廖金菊，馮光輝

(鄭州工業(yè)應(yīng)用技術(shù)學(xué)院 信息工程學(xué)院，河南 鄭州 451150)

綜 述 doi:10.3969/j.issn.1673-5692.2016.05.006

基于虛擬節(jié)點(diǎn)管理的云安全漏洞掃描系統(tǒng)

廖金菊，馮光輝

(鄭州工業(yè)應(yīng)用技術(shù)學(xué)院 信息工程學(xué)院，河南 鄭州 451150)

安全漏洞問(wèn)題是眾多的云安全問(wèn)題中非常重要的一部分。目前針對(duì)網(wǎng)絡(luò)安全漏洞掃描的軟件或者系統(tǒng)不能夠很好的適用于云計(jì)算網(wǎng)絡(luò)，而為了滿足在云環(huán)境下的分布式漏洞掃描需求，需要實(shí)現(xiàn)對(duì)多掃描節(jié)點(diǎn)的全面管理，所以給出了一種基于分布式虛擬節(jié)點(diǎn)管理的云安全漏洞掃描系統(tǒng)研究方案，通過(guò)分析掃描節(jié)點(diǎn)的生命周期和基于此生命周期的掃描節(jié)點(diǎn)工作流，著重設(shè)計(jì)了虛擬掃描節(jié)點(diǎn)在其生命周期各階段的管理策略，并接受管理平臺(tái)的即時(shí)監(jiān)控。該方案能夠根據(jù)不同的任務(wù)調(diào)度策略合理分配掃描任務(wù)以及快速檢測(cè)異常掃描節(jié)點(diǎn)，從而實(shí)現(xiàn)任務(wù)合理遷移和掃描節(jié)點(diǎn)的回收。

云安全；漏洞掃描；虛擬節(jié)點(diǎn)管理；分布式

0 引 言

當(dāng)前，隨著計(jì)算機(jī)網(wǎng)絡(luò)和通訊技術(shù)的快速發(fā)展以及網(wǎng)絡(luò)應(yīng)用的日益豐富，利用開(kāi)放的網(wǎng)絡(luò)環(huán)境進(jìn)行全球通信已成為時(shí)代發(fā)展的必然趨勢(shì)。然而，網(wǎng)絡(luò)在提供高效和便利的同時(shí)，也帶來(lái)了諸多安全隱患。據(jù)調(diào)查顯示，黑客攻擊系統(tǒng)的方式正在朝多樣化方面發(fā)展，病毒和木馬等黑客工具的差異區(qū)分逐漸在減少，利用系統(tǒng)漏洞進(jìn)行攻擊的手段層出不窮[1-2]。其中，漏洞掃描技術(shù)就是防范漏洞攻擊手段的重要網(wǎng)絡(luò)安全技術(shù)，漏洞掃描技術(shù)可以根據(jù)已知的漏洞信息，通過(guò)端口探測(cè)等掃描手段對(duì)網(wǎng)絡(luò)中指定的計(jì)算機(jī)系統(tǒng)進(jìn)行安全脆弱性檢測(cè)，以便使網(wǎng)絡(luò)管理員能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中可以被利用的漏洞，通過(guò)對(duì)漏洞的風(fēng)險(xiǎn)等級(jí)進(jìn)行評(píng)估，從而提前制定防范措施。相對(duì)于防火墻這種安全防御措施來(lái)說(shuō)，漏洞掃描可以算作是一種主動(dòng)的防御，能夠有效地做到防范于未然。因此，加強(qiáng)漏洞掃描技術(shù)的研究對(duì)于網(wǎng)絡(luò)安全具有十分重要的意義。近年來(lái)，網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展和分布式計(jì)算、網(wǎng)格計(jì)算等技術(shù)的涌現(xiàn)，云計(jì)算這一概念應(yīng)運(yùn)而生。云計(jì)算是一種面向互聯(lián)網(wǎng)海量數(shù)據(jù)，按需提供共享軟硬件資源的計(jì)算方式，是信息技術(shù)時(shí)代的又一次飛躍，云計(jì)算技術(shù)自產(chǎn)生以來(lái)逐漸成為網(wǎng)絡(luò)技術(shù)發(fā)展的熱點(diǎn)和趨勢(shì)。云時(shí)代的IT架構(gòu)改變了IT資源的存在形式和組織形式，但是由于數(shù)據(jù)的聚積，安全問(wèn)題的影響也必然經(jīng)歷量變到質(zhì)變的過(guò)程。云計(jì)算技術(shù)的按需自服務(wù)、資源池化、快速?gòu)椥钥蓴U(kuò)展、廣泛的網(wǎng)絡(luò)接入、可測(cè)量性和多租戶架構(gòu)等特點(diǎn)直接影響到了云計(jì)算的安全以及相關(guān)的安全保護(hù)策略。當(dāng)然，在眾多的云安全問(wèn)題中，安全漏洞問(wèn)題是十分重要的一部分，云計(jì)算的上述幾個(gè)特點(diǎn)可能會(huì)使其暴露出更多的安全漏洞。

