巡哨漏洞扫描器系统-

产品体系架构

巡哨主要由资产管理、风险管理、巡检监控三个核心功能组成，在此基础上延伸出可视化资产风险监控分析、监控及系统配置管理、偏向工具化的快速扫描任务、OpenAPI对接等功能模块。

4.产品功能

4.1资产管理模块

资产管理模块包含资产导入、资产管理、自定义资产检测三个子模块。

资产导入：支持IP/IP段/URL/ 域名 三种方式将已知资产录入，并可人为标记所属分组、负责人、标签。

资产管理：根据用户导入的资产（IP/域名/URL）自动发现相关联资产，定期进行资产更新监控，并提供搜索、统计、报表导出等辅助功能。

自定义资产检测：对关注资产临时发起检测行为，观察资产变动情况，包括是否发现新资产、资产存活情况、最新端口开放情况等。

4.2资产管理模块

扫描后的漏洞与资产进行自动关联，使资产风险可视化，帮助企业及时发现风险及管理。支持漏洞流程管理，针对漏洞进行忽略，确认以及重新检测等操作。查看漏洞详情、修复建议及支持漏洞分享，帮助企业及时加固。

全天候监控最新安全事件，实时更新漏洞检测规则，根据匹配到的资产属性进行漏洞专项扫描，第一时间帮助企业分析最新安全漏洞造成的威胁影响，提升资产 漏洞扫描 的效率，降低因安全漏洞引起的业务风险。

4.3巡检监控模块

巡检监控模块包括资产扫描巡检、漏洞扫描巡检、风险监测巡检三个子模块，并支持策略设置和监控周期、检测时间设置。

4.3.1资产扫描巡检

自动发现关联资产、企业边界资产，并持续更新资产状态。可按照每天/周/月/自定义方式进行巡检，支持对子域名和多级域名的发现。

4.3.2应用漏洞扫描巡检

对企业资产可能存在的漏洞进行深度检测，漏洞扫描结果可自动与资产进行关联：

WEB脆弱性检测类型覆盖了Owasp top 10、WASC等主要标准定义的漏洞类型，包括但不限于：信息泄露、配置安全隐患、SQL注入漏洞、XSS注入漏洞、XPATH注入漏洞、HPP漏洞、HTTP响应分割等常规漏洞以及各种系统漏洞、协议漏洞、Web应用漏洞、网站框架类漏洞等通用漏洞，如 建站 服务器、内容管理系统、网页编辑系统、电子邮件系统、办公 自动化 系统漏洞、建站语言漏洞等。

4.3.3系统漏洞扫描巡检

巡哨所支持的系统漏洞检测类型包括但不限于：远程缓冲区溢出漏洞、堆栈缓冲区溢出漏洞、远程拒绝服务攻击漏洞、特定函数拒绝服务漏洞、未授权访问漏洞、安全限制绕过漏洞、任意命令执行漏洞、远程代码执行漏洞等。

4.3.4各类0day/1day漏洞检测

支持0day/1day漏洞检测，依托于资产识别引擎及漏洞检测引擎，对漏洞进行精准定位和响应，实现高危漏洞的应急响应。

4.3.5风险监测巡检

风险监测所支持的检测内容包括但不限于：

l github代码泄露监测，对企业关键信息进行外部资产风险监测；

l 网站内容合规监测，对违规或篡改网站进行风险通知；

l 网站运行状况、响应时间等的可用性监测。

4.4可视化管理模块

将平台中散乱的资产、风险等数据进行收集处理，对抽象的资产和系统数据进行可视化呈现，并对其进行安全监测，将关键信息以图表的形式展现出来，表现于多样化的扫描报告、安全日报、可视化大屏等，以帮助企业快速掌握当前现状，及对后期的业务调整进行支撑。

4.5配置管理模块

配置管理模块包括监控配置、通用配置、系统配置三个子模块。

对资产扫描、漏洞扫描、风险监测进行扫描策略配置、周期配置、检测时间配置，添加不进行漏洞扫描的资产白名单。

系统配置项中主要包括对操作记录进行存储/管理/查询的审计管理，及设备管理、版本管理等 。

 4.6快速扫描模块

快速扫描模块，进行一次性的漏洞扫描任务，以满足 渗透测试 ⼈员在⽇常⼯作中灵活、便捷化的需求。

创建快速扫描任务，输入自定义资产（IP/IP:port/域名/URL）进行检测，输出检测结果，资产及漏扫结果均不与巡哨当前巡检/自定义扫描数据耦合。

4.7 openAPI开放

Open API是针对企业提供的关键功能接口，便于企业与内部已有平台进行对接。Open API 遵循RESTful规范，开发者文档包含接口规范、接口描述、测试用例。同时提供在线培训、联调测试、接口升级等技术支持。

