新聞中心

EEPW首頁 > 手機(jī)與無線通信 > 設(shè)計(jì)應(yīng)用 > 網(wǎng)絡(luò)安全檢測(cè)與監(jiān)控技術(shù)的研究

網(wǎng)絡(luò)安全檢測(cè)與監(jiān)控技術(shù)的研究

作者: 時(shí)間:2009-07-23 來源:網(wǎng)絡(luò) 收藏

摘要:計(jì)算機(jī)的發(fā)展及計(jì)算機(jī)應(yīng)用的深入和廣泛,使得安全問題日益突出和復(fù)雜。現(xiàn)代安全是網(wǎng)絡(luò)專家分析和的熱點(diǎn)課題。首先闡述因特網(wǎng)的即實(shí)時(shí)和安全掃描的概念、工作原理以及防火墻系統(tǒng)的優(yōu)勢(shì)和不足;然后介紹能夠主動(dòng)測(cè)試系統(tǒng)安全且已實(shí)現(xiàn)的網(wǎng)絡(luò)安全自動(dòng)檢測(cè)系統(tǒng)和入侵預(yù)警系統(tǒng);最后總結(jié)網(wǎng)絡(luò)安全維護(hù)的重要性。
關(guān)鍵詞:網(wǎng)絡(luò)安全;防火墻;自動(dòng)檢測(cè)與技術(shù);入侵預(yù)警系統(tǒng)

本文引用地址:http://butianyuan.cn/article/157946.htm


1 引言
互聯(lián)網(wǎng)的發(fā)展,在大大拓展信息資源共享空間和時(shí)間、提高利用率的同時(shí),存在著很多安全隱患,如正在運(yùn)行的網(wǎng)絡(luò)系統(tǒng)中有無不安全的網(wǎng)絡(luò)服務(wù);操作系統(tǒng)上有無漏洞可能導(dǎo)致遭受緩沖區(qū)溢出攻擊或拒絕服務(wù)的攻擊;系統(tǒng)中是否安裝竊聽程序;對(duì)于安裝了防火墻系統(tǒng)的局域網(wǎng),防火墻系統(tǒng)是否存在安全漏洞或配置錯(cuò)誤等。
另外,各種計(jì)算機(jī)病毒和黑客攻擊層出不窮。它們可能利用計(jì)算機(jī)系統(tǒng)和通信協(xié)議中的設(shè)計(jì)漏洞,盜取用戶口令,非法訪問計(jì)算機(jī)中的信息資源、竊取機(jī)密信息、破壞計(jì)算機(jī)系統(tǒng)。為了解決上述網(wǎng)絡(luò)存在的安全問題,則必須加強(qiáng)網(wǎng)絡(luò)與監(jiān)控。


