基于虛擬節(jié)點管理的云安全漏洞掃描系統(tǒng)

廖金菊，馮光輝

(鄭州工業(yè)應(yīng)用技術(shù)學(xué)院 信息工程學(xué)院，河南 鄭州 451150)

綜 述 doi:10.3969/j.issn.1673-5692.2016.05.006

基于虛擬節(jié)點管理的云安全漏洞掃描系統(tǒng)

廖金菊，馮光輝

(鄭州工業(yè)應(yīng)用技術(shù)學(xué)院 信息工程學(xué)院，河南 鄭州 451150)

安全漏洞問題是眾多的云安全問題中非常重要的一部分。目前針對網(wǎng)絡(luò)安全漏洞掃描的軟件或者系統(tǒng)不能夠很好的適用于云計算網(wǎng)絡(luò)，而為了滿足在云環(huán)境下的分布式漏洞掃描需求，需要實現(xiàn)對多掃描節(jié)點的全面管理，所以給出了一種基于分布式虛擬節(jié)點管理的云安全漏洞掃描系統(tǒng)研究方案，通過分析掃描節(jié)點的生命周期和基于此生命周期的掃描節(jié)點工作流，著重設(shè)計了虛擬掃描節(jié)點在其生命周期各階段的管理策略，并接受管理平臺的即時監(jiān)控。該方案能夠根據(jù)不同的任務(wù)調(diào)度策略合理分配掃描任務(wù)以及快速檢測異常掃描節(jié)點，從而實現(xiàn)任務(wù)合理遷移和掃描節(jié)點的回收。

云安全；漏洞掃描；虛擬節(jié)點管理；分布式

0 引 言

當(dāng)前，隨著計算機網(wǎng)絡(luò)和通訊技術(shù)的快速發(fā)展以及網(wǎng)絡(luò)應(yīng)用的日益豐富，利用開放的網(wǎng)絡(luò)環(huán)境進行全球通信已成為時代發(fā)展的必然趨勢。然而，網(wǎng)絡(luò)在提供高效和便利的同時，也帶來了諸多安全隱患。據(jù)調(diào)查顯示，黑客攻擊系統(tǒng)的方式正在朝多樣化方面發(fā)展，病毒和木馬等黑客工具的差異區(qū)分逐漸在減少，利用系統(tǒng)漏洞進行攻擊的手段層出不窮[1-2]。其中，漏洞掃描技術(shù)就是防范漏洞攻擊手段的重要網(wǎng)絡(luò)安全技術(shù)，漏洞掃描技術(shù)可以根據(jù)已知的漏洞信息，通過端口探測等掃描手段對網(wǎng)絡(luò)中指定的計算機系統(tǒng)進行安全脆弱性檢測，以便使網(wǎng)絡(luò)管理員能夠及時發(fā)現(xiàn)系統(tǒng)中可以被利用的漏洞，通過對漏洞的風(fēng)險等級進行評估，從而提前制定防范措施。相對于防火墻這種安全防御措施來說，漏洞掃描可以算作是一種主動的防御，能夠有效地做到防范于未然。因此，加強漏洞掃描技術(shù)的研究對于網(wǎng)絡(luò)安全具有十分重要的意義。近年來，網(wǎng)絡(luò)技術(shù)的進一步發(fā)展和分布式計算、網(wǎng)格計算等技術(shù)的涌現(xiàn)，云計算這一概念應(yīng)運而生。云計算是一種面向互聯(lián)網(wǎng)海量數(shù)據(jù)，按需提供共享軟硬件資源的計算方式，是信息技術(shù)時代的又一次飛躍，云計算技術(shù)自產(chǎn)生以來逐漸成為網(wǎng)絡(luò)技術(shù)發(fā)展的熱點和趨勢。云時代的IT架構(gòu)改變了IT資源的存在形式和組織形式，但是由于數(shù)據(jù)的聚積，安全問題的影響也必然經(jīng)歷量變到質(zhì)變的過程。云計算技術(shù)的按需自服務(wù)、資源池化、快速彈性可擴展、廣泛的網(wǎng)絡(luò)接入、可測量性和多租戶架構(gòu)等特點直接影響到了云計算的安全以及相關(guān)的安全保護策略。當(dāng)然，在眾多的云安全問題中，安全漏洞問題是十分重要的一部分，云計算的上述幾個特點可能會使其暴露出更多的安全漏洞。

