网络安全管理方法、装置以及存储介质与流程

1.本技术涉及网络安全技术领域，特别是涉及一种网络安全管理方法、装置以及存储介质。


背景技术：

2.随着互联网+概念的普及，各种网络设备与工具推陈出新，最典型的有互联网+家居的智能家居，互联网+工厂的智能工厂，互联网+教育的在线教育与互联网+办公的远程办公。本质上它们都是由若干个内网组成，每个设备或工具构成了内网中的一个网络节点，让人们的生活、学习以及工作与网络结合的越来越紧密，同时也给网络安全带来了新的挑战。因此，如何轻便、快速且准确的对内网进行探测是发现网络漏洞与进行威胁分析等安全管理工作的前提条件，对保障人民财产安全、构建网络安全和国家安全具有极其重要的意义。
3.现有的网络探测方法可以至少归纳为以下几种：
4.1)基于客户端/服务端的探测法：在内部网络的某台主机上部署客户端，在外部网络中部署服务端，客户端与服务端之间建立网络通信，由服务端下发探测任务给客户端，客户端完成任务后把结果返回给服务端，结果存储于服务端的数据库中。
5.2)基于代理的探测法：在内网中部署代理服务器，扫描客户端部署于代理服务器上，代理服务器与远端服务器进行连接，由服务端向代理服务器发送探测任务，代理服务器把任务转发给客户端，客户端执行完探测任务后把结果返回给代理服务器，再由代理服务器转发给服务端，服务端将结果存储于数据库中，或进一步在web前端呈现出来。
6.但是，以上所述的网络探测方法，在探测内网时，客户端需要根据探测任务探测内网，因此客户端部署有多个用于执行探测任务的执行模块，从而造成客户端的负载过重的问题。
7.针对上述的现有技术中存在的在探测内网时客户端的负载过重的技术问题，目前尚未提出有效的解决方案。


技术实现要素：

8.本技术的实施例提供了一种网络安全管理方法、装置以及存储介质，以至少解决现有技术中存在的在探测内网时客户端的负载过重的技术问题。
9.根据本技术实施例的一个方面，提供了一种网络安全管理方法，包括：生成用于在内网执行探测任务的探测数据包；与部署于内网的主机的隧道客户端建立通信隧道；以及通过通信隧道，向隧道客户端发送探测数据包。
10.根据本技术实施例的另一方面，还提供了一种网络安全管理方法，包括：通过预先部署的隧道客户端与云端建立通信隧道；通过通信隧道接收云端发送的探测数据包，其中探测数据包用于在内网执行探测任务；以及根据探测数据包在内网执行探测任务。
11.根据本技术实施例的另一个方面，还提供了一种存储介质，存储介质包括存储的程序，其中，在程序运行时由处理器执行以上任意一项所述的方法。
12.根据本技术实施例的另一个方面，还提供了一种网络安全管理装置，包括：数据包生成模块，用于生成用于在内网执行探测任务的探测数据包；第一建立模块，用于与部署于内网的主机的隧道客户端建立通信隧道；以及数据包发送模块，用于通过通信隧道，向隧道客户端发送探测数据包。
13.根据本技术实施例的另一个方面，还提供了一种网络安全管理装置，包括：第二建立模块，用于通过预先部署的隧道客户端与云端建立通信隧道；数据包接收模块，用于通过通信隧道接收云端发送的探测数据包，其中探测数据包用于在内网执行探测任务；以及任务执行模块，用于根据探测数据包在内网执行探测任务。
14.根据本技术实施例的另一个方面，还提供了一种网络安全管理装置，包括：第一处理器；以及第一存储器，与第一处理器连接，用于为第一处理器提供处理以下处理步骤的指令：生成用于在内网执行探测任务的探测数据包；与部署于内网的主机的隧道客户端建立通信隧道；以及通过通信隧道，向隧道客户端发送探测数据包。
15.根据本技术实施例的另一个方面，还提供了一种网络安全管理装置，包括：第二处理器；以及第二存储器，与第二处理器连接，用于为第二处理器提供处理以下处理步骤的指令：通过预先部署的隧道客户端与云端建立通信隧道；通过通信隧道接收云端发送的探测数据包，其中探测数据包用于在内网执行探测任务；以及根据探测数据包在内网执行探测任务。
16.在本技术实施例中，云端的隧道层部署的隧道服务器与设置于内网中的主机部署的隧道客户端建立有通信隧道，云端根据探测内网的探测任务生成对应的探测数据包，可以通过通信隧道将探测数据包发送至主机，从而探测内网的安全状态。从而本技术方案通过通信隧道传输探测数据包，通信隧道只做转发探测数据包的操作，可以避免现有技术中的客户端与服务器网络通信时ip暴露的问题，从而提高了传输的安全性。并且，本技术方案中的隧道客户端负责管理通信隧道，以及将探测数据包转发至其他设备就可以实现探测内网的操作，避免了现有技术中的在客户端中设置多种执行模块才能探测内网的情况，实现了轻量级的隧道客户端，减少了部署成本，并且减少了负载。进而解决了现有技术中存在的在探测内网时客户端的负载过重的技术问题。
