技術(shù)領(lǐng)域

本發(fā)明涉及一種自動告警系統(tǒng)，特別是涉及一種漏洞預(yù)警及應(yīng)急響應(yīng)自動告警系統(tǒng)。

背景技術(shù)

當前的漏洞掃描設(shè)備都是基于以下兩大傳統(tǒng)掃描技術(shù)：

一、用于資產(chǎn)識別引擎的掃描技術(shù)

1.ping/ICMP掃描技術(shù)，ping掃描的目的，就是確認目標主機的IP地址，即掃描的IP地址是否分配了主機。ping掃描是基于ICMP 協(xié)議的，因此把發(fā)現(xiàn)目的網(wǎng)絡(luò)或主機的一類基于ICMP協(xié)議的掃描稱為ping掃描。其主要思想，就是構(gòu)造一個ICMP包，發(fā)送給目標主機，從目標主機生成的響應(yīng)來進行判斷。

2.端口掃描技術(shù)，分為TCP端口掃描和UDP端口掃描。

(1)UDP掃描技術(shù)，UDP協(xié)議是數(shù)據(jù)包協(xié)議，為了要發(fā)現(xiàn)正在服務(wù)的UDP端口，通常的掃描方式是構(gòu)造一個內(nèi)容為空的UDP數(shù)據(jù)包送往目的端口。若目的端口上有服務(wù)正在等待，則目的端口返回錯誤的消息；若目的端口處于關(guān)閉狀態(tài)，則目的主機返回ICMP端口不可達消息。

(2)TCP全連接掃描技術(shù)，通過使用windows socket提供的 connect()的函數(shù)建立與目標主機的端口連接，完成一次三次握手的過程，向目標主機的TCP/IP服務(wù)端口發(fā)送探測數(shù)據(jù)包，并記錄目標主機的響應(yīng)，就可以實現(xiàn)對端口的開放情況的判斷，并且可以充分了解端口提供的服務(wù)或相關(guān)信息。

3.操作系統(tǒng)探測

包含管理網(wǎng)絡(luò)資源的主機或設(shè)備以及提供數(shù)據(jù)、服務(wù)的計算機程序的探測，得到的結(jié)果是所掃描的目標主機的IS信息以及提供服務(wù)的計算機程序的信息，獲取途徑包括：

(1)二進制信息探測，但其泄露了自己的具體信息。

(2)http響應(yīng)分析，在和HTTP建立連接后，分析服務(wù)器的響應(yīng)得出操作系統(tǒng)信息。

(3)棧指紋分析，所有的主機都會通過TCP/IP或類似協(xié)議棧來互通互聯(lián)，對錯誤包的響應(yīng)，默認值等可以作為區(qū)分OS的依據(jù)。

二、用于漏洞情報搜集引擎的技術(shù)

目前各大廠商主流的基于漏洞情況搜集引擎的技術(shù)主要是“分布式網(wǎng)絡(luò)爬蟲”技術(shù)。

主要分為以下7個功能：

(1)頁面獲取，從起始頁面開始搜索，發(fā)送頁面請求數(shù)據(jù)包，下載URL頁面；

(2)頁面分析，對下載下來的頁面進行分析，提取頁面中的URL；

(3)鏈接過濾，對頁面分析中提取到的鏈接進行操作，去重、剔除錯誤URL；

(4)連接隊列，維護URL隊列；

(5)對獲取到的URL網(wǎng)頁進行下載，根據(jù)實際情況解決網(wǎng)頁的編碼問題，下載網(wǎng)站中的文本信息，例如HTML頁面、ASP/PHP/JSP 等；

(6)分解網(wǎng)頁，從網(wǎng)頁中提取一定的結(jié)構(gòu)化信息；

(7)存儲網(wǎng)頁，對爬出的網(wǎng)頁信息存儲。

目前大部分企業(yè)公司應(yīng)對漏洞預(yù)警的主要措施有，使用主流廠商的漏洞掃描系統(tǒng)進行定時周期的漏洞掃描或者人工被動獲取漏洞預(yù)警信息。

然而現(xiàn)有的主流漏洞掃描設(shè)備產(chǎn)品并不能及時獲取最新漏洞更新包，如果設(shè)備部署在公司的內(nèi)網(wǎng)隔離外網(wǎng)，漏洞更新包只能靠人工手動更新，更難實現(xiàn)第一時間的獲取更新，導(dǎo)致對漏洞預(yù)警無法實現(xiàn)第一時間響應(yīng)并錯過修補漏洞的最佳時機。

漏洞掃描系統(tǒng)每次掃描時無法定制指定的漏洞進行掃描，每次掃描都要運行加載的規(guī)則，導(dǎo)致報告中存在過往已掃描過漏洞等諸多干擾項，變成了信息堆砌，對安全運維人員來說是項耗時耗力的工作。

人工獲取漏洞預(yù)警時，獲取信息的渠道來源通常漏洞公告只報告受影響的系統(tǒng)版本及范圍，具體到公司范圍，哪些資產(chǎn)受到影響，還是需要安全運維人員一個一個系統(tǒng)進行排查，當公司系統(tǒng)結(jié)構(gòu)復(fù)雜龐大時，此項工作變的耗費精力，無法實現(xiàn)自動化智能化。

發(fā)明內(nèi)容

本發(fā)明的目的是提出一種漏洞預(yù)警及應(yīng)急響應(yīng)自動告警系統(tǒng)，以解決上述技術(shù)問題，部署后，本系統(tǒng)能夠全自動實現(xiàn)從獲取漏洞預(yù)警到驗證識別影響范圍到告警的應(yīng)急響應(yīng)完整過程，從而保證能第一時間自動獲取漏洞預(yù)警信息并智能分析資產(chǎn)受影響情況，準確的告知管理員具體的受影響系統(tǒng)地址和信息及補救方案。

為實現(xiàn)上述目的，本發(fā)明提供了一種漏洞預(yù)警及應(yīng)急響應(yīng)自動告警系統(tǒng)，包括資產(chǎn)識別引擎，所述資產(chǎn)識別引擎根據(jù)預(yù)設(shè)規(guī)則定時定期運行對自身資產(chǎn)范圍進行探測，建立連接，識別獲取資產(chǎn)原始信息，并將資產(chǎn)原始信息存進數(shù)據(jù)庫中；

資產(chǎn)信息處理引擎，所述資產(chǎn)信息處理引擎運行將數(shù)據(jù)庫中的資產(chǎn)原始信息進行處理，生成數(shù)據(jù)表，并存入數(shù)據(jù)庫；