一种网络安全巡检系统及巡检方法与流程

本发明涉及软件技术领域，尤其涉及一种网络安全巡检系统及巡检方法。

背景技术：

随着信息网络资产的增加，网络与信息系统的隐患与漏洞以及面临的攻击越来越多,很多企业都部署了大量的网络安全设备及系统进行隐患漏洞的检测及外部攻击的监控。网安人员面临安全设备多、监控人员少、设备误报率高、隐患漏洞排查效率低等难题。

技术实现要素：

本发明提供了、一种网络安全巡检系统，所述系统包括：

台账信息库建立模块，用于建立台账信息库；

网络安全设备检测信息获取模块，用于定期从网络获取各网络安全设备检测到的内部隐患漏洞信息和外部攻击信息；

设备判断模块，用于根据内部隐患漏洞信息和外部攻击信息，从预设的设备指纹表中确定出具有内部隐患漏洞的第一设备和受外部攻击信息攻击的第二设备；

扫描模块，用于定期通过网络扫描各服务器、终端和网络设备的端口，获取与所述服务器ip、终端ip和网络设备ip关联的开放了服务的第一端口的端口信息；

端口检测模块，用于从所述第一端口的端口信息中检测出第一漏洞端口；

管理人员确定模块，用于根据台账信息库查找出所述第一设备、第二设备和所述第一漏洞端口对应的管理人员；

巡检信息发送模块，用于根据预设的用户表，确定出所述管理人员的联系方式，并通过所述联系方式向管理人员发送巡检信息；所述巡检信息包括所述第一设备的隐患漏洞信息、第二设备的外部攻击信息和第一漏洞端口的漏洞信息。

可选地，所述台账信息库建立模块包括：

初始台账信息库建立子模块，用于根据人工台账信息建立初始台账信息库；

台账信息库更新子模块，用于定期利用网络扫描工具扫描的信息和网络安全设备检测的信息更新台账信息库。

可选地，所述系统还包括：

二次过滤模块，用于对各网络安全设备检测到的设备漏洞信息和外部攻击信息进行过滤。

可选地，所述系统还包括：

安全处理模块，用于根据所述巡检信息，管理人员对第一设备、第二设备和所述第一漏洞端口进行安全处理。

可选地，所述端口检测模块包括：

漏洞检测子模块，用于利用漏洞检测脚本确定第一端口的端口信息是否存在漏洞信息；

漏洞端口确定子模块，用于确定存在漏洞信息的漏洞端口为第一漏洞端口。

本发明还提供了一种网络安全巡检方法，所述方法包括：

建立台账信息库；

定期从网络获取各网络安全设备检测到的内部隐患漏洞信息和外部攻击信息；

根据内部隐患漏洞信息和外部攻击信息，从预设的设备指纹表中确定出具有内部隐患漏洞漏洞的第一设备和受外部攻击信息攻击的第二设备；

网络扫描各服务器、终端和网络设备的端口，获取与所述服务器ip、终端ip和网络设备ip关联的开放了服务的第一端口的端口信息；

从所述第一端口的端口信息中检测出漏洞端口；

根据台账信息库查找出第一设备、第二设备和所述漏洞端口对应的管理人员；

根据预设的用户表，确定出所述管理人员的联系方式，并通过所述联系方式向管理人员发送巡检信息；所述巡检信息包括所述第一设备的漏洞信息、第二设备的外部攻击信息和漏洞端口的漏洞信息。

可选地，所述建立台账信息库包括：

根据人工台账信息建立初始台账信息库；

定期利用网络扫描工具扫描的信息和网络安全设备检测的信息更新台账信息库。

可选地，所述定期从网络获取各网络安全设备检测到的设备漏洞信息和外部攻击信息之后还包括：

对各网络安全设备检测到的设备漏洞信息和外部攻击信息进行二次过滤。

可选地，所述根据预设的用户表，确定出所述管理人员的联系方式，并通过所述联系方式向管理人员发送巡检信息之后还包括：

根据所述巡检信息，管理人员对第一设备、第二设备和所述第一漏洞端口进行安全处理。

可选地，所述从所述第一端口的端口信息中检测出漏洞端口包括：

利用漏洞检测脚本确定第一端口的端口信息是否存在漏洞信息；

确定存在漏洞信息的漏洞端口为第一漏洞端口。本发明具有以下有益效果：

本发明实施例通过整合已部署的安全设备监测的信息与自主扫描的信息互为补充，全面监测网络与信息系统的安全隐患与外部攻击信息。同时，进行隐患漏洞及攻击信息的二次过滤，可以快速定位有效的安全告警信息和漏洞信息，剔除不必要的干扰。

