技術領域

本發明屬于計算機網絡安全技術領域，涉及一種基于協程的針對大規模目標進行漏洞預警的方法。

背景技術

進程是計算機中的程序關于某數據集合上的一次運行活動，是系統進行資源分配和調度的基本單位，是操作系統結構的基礎。

線程是進程中的一個實體，是被系統獨立調度和分派的基本單位，線程自己不擁有系統資源，只擁有一點在運行中必不可少的資源，但它可與同屬一個進程的其它線程共享進程所擁有的全部資源。

多線程是指在單個程序中同時運行多個線程完成不同的工作。多個線程相對獨立，有自己的上下文，切換受系統控制。

協程是一種程序組件。協程中的每個線程相對獨立，每個線程有自己的上下文，但是協程對線程的切換由協程自己控制，不需要內核切換的開銷。協程避免了陷入內核級別的上下文切換造成的性能損失，進而突破了線程在IO上的性能瓶頸。

安全漏洞事件的預警，最常見的場景是，當一個新漏洞爆發后，網絡安全監管部門進行該漏洞事件的預警響應：發布漏洞詳細信息和漏洞修復方案，檢查出自身管轄區域內受該漏洞影響的設備和系統，并督促設備和系統的所屬者進行漏洞修復。

管轄區域內的設備和系統數量較多，想在盡量短的時間內獲取受漏洞影響的設備和系統，常用的方法是采用多線程的技術，針對大規模的目標進行漏洞檢測。

然而采用多線程的技術，當涉及到大規模的并發連接時，以線程作為處理單元，系統調度的開銷還是過大。當連接數很多，則需要大量的線程進行處理，這樣會出現大部分的線程處于空閑狀態，而系統會不斷地進行上下文切換，性能不夠高。

發明內容

針對現有技術中存在的技術問題，本發明的目的在于提供一種基于協程的針對大規模目標進行漏洞預警的方法。

本發明基于協程技術，編寫針對大規模目標的“發送請求和接收響應”系統，結合漏洞檢測工具，研制出針對大規模目標的批量漏洞檢測系統，獲取存在漏洞的目標列表；基于漏洞詳細信息、漏洞修復方案和存在漏洞的目標列表，進行漏洞預警。

隔一段時間后，針對相同的目標再次進行批量漏洞檢測，獲取依然存在漏洞的目標列表，通過復查知曉漏洞修復的效果，以督促漏洞修復工作。

本發明的技術方案為：

一種針對大規模目標進行漏洞預警的方法，其步驟包括：

1)對于目標漏洞，獲取該目標漏洞的漏洞詳細信息，制定該目標漏洞的漏洞檢測工具；

2)基于協程技術創建一針對大規模目標的發送請求和接收響應系統，然后結合漏洞檢測工具創建一針對大規模目標的批量漏洞檢測系統，獲取存在該目標漏洞的目標列表；其中，該發送請求和接收響應系統中設置多個進程，每一進程中設有一主線程和多個協程，用于并行處理接收的多個請求，以及獲取多個請求的響應數據包內容；該批量漏洞檢測系統用于接收多個待檢測目標的檢測任務，以及獲取多個待測目標中存在該目標漏洞的目標列表；

3)基于該目標漏洞的漏洞詳細信息和該目標列表，生成該目標漏洞的漏洞預警信息。

進一步的，該發送請求和接收響應系統并行處理接收的多個請求的方法為：將待處理的多個請求分配給各進程；其中，對于每一進程i，該進程i的處理流程為：

21)該進程i的主線程選取多個請求分配給該進程i當前空閑的協程；

22)分配到請求的每一協程發送請求給一待測目標，等待接收該待測目標的響應內容；然后將控制權交給該主線程；當該協程接收到該待測目標的響應內容后，通知該主線程獲取響應內容；

23)該主線程獲取各協程的響應內容并輸出；

24)重復步驟21)～23)，直到所有請求處理完成。

進一步的，該批量漏洞檢測系統獲取存在該目標漏洞的目標列表的方法為：

31)對于N個待測目標，構造出N個用來檢測待測目標是否存在漏洞的請求數據包；

32)將該N個請求數據包作為N個待發送的請求輸入給該發送請求和接收響應系統；

33)該發送請求和接收響應系統輸出N個響應內容給該批量漏洞檢測系統；

34)該批量漏洞檢測系統基于該N個響應內容分別判斷該N個待測目標是否存在該目標漏洞；

35)該批量漏洞檢測系統根據存在該目標漏洞的目標生成存在該目標漏洞的目標列表。