(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211004745.6 (22)申请日 2022.08.22 (71)申请人 东北大学秦皇岛分校 地址 066004 河北省秦皇岛市经济技 术开 发区泰山路143号 (72)发明人 鲁宁　姜维　邹俊杰　史闻博　 黄儒霄　张广岩　 (74)专利代理 机构 中国商标专利事务所有限公 司 11234 专利代理师 郝震 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种高效安全的大规模ISP网络漏洞评估 方 法 (57)摘要 本发明公开了一种高效安全的大规模ISP网 络漏洞评估方法， 该方法如下： S01： 注册； 在发布 服务之前， LAN向漏洞发现层发出注册请求信号 (Nk， Pk)； S02： 扫描终端设备； LAN将根据具体的 网络负载来决定是否执行新一轮扫描； S03： 提取 和返回标语信息； 对于TB级的原始扫描数据， 标 语提取层将其分为若干小数据块后分配给服务 器； S04:匹配CVE和共享漏洞； 构建CPE转换器完 成CVE转换， 将其分享给LAN的群用户。 本发明采 用了一种基于局域网LAN的灵活分布式架构， 该 架构允许各个ISP网络的每个LAN参与漏洞评估， 并根据需要共享漏洞数据， 为了获得更多的标语 信息， 本发明提供了系统参数评估方法， 以确保 采集任务在低负载下执行， 解决标语信息收集过 程中丢失率高的问题。 权利要求书1页 说明书9页 附图2页 CN 115529160 A 2022.12.27 CN 115529160 A 1.一种高效安全的大规模IS P网络漏洞评估方法， 其特 征在于， 该 方法如下： S01： 注册； 在发布服务之前， LAN向漏洞发现层发出注册请求信号(Nk， Pk)， 其中Nk表示 设备终端的数量， Pk表示涉及的公共IP地址； S02： 扫描终端设备； LAN将根据具体的网络负载来决定是否执行新一轮扫描， 若是， 管 理员将为 其分配足够的内存和带宽资源， 之后标语提取层使用NMAP来启动扫描任务； S03： 提取和返回标语信息； 对于TB级 的原始扫描数据， 标语提取层将其分为若干小数 据块， 并将 每个数据块分配给服务器， 每个服务器提取初始的标语信息， 并从初始数据中删 除不完整的标语信息， 此外， 标语提取层将清理后的数据返回给漏洞发现层； S04： 匹配CVE和共享漏洞； 匹配CVE和共享漏洞， 漏洞发现层定期下载NVD的可扩展标记 语言文件， 并从中提取所有CPE条 目， 同时， 将标语信息转换成CPE， 漏洞发现层从标语提取 层接收到标语信息后， 将标语转换成CP E， 并在NVD中搜索来获得CVE， 此外， 还将它们分享给 LAN中的群用户。 2.根据权利要求1所述的一种高效安全的大规模ISP网络漏洞评估方法， 其特征在于： 所述标语提取层用于包转 发设备性能测量以及局域网健康评估， 前者用于确定优先影响网 络扫描质量的关键性能指标及其权重， 并进一步给出分组转发设备性能的综合表达式， 后 者用于计算在线设备的指标， 并进一 步给出整体网络性能的综合表达式。 3.根据权利要求1所述的一种高效安全的大规模ISP网络漏洞评估方法， 其特征在于： 所述漏洞发现层用于将标语信息转换成CPE和CVE的搜索。权　利　要　求　书 1/1 页 2 CN 115529160 A 2一种高效安全的大规 模ISP网络漏洞评估方 法 技术领域 [0001]本发明涉及网络漏洞测评领域， 具体为一种高效安全的大规模ISP网络漏洞评估 方法。 背景技术 [0002]漏洞评估允许 网络安全专业人员发现易受攻击的终端设备， 随着物联网设备和系 统被广泛应用在互联网中， 黑客可以利用其中的物联网设备中的一个或多个中的漏洞来进 行广泛的恶意网络活动， 常见 的解决方案是通过主动模拟攻击行为来确定相关的漏洞， 其 基本原理是通过主动模拟各种精心策划的攻击来破解系统， 从而识别指定设备 的漏洞， 目 前， 最常见的基于模拟攻击的方法包括Nessus、 Burpsuite、 SQLMAP， 但是考虑以下三点： 1) 攻击脚本数据库不可能包含所有漏洞， 总会有一些遗漏的漏洞； 2)它们对被评估设备 的系 统性能有严重的负面影响(例如， 测试攻击可能使被评估系统过载或瘫痪)； 3)为了确定漏 洞的存在， 它们会给目标设备带来巨大 的计算开销， 因此高处理开销和负面影响也意味着 这种方法对于大规模网络是不切实际的。 另一种解决方案是SB ‑CVE的漏洞评估， 其原理是 直接从每个终端设备的应用层消息中提取默认服务标语， 再将标语信息与公共国家漏洞数 据库(NVD)中的每个常见漏洞进 行匹配， 这种方法最大限度地减少了终端设备的计算开销， 因此选择第二种方法来识别网络中存在 的漏洞， 基于SB ‑CVE的漏洞评估通常包含三个步 骤： 收集与被评估设备相关的标语信息； 搜索漏洞数据库； 生成评估报告， 其中前两个是影 响系统性能的重要因素， 有人提出一种ShoVAT的网络设备的自动漏洞评估方法， 该方法直 接利用商业搜索引擎提供的用于互联网连接设备(Shodan)的标语， 而不是自行收集， 为了 进一步提高评估准确性， 又有人提出了一种基于Shodan和Google的精确漏洞评估方法， 该 方法甚至能够检测0day攻击， 其是使用Censys  API获取SB信息， 然后将其与NVD漏洞数据库 匹配， 为了扩大用途， 又出现了一种面向SCADA的漏洞评估方法， 该方法利用Shodan查找 SCADA设备， 然后将攻击模拟与模式匹配技 术结合起来， 以识别其漏洞。 [0003]通常， 在将应用层的服务标语信息与公共国家漏洞数据库(NVD)中的每个常见漏 洞匹配之前， 从每个设备的应用层消息中提取出服务标语信息， 然而， 由于所涉及的工作和 潜在的漏洞信息泄漏， 这种方法在大规模ISP网络中并不 实用， 尽管上述基于网络空间引擎 的方法更具成本效益， 但面对大规模网络， 它们具有以下可扩展性问题和安全风险： (1)由 于Shodan 或Censys  API限制了每个用户的输出项数量， 这限制了评估系统的可扩展性； (2) 由于ISP需要向公众可访问的易受攻击的搜索引擎， 如S hodan开放整个网络， 这使 得设备信 息可能泄漏给恶意用户， 并进一 步给网络带来 严重威胁。 发明内容 [0004]本发明的目的在于提供一种高效安全的大规模ISP网络漏洞评估方法， 以解决上 述背景技 术中存在的问题。 [0005]为实现上述目的， 本发明提供如下技术方案： 一种高效安全的大规模ISP网络漏洞说　明　书 1/9 页 3 CN 115529160 A 3