附图说明
17.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
18.图1是用于实现根据本技术实施例1所述的方法的计算设备的硬件结构框图；
19.图2是根据本技术实施例1所述的网络安全管理的系统的示意图；
20.图3是根据本技术实施例1的第一个方面所述的网络安全管理方法的流程示意图；
21.图4是根据本技术实施例1所述的网络安全管理方法的整体流程示意图；
22.图5是根据本技术实施例1的第二个方面所述的网络安全管理方法的流程示意图；
23.图6是根据本技术实施例2的第一个方面所述的网络安全管理装置的示意图；
24.图7是根据本技术实施例2的第二个方面所述的网络安全管理装置的示意图；
25.图8是根据本技术实施例3的第一个方面所述的网络安全管理装置的示意图；以及
26.图9是根据本技术实施例3的第二个方面所述的网络安全管理装置的示意图。
具体实施方式
27.为了使本技术领域的人员更好地理解本技术的技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
28.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
29.首先，在对本公开实施例进行描述的过程中出现的部分名词或术语适用于如下解释：
30.vpn：全称虚拟专用网络，是一种建立在公网上进行加密通信的专用网络。vpn是一种远程访问技术，解决的是外网访问内网的问题。vpn网关通过对数据包的加密和数据包目标地址的转换实现远程访问。vpn可通过服务器、硬件、软件等多种方式实现。
31.实施例1
32.根据本实施例，提供了一种网络安全管理方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
33.本实施例所提供的方法实施例可以在移动终端、计算机终端、服务器或者类似的计算设备中执行。图1示出了一种用于实现网络安全管理方法的计算设备的硬件结构框图。如图1所示，计算设备可以包括一个或多个处理器(处理器可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器、以及用于通信功能的传输装置。除此以外，还可以包括：显示器、输入/输出接口(i/o接口)、通用串行总线(usb)端口(可以作为i/o接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算设备还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。
34.应当注意到的是上述一个或多个处理器和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算设备中的其他元件中的任意一个内。如本技术实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
35.存储器可用于存储应用软件的软件程序以及模块，如本技术实施例中的网络安全管理方法对应的程序指令/数据存储装置，处理器通过运行存储在存储器内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的网络安全管理方
法。存储器可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至计算设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
36.传输装置用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算设备的通信供应商提供的无线网络。在一个实例中，传输装置包括一个网络适配器(network interface controller，nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置可以为射频(radio frequency，rf)模块，其用于通过无线方式与互联网进行通讯。
37.显示器可以例如触摸屏式的液晶显示器(lcd)，该液晶显示器可使得用户能够与计算设备的用户界面进行交互。
