CN110431819A - 基于网络可用数据变化的触发扫描 - Google Patents

基于网络可用数据变化的触发扫描 Download PDF

Info

Publication number
CN110431819A
CN110431819A CN201780088651.2A CN201780088651A CN110431819A CN 110431819 A CN110431819 A CN 110431819A CN 201780088651 A CN201780088651 A CN 201780088651A CN 110431819 A CN110431819 A CN 110431819A
Authority
CN
China
Prior art keywords
mark
scan
inquiries
network
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201780088651.2A
Other languages
English (en)
Inventor
马修·克拉宁
蒂莫西·朱尼奥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vast Ltd
Qadium Inc
Original Assignee
Vast Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vast Ltd filed Critical Vast Ltd
Publication of CN110431819A publication Critical patent/CN110431819A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • G06F16/24564Applying rules; Deductive queries
    • G06F16/24565Triggers; Constraints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • G06F16/24568Data stream processing; Continuous queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/958Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

事件驱动查询***包括输入接口和处理器。输入接口被配置为从外部***接收标示。处理器被配置为至少部分地基于该标示来确定扫描查询;并执行该扫描查询。

Description

基于网络可用数据变化的触发扫描
背景技术
与因特网连接的资产(例如,计算机,移动设备,服务器***,客户端***,物联网设备等)包括与因特网通信的计算***。与因特网连接的资产通常包括一个或多个可公开寻址的通信端口,允许任何与因特网连接的设备查询该资产。一些设备允许一系列连接类型(例如,超文本传输协议(HTTP)连接,安全超文本传输协议(HTTPS)连接,文件传输协议(FTP)连接,安全文件传输协议(FTPS)连接,telnet连接,安全shell(SSH)连接等)通过一个或多个可公开访问的端口。与因特网连接的资产可以包括多种不同类型的硬件设备,这些设备运行多种软件,包括多种配置选项,为安全漏洞创造了无数的可能性。典型***管理员可能不知道他或她监视下的每个***的每个细节,从而产生***漏洞可能无法被检测到且未被修复的问题。当***发生改变时(例如,被网络可用数据所标示的***改变),***管理员可能很难完全确信***中没有漏洞(例如,在修复所有漏洞时成功修复***,***改变没有产生新的漏洞,新发现的漏洞是不相关的等)。
附图说明
在以下具体实施例和附图中公开了本发明的多种示例。
图1是示出网络***的示例的框图。
图2是示出网络***的示例的框图。
图3是示出扫描***的示例的框图。
图4是示出触发扫描过程的示例的流程图。
图5是示出至少部分地基于标示来确定扫描查询的过程的示例的流程图。
图6是示出执行扫描查询的过程的示例的流程图。
图7是示出提供网络状态显示的过程的示例的流程图。
