面向Web的漏洞聚合和管理工具的研究与实现

发布时间：2018-10-05 09:20

【摘要】：随着近几年安全事件不断发生以及威胁程度不断加重,网络安全的危害范围小到个人隐私大到政府、国家级别的网络空间安全问题冲突,应当说安全事件是愈演愈烈。基于此,个人以及政府也越来越重视网络安全问题。网络安全问题的本质是存在可以利用的漏洞,所以对漏洞的管理和分析对于网络管理人员来说就显得十分重要。目前市场上的漏洞扫描工具种类繁多,兼容性很差,单一的漏洞扫描通常都会有比较高的漏洞错报和误报。并且通常来说,都只是负责漏洞的检测和比较初步的修复,并不是真正意义上的漏洞分析和漏洞管理。普遍采用的依然是工具扫描出报告然后人工整合漏洞修复的低效率过程,对于整个漏洞的从发现到修复的周期来说花费太多不必要的精力。本文描述的基于Web的漏洞管理工具研究和开发,集成了目前市场比较常用的软件型漏洞扫描工具,将漏洞扫描工具导出的XML文件作为分析的数据来源,通过上传到本漏洞管理工具,使用Java Sax技术进行XML文件的解析,解析完成后,漏洞信息会保存到数据存储设备中。分析各漏洞管理结果的XML文档结构,然后通过XML的结构特点和特性,编写相同漏洞合并算法。算法的主要原理描述,首先主要通过判断漏洞扫描工具的动态扫描还是静态扫描类别、漏洞产生的类型、漏洞发生时的路径信息、漏洞中的参数描述、漏洞官方CWE编号等因素来判断是否是同一个漏洞,相同漏洞会进行漏洞合并。这样减少了漏洞管理的开销,提高了效率,也减少了单一扫描工具的误报率错报率高的问题。以Web形式展示漏洞详情,可以查看漏洞扫描的总体情况,不同危害等级不同颜色高亮显示,在表现形式上,可以选择优先展示危害等级高的漏洞,通过对漏洞的分析,对漏洞修复趋势进行展示,并且突出漏洞数量最多的应用,某一个具体漏洞的描述详情,修复进展,漏洞评论等,安全状态一目了然。便于网站管理人员、项目经理以及安全测试人员对最新进展做出修复安排。加入了对Bugzilla工具的支持,实现了对漏洞缺陷的跟踪管理,对于漏洞的发现、修复、关闭等整个周期监控,及时反应漏洞修复状态。增加了对JasperReport工具的支持,漏洞分析结果可以通过下载到本地进行分析,结果展示更加丰富。在本地搭建了测试靶机,进行了多工具的漏洞扫描以及结果导入,成功解析上传文件并且展示了漏洞详情和具体漏洞的详细信息,成功实现某些相同漏洞合并,成功实现了漏洞生命周期的缺陷跟踪管理,下载到本地的文件对于漏洞分析与修复也具有一定的指导作用。基本实现了漏洞管理工具的需求功能。
[Abstract]:With the continuous occurrence of security incidents and the increasing threat degree in recent years, the harm of network security ranges from personal privacy to the government, and the national level of cyberspace security conflicts, it should be said that security events are becoming more and more serious. Based on this, the individual and the government also pay more and more attention to the problem of network security. The essence of network security is that there are vulnerabilities that can be exploited, so it is very important for network managers to manage and analyze vulnerabilities. At present, there are many kinds of vulnerability scanning tools in the market, and the compatibility is very poor. Single vulnerability scanning usually has high vulnerability false positives and false positives. Generally speaking, it is only responsible for vulnerability detection and preliminary repair, and is not the real vulnerability analysis and vulnerability management. It is still widely used that tools scan out reports and then manually integrate the inefficient process of vulnerability repair, and spend too much effort on the whole cycle from discovery to repair. The research and development of vulnerability management tool based on Web is described in this paper, which integrates the software vulnerability scanning tool which is commonly used in the market at present. The XML file exported by the vulnerability scanning tool is used as the data source of the analysis. By uploading to the vulnerability management tool, using Java Sax technology to parse the XML file, after parsing, the vulnerability information will be saved to the data storage device. The XML document structure of each vulnerability management result is analyzed, and the same vulnerability merging algorithm is written through the structural characteristics and characteristics of XML. The main principle description of the algorithm is to determine whether the dynamic scan of the vulnerability scanning tool or the static scan category, the type of vulnerability generation, the path information when the vulnerability occurs, and the parameter description of the vulnerability. Vulnerability official CWE number and other factors to determine whether the same vulnerability, the same vulnerability will be merged. In this way, the cost of vulnerability management is reduced, the efficiency is improved, and the problem of high false alarm rate of single scanning tool is reduced. By displaying the details of the vulnerability in the form of Web, you can view the overall situation of the vulnerability scan. Different damage levels and different colors can be highlighted. In the form of presentation, you can choose to give priority to displaying the vulnerability of the high level of vulnerability, and through the analysis of the vulnerability, Show the trend of vulnerability repair and highlight the application of the largest number of vulnerabilities, a specific vulnerability description details, repair progress, vulnerability review, security status at a glance. Facilitate site managers, project managers and security testers to make repair arrangements for the latest developments. We add the support to Bugzilla tools, realize the tracking and management of vulnerability defects, monitor the whole cycle of vulnerability detection, repair, closing, and respond to the state of vulnerability repair in time. Increased support for JasperReport tools, vulnerability analysis results can be downloaded to the local analysis, the results are more rich. Set up the test target machine in the local area, carry on the vulnerability scan and the result import of the multiple tools, parse and upload the file successfully and display the details of the vulnerability and the details of the specific vulnerability, and successfully realize the merge of some of the same vulnerabilities. The vulnerability lifecycle defect tracking management is successfully implemented, and downloading to the local file also has a certain guidance for vulnerability analysis and repair. Basic implementation of vulnerability management tools requirements function.
【学位授予单位】：山东大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP311.52;TP393.08