38.此处需要说明的是，在一些可选实施例中，上述图1所示的计算设备可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是，图1仅为特定具体实例的一个实例，并且旨在示出可存在于上述计算设备中的部件的类型。
39.图2是根据本实施例所述的网络安全管理的系统的示意图。参照图2所示，该系统包括：部署于内网100的主机110以及云端200。其中主机110包括隧道客户端111以及web客户端112。并且其中云端200包括云层、调度层、任务层以及隧道层。其中云层部署有云服务器210，调度层部署有调度服务器220，任务层部署有任务执行服务器230，隧道层部署有隧道服务器240。
40.web客户端112与云服务器210进行通信，向云服务器210发送用于探测内网100的任务请求，以及接收并显示云服务器210返回的与任务请求相关的探测结果。
41.云服务器210根据任务请求生成探测内网100的探测任务，并将探测任务发送至调度服务器220。并将调度服务器220返回的探测结果进行存储。
42.调度服务器220将接收到的探测任务进行拆分，并将拆分的探测任务调度到任务执行服务器230。以及将任务执行服务器230返回的探测结果进行汇总，并将汇总的探测结果发送至云服务器210。
43.任务执行服务器230根据探测任务生成探测数据包，并将探测数据包发送至隧道服务器240。以及接收隧道服务器240返回的探测结果，并将探测结果发送至调度服务器220。
44.隧道服务器240与隧道客户端111通过通信隧道进行通信，用于将探测数据包发送至隧道客户端111，隧道客户端111利用探测数据包得到关于内网100的探测结果，并将探测结果返回隧道服务器240。隧道服务器240将探测结果返回至执行服务器240。
45.需要说明的是，主机110上的web客户端112向云服务器210发送用于探测内网100任务请求时，会检测主机110是否已安装有隧道客户端111。web客户端在检测到主机110上未安装隧道客户端111的情况下，会自动在主机110上安装隧道客户端111。其中任务请求为用户在web客户端112的订阅功能上的操作所产生的，例如用户勾选自己需要的功能如资产探测、漏洞探测与威胁分析等。
46.需要说明的是，系统中的主机110以及云端200均可适用上面所述的硬件结构。
47.在上述运行环境下，根据本实施例的第一个方面，提供了一种网络安全管理方法，该方法由图2中所示的云端200实现。图3示出了该方法的流程示意图，参考图3所示，该方法包括：
48.s302：生成用于在内网执行探测任务的探测数据包；
49.s304：与部署于内网的主机的隧道客户端建立通信隧道；以及
50.s306：通过通信隧道，向隧道客户端发送探测数据包。
51.具体地，主机110部署于内网100，主机110上设置有web客户端112，web客户端112设置有“订阅”功能。用户通过web客户端112选择“订阅”页面中的资产探测、漏洞探测与威胁分析等功能，从而探测内网100的安全状态。之后web客户端将与订阅功能相关的探测内网100的任务请求发送至云端200。其中“订阅”页面中的各个功能可以分别生成一个探测任务的任务请求。例如“资产探测”功能可以生成一个任务请求，“漏洞探测”功能可以生成一个任务请求、“威胁分析”功能可以生成另外一个任务请求。
52.进一步地，云端200接收到探测任务的任务请求后，根据该探测任务生成探测数据包，其中所述探测数据包包括：目标地址、源地址以及探测命令等数据。
53.进一步地，在用户通过web客户端112的“订阅”功能探测内网100时，web客户端112会在主机110上安装隧道客户端111，之后隧道客户端111向云端200的隧道层部署的隧道服务器240发送建立通信隧道的请求，隧道服务器240响应于该请求，与隧道客户端111建立通信隧道。其中通信隧道用于为隧道客户端111与隧道服务器240互相传输数据包。并且其中通信隧道为加密的通信隧道。
54.进一步地，隧道服务器240通过通信隧道将生成的探测数据包发送至隧道客户端111。隧道客户端111接收到探测数据包后，将探测数据包转发至路由器，路由器将探测数据包转发至主机110的其他模块上，之后主机110根据探测数据包的探测命令探测内网。
55.正如背景技术中所述的，现有的网络探测方法，在探测内网时，客户端需要根据探测任务探测内网，因此客户端部署有多个用于执行探测任务的执行模块，从而造成客户端的负载过重的问题。