具体实施例
本发明可以以多种方式实现,包括作为过程;装置;***;物质组成;实现在计算机可读存储介质上的计算机程序产品;和/或处理器,例如被配置为执行由耦合到处理器的存储器存储和/或提供的指令的处理器。在本说明书中,这些实现方式,或本发明可采用的任何其他方式,可以称为技术。通常,可以在本发明的范围内改变所公开的流程的步骤顺序。除非另有说明,否则,被描述为被配置为执行任务的组件,例如处理器或存储器,可以被实现为临时配置地在给定时间执行任务的通用组件或者被制造为执行任务的特定组件。如这里所使用的,术语“处理器”指的是一个或多个设备,电路,和/或处理核,其被配置为处理数据,例如计算机程序指令。
下面提供本发明的一个或多个示例的详细描述以及说明本发明原理的附图。结合这些示例描述了本发明,但是本发明不限于任何示例。本发明的范围仅由权利要求限制,并且本发明包括多种替换,修改和等同物。在以下描述中阐述了许多具体细节,以便提供对本发明的透彻理解。提供这些细节是出于示例的目的,并且可以在没有这些具体细节的一些或全部的情况下根据权利要求来实践本发明。为了清楚起见,没有详细描述与本发明相关的技术领域中已知的技术材料,因此不会不必要地模糊本发明。
事件驱动查询***包括:输入接口,用于从外部***接收标示;以及处理器,用于至少部分地基于所述标示来确定扫描查询,并执行所述扫描查询。在一些示例中,事件驱动查询***包括耦合到处理器并且被配置为向处理器提供指令的存储器。
在一些示例中,事件驱动查询***包括响应于来自外部***的标示而执行扫描的***。在一些示例中,来自外部***的标示包括改变的标示。在多种示例中,来自外部***的标示包括手动确定的标示,自动标示,漏洞的标示,由已发布的新闻报道确定的标示,由因特网发布确定的标示,对现有操作代码的严重威胁或“零日”漏洞的公开发布或披露,对现有操作代码的严重威胁或“零日”漏洞的限制性的私下发布或披露,边界网关协议(BGP)路由改变的标示,域名***(DNS)改变的标示,因特网协议(IP)地址改变的标示,地区性Internet注册机构(RIR)改变的标示,以及公司合并,收购,或转让的标示,已改变的***的标示,已改变的服务的标示,或任何其他合适的标示。在一些示例中,事件驱动查询***从外部***接收标示并且至少部分地基于该标示来确定扫描查询。在一些示例中,至少部分地基于标示来确定扫描查询包括确定由标示(例如,包括地址,地址端口,和要使用的扫描类型)所标示出的扫描。在一些示例中,至少部分地基于标示来确定扫描查询包括扩展扫描查询(例如,确定增加的地址,端口,和/或扫描类型)。然后,事件驱动查询***执行扫描。在一些示例中,事件驱动查询***提供网络状态显示。在多种示例中,网络状态显示包括历史正确配置的***(例如,在接收到标示之前已知的被正确配置的***),历史漏洞,由扫描确定的正确配置的***,由扫描确定的漏洞,或任何其他合适的网络状态显示信息。
图1是示出网络***的示例的框图。在所示的例子中,网络***包括用于扫描与因特网连接的资产的***。网络***包括网络100。在多种示例中,网络100包括以下中的一个或多个:局域网,广域网,有线网络,无线网络,因特网,内联网,存储区域网络,或任何其他合适的通信网络。管理员***102和扫描***104通过网络100进行通信。管理员***102包括供管理员使用的***。在多种示例中,管理员***102包括供管理员访问应用***上的应用,访问数据库***上的数据,标示扫描***104执行扫描,从扫描***104接收数据,配置网络***(例如,网络***106),从网络***接收数据,或用于任何其他合适的目的的***。在一些示例中,管理员***102包括用于客户端***的管理员***。在多种示例中,客户端***包括请求扫描的***(例如,来自扫描***104),与请求扫描的***相关联的网络***,管理员***(例如,管理员***102),或任何其他合适的客户端***。在一些示例中,管理员***102包括处理器和存储器。