本发明实施例采用定时任务巡检，自动输出结果。定期自动将高危端口信息、存在的漏洞端口等信息形成统计报表,自动化的通过短信、微信或邮件方式发送给管理人员。

本发明实施例的源代码具有开放性，能够灵活移植到别的企业，也可以自定义相关的插件。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一的一种网络安全巡检系统的结构框图；

图2为本发明实施例二的一种网络安全巡检系统的具体结构框图；

图3为本发明实施例三的一种网络安全巡检系统的结构图；

图4为本发明实施例四的一种网络安全巡检方法的具体步骤流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

【系统实施例一】

参照图1，示出了本发明实施例中的一种网络安全巡检系统100的结构框图。所述系统100包括台账建立模块110、网络安全设备监测信息获取模块120、设备判断模块130、扫描模块140、端口检测模块150、管理人员确定模块160和巡检信息发送模块170；

具体应用中，本发明实施例可以应用于企事业单位的网络安全管理中，也可以应用于其他需要进行网络安全管理的网络系统中，本发明实施例对具体应用不做限定。

台账信息库建立模块110，用于建立台账信息库。

在本发明实施例中，所述台账信息库包括设备ip台账和设备端口台账；所述设备ip台账包括：设备ip地址、设备名称、设备ip地址所属的地址段、设备ip所属的区域、设备ip部署的物理位置、设备的管理人员、设备的操作系统、设备是虚拟机还是物理机、设备属于信息内外还是信息外网等。所述设备端口台账包括：端口对应的设备、端口运行的服务、端口的协议、端口对应的数据库、端口对应的中间件等。

在本发明实施例中，建立台账信息库能够实现设备及设备端口的有效管理，方便后期对端口的漏洞信息和/或设备的内部隐患漏洞和/或设备遭受的攻击信息进行处理。

网络安全设备检测信息获取模块120，用于定期从网络获取各网络安全设备检测到的内部隐患漏洞信息和外部攻击信息。

本发明实施例中，定期可以是一个预先设定的时间段，例如一天或者12小时，定期从网络获取各网络安全设备检测到的内部隐患漏洞信息和外部攻击信息以保证能够全面的获取设备的安全信息，防止遗漏安全设备检测到的部分安全信息。可以理解，本领域技术人员也可以根据实际的应用场景获取的时间间隔，本发明实施例对此不做限制。

具体应用中，本发明对各网络安全设备进行巡检，具体为：每隔十分钟登陆一次网络安全设备，如果不能登录网络安全设备，则确定所述网络安全设备存在问题，针对所述问题进行报警。如果能够登录所述安全设备，则获取所述安全设备检测到的相关安全信息。所述相关安全信息包括：内部隐患漏洞信息和外部攻击信息。所述内部隐患漏洞信息包括：系统漏洞数据、主机及网络设备高危端口开放情况、主机配置合规性、主机病毒库特征库更新的及时性，用户的违规行为等；外部攻击信息包括网络及系统遭受攻击的信息等。

设备判断模块130，用于根据内部隐患漏洞信息和外部攻击信息，从预设的设备指纹表中确定出具有内部隐患漏洞的第一设备和受外部攻击信息攻击的第二设备。

在本发明实施例中，所述预设的设备指纹表中包括了以设备ip为关键字记录设备信息，具体包括：设备ip地址、设备名称、设备ip地址所属的地址段、设备ip所属的区域、设备ip部署的物理位置、设备的管理人员、管理人员的联系方式、设备的操作系统、设备是虚拟机还是物理机、设备属于信息内外还是信息外网。

在本发明实施例中，所述设备的内部隐患漏洞信息中包括了以第一设备为关键字的部分信息，例如设备的名称或设备的ip地址，利用所述信息能够在设备指纹表中找出存在所述隐患漏洞信息的第一设备。同样的，所述外部攻击信息中也包括了受攻击第二设备的信息，可以是，设备的操作系统，利用所述信息在设备指纹表中能够确认出受外部攻击信息攻击的第二设备。