56.针对以上所述的技术问题，通过本技术实施例的技术方案，云端的隧道层部署的隧道服务器与设置于内网中的主机部署的隧道客户端建立有通信隧道，云端根据探测内网的探测任务生成对应的探测数据包，可以通过通信隧道将探测数据包发送至主机，从而探测内网的安全状态。从而本技术方案通过通信隧道传输探测数据包，通信隧道只做转发探测数据包的操作，可以避免现有技术中的客户端与服务器网络通信时ip暴露的问题，从而提高了传输的安全性。并且，本技术方案中的隧道客户端负责管理通信隧道，以及将探测数据包转发至其他设备就可以实现探测内网的操作，避免了现有技术中的在客户端中设置多种执行模块才能探测内网的情况，实现了轻量级的隧道客户端，减少了部署成本，并且减少了负载。进而解决了现有技术中存在的在探测内网时客户端的负载过重的技术问题。
57.可选地，方法还包括：通过部署于云层的云服务器从主机接收与探测任务相关的任务请求；以及通过部属于调度层的调度服务器对探测任务进行拆分，并且将拆分后的探测任务调度至任务层的任务执行服务器。
58.具体地，参考图2所示，云端200的云层部署有云服务器210，主机110的web客户端112向云服务器210发送与探测任务相关的任务请求。云服务器210接收到任务请求后，将探
测任务进行记录，生成任务列表。其中任务列表可以包括多个探测任务。之后云服务器210将任务列表发送至部署于调度层的调度服务器220。
59.进一步地，云端200根据探测任务的关联度，可将探测内网100的探测任务分为两种类型，包括独立任务和关联任务。其中独立任务是与其它探测任务之间没有任何关联，执行时既不会受到其他探测任务的影响也不会影响到其他探测任务的执行，并且独立任务可以与其他探测任务并行执行。并且其中关联任务则或多或少会影响到其他探测任务或是受其他探测任务的影响，其只可串行执行。
60.调度服务器220接收到任务列表后，根据任务列表中的多个探测任务的优先级顺序以及关联度，生成与多个探测任务对应的关联矩阵。其中各个探测任务的优先级以及各个探测任务之间的关联度为管理员预先设定的。
61.例如，任务列表中共有n个探测任务，分别为t1，t2，
……
，tn。将t1，t2，
……
，tn按优先级降序排列，从而调度服务器220根据探测任务t1～tn之间的关联度生成的关联矩阵为：
[0062][0063]
其中，t
ij
(i,j＝1,2,...,n)表示探测任务ti与探测任务tj之间的关联度。其中生成关联矩阵包括以下规则：
[0064]
1)生成关联矩阵的探测任务是按优先级降序排列的；
[0065]
2)关联矩阵中的元素取值为-1，0或1，且对角线上的元素都为1；
[0066]
3)若探测任务ta与tb的关联度为1，则探测任务tb与ta的关联度为-1；若探测任务ta与tb的关联度为-1，则探测任务tb与ta的关联度为1；若探测任务ta与tb的关联度为0，则探测任务tb与ta的关联度也为0；
[0067]
4)若探测任务ta与tb的关联度为1，则表示探测任务ta要先于探测任务tb执行；若探测任务ta与tb的关联度为0，表示探测任务ta与tb互不影响；若探测任务ta与tb的关联度为-1，则表示探测任务tb要先于探测任务ta执行。
[0068]
例如，任务列表中共有四个探测任务t1～t4。调度服务器220根据探测任务t1～t4之间的关联度生成的关联矩阵t为：
[0069][0070]
例如，预先设定的探测任务t1～t4之间的关联度包括：t1和t2的关联度为0，t1和t3的关联度为1，t1和t4的关联度为-1，t2和t3的关联度为1，t2和t4的关联度为1，t3和t4的关联度为-1，并以此类推，从而生成的关联矩阵为t为：
[0071][0072]
并且按照优先级降序排列探测任务t1～t4分别为：t2，t4，t1和t3。即，t2的优先级最高，t3的优先级最低。探测任务t1～t4的优先级向量为：
[0073][0074]
其中t1～t4的优先级向量分别与p1～p4对应。从而调度服务器220获取了预先设定的t2，t4，t1和t3的优先级分别为1，2，3，4。即，t2的优先级最高，t3的优先级最低，从而，探测任务t1～t4的优先级向量为：
[0075][0076]
之后调度服务器220计算关联矩阵t与优先级向量之间的点积得到调度向量
[0077][0078]
其中，调度向量中的0，9，-4，6分别对应于t2，t4，t1和t3，在计算出调度向量之后，调度服务器220会先在调度向量中选出值与其优先级相等的探测任务，再到关联矩阵t中查看该探测任务是否真的与其他探测任务不相关，若相关则将该探测任务从调度向量中移除。