目前，針對網(wǎng)絡(luò)安全的傳統(tǒng)漏洞掃描軟件或系統(tǒng)并不能很好地適用于云計算網(wǎng)絡(luò)中，這是因為傳統(tǒng)的漏洞掃描主要是基于主機或網(wǎng)絡(luò)的漏洞掃描：如果在云環(huán)境下采用基于主機的漏洞掃描，需要在每臺虛擬機上安全漏洞掃描軟件，將會造成資源浪費，而且當(dāng)同時掃描虛擬機時將使物理主機的資源占用率瞬時增加，將會降低虛擬機性能；如果在云環(huán)境下采用基于網(wǎng)絡(luò)的漏洞掃描，當(dāng)需要掃描的目標(biāo)主機過于多時，將會造成服務(wù)器端的性能瓶頸。近年來，國內(nèi)外研究人員對于云環(huán)境下的漏洞掃描也取得了一定的成果。Mika[3]在其學(xué)位論文中對于云安全漏洞掃描問題做了系統(tǒng)全面的梳理研究。Wei等人[4]針對網(wǎng)絡(luò)在漏洞掃描時TCP連接多、開銷大、外部網(wǎng)絡(luò)不能掃描內(nèi)部目標(biāo)主機漏洞等問題，給出了一種基于云平臺的虛擬機鏡像安全管理方案。Wang等人[5]給出了一種結(jié)合TURN擴展協(xié)議和Socks5協(xié)議的CoundProxy代理掃描方案，以減少服務(wù)器端因漏洞掃描所帶來的通信負(fù)載。文獻[6]針對IaaS平臺多目標(biāo)虛擬機的漏洞掃描問題，給出了一種基于多代理的分布式漏洞掃描方案，有效降低了多目標(biāo)虛擬機的漏洞掃描耗時。文中所給的基于分布式虛擬節(jié)點管理的云安全漏洞掃描系統(tǒng)(cloud security vulnerability scanning system based on Distributed Virtual Nodes Management, DVNM)能夠很好地適用于云計算網(wǎng)絡(luò)環(huán)境下。為了滿足在云環(huán)境下的分布式漏洞掃描需求，所給方案通過實現(xiàn)對多掃描節(jié)點的全面管理，同時完成掃描節(jié)點的虛擬化部署方案，從而能夠按照漏洞掃描任務(wù)的需要，動態(tài)調(diào)度分配掃描節(jié)點，可以實現(xiàn)任務(wù)的高效率執(zhí)行，對于云安全漏洞掃描技術(shù)的發(fā)展具有一定的理論研究意義和實際應(yīng)用價值。

1 云安全漏洞掃描系統(tǒng)架構(gòu)

目前，一般的漏洞掃描系統(tǒng)大多都只是一個可執(zhí)行漏洞掃描功能的整體，有些雖然也有一定的模塊劃分，但其模塊的耦合度較高，提供的功能也相對單一，這類掃描系統(tǒng)一般一次只能掃描一個漏洞，但不支持針對大規(guī)模目標(biāo)、多種安全漏洞的掃描[7]。而有些能夠滿足大數(shù)據(jù)量訪問需求的漏洞掃描產(chǎn)品(比如OpenVAS等)，其管理平臺和掃描節(jié)點是一對一的關(guān)系，當(dāng)大數(shù)據(jù)量任務(wù)請求到達時，會使掃描節(jié)點不堪重負(fù)，將嚴(yán)重降低系統(tǒng)性能和執(zhí)行時間，而且占用的系統(tǒng)資源過多。為適應(yīng)大規(guī)模掃描任務(wù)和多種安全漏洞掃描的請求，本文所依托的分布式云安全漏掃系統(tǒng)充分利用云計算環(huán)境的虛擬資源，可以支持多個漏洞掃描節(jié)點的分布式管理，統(tǒng)一接受一個漏洞掃描管理平臺的集中管理，并提供漏洞掃描插件庫以支持多種漏洞的掃描。因此該系統(tǒng)主要分為掃描管理平臺，多個掃描節(jié)點以及漏洞掃描插件庫，其系統(tǒng)架構(gòu)圖如圖1所示。

