【摘要】：隨著近幾年安全事件不斷發(fā)生以及威脅程度不斷加重,網(wǎng)絡(luò)安全的危害范圍小到個人隱私大到政府、國家級別的網(wǎng)絡(luò)空間安全問題沖突,應(yīng)當(dāng)說安全事件是愈演愈烈。基于此,個人以及政府也越來越重視網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全問題的本質(zhì)是存在可以利用的漏洞,所以對漏洞的管理和分析對于網(wǎng)絡(luò)管理人員來說就顯得十分重要。目前市場上的漏洞掃描工具種類繁多,兼容性很差,單一的漏洞掃描通常都會有比較高的漏洞錯報和誤報。并且通常來說,都只是負(fù)責(zé)漏洞的檢測和比較初步的修復(fù),并不是真正意義上的漏洞分析和漏洞管理。普遍采用的依然是工具掃描出報告然后人工整合漏洞修復(fù)的低效率過程,對于整個漏洞的從發(fā)現(xiàn)到修復(fù)的周期來說花費太多不必要的精力。本文描述的基于Web的漏洞管理工具研究和開發(fā),集成了目前市場比較常用的軟件型漏洞掃描工具,將漏洞掃描工具導(dǎo)出的XML文件作為分析的數(shù)據(jù)來源,通過上傳到本漏洞管理工具,使用Java Sax技術(shù)進行XML文件的解析,解析完成后,漏洞信息會保存到數(shù)據(jù)存儲設(shè)備中。分析各漏洞管理結(jié)果的XML文檔結(jié)構(gòu),然后通過XML的結(jié)構(gòu)特點和特性,編寫相同漏洞合并算法。算法的主要原理描述,首先主要通過判斷漏洞掃描工具的動態(tài)掃描還是靜態(tài)掃描類別、漏洞產(chǎn)生的類型、漏洞發(fā)生時的路徑信息、漏洞中的參數(shù)描述、漏洞官方CWE編號等因素來判斷是否是同一個漏洞,相同漏洞會進行漏洞合并。這樣減少了漏洞管理的開銷,提高了效率,也減少了單一掃描工具的誤報率錯報率高的問題。以Web形式展示漏洞詳情,可以查看漏洞掃描的總體情況,不同危害等級不同顏色高亮顯示,在表現(xiàn)形式上,可以選擇優(yōu)先展示危害等級高的漏洞,通過對漏洞的分析,對漏洞修復(fù)趨勢進行展示,并且突出漏洞數(shù)量最多的應(yīng)用,某一個具體漏洞的描述詳情,修復(fù)進展,漏洞評論等,安全狀態(tài)一目了然。便于網(wǎng)站管理人員、項目經(jīng)理以及安全測試人員對最新進展做出修復(fù)安排。加入了對Bugzilla工具的支持,實現(xiàn)了對漏洞缺陷的跟蹤管理,對于漏洞的發(fā)現(xiàn)、修復(fù)、關(guān)閉等整個周期監(jiān)控,及時反應(yīng)漏洞修復(fù)狀態(tài)。增加了對JasperReport工具的支持,漏洞分析結(jié)果可以通過下載到本地進行分析,結(jié)果展示更加豐富。在本地搭建了測試靶機,進行了多工具的漏洞掃描以及結(jié)果導(dǎo)入,成功解析上傳文件并且展示了漏洞詳情和具體漏洞的詳細(xì)信息,成功實現(xiàn)某些相同漏洞合并,成功實現(xiàn)了漏洞生命周期的缺陷跟蹤管理,下載到本地的文件對于漏洞分析與修復(fù)也具有一定的指導(dǎo)作用�；緦崿F(xiàn)了漏洞管理工具的需求功能。
[Abstract]:With the continuous occurrence of security incidents and the increasing threat degree in recent years, the harm of network security ranges from personal privacy to the government, and the national level of cyberspace security conflicts, it should be said that security events are becoming more and more serious. Based on this, the individual and the government also pay more and more attention to the problem of network security. The essence of network security is that there are vulnerabilities that can be exploited, so it is very important for network managers to manage and analyze vulnerabilities. At present, there are many kinds of vulnerability scanning tools in the market, and the compatibility is very poor. Single vulnerability scanning usually has high vulnerability false positives and false positives. Generally speaking, it is only responsible for vulnerability detection and preliminary repair, and is not the real vulnerability analysis and vulnerability management. It is still widely used that tools scan out reports and then manually integrate the inefficient process of vulnerability repair, and spend too much effort on the whole cycle from discovery to repair. The research and development of vulnerability management tool based on Web is described in this paper, which integrates the software vulnerability scanning tool which is commonly used in the market at present. The XML file exported by the vulnerability scanning tool is used as the data source of the analysis. By uploading to the vulnerability management tool, using Java Sax technology to parse the XML file, after parsing, the vulnerability information will be saved to the data storage device. The XML document structure of each vulnerability management result is analyzed, and the same vulnerability merging algorithm is written through the structural characteristics and characteristics of XML. The main principle description of the algorithm is to determine whether the dynamic scan of the vulnerability scanning tool or the static scan category, the type of vulnerability generation, the path information when the vulnerability occurs, and the parameter description of the vulnerability. Vulnerability official CWE number and other factors to determine whether the same vulnerability, the same vulnerability will be merged. In this way, the cost of vulnerability management is reduced, the efficiency is improved, and the problem of high false alarm rate of single scanning tool is reduced. By displaying the details of the vulnerability in the form of Web, you can view the overall situation of the vulnerability scan. Different damage levels and different colors can be highlighted. In the form of presentation, you can choose to give priority to displaying the vulnerability of the high level of vulnerability, and through the analysis of the vulnerability, Show the trend of vulnerability repair and highlight the application of the largest number of vulnerabilities, a specific vulnerability description details, repair progress, vulnerability review, security status at a glance. Facilitate site managers, project managers and security testers to make repair arrangements for the latest developments. We add the support to Bugzilla tools, realize the tracking and management of vulnerability defects, monitor the whole cycle of vulnerability detection, repair, closing, and respond to the state of vulnerability repair in time. Increased support for JasperReport tools, vulnerability analysis results can be downloaded to the local analysis, the results are more rich. Set up the test target machine in the local area, carry on the vulnerability scan and the result import of the multiple tools, parse and upload the file successfully and display the details of the vulnerability and the details of the specific vulnerability, and successfully realize the merge of some of the same vulnerabilities. The vulnerability lifecycle defect tracking management is successfully implemented, and downloading to the local file also has a certain guidance for vulnerability analysis and repair. Basic implementation of vulnerability management tools requirements function.
【學(xué)位授予單位】：山東大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP311.52;TP393.08