目前，針對(duì)網(wǎng)絡(luò)安全的傳統(tǒng)漏洞掃描軟件或系統(tǒng)并不能很好地適用于云計(jì)算網(wǎng)絡(luò)中，這是因?yàn)閭鹘y(tǒng)的漏洞掃描主要是基于主機(jī)或網(wǎng)絡(luò)的漏洞掃描：如果在云環(huán)境下采用基于主機(jī)的漏洞掃描，需要在每臺(tái)虛擬機(jī)上安全漏洞掃描軟件，將會(huì)造成資源浪費(fèi)，而且當(dāng)同時(shí)掃描虛擬機(jī)時(shí)將使物理主機(jī)的資源占用率瞬時(shí)增加，將會(huì)降低虛擬機(jī)性能；如果在云環(huán)境下采用基于網(wǎng)絡(luò)的漏洞掃描，當(dāng)需要掃描的目標(biāo)主機(jī)過(guò)于多時(shí)，將會(huì)造成服務(wù)器端的性能瓶頸。近年來(lái)，國(guó)內(nèi)外研究人員對(duì)于云環(huán)境下的漏洞掃描也取得了一定的成果。Mika[3]在其學(xué)位論文中對(duì)于云安全漏洞掃描問(wèn)題做了系統(tǒng)全面的梳理研究。Wei等人[4]針對(duì)網(wǎng)絡(luò)在漏洞掃描時(shí)TCP連接多、開(kāi)銷大、外部網(wǎng)絡(luò)不能掃描內(nèi)部目標(biāo)主機(jī)漏洞等問(wèn)題，給出了一種基于云平臺(tái)的虛擬機(jī)鏡像安全管理方案。Wang等人[5]給出了一種結(jié)合TURN擴(kuò)展協(xié)議和Socks5協(xié)議的CoundProxy代理掃描方案，以減少服務(wù)器端因漏洞掃描所帶來(lái)的通信負(fù)載。文獻(xiàn)[6]針對(duì)IaaS平臺(tái)多目標(biāo)虛擬機(jī)的漏洞掃描問(wèn)題，給出了一種基于多代理的分布式漏洞掃描方案，有效降低了多目標(biāo)虛擬機(jī)的漏洞掃描耗時(shí)。文中所給的基于分布式虛擬節(jié)點(diǎn)管理的云安全漏洞掃描系統(tǒng)(cloud security vulnerability scanning system based on Distributed Virtual Nodes Management, DVNM)能夠很好地適用于云計(jì)算網(wǎng)絡(luò)環(huán)境下。為了滿足在云環(huán)境下的分布式漏洞掃描需求，所給方案通過(guò)實(shí)現(xiàn)對(duì)多掃描節(jié)點(diǎn)的全面管理，同時(shí)完成掃描節(jié)點(diǎn)的虛擬化部署方案，從而能夠按照漏洞掃描任務(wù)的需要，動(dòng)態(tài)調(diào)度分配掃描節(jié)點(diǎn)，可以實(shí)現(xiàn)任務(wù)的高效率執(zhí)行，對(duì)于云安全漏洞掃描技術(shù)的發(fā)展具有一定的理論研究意義和實(shí)際應(yīng)用價(jià)值。

1 云安全漏洞掃描系統(tǒng)架構(gòu)

目前，一般的漏洞掃描系統(tǒng)大多都只是一個(gè)可執(zhí)行漏洞掃描功能的整體，有些雖然也有一定的模塊劃分，但其模塊的耦合度較高，提供的功能也相對(duì)單一，這類掃描系統(tǒng)一般一次只能掃描一個(gè)漏洞，但不支持針對(duì)大規(guī)模目標(biāo)、多種安全漏洞的掃描[7]。而有些能夠滿足大數(shù)據(jù)量訪問(wèn)需求的漏洞掃描產(chǎn)品(比如OpenVAS等)，其管理平臺(tái)和掃描節(jié)點(diǎn)是一對(duì)一的關(guān)系，當(dāng)大數(shù)據(jù)量任務(wù)請(qǐng)求到達(dá)時(shí)，會(huì)使掃描節(jié)點(diǎn)不堪重負(fù)，將嚴(yán)重降低系統(tǒng)性能和執(zhí)行時(shí)間，而且占用的系統(tǒng)資源過(guò)多。為適應(yīng)大規(guī)模掃描任務(wù)和多種安全漏洞掃描的請(qǐng)求，本文所依托的分布式云安全漏掃系統(tǒng)充分利用云計(jì)算環(huán)境的虛擬資源，可以支持多個(gè)漏洞掃描節(jié)點(diǎn)的分布式管理，統(tǒng)一接受一個(gè)漏洞掃描管理平臺(tái)的集中管理，并提供漏洞掃描插件庫(kù)以支持多種漏洞的掃描。因此該系統(tǒng)主要分為掃描管理平臺(tái)，多個(gè)掃描節(jié)點(diǎn)以及漏洞掃描插件庫(kù)，其系統(tǒng)架構(gòu)圖如圖1所示。