圖1 云安全漏洞掃描系統(tǒng)模塊架構(gòu)圖

其中，漏洞掃描管理平臺模塊主要是負(fù)責(zé)接收和處理用戶的請求并對掃描節(jié)點組件模塊進行統(tǒng)一管理。該模塊主要包括任務(wù)管理子模塊、掃描器管理子模塊、漏洞庫管理子模塊、賬戶管理子模塊和數(shù)據(jù)存儲子模塊五個子模塊。任務(wù)管理子模塊主要用于完成與掃描任務(wù)相關(guān)的管理功能，接受用戶或上層管理平臺的用戶請求并可向掃描節(jié)點組件模塊發(fā)送任務(wù)管理請求。漏洞庫管理子模塊主要用于完成對漏洞掃描插件庫模塊的管理。掃描器管理子模塊主要用于完成掃描器管理功能。賬戶管理子模塊主要用于完成對用戶的管理，區(qū)別普通用戶和管理員，進行角色認(rèn)證和鑒別等。數(shù)據(jù)存儲子模塊主要用于完成對在線安全檢測子系統(tǒng)的數(shù)據(jù)存儲和管理。漏洞掃描節(jié)點組件模塊主要是完成具體掃描任務(wù)，提供掃描執(zhí)行功能，為漏洞掃描管理平臺模塊提供接口調(diào)用，并接受漏洞掃描管理平臺模塊的管理。接口子模塊主要是提供掃描節(jié)點組件模塊與掃描管理平臺以及漏洞掃描插件庫之間的接口。掃描執(zhí)行子模塊執(zhí)行具體的掃描任務(wù)，主要包括掃描插件的執(zhí)行、掃描插件的調(diào)度、掃描結(jié)果記錄的存儲管理。漏洞掃描插件庫主要包含具體執(zhí)行掃描任務(wù)的所有漏洞掃描插件，并且能夠針對其對應(yīng)的安全漏洞內(nèi)容進行掃描，然后給出相應(yīng)的執(zhí)行結(jié)果。所給DVNM方案的分布式虛擬節(jié)點管理就是位于掃描管理平臺的掃描器管理子模塊，來實現(xiàn)對多個掃描節(jié)點的管理。云安全漏洞掃描系統(tǒng)的業(yè)務(wù)流程示意圖如圖2所示。

圖2 云安全漏洞掃描系統(tǒng)業(yè)務(wù)流程示意圖

2 虛擬掃描節(jié)點生命周期

為了實現(xiàn)對掃描節(jié)點的管理，首先需要分析掃描節(jié)點的生命周期。分析虛擬掃描節(jié)點的生命周期，能夠有助于明確虛擬掃描節(jié)點在各個階段的形態(tài)，從而進行合理有效的管理[8]。通過對虛擬掃描節(jié)點從創(chuàng)建到回收的各個階段進行分析，可知一個虛擬掃描節(jié)點在漏洞掃描系統(tǒng)中基本需要經(jīng)歷創(chuàng)建、部署、分配、執(zhí)行掃描和回收五個階段，在此期間還需要對虛擬掃描節(jié)點進行資源、效率和是否活躍等方面進行全面監(jiān)控。虛擬掃描節(jié)點的工作流由一系列虛擬掃描節(jié)點的生命周期組成的，具有時間疊加和空間疊加的特性，也即是說多個虛擬掃描節(jié)點可擁有以共同的生命周期時間段，多個虛擬掃描節(jié)點可以部署在同一臺物理機上。有效地管理和維護虛擬掃描節(jié)點工作流，使其可以高效、無中斷地運行，能夠在達到降低系統(tǒng)資源消耗的同時，實現(xiàn)漏洞掃描服務(wù)吞吐率的最大化。虛擬掃描節(jié)點生命周期示意圖如圖3所示。

