(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210990644.4 (22)申请日 2022.08.18 (71)申请人 长春嘉诚信息技 术股份有限公司 地址 130103 吉林省长 春市高新区越达路 1188号1号楼 (72)发明人 李忆平　白东鑫　董铖　李哲　 庞景秋　齐井春　李绍俊　陈兴钰　 崔放　 (74)专利代理 机构 北京天江律师事务所 1 1537 专利代理师 何志国 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于分布式扫描引擎的脆弱性分析方 法 (57)摘要 本发明公开了一种基于分布式扫描引擎的 脆弱性分析方法， 该方法通过建立管理系统对漏 洞数据进行统一处理形成漏洞闭环管理流程， 具 体包括以下步骤： 步骤S1、 漏洞发现； 步骤S2、 漏 洞研判； 步骤S3、 漏洞修复； 步骤S4、 漏洞验证。 本 发明通过建立一套完整的网络安全漏洞管理体 系支撑系统， 将漏扫设备数据、 等保测评发现的 漏洞数据、 渗透测试发现的漏洞数据等进行数据 统一规范化处理， 形成漏洞管 理处置流程和闭环 工作流程， 并及时采取修补措施， 消除安全隐患， 降低安全风险。 权利要求书3页 说明书7页 附图3页 CN 115361203 A 2022.11.18 CN 115361203 A 1.一种基于分布式扫描引擎的脆弱性分析方法， 其特征在于： 该方法通过建立管理系 统对漏洞数据进行统一处 理形成漏洞闭环管理流 程， 具体包括以下步骤： 步骤S1、 漏洞发现； 步骤S2、 漏洞研判； 步骤S3、 漏洞修复； 步骤S4、 漏洞验证。 2.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法， 其特征在于： 所述步 骤S1、 漏洞发现分为两 部分： S11、 自主扫描引擎发现包括以下两 部分： A、 资产发现 a.扫描引擎通过使用ICMP  ECHO请求或发送TCP数据包到一个或多个端口， 在有效 的端 口扫描中发现设备， 响应这些数据包的系统被标记为处于活动状态， 并将被加入随后的扫 描阶段； b.当在DMZ中或其他任何受严格保护的区域中扫描资产时， 引擎会使用在a阶段查找到 的端口扫描结果， 从而确定哪些主机处于活动状态， 如果在一项资产中发现任何端口处于 开放状态， 则系统将标记此资产为 “存活”； B、 漏洞评估 c.漏洞评估通过插件实现， 插件是用脚本语言编写好的子程序， 通常系统先制定扫描 策略， 然后扫描程序根据策略调用一系列插件来执行漏洞扫描， 检测出系统中存在的一个 或者多个漏洞； d.支持CVE、 B ID、 EDB、 CNNVD漏洞标准， 并提供详细的漏洞信息， 包括漏洞的真实利用信 息。 S12、 第三方扫描引擎发现包括以下两 部分： e.通过API接入主流第三方漏洞 扫描引擎， 通过API控制引擎， 并得到漏洞 扫描结果； f.通过导入第三方漏洞扫描结果数据， 将数据传递到平台内做数据分析， 分析原则是 通过与漏洞库进行对比， 然后再调用自主引擎发起扫描与之做对比， 然后得出最终扫描报 告。 3.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法， 其特征在于： 所述步 骤S2、 漏洞研判为对发现的漏洞进 行研判， 平均每个漏洞会进 行系统版本检测、 补丁系统比 对、 漏洞攻击验证三个步骤， 最终确定是否为真实漏洞， 具体包括以下步骤： S21、 通过引擎扫描发现的漏洞会进一 步识别漏洞的类型、 版本； S22、 将通过查找的漏洞涉及的具体版本匹配补丁库中的修复方案， 补丁库不仅提供补 丁下载， 同样也 提供各个版本漏洞的修复方案； S23、 漏洞攻击针对的是插件， 通过系统预制web类型漏洞、 以及部分主机漏洞的攻击脚 本， 在已经识别的漏洞和相应版本的基础上， 进行具体的POC验证， 如果POC验证成功， 说明 该漏洞是能被实际利用的。 