【摘要】：隨著近幾年安全事件不斷發(fā)生以及威脅程度不斷加重,網絡安全的危害范圍小到個人隱私大到政府、國家級別的網絡空間安全問題沖突,應當說安全事件是愈演愈烈�；诖�,個人以及政府也越來越重視網絡安全問題。網絡安全問題的本質是存在可以利用的漏洞,所以對漏洞的管理和分析對于網絡管理人員來說就顯得十分重要。目前市場上的漏洞掃描工具種類繁多,兼容性很差,單一的漏洞掃描通常都會有比較高的漏洞錯報和誤報。并且通常來說,都只是負責漏洞的檢測和比較初步的修復,并不是真正意義上的漏洞分析和漏洞管理。普遍采用的依然是工具掃描出報告然后人工整合漏洞修復的低效率過程,對于整個漏洞的從發(fā)現(xiàn)到修復的周期來說花費太多不必要的精力。本文描述的基于Web的漏洞管理工具研究和開發(fā),集成了目前市場比較常用的軟件型漏洞掃描工具,將漏洞掃描工具導出的XML文件作為分析的數(shù)據(jù)來源,通過上傳到本漏洞管理工具,使用Java Sax技術進行XML文件的解析,解析完成后,漏洞信息會保存到數(shù)據(jù)存儲設備中。分析各漏洞管理結果的XML文檔結構,然后通過XML的結構特點和特性,編寫相同漏洞合并算法。算法的主要原理描述,首先主要通過判斷漏洞掃描工具的動態(tài)掃描還是靜態(tài)掃描類別、漏洞產生的類型、漏洞發(fā)生時的路徑信息、漏洞中的參數(shù)描述、漏洞官方CWE編號等因素來判斷是否是同一個漏洞,相同漏洞會進行漏洞合并。這樣減少了漏洞管理的開銷,提高了效率,也減少了單一掃描工具的誤報率錯報率高的問題。以Web形式展示漏洞詳情,可以查看漏洞掃描的總體情況,不同危害等級不同顏色高亮顯示,在表現(xiàn)形式上,可以選擇優(yōu)先展示危害等級高的漏洞,通過對漏洞的分析,對漏洞修復趨勢進行展示,并且突出漏洞數(shù)量最多的應用,某一個具體漏洞的描述詳情,修復進展,漏洞評論等,安全狀態(tài)一目了然。便于網站管理人員、項目經理以及安全測試人員對最新進展做出修復安排。加入了對Bugzilla工具的支持,實現(xiàn)了對漏洞缺陷的跟蹤管理,對于漏洞的發(fā)現(xiàn)、修復、關閉等整個周期監(jiān)控,及時反應漏洞修復狀態(tài)。增加了對JasperReport工具的支持,漏洞分析結果可以通過下載到本地進行分析,結果展示更加豐富。在本地搭建了測試靶機,進行了多工具的漏洞掃描以及結果導入,成功解析上傳文件并且展示了漏洞詳情和具體漏洞的詳細信息,成功實現(xiàn)某些相同漏洞合并,成功實現(xiàn)了漏洞生命周期的缺陷跟蹤管理,下載到本地的文件對于漏洞分析與修復也具有一定的指導作用�；緦崿F(xiàn)了漏洞管理工具的需求功能。
[Abstract]:With the continuous occurrence of security incidents and the increasing threat degree in recent years, the harm of network security ranges from personal privacy to the government, and the national level of cyberspace security conflicts, it should be said that security events are becoming more and more serious. Based on this, the individual and the government also pay more and more attention to the problem of network security. The essence of network security is that there are vulnerabilities that can be exploited, so it is very important for network managers to manage and analyze vulnerabilities. At present, there are many kinds of vulnerability scanning tools in the market, and the compatibility is very poor. Single vulnerability scanning usually has high vulnerability false positives and false positives. Generally speaking, it is only responsible for vulnerability detection and preliminary repair, and is not the real vulnerability analysis and vulnerability management. It is still widely used that tools scan out reports and then manually integrate the inefficient process of vulnerability repair, and spend too much effort on the whole cycle from discovery to repair. The research and development of vulnerability management tool based on Web is described in this paper, which integrates the software vulnerability scanning tool which is commonly used in the market at present. The XML file exported by the vulnerability scanning tool is used as the data source of the analysis. By uploading to the vulnerability management tool, using Java Sax technology to parse the XML file, after parsing, the vulnerability information will be saved to the data storage device. The XML document structure of each vulnerability management result is analyzed, and the same vulnerability merging algorithm is written through the structural characteristics and characteristics of XML. The main principle description of the algorithm is to determine whether the dynamic scan of the vulnerability scanning tool or the static scan category, the type of vulnerability generation, the path information when the vulnerability occurs, and the parameter description of the vulnerability. Vulnerability official CWE number and other factors to determine whether the same vulnerability, the same vulnerability will be merged. In this way, the cost of vulnerability management is reduced, the efficiency is improved, and the problem of high false alarm rate of single scanning tool is reduced. By displaying the details of the vulnerability in the form of Web, you can view the overall situation of the vulnerability scan. Different damage levels and different colors can be highlighted. In the form of presentation, you can choose to give priority to displaying the vulnerability of the high level of vulnerability, and through the analysis of the vulnerability, Show the trend of vulnerability repair and highlight the application of the largest number of vulnerabilities, a specific vulnerability description details, repair progress, vulnerability review, security status at a glance. Facilitate site managers, project managers and security testers to make repair arrangements for the latest developments. We add the support to Bugzilla tools, realize the tracking and management of vulnerability defects, monitor the whole cycle of vulnerability detection, repair, closing, and respond to the state of vulnerability repair in time. Increased support for JasperReport tools, vulnerability analysis results can be downloaded to the local analysis, the results are more rich. Set up the test target machine in the local area, carry on the vulnerability scan and the result import of the multiple tools, parse and upload the file successfully and display the details of the vulnerability and the details of the specific vulnerability, and successfully realize the merge of some of the same vulnerabilities. The vulnerability lifecycle defect tracking management is successfully implemented, and downloading to the local file also has a certain guidance for vulnerability analysis and repair. Basic implementation of vulnerability management tools requirements function.
【學位授予單位】：山東大學
【學位級別】：碩士
【學位授予年份】：2016
【分類號】：TP311.52;TP393.08