圖3 虛擬掃描節(jié)點生命周期示意圖

(1)創(chuàng)建階段：主要是根據(jù)用戶需求創(chuàng)建相應(yīng)的虛擬掃描節(jié)點，其中虛擬掃描節(jié)點的信息包括節(jié)點名稱、身份標(biāo)識、網(wǎng)絡(luò)地址、端口地址、服務(wù)地址和節(jié)點狀態(tài)等。

(2)部署階段：主要是根據(jù)任務(wù)利用統(tǒng)一的掃描器鏡像模板，通過一鍵式部署腳本來創(chuàng)建和部署虛擬掃描節(jié)點的掃描引擎。同時，將虛擬掃描節(jié)點部署到相應(yīng)的目標(biāo)網(wǎng)絡(luò)中，并存儲虛擬掃描節(jié)點的相關(guān)信息。

(3)分配階段：主要是根據(jù)虛擬節(jié)點監(jiān)控子模塊傳回的掃描器狀態(tài)信息以及任務(wù)調(diào)度算法，將任務(wù)分配給合適的虛擬掃描節(jié)點，同時需要維護掃描節(jié)點管理隊列。另外，可根據(jù)任務(wù)調(diào)度方案對正在進行的任務(wù)執(zhí)行暫停、恢復(fù)或停止等操作。

(4)執(zhí)行階段：主要是根據(jù)已分配的任務(wù)對目標(biāo)主機進行漏洞掃描。同時，在虛擬掃描節(jié)點異常連接時，可根據(jù)任務(wù)遷移方案將未完成的任務(wù)遷移到其它虛擬掃描節(jié)點，由新的虛擬掃描節(jié)點對任務(wù)目標(biāo)主機繼續(xù)執(zhí)行漏洞掃描任務(wù)。

(5)回收階段：當(dāng)遇到虛擬掃描節(jié)點異常連接、執(zhí)行掃描任務(wù)的過程中發(fā)生故障、系統(tǒng)管理員需要停用部分虛擬掃描節(jié)點等異常情況時，通過對虛擬節(jié)點進行有效回收來釋放這些掃描節(jié)點所占用的系統(tǒng)資源，主要回收該虛擬掃描節(jié)點的IP和端口等信息。

(6)狀態(tài)監(jiān)控：主要是對虛擬掃描節(jié)點的運行狀態(tài)信息進行監(jiān)控，當(dāng)虛擬掃描節(jié)點異常連接時能夠及時進行回收和任務(wù)遷移，以保證虛擬掃描節(jié)點保持正常運行狀態(tài)。

3 虛擬化部署方案

虛擬化的主要目的是在于集中管理任務(wù)，從而可以簡化運維流程以及降低成本，同時也能夠改善計算資源有效利用率和可用性。簡單的來說，虛擬化就是改善在傳統(tǒng)一臺物理服務(wù)器上運行一個應(yīng)用程序的模式，讓物理服務(wù)器硬件及網(wǎng)絡(luò)資源能夠被充分的配置利用，使得一臺物理服務(wù)器上能夠運行多個互相獨立的虛擬機，并執(zhí)行多個應(yīng)用服務(wù)程序，從而實現(xiàn)以較少的硬件資源完成更多更有效率的服務(wù)，達到節(jié)省總擁有成本并增加投資回報的目的。對于云安全漏洞掃描系統(tǒng)來說，采取虛擬化部署的方法可以有效適應(yīng)云計算環(huán)境特點以及提供高效快速的漏洞掃描服務(wù)[9]。例如，通過采用虛擬化技術(shù)，軟件能夠在共享的硬件上運行實現(xiàn)了云計算中資源池化的特征，也可以有效共享執(zhí)行漏洞掃描任務(wù)所需的CPU、內(nèi)存等各類資源，因而可以屏蔽不同機器底層的硬件差異，使得用戶能夠?qū)Ｗ⒂趹?yīng)用。所給DVNM方案的虛擬化部署方案如圖4所示，虛擬掃描節(jié)點通過虛擬交換機與管理平臺相連，可通過接口統(tǒng)一接受外部第三方系統(tǒng)或者上層管理員的管理，這種方式可以方便地對虛擬掃描節(jié)點進行部署、管理和回收，同時有效地進行掃描任務(wù)的監(jiān)控和遷移。