扫描模块140，用于定期通过网络扫描各服务器、终端和网络设备的端口，获取与所述服务器ip、终端ip和网络设备ip关联的开放了漏洞服务的第一端口的端口信息。

在本发明实施例中，定期可以是一个预先设定的时间段，例如一天或者12小时，定期通过网络扫描各各服务器、终端和网络设备的端口信息能够保证将开放了服务的端口都扫描到，以防止遗漏开放的高危端口和漏洞端口。可以理解，本领域技术人员也可以根据实际的应用场景设定扫描端口的时间间隔，本发明实施例对此不做限制。

在本发明实施例中，所述端口信息包括端口的开放情况和端口的属性。定期通过网络采集获取与所述服务器ip、终端ip和网络设备ip关联的开放了服务的第一端口的端口信息，能够全面监控所有开放了漏洞服务或高危服务的端口的情况。

端口检测模块150，用于从所述第一端口的端口信息中检测出第一漏洞端口。

在本发明实施例中，所述第一端口包括开放了具有漏洞服务或者高危服务的端口，在此基础上，利用编制的漏洞检测脚本对第一端口进行检测，检测出包含有漏洞服务或者高危服务的第一漏洞端口。

管理人员确定模块160，用于根据台账信息库查找出所述第一设备、第二设备和所述第一漏洞端口对应的管理人员。

在本发明实施例中，根据第一设备和第二设备的相关信息在台账信息库中查找出对应的管理人员信息，根据第一漏洞端口对应的服务器或者终端的ip地址或者服务类型在台账信息库中查找出对应的管理人员信息。

具体应用中，第一设备为一台惠普打印机，型号为hpcolorlaserjet2840，则通过第一设备的设备型号在台账信息库中查找出对应的记录了该设备台账的信息，从该信息中查找出对应的管理人员信息。

巡检信息发送模块170，用于根据预设的用户表，确定出所述管理人员的联系方式，并通过所述联系方式向管理人员发送巡检信息；所述巡检信息包括所述第一设备的内部隐患漏洞信息、第二设备的外部攻击信息和漏洞端口的漏洞信息。

在本发明实施例中，所述用户表中存储了管理人员的联系方式和他们的相应责任分配。所述管理人员包括：网络安全技术人员、各种网络安全管理人员、网络设备管理维护人员、终端使用人员、维护人员、服务器维护人员、管理责任人。

在本发明实施例中，所述管理人员的联系方式包括：包括手机号码，和/或微信账户，和/或电子邮件账户。利用短信、微信或者邮件将巡检信息发送给相关的管理人员，相关的管理人员对巡检信息中存在的问题进行人工处理，并将处理结果通过邮件发送给网络安全人员，网络安全人员手动录入处理信息至台账信息库。

本发明实施例通过整合已部署的安全设备监测的信息与自主扫描的信息互为补充，全面监测网络与信息系统的安全隐患与外部攻击信息。同时，进行隐患漏洞及攻击信息的二次过滤，可以快速定位有效的安全告警信息和漏洞信息，剔除不必要的干扰。

本发明实施例采用定时任务巡检，自动输出结果。定期自动将高危端口信息、存在的漏洞端口等信息形成统计报表,自动化的通过短信、微信或邮件方式发送给管理人员。

本发明实施例的源代码具有开放性，能够灵活移植到别的企业，也可以自定义相关的插件。

【系统实施例二】

参照图2，示出了本发明实施例中的一种网络安全巡检系统200的结构框图。所述系统200包括台账建立模块210、网络安全设备监测信息获取模块220、二次过滤模块230、设备判断模块240、扫描模块250、端口检测模块260、管理人员确定模块270、巡检信息发送模块170和安全处理模块290；

台账信息库建立模块210，用于建立台账信息库；

在本发明实施例中，所述台账信息库包括设备ip台账、设备端口台账；所述设备ip台账包括：设备ip地址、设备名称、设备ip地址所属的地址段、设备ip所属的区域、设备ip部署的物理位置、设备的管理人员、设备的操作系统、设备是虚拟机还是物理机、设备属于信息内外还是信息外网等。所述设备端口台账包括：端口的开放情况、端口对应的设备、端口运行的服务、端口的协议、端口对应的数据库、端口对应的中间件等。

