基于云平台的漏洞扫描器调度系统的设计与实现
这是一篇关于网络安全,云计算,漏洞扫描,资源调度的论文, 主要内容为统计数据表明,绝大部分网络安全事件的发生,都是由已被业界发现的安全漏洞所导致的。漏洞扫描技术作为安全扫描技术中的一种,对网络安全起着非常重要的作用。然而,传统的漏洞扫描器在对大规模网络进行漏洞扫描时显得无能为力。云安全是网络时代信息安全的最新体现,它利用云计算对大规模业务应用场景下充分的资源支持的技术优势,并融合网格计算、并行处理和未知病毒行为判断等新兴技术或概念,为网络安全问题提供了新的解决方案。基于云平台的漏洞扫描系统即是利用该解决方案实现的一个典型应用,其中,如何合理、充分、高效地对云平台中的虚拟节点进行调度,对漏洞扫描系统的综合性能影响很大。 本文针对大规模漏洞扫描这一特定应用需求,设计了一套云平台中漏洞扫描器调度机制,该机制充分考虑漏洞扫描执行过程中的各类场景以及造成扫描器负载不均衡的各项因素,对扫描器实施实时的动态调度。并且根据这套机制设计与实现了基于云平台的漏洞扫描器调度系统,作为基于云的漏洞扫描系统的子系统。本文首先对网络安全、漏洞扫描技术和云在安全方面的应用进行了研究,分析了云环境下的资源调度技术的研究现状,调研了基于云的漏洞扫描系统中漏洞扫描器的工作原理和对外提供的接口,以及该扫描系统部署所基于的云平台提供的功能。其次,本文完成了基于云的漏洞扫描器调度方法的设计,并基于该调度方法完成了基于云的漏洞扫描器调度系统的总体设计,调度系统由核心逻辑实体与用户接口实体组成。此外,本文使用Java语言与CXF技术,并采用Spring和Hibernate框架,将系统核心逻辑实体实现成为可扩展的、基于HTTPS的、支持持久化存储的功能实体,该实体维护整个漏洞扫描系统的全部业务数据,同时保证与漏洞扫描器的兼容性;采用Jaxb技术完成XML格式的扫描报告与Java类之间的映射,实现漏洞扫描报告管理模块,解析并维护整个漏洞扫描系统的扫描报告;使用Struts2框架将用户接口实体实现成为B/S架构的Web应用实体,提供用户访问漏洞扫描系统的入口,同时保证与核心逻辑实体的兼容性。最后,本文实现整个基于云平台的漏洞扫描器调度系统在云平台上的部署,并与漏洞扫描系统的其他子系统进行联调与测试,测试结果证明本系统具有功能性以及良好的可扩展性。
基于MVC框架渗透测试系统的设计与实现
这是一篇关于渗透测试,攻击图,攻击路径,信息收集,漏洞扫描的论文, 主要内容为随着互联网的不断发展,人们对互联网的依赖日益增强,人们在享受互联网便利的同时,也受到譬如比特币病毒勒索事件等网络安全事件的威胁,因此人们的安全和经济财产都受到重大影响。为减少网络安全事件带给人们的影响,网络评估中的渗透测试手段成了评估网络系统安全最有效的方式之一。渗透测试在国内起步比较晚,对测试人员的要求也比较高,现有的渗透测试工具和平台虽然种类很多,但是大部分工具和平台功能单一、效果不佳、自动化程度比较低和传渗透测试效率低。基于以上的背景,本文重点研究了基于攻击图的渗透测试攻击路径计算方法,构建了基于攻击图的渗透测试攻击路径方案模型,利用信息收集、网络扫描和漏洞利用等技术,封装不同的渗透测试不同阶段工具,用Spring MVC框架实现了渗透测试系统,很好的解决了上述存在的问题,具体工作和创新内容如下:1.本文构建了基于攻击图的渗透测试路径攻击方案计算模型。模型主要包括目标信息收集、指标体系确立和量化、主机攻击图的生成和攻击路径方案计算。从主机、端口、拓扑结构、服务和漏洞等五个方面进行信息收集,然后确立指标体系,将各个孤立的点联系起来,将攻击复杂性、权限要求等进行量化分析,利用正向攻击图算法生成攻击图,然后将漏洞利用成功率为权值,通过渗透测试成功率计算攻击路径的方案,根据最优攻击路径方案进行渗透攻击。最后通过试验验证和对比,证明基于攻击图的渗透测试路径攻击方案计算方法具有较好的优势、可用性和实用性。