基于區(qū)塊鏈技術(shù)的網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)設(shè)計(jì)

琭

(上海市網(wǎng)絡(luò)技術(shù)綜合應(yīng)用研究所，上海 200335)

0 引言

區(qū)塊鏈技術(shù)是加密算法、分布式數(shù)據(jù)存儲(chǔ)、共識(shí)機(jī)制、點(diǎn)對(duì)點(diǎn)傳輸?shù)扔?jì)算機(jī)處理手段的新型應(yīng)用模式。區(qū)塊鏈的實(shí)用本質(zhì)相當(dāng)于一個(gè)完整的去中心化型數(shù)據(jù)庫(kù)，作為最底層的比特流處理技術(shù)，每一個(gè)數(shù)據(jù)塊組織都可與一串獨(dú)立的編譯密碼保持定向化關(guān)聯(lián)關(guān)系，且所有網(wǎng)絡(luò)交易信息都必須記錄于數(shù)據(jù)塊存儲(chǔ)結(jié)構(gòu)之中，當(dāng)核心處理主機(jī)確定驗(yàn)證信息的有效性后，相關(guān)下級(jí)設(shè)備元件中才會(huì)生成全新的區(qū)塊應(yīng)用組織[1-2]。所謂公有區(qū)塊鏈?zhǔn)侵溉魏螆F(tuán)體或個(gè)人都能進(jìn)行連接的交易組織，與私有區(qū)塊鏈相比，該項(xiàng)結(jié)構(gòu)組織能獲得區(qū)塊主機(jī)的直接認(rèn)證，且所有客戶端元件都能參與到鏈條結(jié)構(gòu)體的共識(shí)建交過程中。

在計(jì)算機(jī)網(wǎng)絡(luò)執(zhí)行環(huán)境中，隨著已插入web漏洞數(shù)量的增加，外界環(huán)境的安全性承載能力會(huì)出現(xiàn)明顯的下降。為避免上述情況的發(fā)生，傳統(tǒng)C/S型網(wǎng)絡(luò)漏洞檢測(cè)系統(tǒng)針對(duì)拓?fù)浔闅v網(wǎng)頁(yè)進(jìn)行專項(xiàng)編碼，再根據(jù)緩沖區(qū)數(shù)據(jù)庫(kù)中已存儲(chǔ)信息的實(shí)際溢出條件，確定與網(wǎng)絡(luò)應(yīng)用環(huán)境所匹配的安全性承載范圍極值。但此系統(tǒng)在安全性等級(jí)劃分方面所設(shè)定的判別條件過于寬泛，很難實(shí)現(xiàn)對(duì)web漏洞節(jié)點(diǎn)的細(xì)致化掃描。為解決此問題，設(shè)計(jì)基于區(qū)塊鏈技術(shù)的網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)，在網(wǎng)絡(luò)爬蟲模塊、任務(wù)管理模塊等硬件執(zhí)行設(shè)備的支持下，按需定義區(qū)塊鏈組織的實(shí)際交易格式，從而實(shí)現(xiàn)對(duì)系統(tǒng)功能需求的精確化分析。

1 網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)模塊設(shè)計(jì)

網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)的硬件執(zhí)行環(huán)境由網(wǎng)絡(luò)爬蟲模塊、任務(wù)管理模塊、相關(guān)檢測(cè)模塊3類應(yīng)用元件共同組成，具體搭建方法如下。

