基于Docker的多维度分布式漏洞扫描技术研究

doi:10.12422/j.issn.1672-6952.2025.05.010

摘要/Abstract

摘要：

网络入侵已经超出传统战争入侵的概念，频发的网络空间安全事件不仅使国家安全受到威胁，而且给实体经济造成巨大损失。网络漏洞扫描器是防范网络遭受攻击的重要工具，目前市场上的漏洞扫描器通常采用暴力扫描方式设计，存在检测维度有限、速度慢和准确率低等问题。因此，提出一种基于分布式的多维度评估检测模式，采用目前最新的应用容器引擎（Docker）技术实现多节点部署，通过并发式方法差异化收集信息的同时，将信息划分为多个维度并量化；引入模糊综合层次评价法对检测目标系统进行脆弱值评定，并根据脆弱值评定结果提升对应系统的关注度，采用脆弱等级与指纹识别相结合的方法进行漏洞检测；使用场景化实战网络靶场（CFS）进行测试，以评估其在真实攻防环境下的检测性能与适用性。测试结果表明，该检测模式对单个系统的检测效率与最常用的企业级网络扫描器相比有显著提升，其主要技术指标优于传统单维度漏洞检测方法。

关键词: 网络安全, 漏洞扫描, 多维度信息收集, 分布式, Docker

Abstract:

The current frequent occurrence of cyberspace security incidents has resulted in huge losses to national security and the real economy, demonstrating that the information security threats confronting nations have transcended the traditional concept of invasion warfare. Therefore, network security vulnerability scanner is an important means to prevent network attacks. Vulnerability scanners currently on the market are usually designed using brute?force scanning, which has problems such as limited detection dimension, slow speed and low accuracy. This paper proposes a distributed multi?dimensional assessment and detection model using Docker technology for multi?node deployment and simultaneous information collection. It divides information into multiple dimensions and quantifies them. The model introduces a fuzzy hierarchical evaluation method to assess the vulnerability values of target systems, and enhances the attention to corresponding systems based on their vulnerability levels. It combines fingerprinting technology with vulnerability detection methods. Tests conducted using a scenario?based Combat Network Shooting Range (CFS) show a significant improvement in detection efficiency compared to commonly used enterprise?level network scanners, outperforming traditional one?dimensional vulnerability detection methods in terms of hit rate and efficiency.

Key words: Network security, Vulnerability scanning, Multi?dimensional information collection, Distributed, Docker

中图分类号:

TP393.0

孔维立, 曹杨, 章聪, 杨昌霖, 孟德成. 基于Docker的多维度分布式漏洞扫描技术研究[J]. 辽宁石油化工大学学报, 2025, 45(5): 81-87.

Weili KONG, Yang CAO, Cong ZHANG, Changlin YANG, Decheng MENG. Research on Multi⁃Dimensional Distributed Vulnerability Scanning Technology Based on Docker[J]. Journal of Liaoning Petrochemical University, 2025, 45(5): 81-87.

图/表 9

表1 部分采集信息映射与信息案例

Table 1 Partial capture information mapping and information cases

类型	对应记录内容案例
account（账户）	admin
phone（电话号码）	18888888888
mail（邮箱）	xxx@test.com
path（接口路径）	/api/xxxx
config（配置字符串）	jdbc:mysql://localhost:3306/salary?characterEncoding=utf⁃8
⋮	⋮

表2 案例评分结果

Table 2 Results of case scoring

信息维度	评分分数
信息维度	高风险	中风险	低风险
高危信息	0.5	0.3	0.2
用户隐私信息	0.2	0.6	0.2
系统基础信息	0.1	0.2	0.7

表3 脆弱度检测优先度说明

Table 3 Description of vulnerability and detection priority

脆弱级别	优先度	脆弱度( $S$ )
高	优先	4≤ $S$ ≤6
中	适中	2≤ $S$ $<$ 4
低	最低	0≤ $S$ $<$ 2

表3 脆弱度检测优先度说明

Table 3 Description of vulnerability and detection priority

脆弱级别	优先度	脆弱度( $S$ )
高	优先	4≤ $S$ ≤6
中	适中	2≤ $S$ $<$ 4
低	最低	0≤ $S$ $<$ 2

图1 系统指纹信息库案例图

Fig.1 System fingerprint information case

图2 系统整体节点运行逻辑图

Fig.2 Logic diagram of the overall node operation of the system

图3 节点配置效果图

Fig.3 Node configuration effect diagram

表4 本扫描器和XRAY扫描器的测试结果

Table 4 Comparative analysis of test results between this scanner and XRAY scanner