4 虛擬掃描節(jié)點管理方案設(shè)計

在分析虛擬掃描節(jié)點的生命周期并建立了虛擬化部署方案后，可以針對虛擬節(jié)點生命周期中的不同階段對其進行管理。虛擬掃描節(jié)點管理模塊的結(jié)構(gòu)如圖5所示。

圖5 虛擬掃描節(jié)點管理模塊結(jié)構(gòu)圖

4.1 虛擬掃描節(jié)點部署子模塊

對于在云環(huán)境條件下漏洞掃描服務(wù)的使用者來說，僅僅關(guān)心的是漏洞掃描服務(wù)有沒有正確部署，當(dāng)缺少足夠的掃描節(jié)點時能否可以方便地獲取足夠正常工作的掃描節(jié)點，而對于其中鏡像管理、虛擬掃描節(jié)點的創(chuàng)建、虛擬網(wǎng)絡(luò)協(xié)議配置等等都是不需要關(guān)心的，即這些功能對用戶可以是透明的。虛擬掃描節(jié)點部署子模塊利用統(tǒng)一的掃描器鏡像模板，通過一鍵式部署腳本來實現(xiàn)掃描引擎的創(chuàng)建和部署。創(chuàng)建和部署后的虛擬掃描節(jié)點在數(shù)據(jù)庫中存儲的信息如表1所示。

表1 數(shù)據(jù)庫中存儲的虛擬掃描節(jié)點信息

4.2 虛擬掃描節(jié)點分配子模塊

為了可以充分利用分布式系統(tǒng)的巨大處理能力，虛擬掃描節(jié)點分配子模塊在分布式云安全漏洞掃系統(tǒng)任務(wù)調(diào)度算法的基礎(chǔ)上，同時為實現(xiàn)該漏洞掃描系統(tǒng)中各掃描節(jié)點的負(fù)載均衡提供支持。該模塊通過維護一個掃描節(jié)點管理隊列，然后根據(jù)虛擬節(jié)點監(jiān)控子模塊傳回的掃描器狀態(tài)信息以及任務(wù)調(diào)度算法的輸出，將任務(wù)分配給合適的虛擬掃描節(jié)點，同時還可以將正在進行的任務(wù)暫停、恢復(fù)或停止。該模塊與虛擬掃描節(jié)點之間的接口如表2所示。

表2 虛擬掃描節(jié)點與分配子模塊之間的接口信息說明

4.3 虛擬掃描節(jié)點監(jiān)控子模塊

在云安全漏洞掃描系統(tǒng)運行過程中，通常需要對各虛擬掃描節(jié)點的運行狀態(tài)信息進行監(jiān)控，從而保證系統(tǒng)中各掃描節(jié)點保持正常的運行，以便在虛擬掃描節(jié)點異常連接時進行回收和任務(wù)遷移。在每個虛擬掃描節(jié)點中，均有監(jiān)控子模塊所設(shè)置的監(jiān)控代理，即由監(jiān)控代理主動向虛擬掃描節(jié)點監(jiān)控子模塊報告掃描器狀態(tài)和掃描節(jié)點的各項物理指標(biāo)。監(jiān)控子模塊為每一個掃描器創(chuàng)建連接進程，通過監(jiān)控代理匯報的指標(biāo)修改掃描節(jié)點狀態(tài)信息，作為輸入給任務(wù)調(diào)度策略。若一段時間內(nèi)未收到監(jiān)控代理的信息，則將該掃描節(jié)點狀態(tài)修改為失聯(lián)。