【相似文献】

相关期刊论文 前10条

1 李广洲,丁金芳,邓海山;基于Web的化学计算机化自适应测验系统的实现[J];计算机与应用化学;2002年05期

2 赵松林;基于Web服务的企业应用集成[J];微型机与应用;2003年08期

3 杜保华,刘弹,侯成刚,徐光华;XML WebService在基于Web远程分析工具集中的应用[J];仪器仪表用户;2004年02期

4 严毅,唐天兵,宁葵;Web服务实现开放式的企业应用集成[J];广西大学学报(自然科学版);2005年03期

5 邵文田;;去除使用Web服务寻找适当的程序项目[J];电脑迷;2007年15期

6 宋平;;基于Web服务的企业应用集成[J];福建电脑;2007年10期

7 邹丹;;基于Web服务的医院信息管理系统的设计与实现[J];大众科技;2007年06期

8 彭玉华;;基于Web的学生信息管理系统的设计与实现[J];民营科技;2010年09期

9 陈波;师惠忠;;一种新型Web应用安全漏洞统一描述语言[J];小型微型计算机系统;2011年10期

10 ;借会献技——国际软件博览会中心议题web计算及应用[J];每周电脑报;1997年43期

相关会议论文 前10条

1 刘正涛;毛宇光;应毅;;基于Web服务的分布式Web应用框架研究[A];第一届全国Web信息系统及其应用会议（WISA2004）论文集[C];2004年

2 戴琦;;Web上的数据挖掘[A];全国计算机网络应用年会论文集（2001）[C];2001年

3 王卫;;基于Web的数据库应用[A];第十八届中国（天津）’2004IT、网络、信息技术、电子、仪器仪表创新学术会议论文集[C];2004年

4 张默;廖湖声;杜金莲;;基于Web服务的开放式地理信息系统的研究[A];2006年全国开放式分布与并行计算机学术会议论文集（三）[C];2006年

5 郑菊艳;续爱民;;基于WEB模式的科研项目管理系统的设计与实现[A];第十四届中国科协年会第5分会场：绿色船舶与海洋装备创新发展及产业化论坛论文集[C];2012年