5.关键技术

5.1智能资产发现与关联

巡哨系统内置资产学习模型，根据用户提供的已知资产，从攻击者视角出发，通过巡哨特有的资产发现方式，上下游接口、搜索引擎、动态爬虫等手段及时发现未知资产。此外巡哨内置DNS接口，可以反向解析出IP地址下的所有子域名，再通过机器学习模型分析资产间所存在的关联，建立企业资产模型，自动发现关联资产、企业边界资产，并持续更新资产状态。

5.2资产指纹分析

巡哨内置2w+条指纹信息，涵盖WEB容器、应用、开发框架、 数据库 识别、操作系统等，共计31大类，15000+规则，方便企业快速“摸清家底”，统计资产类型、覆盖范围获取详细资产列表。

5.3风险检测引擎

WEB漏洞检测和系统漏洞检测是业界主流漏洞扫描技术，WEB漏洞主要针对WEB应用业务进行漏洞扫描，系统漏洞主要针对底层操作系统、协议实现等进行漏洞扫描。

5.4各类型功能插件

巡哨各项扫描功能采用插件模式，实现功能松耦合，每项功能由各类子插件来实现，例如弱口令漏洞扫描包含mysql弱口令检测插件、ssh弱口令检测插件等。扫描引擎端主要插件包括但不限于：

6.部署场景

6.1小规模单机部署

小规模网络下单机部署资产风险监测系统的 私有云 产品，完成全部网络的安全检查，是传统使用方法。资产风险监测系统可以部署应用在小规模网络安全运维环境中，通过简单部署即可全面检查业务系统的各种安全脆弱性问题。

6.2中规模多业务子网部署

对于中等规模企业，虽然网络规模不是很大，但一般会划分为多个业务子网，不同子网对应着不同的区域，多机部署方案适应于企业多区域保护从而实现全网的保护，监控节点分布在不同的网络环境中，资产风险监测系统云端统一管理。

 6.3大规模跨地区分布式部署

在大型企业中，通常是大规模跨地区的网络，资产风险监测系统分布式部署在各地区，在总部云端进行集中管理，集群部署方案适应于企业多地区保护从而实现全网的保护，监控节点分布在不同地区的网络环境中，资产风险监测系统云端统一管理。

6.4混合云的 虚拟化 部署

实现公网及VPC私网资产发现与漏洞监测，探测网络空间中的Web类和主机类资产，一个B端3小时发现65535个IP漏洞扫描速度：平均800请求/min，请求数和监控时间段可设置，不影响业务。

7.客户价值及应用场景

巡哨能够帮助企业自动化运维IT资产及风险，根据企业的已知资产自动、快速、准确检测发现企业的未知资产及所有资产的漏洞，全面分析企业所公开的业务/服务/应用、数据等情况，实时监控企业暴露在外的服务和资产的变化。帮助企业更快速、更全面、更智能地管理企业的IT资产和资产安全风险。

7.1全天候资产巡检与发现

通过资产发现与智能化资产梳理，完成对未知网络的主动探测，已知网络的被动发现。实现全天候资产自动探测，发现边缘资产，帮助企业完成风险量化、资产可视化，建立常态化的安全运营。同时对资产拓扑、资产生命周期闭环、新增资产、端口更新、服务变更等等信息进行多维度展示。

7.2准确、全方位量化安全风险

通过攻击者视角对网络系统中多个方面的安全脆弱性统一进行分析和风险评估，以资产对象、资产属性、事件对象、漏洞库等信息进行联动后输出暴露在外的安全风险，综合加权后输出风险量化指标。

7.3 0day/1day

通过攻击者视角对网络系统中多个方面的安全脆弱性统一进行分析和风险评估，以资产对象、资产属性、事件对象、漏洞库等信息进行联动后输出暴露在外的安全风险，综合加权后输出风险量化指标。