4.4 虛擬掃描節(jié)點回收子模塊

在云安全漏洞掃描系統(tǒng)運行過程中，可能會遇到虛擬掃描節(jié)點異常連接或在執(zhí)行掃描任務(wù)的過程中發(fā)生故障，又或者系統(tǒng)管理員需要停用部分虛擬掃描節(jié)點，這時應(yīng)對虛擬節(jié)點進行有效回收，從而釋放這些掃描節(jié)點所占用的系統(tǒng)資源?；厥兆幽K主要回收該虛擬掃描節(jié)點的IP和端口等信息，并在操作界面上顯示故障或異常連接時掃描節(jié)點的具體信息描述(比如所在的物理機地址)，以便系統(tǒng)管理員能夠及時回收。

5 實驗與性能分析

所給DVNM漏洞掃描方案的優(yōu)點主要包括：(1)所給DVNM方案可以掃描不同種類的漏洞，只要部署相應(yīng)的漏洞掃描引擎即可執(zhí)行相應(yīng)的漏洞掃描，而基于檢測代理的掃描方案在沒有部署相應(yīng)檢測代理的情況下無法實施漏洞掃描，(2)所給DVNM方案可以根據(jù)不同的漏洞掃描需求創(chuàng)建相應(yīng)數(shù)量的虛擬掃描節(jié)點，可以檢測數(shù)量眾多的漏洞類型，而基于任務(wù)驅(qū)動的漏洞掃描系統(tǒng)[10]需要根據(jù)任務(wù)來啟動檢測代理的數(shù)量，當(dāng)掃描任務(wù)較多時，檢測代理可能無法滿足且無法及時部署相應(yīng)的檢測代理，這就限制了掃描任務(wù)的數(shù)量；(3)所給DVNM方案可以根據(jù)需要創(chuàng)建虛擬節(jié)點數(shù)目，且當(dāng)任務(wù)完成時可以回收虛擬掃描節(jié)點，避免資源一直被空置，而基于監(jiān)視代理的掃描方案[11]在掃描任務(wù)完成時，監(jiān)視代理的部分資源將會被空置，造成資源浪費；(4)所給DVNM方案中當(dāng)虛擬掃描節(jié)點出現(xiàn)異常時，可將掃描任務(wù)遷移至其它虛擬掃描節(jié)點，而基于代理的掃描方案在檢測代理出現(xiàn)異常時，將需要采用新的檢測代理來重新進行漏洞任務(wù)掃描，將會造成資源重復(fù)浪費。

下面通過利用OpenStack云計算平臺仿真實驗環(huán)境，對所給的DVNM漏洞掃描方案進行仿真測試。其中，OpenStack是以單節(jié)點的形式安裝該平臺最基本的nova，keystone，glance和horizon功能模塊，采用64位2.0GHz的DELL PowerEdge 2950服務(wù)器，8Gb內(nèi)存，292Gb硬盤存儲空間，千兆以太網(wǎng)，運行Ubuntu 12.04.2 Desktop i386版本的操作系統(tǒng)，目標(biāo)主機的操作系統(tǒng)為當(dāng)前普遍使用的Windows XP SP3版本。主要分別從CPU使用率、內(nèi)存占用率以及掃描檢測時間三個方面來測試所給DVNM方案的性能。下面圖6給出了所給DVNM漏洞掃描方案的CPU使用率?？梢钥闯?，當(dāng)掃描任務(wù)完成時，通過對虛擬掃描節(jié)點的回收可以降低CPU的使用率；而當(dāng)掃描任務(wù)數(shù)量較多時，需要根據(jù)用戶需求建立多個虛擬掃描節(jié)點，使得CPU使用率大幅增加；而當(dāng)掃描任務(wù)數(shù)量保持不變時，CPU的使用率也基本保持不變。但所給DVNM方案的CPU使用率能夠基本平均保持在0.3左右，具有較好地CPU使用性能。