扫描***104包括用于扫描网络***的***。在一些示例中,扫描***104包括响应于来自管理员***102的命令扫描网络***的***。在一些示例中,扫描***104包括扫描一组网络***(例如,网络***106,网络***108,网络***110,网络***112,网络***114,网络***116,网络***118,和网络***120)的***。在一些示例中,扫描网络***包括向网络***提供有效负载并确定是否接收到响应。在一些示例中,扫描网络***包括至少部分地基于所接收的响应使用后续探针来扫描网络***。在一些示例中,扫描***104包括用于向所有可接入端口上的所有可接入网络***提供有效负载并且对标示出可访问更多信息的任何接收到的响应跟进合适的后续探针的***。在一些示例中,扫描***104包括处理器和存储器。图1的每个网络***(例如,网络***106)包括与因特网连接的***(例如,台式计算机,笔记本电脑,智能电话,平板电脑,服务器***,物联网设备等)。在一些示例中,网络***包括外部***。在一些示例中,外部***包括非客户端***一部分的网络***。在多种示例中,图1的***包括8,13,197,2222,1百万,1亿,或任何其他合适数量的网络***。
图2是示出网络***的示例的框图。在一些示例中,网络***200包括图1的网络***(例如,网络***106)。在所示的例子中,网络***200包括处理器202,数据存储器204,和网络接口206。在一些示例中,网络***200包括与因特网连接的资产(例如,台式计算机,笔记本电脑,智能电话,平板电脑,服务器***,物联网设备,或任何其他合适的与因特网连接的资产)。在多种示例中,处理器202包括用于执行指令,处理数据,响应命令等的处理器。在多种示例中,处理器202包括通用处理器,微控制器,并行处理***,处理器集群,或任何其他合适的处理器。在多种示例中,数据存储器204包括用于存储数据,用于存储处理器202的指令,用于存储配置信息,或用于存储任何其他合适的信息的数据存储器。在多种示例中,数据存储器204包括一个或多个易失性存储器,非易失性存储器,磁性存储器,光学存储器,相变存储器,半导体存储器,盘式存储器,磁带存储器,或任何其他合适的存储器。网络接口206包括使用网络进行通信的网络接口。在所示的例子中,网络接口206包括网络通信信息208和多个端口(例如,端口210)。在多种示例中,网络通信信息包括网络通信软件,网络通信设置,网络通信数据,或任何其他合适的网络通信信息。多个端口包括物理端口(例如,用于将电缆连接到网络***200的插口)或虚拟端口(例如,由虚拟端口号标识的虚拟通信通道)。在一些示例中,网络接口206包括网络地址(例如,由外部网络寻址机构分配的网络地址)。在一些示例中,通过标示网络200的网络地址以及端口号来指定与网络***200的通信。在一些示例中,网络接口206的一些端口被配置为用于通信,而一些端口被配置为不响应于通信。在一些示例中,一些端口与一个或多个特定通信协议(例如,HTTP,FTP,SSH等)相关联。在一些示例中,网络接口206包括运行根据通信规范集合进行配置的通信软件集合的网络硬件集合(例如,调制解调器)。
图3是示出扫描***示例的框图。在一些示例中,扫描***300包括图1中的扫描***104。在一些示例中,扫描***300包括服务器***。在所示的例子中,扫描***300包括处理器302,数据存储器304,和网络接口306。在多种示例中,处理器302包括用于执行指令,处理数据,响应命令等的处理器。在多种示例中,处理器302包括通用处理器,微控制器,并行处理***,处理器集群,或任何其他合适的处理器。在一些示例中,处理器302包括网络扫描器308。在多种示例中,网络扫描器308包括实现分层扫描***功能的软件和/或硬件。在多种示例中,数据存储器304包括用于存储数据,用于存储处理器302的指令,用于存储配置信息,或用于存储任何其他合适信息的数据存储器。在多种示例中,数据存储器304包括一个或多个易失性存储器,非易失性存储器,磁性存储器,光学存储器,相变存储器,半导体存储器,盘式存储器,磁带存储器,或任何其他合适的存储器。在所示的例子中,数据存储器304包括用于存储提供给网络设备的有效负载的有效负载数据库310。在一些示例中,有效负载包括用于探测网络设备以引起响应的小数据包。数据存储器304还包括用于存储与网络设备交互的后续探针的后续探针数据库312。在一些示例中,后续探针包括用于与网络设备交互的软件,以确定有关网络设备的信息。