2.本文用Spring MVC框架设计和实现渗透测试系统。该系统包括七大模块,其中核心模块是信息收集模块、漏洞扫描模块、攻击路径生成模块和渗透攻击模块。信息收集模块利用封装好的Nmap工具、SNMP和ARP等协议,从端口、主机、拓扑和服务等多角度多方位来收集目标网络的信息;漏洞扫描模块是在信息收集基础上利Xscan或者Nessus工具来探测漏洞信息;攻击路径生成模块依据信息收集和漏洞扫描收集到的信息,基于攻击图的渗透测试路径攻击方案计算模型,利用生成攻击图和攻击路径方案来生成攻击路径;渗透攻击模块按照渗透攻击路径方案利用Metasploit进行攻击,最后取得用户权限,生成一份渗透测试报告。另外Nmap、Xscan等渗透测试工具在使用前进行统一封装部署,直接根据设计的接口和脚本模板,系统自动化的调用工具,有效提升自动化渗透测试程度。3.本文对系统进行测试与分析。通过搭建测试环境,对各个模块功能进行测试,以及与传统的渗透测试工具和平台进行比较分析,证明本系统在信息收集、漏洞扫描、攻击路径生成等功能和渗透测试效率、自动化程度等性能上具有很大的优势,在实际应用中具有一定的实用价值。
基于云平台的漏洞扫描器调度系统的设计与实现
这是一篇关于网络安全,云计算,漏洞扫描,资源调度的论文, 主要内容为统计数据表明,绝大部分网络安全事件的发生,都是由已被业界发现的安全漏洞所导致的。漏洞扫描技术作为安全扫描技术中的一种,对网络安全起着非常重要的作用。然而,传统的漏洞扫描器在对大规模网络进行漏洞扫描时显得无能为力。云安全是网络时代信息安全的最新体现,它利用云计算对大规模业务应用场景下充分的资源支持的技术优势,并融合网格计算、并行处理和未知病毒行为判断等新兴技术或概念,为网络安全问题提供了新的解决方案。基于云平台的漏洞扫描系统即是利用该解决方案实现的一个典型应用,其中,如何合理、充分、高效地对云平台中的虚拟节点进行调度,对漏洞扫描系统的综合性能影响很大。 本文针对大规模漏洞扫描这一特定应用需求,设计了一套云平台中漏洞扫描器调度机制,该机制充分考虑漏洞扫描执行过程中的各类场景以及造成扫描器负载不均衡的各项因素,对扫描器实施实时的动态调度。并且根据这套机制设计与实现了基于云平台的漏洞扫描器调度系统,作为基于云的漏洞扫描系统的子系统。本文首先对网络安全、漏洞扫描技术和云在安全方面的应用进行了研究,分析了云环境下的资源调度技术的研究现状,调研了基于云的漏洞扫描系统中漏洞扫描器的工作原理和对外提供的接口,以及该扫描系统部署所基于的云平台提供的功能。其次,本文完成了基于云的漏洞扫描器调度方法的设计,并基于该调度方法完成了基于云的漏洞扫描器调度系统的总体设计,调度系统由核心逻辑实体与用户接口实体组成。此外,本文使用Java语言与CXF技术,并采用Spring和Hibernate框架,将系统核心逻辑实体实现成为可扩展的、基于HTTPS的、支持持久化存储的功能实体,该实体维护整个漏洞扫描系统的全部业务数据,同时保证与漏洞扫描器的兼容性;采用Jaxb技术完成XML格式的扫描报告与Java类之间的映射,实现漏洞扫描报告管理模块,解析并维护整个漏洞扫描系统的扫描报告;使用Struts2框架将用户接口实体实现成为B/S架构的Web应用实体,提供用户访问漏洞扫描系统的入口,同时保证与核心逻辑实体的兼容性。最后,本文实现整个基于云平台的漏洞扫描器调度系统在云平台上的部署,并与漏洞扫描系统的其他子系统进行联调与测试,测试结果证明本系统具有功能性以及良好的可扩展性。
人机协同Java字节码漏洞扫描系统的设计与实现