圖1 云安全漏洞掃描系統(tǒng)模塊架構(gòu)圖

其中，漏洞掃描管理平臺(tái)模塊主要是負(fù)責(zé)接收和處理用戶的請(qǐng)求并對(duì)掃描節(jié)點(diǎn)組件模塊進(jìn)行統(tǒng)一管理。該模塊主要包括任務(wù)管理子模塊、掃描器管理子模塊、漏洞庫(kù)管理子模塊、賬戶管理子模塊和數(shù)據(jù)存儲(chǔ)子模塊五個(gè)子模塊。任務(wù)管理子模塊主要用于完成與掃描任務(wù)相關(guān)的管理功能，接受用戶或上層管理平臺(tái)的用戶請(qǐng)求并可向掃描節(jié)點(diǎn)組件模塊發(fā)送任務(wù)管理請(qǐng)求。漏洞庫(kù)管理子模塊主要用于完成對(duì)漏洞掃描插件庫(kù)模塊的管理。掃描器管理子模塊主要用于完成掃描器管理功能。賬戶管理子模塊主要用于完成對(duì)用戶的管理，區(qū)別普通用戶和管理員，進(jìn)行角色認(rèn)證和鑒別等。數(shù)據(jù)存儲(chǔ)子模塊主要用于完成對(duì)在線安全檢測(cè)子系統(tǒng)的數(shù)據(jù)存儲(chǔ)和管理。漏洞掃描節(jié)點(diǎn)組件模塊主要是完成具體掃描任務(wù)，提供掃描執(zhí)行功能，為漏洞掃描管理平臺(tái)模塊提供接口調(diào)用，并接受漏洞掃描管理平臺(tái)模塊的管理。接口子模塊主要是提供掃描節(jié)點(diǎn)組件模塊與掃描管理平臺(tái)以及漏洞掃描插件庫(kù)之間的接口。掃描執(zhí)行子模塊執(zhí)行具體的掃描任務(wù)，主要包括掃描插件的執(zhí)行、掃描插件的調(diào)度、掃描結(jié)果記錄的存儲(chǔ)管理。漏洞掃描插件庫(kù)主要包含具體執(zhí)行掃描任務(wù)的所有漏洞掃描插件，并且能夠針對(duì)其對(duì)應(yīng)的安全漏洞內(nèi)容進(jìn)行掃描，然后給出相應(yīng)的執(zhí)行結(jié)果。所給DVNM方案的分布式虛擬節(jié)點(diǎn)管理就是位于掃描管理平臺(tái)的掃描器管理子模塊，來(lái)實(shí)現(xiàn)對(duì)多個(gè)掃描節(jié)點(diǎn)的管理。云安全漏洞掃描系統(tǒng)的業(yè)務(wù)流程示意圖如圖2所示。

圖2 云安全漏洞掃描系統(tǒng)業(yè)務(wù)流程示意圖

2 虛擬掃描節(jié)點(diǎn)生命周期

為了實(shí)現(xiàn)對(duì)掃描節(jié)點(diǎn)的管理，首先需要分析掃描節(jié)點(diǎn)的生命周期。分析虛擬掃描節(jié)點(diǎn)的生命周期，能夠有助于明確虛擬掃描節(jié)點(diǎn)在各個(gè)階段的形態(tài)，從而進(jìn)行合理有效的管理[8]。通過(guò)對(duì)虛擬掃描節(jié)點(diǎn)從創(chuàng)建到回收的各個(gè)階段進(jìn)行分析，可知一個(gè)虛擬掃描節(jié)點(diǎn)在漏洞掃描系統(tǒng)中基本需要經(jīng)歷創(chuàng)建、部署、分配、執(zhí)行掃描和回收五個(gè)階段，在此期間還需要對(duì)虛擬掃描節(jié)點(diǎn)進(jìn)行資源、效率和是否活躍等方面進(jìn)行全面監(jiān)控。虛擬掃描節(jié)點(diǎn)的工作流由一系列虛擬掃描節(jié)點(diǎn)的生命周期組成的，具有時(shí)間疊加和空間疊加的特性，也即是說(shuō)多個(gè)虛擬掃描節(jié)點(diǎn)可擁有以共同的生命周期時(shí)間段，多個(gè)虛擬掃描節(jié)點(diǎn)可以部署在同一臺(tái)物理機(jī)上。有效地管理和維護(hù)虛擬掃描節(jié)點(diǎn)工作流，使其可以高效、無(wú)中斷地運(yùn)行，能夠在達(dá)到降低系統(tǒng)資源消耗的同時(shí)，實(shí)現(xiàn)漏洞掃描服務(wù)吞吐率的最大化。虛擬掃描節(jié)點(diǎn)生命周期示意圖如圖3所示。