在一些示例中,后续探针数据库312包含后续探针集合,每个后续探针都被设计为以特定的方式与网络设备交互,以获得关于网络设备的数据(例如,建立安全HTTP(HTTPS)连接并下载加密的web页面)。在一些示例中,一旦确定后续探针可能成功接收来自网络设备的数据,则该后续探针被用于与该网络设备进行交互。数据存储器304还包括网络信息数据库314,用于存储由于与网络设备交互(例如,使用有效负载或后续探针)而接收到的网络信息。在一些示例中,网络信息是远程存储的(例如,在存储服务器上,在不同的分层扫描***上,在云存储上,等等)。在所示的例子中,网络接口306包括用于通过网络与远程***交互的网络接口。在多种示例中,网络接口306包括用于提供有效负载,用于执行后续探针的通信,用于接收网络信息,或用于任何其他合适目的的网络接口。在一些示例中,网络接口306包括为高带宽通信配置的网络接口。
图4是说明触发扫描过程示例的流程图。在一些示例中,图4的过程是通过图1的扫描***104来执行的。在所示的例子中,在400中,从外部***接收标示。在一些示例中,标示包括改变的标示。在一些示例中,从外部***接收的标示包括手动确定的标示(例如,由人确认和发起的标示)。在多种示例中,手动确定的标示包括漏洞的标示,由已发布的新闻报道确定的标示,由因特网发布确定的标示,或任何其他合适的标示。在多种示例中,手动确定的标示包括由扫描***用户,管理员***用户,外部***用户,网络***用户,或任何其他合适的***用户手动确定的标示。在一些示例中,从外部***接收到的标示包括自动标示(例如,由自动过程从外部***信息确定的标示)。在多种示例中,自动标示包括边界网关协议(例如,BGP)路由改变的标示,域名服务器(例如,DNS)改变的标示,因特网协议(例如,IP)改变的标示,地区性Internet注册机构(RIR)改变的标示,以及公司合并,收购或转让的标示,已改变的***的标示,已改变的服务的标示,对现有操作代码的严重威胁或“零日”漏洞的公开发布或披露,对现有操作代码的严重威胁或“零日”漏洞的限制性的私下发布或披露,或任何其他合适的自动标示。在多种示例中,标示包括一个或多个地址的标示(例如,发生改变的地址,引起问题的地址,经历异常行为的地址等),一个或多个端口(例如,需要扫描的端口,与需要扫描的服务相关联的端口等),一种或多种扫描类型(例如,与需要扫描的服务相关联的扫描类型),或任何其他合适的扫描信息。在402中,至少部分地基于标示来确定扫描查询。例如,在已改变的BGP路由通告的情况下,可以选择在已改变的通告前缀中的端口的优先级列表中的所有IP地址用于高优先级扫描。在网络设备制造商之间进行合并的情况下,将自动重新扫描与公司本身以及在他们的产品上检测到多个IP相关的所有IP。在“零日”漏洞的限制性的私下披露的情况下,使用特定参数进行自动地重新扫描与可能容易受零日影响的***相关的所有IP,以测试它们是否真的容易受到零日影响。在多种示例中,扫描查询至少部分地基于与标示相关联的地址,与标示相关联的端口,与标示相关联的扫描类型,或任何其他合适的标示信息。在一些示例中,至少部分地基于标示来确定扫描查询包括扩展查询(例如,扩展查询以包括扫描增加的地址,增加的端口,或使用在标示中直接指出的增加的扫描类型)。例如,如果由两个或更多其他公司的合并形成新公司,则在给定的端口和协议列表中自动扫描具有与新公司相关联的域的多个IP。在公开的零日漏洞的情况下,递归地触发地址集合的重新扫描——例如,首先扫描可能易受零日影响的IP集合,然后对那些与被发现容易受零日影响的IP共享公共加密密钥的IP地址进行扩展查询。在404中,执行扫描查询(例如,如扫描查询所标示的那样扫描一个或多个***)。在406中,存储查询结果。例如,将扫描查询的结果存储在数据库中。数据库随时间存储查询结果,以便可以在不同时间进行扫描结果之间的比较。在408中,提供网络状态显示。在一些示例中,网络状态显示包括网络漏洞的显示。在一些示例中,网络状态显示包括扫描数据与历史数据的比较。