1.1 網(wǎng)絡(luò)爬蟲模塊

網(wǎng)絡(luò)爬蟲模塊是網(wǎng)絡(luò)安全漏洞檢測(cè)模塊的搭建基礎(chǔ)，其執(zhí)行精度及實(shí)施效率直接影響系統(tǒng)最終的漏洞掃描結(jié)果精度值。在進(jìn)行區(qū)塊鏈網(wǎng)頁(yè)抓取時(shí)，網(wǎng)絡(luò)爬蟲模塊的應(yīng)用主要遵循最佳優(yōu)先、廣度優(yōu)先、深度優(yōu)先三項(xiàng)處置策略。所謂最佳優(yōu)先是指所有已訪問URL權(quán)限都必須存儲(chǔ)于檢測(cè)信息提取模塊之中，在執(zhí)行網(wǎng)頁(yè)信息檢測(cè)時(shí)，已爬行URL種子庫(kù)可直接調(diào)取這些數(shù)據(jù)參量，從而避免非相關(guān)信息對(duì)網(wǎng)絡(luò)安全漏洞排列順序的影響[3]。廣度優(yōu)先是指網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)必須按照既定搜索策略，實(shí)施對(duì)數(shù)據(jù)參量的掃描與處理，從而使得未爬行URL種子庫(kù)可借助檢測(cè)頁(yè)面直接與系統(tǒng)提取模塊相連，實(shí)現(xiàn) 對(duì)系統(tǒng)廣度檢測(cè)條件的無(wú)限擴(kuò)張。深度優(yōu)先是指網(wǎng)絡(luò)爬蟲模塊必須在URL權(quán)限的作用下，直接與Internet區(qū)塊鏈相連，當(dāng)所有信息參量完全轉(zhuǎn)存至漏洞數(shù)據(jù)存儲(chǔ)信息庫(kù)后，檢測(cè)信息提取模塊才會(huì)停止對(duì)數(shù)據(jù)信息的轉(zhuǎn)存與錄入，從而實(shí)現(xiàn)對(duì)待掃描web漏洞覆蓋范圍的無(wú)限擴(kuò)張[4]。

圖1 網(wǎng)絡(luò)爬蟲模塊結(jié)構(gòu)圖

1.2 任務(wù)管理模塊

任務(wù)管理模塊的執(zhí)行功能包括對(duì)網(wǎng)絡(luò)安全漏洞檢測(cè)任務(wù)的開始、排序、添加、編輯、刪除、停止等多個(gè)處理部分。當(dāng)區(qū)塊鏈用戶點(diǎn)擊任務(wù)管理模塊后，系統(tǒng)檢測(cè)界面會(huì)自動(dòng)跳轉(zhuǎn)至任務(wù)管理器顯示列表，其中包含CPU、內(nèi)存、硬盤、WLAN、藍(lán)牙、以太網(wǎng)等多個(gè)任務(wù)操作選項(xiàng)。其中，CPU任務(wù)可顯示安全漏洞檢測(cè)系統(tǒng)的當(dāng)前網(wǎng)絡(luò)布施形式，通常情況下，該元件結(jié)構(gòu)體的平均占用率越低，系統(tǒng)所表現(xiàn)出的檢測(cè)運(yùn)行速率也就越快，反之則會(huì)造成嚴(yán)重的系統(tǒng)卡頓現(xiàn)象[5]。內(nèi)存任務(wù)表現(xiàn)了檢測(cè)系統(tǒng)的現(xiàn)有運(yùn)行狀態(tài)，若待掃描的網(wǎng)絡(luò)安全漏洞總數(shù)值水平過高，則會(huì)造成內(nèi)存占用數(shù)值的持續(xù)上漲，最終使區(qū)塊鏈網(wǎng)絡(luò)陷入相對(duì)復(fù)雜的執(zhí)行應(yīng)用狀態(tài)。硬盤狀態(tài)能夠描述系統(tǒng)所承載的網(wǎng)絡(luò)安全漏洞檢測(cè)任務(wù)的具體數(shù)值情況，若該項(xiàng)數(shù)值指標(biāo)的表現(xiàn)數(shù)值過大，則會(huì)導(dǎo)致系統(tǒng)檢測(cè)精準(zhǔn)性的持續(xù)下降[6]。WLAN、藍(lán)牙、以太網(wǎng)3類任務(wù)指令并不能獨(dú)立存在，一般情況下，三者總是處于相同的應(yīng)用連接狀態(tài)，能夠反映系統(tǒng)檢測(cè)指令的實(shí)際執(zhí)行強(qiáng)度。