2 網(wǎng)絡(luò)技術(shù)
網(wǎng)絡(luò)安全檢測(cè)技術(shù)主要包括實(shí)時(shí)安全監(jiān)控技術(shù)和安全掃描技術(shù)。實(shí)時(shí)安全監(jiān)控技術(shù)通過硬件或軟件實(shí)時(shí)檢查網(wǎng)絡(luò)數(shù)據(jù)流并將其與系統(tǒng)入侵特征數(shù)據(jù)庫的數(shù)據(jù)相比較,一旦發(fā)現(xiàn)有被攻擊的跡象,立即根據(jù)用戶所定義的動(dòng)作做出反應(yīng)。這些動(dòng)作可以是切斷網(wǎng)絡(luò)連接,也可以是通知防火墻系統(tǒng)調(diào)整訪問控制策略,將入侵的數(shù)據(jù)包過濾掉。安全掃描技術(shù)(包括網(wǎng)絡(luò)遠(yuǎn)程安全掃描、防火墻系統(tǒng)掃描、Web網(wǎng)站掃描和系統(tǒng)安全掃描等技術(shù))可以對(duì)局域網(wǎng)絡(luò)、Web站點(diǎn)、主機(jī)操作系統(tǒng)以及防火墻系統(tǒng)的安全漏洞進(jìn)行掃描,及時(shí)發(fā)現(xiàn)漏洞并予以修復(fù),從而降低系統(tǒng)的安全風(fēng)險(xiǎn)。
網(wǎng)絡(luò)安全檢測(cè)技術(shù)基于自適應(yīng)安全管理模式。該管理模式認(rèn)為:任何一個(gè)網(wǎng)絡(luò)都不可能安全防范其潛在的安全風(fēng)險(xiǎn)。它有兩個(gè)特點(diǎn):一是動(dòng)態(tài)性和自適應(yīng)性,這可通過網(wǎng)絡(luò)安全掃描軟件的升級(jí)及網(wǎng)絡(luò)安全監(jiān)控中的入侵特征庫的更新來實(shí)現(xiàn);二是應(yīng)用層次的廣泛性,可用于操作系統(tǒng)、網(wǎng)絡(luò)層和應(yīng)用層等各個(gè)層次網(wǎng)絡(luò)安全漏洞的檢測(cè)。
很多早期的網(wǎng)絡(luò)安全掃描軟件是針對(duì)遠(yuǎn)程網(wǎng)絡(luò)安全掃描。這些掃描軟件能檢測(cè)并分析遠(yuǎn)程主機(jī)的安全漏洞。事實(shí)上。由于這些軟件能夠遠(yuǎn)程檢測(cè)安全漏洞。因而也恰是網(wǎng)絡(luò)攻擊者進(jìn)行攻擊的有效工具。網(wǎng)絡(luò)攻擊者利用這些掃描軟件對(duì)目標(biāo)主機(jī)進(jìn)行掃描,檢測(cè)可以利用的安全性弱點(diǎn),通過一次掃描得到的信息將是進(jìn)一步攻擊的基礎(chǔ)。這也說明安全檢測(cè)技術(shù)對(duì)于實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要性。網(wǎng)絡(luò)管理員可以利用掃描軟件,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并在網(wǎng)絡(luò)攻擊者掃描和利用之前予以修補(bǔ),從而提高網(wǎng)絡(luò)的安全性。
利用網(wǎng)絡(luò)安全檢測(cè)技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)安全檢測(cè)和實(shí)時(shí)攻擊識(shí)別,但它只能作為網(wǎng)絡(luò)安全的一個(gè)重要的安全組件,還應(yīng)該結(jié)合防火墻組成一個(gè)完整的網(wǎng)絡(luò)安全解決方案。