[0079]
之后调度服务器220将调度向量作为探测任务t1～t4的执行顺序，从而进行调度。即，调度向量进行降序排序，得到9》6》0》-4，则与调度向量对应的探测任务t1～t4的执行顺序则为t4，t3，t2，t1。从而调度服务器220根据探测任务的执行顺序将探测任务t1～t4调度至任务层的任务执行服务器230。
[0080]
从而本技术方案通过云服务器将探测任务发送至调度服务器，之后调度服务器通过对探测任务的关联度和优先级，生成多个探测任务之间的合理的执行顺序，从而可以根据该执行顺序，使得探测任务在执行时提高多个探测任务的执行效率，减少了负载。
[0081]
可选地，生成用于在内网执行探测任务的探测数据包的操作，包括：通过任务执行服务器根据探测任务生成探测数据包；以及通过任务执行服务器将探测数据包发送至隧道
层的隧道服务器。
[0082]
具体地，任务层的任务执行服务器230接收到调度层的调度服务器220发送的探测任务t1～t4之后，将探测任务t1～t4分别生成探测数据包，从而得到探测数据包p1～p4。其中不同的探测任务生成的探测数据包也不相同。之后任务执行服务器230将探测数据包p1～p4根据探测任务t1～t4的执行顺序依次将对应的探测数据包p1～p4发送至隧道层的隧道服务器240。
[0083]
从而本技术方案通过任务执行服务器将不同探测任务的探测数据包分别发送至隧道服务器，从而可以在生成探测任务的执行顺序后，将探测任务按顺序执行，从而可以有效地执行探测任务，提高了依照顺序执行的探测任务的实用性。
[0084]
可选地，与部署于内网的主机的隧道客户端建立通信隧道的操作，包括：通过隧道服务器与隧道客户端建立通信隧道，并且通过通信隧道，向隧道客户端发送探测数据包的操作，包括利用隧道服务器，通过通信隧道向隧道客户端发送探测数据包。
[0085]
具体地，隧道客户端111向隧道服务器240发送建立通信隧道的建立请求，隧道服务器240响应于该建立请求，与隧道客户端111建立通信隧道。其中通信隧道为加密的通信隧道。
[0086]
进一步地，隧道服务器240接收任务执行服务器230发送的探测数据包。其中任务执行服务器230发送的探测数据包的目标地址为被探测的内网100的内网地址。之后隧道服务器240检查该探测数据包，当检查到该探测数据包的目标地址为内网地址，则将该探测数据包进行封装。具体地，隧道服务器240将探测数据包封装为目标地址是隧道客户端111的外网地址的数据包，从而构造了一个新的普通数据包。其中该普通数据包的目标地址为隧道客户端111的外网地址。
[0087]
之后隧道服务器240将该普通数据包发送至公网，公网根据该普通数据包的目标地址，利用路由器将该普通数据包发送至隧道客户端111。之后隧道客户端111接收到该普通数据包后，对该普通数据包进行检测，从而检测到该普通数据包的源地址为隧道服务器240的地址。之后隧道客户端111剥掉该普通数据包的封装，得到原始的探测数据包。然后隧道客户端111检查该探测数据包的目标地址，检查到探测数据包的目标地址为内网地址，则根据目标地址(即，内网地址)将探测数据包发送至主机110的其他模块上。之后主机110根据探测数据包开启监听模式，从而对内网进行探测，得到内网的安全状态、数据流动情况以及传输的信息等探测结果。
[0088]
进一步地，参考图4所示，主机110上部署的隧道客户端111通过通信隧道将探测结果返回至隧道服务器240，之后隧道服务器240将探测结果发送至任务执行服务器230。其中返回的探测结果为探测结果数据包。任务执行服务器230将探测结果发送至调度服务器220。调度服务器220接收到不同探测任务对应的探测结果后，将探测结果进行汇总，之后将汇总后的探测结果发送至云服务器210。云服务器210将探测结果存储至云端数据库中。其中隧道客户端例如可以为vpn客户端，对应的隧道服务器可以为vpn服务器。
[0089]
进一步地，web客户端111根据云服务器210存储的探测结果将探测结果呈现在页面中，web页面例如可以将探测结果以xml，json，excel以及pdf等格式导出。
[0090]
从而本技术方案通过加密的通信隧道传输探测数据包，从而保证了数据包的安全性。并且本技术方案通过通信隧道将探测内网的探测数据包进行传输，从而可以通过探测
数据包就可以实现探测内网，无需在隧道客户端中创建多个用于探测内网的执行模块，从而实现轻量级的隧道客户端，提高了探测的便捷性。
[0091]