1.3 XSS漏洞檢測(cè)模塊

XSS漏洞檢測(cè)模塊可直接從數(shù)據(jù)庫(kù)t-urls表中讀取與網(wǎng)絡(luò)爬蟲相關(guān)的安全漏洞檢測(cè)字符串參數(shù)，并利用這些數(shù)據(jù)信息，構(gòu)造全新的待檢測(cè)URL隊(duì)列形式，從而讀取XSS漏洞載荷中可被替換的查詢字符串定義值，也就是XSS漏洞檢測(cè)代碼，但這些信息參量卻只能保存在xsspayload.txt區(qū)塊鏈文件之中。在利用爬蟲模塊的提取目標(biāo)保持不變時(shí)，XSS漏洞檢測(cè)模塊中的區(qū)塊鏈網(wǎng)址與數(shù)據(jù)存儲(chǔ)表單也始終保持不變。根據(jù)所獲取網(wǎng)絡(luò)完全漏洞數(shù)據(jù)形式的不同，XSS漏洞檢測(cè)模塊的源碼編譯行為可在GET或與POST型之間來(lái)回變換，直至系統(tǒng)應(yīng)用主機(jī)中生成唯一的漏洞數(shù)據(jù)檢測(cè)結(jié)果[7-8]。在區(qū)塊鏈主機(jī)的支持下，若安全漏洞數(shù)據(jù)的響應(yīng)狀態(tài)碼保持為2XX形式，則表示目標(biāo)網(wǎng)絡(luò)中不存在明顯的XSS型漏洞；若安全漏洞數(shù)據(jù)的響應(yīng)狀態(tài)碼為2XX形式，且網(wǎng)絡(luò)服務(wù)器中會(huì)隨之生成一系列的HTML文檔，則表示目標(biāo)網(wǎng)絡(luò)中存在明顯的XSS型漏洞。根據(jù)上述信息檢測(cè)結(jié)果，與區(qū)塊鏈漏洞表進(jìn)行對(duì)比，如果不存在數(shù)據(jù)沖突行為，則可將判別結(jié)果直接反饋至系統(tǒng)檢測(cè)主機(jī)之中。

表1 XSS型漏洞數(shù)據(jù)檢測(cè)原理

1.4 SQL注入漏洞檢測(cè)模塊

SQL注入漏洞檢測(cè)模塊采用經(jīng)典的and搭建方法，即“and 1命名代表網(wǎng)絡(luò)安全漏洞數(shù)據(jù)的輸入節(jié)點(diǎn)”、“and 2命名代表區(qū)塊鏈組織的射入節(jié)點(diǎn)”。出于服務(wù)連續(xù)性考慮，and 1命名只能定義特殊的字符連接形式，且在網(wǎng)絡(luò)爬蟲模塊的調(diào)度下，若CPU任務(wù)指令的承載水平不斷提升，則該類節(jié)點(diǎn)的最終表現(xiàn)形式也會(huì)逐漸發(fā)生改變，直至其中通過的網(wǎng)絡(luò)安全漏洞信息總量能夠完全滿足系統(tǒng)主機(jī)的核心檢測(cè)需求[9]。and 2命名可定義與網(wǎng)絡(luò)安全漏洞數(shù)據(jù)相關(guān)的特征碼參量，隨著任務(wù)管理模塊內(nèi)已運(yùn)行信息指令總量的提升，內(nèi)存系數(shù)指標(biāo)開始不斷變化，當(dāng)該數(shù)值參量的表現(xiàn)形式逐漸趨于穩(wěn)定時(shí)，系統(tǒng)檢測(cè)主機(jī)即可判定SQL型信息漏洞已注入?yún)^(qū)塊鏈應(yīng)用環(huán)境中[10]。與XSS漏洞檢測(cè)模塊不同的是，SQL注入漏洞檢測(cè)模塊可同時(shí)面對(duì)多個(gè)網(wǎng)絡(luò)安全漏洞數(shù)據(jù)的攻擊行為，且能夠跟隨網(wǎng)絡(luò)爬蟲模塊的執(zhí)行變化行為，更改與區(qū)塊鏈組織相關(guān)的信息輸入控制指令。