3 防火墻系統(tǒng)分析
近年來隨著Internet的飛速發(fā)展,很多局域網(wǎng)采用了防火墻系統(tǒng)保護(hù)內(nèi)部網(wǎng)絡(luò)安全。防火墻就是一個(gè)位于計(jì)算機(jī)和其所連接的網(wǎng)絡(luò)之間的軟硬件體系,從計(jì)算機(jī)流人流出的所有網(wǎng)絡(luò)信息均要經(jīng)此防火墻的檢測(cè)和過濾。
3.1 防火墻的功能及類型
防火墻限制對(duì)被保護(hù)網(wǎng)絡(luò)的非法訪問,它是設(shè)置在被保護(hù)內(nèi)網(wǎng)和外部網(wǎng)絡(luò)之間的一道屏障,用來檢查網(wǎng)絡(luò)入口點(diǎn)通訊,根據(jù)設(shè)定的安全規(guī)則,對(duì)通過防火墻的數(shù)據(jù)流進(jìn)行監(jiān)測(cè)、限制和修改,這樣可過濾掉一些攻擊,以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可關(guān)閉未用的端口,禁止特定端口的流出通信,封鎖特洛伊木馬,禁止來自特殊站點(diǎn)的訪問,從而防止不明入侵者的所有通信。
防火墻具有不同類型,它可以是硬件自身的一部分,可以將因特網(wǎng)連接和計(jì)算機(jī)都插入其中;也可以在一個(gè)獨(dú)立的機(jī)器上運(yùn)行,該機(jī)器作為其背后網(wǎng)絡(luò)中所有計(jì)算機(jī)的代理和防火墻,而直接連在因特網(wǎng)的機(jī)器可使用個(gè)人防火墻。
3.2 防火墻的局限性
個(gè)人防火墻并不是專為防范惡意攻擊而設(shè)計(jì)的,微軟的IE和AQL的NETSCAPE瀏覽器均存在黑客可以利用的安全漏洞,從而導(dǎo)致用戶的個(gè)人數(shù)據(jù)遭到竊取。防火墻存在以下局限性:
(1)防火墻深入檢測(cè)和分析網(wǎng)絡(luò)數(shù)據(jù)流量的同時(shí),網(wǎng)絡(luò)的傳輸速度勢(shì)必會(huì)受到影響;如果防火墻過于嚴(yán)格,可能會(huì)影響為合法用戶提供連接的性能;
(2)傳統(tǒng)的防火墻需要人工實(shí)施和維護(hù),不能主動(dòng)跟蹤入侵者;
(3)不是所有的Internet訪問都需經(jīng)過防火墻,如內(nèi)網(wǎng)用戶為方便使用,Modem直接與Internet相連,這樣防火墻就無法提供安全保護(hù),且此連接可能會(huì)成為攻擊者的后門,從而使其繞過防火墻;
(4)不是所有的威脅都來自外部網(wǎng)絡(luò),防火墻僅能到內(nèi)網(wǎng)與Internet邊界的流量,無法檢測(cè)到網(wǎng)絡(luò)內(nèi)的流量。
(5)防火墻自身容易遭受攻擊,最令人煩惱的攻擊是隧道攻擊和基于應(yīng)用的攻擊。隧道攻擊是指由于防火墻根據(jù)網(wǎng)絡(luò)協(xié)議決定數(shù)據(jù)包是否通過。然而把一種協(xié)議的信息封裝在另外一種允許通過協(xié)議的信息中時(shí),禁止通過的流量就穿越防火墻。此種攻擊采用的手段類似于VPN中的隧道機(jī)制,故稱隧道攻擊。而基于應(yīng)用的攻擊指通過發(fā)送包直接與應(yīng)用通信,利用這些應(yīng)用的漏洞。如通過發(fā)送HTTP命令在Web應(yīng)用中執(zhí)行緩沖區(qū)溢出攻擊來利用Web軟件的漏洞。如果防火墻配置成允許HTTP流量,包含此攻擊的包將通過。
總之,防火墻不是一種動(dòng)態(tài)的防衛(wèi)系統(tǒng),對(duì)來自內(nèi)部的攻擊和撥號(hào)上網(wǎng)無能為力,也已存在許多技術(shù)優(yōu)于防火墻(如IPSpoofing,IP Fragmentation)。積極的方法是主動(dòng)測(cè)試系統(tǒng)的安全性能,及早發(fā)現(xiàn)安全漏洞并改進(jìn)系統(tǒng)。


4 網(wǎng)絡(luò)安全自動(dòng)檢測(cè)系統(tǒng)
掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序,它并不直接修復(fù)網(wǎng)絡(luò)漏洞。掃描器有3個(gè)功能:發(fā)現(xiàn)一個(gè)主機(jī)或網(wǎng)絡(luò);一旦發(fā)現(xiàn)一臺(tái)主機(jī),可以找出該機(jī)器正在運(yùn)行的服務(wù);測(cè)試具有漏洞的服務(wù)。其基本原理是當(dāng)用戶試圖連接一個(gè)特殊服務(wù)時(shí),捕獲連接產(chǎn)生的信息。
網(wǎng)絡(luò)安全自動(dòng)檢測(cè)系統(tǒng)主要是利用現(xiàn)有的安全攻擊方法對(duì)系統(tǒng)實(shí)施模擬攻擊,以發(fā)現(xiàn)系統(tǒng)的安全設(shè)置缺陷。首要問題是收集、分析各種黑客攻擊的手段、方法,為了適應(yīng)網(wǎng)絡(luò)攻擊方法而不斷更新,設(shè)計(jì)由攻擊方法插件(plugin)構(gòu)成的掃捕/攻擊方法庫。攻擊方法插件實(shí)際上是一個(gè)描述和實(shí)現(xiàn)攻擊方法的動(dòng)態(tài)鏈接庫。為方便維護(hù)和管理掃描/攻擊方法庫,采取統(tǒng)一接口的描述語言描述每一種新的攻擊方法,實(shí)現(xiàn)方法庫的動(dòng)態(tài)增加。以掃描/攻擊方法庫為基礎(chǔ),設(shè)計(jì)實(shí)現(xiàn)掃描調(diào)度程序和掃描控制程序。掃描控制程序接受用戶的掃描命令,配置要掃描的網(wǎng)絡(luò)、主機(jī)、攻擊方法,并分析處理掃描結(jié)果。掃描調(diào)度根據(jù)掃描控制程序發(fā)送的掃描要求,動(dòng)態(tài)調(diào)用方法庫中的方法掃描網(wǎng)絡(luò)或主機(jī),并將掃描結(jié)果反饋給掃描控制程序。
圖1為網(wǎng)絡(luò)安全自動(dòng)檢測(cè)系統(tǒng)總體結(jié)構(gòu)。