此外，当云端部署有多个云服务器，该多个云服务器分别生成不同类型的探测任务，其中多个探测任务用于探测同一个内网，并且各个探测任务的任务类型不同。并且生成不同探测任务的云服务器可以构成一个集群。
[0092]
具体地，基于云端多服务器的探测任务并行执行机制的详细流程如下：
[0093]
1)云服务器收到任务指令后，隧道服务器会与要探测的内网建立一条通信隧道；
[0094]
2)当使用多个云服务器对同一内网进行探测时，则每个云服务器与内网之间都会建立一个通信隧道，从而集群与内网之间会建立多条通信隧道；
[0095]
3)每个云服务器探测内网得到的探测结果会实时会汇集到云端。
[0096]
此外，web客户端的基于模块化的功能配置将功能封装成任务的形式，能够根据需求自行选择所需的功能并由云端执行相关的探测任务，也能够进行功能的迭代更新。从而通过模块化设计，提升功能的可拓展性。
[0097]
基于模块化的功能配置的详细流程如下：
[0098]
1)云端由系统管理员进行功能的迭代更新；
[0099]
2)web客户端根据用户向云端订阅所需功能。
[0100]
从而根据本实施例的第一个方面，云端的隧道层部署的隧道服务器与设置于内网中的主机部署的隧道客户端建立有通信隧道，云端根据探测内网的探测任务生成对应的探测数据包，可以通过通信隧道将探测数据包发送至主机，从而探测内网的安全状态。从而本技术方案通过通信隧道传输探测数据包，通信隧道只做转发探测数据包的操作，可以避免现有技术中的客户端与服务器网络通信时ip暴露的问题，从而提高了传输的安全性。并且，本技术方案中的隧道客户端负责管理通信隧道，以及将探测数据包转发至其他设备就可以实现探测内网的操作，避免了现有技术中的在客户端中设置多种执行模块才能探测内网的情况，实现了轻量级的隧道客户端，减少了部署成本，并且减少了负载。进而解决了现有技术中存在的在探测内网时客户端的负载过重的技术问题。
[0101]
此外，根据本实施例的第二个方面，提供了一种网络安全管理方法，该方法由图2中所示的内网100实现。图5示出了该方法的流程示意图，参考图5所示，该方法包括：
[0102]
s502：通过预先部署的隧道客户端与云端建立通信隧道；
[0103]
s504：通过通信隧道接收云端发送的探测数据包，其中探测数据包用于在内网执行探测任务；以及
[0104]
s506：根据探测数据包在内网执行探测任务。
[0105]
具体地，内网100预先部署有隧道客户端111，之后隧道客户端111向云端200的隧道层部署的隧道服务器240发送建立通信隧道的请求，隧道服务器240响应于该请求，与隧道客户端111建立通信隧道，其中通信隧道用于为隧道客户端111与隧道服务器240互相传输数据包。
[0106]
进一步地，云端200根据探测任务生成用于探测内网的探测数据包，之后隧道服务器240通过通信隧道将生成的探测数据包发送至隧道客户端111。隧道客户端111接收到探测数据包后，将探测数据包转发至路由器，路由器将探测数据包转发至主机110的其他模块上，之后根据探测数据包的探测命令探测内网，从而执行探测任务。
[0107]
正如背景技术中所述的，现有的网络探测方法，在探测内网时，客户端需要根据探测任务探测内网，因此客户端部署有多个用于执行探测任务的执行模块，从而造成客户端的负载过重的问题。
[0108]
针对以上所述的技术问题，通过本技术实施例的技术方案，云端的隧道层部署的隧道服务器与设置于内网中的主机部署的隧道客户端建立有通信隧道，云端根据探测内网的探测任务生成对应的探测数据包，可以通过通信隧道将探测数据包发送至主机，从而探测内网的安全状态。从而本技术方案通过通信隧道传输探测数据包，通信隧道只做转发探测数据包的操作，可以避免现有技术中的客户端与服务器网络通信时ip暴露的问题，从而提高了传输的安全性。并且，本技术方案中的隧道客户端负责管理通信隧道，以及将探测数据包转发至其他设备就可以实现探测内网的操作，避免了现有技术中的在客户端中设置多种执行模块才能探测内网的情况，实现了轻量级的隧道客户端，减少了部署成本，并且减少了负载。进而解决了现有技术中存在的在探测内网时客户端的负载过重的技术问题。
[0109]
可选地，方法还包括：在探测任务执行完毕的情况下，释放所占用的所有负载。
[0110]
具体地，主机110根据探测数据包探测内网100之后得到探测结果，并将探测结果生成探测结果数据包。之后隧道客户端111将探测结果数据包通过通信隧道返回至云端200，云端200将探测结果进行存储，从而探测任务执行完毕。之后隧道客户端111释放其所占用的所有负载，包括：关闭通信隧道以释放其所占用的网络资源，并且释放其所占用的内存、文件以及进程等资源。
