專利名稱：基于fpga的遠程漏洞高速掃描主機及掃描方法
技術領域：
本發(fā)明涉及一種基于FPGA的遠程漏洞高速掃描主機及掃描方法，屬于計算機網(wǎng)絡技術領域。
背景技術：
在網(wǎng)絡安全形勢日益嚴峻的情況下，網(wǎng)絡防護重點逐漸從被動防御轉為主動防御，即采取遠程漏洞掃描技術，主動檢測遠程主機系統(tǒng)中出現(xiàn)的漏洞，及時采取應對措施， 防患于未然。沒有及時有效且高速的遠程漏洞掃描，安全防范將無從談起。遠程漏洞高速掃描方法是一種自動檢測遠程主機安全性弱點的方法。通過使用該方法，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護的服務器的各種TCP端口的分配、提供的服務、軟件版本和這些服務及軟件呈現(xiàn)在網(wǎng)絡上的安全漏洞。從而在計算機網(wǎng)絡系統(tǒng)安全保衛(wèi)戰(zhàn)中做到有的放矢，及時修補漏洞，構筑堅固的安全長城。現(xiàn)在市面上有多種遠程漏洞掃描方法，由于都是基于PC機上運行的，掃描速度依賴于CPU的速度，而CPU需要協(xié)調(diào)各項系統(tǒng)運行任務，分配給遠程掃描的資源被大大弱化， 這個導致它們在執(zhí)行遠程掃描時耗費較多等待時間，導致連接遠程主機相應端口時出現(xiàn)超時現(xiàn)象，從而無法準確獲得該端口上運行了哪些服務，存在哪些漏洞，出現(xiàn)漏報情況。針對目前主流PC運算能力有限，所有工作都由CPU處理導致速度慢的問題，需要將遠程漏洞高速掃描的部分工作分擔給其它專業(yè)部件執(zhí)行，分工協(xié)作，提高掃描速度和準確率，供安全管理人員參考。

發(fā)明內(nèi)容
本發(fā)明的目的在于彌補現(xiàn)有實現(xiàn)方法的局限性，提供一種基于FPGA的遠程漏洞高速掃描主機及掃描方法，由CPU負責掃描遠程目標機器中存活的主機及開放端口的信息，形成該主機開放端口的知識庫，而FPGA高性能運算PCI卡利用該主機的開放端口知識庫和漏洞規(guī)則庫模塊進行高速掃描匹配，大大提高遠程掃描速度和準確率。本發(fā)明是通過以下技術方案實現(xiàn)的，該掃描主機包括存活主機探測模塊、存活主機漏洞結果庫、存活主機知識庫存放模塊、漏洞插件掃描模塊和漏洞規(guī)則庫模塊，所述存活主機探測模塊和存活主機漏洞結果庫由CPU操作，其中存活主機探測模塊通過TCP connect掃描與遠程目標主機的端口進行連接，若連接成功表示此主機是活動的，然后獲取此主機開放端口的信息，形成該主機的知識庫，最后將此主機的知識庫通過PCI接口存放到FPGA的存活主機知識庫存放模塊，F(xiàn)PGA啟動漏洞插件掃描模塊，通過對該主機知識庫的內(nèi)容和漏洞規(guī)則庫模塊進行高速掃描匹配，若匹配成功，則該漏洞存在，然后將該漏洞的信息存放到存活主機漏洞結果庫里，供安全管理人員參考。掃描主機包含的存活主機探測模塊和存活主機漏洞結果庫是由CPU操作的，其中存活主機探測模塊是新添加的功能模塊，主要由CPU調(diào)用此模塊探測遠程目標主機，判斷哪些主機是活動的，以避免不必要的空掃描，然后再由FPGA對該活動的主機進行漏洞掃
3描。所述基于FPGA的遠程漏洞高速掃描方法如下。(1)存活主機探測模塊的工作流程為