进一步，所述台账信息库建立模块210包括：初始台账库建立子模块2101和台账库更新子模块2102；

初始台账库建立子模块2101，用于根据人工台账信息建立初始台账信息库。

在本发明实施例中，对人工前期整理的台账，利用本发明实施例中编制的整理脚本，根据数据库表格式，将人工前期整理的台账不规范的格式整理为规范的格式，进而建立初始台账信息库。本发明实施例能够将人工台账整理为具有规范的格式的初始台账信息库，方便后期对各设备、各端口和各服务器的管理。

在本发明实施例中，所述人工前期整理的台账包括：人工整理的设备ip台账、端口台账。人工整理的设备ip台账包括了部分设备的部分信息/全部信息。人工整理的端口台账包括了部分端口的部分信息/全部信息。设备信息包括：设备ip地址、设备名称、设备ip地址所属的地址段、设备ip所属的区域、设备ip部署的物理位置、设备的管理人员、设备的操作系统、设备是虚拟机还是物理机、设备属于信息内外还是信息外网等设备ip地址、设备名称、设备ip地址所属的地址段、设备ip所属的区域、设备ip部署的物理位置、设备的管理人员、设备的操作系统、设备是虚拟机还是物理机、设备属于信息内外还是信息外网等。端口信息包括：端口的开放情况和端口的属性，端口的属性包括：端口对应的设备、端口运行的服务、端口的协议、端口对应的数据库、端口对应的中间件等。

台账库更新子模块2102，用于定期利用网络扫描工具扫描的信息和网络安全设备检测的信息更新台账信息库。

在本发明实施例中，由于前期人工整理的台账信息不完整，不方便后期对设备、端口进行管理。为了完善台账信息库，将各网络安全设备监测的各设备和/或各端口和/或各服务器得到的设备台账信息和/或端口台账信息，通过编制的自动化处理脚本，导入到台账信息库中记录了该设备和/或端口和/或各服务器信息的位置处。

在本发明实施中，通过扫描工具每天更新台账信息库。具体为：通过masscan扫描工具编制相应的扫描脚本，对指定地址范围、指定端口范围、指定协议的端口进行扫描，并扫描各端口的banners信息，根据扫描脚本返回的端口banners信息，对照预设的端口指纹表进行关键字的指纹识别，识别出对应端口，并利用端口指纹表中记录的所述对应端口的端口信息对台账信息库中的内容进行更新。具体为：如果台账信息库没有所述对应端口的端口信息，则利用端口指纹库中的内容在台账信息库中建立所述对应端口的端口信息；如果台账信息库中记录所述对应端口的端口信息没有端口指纹表中记录的端口信息全面，则利用端口指纹表中的记录对应端口的端口信息更新台账信息库中记录的对应端口的端口信息。

所述预设的端口指纹表包括：端口的开放情况、端口对应的设备、端口运行的服务、端口的协议、端口对应的数据库、端口对应的中间件等。

所述端口的banners信息包括端口的属性信息，例如：端口对应的设备，端口对应的设备的类型、端口对应的设备型号等。

在具体的应用中，利用扫描工具扫描各终端的端口，得到的返回信息关键字为：惠普、打印机、hpcolorlaserjet2840。通过关键字匹配在指纹表中识别出所述端口为hpcolorlaserjet2840型号的惠普打印机对应的端口，进一步的，基于相应的处理脚本，利用端口指纹表中记录的关于该惠普打印机的信息，对台账信息库中记录该惠普打印机的信息进行完善；或者基于相应的处理脚本，利用指纹表中记录的关于该惠普打印机的信息，对台账信息库中的该惠普打印机的信息进行建立，实现对台账信息库的更新。

网络安全设备监测信息获取模块220，用于定期从网络获取各网络安全设备检测到的内部隐患漏洞信息和外部攻击信息。

在本发明实施例中，定期可以是一个预先设定的时间段，例如一天或者12小时，定期从网络获取各网络安全设备检测到的内部隐患漏洞信息和外部攻击信息以保证能够全面的获取设备的安全信息，防止遗漏安全设备检测到的部分安全信息。可以理解，本领域技术人员也可以根据实际的应用场景获取的时间间隔，本发明实施例对此不做限制。

具体应用中，利用python程序设计语言，编制信息采集脚本软件，利用网页爬虫方法爬取各网络安全设备检测到的设备内部隐患漏洞信息和外部攻击信息，所述网页爬虫方法利用python语言中的requests库和selenium库来实现。所述内部隐患漏洞信息包括：系统漏洞数据、高危端口开放、配置合规性、更新及时性、违规行为。所述外部攻击信息包括网络及系统遭受攻击的信息。