6 郑菊艳;续爱民;;基于WEB模式的科研项目管理系统的设计与实现[A];2012年MIS/S&A学术交流会议论文集[C];2012年

7 李勤;;基于WEB的计算机模拟病例考试系统在全科医师培训实践能力测试中应用研究[A];2012年浙江省全科医学学术年会论文汇编[C];2012年

8 黄海林;孙向阳;;基于Web的大学物理试题管理系统的设计[A];湖北省物理学会、武汉物理学会成立70周年庆典暨2002年学术年会论文集[C];2002年

9 于莉莉;张毅;;基于Web的人力资源管理系统研究与设计[A];2008全国制造业信息化标准化论坛论文集[C];2008年

10 李中华;;企业Web应用安全威胁与防护[A];创新·融合·发展——创新型煤炭企业发展与信息化高峰论坛论文集[C];2010年

相关重要报纸文章 前10条

1 本报记者 刘继安;准备好了吗？WEB教师[N];中国教育报;2001年

2 张承东;Web智能考核广告[N];网络世界;2009年

3 科讯;WEB教师——一个全新职业的透析[N];科技日报;2001年

4 王雅丽;博客社区齐上阵 银行借Web 2.0拉拢未来客户[N];中国计算机报;2008年

5 本报记者 黄智军;Web应用呼唤新型安全系统[N];计算机世界;2009年

6 居易;WEB教师热门起来[N];组织人事报;2001年

7 本报记者 赵晓涛;四问“Web防御与云安全”[N];网络世界;2008年

8 本报记者 徐恒;手机浏览器：竞争不断加剧 Web大势所趋[N];中国电子报;2009年

9 电脑商报记者 张戈;Web应用安全正当时[N];电脑商报;2010年

10 李晨;Web应用安全应贯穿生命周期[N];人民邮电;2009年

相关博士学位论文 前10条

1 万志远;Web应用程序漏洞检测关键技术研究[D];浙江大学;2014年

2 黄治虎;基于网页信息和图像特征的Web图像检索研究[D];重庆大学;2015年

3 张璞;Web评论文本情感分类方法研究[D];重庆大学;2015年

4 刘维东;Web短文本知识关联模型及其语义连贯计算方法[D];上海大学;2016年

5 孙慧峰;基于协同过滤的个性化Web推荐[D];北京邮电大学;2012年

6 何儒汉;Web图像的多模融合检索研究[D];华中科技大学;2007年

7 张建武;面向Web应用的安全评测技术研究[D];北京邮电大学;2012年

8 龙慧云;基于进程代数的Web服务数据和组合的形式化方法研究[D];贵州大学;2009年

9 孙涛;面向市场情报分析的Web实体事件融合问题研究[D];山东大学;2014年

10 谢琪;基于协同过滤与QoS的个性化Web服务推荐研究[D];重庆大学;2012年

相关硕士学位论文 前10条

1 陈彬彬;基于QoS随机性的Web服务质量偏离监测方法研究与实现[D];昆明理工大学;2015年

2 王叶;基于Web的电子反拍系统的研究与实现[D];西安工业大学;2013年

3 李楠;基于Web的钠硫电池实验室信息管理系统设计与实现[D];电子科技大学;2015年

4 赵云龙;基于Web的学生信息管理系统的设计与实现[D];华中师范大学;2015年

5 赵星;Web漏洞挖掘与安全防护研究[D];中北大学;2016年

6 杨威;支持EnOcean无线技术的WEB控制器设计与实现[D];广东工业大学;2016年

7 陈朴;基于Web的企业统一通信终端开发套件的设计与实现[D];中国科学院研究生院(沈阳计算技术研究所);2016年

8 骆焦煌;基于WEB的泉州纺织服装学院教学管理信息系统设计与实现[D];吉林大学;2016年

9 林南;基于Web舆情的话题识别与追踪技术研究[D];福州大学;2014年

10 龚衡;Web服务器的访问控制和安全审计问题研究[D];华中科技大学;2014年

，

本文编号：2252843