網(wǎng)絡安全檢測與監(jiān)控技術(shù)的研究
互聯(lián)網(wǎng)的發(fā)展���,在大大拓展信息資源共享空間和時間、提高利用率的同時����,存在著很多安全隱患,如正在運行的網(wǎng)絡系統(tǒng)中有無不安全的網(wǎng)絡服務�����;操作系統(tǒng)上有無漏洞可能導致遭受緩沖區(qū)溢出攻擊或拒絕服務的攻擊�����;系統(tǒng)中是否安裝竊聽程序;對于安裝了防火墻系統(tǒng)的局域網(wǎng)��,防火墻系統(tǒng)是否存在安全漏洞或配置錯誤等���。
另外�,各種計算機病毒和黑客攻擊層出不窮���。它們可能利用計算機系統(tǒng)和通信協(xié)議中的設計漏洞�����,盜取用戶口令�����,非法訪問計算機中的信息資源、竊取機密信息���、破壞計算機系統(tǒng)����。為了解決上述網(wǎng)絡存在的安全問題,則必須加強網(wǎng)絡安全檢測與監(jiān)控����。
網(wǎng)絡安全檢測技術(shù)
網(wǎng)絡安全檢測技術(shù)主要包括實時安全監(jiān)控技術(shù)和安全掃描技術(shù)。實時安全監(jiān)控技術(shù)通過硬件或軟件實時檢查網(wǎng)絡數(shù)據(jù)流并將其與系統(tǒng)入侵特征數(shù)據(jù)庫的數(shù)據(jù)相比較�����,一旦發(fā)現(xiàn)有被攻擊的跡象���,立即根據(jù)用戶所定義的動作做出反應�。這些動作可以是切斷網(wǎng)絡連接�,也可以是通知防火墻系統(tǒng)調(diào)整訪問控制策略,將入侵的數(shù)據(jù)包過濾掉�����。安全掃描技術(shù)(包括網(wǎng)絡遠程安全掃描��、防火墻系統(tǒng)掃描����、Web網(wǎng)站掃描和系統(tǒng)安全掃描等技術(shù))可以對局域網(wǎng)絡、Web站點�、主機操作系統(tǒng)以及防火墻系統(tǒng)的安全漏洞進行掃描���,及時發(fā)現(xiàn)漏洞并予以修復,從而降低系統(tǒng)的安全風險���。
網(wǎng)絡安全檢測技術(shù)基于自適應安全管理模式�。該管理模式認為:任何一個網(wǎng)絡都不可能安全防范其潛在的安全風險�。它有兩個特點:一是動態(tài)性和自適應性,這可通過網(wǎng)絡安全掃描軟件的升級及網(wǎng)絡安全監(jiān)控中的入侵特征庫的更新來實現(xiàn)�����;二是應用層次的廣泛性���,可用于操作系統(tǒng)���、網(wǎng)絡層和應用層等各個層次網(wǎng)絡安全漏洞的檢測。
很多早期的網(wǎng)絡安全掃描軟件是針對遠程網(wǎng)絡安全掃描�。這些掃描軟件能檢測并分析遠程主機的安全漏洞。事實上�����。由于這些軟件能夠遠程檢測安全漏洞����。因而也恰是網(wǎng)絡攻擊者進行攻擊的有效工具。網(wǎng)絡攻擊者利用這些掃描軟件對目標主機進行掃描�����,檢測可以利用的安全性弱點��,通過一次掃描得到的信息將是進一步攻擊的基礎(chǔ)�。這也說明安全檢測技術(shù)對于實現(xiàn)網(wǎng)絡安全的重要性。網(wǎng)絡管理員可以利用掃描軟件����,及時發(fā)現(xiàn)網(wǎng)絡漏洞并在網(wǎng)絡攻擊者掃描和利用之前予以修補,從而提高網(wǎng)絡的安全性��。
利用網(wǎng)絡安全檢測技術(shù)可以實現(xiàn)網(wǎng)絡安全檢測和實時攻擊識別�����,但它只能作為網(wǎng)絡安全的一個重要的安全組件�����,還應該結(jié)合防火墻組成一個完整的網(wǎng)絡安全解決方案。
防火墻系統(tǒng)分析
近年來隨著Internet的飛速發(fā)展�,很多局域網(wǎng)采用了防火墻系統(tǒng)保護內(nèi)部網(wǎng)絡安全。防火墻就是一個位于計算機和其所連接的網(wǎng)絡之間的軟硬件體系���,從計算機流人流出的所有網(wǎng)絡信息均要經(jīng)此防火墻的檢測和過濾����。
?。? 防火墻的功能及類型
