(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211203249.3 (22)申请日 2022.09.29 (71)申请人 宁静之盾成都科技有限公司 地址 610000 四川省成 都市中国(四川)自 由贸易试验区成都高新区天府大道北 段1480号1栋A座2层13号 (72)发明人 曾小勇　刘昌春　秦凯　刘青松　 刘紫涵　王紫曦　赖懿　冯雷鸣　 李斌　 (74)专利代理 机构 成都明涛智创专利代理有限 公司 51289 专利代理师 周慧 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/10(2022.01) (54)发明名称 一种分布式网络集群风险检测方法及系统 (57)摘要 本发明属于风险检测技术领域， 其目的在于 提供一种分布式网络集群风险检测方法及系统。 其中的方法包括： 多个风险检测客户端分别进行 网络主机识别， 得到对应识别的网络主机的网络 资产； 多个风险检测客户端分别将识别到的网络 资产及其客户端标识发送至所述风险检测服务 端； 所述风险检测服务端接收多个风险检测客户 端发送的网络资产及对应的客户端标识， 并对所 有网络资产进行调度， 以便根据客户端标识， 将 各个网络资产分别分配至任一识别到该网络资 产的风险检测客户端； 所述风险检测服务端协同 多个风险检测客户端对其分配得到的网络主机 的网络资产进行风险检测， 得到网络主机风险信 息。 本发明服务器硬件成本小， 同时网络风险检 测结果准确， 效率更高。 权利要求书2页 说明书7页 附图3页 CN 115550038 A 2022.12.30 CN 115550038 A 1.一种分布式网络集群风险检测方法， 其特征在于： 基于风险检测系统实现， 所述风险 检测系统包括风险检测 服务端以及分别与所述风险检测 服务端通信连接的多个风险检测 客户端； 所述方法包括： 多个风险检测客户端分别进行网络主机识别， 得到对应识别的网络主机的网络资产； 多个风险检测客户端分别将识别到的网络资产及其客户端标识发送至所述风险检测 服务端； 所述风险检测服务端接收多个风险检测客户端发送的网络资产及对应的客户端标识， 并对所有网络资产进行调度， 以便根据客户端标识， 将各个网络资产分别分配至任一识别 到该网络资产的风险检测客户端； 所述风险检测服务端协同多个风险检测客户端对其分配得到的网络主机的网络资产 进行风险检测， 得到网络主机风险信息 。 2.根据权利要求1所述的一种分布式网络集群风险检测方法， 其特征在于： 所述网络资 产包括主机IP地址、 主机端口信息和端口指纹信息； 对应地， 任一 风险检测客户端对目标网络主机进行识别， 包括： 当前风险检测客户端对目标网络主机进行存活检测， 如目标网络主机存活， 则获取目 标网络主机的主机IP地址， 并进入下一 步； 当前风险检测客户端对目标网络主机进行端口检测， 得到目标网络主机的所有开放的 主机端口信息； 当前风险检测客户端对目标网络主机端口进行指纹信 息识别， 得到目标网络主机的所 有端口指纹信息 。 3.根据权利要求2所述的一种分布式网络集群风险检测方法， 其特征在于： 当前风险检 测客户端对目标网络主机进行存活检测， 包括： 当前风险检测客户端向目标网络主机发送存活检测数据包； 当前风险检测客户端判断是否接收到目标网络主机发送的与所述存活检测数据包对 应的存活反馈数据包， 如是， 则判定目标网络主机存活； 其中， 所述存活反馈数据包中包括 目标网络主机的主机IP地址 。 4.根据权利要求2所述的一种分布式网络集群风险检测方法， 其特征在于： 所述端口指 纹信息为所述网络主机的端口对应的服务信息， 包括应用软件名称、 版本、 协议名称、 协议 版本号和/或协议 流程的数据包。 5.根据权利要求2或4所述的一种分布式网络集群风险检测方法， 其特征在于： 当前风 险检测客户端对目标网络主机端口进行指纹信息识别， 包括： 当前风险检测客户端向目标网络主机发送多个服 务检测数据包； 当前风险检测客户端判断是否接收到目标网络主机发送的与任一服务检测数据包对 应的服务反馈数据包， 如是， 则获取服务反馈数据包中的端口指纹信息； 其中， 目标网络主 机反馈的所有服 务反馈数据包中的端口指纹信息构成目标网络主机的所有 端口指纹信息 。 6.根据权利要求1所述的一种分布式网络集群风险检测方法， 其特征在于： 所述风险检 测服务端对所有网络资产进行调度， 基于所述 风险检测服 务端执行， 包括： 获取客户端列表， 所述客户端列表包括与 所述风险检测服务端通信连接的所有风险检 测客户端；权　利　要　求　书 1/2 页 2 CN 115550038 A 2获取资产列表， 所述资产列表包括多个风险检测客户端发送的所有 网络主机的网络资 产； 对所述资产列表中的所有 网络资产进行迭代分配处理， 以将所述资产列表中的每一网 络资产分配至所述 客户端列表中的任一识别到该网络资产的风险检测客户端。 7.根据权利要求6所述的一种分布式网络集群风险检测方法， 其特征在于： 对所述资产 列表中的所有网络 资产进行迭代分配处理， 以将所述资产列 表中的每一网络资产分配至所 述客户端列表中的任一识别到该网络资产的风险检测客户端， 包括： 判断所述资产列表是否迭代结束， 如是， 则结束调度操作， 如否， 则进入下一 步； 提取所述资产列表中当前迭代的网络资产； 获取当前网络资产对应的所有风险检测客户端； 查找当前网络资产对应的所有风险检测客户端中， 分配的网络资产数量最少的风险检 测客户端； 将当前网络资产分配至该网络资产 数量最少的风险检测客户端， 并将该网络资产 数量 最少的风险检测客户端的分配资产计数加1； 重新对所述资产列表进行迭代分配处 理， 直到所述资产列表迭代结束。 8.根据权利要求7所述的一种分布式网络集群风险检测方法， 其特征在于： 查找当前网 络资产对应的所有风险检测 客户端中， 分配的网络资产数量最少的风险检测 客户端后， 如 网络资产数量最少的风险检测客户端并列有多个， 则将当前网络资产分配至多个网络 资产 数量最少的风险检测客户端中， 位于客户端列表中排列位置在前的风险检测客户端。 9.根据权利要求7所述的一种分布式网络集群风险检测方法， 其特征在于： 判断所述资 产列表是否迭代结束时， 如是， 所述方法还 包括： 清理所述客户端列表中分配的网络资产数量为0的风险检测客户端， 然后结束调度操 作。 10.一种分布式网络集群风险检测系统， 其特征在于： 包括风险检测服务端以及分别与 所述风险检测服 务端通信连接的多个风险检测客户端； 其中， 多个风险检测客户端用于分别进行网络主机识别， 得到对应识别的网络主机的网络资 产， 并分别将识别到的网络资产及其 客户端标识发送至所述 风险检测服 务端； 所述风险检测服务端用于接收多个风险检测客户端发送的网络资产及对应的客户端 标识， 并对所有网络 资产进行调度， 以便根据客户端 标识， 将各个网络 资产分别分配至任一 识别到该网络 资产的风险检测客户端； 所述风险检测服务端还用于协同多个风险检测客户 端对其分配得到的网络主机的网络资产进行风险检测， 得到网络主机风险信息 。权　利　要　求　书 2/2 页 3 CN 115550038 A 3