由CPU操作存活主機探測模塊通過TCP connect掃描與遠程目標主機的廣IOM或者廣65535端口進行連接，它是利用TCP的完全連接方式，通過發(fā)送報文段連接到目標計算機上，完成一次完整的三次握手過程。如果端口處于偵聽狀態(tài)，那么該連接就能成功返回，表示此主機是活動的，然后獲取此主機開放端口的信息，形成該主機的知識庫，最后將此主機的知識庫通過PCI接口存放到FPGA的存活主機知識庫存放模塊。(2) FPGA啟動漏洞插件掃描具體流程為
a.通過FPGA啟動漏洞插件掃描模塊，根據(jù)該主機知識庫的內(nèi)容，調(diào)用獲取主機詳細信息的插件來獲取主機名、操作系統(tǒng)和MAC地址信息。b.根據(jù)a步獲取的主機操作系統(tǒng)的信息，自動選擇相應類型的漏洞掃描插件，形成掃描該主機的插件隊列。c. FPGA通過b步形成的插件隊列結合該主機知識庫的內(nèi)容，掃描相應開放端口， 將從端口獲取的信息與漏洞規(guī)則庫模塊進行高速掃描匹配，若匹配成功，則該漏洞存在，轉入d操作，否則轉入e操作。d.根據(jù)c步匹配成功獲得的漏洞信息，保存到存活主機漏洞結果庫里，供安全管理人員參考。e.若FPGA掃描隊列里還有未掃描的插件，則轉入c操作。本發(fā)明是一種利用FPGA高性能運算PCI卡分擔CPU的部分工作的遠程漏洞高速掃描方法，將原來由CPU在所有存活主機探測結束后做的漏洞掃描工作轉由FPGA單獨來完成，CPU和FPGA相互獨立協(xié)調(diào)工作，提高了整體探測掃描速度和準確率。


圖1是本發(fā)明掃描主機的原理圖。圖2是本發(fā)明的存活主機探測流程圖。圖3是本發(fā)明的FPGA啟動漏洞插件掃描流程圖。
具體實施例方式以下將對192. 168. 1. 1-192. 168. 1. 10網(wǎng)段進行掃描為例，通過對該網(wǎng)段進行掃描的具體操作來進一步描述本發(fā)明的基于FPGA的遠程漏洞高速掃描方法。 如圖1，本發(fā)明的帶FPGA的掃描主機由CPU和FPGA協(xié)同工作，用戶啟動對該網(wǎng)段的掃描任務后，CPU調(diào)用存活主機探測模塊。FPGA是一塊FPGA高性能運算PCI卡，工作時插在計算機的PCI插槽上，在操作系統(tǒng)下的驅動和應用軟件的控制下，實現(xiàn)高速運算；其傳輸速度快，功能和擴展性強，可編程性強，可以根據(jù)不同的應用，設計相應的應用軟件實現(xiàn)不同的運算功能。 本發(fā)明的掃描主機包括存活主機探測模塊、存活主機漏洞結果庫、存活主機知識庫存放模塊、漏洞插件掃描模塊和漏洞規(guī)則庫模塊，所述存活主機探測模塊和存活主機漏洞結果庫由CPU操作，其中CPU操作存活主機探測模塊通過TCP connect掃描與遠程目標主機的端口進行連接，若連接成功表示此主機是活動的，然后獲取此主機開放端口的信息， 形成該主機的知識庫，最后將此主機的知識庫通過PCI接口存放到FPGA的存活主機知識庫存放模塊，F(xiàn)PGA啟動漏洞插件掃描模塊，通過對該主機知識庫的內(nèi)容和漏洞規(guī)則庫模塊進行高速掃描匹配，若匹配成功，則漏洞存在，然后將該漏洞的信息存放到存活主機漏洞結果庫里。