二次过滤模块230、用于用于对各网络安全设备检测到的设备漏洞信息和外部攻击信息进行过滤。

在本发明实施例中，由于一些网络安全设备检测到的内部隐患漏洞信息和外部攻击信息具有很高的误报率，难以快速从网络设备检测到内部隐患漏洞信息和外部攻击的信息中找到真正的内部隐患漏洞信息和外部攻击信息。基于此，本发明实施例中对各内部隐患漏洞信息和外部攻击信息利用二次过滤模型进行二次过滤，可以快速定位有效的设备漏洞信息和外部攻击信息，剔除不必要的干扰，高效处理真实发生的威胁。所述二次过滤模型中集成了设置白名单、深度包检测分析、企业网络安全人员长期积累的知识经验算法。其中，所述设置白名单包括：将网络安全设备经常误检到的一些内部隐患漏洞信息和/或外部攻击信息加入到白名单中，用于当网络安全设备再次检测到这些内部隐患漏洞信息和/或外部攻击信息时，判断它们为非内部隐患漏洞信息和/或外部攻击信息。所述深度包检测分析是相对普通报文分析而言的一种新技术，普通报文检测仅仅分析ip包的四层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而深度包检测分析则在此基础上，增加了对应用层的分析，可识别出各种应用及其内容。利用深度包检测分析能够检测出内部隐患漏洞信息和/或外部攻击信息的内容层，从而进行是否为内部隐患漏洞信息和/或外部攻击信息的判断。所述企业网络安全人员长期积累的知识经验算法包括利用企业网络管理人员长期积累的知识经验对内部隐患漏洞信息和/或外部攻击信息进行过滤，过滤掉某个网络安全设备之前经常出现的误检信息或者对多个网络安全设备同时检测出的外部攻击信息不进行过滤。

设备判断模块240，用于根据内部隐患漏洞信息和外部攻击信息，从预设的设备指纹表中确定出具有内部隐患漏洞的第一设备和受外部攻击信息攻击的第二设备。

在本发明实施例中，所述内部隐患漏洞信息包括：系统漏洞数据、主机及网络设备高危端口开放情况、主机配置合规性、主机病毒库特征库更新的及时性，用户的违规行为等；外部攻击信息包括网络及系统遭受攻击的信息等。所述预设的设备指纹表中包括了以设备ip为关键字记录设备信息，具体包括：设备ip地址、设备名称、设备ip地址所属的地址段、设备ip所属的区域、设备ip部署的物理位置、设备的管理人员、管理人员的联系方式、设备的操作系统、设备是虚拟机还是物理机、设备属于信息内外还是信息外网。

在本发明实施例中，所述利用网络安全设备检测到的内部隐患漏洞信息中包括了以第一设备为关键字的部分信息，例如设备的名称或设备的ip地址，利用所述信息能够在设备指纹表中找出存在所述隐患漏洞信息的第一设备。同样的，所述利用网络安全设备检测到的外部攻击信息中包括了以受攻击第二设备为关键字的部分信息，可以是，设备的操作系统，利用所述信息在设备指纹表中能够确认出受外部攻击信息攻击的第二设备。

具体应用中，如果检测到的设备内部隐患漏洞信息中包括了具有内部隐患漏洞的设备名称和型号，则以设备的名称和型号为关键字在设备指纹表中进行查找，找到相应的第一设备，进而在台账信息库中查找所述第一设备的台账信息，以进行后续的相应操作。如果检测到的设备外部攻击信息包括了第二设备的操作系统，则以设备的操作系统为关键字在指纹表中进行查找，找到相应的第二设备，进而进而在台账信息库中查找所述第二设备的台账信息，以进行后续的相应操作。

扫描模块250，用于定期通过网络扫描各服务器、终端和网络设备的端口，获取与所述服务器ip、终端ip和网络设备ip关联的开放了服务的第一端口的端口信息。

在本发明实施例中，在本发明实施例中，定期可以是一个预先设定的时间段，例如一天或者12小时，定期通过网络扫描各各服务器、终端和网络设备的端口信息能够保证将开放了服务的端口都扫描到，以防止遗漏开放的高危端口和漏洞端口。可以理解，本领域技术人员也可以根据实际的应用场景设定扫描端口的时间间隔，本发明实施例对此不做限制。