圖6 DVNM漏洞掃描方案的CPU使用率

下面圖7給出了所給DVNM漏洞掃描方案的內(nèi)存占用率?？梢钥闯觯?wù)器在各個時段的內(nèi)存占用率基本保持穩(wěn)定。當(dāng)掃描任務(wù)類型或者數(shù)量較少時，所需創(chuàng)建的虛擬掃描節(jié)點數(shù)目或所需存儲的數(shù)據(jù)信息也將較少，使得內(nèi)存占用率較低，比如在1.8min左右的時刻，盡管此時CPU的使用率較高，然而由于掃描任務(wù)類型較少且數(shù)量也不多，雖然創(chuàng)建了多個虛擬掃描節(jié)點，但數(shù)量有限使得需要存儲的信息有限，所以內(nèi)存占用較少；而當(dāng)掃描任務(wù)類型且數(shù)量較多時，所需創(chuàng)建的掃描節(jié)點數(shù)目以及所需存儲的數(shù)據(jù)信息將較多，將使得內(nèi)存占用率大幅增加，比如在5.8min左右的時刻，因掃描任務(wù)類型和數(shù)量都較多，需要創(chuàng)建具有不同掃描引擎的多個虛擬掃描節(jié)點，使得內(nèi)存占用率大幅增加。但所給DVNM方案的內(nèi)存占用率能基本保持在不高于57%，具有較好的性能。

圖7 DVNM漏洞掃描方案的內(nèi)存占用率

下面圖8給出了所給DVNM漏洞掃描方案與文獻[10]和[11]掃描方案的掃描耗時比較。可以看出，所給DVNM方案在同等數(shù)量的掃描任務(wù)下具有較短的掃描耗時，且隨著漏洞掃描任務(wù)數(shù)量的增加，掃描耗時增加幅度不大。一方面，這是由于所給DVNM方案可以根據(jù)掃描任務(wù)直接創(chuàng)建相應(yīng)的虛擬掃描節(jié)點，隨后即可實施掃描任務(wù)，而文獻[10]需要根據(jù)掃描任務(wù)類型首先匹配對應(yīng)的檢測代理后才能實施掃描，增加了匹配時間，文獻[11]需要根據(jù)掃描任務(wù)的數(shù)量來啟動相應(yīng)數(shù)目的檢測代理，增加了啟動時間；另一方面，則是因為所給DVNM方案可以通過掃描任務(wù)遷移，創(chuàng)建多個虛擬掃描節(jié)點對同一掃描任務(wù)實施掃描，可以大大降低掃描耗時。另外，當(dāng)掃描節(jié)點出現(xiàn)異常情況時，所給DVNM方案也可通過掃描任務(wù)遷移，將所執(zhí)行的掃描任務(wù)遷移到新的虛擬掃描節(jié)點上繼續(xù)掃描，而其它兩種方案則是需要在新的檢測代理中重新進行掃描，將會大幅增加掃描耗時。因此，所給DVNM漏洞掃描方案可以很好地應(yīng)用在云環(huán)境中，且具有較好的性能。

圖8 DVNM漏洞掃描方案的掃描耗時

6 結(jié) 語

傳統(tǒng)的漏洞掃描系統(tǒng)不能夠很好地適應(yīng)云計算環(huán)境、不能執(zhí)行大數(shù)據(jù)量掃描任務(wù)或不能支持多種漏洞掃描任務(wù)的問題，而設(shè)計的分布式云安全漏洞掃描系統(tǒng)還尚缺少合理的虛擬掃描節(jié)點管理方案，缺少為實現(xiàn)掃描任務(wù)分布式執(zhí)行和管理的技術(shù)支持，不能快速有效地創(chuàng)建部署能夠提供漏洞掃描功能的掃描節(jié)點，不能實現(xiàn)虛擬掃描節(jié)點的全方面監(jiān)控。因此，研究云安全漏洞掃描系統(tǒng)虛擬節(jié)點管理十分重要。所給的DVNM方案首先分析一個普通掃描節(jié)點從創(chuàng)建到回收的生命周期和基于此生命周期的掃描節(jié)點工作流，然后給出適用于分布式云安全漏洞掃描系統(tǒng)的虛擬化部署方案，最后著重設(shè)計了虛擬掃描節(jié)點在其生命周期各個時間段的管理策略，可根據(jù)物理資源創(chuàng)建合適的虛擬掃描節(jié)點，且能夠快速部署漏洞掃描功能，同時接受管理平臺的即時監(jiān)控，以便根據(jù)不同的任務(wù)調(diào)度策略合理分配掃描任務(wù)以及快速檢測異常掃描節(jié)點，從而實現(xiàn)掃描任務(wù)的合理遷移和掃描節(jié)點的回收。

[1] 馮登國，張敏，張妍，等.云計算安全研究[J].軟件學(xué)報，2011，22(1)：71-83.