图5是示出用于至少部分地基于标示来确定扫描查询的过程的示例的流程图。在一些示例中,图5的过程实现图4的402。在所示的例子中,在500中,确定与标示相关联的地址。在多种示例中,与标示相关联的地址包括修改的***的地址,具有问题的***的地址,受攻击的***的地址,接收异常流量的***的地址,创造异常流量的***的地址,与恶意软件标示相关联的***的地址,或任何其他合适的地址。在502中,确定与标示相关联的端口。在多种示例中,与标示相关联的端口包括标示要被修改的端口(例如,新关闭的端口,新打开的端口等),与具有问题的服务相关联的端口,被确定为受攻击的端口,接收异常流量的端口,创造异常流量的端口,或任何其他合适的端口。在504中,确定与标示相关联的扫描类型。在多种示例中,扫描类型包括与标示的改变相关联的扫描类型,与标示的服务相关联的扫描类型,宽扫描类型,用于识别恶意软件的扫描类型,用于确定***范围的扫描类型,或任何其他合适的扫描类型。在506中,至少部分地基于与标示相关联的地址来确定用于扫描查询的地址集合。在一些示例中,扫描查询的地址集合包括与标示相关联的地址和其他地址。在多种示例中,扫描查询的地址集合包括与标示相关联的地址附近的地址集合,与标示相关联的地址在同一网络上的地址集合,与标示相关联的地址以相同方式配置的地址集合,或任何其他合适的地址集合。在508中,至少部分地基于与标示相关联的端口来确定扫描查询的端口集合。在一些示例中,用于扫描查询的端口集合包括与标示相关联的端口和其他端口。在多种示例中,用于扫描查询的端口集合包括与标示相关联的端口相关联的端口集合,与标示相关联的端口附近的端口集合,与标示相关联的端口集合,或任何其他合适的端口集合。在510中,至少部分地基于与标示相关联的扫描类型来确定扫描查询的扫描类型集合。在一些示例中,扫描查询的扫描类型集合包括与标示和其他扫描类型相关联的扫描类型。在多种示例中,用于扫描查询的扫描类型集合包括与标示相关联的端口相关联的扫描类型集合,与标示相关联的扫描类型类似的扫描类型集合,与标示相关联的扫描类型集合,或任何其他合适的扫描类型集合。
图6是示出用于执行扫描查询的过程的示例的流程图。在一些示例中,图6的过程实现图4的404。在所示的例子中,在600中,选择扫描查询的地址。在多种示例中,地址包括第一地址,下一地址,随机选择的地址,伪随机选择的地址,或任何其他合适的地址。在602中,选择扫描查询的端口。在多种示例中,端口包括第一端口,下一端口,随机选择的端口,伪随机选择的端口,或任何其他合适的端口。在604中,选择扫描查询的扫描类型。在多种示例中,扫描类型包括第一扫描类型,下一扫描类型,随机选择的扫描类型,伪随机选择的扫描类型,或任何其他合适的扫描类型。在606中,使用扫描类型扫描该地址的端口。在一些示例中,扫描类型包括分层扫描,并且包括在扫描响应标示出使用后续探针扫描的情况下使用后续探针进行扫描。在多种示例中,扫描类型包括涉及该地址端口,其他端口,其他地址,或任何其他合适的扫描目标的任何合适的通信数量。在608中,确定是否存在更多扫描类型(例如,扫描地址上的端口的扫描查询的更多扫描类型)。在确定存在更多扫描类型的情况下,流程转到604。在确定不存在更多扫描类型的情况下,流程转到610。在610中,确定是否存在更多端口(例如,要扫描的地址上的扫描查询的)。如果确定存在更多端口,则流程转到602。如果确定没有更多端口,则流程转到612。在612中,确定是否存在更多地址(例如,扫描查询的地址)。如果确定存在更多地址,则流程转到600。如果确定没有更多地址,则该过程结束。
图7是示出用于提供网络状态显示的过程的示例的流程图。在一些示例中,图7的过程实现图4的408。在所示的例子中,在700中,由历史数据确定正确配置的***集合。在一些示例中,历史数据包括先前的扫描。在一些示例中,正确配置的***包括没有检测到漏洞的***。在多种示例中,正确配置的***集合包括客户端网络的子集,扫描查询的地址子集,所有正确配置的***,或任何其他合适的正确配置的***集合。在702中,由历史数据确定漏洞集合。在多种示例中,漏洞包括配置错误的***,不应可接入的可接入***,新发现的***出现的漏洞,或任何其他合适的漏洞。在704中,由扫描查询(例如,从最近的扫描数据)确定正确配置的***集合。在706中,由扫描查询确定漏洞集合。在708中,提供网络状态比较。在一些示例中,网络状态比较包括在接收到标示之前和之后的网络状态的比较。
尽管为了清楚理解的目的已经在一些细节上描述了前述示例,但是本发明不限于所提供的细节。存在许多实现本发明的替代方式。所公开的示例是说明性的而非限制性的。