这是一篇关于漏洞扫描,误报过滤,众包审核,人机协同的论文, 主要内容为软件系统规模以及复杂性的不断增大,软件安全问题层出不穷,其产生的原因往往是程序本身在代码设计或实现过程中的错误或缺陷(称为漏洞),普通软件工程师的缺陷密度一般为50—250个缺陷/KLOC。在源码级别对程序进行漏洞扫描和安全审计,可以在源头上减少10%—50%安全漏洞的产生。但现存基于词法分析的静态漏洞扫描工具未充分考虑上下文,无法准确判别误报漏洞代码的固有特征,存在大量误报信息,开发人员需要手动筛选正报漏洞,不仅增大维护成本,甚至导致部分开发人员弃用扫描工具。为了降低目前漏洞扫描工具误报率,本文依托于公司的众包审核平台,设计并实现了一个人机协同Java字节码漏洞扫描系统。本文对静态漏洞扫描工具以及常见误报漏洞进行了分析,详细研究了字节码上下文提取、代码特征提取以及机器学习分类模型,同时融合众包专家审核,并结合实际场景中的漏洞扫描需求,实现该系统。首先,系统基于静态漏洞扫描工具对项目进行漏洞扫描,并确保其完备性。其次,基于Joana(Java Object-sensitive ANAlysis)程序切片工具对漏洞相关代码进行上下文提取,并基于N-gram语言模型对代码上下文进行特征提取。然后,利用基于完全匹配、随机森林算法的双层分类模型对扫描漏洞结果进行误报过滤。最后,将漏洞结果送予众包审核进行专家误报漏洞过滤,并将审核结果存储留作后续过滤模型的迭代训练。并根据最终漏洞结果为用户提供机器过滤以及专家审核融合的完备、低误报漏洞扫描报告。本系统主要分为交互展示模块、漏扫核心模块以及迭代学习模块,并使用Spring Boot框架、Pug模板引擎、微服务等技术与架构完成系统的实现。本文实现的人机协同Java字节码漏洞扫描系统提供低误报漏洞扫描服务。在OWASP数据集上实验表明,本系统在95.39%召回率的情况下,其精准率可以达到89.71%,与原版扫描工具相比,本系统将误报率减少近22%。本系统在确保低漏报率的基础上有效地降低传统静态漏洞扫描工具的误报率,从而节约维护成本,帮助开发者提高代码整体质量。目前,本系统已在公司平台上线,用于支撑公司静态漏洞扫描服务。
基于Hadoop架构的网络漏洞扫描系统的设计与实现
这是一篇关于网络爬虫,分布式,漏洞扫描,URL的论文, 主要内容为面对日益复杂的网络环境,为做好网络安全防护,网络漏洞扫描检测必不可少。通过及时检测和发现网络设备和网站存在的安全隐患,及时实现漏洞的修复和网络设备的加固是保障网络安全的重要手段。面对漏洞检测设备存在性能和数据处理的局限性,本文结合分布式架构和爬虫技术设计实现基于Hadoop架构的网络漏洞扫描系统实现对互联网存在的网络设备和产品的批量扫描和漏洞探测。系统借助J2EE平台和Web服务技术,在对分布式网络爬虫架构研究的基础上,实现了系统的各个主要功能模块。在系统的开发过程中,基于Hadoop分布式架构引入了分布式网络爬虫,根据主机探测和网络安全漏洞检测功能的需求以及MapReduce框架的特点,设计实现了分布式网络爬虫的MapReduce算法实现,将网络爬虫抓取的URL的任务相对合理地分配给各个节点服务器是运行,显著提升了网络爬虫在单个设备的爬取效率和数据的处理效率,提升了系统的性能,同时,基于分布式架构开发的网络漏洞扫描系统具有良好的可扩展性和容错性。本系统包括主机探测模块、任务管理模块、系统设置模块和报表管理模块。利用主机探测模块能够实现互联网主机系统类型、开放端口、应用软件等基本信息的采集及网络漏洞的检测;利用任务管理模块实现了漏扫系统中任务的新建、删除、修改等操作;利用报表管理模块可查看系统检测报表,还可按照需求导出相应格式的报表;利用系统设置模块实现用户管理、日志管理及系统升级等。基于Hadoop架构的网络漏洞扫描系统的设计与开发,是分布式网络爬虫技术在漏洞扫描系统中的研究和应用,对于进一步拓展网络爬虫的应用具有一定的借鉴意义。
物联网设备探测识别与漏洞扫描技术研究