在本发明实施例中，利用网络扫描各服务器、终端和网络设备的端口可以是利用安装在虚拟机上的扫描工具进行的网络扫描。针对所述扫描工具的网络扫描，所述服务器、终端和网络设备向扫描工具返回开放了服务的第一端口信息。所述第一端口信息包括第一端口的开放情况和第一端口的属性。

在本发明的一个具体应用场景中，在服务器端编写shell脚本，根据待扫描的ip段，利用安装在服务器上的masscan扫描工具对所述ip段关联的终端端口进行循环扫描，并采集所述第一端口的端口信息，将所述端口信息存储为xml文件-->编写python脚本，并将各个单个的xml文件进行合并为一个xml文件并进行xml文件解析。

端口检测模块260，用于从所述第一端口的端口信息中判断出第一漏洞端口。

在本方明实施例中，通过前述网络扫描得到开放了服务的第一端口的端口信息，为了网络安全，编写漏洞检测脚本对开放了服务的第一端口进行漏洞检测，确定出包含有漏洞服务或者高危服务的第一漏洞端口。

进一步的，所述端口检测模块260包括漏洞检测子模块2601和漏洞端口确定子模块2602；

漏洞检测子模块2601，利用漏洞检测脚本确定第一端口的端口信息是否存在漏洞信息。

在本方实施例中，利用编写的漏洞检测脚本检测前述扫描得到第一端口的端口信息是否有漏洞，漏洞检测基于网络安全自查漏洞检测规范。所述漏洞检测脚本根据端口指纹表中的第一端口的端口信息，编制相应的漏洞检测脚本，实现漏洞的自动检测。所述网络安全自查漏洞检测规范规定了每种漏洞检测的详细的技术要求，通过此规范的制定，确保在进行漏洞检测工作时不会影响业务系统的正常运行。例如：对于弱口令漏洞检测，网络安全自查漏洞检测规范中规定了编写的弱口令的个数以及发送弱口令的时间间隔。

在本发明的一个具体应用场景中，利用python编程语言编制漏洞检测脚本，实现漏洞的自动检测。漏洞检测方法采用调用nmap的漏洞扫描功能及利用python的socket库发送相关漏洞检测payload。

在本发明的一个具体应用场景中，利用前述扫描获取第一端口开放的服务信息，利用指纹表进行认证，确定所述第一端口开放的服务为ftp服务，所述系统则自动调用ftp弱口令漏洞检测脚本，检测所述第一端口是否存在弱口令漏洞。具体检测过程为：利用ftp弱口令漏洞检测脚本向所述开放了ftp服务的第一端口发送弱口令，如果获得了返回数据，则所述第一端口存在弱口令漏洞，如果没有获得返回数据，则所述第一端口不存在弱口令漏洞。

漏洞端口确定子模块2602，用于确定存在漏洞信息的漏洞端口为第一漏洞端口。

在本发明实施例中，如果所述第一端口的端口信息中存在漏洞信息，则确定所述漏洞端口为第一漏洞端口。

在本发明的一个具体应用场景中，若果检测到某个具有ftp服务的第一端口存在弱口令漏洞，则确定所述具有弱口令风险的第一端口为第一漏洞端口。

管理人员确定模块270，用于根据台账信息库查找出所述第一设备、第二设备和所述第一漏洞端口对应的管理人员。

在本发明实施例中，所述台账信息库中记载了设备名称、设备的ip地址、设备的管理人员等信息。通过编写查找脚本在台账信息库中记载的内容查找出第一设备、第二设备对应的管理人员，通过所述管理人员进一步对所述第一设备存在的内部隐患漏洞和第二设备存在的外部攻击信息进行处理。通过查找脚本在所述台账信息库中查找出记录了第一漏洞端口对应的端口管理人员，进而通过所述管理人员对所述第一漏洞端口存在的漏洞信息进行处理。

巡检信息发送模块280，用于根据预设的用户表，确定出所述管理人员的联系方式，并通过所述联系方式向管理人员发送巡检信息；所述巡检信息包括所述第一设备的隐患漏洞信息、第二设备的外部攻击信息和第一漏洞端口的漏洞信息。

