本發明涉及一種系統漏洞掃描調度方法，將新產生的漏洞掃描任務發送至掃描器，參數解析結果正確且沒有錯誤參數則接受漏洞掃描任務，獲取任務配置中的掃描目標集合，對所有掃描目標進行端口識別和操作系統類型評估，對端口對應的任務配置信息進行漏洞掃描，基于上述結果，以任務配置信息進行漏洞掃描。本發明的掃描分成兩個過程，一是端口服務發現后，二是操作系統、端口掃描完成且端口對應掃描插件掃描完成后，根據任務配置加載總結型插件進行掃描，相對于傳統漏洞掃描器，與端口服務相關的漏洞掃描插件做到了提前掃描，加快了掃描速度，且當部分端口結果掃描完成后，若端口狀態發生改變或因掃描超時任務自動中止時，可提供更多的結果。

技術領域

本發明涉及確保或維持可信任的計算機平臺，例如安全引導或斷電、版本控制、系統軟件檢查、安全更新或評估漏洞的技術領域，特別涉及一種分階段、基于漏洞掃描插件調度的系統漏洞掃描調度方法。

背景技術

系統漏洞掃描，即利用網絡數據收發、文件內容核查等方式檢查操作系統中是否存在漏洞，通過使用實現了該技術的程序對操作系統進行掃描，能使人們掌握特定主機當前的安全程度，了解與修復存在的漏洞有助于避免系統受到惡意侵入。

現有技術中，系統漏洞掃描的漏洞掃描插件的調用都包含兩個階段，一是端口服務與操作系統的識別，二是對識別結果進行漏洞插件調用、掃描系統漏洞，這兩個階段完全分隔，第一階段的輸出以整體的方式提供給第二階段作為輸入。這種掃描方式的缺點在于，由于主機端口服務和操作系統識別階段與漏洞插件掃描階段完全是時間隔離的兩個階段，主機端口服務得出部分結果時，掃描器等待所有的端口服務掃描完成且操作系統類型識別完成后才進行漏洞掃描插件的調用，效率不高，掃描速度慢，掃描結果存在滯后性，可能導致掃描結果不準確。

在越來越復雜的網絡背景下，不同主機開放端口和對應服務有可能存在很大的不同，在識別端口狀態、服務狀態和操作系統類型時，人們對掃描結果的速度與準確性的要求也越來越高。

發明內容

為了解決現有技術中存在的問題，本發明提供一種優化的系統漏洞掃描調度方法。

本發明所采用的技術方案是，一種系統漏洞掃描調度方法，所述方法包括以下步驟：

步驟1：判斷是否有新的漏洞掃描任務產生，若是，則進行下一步，否則，重復步驟1；

步驟2：發送任務至掃描器；判斷參數解析結果或是否含有錯誤參數，若參數解析失敗或含有錯誤參數，則發出錯誤消息并結束任務，否則，進行下一步；

步驟3：掃描器接受漏洞掃描任務；獲取任務配置中的掃描目標集合；

步驟4：對所有掃描目標進行端口識別和操作系統類型評估；

步驟5：對端口對應的任務配置信息進行漏洞掃描；

步驟6：基于步驟4和步驟5的結果，以任務配置信息進行漏洞掃描。

優選地，所述步驟2中，漏洞掃描任務通過任務參數發送至掃描器，所述任務參數中包括任務配置信息。

優選地，所述任務參數包括程序運行參數、網絡消息和配置文件。

優選地，所述任務配置信息包括需要掃描的漏洞插件、各階段的超時時間。

優選地，所述步驟4中，掃描器以一個掃描目標為單位，在任務配置的并發數限制值下進行并行掃描，超出并發數限制值的掃描目標按順序進行掃描，完成對所有掃描目標的掃描。

優選地，所述步驟4包括以下步驟：

步驟4.1：對掃描目標進行在線識別，若在線，則進行下一步，否則，結束任務；

步驟4.2：對在線的掃描目標進行端口開放性探測，檢測到開放端口則進行下一步，否則，結束任務；