一种自编排任务的网络空间资产探测优化方法及系统

摘要

本发明公开了一种自编排任务的网络空间资产探测优化方法及系统，属于程序开发技术领域，本发明中借由低代码开发平台可以通过编写少量代码完成相应开发，从而减少开发任务的堆积，不必花费大量时间的等待，通过资产主动探测、资产被动识别、资产融合分析、资产系统管理等手段感知各类目标资产，同时评估资产脆弱性，发现潜在威胁，相较于传统的程序开发因需要耗费很长的时间手工编写大量的代码，人力成本很高，从而需要大量的人力、时间且效率低下，而使用低代码开发平台开发应用程序，只需要编写少量的代码，而且无需花费大量时间进行测试和修改，所以人力成本比较低，开发费用也比传统应用程序开发低，从而能够有效节省运行成本。

说明书

技术领域

本发明涉及程序开发技术领域，具体为一种自编排任务的网络空间资产探测优化方法及系统。

背景技术

资产感知系统绘制全区以及全网的IP、端口、协议、操作系统、网络设备、WEB组件、工控设备、数据库、网络应用服务、第三方应用等资产信息，生成资产态势数据，将测绘到的资产信息数据推送到大数据平台，网络资产感知系统是一套针对用户指定的目标信息系统和关键基础设施的发现和探测系统，并挖掘、评估这些系统的潜在安全威胁和漏洞风险；

现有技术中网络资产归属识别方式与之对应包括主机、服务器、网络与安全硬件设备和各类业务系统软件在内的网络资产数量也呈爆发增长态势，给企业在网络安全防护领域造成了很大的隐患，不清楚有多少资产在哪里、资产有哪些漏洞、资产遭受哪些攻击、安全风险摸不清，缺乏网络资产的清查手段，同时安全管理人员无法清楚有效地掌握当前企业网络空间内软硬件资产的运行情况，无法对网络资产进行有效的安全管理，且不能对发现设备的时间节点进行自编排。

发明内容

本发明的目的在于提供一种自编排任务的网络空间资产探测优化方法及系统，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：一种自编排任务的网络空间资产探测优化方法，包括以下步骤：

S1、根据Job设置的corn时间表达式触发线程执行定时任务；

S2、通过主动资产识别和被动资产探测相结合发现资产数据；

S3、对经S2获取的资产数据对关键信息基础设施资产的可用性进行统计分析，并做出多维度统计；

S4、对互联网流量、关键信息基础设施资产的访问流量以及设别的运行状态进行监测；

S5、对经S3统计的数据进行前端可视化处理并对经过S4监测情况进行实时的可视化更新。

作为本技术方案的进一步优选的：在S1中，定时任务的执行流程，包括以下步骤：

A1、通过JobScheduleHelpercron定时的触发或者通过客户端手动触发定时任务；

A2、通过执行器选择器选择需要执行的定时任务并发起RPC调用；

A3、将需要执行任务放入到调度请求队列；

A4、执行器从队列拉去任务执行。

作为本技术方案的进一步优选的：在S5中，可视化执行流程，包括以下步骤：

B1、客户端向服务器发送HTTP请求；

B2、处理器适配器调用具体处理方法；

B3、将试图数据返回中央处理器；

B4、中央处理器通过视图解析器进行试图的解析并返回View数据给中央处理器；

B5、中央处理器渲染视图并响应用户。

一种自编排任务的网络空间资产探测优化系统，包括自动任务模块、资产识别模块、资产分析模块、资产监察模块和资产可视化模块；

自动任务模块，用于设置定时任务以及定时任务的触发时间；

资产识别模块，通过资产识别模块以主动资产识别和被动资产探测相结合发现资产数据；

资产分析模块，对经资产识别模块获取的资产数据对关键信息基础设施资产的可用性进行统计分析，并做出多维度统计；

资产监察模块，对互联网流量、关键信息基础设施资产的访问流量以及设别的运行状态进行监测；

资产可视化模块，对经资产分析模块统计的数据进行前端可视化处理并对经过资产监察监测情况进行实时的可视化更新。

作为本技术方案的进一步优选的：资产识别模块包括高性能驱动单元，高性能驱动单元隶属于资产识别系统数据捕获层，对固网流量、移动网流量数据捕获，高性能驱动单元经过旁路IO，绕过内核直接在用户态收包，减少内核态用户态之间切换拷贝带来的CPU消耗。