在本发明实施例中，所述预设的用户表中存储了管理人员的名单和对应的联系方式，所述管理人员包括：网络安全技术人员、各种网络安全管理人员、网络设备管理维护人员、终端使用人员、维护人员、服务器维护人员、管理责任人的名单和联系方式。根据前述查找到的第一设备、第二设备和所述第一漏洞端口对应的管理人员，利用查找脚本在预设的用户表中查找出相应的管理人员的联系方式，通过所述联系方式向管理人员发送巡检信息。所述联系方式包括手机号码，和/或微信账户，和/或电子邮件账户。

所述网络安全技术人员用于对巡检信息报表中存在的具体问题进行人工处理。所述各级网络安全管理人员用于获知巡检信息报表中存在的具体问题，并对巡检信息报表进行管理。所述网络设备管理维护人员为针对具体的设备进行管理维护的人员。终端使用人员为所述终端的使用人员、维护人员为所述终端的维护人员、服务器维护人员为所述服务器的维护人员、管理责任人为管理所述服务器的责任人。

在本发明实施例中，利用短信发送模块将所述巡检信息的统计数据发送给所述管理人员。短信发送模块的实现方式是利用公司的短信网关实现，如单位没有短信网关，可以利用短信模块如西门子t35等模块，利用python语言编写短信发送脚本，对不同的用户级别发送不同的统计数据，实现分级发送。

在本发明实施例中，和/或利用安装在所述巡检系统上的微信网页版将巡检信息的统计数据发送给相应的管理人员。

在本发明的实施例中，和/或利用邮件将更加详细的巡检信息在附件里以excel形式发送给相应的管理人员。邮件附件里的内容包括所述第一设备、第二设备、第一漏洞端口所属ip、ip段、单位、部门、科室、使用人、维护人、使用人维护人的电话，设备名称，设备状态，设备部署物理位置，存在的问题等信息。

安全处理模块290，用于根据所述巡检信息，管理人员对相关设备或者相关端口进行安全处理。

在本发明实施例中，管理人员在收到短信或/和微信或/和邮件后，进行巡检信息的确认和处置，并在对巡检信息进行处置后，向网络安全人员发送反馈信息，网络安全人员在接收到反馈信息后，将反馈信息进行录入，实现内部隐患漏洞信息和外部攻击信息的闭环管理与高效处置。

本发明实施例通过整合已部署的安全设备监测的信息与自主扫描的信息互为补充，全面监测网络与信息系统的安全隐患与外部攻击信息。同时，进行隐患漏洞及攻击信息的二次过滤，可以快速定位有效的安全告警信息和漏洞信息，剔除不必要的干扰。

本发明实施例采用定时任务巡检，自动输出结果。定期自动将高危端口信息、存在的漏洞端口等信息形成统计报表,自动化的通过短信、微信或邮件方式发送给管理人员。

本发明实施例的源代码具有开放性，能够灵活移植到别的企业，也可以自定义相关的插件。

【系统实施例三】

参照图3，示出了本发明实施例中的一种网络安全巡检系统结构图。所述系统首先在数据库中进行初始台账库的建立：利用本发明实施例编制的整理脚本，根据数据库表的格式，将人工前期整理的设备台账和端口台账中中不规范的格式整理成规范的格式。其次，利用数据采集方式进行初始台账库的更新及补充，所述数据采集包括采集各网络安全设备检测到的设备或/和端口信息和利用网络扫描工具采集到的服务器、终端和网络设备的设备信息或/和端口信息。具体为：以采集到的设备信息或/和端口信息为关键字，在设备或/和端口指纹库中进行设备或/和端口的指纹识别，并将识别到的台账库中没有的设备信息或/和端口信息录入到台账库中。

在本发明实施例中，利用网络扫描工具对扫描各服务器、终端和网络设备的端口，获取开放了服务端口的端口信息，利用漏洞检测脚本基于网络进行漏洞检测，具体为：针对不同服务类型的端口，利用不同的漏洞检测脚本基于检测规范通过网络检测所述开放了服务的端口是否存在漏洞，如果存在漏洞，则将所述漏洞信息发送给相应的管理人员，进行处置。

在本发明实施例中，对各网络安全设备检测到的内部隐患漏洞或外部攻击信息利用二次过滤模型算法进行二次过滤，快速定位有效的设备漏洞信息和外部攻击信息，剔除不必要的干扰，高效处理真实发生的威胁。所述二次过滤模型算法集成了设置白名单算法、深度包检测分析算法、精确的正则匹配算法，企业网络安全人员长期积累的知识经验算法。