4.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法， 其特征在于： 所述步 骤S3、 漏洞修复包括工单派送、 补丁库； 其中， 工单派送： 漏洞修复环节通过工单的形式进行管理， 由安全管理员创建工单， 选权　利　要　求　书 1/3 页 2 CN 115361203 A 2择需要修复的漏洞， 设定紧急程度和计划时间， 然后 指定接单人； 接单人登录系统会接到系 统的消息通知， 进行工单的关闭、 延期处理， 安全管理员作为派单人员对工单进行催单、 审 核； 补丁库： 补丁库是对漏洞修复的修复依据， 漏洞修复过程中系统会提示如何修复， 期间 会提示补丁下 载地址， 在内网环境下直接下 载使用， 能有效提高修复过程中的效率。 5.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法， 其特征在于： 所述步 骤S4、 漏洞验证包括以下部分： 漏洞利用： 使用渗透模块尝试和目标机器建立会话， 在 建立会话的过程中， 不同的风险 等级会使用不同的渗透模块； 收集证据： 建立会话之后， 默认为收集到目标的系统信息、 安装的系统服务、 屏幕截图、 用户凭证， 证据收集完成后， 通过会话销毁痕迹； 提权： 在目标机器上建立会话后， 可操作的权限取决于建立会话的渗透模块利用的连 接用户， 如果此用户只是普通用户， 将无法使用一些高级的系统命令， 为此， 需要提升当前 用户的权限， 运行 更高级的系统命令； 远程跳板： 将控制的目标机器作为数据的中转点， 发起新的渗透测试， 使用远程跳板 后， 能做到不和最终目标机器接触， 而完成渗透测试工作。 6.根据权利要求1所述的基于分布式扫描引擎的脆弱性分析方法， 其特征在于： 所述管 理系统包括展示层、 业 务应用层、 接口层、 数据存 储层； 所述展示层用于实现资产信息、 漏洞 信息的展示； 所述业务应用层包括资产管理、 检测管理、 补丁管理、 漏洞管理、 任务管理、 工单管理、 报告管理、 系统管理； 所述接口层通过接口对接数据处 理， 同时能兼容漏洞 扫描引擎； 所述数据存 储层用于对系统所用数据进行存 储， 包括以下模块： 资源池模块： 自动分析出各个引擎负荷状态， 调用其他引擎分担任务， 同时也能调用多 个引擎对同一个资产进行扫描， 脆弱性发现； POC研判引擎模块： 对扫描发现的漏洞进行研判渗透工作， 进一步验证该漏洞的威胁程 度和修复优先级。 7.根据权利要求6所述的基于分布式扫描引擎的脆弱性分析方法， 其特征在于： 所述资 产管理包括资产的增加、 修改、 删除、 导入、 导出、 发现， 统称测绘， 其中资产信息包括主机 ip、 操作系统、 主机名称； 所述检测管理即对探针的管理， 探针通过使用ICMP  ECHO请求或发送TCP数据包到一个 或多个端口， 在有效的端口扫描中发现设备， 响应这些数据包的系统被标记为处于活动状 态， 并将被加入随后的扫描阶段。 8.根据权利要求6所述的基于分布式扫描引擎的脆弱性分析方法， 其特征在于： 所述补 丁管理为定期更新各个厂商所发布的已发现漏洞的修复补丁， 并将补丁下载到系统以便修 复漏洞时使用； 所述漏洞管理为： 系统通过探针对资产进行扫描并发现已知漏洞， 然后对扫描发现的 漏洞进行研判渗透工作， 进一步验证该漏洞的威胁程度和 修复优先级， 最后对资产扫描出 来的漏洞进行修复、 验证。权　利　要　求　书 2/3 页 3 CN 115361203 A 3