作为本技术方案的进一步优选的：资产识别模块还包括IP分片重组单元，IP分片重组单元隶属于属于资产识别系统数据捕获层，IP分片重组单元主要完成原始流量IP分片数据的数据包重组，实现对IP数据分片重组。

作为本技术方案的进一步优选的：资产识别模块还包括TCP报文流还原单元，TCP流还原单元隶属于资产识别系统数据捕获层，TCP报文流还原单元主要完成原始流量中TCP报文流还原与重组，对TCP流中的重传、序列号错误、乱序数据包进行清洗或纠正，同时，TCP报文流还原单元支持单向TCP流的还原与重组。

作为本技术方案的进一步优选的：资产识别模块还包括RSS同源同宿单元，RSS同源同宿单元以DPDK RSS模块为基础，贯穿硬件层次、网络层、传输层与应用层，以DPDK RSS提供的数据为基础，在网络层、传输层和应用层层级上根据业务需求，将原始数据流进行同源同宿处理。

作为本技术方案的进一步优选的：资产分析模块包括资产数据预处理单元，资产预处理单元对识别发现后的数据进行格式化统一、去重和格式化等处理，资产分析模块还包括资产数据建模单元，对经过预处理单元的数据根据数据的类型和来源等信息进行分类建模入库。

作为本技术方案的进一步优选的：资产可视化模块根据前端不同的查询条件对建模入库的数据进行查询并对前端页面进行渲染。

与现有技术相比，本发明的有益效果是：

1、本发明中借由低代码开发平台可以通过编写少量代码完成相应开发，从而减少开发任务的堆积，不必花费大量时间的等待，以此快速应用于生产中，提高生产力；

2、本发明中通过资产主动探测、资产被动识别、资产融合分析、资产系统管理等手段感知各类目标资产，同时评估资产脆弱性，发现潜在威胁；

3、本发明相较于传统的程序开发因需要耗费很长的时间手工编写大量的代码，人力成本很高，从而需要大量的人力、时间且效率低下，而使用低代码开发平台开发应用程序，只需要编写少量的代码，而且无需花费大量时间进行测试和修改，所以人力成本比较低，开发费用也比传统应用程序开发低，从而能够有效节省运行成本；

4、本发明中实现了网络空间资产统计的自动化，完全取代人工，同时消除了人为因素会造成的统计偏差；

5、本发明中建立常态化的监控模板，及时发现隐患，及时处理，做到及时发现并排除隐患。

附图说明

图1为本发明一种自编排任务的网络空间资产探测优化系统的架构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

