随着“互联网+”时代的到来,网络信息安全问题面临着越来越严峻的考验。如何确保网络信息安全,减少由Web应用程序漏洞造成的巨大经济损失逐渐成为学术界和工业界一个迫在眉睫的热点问题。为了解决这一问题,我们借助异步无状态端口技术,相似度智能爬行算法和页面相似度算法,设计了一款基于Web应用安全的扫描器,并在实际参与某标准化专业委员会团体标准《服务机器人信息安全要求和测试方法》制定中,我们发现已有的安全扫描器并不能满足企业对Web应用程序漏洞检测覆盖率的要求。通过使用我们设计的Web应用安全扫描器,得到的测试结果表明:该Web应用安全扫描器相比普通的Burpsuit扫描器能提高系统近5倍漏洞扫描数量,能够爬取到超过2倍的URL链接数量,在保证一定扫描准确率的条件下,尽可能地提高系统的扫描效率,确保了网络信息系统安全有序地运行,这对于改善网络信息系统脆弱性,防患黑客冲击事件,加强网络空间安全建设,从而减少企业由于漏洞造成的经济损失具有非常重要的现实意义。本文主要工作和创新点如下:1.针对目前端口扫描效率低且扫描不完整的问题,采用了基于异步无状态端口扫描和Nmap相结合的方法,对扫描目标进行全IP快速扫描,再结合Nmap进行端口服务、操作系统类型及版本探测。测试结果表明,针对同一台主机,使用Nmap进行全端口扫描至少耗时2个小时,利用异步无状态端口扫描方式,一台主机用时只有22秒,该方法比单独使用Nmap,提高了至少300倍的扫描效率,并保证了扫描的全面性。2.针对深度爬虫未考虑网页结构相似性,导致对相同表单重复检测的问题,提出了基于相似度的智能爬行算法。该算法分为三个阶段:第一阶段是基于Rabin指纹的URL去重。第二阶段是基于权重分配的页面相似度计算方法:将网页解析成DOM树,根据节点的位置、DOM树的深度以及深度相同的节点数量,平均分配权重给每个节点。第三阶段是采用聚合式层次聚类思想将具有相似结构的网页聚为一组并选取代表URL。利用该算法设计了智能爬虫,包括URL封装、HTTP发送请求、页面解析、URL去重、页面相似度和聚类等。实验结果表明,智能爬虫可有效去除93%以上的结构相似网页,减少大量相同表单的重复检测,提高扫描效率。3.针对系统复杂、难以管理的问题,该系统基于高内聚低耦合的设计原则,结合B/S三层架构,采用模块化、插件式的设计思想,降低了系统的复杂度,使系统方便扩展,易于管理。本系统在功能上分为三大模块:扫描配置模块、爬虫模块、漏洞检测模块。漏洞检测模块主要分为三个子模块:XSS漏洞检测模块、SQL漏洞检测模块、目录遍历漏洞检测模块,且网络用户可自定义扫描的类型和范围。以上对Web应用安全扫描器扫描效率的提高和改善,扫描配置方法的优化,使得Web应用安全扫描器在实际业务场景中发挥着至关重要的作用,实际上,在参与某标准化专业委员会团体标准的制定中,我们发现已有的Web安全扫描器难以达到企业的实际需求,通过我们设计和实现的Web应用安全扫描器,能够改善系统扫描功能,提高网络空间的安全性,从而防患由于Web应用程序漏洞造成的潜在损失（例如:经济损失和勒索敲诈等）。因此,我们设计的Web应用安全扫描器能够尽可能的应对网络空间安全中的考验和挑战,从而面对“互联网+”时代的网络信息安全问题。