这是一篇关于设备识别,机器学习,漏洞扫描,CPE,OpenVAS的论文, 主要内容为随着物联网技术的飞速发展,大量的设备被网络化并暴露在网络空间中。由于物联网设备在安全设计水平方面参差不齐,且在使用过程中疏于管理,导致其容易成为网络攻击者的优选目标,不但会对设备所有者造成损失,还可能被作为僵尸网络节点给整个网络空间安全造成威胁,其危害性不容忽视。资产识别是对物联网设备进行安全管理的前提,漏洞扫描则是发现物联网设备安全隐患的重要手段,本文对现有资产识别和漏洞扫描技术进行了分析研究,提出了若干改进或优化技术,主要工作如下:1.针对现有基于报文内容特征的设备识别方法存在依赖报文内容文本特征和难以大规模数据标记的问题,提出了一种基于机器学习的物联网设备分类方法,从设备的WEB主页提取特征并生成特征向量指纹空间,结合随机森林算法,提高物联网设备分类的准确性。该方法适用于物联网设备的资产识别,并可为物联网设备漏洞扫描的精准实施提供支撑。2.针对现有CPE生成方法因限定软件版本号格式或依赖检索CPE层次树顺序而产生遗漏和冗余的问题,提出了一种改进的CPE生成算法,结合设备服务的旗标信息和从NVD漏洞数据库中提取生成的CPE字典来推断设备对应的CPE,可用于在漏洞库中检索设备可能存在的漏洞。该算法可有效提升CPE生成的准确性,进而降低物联网设备漏洞扫描的漏报率和误报率。3.针对OpenVAS扫描器存在扫描速度慢、可扩展性差的问题,提出了一种基于OpenVAS扫描器集群的漏洞扫描方法,根据设备识别的结果和CPE匹配漏洞的结果精选扫描插件,通过自定义任务调度程序将扫描任务按策略部署到各个扫描器集群节点,有效地提高了OpenVAS的扫描效率。4.结合上述技术设计并实现了一款物联网设备漏洞扫描系统原型。该系统采用B/S架构,Web前端负责与用户进行交互,后端则负责整个系统的功能实现。整个系统采用模块化设计,主要包括资产探测与识别模块、基于CPE匹配的漏洞扫描模块、基于OpenVAS扫描器集群的漏洞扫描模块等8个模块。模块间采用消息队列进行通信,支持在分布式进程和节点上执行任务调度,可按需增加并发进程和节点数。5.搭建了系统测试环境,验证了该漏洞扫描系统在功能上达到了设计需求。与OpenVAS相比,由于该系统基于设备识别结果进行扫描,插件选择更有针对性,减少了不必要的插件运行,单个IP扫描任务效率提升了至少一倍,扫描结果完全相同。而针对大规模网络的扫描,可根据网络规模调整并发的进程和节点数,进一步提升扫描效率。此外,该系统部分模块使用了插件化设计,可扩展性强,能够根据现实需求快速编写、添加插件,具备较强的应变能力。
基于MVC框架渗透测试系统的设计与实现
这是一篇关于渗透测试,攻击图,攻击路径,信息收集,漏洞扫描的论文, 主要内容为随着互联网的不断发展,人们对互联网的依赖日益增强,人们在享受互联网便利的同时,也受到譬如比特币病毒勒索事件等网络安全事件的威胁,因此人们的安全和经济财产都受到重大影响。为减少网络安全事件带给人们的影响,网络评估中的渗透测试手段成了评估网络系统安全最有效的方式之一。渗透测试在国内起步比较晚,对测试人员的要求也比较高,现有的渗透测试工具和平台虽然种类很多,但是大部分工具和平台功能单一、效果不佳、自动化程度比较低和传渗透测试效率低。基于以上的背景,本文重点研究了基于攻击图的渗透测试攻击路径计算方法,构建了基于攻击图的渗透测试攻击路径方案模型,利用信息收集、网络扫描和漏洞利用等技术,封装不同的渗透测试不同阶段工具,用Spring MVC框架实现了渗透测试系统,很好的解决了上述存在的问题,具体工作和创新内容如下:1.本文构建了基于攻击图的渗透测试路径攻击方案计算模型。模型主要包括目标信息收集、指标体系确立和量化、主机攻击图的生成和攻击路径方案计算。从主机、端口、拓扑结构、服务和漏洞等五个方面进行信息收集,然后确立指标体系,将各个孤立的点联系起来,将攻击复杂性、权限要求等进行量化分析,利用正向攻击图算法生成攻击图,然后将漏洞利用成功率为权值,通过渗透测试成功率计算攻击路径的方案,根据最优攻击路径方案进行渗透攻击。