[0111]
从而，由于探测任务是多样的且具有一定的复杂性，因此若把执行模块放到主机上，则执行任务时会对主机的性能有一定的影响，甚至是导致主机发生卡顿、崩溃甚至是死机等严重安全问题。从而本技术方案中的轻量级部署的客户端支持任务结束后释放其所占用的所有负载，从而节约了操作时间，减少了部署成本。
[0112]
从而根据本实施例的第二个方面，云端的隧道层部署的隧道服务器与设置于内网中的主机部署的隧道客户端建立有通信隧道，云端根据探测内网的探测任务生成对应的探测数据包，可以通过通信隧道将探测数据包发送至主机，从而探测内网的安全状态。从而本技术方案通过通信隧道传输探测数据包，通信隧道只做转发探测数据包的操作，可以避免现有技术中的客户端与服务器网络通信时ip暴露的问题，从而提高了传输的安全性。并且，本技术方案中的隧道客户端负责管理通信隧道，以及将探测数据包转发至其他设备就可以实现探测内网的操作，避免了现有技术中的在客户端中设置多种执行模块才能探测内网的情况，实现了轻量级的隧道客户端，减少了部署成本，并且减少了负载。进而解决了现有技术中存在的在探测内网时客户端的负载过重的技术问题。
[0113]
此外，参考图1所示，根据本实施例的第三个方面，提供了一种存储介质。所述存储介质包括存储的程序，其中，在所述程序运行时由处理器执行以上任意一项所述的方法。
[0114]
从而根据本实施例，云端的隧道层部署的隧道服务器与设置于内网中的主机部署的隧道客户端建立有通信隧道，云端根据探测内网的探测任务生成对应的探测数据包，可以通过通信隧道将探测数据包发送至主机，从而探测内网的安全状态。从而本技术方案通过通信隧道传输探测数据包，通信隧道只做转发探测数据包的操作，可以避免现有技术中的客户端与服务器网络通信时ip暴露的问题，从而提高了传输的安全性。并且，本技术方案中的隧道客户端负责管理通信隧道，以及将探测数据包转发至其他设备就可以实现探测内
网的操作，避免了现有技术中的在客户端中设置多种执行模块才能探测内网的情况，实现了轻量级的隧道客户端，减少了部署成本，并且减少了负载。进而解决了现有技术中存在的在探测内网时客户端的负载过重的技术问题。
[0115]
需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。
[0116]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
[0117]
实施例2
[0118]
图6示出了根据本实施例的第一个方面所述的网络安全管理装置600，该装置600与根据实施例1的第一个方面所述的方法相对应。参考图6所示，该装置600包括：数据包生成模块610，用于生成用于在内网执行探测任务的探测数据包；第一建立模块620，用于与部署于内网的主机的隧道客户端建立通信隧道；以及数据包发送模块630，用于通过通信隧道，向隧道客户端发送探测数据包。
[0119]
可选地，装置600还包括：第一接收子模块，用于通过部署于云层的云服务器从主机接收与探测任务相关的任务请求；以及任务拆分子模块，用于通过部属于调度层的调度服务器对探测任务进行拆分，并且将拆分后的探测任务调度至任务层的任务执行服务器。
[0120]
可选地，数据包生成模块610，包括：第一生成子模块，用于通过任务执行服务器根据探测任务生成探测数据包；以及第一发送子模块，用于通过任务执行服务器将探测数据包发送至隧道层的隧道服务器。
[0121]
可选地，第一建立模块620，包括：第一建立子模块，用于通过隧道服务器与隧道客户端建立通信隧道，并且数据包发送模块630，包括第二发送子模块，用于利用隧道服务器，通过通信隧道向隧道客户端发送探测数据包。
[0122]
此外，图7示出了根据本实施例的第二个方面所述的网络安全管理装置700，该装置700与根据实施例1的第二个方面所述的方法相对应。参考图7所示，该装置700包括：第二建立模块710，用于通过预先部署的隧道客户端与云端建立通信隧道；数据包接收模块720，用于通过通信隧道接收云端发送的探测数据包，其中探测数据包用于在内网执行探测任务；以及任务执行模块730，用于根据探测数据包在内网执行探测任务。
[0123]
可选地，装置700还包括：释放子模块，用于在探测任务执行完毕的情况下，释放所占用的所有负载。
[0124]
