云計(jì)算在Web漏洞檢測中的應(yīng)用

何鎵

摘 要：隨著經(jīng)濟(jì)和科技的發(fā)展，計(jì)算機(jī)越來越深入到生產(chǎn)生活的各個方面，計(jì)算量也與日俱增，傳統(tǒng)的單機(jī)運(yùn)算模式已經(jīng)不能滿足現(xiàn)今越來越多的計(jì)算需求，通過采用云計(jì)算的方式可以很好地解決這一需求，云計(jì)算通過改變原來單一的計(jì)算機(jī)計(jì)算模式，通過網(wǎng)絡(luò)將單一計(jì)算機(jī)富余的計(jì)算量進(jìn)行利用，通過將需要計(jì)算的計(jì)算量分布式的分布到單一計(jì)算機(jī)中，這樣每臺計(jì)算機(jī)只需要計(jì)算一定數(shù)量的數(shù)據(jù)，大大提高了計(jì)算速度，隨著計(jì)算速度的提升，能夠更好地利用云計(jì)算技術(shù)來對Web漏洞進(jìn)行檢測，文章主要針對基于云計(jì)算的Web漏洞檢測系統(tǒng)進(jìn)行介紹。

關(guān)鍵詞：云計(jì)算；Web漏洞；檢測系統(tǒng)

前言

現(xiàn)今，隨著科學(xué)技術(shù)的發(fā)展，云計(jì)算的使用突破了原先單機(jī)無法完成的計(jì)算，使用云計(jì)算能夠進(jìn)行大量的計(jì)算，而今，通過使用云計(jì)算來對Web中的漏洞進(jìn)行檢測，可以更好地解決原先由于單機(jī)而帶來的計(jì)算量的不足，通過云計(jì)算可以在云平臺擁有充足的計(jì)算力實(shí)現(xiàn)各種全面的安全測試、即時(shí)的更新，云計(jì)算是通過使用網(wǎng)絡(luò)將分布式的計(jì)算力中富裕的計(jì)算力進(jìn)行集中，其計(jì)算能力要遠(yuǎn)大于單機(jī)，其具有無限的潛力，現(xiàn)今所使用的Web漏洞檢測工具在使用中發(fā)現(xiàn)其還無法達(dá)到預(yù)期的效果，而基于云計(jì)算開發(fā)的Web檢測工具能夠很好地解決以上問題，實(shí)現(xiàn)快速高效的完成對于Web的漏洞檢測。

1 云計(jì)算簡介

云計(jì)算是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交付模式，通常涉及通過互聯(lián)網(wǎng)來提供動態(tài)易擴(kuò)展且經(jīng)常是虛擬化的資源。云是網(wǎng)絡(luò)、互聯(lián)網(wǎng)的一種比喻說法。過去在圖中往往用云來表示電信網(wǎng)，后來也用來表示互聯(lián)網(wǎng)和底層基礎(chǔ)設(shè)施的抽象。因此，云計(jì)算甚至可以讓你體驗(yàn)每秒10萬億次的運(yùn)算能力，擁有這么強(qiáng)大的計(jì)算能力可以模擬核爆炸、預(yù)測氣候變化和市場發(fā)展趨勢。云計(jì)算是通過使計(jì)算分布在大量的分布式計(jì)算機(jī)上，而非本地計(jì)算機(jī)或遠(yuǎn)程服務(wù)器中，企業(yè)數(shù)據(jù)中心的運(yùn)行將與互聯(lián)網(wǎng)更相似。這使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上，根據(jù)需求訪問計(jì)算機(jī)和存儲系統(tǒng)，好比是從古老的單臺發(fā)電機(jī)模式轉(zhuǎn)向了電廠集中供電的模式。它意味著計(jì)算能力也可以作為一種商品進(jìn)行流通，就像煤氣、水電一樣，取用方便，費(fèi)用低廉。最大的不同在于，它是通過互聯(lián)網(wǎng)進(jìn)行傳輸?shù)摹?/p>