表2 SQL型注入漏洞數(shù)據(jù)檢測(cè)原理

1.5 CSRF漏洞檢測(cè)模塊

CSRF型網(wǎng)絡(luò)安全漏洞的物理攻擊能力相對(duì)較強(qiáng)，可直接作用于系統(tǒng)網(wǎng)絡(luò)爬蟲模塊與任務(wù)管理模塊，在Csrftester應(yīng)用軟件的作用下，該模塊可屏蔽掉一切不必要的區(qū)塊鏈連接行為，從而使核心控制主機(jī)的檢測(cè)實(shí)施能力得到有效促進(jìn)。Csrftester軟件可面對(duì)單項(xiàng)網(wǎng)絡(luò)安全漏洞數(shù)據(jù)進(jìn)行信息抓取，再按照誤報(bào)率由高至低的排列形式，剔除其中的不必要信息連接參量，降低漏洞數(shù)據(jù)對(duì)于系統(tǒng)檢測(cè)主機(jī)的核心攻擊強(qiáng)度[11]。由于CSRF型漏洞檢測(cè)技術(shù)的應(yīng)用行為相對(duì)較為完善，該模塊可直接爬取區(qū)塊鏈組織內(nèi)的網(wǎng)絡(luò)安全信息條例，再通過分級(jí)定義form1、form2的方式，按需滿足檢測(cè)主機(jī)的實(shí)際處置權(quán)限，當(dāng)數(shù)據(jù)庫(kù)中暫存的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)總量不再發(fā)生改變時(shí)，模塊可直接認(rèn)定CSRF型漏洞已完成對(duì)區(qū)塊鏈網(wǎng)絡(luò)的入侵性攻擊。

表3 CSRF型漏洞數(shù)據(jù)檢測(cè)原理

2 基于區(qū)塊鏈技術(shù)的漏洞檢測(cè)系統(tǒng)需求分析

在網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)應(yīng)用模塊的支持下，按照區(qū)塊交易格式定義、區(qū)塊鏈智能合約連接、系統(tǒng)功能需求分析、用例圖構(gòu)建的處理流程，實(shí)現(xiàn)基于區(qū)塊鏈技術(shù)網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)的順利應(yīng)用。

2.1 區(qū)塊交易格式

系統(tǒng)核心檢測(cè)主機(jī)需要將任務(wù)管理模塊的連接請(qǐng)求封裝成區(qū)塊交易的形式，再借助各級(jí)輸出信道，將這些數(shù)據(jù)包信息發(fā)送給網(wǎng)絡(luò)客戶端節(jié)點(diǎn)，具體交易字段的設(shè)計(jì)格式如下：

1)from：區(qū)塊鏈from交易是一個(gè)長(zhǎng)度為20字節(jié)的目標(biāo)檢測(cè)地址，能夠標(biāo)識(shí)交易請(qǐng)求初始發(fā)起點(diǎn)的地址信息。

2)to：區(qū)塊鏈to交易也是一個(gè)長(zhǎng)度為20字節(jié)的目標(biāo)檢測(cè)地址，能夠標(biāo)識(shí)交易接收節(jié)點(diǎn)所處的地址信息，但若系統(tǒng)內(nèi)網(wǎng)絡(luò)安全漏洞數(shù)據(jù)的檢測(cè)指令需要智能合約的配合，則此地址可以非填寫狀態(tài)存在[12]。

3)gas：區(qū)塊鏈gas交易是隸屬于bigInteger數(shù)據(jù)范疇的信息檢測(cè)行為，其標(biāo)識(shí)處理過程能夠?yàn)橄到y(tǒng)檢測(cè)指令提供可直接消耗的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)，并通過幣值兌換的方式，得到準(zhǔn)確的數(shù)據(jù)檢測(cè)結(jié)果，當(dāng)交易結(jié)束時(shí)，未被消耗的gas會(huì)直接退回原始發(fā)起節(jié)點(diǎn)，從而彌補(bǔ)區(qū)塊鏈網(wǎng)絡(luò)中或缺的物理信息參量。