防火墻限制對被保護網(wǎng)絡的非法訪問,它是設置在被保護內(nèi)網(wǎng)和外部網(wǎng)絡之間的一道屏障����,用來檢查網(wǎng)絡入口點通訊,根據(jù)設定的安全規(guī)則�����,對通過防火墻的數(shù)據(jù)流進行監(jiān)測���、限制和修改�����,這樣可過濾掉一些攻擊���,以免其在目標計算機上被執(zhí)行��。防火墻還可關(guān)閉未用的端口,禁止特定端口的流出通信�,封鎖特洛伊木馬,禁止來自特殊站點的訪問����,從而防止不明入侵者的所有通信。
防火墻具有不同類型���,它可以是硬件自身的一部分��,可以將因特網(wǎng)連接和計算機都插入其中�����;也可以在一個獨立的機器上運行�����,該機器作為其背后網(wǎng)絡中所有計算機的代理和防火墻����,而直接連在因特網(wǎng)的機器可使用個人防火墻。
?����。? 防火墻的局限性
個人防火墻并不是專為防范惡意攻擊而設計的���,微軟的IE和AQL的NETSCAPE瀏覽器均存在黑客可以利用的安全漏洞�����,從而導致用戶的個人數(shù)據(jù)遭到竊取���。防火墻存在以下局限性:
防火墻深入檢測和分析網(wǎng)絡數(shù)據(jù)流量的同時,網(wǎng)絡的傳輸速度勢必會受到影響�;如果防火墻過于嚴格,可能會影響為合法用戶提供連接的性能��;
傳統(tǒng)的防火墻需要人工實施和維護��,不能主動跟蹤入侵者���;
不是所有的Internet訪問都需經(jīng)過防火墻��,如內(nèi)網(wǎng)用戶為方便使用��,Modem直接與Internet相連�����,這樣防火墻就無法提供安全保護����,且此連接可能會成為攻擊者的后門���,從而使其繞過防火墻���;
不是所有的威脅都來自外部網(wǎng)絡,防火墻僅能到內(nèi)網(wǎng)與Internet邊界的流量���,無法檢測到網(wǎng)絡內(nèi)的流量�����。
防火墻自身容易遭受攻擊���,最令人煩惱的攻擊是隧道攻擊和基于應用的攻擊。隧道攻擊是指由于防火墻根據(jù)網(wǎng)絡協(xié)議決定數(shù)據(jù)包是否通過���。然而把一種協(xié)議的信息封裝在另外一種允許通過協(xié)議的信息中時�����,禁止通過的流量就穿越防火墻���。此種攻擊采用的手段類似于VPN中的隧道機制����,故稱隧道攻擊�。而基于應用的攻擊指通過發(fā)送包直接與應用通信,利用這些應用的漏洞�。如通過發(fā)送HTTP命令在Web應用中執(zhí)行緩沖區(qū)溢出攻擊來利用Web軟件的漏洞。如果防火墻配置成允許HTTP流量�����,包含此攻擊的包將通過��。
總之��,防火墻不是一種動態(tài)的防衛(wèi)系統(tǒng)�,對來自內(nèi)部的攻擊和撥號上網(wǎng)無能為力,也已存在許多技術(shù)優(yōu)于防火墻(如IPSpoofing�����,IP Fragmentation)。積極的方法是主動測試系統(tǒng)的安全性能���,及早發(fā)現(xiàn)安全漏洞并改進系統(tǒng)����。
網(wǎng)絡安全自動檢測系統(tǒng)
掃描器是一種自動檢測遠程或本地主機安全性弱點的程序����,它并不直接修復網(wǎng)絡漏洞����。掃描器有3個功能:發(fā)現(xiàn)一個主機或網(wǎng)絡;一旦發(fā)現(xiàn)一臺主機��,可以找出該機器正在運行的服務����;測試具有漏洞的服務。其基本原理是當用戶試圖連接一個特殊服務時�,捕獲連接產(chǎn)生的信息。
網(wǎng)絡安全自動檢測系統(tǒng)主要是利用現(xiàn)有的安全攻擊方法對系統(tǒng)實施模擬攻擊�����,以發(fā)現(xiàn)系統(tǒng)的安全設置缺陷。首要問題是收集���、分析各種黑客攻擊的手段�、方法�����,為了適應網(wǎng)絡攻擊方法而不斷更新�����,設計由攻擊方法插件(plugin)構(gòu)成的掃捕/攻擊方法庫�����。攻擊方法插件實際上是一個描述和實現(xiàn)攻擊方法的動態(tài)鏈接庫����。為方便維護和管理掃描/攻擊方法庫,采取統(tǒng)一接口的描述語言描述每一種新的攻擊方法��,實現(xiàn)方法庫的動態(tài)增加。以掃描/攻擊方法庫為基礎(chǔ)�,設計實現(xiàn)掃描調(diào)度程序和掃描控制程序。掃描控制程序接受用戶的掃描命令�����,配置要掃描的網(wǎng)絡���、主機����、攻擊方法�,并分析處理掃描結(jié)果。掃描調(diào)度根據(jù)掃描控制程序發(fā)送的掃描要求���,動態(tài)調(diào)用方法庫中的方法掃描網(wǎng)絡或主機��,并將掃描結(jié)果反饋給掃描控制程序。