Claims (21)

1.一种事件驱动查询***,包括:
输入接口,被配置为:
从外部***接收标示;以及
处理器,被配置为:
至少部分地基于所述标示来确定扫描查询;以及
执行所述扫描查询。
2.如权利要求1所述的***,其中所述标示包括手动确定的标示。
3.如权利要求2所述的***,其中所述标示包括漏洞标示。
4.如权利要求2所述的***,其中所述标示包括由已发布的新闻报道确定的已发布的新闻报道标示。
5.如权利要求2所述的***,其中所述标示包括由因特网发布确定的因特网发布标示。
6.如权利要求1所述的***,其中所述标示包括自动标示。
7.如权利要求6所述的***,其中所述标示包括BGP路由改变标示。
8.如权利要求6所述的***,其中所述标示包括DNS改变标示。
9.如权利要求6所述的***,其中所述标示包括IP改变标示。
10.如权利要求1所述的***,其中确定扫描查询包括确定与所述标示相关联的地址。
11.如权利要求1所述的***,其中确定扫描查询包括确定与所述标示相关联的端口。
12.如权利要求1所述的***,其中确定扫描查询包括确定与所述标示相关联的扫描类型。
13.如权利要求1所述的***,其中确定扫描查询包括扩展所述扫描查询。
14.如权利要求13所述的***,其中扩展所述扫描查询包括增加地址到所述扫描查询。
15.如权利要求13所述的***,其中扩展所述扫描查询包括增加端口到所述扫描查询。
16.如权利要求13所述的***,其中扩展所述扫描查询包括增加扫描类型到所述扫描查询。
17.如权利要求1所述的***,其中执行所述扫描查询包括使用一个或多个扫描类型在一个或多个端口扫描客户端***的一个或多个地址。
18.如权利要求1所述的***,其中所述处理器还用于提供网络状态显示。
19.如权利要求1所述的***,其中网络状态显示包括在接收到所述标示之前和之后的网络状态的比较。
20.一种事件驱动查询方法,包括:
从客户端***接收标示;
使用处理器至少部分地基于该标示来确定扫描查询;和
执行所述扫描查询。
21.一种用于事件驱动查询的计算机程序产品,该计算机程序产品在非暂时性计算机可读存储介质中实现并且包含计算机指令用于:
从客户端***接收标示;
至少部分地基于该标示来确定扫描查询;以及
执行所述扫描查询。
CN201780088651.2A 2017-03-20 2017-12-08 基于网络可用数据变化的触发扫描 Pending CN110431819A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/463,990 2017-03-20
US15/463,990 US10831838B2 (en) 2017-03-20 2017-03-20 Triggered scanning based on network available data change
PCT/US2017/065428 WO2018174973A1 (en) 2017-03-20 2017-12-08 Triggered scanning based on network available data change