【相似文獻】

相關期刊論文 前10條

1 李廣洲,丁金芳,鄧海山;基于Web的化學計算機化自適應測驗系統(tǒng)的實現(xiàn)[J];計算機與應用化學;2002年05期

2 趙松林;基于Web服務的企業(yè)應用集成[J];微型機與應用;2003年08期

3 杜保華,劉彈,侯成剛,徐光華;XML WebService在基于Web遠程分析工具集中的應用[J];儀器儀表用戶;2004年02期

4 嚴毅,唐天兵,寧葵;Web服務實現(xiàn)開放式的企業(yè)應用集成[J];廣西大學學報(自然科學版);2005年03期

5 邵文田;;去除使用Web服務尋找適當?shù)某绦蝽椖縖J];電腦迷;2007年15期

6 宋平;;基于Web服務的企業(yè)應用集成[J];福建電腦;2007年10期

7 鄒丹;;基于Web服務的醫(yī)院信息管理系統(tǒng)的設計與實現(xiàn)[J];大眾科技;2007年06期

8 彭玉華;;基于Web的學生信息管理系統(tǒng)的設計與實現(xiàn)[J];民營科技;2010年09期

9 陳波;師惠忠;;一種新型Web應用安全漏洞統(tǒng)一描述語言[J];小型微型計算機系統(tǒng);2011年10期

10 ;借會獻技——國際軟件博覽會中心議題web計算及應用[J];每周電腦報;1997年43期

相關會議論文 前10條

1 劉正濤;毛宇光;應毅;;基于Web服務的分布式Web應用框架研究[A];第一屆全國Web信息系統(tǒng)及其應用會議（WISA2004）論文集[C];2004年

2 戴琦;;Web上的數(shù)據(jù)挖掘[A];全國計算機網絡應用年會論文集（2001）[C];2001年

3 王衛(wèi);;基于Web的數(shù)據(jù)庫應用[A];第十八屆中國（天津）’2004IT、網絡、信息技術、電子、儀器儀表創(chuàng)新學術會議論文集[C];2004年

4 張默;廖湖聲;杜金蓮;;基于Web服務的開放式地理信息系統(tǒng)的研究[A];2006年全國開放式分布與并行計算機學術會議論文集（三）[C];2006年

5 鄭菊艷;續(xù)愛民;;基于WEB模式的科研項目管理系統(tǒng)的設計與實現(xiàn)[A];第十四屆中國科協(xié)年會第5分會場：綠色船舶與海洋裝備創(chuàng)新發(fā)展及產業(yè)化論壇論文集[C];2012年

