摘要：当前，主要的开源Web漏洞扫描工具如Nikto、Nessus等都存在误报率与漏报率较高、评估不准确、扫描效率较低等问题。本文对漏洞扫描过程进行建模，在传统的基于配置的扫描策略上，提出了一种基于场景的扫描策略。使用场景树描述漏洞场景，并给出了场景树的构建及维护策略。最后，以Nikto的漏洞数据库为例，示范了如何将多条漏洞用例转化为场景树描述。使用漏洞场景扫描策略可以提高扫描效率，减小误报率，提高评估的准确度。

关键词：网络安全 漏洞扫描 基于场景的扫描策略 场景树 

单位：国防科学技术大学计算机学院 湖南长沙410073 北京航空航天大学计算机学院 北京100083 中国信息安全产品测评认证中心 北京100089