从而根据本实施例，云端的隧道层部署的隧道服务器与设置于内网中的主机部署的隧道客户端建立有通信隧道，云端根据探测内网的探测任务生成对应的探测数据包，可以通过通信隧道将探测数据包发送至主机，从而探测内网的安全状态。从而本技术方案通
过通信隧道传输探测数据包，通信隧道只做转发探测数据包的操作，可以避免现有技术中的客户端与服务器网络通信时ip暴露的问题，从而提高了传输的安全性。并且，本技术方案中的隧道客户端负责管理通信隧道，以及将探测数据包转发至其他设备就可以实现探测内网的操作，避免了现有技术中的在客户端中设置多种执行模块才能探测内网的情况，实现了轻量级的隧道客户端，减少了部署成本，并且减少了负载。进而解决了现有技术中存在的在探测内网时客户端的负载过重的技术问题。
[0125]
实施例3
[0126]
图8示出了根据本实施例的第一个方面所述的网络安全管理装置800，该装置800与根据实施例1的第一个方面所述的方法相对应。参考图8所示，该装置800包括：第一处理器810；以及第一存储器820，与第一处理器810连接，用于为第一处理器810提供处理以下处理步骤的指令：生成用于在内网执行探测任务的探测数据包；与部署于内网的主机的隧道客户端建立通信隧道；以及通过通信隧道，向隧道客户端发送探测数据包。
[0127]
可选地，装置800还包括：通过部署于云层的云服务器从主机接收与探测任务相关的任务请求；以及通过部属于调度层的调度服务器对探测任务进行拆分，并且将拆分后的探测任务调度至任务层的任务执行服务器。
[0128]
可选地，生成用于在内网执行探测任务的探测数据包的操作，包括：通过任务执行服务器根据探测任务生成探测数据包；以及通过任务执行服务器将探测数据包发送至隧道层的隧道服务器。
[0129]
可选地，与部署于内网的主机的隧道客户端建立通信隧道的操作，包括：通过隧道服务器与隧道客户端建立通信隧道，并且通过通信隧道，向隧道客户端发送探测数据包的操作，包括利用隧道服务器，通过通信隧道向隧道客户端发送探测数据包。
[0130]
此外，图9示出了根据本实施例的第二个方面所述的网络安全管理装置900，该装置900与根据实施例1的第二个方面所述的方法相对应。参考图9所示，该装置900包括：第二处理器910；以及第二存储器920，与第二处理器910连接，用于为第二处理器910提供处理以下处理步骤的指令：通过预先部署的隧道客户端与云端建立通信隧道；通过通信隧道接收云端发送的探测数据包，其中探测数据包用于在内网执行探测任务；以及根据探测数据包在内网执行探测任务。
[0131]
可选地，装置900还包括：在探测任务执行完毕的情况下，释放所占用的所有负载。
[0132]
从而根据本实施例，云端的隧道层部署的隧道服务器与设置于内网中的主机部署的隧道客户端建立有通信隧道，云端根据探测内网的探测任务生成对应的探测数据包，可以通过通信隧道将探测数据包发送至主机，从而探测内网的安全状态。从而本技术方案通过通信隧道传输探测数据包，通信隧道只做转发探测数据包的操作，可以避免现有技术中的客户端与服务器网络通信时ip暴露的问题，从而提高了传输的安全性。并且，本技术方案中的隧道客户端负责管理通信隧道，以及将探测数据包转发至其他设备就可以实现探测内网的操作，避免了现有技术中的在客户端中设置多种执行模块才能探测内网的情况，实现了轻量级的隧道客户端，减少了部署成本，并且减少了负载。进而解决了现有技术中存在的在探测内网时客户端的负载过重的技术问题。
[0133]
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0134]
在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有
详述的部分，可以参见其他实施例的相关描述。
[0135]
在本技术所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。
[0136]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0137]
另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0138]
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0139]
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。