5 網(wǎng)絡(luò)入侵監(jiān)控預(yù)警系統(tǒng)
網(wǎng)絡(luò)安全自動(dòng)檢測(cè)系統(tǒng)的目的在于發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞,而網(wǎng)絡(luò)入侵監(jiān)控預(yù)警系統(tǒng)則負(fù)責(zé)監(jiān)視網(wǎng)絡(luò)上的通信數(shù)據(jù)流,捕捉可疑的網(wǎng)絡(luò)活動(dòng),及時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)安全的攻擊,并實(shí)時(shí)響應(yīng)和報(bào)警。
網(wǎng)絡(luò)入侵監(jiān)控預(yù)警系統(tǒng)一般設(shè)在防火墻或路由器后面,是防火墻等傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的一個(gè)強(qiáng)有力助手。其結(jié)構(gòu)如圖2所示。網(wǎng)絡(luò)入侵監(jiān)控預(yù)警系統(tǒng)的技術(shù)關(guān)鍵是嗅探器的設(shè)計(jì)。嗅探器可以是硬件軟件(通常是軟硬件結(jié)合),用以接收在網(wǎng)絡(luò)上傳輸?shù)男畔?。設(shè)置嗅探器的目的是使網(wǎng)絡(luò)接口處于廣播狀態(tài),從而可以截獲網(wǎng)絡(luò)上的傳輸內(nèi)容。網(wǎng)絡(luò)上傳輸?shù)男畔⒃谌魏螀f(xié)議下都是由信息包組成的,信息包攜帶著數(shù)據(jù)。在機(jī)器的操作系統(tǒng)間的網(wǎng)絡(luò)接口級(jí)進(jìn)行交換。

嗅探器假定每個(gè)人口的數(shù)據(jù)包都具有潛在敵意。通過對(duì)數(shù)據(jù)包分解、組合和分析,以判斷數(shù)據(jù)包是否合理,對(duì)于無效、泄密、帶有攻擊性的數(shù)據(jù)包進(jìn)行實(shí)時(shí)記錄和報(bào)警。嗅探器包含抓包和包分析兩大功能。抓包主要通過設(shè)計(jì)網(wǎng)卡的全收模式攔截?cái)?shù)據(jù)包;包分析則檢測(cè)數(shù)據(jù)包是否合法。為此,首先對(duì)各種黑客攻擊方法進(jìn)行分類,提取出攻擊規(guī)則,構(gòu)成攻擊規(guī)則庫,從待分析的數(shù)據(jù)包中分解出關(guān)鍵信息,與攻擊規(guī)則庫的規(guī)則進(jìn)行模式匹配,若發(fā)現(xiàn)可疑攻擊,則實(shí)時(shí)報(bào)警并記錄報(bào)警及網(wǎng)絡(luò)活動(dòng)信息。


6 結(jié)語
計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展使計(jì)算機(jī)應(yīng)用更深入和廣泛,但隨之也使網(wǎng)絡(luò)安全問題日益突出和復(fù)雜。網(wǎng)絡(luò)安全技術(shù)具有的復(fù)雜性和多樣性,使網(wǎng)絡(luò)安全發(fā)展為一種專門的技術(shù)和服務(wù)。網(wǎng)絡(luò)安全自動(dòng)檢測(cè)和網(wǎng)絡(luò)入侵監(jiān)控預(yù)防的開發(fā)為網(wǎng)絡(luò)信息資源的安全提供了預(yù)防和防范攻擊的有效措施。當(dāng)然,網(wǎng)絡(luò)信息不存在絕對(duì)的安全,攻擊方法也在不斷地更新,因此,我們應(yīng)該不斷發(fā)現(xiàn)、總結(jié),及時(shí)概括最新的攻擊方法,保證網(wǎng)絡(luò)的持久安全。



評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