如圖2所示，存活主機探測模塊的主要流程為由CPU操作存活主機探測模塊通過 TCP connect掃描與遠程目標主機的廣IOM或者廣65535端口進行連接，它是利用TCP的完全連接方式，通過發(fā)送報文段連接到目標計算機上，完成一次完整的三次握手過程。如果端口處于偵聽狀態(tài)，那么該連接就能成功返回，表示此主機是活動的，然后獲取此主機開放端口的信息，形成該主機的知識庫，最后將此主機的知識庫通過PCI接口存放到FPGA的存活主機知識庫存放模塊。把該網(wǎng)段中所有活動的主機都探測出來(存活的主機有192. 168. 1. 1和 192. 168. 1. 5)，去除非存活的主機，這樣本次掃描任務中減少了對非存活主機的掃描操作， 從而提高了工作效率，然后探測出存活主機的開放端口上開啟的服務，形成開放端口知識庫(192. 168. 1. 1的知識庫和192. 168. 1. 5的知識庫)，將該知識庫存放到FPGA的存活主機知識庫存放模塊中，然而FPGA根據(jù)知識庫的內(nèi)容啟動漏洞插件掃描模塊。如圖3所示，F(xiàn)PGA啟動漏洞插件掃描的主要流程為
a.通過FPGA啟動漏洞插件掃描模塊，根據(jù)該主機知識庫的內(nèi)容，調(diào)用獲取主機詳細信息的插件來獲取主機名、操作系統(tǒng)和MAC地址信息。所述插件是一種遵循一定規(guī)范的應用程序接口編寫出來的程序。b.根據(jù)a獲取的主機操作系統(tǒng)的信息，自動選擇相應類型的漏洞掃描插件，形成掃描該主機的插件隊列。c. FPGA通過b形成的插件隊列結合該主機知識庫的內(nèi)容，掃描相應開放端口，將從端口獲取的信息與漏洞規(guī)則庫模塊進行高速掃描匹配，若匹配成功，則該漏洞存在，轉入 d操作，否則轉入e操作。d.根據(jù)c匹配成功獲得的漏洞信息，保存到存活主機漏洞結果庫里，供安全管理人員參考。e.若FPGA掃描隊列里還有未掃描的插件，則轉入c操作。該實施例中，F(xiàn)PGA啟動漏洞插件掃描模塊，讀取192. 168. 1. 1的知識庫內(nèi)容，調(diào)用獲取主機詳細信息的插件來獲取主機名(kenjava)、操作系統(tǒng)(Microsoft Windows XP)和 MAC地址(00:1D:92:7C:5B:DE)信息。然后在獲得操作系統(tǒng)為Microsoft Windows XP后， 將選擇針對windows相關的漏洞掃描插件，將這些插件放入該主機的插件隊列，等待調(diào)用掃描該主機的漏洞。FPGA從該隊列里取出一個插件，結合該主機知識庫的內(nèi)容，掃描相應開放端口，將從端口獲取的信息與漏洞規(guī)則庫模塊進行高速掃描匹配，對其中137的端口返回的內(nèi)容與漏洞規(guī)則庫中4718號漏洞(利用NetBIOS可獲取遠程主機敏感信息)匹配，則說明該漏洞存在，將該漏洞信息保存到存活主機漏洞結果庫里，供安全管理人員參考。然后從插件隊列里選取下一個插件進行掃描匹配，直至所有插件掃描結束。本發(fā)明方法實施的效果是非常明顯的，由于準確獲取了主機的操作系統(tǒng)信息，插件列表里面就是由所有相關系統(tǒng)的插件組成，去除掉一大部分不相關的插件，這樣提高了
5掃描速度和準確率，為安全管理人員提供了全面的關于本機的安全狀況，供參考分析。
權利要求