圖3 虛擬掃描節(jié)點(diǎn)生命周期示意圖

(1)創(chuàng)建階段：主要是根據(jù)用戶需求創(chuàng)建相應(yīng)的虛擬掃描節(jié)點(diǎn)，其中虛擬掃描節(jié)點(diǎn)的信息包括節(jié)點(diǎn)名稱、身份標(biāo)識(shí)、網(wǎng)絡(luò)地址、端口地址、服務(wù)地址和節(jié)點(diǎn)狀態(tài)等。

(2)部署階段：主要是根據(jù)任務(wù)利用統(tǒng)一的掃描器鏡像模板，通過(guò)一鍵式部署腳本來(lái)創(chuàng)建和部署虛擬掃描節(jié)點(diǎn)的掃描引擎。同時(shí)，將虛擬掃描節(jié)點(diǎn)部署到相應(yīng)的目標(biāo)網(wǎng)絡(luò)中，并存儲(chǔ)虛擬掃描節(jié)點(diǎn)的相關(guān)信息。

(3)分配階段：主要是根據(jù)虛擬節(jié)點(diǎn)監(jiān)控子模塊傳回的掃描器狀態(tài)信息以及任務(wù)調(diào)度算法，將任務(wù)分配給合適的虛擬掃描節(jié)點(diǎn)，同時(shí)需要維護(hù)掃描節(jié)點(diǎn)管理隊(duì)列。另外，可根據(jù)任務(wù)調(diào)度方案對(duì)正在進(jìn)行的任務(wù)執(zhí)行暫停、恢復(fù)或停止等操作。

(4)執(zhí)行階段：主要是根據(jù)已分配的任務(wù)對(duì)目標(biāo)主機(jī)進(jìn)行漏洞掃描。同時(shí)，在虛擬掃描節(jié)點(diǎn)異常連接時(shí)，可根據(jù)任務(wù)遷移方案將未完成的任務(wù)遷移到其它虛擬掃描節(jié)點(diǎn)，由新的虛擬掃描節(jié)點(diǎn)對(duì)任務(wù)目標(biāo)主機(jī)繼續(xù)執(zhí)行漏洞掃描任務(wù)。

(5)回收階段：當(dāng)遇到虛擬掃描節(jié)點(diǎn)異常連接、執(zhí)行掃描任務(wù)的過(guò)程中發(fā)生故障、系統(tǒng)管理員需要停用部分虛擬掃描節(jié)點(diǎn)等異常情況時(shí)，通過(guò)對(duì)虛擬節(jié)點(diǎn)進(jìn)行有效回收來(lái)釋放這些掃描節(jié)點(diǎn)所占用的系統(tǒng)資源，主要回收該虛擬掃描節(jié)點(diǎn)的IP和端口等信息。

(6)狀態(tài)監(jiān)控：主要是對(duì)虛擬掃描節(jié)點(diǎn)的運(yùn)行狀態(tài)信息進(jìn)行監(jiān)控，當(dāng)虛擬掃描節(jié)點(diǎn)異常連接時(shí)能夠及時(shí)進(jìn)行回收和任務(wù)遷移，以保證虛擬掃描節(jié)點(diǎn)保持正常運(yùn)行狀態(tài)。

3 虛擬化部署方案

虛擬化的主要目的是在于集中管理任務(wù)，從而可以簡(jiǎn)化運(yùn)維流程以及降低成本，同時(shí)也能夠改善計(jì)算資源有效利用率和可用性。簡(jiǎn)單的來(lái)說(shuō)，虛擬化就是改善在傳統(tǒng)一臺(tái)物理服務(wù)器上運(yùn)行一個(gè)應(yīng)用程序的模式，讓物理服務(wù)器硬件及網(wǎng)絡(luò)資源能夠被充分的配置利用，使得一臺(tái)物理服務(wù)器上能夠運(yùn)行多個(gè)互相獨(dú)立的虛擬機(jī)，并執(zhí)行多個(gè)應(yīng)用服務(wù)程序，從而實(shí)現(xiàn)以較少的硬件資源完成更多更有效率的服務(wù)，達(dá)到節(jié)省總擁有成本并增加投資回報(bào)的目的。對(duì)于云安全漏洞掃描系統(tǒng)來(lái)說(shuō)，采取虛擬化部署的方法可以有效適應(yīng)云計(jì)算環(huán)境特點(diǎn)以及提供高效快速的漏洞掃描服務(wù)[9]。例如，通過(guò)采用虛擬化技術(shù)，軟件能夠在共享的硬件上運(yùn)行實(shí)現(xiàn)了云計(jì)算中資源池化的特征，也可以有效共享執(zhí)行漏洞掃描任務(wù)所需的CPU、內(nèi)存等各類資源，因而可以屏蔽不同機(jī)器底層的硬件差異，使得用戶能夠?qū)Ｗ⒂趹?yīng)用。所給DVNM方案的虛擬化部署方案如圖4所示，虛擬掃描節(jié)點(diǎn)通過(guò)虛擬交換機(jī)與管理平臺(tái)相連，可通過(guò)接口統(tǒng)一接受外部第三方系統(tǒng)或者上層管理員的管理，這種方式可以方便地對(duì)虛擬掃描節(jié)點(diǎn)進(jìn)行部署、管理和回收，同時(shí)有效地進(jìn)行掃描任務(wù)的監(jiān)控和遷移。