在本发明实施例中，利用报表输出脚本将各网络安全设备检测到的内部隐患漏洞和/或外部攻击信息和/或网络工具扫描到的漏洞信息编写为巡检信息报表进行输出。并通过短信，和/或微信，和/或邮件将所述巡检信息报表发送给相关管理人员。所述相关管理人员包括：网络安全技术人员、各级网络安全管理人员、网络设备管理维护人员、终端使用人员、维护人员、服务器维护人员、管理责任人。所述网络安全技术人员对巡检信息报表中存在的具体问题进行人工处理。所述各级网络安全管理人员获知巡检信息报表中存在的具体问题，并对巡检信息报表进行管理。所述网络设备管理维护人员针对具体的设备进行管理维护的人员。终端使用人员为所述终端的使用人员、维护人员为所述终端的维护人员、服务器维护人员为所述服务器的维护人员、管理责任人为管理所述服务器的责任人。

本发明实施例通过整合已部署的安全设备监测的信息与自主扫描的信息互为补充，全面监测网络与信息系统的安全隐患与外部攻击信息。同时，进行隐患漏洞及攻击信息的二次过滤，可以快速定位有效的安全告警信息和漏洞信息，剔除不必要的干扰。

本发明实施例采用定时任务巡检，自动输出结果。定期自动将高危端口信息、存在的漏洞端口等信息形成统计报表,自动化的通过短信、微信或邮件方式发送给管理人员。

本发明实施例的源代码具有开放性，能够灵活移植到别的企业，也可以自定义相关的插件。

【系统实施例四】

参照图4，示出了本发明实施例中的一种网络安全巡检方法的步骤流程图。

步骤410、建立台账信息库；

在本发明实施例中，建立台账信息库包括以下子步骤：

根据人工台账信息建立初始台账信息库；

定期利用网络扫描工具扫描的信息和网络安全设备检测的信息更新台账信息库。

步骤420、定期从网络获取各网络安全设备检测到的内部隐患漏洞信息和外部攻击信息、；

步骤430、对各网络安全设备检测到的设备漏洞信息和外部攻击信息进行二次过滤；

步骤440、根据内部隐患漏洞信息和外部攻击信息，从预设的设备指纹表中确定出具有内部隐患漏洞漏洞的第一设备和受外部攻击信息攻击的第二设备；

步骤450、网络扫描各服务器、终端和网络设备的端口，获取与所述服务器ip、终端ip和网络设备ip关联的开放了服务的第一端口的端口信息；

步骤460、从所述第一端口的端口信息中检测出漏洞端口；

在本发明实施例中，所述步骤460包括以下子步骤：

利用漏洞检测脚本确定第一端口的端口信息是否存在漏洞信息；

确定存在漏洞信息的漏洞端口为第一漏洞端口。

步骤470、根据台账信息库查找出第一设备、第二设备和所述漏洞端口对应的管理人员；

步骤480、根据预设的用户表，确定出所述管理人员的联系方式，并通过所述联系方式向管理人员发送巡检信息；

本发明实施例中，所述巡检信息包括所述第一设备的漏洞信息、第二设备的外部攻击信息和漏洞端口的漏洞信息。

步骤490、根据所述巡检信息，管理人员对相关设备或者相关端口进行安全处理。

本发明实施例通过整合已部署的安全设备监测的信息与自主扫描的信息互为补充，全面监测网络与信息系统的安全隐患与外部攻击信息。同时，进行隐患漏洞及攻击信息的二次过滤，可以快速定位有效的安全告警信息和漏洞信息，剔除不必要的干扰。

本发明实施例采用定时任务巡检，自动输出结果。定期自动将高危端口信息、存在的漏洞端口等信息形成统计报表的通过短信、微信或邮件方式发送给管理人员。

本发明实施例的源代码具有开放性，能够灵活移植到别的企业，也可以自定义相关的插件。

对于方法实施例而言，由于其与系统实施例基本相似，所以描述的比较简单，相关之处参见系统实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

在一个典型的配置中，所述计算机设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括非持续性的电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本申请所提供的一种网络安全巡检系统、一种网络安全巡检方法，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。