6 鄭菊艷;續(xù)愛民;;基于WEB模式的科研項目管理系統(tǒng)的設計與實現(xiàn)[A];2012年MIS/S&A學術交流會議論文集[C];2012年

7 李勤;;基于WEB的計算機模擬病例考試系統(tǒng)在全科醫(yī)師培訓實踐能力測試中應用研究[A];2012年浙江省全科醫(yī)學學術年會論文匯編[C];2012年

8 黃海林;孫向陽;;基于Web的大學物理試題管理系統(tǒng)的設計[A];湖北省物理學會、武漢物理學會成立70周年慶典暨2002年學術年會論文集[C];2002年

9 于莉莉;張毅;;基于Web的人力資源管理系統(tǒng)研究與設計[A];2008全國制造業(yè)信息化標準化論壇論文集[C];2008年

10 李中華;;企業(yè)Web應用安全威脅與防護[A];創(chuàng)新·融合·發(fā)展——創(chuàng)新型煤炭企業(yè)發(fā)展與信息化高峰論壇論文集[C];2010年

相關重要報紙文章 前10條

1 本報記者 劉繼安;準備好了嗎？WEB教師[N];中國教育報;2001年

2 張承東;Web智能考核廣告[N];網絡世界;2009年

3 科訊;WEB教師——一個全新職業(yè)的透析[N];科技日報;2001年

4 王雅麗;博客社區(qū)齊上陣 銀行借Web 2.0拉攏未來客戶[N];中國計算機報;2008年

5 本報記者 黃智軍;Web應用呼喚新型安全系統(tǒng)[N];計算機世界;2009年

6 居易;WEB教師熱門起來[N];組織人事報;2001年

7 本報記者 趙曉濤;四問“Web防御與云安全”[N];網絡世界;2008年

8 本報記者 徐恒;手機瀏覽器：競爭不斷加劇 Web大勢所趨[N];中國電子報;2009年

9 電腦商報記者 張戈;Web應用安全正當時[N];電腦商報;2010年

10 李晨;Web應用安全應貫穿生命周期[N];人民郵電;2009年

相關博士學位論文 前10條

1 萬志遠;Web應用程序漏洞檢測關鍵技術研究[D];浙江大學;2014年

2 黃治虎;基于網頁信息和圖像特征的Web圖像檢索研究[D];重慶大學;2015年

3 張璞;Web評論文本情感分類方法研究[D];重慶大學;2015年

4 劉維東;Web短文本知識關聯(lián)模型及其語義連貫計算方法[D];上海大學;2016年

5 孫慧峰;基于協(xié)同過濾的個性化Web推薦[D];北京郵電大學;2012年

6 何儒漢;Web圖像的多模融合檢索研究[D];華中科技大學;2007年

7 張建武;面向Web應用的安全評測技術研究[D];北京郵電大學;2012年

8 龍慧云;基于進程代數(shù)的Web服務數(shù)據(jù)和組合的形式化方法研究[D];貴州大學;2009年

9 孫濤;面向市場情報分析的Web實體事件融合問題研究[D];山東大學;2014年

10 謝琪;基于協(xié)同過濾與QoS的個性化Web服務推薦研究[D];重慶大學;2012年

相關碩士學位論文 前10條

1 陳彬彬;基于QoS隨機性的Web服務質量偏離監(jiān)測方法研究與實現(xiàn)[D];昆明理工大學;2015年

2 王葉;基于Web的電子反拍系統(tǒng)的研究與實現(xiàn)[D];西安工業(yè)大學;2013年

3 李楠;基于Web的鈉硫電池實驗室信息管理系統(tǒng)設計與實現(xiàn)[D];電子科技大學;2015年

4 趙云龍;基于Web的學生信息管理系統(tǒng)的設計與實現(xiàn)[D];華中師范大學;2015年

5 趙星;Web漏洞挖掘與安全防護研究[D];中北大學;2016年

6 楊威;支持EnOcean無線技術的WEB控制器設計與實現(xiàn)[D];廣東工業(yè)大學;2016年

7 陳樸;基于Web的企業(yè)統(tǒng)一通信終端開發(fā)套件的設計與實現(xiàn)[D];中國科學院研究生院(沈陽計算技術研究所);2016年

8 駱焦煌;基于WEB的泉州紡織服裝學院教學管理信息系統(tǒng)設計與實現(xiàn)[D];吉林大學;2016年

9 林南;基于Web輿情的話題識別與追蹤技術研究[D];福州大學;2014年

10 龔衡;Web服務器的訪問控制和安全審計問題研究[D];華中科技大學;2014年

，

本文編號：2252843