4 虛擬掃描節(jié)點(diǎn)管理方案設(shè)計(jì)

在分析虛擬掃描節(jié)點(diǎn)的生命周期并建立了虛擬化部署方案后，可以針對(duì)虛擬節(jié)點(diǎn)生命周期中的不同階段對(duì)其進(jìn)行管理。虛擬掃描節(jié)點(diǎn)管理模塊的結(jié)構(gòu)如圖5所示。

圖5 虛擬掃描節(jié)點(diǎn)管理模塊結(jié)構(gòu)圖

4.1 虛擬掃描節(jié)點(diǎn)部署子模塊

對(duì)于在云環(huán)境條件下漏洞掃描服務(wù)的使用者來(lái)說(shuō)，僅僅關(guān)心的是漏洞掃描服務(wù)有沒(méi)有正確部署，當(dāng)缺少足夠的掃描節(jié)點(diǎn)時(shí)能否可以方便地獲取足夠正常工作的掃描節(jié)點(diǎn)，而對(duì)于其中鏡像管理、虛擬掃描節(jié)點(diǎn)的創(chuàng)建、虛擬網(wǎng)絡(luò)協(xié)議配置等等都是不需要關(guān)心的，即這些功能對(duì)用戶可以是透明的。虛擬掃描節(jié)點(diǎn)部署子模塊利用統(tǒng)一的掃描器鏡像模板，通過(guò)一鍵式部署腳本來(lái)實(shí)現(xiàn)掃描引擎的創(chuàng)建和部署。創(chuàng)建和部署后的虛擬掃描節(jié)點(diǎn)在數(shù)據(jù)庫(kù)中存儲(chǔ)的信息如表1所示。

表1 數(shù)據(jù)庫(kù)中存儲(chǔ)的虛擬掃描節(jié)點(diǎn)信息

4.2 虛擬掃描節(jié)點(diǎn)分配子模塊

為了可以充分利用分布式系統(tǒng)的巨大處理能力，虛擬掃描節(jié)點(diǎn)分配子模塊在分布式云安全漏洞掃系統(tǒng)任務(wù)調(diào)度算法的基礎(chǔ)上，同時(shí)為實(shí)現(xiàn)該漏洞掃描系統(tǒng)中各掃描節(jié)點(diǎn)的負(fù)載均衡提供支持。該模塊通過(guò)維護(hù)一個(gè)掃描節(jié)點(diǎn)管理隊(duì)列，然后根據(jù)虛擬節(jié)點(diǎn)監(jiān)控子模塊傳回的掃描器狀態(tài)信息以及任務(wù)調(diào)度算法的輸出，將任務(wù)分配給合適的虛擬掃描節(jié)點(diǎn)，同時(shí)還可以將正在進(jìn)行的任務(wù)暫停、恢復(fù)或停止。該模塊與虛擬掃描節(jié)點(diǎn)之間的接口如表2所示。

表2 虛擬掃描節(jié)點(diǎn)與分配子模塊之間的接口信息說(shuō)明

4.3 虛擬掃描節(jié)點(diǎn)監(jiān)控子模塊

在云安全漏洞掃描系統(tǒng)運(yùn)行過(guò)程中，通常需要對(duì)各虛擬掃描節(jié)點(diǎn)的運(yùn)行狀態(tài)信息進(jìn)行監(jiān)控，從而保證系統(tǒng)中各掃描節(jié)點(diǎn)保持正常的運(yùn)行，以便在虛擬掃描節(jié)點(diǎn)異常連接時(shí)進(jìn)行回收和任務(wù)遷移。在每個(gè)虛擬掃描節(jié)點(diǎn)中，均有監(jiān)控子模塊所設(shè)置的監(jiān)控代理，即由監(jiān)控代理主動(dòng)向虛擬掃描節(jié)點(diǎn)監(jiān)控子模塊報(bào)告掃描器狀態(tài)和掃描節(jié)點(diǎn)的各項(xiàng)物理指標(biāo)。監(jiān)控子模塊為每一個(gè)掃描器創(chuàng)建連接進(jìn)程，通過(guò)監(jiān)控代理匯報(bào)的指標(biāo)修改掃描節(jié)點(diǎn)狀態(tài)信息，作為輸入給任務(wù)調(diào)度策略。若一段時(shí)間內(nèi)未收到監(jiān)控代理的信息，則將該掃描節(jié)點(diǎn)狀態(tài)修改為失聯(lián)。