1.基于FPGA的遠程漏洞高速掃描主機，其特征是包括存活主機探測模塊、存活主機漏洞結果庫、存活主機知識庫存放模塊、漏洞插件掃描模塊和漏洞規(guī)則庫模塊，所述存活主機探測模塊和存活主機漏洞結果庫由CPU操作，其中存活主機探測模塊通過TCP connect 掃描與遠程目標主機的端口進行連接，若連接成功表示此主機是活動的，然后獲取此主機開放端口的信息，形成該主機的知識庫，最后將此主機的知識庫通過PCI接口存放到FPGA 的存活主機知識庫存放模塊，F(xiàn)PGA啟動漏洞插件掃描模塊，通過對該主機知識庫的內(nèi)容和漏洞規(guī)則庫模塊進行高速掃描匹配，若匹配成功，則漏洞存在，然后將該漏洞的信息存放到存活主機漏洞結果庫里。
2.基于FPGA的遠程漏洞高速掃描方法，其特征是由CPU操作存活主機探測模塊通過 TCP connect掃描與遠程目標主機的廣IOM或者廣65535端口進行連接，通過發(fā)送報文段連接到目標計算機上，完成一次完整的三次握手過程；如果端口處于偵聽狀態(tài)，那么該連接就能成功返回，表示此主機是活動的，然后獲取此主機開放端口的信息，形成該主機的知識庫，最后將此主機的知識庫通過PCI接口存放到FPGA的存活主機知識庫存放模塊，然后再由FPGA對該活動的主機進行漏洞掃描，F(xiàn)PGA啟動漏洞插件掃描模塊，通過對該主機知識庫的內(nèi)容和漏洞規(guī)則庫模塊進行高速掃描匹配，若匹配成功，則漏洞存在，然后將該漏洞的信息存放到存活主機漏洞結果庫里。
3.根據(jù)權利要求2所述的基于FPGA的遠程漏洞高速掃描方法，其特征是所述FPGA啟動漏洞插件掃描模塊進行漏洞插件掃描的流程是a.通過FPGA啟動漏洞插件掃描模塊，根據(jù)該活動主機知識庫的內(nèi)容，調(diào)用獲取主機詳細信息的插件來獲取主機名、操作系統(tǒng)和MAC地址信息；b.根據(jù)a步獲取的主機操作系統(tǒng)的信息，自動選擇相應類型的漏洞掃描插件，形成掃描該主機的插件隊列；c.FPGA通過b步形成的插件隊列結合該主機知識庫的內(nèi)容，掃描相應開放端口，將從端口獲取的信息與漏洞規(guī)則庫模塊進行高速掃描匹配，若匹配成功，則該漏洞存在，轉入d 操作，否則轉入e操作；d.根據(jù)c步匹配成功獲得的漏洞信息，保存到存活主機漏洞結果庫里；e.若FPGA掃描隊列里還有未掃描的插件，則轉入c操作。
全文摘要
本發(fā)明涉及基于FPGA的遠程漏洞高速掃描主機及掃描方法，用FPGA分擔了CPU的工作，提高遠程漏洞掃描速度和準確率。該掃描主機由主機存活探測模塊、存活主機漏洞結果庫、存活主機知識庫存放模塊、漏洞插件掃描模塊和漏洞規(guī)則庫模塊構成，其中存活主機探測模塊通過TCPconnect掃描與遠程目標主機的端口進行連接，若連接成功則獲取此主機開放端口的信息，形成該主機的知識庫，將此主機的知識庫存放到FPGA的存活主機知識庫存放模塊，F(xiàn)PGA啟動漏洞插件掃描模塊，通過對該主機知識庫的內(nèi)容和漏洞規(guī)則庫模塊進行高速掃描匹配，若匹配成功，則該漏洞存在，然后將該漏洞的信息存放到存活主機漏洞結果庫里，供安全管理人員參考。
文檔編號G06F21/00GK102156827SQ20111000828
公開日2011年8月17日 申請日期2011年1月14日 優(yōu)先權日2011年1月14日
發(fā)明者施林林, 王永忠, 袁寶弟, 陳相云 申請人:無錫市同威科技有限公司