網(wǎng)絡入侵監(jiān)控預警系統(tǒng)
網(wǎng)絡安全自動檢測系統(tǒng)的目的在于發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞��,而網(wǎng)絡入侵監(jiān)控預警系統(tǒng)則負責監(jiān)視網(wǎng)絡上的通信數(shù)據(jù)流�,捕捉可疑的網(wǎng)絡活動,及時發(fā)現(xiàn)對系統(tǒng)安全的攻擊�����,并實時響應和報警。
網(wǎng)絡入侵監(jiān)控預警系統(tǒng)一般設在防火墻或路由器后面����,是防火墻等傳統(tǒng)網(wǎng)絡安全產(chǎn)品的一個強有力助手。其結(jié)構(gòu)如圖2所示�����。網(wǎng)絡入侵監(jiān)控預警系統(tǒng)的技術(shù)關(guān)鍵是嗅探器的設計����。嗅探器可以是硬件軟件(通常是軟硬件結(jié)合),用以接收在網(wǎng)絡上傳輸?shù)男畔?。設置嗅探器的目的是使網(wǎng)絡接口處于廣播狀態(tài),從而可以截獲網(wǎng)絡上結(jié)語
計算機網(wǎng)絡的發(fā)展使計算機應用更深入和廣泛����,但隨之也使網(wǎng)絡安全問題日益突出和復雜。網(wǎng)絡安全技術(shù)具有的復雜性和多樣性�����,使網(wǎng)絡安全發(fā)展為一種專門的技術(shù)和服務���。網(wǎng)絡安全自動檢測和網(wǎng)絡入侵監(jiān)控預防的開發(fā)為網(wǎng)絡信息資源的安全提供了預防和防范攻擊的有效措施�����。當然��,網(wǎng)絡信息不存在絕對的安全�����,攻擊方法也在不斷地更新��,因此�����,我們應該不斷發(fā)現(xiàn)����、總結(jié),及時概括最新的攻擊方法���,保證網(wǎng)絡的持久安全。
的傳輸內(nèi)容�����。網(wǎng)絡上傳輸?shù)男畔⒃谌魏螀f(xié)議下都是由信息包組成的,信息包攜帶著數(shù)據(jù)�。在機器的操作系統(tǒng)間的網(wǎng)絡接口級進行交換。
嗅探器假定每個人口的數(shù)據(jù)包都具有潛在敵意���。通過對數(shù)據(jù)包分解�����、組合和分析���,以判斷數(shù)據(jù)包是否合理,對于無效�、泄密、帶有攻擊性的數(shù)據(jù)包進行實時記錄和報警��。嗅探器包含抓包和包分析兩大功能�����。抓包主要通過設計網(wǎng)卡的全收模式攔截數(shù)據(jù)包�����;包分析則檢測數(shù)據(jù)包是否合法。為此����,首先對各種黑客攻擊方法進行分類,提取出攻擊規(guī)則�����,構(gòu)成攻擊規(guī)則庫�,從待分析的數(shù)據(jù)包中分解出關(guān)鍵信息,與攻擊規(guī)則庫的規(guī)則進行模式匹配�,若發(fā)現(xiàn)可疑攻擊,則實時報警并記錄報警及網(wǎng)絡活動信息�����。
結(jié)語
計算機網(wǎng)絡的發(fā)展使計算機應用更深入和廣泛��,但隨之也使網(wǎng)絡安全問題日益突出和復雜���。網(wǎng)絡安全技術(shù)具有的復雜性和多樣性�����,使網(wǎng)絡安全發(fā)展為一種專門的技術(shù)和服務���。網(wǎng)絡安全自動檢測和網(wǎng)絡入侵監(jiān)控預防的開發(fā)為網(wǎng)絡信息資源的安全提供了預防和防范攻擊的有效措施。當然��,網(wǎng)絡信息不存在絕對的安全��,攻擊方法也在不斷地更新���,因此��,我們應該不斷發(fā)現(xiàn)����、總結(jié)�,及時概括最新的攻擊方法,保證網(wǎng)絡的持久安全�����。
?