4.4 虛擬掃描節(jié)點(diǎn)回收子模塊

在云安全漏洞掃描系統(tǒng)運(yùn)行過(guò)程中，可能會(huì)遇到虛擬掃描節(jié)點(diǎn)異常連接或在執(zhí)行掃描任務(wù)的過(guò)程中發(fā)生故障，又或者系統(tǒng)管理員需要停用部分虛擬掃描節(jié)點(diǎn)，這時(shí)應(yīng)對(duì)虛擬節(jié)點(diǎn)進(jìn)行有效回收，從而釋放這些掃描節(jié)點(diǎn)所占用的系統(tǒng)資源?；厥兆幽K主要回收該虛擬掃描節(jié)點(diǎn)的IP和端口等信息，并在操作界面上顯示故障或異常連接時(shí)掃描節(jié)點(diǎn)的具體信息描述(比如所在的物理機(jī)地址)，以便系統(tǒng)管理員能夠及時(shí)回收。

5 實(shí)驗(yàn)與性能分析

所給DVNM漏洞掃描方案的優(yōu)點(diǎn)主要包括：(1)所給DVNM方案可以掃描不同種類的漏洞，只要部署相應(yīng)的漏洞掃描引擎即可執(zhí)行相應(yīng)的漏洞掃描，而基于檢測(cè)代理的掃描方案在沒(méi)有部署相應(yīng)檢測(cè)代理的情況下無(wú)法實(shí)施漏洞掃描，(2)所給DVNM方案可以根據(jù)不同的漏洞掃描需求創(chuàng)建相應(yīng)數(shù)量的虛擬掃描節(jié)點(diǎn)，可以檢測(cè)數(shù)量眾多的漏洞類型，而基于任務(wù)驅(qū)動(dòng)的漏洞掃描系統(tǒng)[10]需要根據(jù)任務(wù)來(lái)啟動(dòng)檢測(cè)代理的數(shù)量，當(dāng)掃描任務(wù)較多時(shí)，檢測(cè)代理可能無(wú)法滿足且無(wú)法及時(shí)部署相應(yīng)的檢測(cè)代理，這就限制了掃描任務(wù)的數(shù)量；(3)所給DVNM方案可以根據(jù)需要?jiǎng)?chuàng)建虛擬節(jié)點(diǎn)數(shù)目，且當(dāng)任務(wù)完成時(shí)可以回收虛擬掃描節(jié)點(diǎn)，避免資源一直被空置，而基于監(jiān)視代理的掃描方案[11]在掃描任務(wù)完成時(shí)，監(jiān)視代理的部分資源將會(huì)被空置，造成資源浪費(fèi)；(4)所給DVNM方案中當(dāng)虛擬掃描節(jié)點(diǎn)出現(xiàn)異常時(shí)，可將掃描任務(wù)遷移至其它虛擬掃描節(jié)點(diǎn)，而基于代理的掃描方案在檢測(cè)代理出現(xiàn)異常時(shí)，將需要采用新的檢測(cè)代理來(lái)重新進(jìn)行漏洞任務(wù)掃描，將會(huì)造成資源重復(fù)浪費(fèi)。

下面通過(guò)利用OpenStack云計(jì)算平臺(tái)仿真實(shí)驗(yàn)環(huán)境，對(duì)所給的DVNM漏洞掃描方案進(jìn)行仿真測(cè)試。其中，OpenStack是以單節(jié)點(diǎn)的形式安裝該平臺(tái)最基本的nova，keystone，glance和horizon功能模塊，采用64位2.0GHz的DELL PowerEdge 2950服務(wù)器，8Gb內(nèi)存，292Gb硬盤存儲(chǔ)空間，千兆以太網(wǎng)，運(yùn)行Ubuntu 12.04.2 Desktop i386版本的操作系統(tǒng)，目標(biāo)主機(jī)的操作系統(tǒng)為當(dāng)前普遍使用的Windows XP SP3版本。主要分別從CPU使用率、內(nèi)存占用率以及掃描檢測(cè)時(shí)間三個(gè)方面來(lái)測(cè)試所給DVNM方案的性能。下面圖6給出了所給DVNM漏洞掃描方案的CPU使用率?？梢钥闯觯?dāng)掃描任務(wù)完成時(shí)，通過(guò)對(duì)虛擬掃描節(jié)點(diǎn)的回收可以降低CPU的使用率；而當(dāng)掃描任務(wù)數(shù)量較多時(shí)，需要根據(jù)用戶需求建立多個(gè)虛擬掃描節(jié)點(diǎn)，使得CPU使用率大幅增加；而當(dāng)掃描任務(wù)數(shù)量保持不變時(shí)，CPU的使用率也基本保持不變。但所給DVNM方案的CPU使用率能夠基本平均保持在0.3左右，具有較好地CPU使用性能。