【相似文獻】

相關(guān)期刊論文 前10條

1 李廣洲,丁金芳,鄧海山;基于Web的化學(xué)計算機化自適應(yīng)測驗系統(tǒng)的實現(xiàn)[J];計算機與應(yīng)用化學(xué);2002年05期

2 趙松林;基于Web服務(wù)的企業(yè)應(yīng)用集成[J];微型機與應(yīng)用;2003年08期

3 杜保華,劉彈,侯成剛,徐光華;XML WebService在基于Web遠(yuǎn)程分析工具集中的應(yīng)用[J];儀器儀表用戶;2004年02期

4 嚴(yán)毅,唐天兵,寧葵;Web服務(wù)實現(xiàn)開放式的企業(yè)應(yīng)用集成[J];廣西大學(xué)學(xué)報(自然科學(xué)版);2005年03期

5 邵文田;;去除使用Web服務(wù)尋找適當(dāng)?shù)某绦蝽椖縖J];電腦迷;2007年15期

6 宋平;;基于Web服務(wù)的企業(yè)應(yīng)用集成[J];福建電腦;2007年10期

7 鄒丹;;基于Web服務(wù)的醫(yī)院信息管理系統(tǒng)的設(shè)計與實現(xiàn)[J];大眾科技;2007年06期

8 彭玉華;;基于Web的學(xué)生信息管理系統(tǒng)的設(shè)計與實現(xiàn)[J];民營科技;2010年09期

9 陳波;師惠忠;;一種新型Web應(yīng)用安全漏洞統(tǒng)一描述語言[J];小型微型計算機系統(tǒng);2011年10期

10 ;借會獻技——國際軟件博覽會中心議題web計算及應(yīng)用[J];每周電腦報;1997年43期

相關(guān)會議論文 前10條

1 劉正濤;毛宇光;應(yīng)毅;;基于Web服務(wù)的分布式Web應(yīng)用框架研究[A];第一屆全國Web信息系統(tǒng)及其應(yīng)用會議（WISA2004）論文集[C];2004年

2 戴琦;;Web上的數(shù)據(jù)挖掘[A];全國計算機網(wǎng)絡(luò)應(yīng)用年會論文集（2001）[C];2001年

3 王衛(wèi);;基于Web的數(shù)據(jù)庫應(yīng)用[A];第十八屆中國（天津）’2004IT、網(wǎng)絡(luò)、信息技術(shù)、電子、儀器儀表創(chuàng)新學(xué)術(shù)會議論文集[C];2004年

4 張默;廖湖聲;杜金蓮;;基于Web服務(wù)的開放式地理信息系統(tǒng)的研究[A];2006年全國開放式分布與并行計算機學(xué)術(shù)會議論文集（三）[C];2006年

5 鄭菊艷;續(xù)愛民;;基于WEB模式的科研項目管理系統(tǒng)的設(shè)計與實現(xiàn)[A];第十四屆中國科協(xié)年會第5分會場：綠色船舶與海洋裝備創(chuàng)新發(fā)展及產(chǎn)業(yè)化論壇論文集[C];2012年

6 鄭菊艷;續(xù)愛民;;基于WEB模式的科研項目管理系統(tǒng)的設(shè)計與實現(xiàn)[A];2012年MIS/S&A學(xué)術(shù)交流會議論文集[C];2012年