云計(jì)算的特點(diǎn)如下：云計(jì)算具有超大規(guī)模、虛擬化、可靠性高、可擴(kuò)展性高、計(jì)算效率高收費(fèi)低廉等特點(diǎn)，云計(jì)算的產(chǎn)生必然會對軟件的開發(fā)與軟件的測試造成一定的影響，例如。在云計(jì)算的環(huán)境下軟件的技術(shù)和架構(gòu)必須與云相適應(yīng)，且需要能夠與虛擬化為核心的云平臺有機(jī)結(jié)合，適應(yīng)運(yùn)算能力、存儲能力的動態(tài)變化；二是要能夠滿足大量用戶的使用，包括數(shù)據(jù)存儲結(jié)構(gòu)、處理能力；三是要互聯(lián)網(wǎng)化，基于互聯(lián)網(wǎng)提供軟件的應(yīng)用；四是安全性要求更高，可以抗攻擊，并能保護(hù)私有信息云計(jì)算環(huán)境下，軟件開發(fā)的環(huán)境、工作模式也將發(fā)生變化。雖然，傳統(tǒng)的軟件工程理論不會發(fā)生根本性的變革，但基于云平臺的開發(fā)工具、開發(fā)環(huán)境、開發(fā)平臺將為敏捷開發(fā)、項(xiàng)目組內(nèi)協(xié)同、異地開發(fā)等帶來便利。云計(jì)算平臺也稱為云平臺。云計(jì)算平臺可以劃分為三類：以數(shù)據(jù)存儲為主的存儲型云平臺，以數(shù)據(jù)處理為主的計(jì)算型云平臺以及計(jì)算和數(shù)據(jù)存儲處理兼顧的綜合云計(jì)算平臺。

2 Web漏洞簡介

WEB漏洞通常是指網(wǎng)站程序上的漏洞，可能是由于代碼編寫者在編寫代碼時(shí)考慮不周全等原因而造成的漏洞，常見的WEB漏洞有Sql注入、Xss漏洞、上傳漏洞等。如果網(wǎng)站存在WEB漏洞并被黑客攻擊者利用，攻擊者可以輕易控制整個網(wǎng)站，并可進(jìn)一步提權(quán)獲取網(wǎng)站服務(wù)器權(quán)限，控制整個服務(wù)器。

3 Web漏洞檢測分析系統(tǒng)

隨著云計(jì)算技術(shù)的發(fā)展，新型的Web漏洞檢測系統(tǒng)逐漸發(fā)展起來，此系統(tǒng)通過應(yīng)用分布式計(jì)算的方法，突破了原有單機(jī)計(jì)算力不足的缺陷，具有了快速高效的特點(diǎn)，并較原來的Web漏洞檢測系統(tǒng)在安全性和實(shí)時(shí)性等方面都有所突破，且新型Web漏洞檢測系統(tǒng)實(shí)現(xiàn)了多平臺操作，在系統(tǒng)應(yīng)用范圍等有著極大的提升。

3.1 Web漏洞檢測系統(tǒng)的設(shè)計(jì)特點(diǎn)

Web漏洞檢測系統(tǒng)通過服務(wù)器的協(xié)同掃描來代替了原來需要用戶單機(jī)進(jìn)行掃描的工作，用戶只需提交需求后，Web漏洞檢測系統(tǒng)通過系統(tǒng)的服務(wù)器對所需訪問的站點(diǎn)進(jìn)行掃描檢測，在節(jié)省上網(wǎng)流量的基礎(chǔ)上更好更快的完成了用戶的需求。

3.2 Web漏洞檢測系統(tǒng)的分布式架構(gòu)設(shè)計(jì)思路

為了實(shí)現(xiàn)快速、高效的Web漏洞檢測目的，原有的單機(jī)模式遠(yuǎn)遠(yuǎn)無法滿足計(jì)算要求，云計(jì)算中的分布式計(jì)算方式可以在不提高機(jī)器性能的基礎(chǔ)上提高掃描效率，具有很高的操作性，因此，Web漏洞檢測系統(tǒng)選用了分布式系統(tǒng)的設(shè)計(jì)架構(gòu)，其基本工作模式是用戶提交的需求被一臺分布式服務(wù)器所接受，服務(wù)器將接收到的請求交給幾臺工作主機(jī)，工作主機(jī)間通過互相通信確認(rèn)分工，從而完成對于目標(biāo)服務(wù)器的掃描工作，Web漏洞檢測系統(tǒng)在實(shí)現(xiàn)了原有分布式計(jì)算機(jī)CPU計(jì)算力共享的基礎(chǔ)上完成了對于網(wǎng)絡(luò)資源的共享，而且還有大量的處于不同網(wǎng)絡(luò)環(huán)境的主機(jī)。不但可以分解用戶主機(jī)的網(wǎng)絡(luò)負(fù)擔(dān)，而且還能通過合理的安排掃描任務(wù)來挑選網(wǎng)速快的主機(jī)，從而達(dá)到快速、高效的目的。