圖6 DVNM漏洞掃描方案的CPU使用率

下面圖7給出了所給DVNM漏洞掃描方案的內(nèi)存占用率?？梢钥闯觯?wù)器在各個(gè)時(shí)段的內(nèi)存占用率基本保持穩(wěn)定。當(dāng)掃描任務(wù)類型或者數(shù)量較少時(shí)，所需創(chuàng)建的虛擬掃描節(jié)點(diǎn)數(shù)目或所需存儲(chǔ)的數(shù)據(jù)信息也將較少，使得內(nèi)存占用率較低，比如在1.8min左右的時(shí)刻，盡管此時(shí)CPU的使用率較高，然而由于掃描任務(wù)類型較少且數(shù)量也不多，雖然創(chuàng)建了多個(gè)虛擬掃描節(jié)點(diǎn)，但數(shù)量有限使得需要存儲(chǔ)的信息有限，所以內(nèi)存占用較少；而當(dāng)掃描任務(wù)類型且數(shù)量較多時(shí)，所需創(chuàng)建的掃描節(jié)點(diǎn)數(shù)目以及所需存儲(chǔ)的數(shù)據(jù)信息將較多，將使得內(nèi)存占用率大幅增加，比如在5.8min左右的時(shí)刻，因掃描任務(wù)類型和數(shù)量都較多，需要?jiǎng)?chuàng)建具有不同掃描引擎的多個(gè)虛擬掃描節(jié)點(diǎn)，使得內(nèi)存占用率大幅增加。但所給DVNM方案的內(nèi)存占用率能基本保持在不高于57%，具有較好的性能。

圖7 DVNM漏洞掃描方案的內(nèi)存占用率

下面圖8給出了所給DVNM漏洞掃描方案與文獻(xiàn)[10]和[11]掃描方案的掃描耗時(shí)比較?？梢钥闯?，所給DVNM方案在同等數(shù)量的掃描任務(wù)下具有較短的掃描耗時(shí)，且隨著漏洞掃描任務(wù)數(shù)量的增加，掃描耗時(shí)增加幅度不大。一方面，這是由于所給DVNM方案可以根據(jù)掃描任務(wù)直接創(chuàng)建相應(yīng)的虛擬掃描節(jié)點(diǎn)，隨后即可實(shí)施掃描任務(wù)，而文獻(xiàn)[10]需要根據(jù)掃描任務(wù)類型首先匹配對(duì)應(yīng)的檢測(cè)代理后才能實(shí)施掃描，增加了匹配時(shí)間，文獻(xiàn)[11]需要根據(jù)掃描任務(wù)的數(shù)量來(lái)啟動(dòng)相應(yīng)數(shù)目的檢測(cè)代理，增加了啟動(dòng)時(shí)間；另一方面，則是因?yàn)樗oDVNM方案可以通過(guò)掃描任務(wù)遷移，創(chuàng)建多個(gè)虛擬掃描節(jié)點(diǎn)對(duì)同一掃描任務(wù)實(shí)施掃描，可以大大降低掃描耗時(shí)。另外，當(dāng)掃描節(jié)點(diǎn)出現(xiàn)異常情況時(shí)，所給DVNM方案也可通過(guò)掃描任務(wù)遷移，將所執(zhí)行的掃描任務(wù)遷移到新的虛擬掃描節(jié)點(diǎn)上繼續(xù)掃描，而其它兩種方案則是需要在新的檢測(cè)代理中重新進(jìn)行掃描，將會(huì)大幅增加掃描耗時(shí)。因此，所給DVNM漏洞掃描方案可以很好地應(yīng)用在云環(huán)境中，且具有較好的性能。

圖8 DVNM漏洞掃描方案的掃描耗時(shí)

6 結(jié) 語(yǔ)

傳統(tǒng)的漏洞掃描系統(tǒng)不能夠很好地適應(yīng)云計(jì)算環(huán)境、不能執(zhí)行大數(shù)據(jù)量掃描任務(wù)或不能支持多種漏洞掃描任務(wù)的問(wèn)題，而設(shè)計(jì)的分布式云安全漏洞掃描系統(tǒng)還尚缺少合理的虛擬掃描節(jié)點(diǎn)管理方案，缺少為實(shí)現(xiàn)掃描任務(wù)分布式執(zhí)行和管理的技術(shù)支持，不能快速有效地創(chuàng)建部署能夠提供漏洞掃描功能的掃描節(jié)點(diǎn)，不能實(shí)現(xiàn)虛擬掃描節(jié)點(diǎn)的全方面監(jiān)控。因此，研究云安全漏洞掃描系統(tǒng)虛擬節(jié)點(diǎn)管理十分重要。所給的DVNM方案首先分析一個(gè)普通掃描節(jié)點(diǎn)從創(chuàng)建到回收的生命周期和基于此生命周期的掃描節(jié)點(diǎn)工作流，然后給出適用于分布式云安全漏洞掃描系統(tǒng)的虛擬化部署方案，最后著重設(shè)計(jì)了虛擬掃描節(jié)點(diǎn)在其生命周期各個(gè)時(shí)間段的管理策略，可根據(jù)物理資源創(chuàng)建合適的虛擬掃描節(jié)點(diǎn)，且能夠快速部署漏洞掃描功能，同時(shí)接受管理平臺(tái)的即時(shí)監(jiān)控，以便根據(jù)不同的任務(wù)調(diào)度策略合理分配掃描任務(wù)以及快速檢測(cè)異常掃描節(jié)點(diǎn)，從而實(shí)現(xiàn)掃描任務(wù)的合理遷移和掃描節(jié)點(diǎn)的回收。