4)gasPrice：區(qū)塊鏈gasPrice交易也是隸屬于bigInteger數(shù)據(jù)范疇的信息檢測(cè)行為，其標(biāo)識(shí)處理過程能夠記錄區(qū)塊鏈網(wǎng)絡(luò)中的gas消耗實(shí)值，通常情況下，可用字節(jié)兌換率來(lái)表示，在網(wǎng)絡(luò)安全漏洞數(shù)據(jù)檢測(cè)實(shí)值不超過理想限度條件時(shí)，gas交易的設(shè)置量也始終保持為網(wǎng)絡(luò)默認(rèn)值。

5)value：區(qū)塊鏈value交易雖具備bigInteger數(shù)據(jù)的連接能力，但很難直接面對(duì)系統(tǒng)數(shù)據(jù)庫(kù)中暫存的網(wǎng)絡(luò)安全漏洞信息，因此只能標(biāo)識(shí)交易過程中發(fā)起節(jié)點(diǎn)向接收節(jié)點(diǎn)傳輸?shù)男畔⒘繉?shí)值。

6)data：區(qū)塊鏈data交易是滿足十六進(jìn)制編碼需求的信息字符串，能夠標(biāo)識(shí)該次檢測(cè)指令中附帶網(wǎng)絡(luò)安全漏洞信息的具體數(shù)值量條件，當(dāng)編譯好的智能合約進(jìn)入?yún)^(qū)塊鏈網(wǎng)絡(luò)后，所有滿足系統(tǒng)處理需求的安全漏洞數(shù)據(jù)都可被記錄在該次信息交易之中[13]。

7)nonce：區(qū)塊鏈nonce交易可在暫存的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)中做出明確記錄標(biāo)注，當(dāng)系統(tǒng)檢測(cè)指令使用相同的交易請(qǐng)求時(shí)，最近一次的物理操作便可覆蓋前一次的操作記錄，從而實(shí)現(xiàn)對(duì)系統(tǒng)檢測(cè)結(jié)果的實(shí)時(shí)更新。

2.2 區(qū)塊鏈智能合約

智能合約是區(qū)塊鏈代碼與區(qū)塊鏈數(shù)據(jù)的集合表現(xiàn)形式，可直接部署在網(wǎng)絡(luò)應(yīng)用環(huán)境中。在漏洞數(shù)據(jù)制裁者節(jié)點(diǎn)與中間方節(jié)點(diǎn)的作用下，該合約協(xié)議可將區(qū)塊鏈?zhǔn)录c區(qū)塊鏈通知同時(shí)反饋至執(zhí)行器結(jié)構(gòu)體之中，從而使系統(tǒng)協(xié)商者與驗(yàn)證者之間的發(fā)送關(guān)系得到滿足[14-15]。在區(qū)塊鏈網(wǎng)絡(luò)中，系統(tǒng)檢測(cè)節(jié)點(diǎn)始終保持并列分布狀態(tài)(如圖3中的1～5號(hào)節(jié)點(diǎn))，而隨著事件信息總量的增加，執(zhí)行器中的強(qiáng)制者與觀察者會(huì)快速占據(jù)系統(tǒng)存儲(chǔ)倉(cāng)庫(kù)中的智能合約文件，當(dāng)驗(yàn)證者與協(xié)商者之間的數(shù)據(jù)發(fā)送關(guān)系不再發(fā)生改變時(shí)，合約協(xié)議的執(zhí)行效率也會(huì)隨之達(dá)到最大輸出數(shù)值。

圖2 區(qū)塊鏈智能合約生成示意圖

2.3 系統(tǒng)功能需求

網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)的功能需求分析包含如下幾個(gè)執(zhí)行環(huán)節(jié)。

