[发明专利]一种基于网络流量分析的主动扫描系统

权利要求书

1.一种基于网络流量分析的主动扫描系统，其特征在于，包括第一模块、第二模块、第三模块：第一模块用于，基于网络流量分析系统生成的历史信息，生成需要做主动扫描的主机IP，及该主机发布的服务端口号列表；第二模块用于，基于网络流量分析系统的历史信息及实时数据分析，计算扫描的频率；第三模块用于，基于网络流量分析系统的实时数据分析，控制扫描的速度；

所述第一模块实现步骤如下：

步骤1.1：采集局域网中报文；

将局域网中所有的流量镜像出来一份，导入到作为旁路设备的网络流量分析系统中；

步骤1.2：区分报文方向；

该网络流量分析系统，需要区分出两种报文方向：

第一种，报文是从内网到外网的，还是从外网到内网的，或者是内部网段的流量；

第二种，报文是从服务端发送到客户端的，还是客户端发送到服务端的；

步骤1.3：获取需要扫描的主机IP；

可从网络流量分析系统的历史流量信息中，根据所述步骤1.2中第一种方向，获得某个时间段内的所有内网主机IP，或者topN内网主机IP；

步骤1.4：获得每个主机发布的服务的端口号；

对所述步骤1.3中获得到的IP，根据所述步骤1.2中第二种方向，记录其作为服务端使用的端口号，生成主机IP地址及服务端口号的列表，既“资产列表”；

所述第二模块实现步骤如下：

步骤2.1：评估资产列表变化情况；

根据所述步骤1.4中生成的资产列表，保存新旧两份资产列表，通过比较差异得出更新的资产列表；

步骤2.2：计算资产变更评估分值；

将所述步骤2.1中得出的更新的资产列表，与上次生成的资产列表做比较，给出评估分值；将评估分值做累加，即资产变更评估分值；

步骤2.3：找流量最小的时间点；

依据网络流量分析系统前一周的流量数据，每隔10分钟选一个采样点，选取网络流量统计值，算出每小时的平均流量值，选取最小的平均流量值所在的整点，作为扫描时间点；

步骤2.4：扫描频率策略，包括如下步骤：

步骤2.41：根据所述步骤2.1可提供“更新时立即扫描”选项，即只要资产有变化就开始扫描新增资产，删除下线资产；

步骤2.42：根据所述步骤2.2设定特定的资产变更评估分值，提供“资产变更较大时扫描”选项，只要资产变更评估分值达到特定值，就扫描新增资产，删除下线资产；

步骤2.43：根据所述步骤2.3中选取的扫描时间点，提供“定期扫描”选项，设置扫描间隔时间，以天为单位；

步骤2.44：将资产变更评估分值与现网流量做加权平均，达到特定值时做扫描；公式如下：

(a*Vassets/10+b*(Tmax-Tcur)/Tmax)/(a+b)＝M

其中，Vassets为所述步骤2.2中的所述“资产变更评估分值”；Tmax为流量分析记录的局域网内每秒流量最高值；Tcur为当前秒数局域网内流量值；a、b为权重值；

所述第三模块包括：计算可用带宽；

基于网络流量分析系统可给出当前网络流量，并且已知端口速率；使用可用带宽来限制单位时间内发送的扫描报文数量，所述可用带宽计算方式如下：

可用带宽＝90％*端口速率-当前每秒网络流量。