[1] 馮登國(guó)，張敏，張妍，等.云計(jì)算安全研究[J].軟件學(xué)報(bào)，2011，22(1)：71-83.

[2] 彭武，韋濤，王冬海.基于關(guān)聯(lián)分析的關(guān)鍵信息系統(tǒng)生存能力評(píng)估方法[J].中國(guó)電子科學(xué)研究院學(xué)報(bào)，2014，9(6)：598-602.

[3] Mika D A.Cloud Vulnerability Assessment [M].Massachusetts (USA):Worcester Polytechnic Institute，2012.

[4] Wei J P，Zhang X L，Ammons G.Managing Security of Virtual Machine Images in a Cloud Environment [C]//CCSW’09 Proceedings of the 2009 ACM Workshop on Cloud Computing Security.New York (USA):ACM，2009：91-96.

[5] Wang Y L，Shen J K.CloudProxy:a NAPT Proxy for Vulnerability Scanners based on Cloud Computing [J].Journal of Networks，2013，8(3)：607-615.

[6] 張海輝，張勇，歐爭(zhēng)光.基于任務(wù)驅(qū)動(dòng)的云計(jì)算平臺(tái)漏洞掃描系統(tǒng)[J].深圳大學(xué)學(xué)報(bào)理工版，2014，31(1)：71-76.

[7] Fan P，Chen Z B，Wang J，et al.Online Optimization of VM Deployment in IaaS Cloud [C]//IEEE Parallel and Distributed Systems (ICPADS)，2012 IEEE 18th International Conference on，Singapore:Creation，2012：760-765.

[8] Schwarzkopf R，Schmidt M，Strack C，et al.Increasing Virtual Machine Security in Cloud Environments [J].Journal of Cloud Computing：Advances，Systems and Application，2012，1(1)：1-12.

[9] Jog M，Madajagan M.Cloud Computing:Exploring Security Design Approaches in Infrastructure as a Service[C]//IEEE Cloud Computing Technologies，Applications and Management (ICCCTAM)，2012 International Conference on，Dubai：Dubai，2012：156-159.

[10]劉正，張國(guó)印.基于云計(jì)算的Web漏洞檢測(cè)分析系統(tǒng)[J].哈爾濱工程大學(xué)學(xué)報(bào)，2013，34(10)：1274-1279.

[11]姜俊方，陳興署，陳林.基于監(jiān)視代理的IaaS平臺(tái)漏洞掃描框架[J]．四川大學(xué)學(xué)報(bào)(工程科學(xué)版)，2014，46(Supp2)：116-121.

廖金菊(1980—)，女，河南人，講師，主要研究方向?yàn)橛?jì)算機(jī)應(yīng)用；

E-mail：wzymgsm@163.com

馮光輝(1982—)，男，河南人，副教授，主要研究方向?yàn)橛?jì)算機(jī)應(yīng)用。

Cloud Security Vulnerability Scanning System Based on Distributed Virtual Nodes Management

LIAO Jin-ju, FENG Guang-hui

(School of Information Engineering, Zhengzhou University of Industrial Technology, Zhengzhou 451150, China)

Security vulnerabilities are very important parts of cloud security issues.However, the systems for network vulnerability scanning are currently not well suited for cloud computing network.In order to meet the needs of distributed vulnerability scanning in a cloud environment, it is necessary to achieve the overall management of the multi-scanning nodes.So a research scheme for the cloud security vulnerability scanning system based on distributed virtual nodes management was proposed.The method analyzes the life cycle of the scanning nodes and the work flow based on it.It focuses on the design of virtual nodes management strategies at each stage of its life cycle and accepts the real-time monitoring from management platform.Thus, the proposed scheme could provide rational allocation of scanning tasks and quick detection of abnormal scanning nodes depending on different task scheduling strategies, and also could realize the rational move of scanning tasks and the retrieve of scanning nodes.

cloud security；vulnerability scanning；virtual nodes management；distributed

2016-04-18

2016-09-01

河南省科技廳發(fā)展計(jì)劃(142102110088)

：A

1673-5692(2016)05-483-07