项目	数据
项目	XRAY扫描器	本扫描器
检测时间/min	80	40
检测成果	3/6	5/6
识别指纹信息	Nginx	["Nginx","jQuery", "Weaver⁃e⁃Bridge","IIS"]
单个目标检测时间/s	18~33	2~4

图4 系统的运行效果图

Fig.4 System operation effect diagram

图5 测试报告图

Fig.5 Test report chart

参考文献 17

[1]	佚名.《中国互联网发展报告（2022）》正式发布［J］.新闻世界，2022（10）：58.
	ANON.China internet development report （2022） officially released［J］.News World，2022（10）：58.
[2]	贾涛.基于Docker容器技术的网络安全扫描应用附视频［C］//中国移动“5G+AICDE”技术研讨会论文集.北京：中国通信学会无线移动通信委员会，2021：227⁃230.
[3]	吴旭.工业控制系统中的网络漏洞扫描与漏洞管理分析［J］.网络安全和信息化，2023（12）：42⁃44.
	WU X.Analysis of network vulnerability scanning and vulnerability management in industrial control systems［J］.Security & Informatization，2023（12）：42⁃44.
[4]	卢洋，石元博.基于向量空间模型的个性化网页搜索算法研究［J］.辽宁石油化工大学学报，2021，41（2）：92⁃96.
	LU Y，SHI Y B.Research on personalized web search algorithm based on vector space model［J］.Journal of Liaoning Petrochemical University，2021，41（2）：92⁃96.
[5]	国家市场监督管理总局，国家标准化管理委员会.信息安全技术信息安全风险评估方法：GB/T 20984-2022［S］.北京：中国标准出版社，2022．
[6]	STUTTARD D，PINTO M.黑客攻防技术宝典：Web实战篇［M］.2版.石华耀，傅志红，译.北京：人民邮电出版社，2020.
[7]	曹旭栋，黄在起，陈禹劼，等.安全漏洞库构建及应用研究综述［J］.计算机学报，2024，47（5）：1082⁃1119.
	CAO X D，HUANG Z Q，CHEN Y J，et al.An overview of research on vulnerability database construction and application［J］.Chinese Journal of Computers，2024，47（5）：1082⁃1119.
[8]	王开义，杨程引，朱丽华.基于渗透测试的网络安全防护策略研究［J］.广播电视信息，2024，31（2）：106⁃110.
	WANG K Y，YANG C Y，ZHU L H.Research on network security protection strategy based on penetration testing［J］.Radio & Television Information，2024，31（2）：106⁃110.
[9]	FIRST.Common vulnerability scoring system v4.0：user guide［EB/OL］.（2023⁃11⁃01）［2024⁃05⁃17］.https：//www.first.org/cvss/v4⁃0/user⁃guide.
[10]	国家计算机网络应急技术处理协调中心.常见漏洞类型汇总［EB/OL］.（2012⁃09⁃24）［2024⁃05⁃17］.https：//www.cnvd.org.cn/webinfo/show/3096.
[11]	Nigel P.Getting started with Docker：Master the art of containerization with Docker［M］.Birmingham：Packt Publishing Limited，2024.
[12]	冷涛，王衡.Docker网络靶场平台的设计与构建⁃对标警务实战化大练兵［J］.四川警察学院学报，2021，33（3）：41⁃46.
	LENG T，WANG H.Design and construction of docker cyber range platform benchmarking police practical combat training［J］.Journal of Sichuan Police College，2021，33（3）：41⁃46.
[13]	DU J，WU S.DCFF：A container forensics framework based on docker［C］//2016 3rd International Conference on Materials Engineering，Manufacturing Technology and Control.Taiyuan：Atlantis Press，2016：1644⁃1650.
[14]	顾少伟，井波.Redis在软件项目中的应用［J］.电脑编程技巧与维护，2023（11）：16⁃19.
	GU S W，JING B.Redis in software projects［J］.Computer Programming Skills & Maintenance，2023（11）：16⁃19.
[15]	中国网络空间安全协会.网络靶场能力分级指南：T/CSAC 002-2023［S］.北京：中国网络空间安全协会，2023．
[16]	常万杰，刘琳琳，曹宇，等.基于Informer算法的病毒传播预测研究［J］.辽宁石油化工大学学报，2024，44（1）：80⁃88.
	CHANG W J，LIU L L，CAO Y，et al.Research on virus propagation prediction based on Informer algorithm［J］.Journal of Liaoning Petrochemical University，2024，44（1）：80⁃88.
[17]	赵靖雯，陆雨韬，万志涛，等.零信任数字政府网络安全防护体系研究［J］.网络安全技术与应用，2024（3）：90⁃94.
	ZHAO J W，LU Y T，WAN Z T，et al.Research on zero⁃trust digital government network security protection system［J］.Network Security Technology & Application，2024（3）：90⁃94.