元、一个端口使用多个探测执行单元、探测执行单元使用不同ip地址、探测执行单元使用不同探测代理、探测执行单元使用不同探测引擎、以及探测执行间隔随机化。

5.如权利要求3所述的基于多节点协同的资产探测方法,其特征在于,所述s3中子任务格式包括:探测执行单元、资源地址、资源端口、资源服务、探测使用ip地址、探测代理和探测引擎。

6.如权利要求3或4所述的基于多节点协同的资产探测方法,其特征在于,所述s4中对于同一个资源待测每一个端口均采用不同探测执行单元定制的不同ip地址、探测代理和探测引擎进行探测,同时对于每一个端口采用多个探测执行单元验证探测结果正确性。

7.如权利要求3或4所述的基于多节点协同的资产探测方法,其特征在于,所述s5中,依据多数投票算法进行辅助决策,输出唯一探测决策结果。

8.如权利要求3或4所述的基于多节点协同的资产探测方法,其特征在于,所述s5中,采用决策树算法进行辅助决策,输出唯一探测决策结果。

9.如权利要求3或4所述的基于多节点协同的资产探测方法,其特征在于,对于高安全防护节点,通过合理调度ip地址资源池、代理资源池和引擎资源池,对探测目标每个端口、服务使用不同ip地址、不同网络代理和不同引擎开展探测,防止触发资产安全防护机制导致探测执行单元被拉入黑名单,确保探测结果有效性。

10.如权利要求3或4所述的基于多节点协同的资产探测方法,其特征在于,对于高安全防护节点,对探测目标每个端口、服务使用多个节点联合探测,针对同一个资产、同一个端口/服务探测输出多个结果,采用决策树算法进行辅助决策,提高资产探测准确率。


技术总结
本发明涉及一种基于多节点协同的资产探测方法,属于网络安全领域。本发明的方法通过合理调度ip地址资源池、代理资源池和引擎资源池,对探测目标每个端口、服务使用不同ip地址、不同网络代理和不同引擎开展探测,防止触发资产安全防护机制导致探测执行单元被拉入黑名单,确保探测结果有效性。对探测目标每个端口、服务使用多个节点联合探测,针对同一个资产、同一个端口/服务探测输出多个结果,采用决策树等算法进行辅助决策,提高资产探测准确率。本发明通过多节点协同探测,解决资产探测未考虑安全防护机制规避、高安全防护机制资产探测结果不准确等问题,有效提升高安全防护节点的资产探测准确率。

技术研发人员:朱涛,李艳斌,江玉朝,吴志勇,吴庆,王雪逸,常天佑,王菁,佟学乾,赵元杰,王世界,管乐乐,陈高峰,张小堂,渠吉瑞,胡希荣,刘永宁
受保护的技术使用者:中国人民解放军61660部队
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)