原有的計(jì)算機(jī)分布式解決方案雖然能夠?qū)崿F(xiàn)計(jì)算力提升的目的，但是其架構(gòu)本身存在著容易受到攻擊的缺陷，而通過采用云計(jì)算的方式則可以很好的規(guī)避這一潛在風(fēng)險(xiǎn)，通過在用戶和分布式服務(wù)器間添加一個前臺界面，將系統(tǒng)的工作分為前臺和后臺工作，從而更好的實(shí)現(xiàn)了系統(tǒng)速度的優(yōu)化，提供了系統(tǒng)的運(yùn)行速度。Web漏洞檢測系統(tǒng)前臺采用了B/S的模式，用戶只需要安裝一個瀏覽器而無需安裝其他的軟件即可實(shí)現(xiàn)使用本系統(tǒng)，而且還可以根據(jù)客戶的使用習(xí)慣進(jìn)行分類掃描，最大限度的提升掃描速度和減少成為拒絕服務(wù)攻擊系統(tǒng)的可能性。

4 系統(tǒng)架構(gòu)的設(shè)計(jì)

系統(tǒng)總構(gòu)建主要由前臺用戶端、后臺服務(wù)端和后臺工作端等組成，前臺用戶端是可視化操作，使用戶可以直觀的觀看到系統(tǒng)的掃描過程，保存用戶歷史掃描結(jié)果，驗(yàn)證用戶身份，而后臺則通過分布式操作，將其分為后臺服務(wù)和工作端，兩者結(jié)合完成掃描操作。其他通過模塊化設(shè)計(jì)實(shí)現(xiàn)其功能模塊。

5 Web漏洞檢測系統(tǒng)的性能測試

在Web漏洞檢測系統(tǒng)設(shè)計(jì)完成后需要通過測試以檢測其性能，其測試是通過對分布式算法在后臺的通訊結(jié)果輸出進(jìn)行測試，通過對軟件多次運(yùn)行后的結(jié)果進(jìn)行記錄分析，看其是否穩(wěn)定，同時(shí)通過與其他同類軟件輸出結(jié)果進(jìn)行對比，進(jìn)而可以評測出其是否高效和準(zhǔn)確。

分布式測試環(huán)境：通過在系統(tǒng)的前臺進(jìn)行操作，通過流暢性可以看出系統(tǒng)前臺和后臺通訊是否正常。通過對Web漏洞中經(jīng)常出現(xiàn)的網(wǎng)絡(luò)爬蟲、SQL注入漏洞、目錄猜測遍歷漏洞、開放端口等進(jìn)行測試，從測試結(jié)果中可以看出，相較于原先單機(jī)Web漏洞測試系統(tǒng)，基于云計(jì)算的Web漏洞測試系統(tǒng)能夠更好地完成掃描任務(wù)，能夠更方便、快捷、穩(wěn)定、高效地完成用戶的需求，同時(shí)在系統(tǒng)安全性方面，檢測出了很多以前未能檢測出的漏洞，保障了用戶的使用安全。

6 結(jié)束語

文章主要對基于云計(jì)算的Web漏洞測試系統(tǒng)進(jìn)行了介紹，通過對其設(shè)計(jì)理念以及軟件整體結(jié)構(gòu)，通過采用分布式的構(gòu)架設(shè)計(jì)，能夠使軟件在占用系統(tǒng)資源較少的情況下更好地完成用戶對于Web漏洞掃描的需求，但是此系統(tǒng)并不能完全確保系統(tǒng)的安全，在使用的過程中系統(tǒng)的安全性是一個維護(hù)網(wǎng)絡(luò)環(huán)境的重要方面。在今后的設(shè)計(jì)中，將會在此軟件的基礎(chǔ)上開發(fā)出基于云計(jì)算的軟件，屆時(shí)其軟件的掃描功能更強(qiáng)、效率更高、速度更快，能夠更好地為用戶服務(wù)。

參考文獻(xiàn)

[1]胡煒，鐘衛(wèi)連.淺談云計(jì)算的網(wǎng)絡(luò)安全問題[J].中國科技信息，2008，23.

[2]李磊，王金倫，王薇，等.電信運(yùn)營商發(fā)展云計(jì)算的安全問題剖析[J].信息安全與通信保密，2009，10.

[3]神州數(shù)碼Web統(tǒng)一安全檢測與監(jiān)控解決方案[Z].2010.endprint