网络安全漏洞分析系统的设计与实现.pdf

上海交通大学
硕士学位论文
网络安全漏洞分析系统的设计与实现
姓名：郭弘
申请学位级别：硕士
专业：软件工程
指导教师：谷大武;杭强伟
20060701
网络安全漏洞分析系统的设计和实现

摘 要

本文从网络安全现状入手，深入分析了网络攻击过程的各个阶段，
并对网络攻防原理进行深入、细致剖析，全面分类阐述网络攻防双方的
主要手段与实现方法，特别是对目前最常见和危害大的攻击手段和工具，
如扫描，缓冲区溢出等做了细致的分析，给出了他们的特点和实施方法。
7 本文的工作是设计并实现一个易于使用、功能强大的网络安全漏
洞分析系统。系统主要面向有经验的系统管理员。
本系统采用了客户端／服务器的结构。服务器运行于 Linux 平台，
实现保存扫描插件、保存默认配置参数、加载扫描插件对目标系统进行
安全扫描、向客户机发送扫描状态和结果、记录操作日志等功能。对服
务器的直接操作通过仅限于最小功能的专用 Shell 进行。客户端运行于
Windows 平台，负责管理、控制服务器执行***任务，实现扫描任
务管理、扫描策略管理、状态／消息显示、扫描结果报表的生成和输出、
用户分级管理等功能。
本系统的报表部分可以有两种设计和实现方法：关系数据库 + 数据
库访问程序、XML + XSL。本文对这两种方法都进行了较详细的说明和比
较。
本系统采用插件结构，面对不断产生的新的漏洞，系统更易扩展，
可确保随着网络功能的变化而动态调整检测系统的灵活度。本文对 NASL
语言基础及相关的库函数作了详细的说明，并分析了 NASL 脚本的结构，
最后用一个具体的例子进行示范。
网络安全评估系统本身的安全性极为重要。本系统采用密码和证书
两种方式来对连接双方身份的合法性进行验证，采用 SSL 加密方法对双

5
方信息传输进行加密，从而有效地提高了系统本身的安全性。对一个网
络安全评估系统来说，当被目标网络规模较大时，快速地执行评估工作，
可有效地节省网络带宽与时间资源，本文采用了多种方法来提高系统的
运行效率。

关键词 网络安全，端口扫描，缓冲区溢出，NASL 技术，SSL 技术，水
晶报表，XML































6
The Design and Realization of Network Vulnerability Analysis System



Abstract


This thesis first analyzed the current situation of the network security,
deeply introduced each phase in the process of network attack. Then
described the primary measures used by attack side and defense side in the
network, and the methods to implement attack and defense, as well as the
systematic analysis of the principles for it. In addition, this thesis analyzed
the most common and harmful methods or tools to implement attack, such as
scan, buffer overflow.
The work based on this paper is to design and implement an easy-to-use
and powerful co