1)設(shè)備注冊(cè)功能：

為了實(shí)現(xiàn)區(qū)塊鏈組織對(duì)網(wǎng)絡(luò)安全漏洞數(shù)據(jù)的精確檢測(cè)，各項(xiàng)硬件執(zhí)行設(shè)備在使用之間需要在網(wǎng)絡(luò)環(huán)境中進(jìn)行注冊(cè)，且注冊(cè)后結(jié)構(gòu)體必須保持初始的交互信息篩選能力[16]。

2)設(shè)備信息上傳：

區(qū)塊鏈網(wǎng)絡(luò)需要頻繁地對(duì)安全漏洞數(shù)據(jù)自身所運(yùn)行的信息進(jìn)行記錄，在此情況下，已接入?yún)^(qū)塊鏈網(wǎng)絡(luò)的硬件設(shè)備結(jié)構(gòu)體可將自身的定頻檢測(cè)數(shù)值直接上傳至系統(tǒng)核心檢測(cè)網(wǎng)絡(luò)之中。

3)信息獲取功能：

系統(tǒng)硬件設(shè)備元件想要獲取網(wǎng)絡(luò)安全漏洞信息首先需要對(duì)檢測(cè)主機(jī)進(jìn)行請(qǐng)求，經(jīng)過既定權(quán)限驗(yàn)證處理后，若數(shù)據(jù)參量滿足相應(yīng)的權(quán)限檢測(cè)條件，區(qū)塊鏈智能合約才能捕獲到想要獲取的信息數(shù)據(jù)[17]。

2.4 系統(tǒng)用例圖

用例分析是網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)設(shè)計(jì)的末尾處理環(huán)節(jié)，在區(qū)塊鏈技術(shù)的支持下，隨接入主機(jī)數(shù)量的不斷增加，執(zhí)行客戶端所負(fù)載的任務(wù)總量也會(huì)持續(xù)增長(zhǎng)。當(dāng)區(qū)塊鏈主機(jī)接入檢測(cè)網(wǎng)絡(luò)應(yīng)用環(huán)境后，各項(xiàng)信息文件可在檢測(cè)客戶端的作用下，更改已錄入信息的存在形式，并可按照既定序列條件對(duì)其進(jìn)行排列處理，待查詢需求得到核心主機(jī)的應(yīng)用批準(zhǔn)后，實(shí)現(xiàn)對(duì)系統(tǒng)檢測(cè)指令的刪除與處置[18-19]。至此，完成各項(xiàng)軟硬件執(zhí)行條件的設(shè)置與搭建，在區(qū)塊鏈技術(shù)的支持下，實(shí)現(xiàn)網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)的順利應(yīng)用。

圖3 網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)用例圖

3 系統(tǒng)應(yīng)用與檢測(cè)分析

為驗(yàn)證區(qū)塊鏈技術(shù)網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)的實(shí)際應(yīng)用價(jià)值，設(shè)計(jì)對(duì)比實(shí)驗(yàn)。在區(qū)塊鏈網(wǎng)絡(luò)環(huán)境中，統(tǒng)一所有IP網(wǎng)關(guān)參數(shù)，使其在既定執(zhí)行時(shí)間內(nèi)始終趨于穩(wěn)定。分別連接多個(gè)Alive主機(jī)，使其與Windows NT、Solaris、HT等多個(gè)執(zhí)行設(shè)備的調(diào)度行為保持一致，在既定檢測(cè)模塊的作用下，獲取多個(gè)數(shù)據(jù)檢測(cè)結(jié)果，以用于后續(xù)的實(shí)驗(yàn)指標(biāo)分析與研究，其中實(shí)驗(yàn)組主機(jī)搭載基于區(qū)塊鏈技術(shù)的網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)，對(duì)照組主機(jī)搭載C/S型網(wǎng)絡(luò)漏洞檢測(cè)系統(tǒng)。