Publications (1)

Publication Number Publication Date
CN110431819A true CN110431819A (zh) 2019-11-08

Family

ID=63520147

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780088651.2A Pending CN110431819A (zh) 2017-03-20 2017-12-08 基于网络可用数据变化的触发扫描

Country Status (8)

Country Link
US (2) US10831838B2 (zh)
EP (1) EP3602994A4 (zh)
JP (1) JP2020511860A (zh)
KR (1) KR20200006036A (zh)
CN (1) CN110431819A (zh)
AU (1) AU2017404748A1 (zh)
CA (1) CA3053257A1 (zh)
WO (1) WO2018174973A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111291382A (zh) * 2020-01-22 2020-06-16 上海电子信息职业技术学院 漏洞扫描***
CN111444392A (zh) * 2020-03-26 2020-07-24 杭州迪普科技股份有限公司 一种漏洞库的访问方法、装置及设备

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6907533B2 (en) 2000-07-14 2005-06-14 Symantec Corporation System and method for computer security using multiple cages
US20030056116A1 (en) 2001-05-18 2003-03-20 Bunker Nelson Waldo Reporter
ATE323371T1 (de) * 2001-10-25 2006-04-15 Gen Dynamics Gov Sys Corp Verfahren und system zur modellierung, analyse und anzeige von netzsicherheitsereignissen
US20030188194A1 (en) * 2002-03-29 2003-10-02 David Currie Method and apparatus for real-time security verification of on-line services
US20030212779A1 (en) * 2002-04-30 2003-11-13 Boyter Brian A. System and Method for Network Security Scanning
US7451488B2 (en) 2003-04-29 2008-11-11 Securify, Inc. Policy-based vulnerability assessment
US7444508B2 (en) 2003-06-30 2008-10-28 Nokia Corporation Method of implementing secure access
US8683031B2 (en) 2004-10-29 2014-03-25 Trustwave Holdings, Inc. Methods and systems for scanning and monitoring content on a network
US7784099B2 (en) * 2005-02-18 2010-08-24 Pace University System for intrusion detection and vulnerability assessment in a computer network using simulation and machine learning
US8806634B2 (en) * 2005-04-05 2014-08-12 Donald N. Cohen System for finding potential origins of spoofed internet protocol attack traffic
US20060291446A1 (en) 2005-06-24 2006-12-28 Donald Caldwell Systems, methods, and devices for managing routing
US8220050B2 (en) 2008-03-31 2012-07-10 Sophos Plc Method and system for detecting restricted content associated with retrieved content
US9009834B1 (en) 2009-09-24 2015-04-14 Google Inc. System policy violation detection
US8549650B2 (en) * 2010-05-06 2013-10-01 Tenable Network Security, Inc. System and method for three-dimensional visualization of vulnerability and asset data
US9009837B2 (en) 2010-07-01 2015-04-14 Onapsis S.R.L. Automated security assessment of business-critical systems and applications
US10043011B2 (en) * 2011-01-19 2018-08-07 Rapid7, Llc Methods and systems for providing recommendations to address security vulnerabilities in a network of computing systems
US8966625B1 (en) * 2011-05-24 2015-02-24 Palo Alto Networks, Inc. Identification of malware sites using unknown URL sites and newly registered DNS addresses
US9049207B2 (en) 2012-04-11 2015-06-02 Mcafee, Inc. Asset detection system
EP2667337A3 (en) 2012-05-22 2014-03-12 Hasso-Plattner-Institut für Softwaresystemtechnik GmbH Transparent control of access invoking real-time analysis of the query history
US8756698B2 (en) 2012-08-10 2014-06-17 Nopsec Inc. Method and system for managing computer system vulnerabilities
US20140181975A1 (en) 2012-11-06 2014-06-26 William Spernow Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point
US9749336B1 (en) * 2013-02-26 2017-08-29 Palo Alto Networks, Inc. Malware domain detection using passive DNS
EP3120286B1 (en) 2014-03-17 2019-07-17 Proofpoint, Inc. Behavior profiling for malware detection
US9942250B2 (en) * 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
US9699209B2 (en) 2014-12-29 2017-07-04 Cyence Inc. Cyber vulnerability scan analyses with actionable feedback
US10425430B2 (en) * 2016-04-22 2019-09-24 Expanse, Inc. Hierarchical scanning of internet connected assets
US20180097845A1 (en) * 2016-10-05 2018-04-05 Rapid Focus Security, Llc Self-Managed Intelligent Network Devices that Protect and Monitor a Distributed Network

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111291382A (zh) * 2020-01-22 2020-06-16 上海电子信息职业技术学院 漏洞扫描***
CN111291382B (zh) * 2020-01-22 2022-04-08 上海电子信息职业技术学院 漏洞扫描***
CN111444392A (zh) * 2020-03-26 2020-07-24 杭州迪普科技股份有限公司 一种漏洞库的访问方法、装置及设备
CN111444392B (zh) * 2020-03-26 2023-04-25 杭州迪普科技股份有限公司 一种漏洞库的访问方法、装置及设备

Also Published As

Publication number Publication date
EP3602994A4 (en) 2020-10-28
KR20200006036A (ko) 2020-01-17
CA3053257A1 (en) 2018-09-27
JP2020511860A (ja) 2020-04-16
AU2017404748A1 (en) 2019-09-26
EP3602994A1 (en) 2020-02-05
US11526564B2 (en) 2022-12-13
US10831838B2 (en) 2020-11-10
US20200410016A1 (en) 2020-12-31
WO2018174973A1 (en) 2018-09-27
US20180268058A1 (en) 2018-09-20

Similar Documents

Publication Publication Date Title
JP6832951B2 (ja) 自動デバイス検出のためのシステムおよび方法
US9240976B1 (en) Systems and methods for providing network security monitoring
US11949657B2 (en) Autonomous alerting based on defined categorizations for network space and network boundary changes
EP2837157A1 (en) Network address repository management
US11526564B2 (en) Triggered scanning based on network available data change
US20210367965A1 (en) Distributed scanning
CN110447031A (zh) 使用提供的配置信息进行触发扫描
US10749857B2 (en) Network mapping using a fingerprint
Rahman et al. Advanced network scanning
US20130179537A1 (en) Transmitting of configuration items within a network
CN105376835A (zh) 一种便携式设备和移动终端连接便携式设备的方法
US9369429B1 (en) Associating text strings with numeric numbers for IP address management
CN110049494A (zh) 一种检测无线网络安全性的方法、终端设备及介质
US20240176892A1 (en) Automated application programming interface (api) testing
US20190355001A1 (en) Method and system for integrating a feedback gathering system over existing wifi network access
KR101330434B1 (ko) 단말기의 서버 접속 방법 및 시스템
WO2021094304A1 (en) Device communication class based network security

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20191108