最后通过试验验证和对比,证明基于攻击图的渗透测试路径攻击方案计算方法具有较好的优势、可用性和实用性。2.本文用Spring MVC框架设计和实现渗透测试系统。该系统包括七大模块,其中核心模块是信息收集模块、漏洞扫描模块、攻击路径生成模块和渗透攻击模块。信息收集模块利用封装好的Nmap工具、SNMP和ARP等协议,从端口、主机、拓扑和服务等多角度多方位来收集目标网络的信息;漏洞扫描模块是在信息收集基础上利Xscan或者Nessus工具来探测漏洞信息;攻击路径生成模块依据信息收集和漏洞扫描收集到的信息,基于攻击图的渗透测试路径攻击方案计算模型,利用生成攻击图和攻击路径方案来生成攻击路径;渗透攻击模块按照渗透攻击路径方案利用Metasploit进行攻击,最后取得用户权限,生成一份渗透测试报告。另外Nmap、Xscan等渗透测试工具在使用前进行统一封装部署,直接根据设计的接口和脚本模板,系统自动化的调用工具,有效提升自动化渗透测试程度。3.本文对系统进行测试与分析。通过搭建测试环境,对各个模块功能进行测试,以及与传统的渗透测试工具和平台进行比较分析,证明本系统在信息收集、漏洞扫描、攻击路径生成等功能和渗透测试效率、自动化程度等性能上具有很大的优势,在实际应用中具有一定的实用价值。
物联网安全态势感知系统的研究与实现
这是一篇关于物联网,协议探测,设备识别,漏洞扫描的论文, 主要内容为随着物联网产业的发展,物联网技术的应用越来越广泛。在工业4.0的大趋势下设备入网为工业生产效率的提高提供了许多切实可行的方案,同时设备入网也为人们的生活提供诸多便利。物联网技术在为人们的生产和生活提供便捷的同时,也带来了许多问题。许多针对物联网设备的攻击案例使人们看到不安全的物联网设备产生的巨大危害。物联网设备开发时错误代码的使用与不正确的配置给攻击者以可乘之机。识别网络中存在的物联网设备,并进行漏洞检测,可以帮助使用者及时发现网络中潜在的安全问题,降低网络被攻破的可能性。评估一个物联网系统的安全态势,需要从两个层面进行分析:感知部署在物联网系统中的物联网设备,确定物联网设备的产品属性;发现存在于物联网设备上的安全漏洞,确定物联网设备的安全漏洞对系统的危害。为了实现物联网环境下的安全态势评估,本文从网络资产扫描、物联网设备识别以及物联网设备漏洞三个方面展开研究,设计并实现相关的技术框架,具体工作总结如下:(1)在网络资产扫描方面,本文研究广泛应用于物联网的互联网协议和工业控制协议,分析23种网络协议的协议栈和通信机制,结合主动测试技术,设计并实现网络资产扫描框架。(2)在物联网设备识别方面,本文首先根据物联网设备的产品属性和基于引擎的规则生成算法完成物联网设备信息库的自动化构建,然后收集并分析大量的应用层协议数据包,制定应用场景下物联网设备信息的提取规则,最后结合基于搜索的物联网设备识别技术,设计并实现物联网设备识别框架。(3)在物联网设备漏洞方面,本文从物联网设备漏洞报告入手,结合物联网设备的产品属性,制定物联网设备漏洞危害分级规则并根据物联网设备漏洞报告实现物联网设备漏洞信息库的自动化构建,研究基于指纹的漏洞扫描技术、渗透测试流程以及加密误用缺陷,设计并实现物联网设备漏洞扫描与验证框架。本文整合上述研究成果,设计并实现了物联网安全态势感知系统,本系统使用VUE+Spring boot前后分离架构实现系统各个功能模块,包括设备探测、漏洞扫描、结果查询等功能模块,使用消息中间件实现各个功能模块的信息交互以及扫描节点的集群部署。使用本系统对部分网段进行扫描,能够发现该网段中的物联网设备以及物联网设备的安全漏洞,实现物联网环境下安全态势的评估。
本文内容包括但不限于文字、数据、图表及超链接等)均来源于该信息及资料的相关主题。发布者:代码助手 ,原文地址:https://m.bishedaima.com/lunwen/51847.html