实施例

请参阅图1，本发明提供一种技术方案：一种自编排任务的网络空间资产探测优化方法，包括以下步骤：

S1、根据Job设置的corn时间表达式触发线程执行定时任务；

S2、通过主动资产识别和被动资产探测相结合发现资产数据；

S3、对经S2获取的资产数据对关键信息基础设施资产的可用性进行统计分析，并做出多维度统计；

S4、对互联网流量、关键信息基础设施资产的访问流量以及设别的运行状态进行监测；

S5、对经S3统计的数据进行前端可视化处理并对经过S4监测情况进行实时的可视化更新。

本实施例中，具体的：在S1中，定时任务的执行流程，包括以下步骤：

A1、通过JobScheduleHelpercron定时的触发或者通过客户端手动触发定时任务；

A2、通过执行器选择器选择需要执行的定时任务并发起RPC调用；

A3、将需要执行任务放入到调度请求队列；

A4、执行器从队列拉去任务执行。

本实施例中，具体的：在S5中，可视化执行流程，包括以下步骤：

B1、客户端向服务器发送HTTP请求；

B2、处理器适配器调用具体处理方法；

B3、将试图数据返回中央处理器；

B4、中央处理器通过视图解析器进行试图的解析并返回View数据给中央处理器；

B5、中央处理器渲染视图并响应用户。

一种自编排任务的网络空间资产探测优化系统，包括自动任务模块、资产识别模块、资产分析模块、资产监察模块和资产可视化模块；

自动任务模块，用于设置定时任务以及定时任务的触发时间；

资产识别模块，通过资产识别模块以主动资产识别和被动资产探测相结合发现资产数据；

资产分析模块，对经资产识别模块获取的资产数据对关键信息基础设施资产的可用性进行统计分析，并做出多维度统计；

资产监察模块，对互联网流量、关键信息基础设施资产的访问流量以及设别的运行状态进行监测；

资产可视化模块，对经资产分析模块统计的数据进行前端可视化处理并对经过资产监察监测情况进行实时的可视化更新。

本实施例中，具体的：资产识别模块包括高性能驱动单元，高性能驱动单元隶属于资产识别系统数据捕获层，对固网流量、移动网流量数据捕获，高性能驱动单元经过旁路IO，绕过内核直接在用户态收包，减少内核态用户态之间切换拷贝带来的CPU消耗。

本实施例中，具体的：资产识别模块还包括IP分片重组单元，IP分片重组单元隶属于属于资产识别系统数据捕获层，IP分片重组单元主要完成原始流量IP分片数据的数据包重组，实现对IP数据分片重组。

本实施例中，具体的：资产识别模块还包括TCP报文流还原单元，TCP流还原单元隶属于资产识别系统数据捕获层，TCP报文流还原单元主要完成原始流量中TCP报文流还原与重组，对TCP流中的重传、序列号错误、乱序数据包进行清洗或纠正，同时，TCP报文流还原单元支持单向TCP流的还原与重组。

本实施例中，具体的：资产识别模块还包括RSS同源同宿单元，RSS同源同宿单元以DPDK RSS模块为基础，贯穿硬件层次、网络层、传输层与应用层，以DPDK RSS提供的数据为基础，在网络层、传输层和应用层层级上根据业务需求，将原始数据流进行同源同宿处理。

本实施例中，具体的：资产分析模块包括资产数据预处理单元，资产预处理单元对识别发现后的数据进行格式化统一、去重和格式化等处理，资产分析模块还包括资产数据建模单元，对经过预处理单元的数据根据数据的类型和来源等信息进行分类建模入库。

本实施例中，具体的：资产可视化模块根据前端不同的查询条件对建模入库的数据进行查询并对前端页面进行渲染。

工作原理：运行时候首先根据Job设置的corn时间表达式触发线程执行定时任务，通过JobScheduleHelpercron定时的触发或者通过客户端手动触发定时任务通过执行器选择器选择需要执行的定时任务并发起RPC调用，将需要执行任务放入到调度请求队列，执行器从队列拉去任务执行，定时任务调用资产识别模块，通过主动探测的方式，梳理互联网接入口资产，对目标组织资产情况进行探测分析，发现用户在互联网上暴露的资产，识别设备、服务、应用等资产信息，执行多次探测、反复识别，多维度协同分析等多项任务，实现资产动态监测，快速感知响应信息，定位资产变换状态，实现自动高效的资产变化踪迹留存与追溯，支持资产安全管理，被动方式可以弥补主动探测方式的探测不足，可以针对被安全设备防护的资产做针对性的被动分析，被动资产探测基于流量被动监测，可实时有效识别频繁上下线的移动设备、BYOD等，弥补主动方式的不足，第一时间发现资产，可应用于敏感设备或因策略无法主动扫描的设备等，对原有业务及网络无任何影响，支持IPv4/IPv6混合组网环境，然后资产分析模块对资产识别模块获得的资产数据通过资产预处理单元对识别发现后的数据进行格式化统一、去重和格式化等处理，再通过资产数据建模单元，对经过预处理单元的数据根据数据的类型和来源等信息进行分类建模入库，资产监察模块，对互联网流量、关键信息基础设施资产的访问流量以及设别的运行状态进行监测，最后通过客户端向服务器发送的HTTP请求，处理器适配器调用具体处理方法，将试图数据返回中央处理器，中央处理器通过视图解析器进行试图的解析并返回View数据给中央处理器，中央处理器渲染视图并响应用户完成资产探测以及渲染。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。