7 李勤;;基于WEB的計算機模擬病例考試系統(tǒng)在全科醫(yī)師培訓(xùn)實踐能力測試中應(yīng)用研究[A];2012年浙江省全科醫(yī)學(xué)學(xué)術(shù)年會論文匯編[C];2012年

8 黃海林;孫向陽;;基于Web的大學(xué)物理試題管理系統(tǒng)的設(shè)計[A];湖北省物理學(xué)會、武漢物理學(xué)會成立70周年慶典暨2002年學(xué)術(shù)年會論文集[C];2002年

9 于莉莉;張毅;;基于Web的人力資源管理系統(tǒng)研究與設(shè)計[A];2008全國制造業(yè)信息化標(biāo)準(zhǔn)化論壇論文集[C];2008年

10 李中華;;企業(yè)Web應(yīng)用安全威脅與防護[A];創(chuàng)新·融合·發(fā)展——創(chuàng)新型煤炭企業(yè)發(fā)展與信息化高峰論壇論文集[C];2010年

相關(guān)重要報紙文章 前10條

1 本報記者 劉繼安;準(zhǔn)備好了嗎？WEB教師[N];中國教育報;2001年

2 張承東;Web智能考核廣告[N];網(wǎng)絡(luò)世界;2009年

3 科訊;WEB教師——一個全新職業(yè)的透析[N];科技日報;2001年

4 王雅麗;博客社區(qū)齊上陣 銀行借Web 2.0拉攏未來客戶[N];中國計算機報;2008年

5 本報記者 黃智軍;Web應(yīng)用呼喚新型安全系統(tǒng)[N];計算機世界;2009年

6 居易;WEB教師熱門起來[N];組織人事報;2001年

7 本報記者 趙曉濤;四問“Web防御與云安全”[N];網(wǎng)絡(luò)世界;2008年

8 本報記者 徐恒;手機瀏覽器：競爭不斷加劇 Web大勢所趨[N];中國電子報;2009年

9 電腦商報記者 張戈;Web應(yīng)用安全正當(dāng)時[N];電腦商報;2010年

10 李晨;Web應(yīng)用安全應(yīng)貫穿生命周期[N];人民郵電;2009年

相關(guān)博士學(xué)位論文 前10條

1 萬志遠(yuǎn);Web應(yīng)用程序漏洞檢測關(guān)鍵技術(shù)研究[D];浙江大學(xué);2014年

2 黃治虎;基于網(wǎng)頁信息和圖像特征的Web圖像檢索研究[D];重慶大學(xué);2015年

3 張璞;Web評論文本情感分類方法研究[D];重慶大學(xué);2015年

4 劉維東;Web短文本知識關(guān)聯(lián)模型及其語義連貫計算方法[D];上海大學(xué);2016年

5 孫慧峰;基于協(xié)同過濾的個性化Web推薦[D];北京郵電大學(xué);2012年

6 何儒漢;Web圖像的多模融合檢索研究[D];華中科技大學(xué);2007年

7 張建武;面向Web應(yīng)用的安全評測技術(shù)研究[D];北京郵電大學(xué);2012年

8 龍慧云;基于進程代數(shù)的Web服務(wù)數(shù)據(jù)和組合的形式化方法研究[D];貴州大學(xué);2009年

9 孫濤;面向市場情報分析的Web實體事件融合問題研究[D];山東大學(xué);2014年

10 謝琪;基于協(xié)同過濾與QoS的個性化Web服務(wù)推薦研究[D];重慶大學(xué);2012年

相關(guān)碩士學(xué)位論文 前10條

1 陳彬彬;基于QoS隨機性的Web服務(wù)質(zhì)量偏離監(jiān)測方法研究與實現(xiàn)[D];昆明理工大學(xué);2015年

2 王葉;基于Web的電子反拍系統(tǒng)的研究與實現(xiàn)[D];西安工業(yè)大學(xué);2013年

3 李楠;基于Web的鈉硫電池實驗室信息管理系統(tǒng)設(shè)計與實現(xiàn)[D];電子科技大學(xué);2015年

4 趙云龍;基于Web的學(xué)生信息管理系統(tǒng)的設(shè)計與實現(xiàn)[D];華中師范大學(xué);2015年

5 趙星;Web漏洞挖掘與安全防護研究[D];中北大學(xué);2016年

6 楊威;支持EnOcean無線技術(shù)的WEB控制器設(shè)計與實現(xiàn)[D];廣東工業(yè)大學(xué);2016年

7 陳樸;基于Web的企業(yè)統(tǒng)一通信終端開發(fā)套件的設(shè)計與實現(xiàn)[D];中國科學(xué)院研究生院(沈陽計算技術(shù)研究所);2016年

8 駱焦煌;基于WEB的泉州紡織服裝學(xué)院教學(xué)管理信息系統(tǒng)設(shè)計與實現(xiàn)[D];吉林大學(xué);2016年

9 林南;基于Web輿情的話題識別與追蹤技術(shù)研究[D];福州大學(xué);2014年

10 龔衡;Web服務(wù)器的訪問控制和安全審計問題研究[D];華中科技大學(xué);2014年

，

本文編號：2252843