[2] 彭武，韋濤，王冬海.基于關(guān)聯(lián)分析的關(guān)鍵信息系統(tǒng)生存能力評估方法[J].中國電子科學(xué)研究院學(xué)報，2014，9(6)：598-602.

[3] Mika D A.Cloud Vulnerability Assessment [M].Massachusetts (USA):Worcester Polytechnic Institute，2012.

[4] Wei J P，Zhang X L，Ammons G.Managing Security of Virtual Machine Images in a Cloud Environment [C]//CCSW’09 Proceedings of the 2009 ACM Workshop on Cloud Computing Security.New York (USA):ACM，2009：91-96.

[5] Wang Y L，Shen J K.CloudProxy:a NAPT Proxy for Vulnerability Scanners based on Cloud Computing [J].Journal of Networks，2013，8(3)：607-615.

[6] 張海輝，張勇，歐爭光.基于任務(wù)驅(qū)動的云計算平臺漏洞掃描系統(tǒng)[J].深圳大學(xué)學(xué)報理工版，2014，31(1)：71-76.

[7] Fan P，Chen Z B，Wang J，et al.Online Optimization of VM Deployment in IaaS Cloud [C]//IEEE Parallel and Distributed Systems (ICPADS)，2012 IEEE 18th International Conference on，Singapore:Creation，2012：760-765.

[8] Schwarzkopf R，Schmidt M，Strack C，et al.Increasing Virtual Machine Security in Cloud Environments [J].Journal of Cloud Computing：Advances，Systems and Application，2012，1(1)：1-12.

[9] Jog M，Madajagan M.Cloud Computing:Exploring Security Design Approaches in Infrastructure as a Service[C]//IEEE Cloud Computing Technologies，Applications and Management (ICCCTAM)，2012 International Conference on，Dubai：Dubai，2012：156-159.

[10]劉正，張國印.基于云計算的Web漏洞檢測分析系統(tǒng)[J].哈爾濱工程大學(xué)學(xué)報，2013，34(10)：1274-1279.

[11]姜俊方，陳興署，陳林.基于監(jiān)視代理的IaaS平臺漏洞掃描框架[J]．四川大學(xué)學(xué)報(工程科學(xué)版)，2014，46(Supp2)：116-121.

廖金菊(1980—)，女，河南人，講師，主要研究方向為計算機應(yīng)用；

E-mail：wzymgsm@163.com

馮光輝(1982—)，男，河南人，副教授，主要研究方向為計算機應(yīng)用。

Cloud Security Vulnerability Scanning System Based on Distributed Virtual Nodes Management

LIAO Jin-ju, FENG Guang-hui

(School of Information Engineering, Zhengzhou University of Industrial Technology, Zhengzhou 451150, China)

Security vulnerabilities are very important parts of cloud security issues.However, the systems for network vulnerability scanning are currently not well suited for cloud computing network.In order to meet the needs of distributed vulnerability scanning in a cloud environment, it is necessary to achieve the overall management of the multi-scanning nodes.So a research scheme for the cloud security vulnerability scanning system based on distributed virtual nodes management was proposed.The method analyzes the life cycle of the scanning nodes and the work flow based on it.It focuses on the design of virtual nodes management strategies at each stage of its life cycle and accepts the real-time monitoring from management platform.Thus, the proposed scheme could provide rational allocation of scanning tasks and quick detection of abnormal scanning nodes depending on different task scheduling strategies, and also could realize the rational move of scanning tasks and the retrieve of scanning nodes.

cloud security；vulnerability scanning；virtual nodes management；distributed

2016-04-18

2016-09-01

河南省科技廳發(fā)展計劃(142102110088)

：A

1673-5692(2016)05-483-07