定義opetare object代表連貫的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)信息、data level代表單向的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)信息、operate type代表雙向的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)信息、description代表非連貫的網(wǎng)絡(luò)安全漏洞數(shù)據(jù)信息，在既定實(shí)驗(yàn)環(huán)境中，分別統(tǒng)計(jì)各項(xiàng)指標(biāo)參量的具體變化情況。

表4 實(shí)驗(yàn)參數(shù)設(shè)置表

已知GYT指標(biāo)能反映系統(tǒng)的安全性等級(jí)劃分能力，通常情況下，前者的指標(biāo)數(shù)值越大，后者的劃分能力也就越強(qiáng)，反之則越弱。圖4記錄了實(shí)驗(yàn)組、對(duì)照組GYT指標(biāo)的具體變化情況。

圖4 GYT指標(biāo)對(duì)比圖

分析圖4可知，在整個(gè)實(shí)驗(yàn)過程中，實(shí)驗(yàn)組、對(duì)照組GYT指標(biāo)基本保持較為一致的變化趨勢(shì)。第30～45 min的實(shí)驗(yàn)時(shí)間內(nèi)，實(shí)驗(yàn)組、對(duì)照組GYT指標(biāo)均呈現(xiàn)不斷上升的變化趨勢(shì)，但前者的最大值達(dá)到69.9%，后者卻只能達(dá)到55.6%，二者的極值差達(dá)到14.3%。

KLD指標(biāo)可描述系統(tǒng)web漏洞的實(shí)際掃描覆蓋范圍，一般情況下，KLD指標(biāo)數(shù)值越大，系統(tǒng)掃描行為所覆蓋的范圍也就越寬泛，反之則越狹窄。表5記錄了實(shí)驗(yàn)組、對(duì)照組KLD指標(biāo)的具體變化情況。

表5 KLD指標(biāo)對(duì)比表

分析表5可知，隨著實(shí)驗(yàn)時(shí)間的增加，實(shí)驗(yàn)組KLD指標(biāo)始終保持相對(duì)穩(wěn)定的波動(dòng)變化趨勢(shì)，且第二組實(shí)驗(yàn)的記錄均值結(jié)果明顯高于第一組。對(duì)照組KLD指標(biāo)則始終保持不斷下降的變化趨勢(shì)，且第一組實(shí)驗(yàn)的記錄均值結(jié)果明顯高于第二組。選取實(shí)驗(yàn)組、對(duì)照組的極大值進(jìn)行對(duì)比，可知二者之間的最大差值為2.8%，實(shí)驗(yàn)組均值水平遠(yuǎn)高于對(duì)照組。

綜上可知，在既定實(shí)驗(yàn)環(huán)境下，隨著區(qū)塊鏈技術(shù)網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)的應(yīng)用，系統(tǒng)所具備的安全性等級(jí)劃分能力與web漏洞的實(shí)際掃描覆蓋范圍均得到不同程度的提升，不僅可解決由C/S結(jié)構(gòu)引起的web漏洞掃描受限的問題，也能夠大幅提升網(wǎng)絡(luò)應(yīng)用環(huán)境的安全性承載能力。

4 結(jié)束語(yǔ)

在網(wǎng)絡(luò)爬蟲模塊、任務(wù)管理模塊等多個(gè)硬件執(zhí)行設(shè)備的作用下，基于區(qū)塊鏈技術(shù)的網(wǎng)絡(luò)安全漏洞檢測(cè)系統(tǒng)可根據(jù)漏洞數(shù)據(jù)的具體所屬類別對(duì)其進(jìn)行分類處理，且隨著區(qū)塊交易格式的逐漸統(tǒng)一，系統(tǒng)的功能執(zhí)行需求也得到充分滿足。從實(shí)用性角度來(lái)看，GYT指標(biāo)、KLD指標(biāo)的快速提升，可在擴(kuò)大web漏洞實(shí)際掃描覆蓋范圍的同時(shí)，實(shí)現(xiàn)對(duì)系統(tǒng)安全性等級(jí)劃分能力的提升，具備較強(qiáng)的實(shí)際應(yīng)用意義。