网络安全检测与监控技术分析研究.pdf

《网络安全检测与监控技术分析研究.pdf》由会员分享，可在线阅读，更多相关《网络安全检测与监控技术分析研究.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、http:/-1-网络安全检测与监控技术分析研究网络安全检测与监控技术分析研究 朱斌，陈浩乾（西安科技大学，西安市，邮编 710054）Email： 摘摘 要：要：现代网络安全是网络专家致力于分析和研究的热点课题。本文就此问题阐述了因特网的网络安全检测技术即实时监控技术和安全扫描技术的概念、工作原理以及防火墙系统的优势和不足；介绍了能够积极主动测试系统安全并且已经得以实现的网络安全自动检测系统和入侵监控预警系统；最后对网络安全维护的重要性做出总结。关键词：关键词：网络安全，防火墙，自动检测与监控技术，入侵预警系统 中图分类号：中图分类号：TP393 计算机网络 1.前言前言 互联网的发展，在大

2、大拓展信息资源共享空间和时间、提高利用率的同时，存在着很多潜在的不安全隐患。如正在运行的网络系统中有没有不安全的网络服务；在操作系统上有没有漏洞可能导致遭受缓冲区溢出攻击或者拒绝服务的攻击；系统中有没有被安装了窃听程序；对于安装了防火墙系统的局域网络，防火墙系统是否存在安全漏洞和配制错误等。另外，各种计算机病毒和黑客攻击层出不穷。它们可能利用计算机系统和通信协议中的设计漏洞，盗取用户口令、非法访问计算机中的信息资源、窃取机密信息、破坏计算机系统1。为了解决网络上述存在的安全问题，就必须加强网络安全检测与监控。2.网络安全检测技术网络安全检测技术 网络安全检测技术2主要包括实时安全监控技术和安全

3、扫描技术。实时安全监控技术主要是通过硬件或者软件对网络上的数据流进行实时检查，并与系统中的入侵特征数据库的数据进行比较，一旦发现有被攻击的迹象，立即根据用户所定义的动作做出反应。这些动作可以是切断网络连接，也可以是通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉。安全扫描技术（包括网络远程安全扫描、防火墙系统扫描、web 网站扫描和系统安全扫描技术）可以对局域网络、web 站点、主机操作系统以及防火墙系统的安全漏洞进行扫描，及时发现漏洞并予以修复，从而降低系统的安全风险。网络安全检测技术基于自适应安全管理模式1。这种管理模式认为任何一个网络都不可能安全防范其潜在的安全风险。它有两个特

4、点：一是动态性和自适应性，这可以通过网络安全扫描软件的升级以及网络安全监控中的入侵特征库的更新来达到；二是应用层次的广泛性，可以应用于操作系统、网络层和应用层等各个层次网络安全漏洞的检测。在早期的网络安全扫描软件中有很多都是针对远程网络的安全扫描。这些扫描软件能够对远程主机的安全漏洞进行检测并进行一些分析。事实上，由于这些软件能够对安全漏洞进行远程检测，因而也恰是网络攻击者进行攻击的有效工具。网络攻击者利用这些扫描软件对目标主机进行扫描，检测目标主机上可以利用的安全性弱点，通过一次扫描得到的这些信息将是攻击者进行进一步攻击的基础。这也说明了网络安全检测技术对于实现网络安全的重要性。网络管理员可

5、以利用扫描软件，及时发现网络漏洞并在网络攻击者扫描和利用之前予以修补，从而提高网络的安全性。http:/-2-利用网络安全检测技术可以实现网络安全检测和实时攻击识别，但它只能作为网络安全的一个重要的安全组件，还应该结合防火墙来组成一个完整的网络安全解决方案。3.防火墙系统分析防火墙系统分析 近年来随着 Internet 的飞速发展，很多局域网采用了防火墙系统来保护内部网络的安全。防火墙就是一个位于计算机和它所连接的网络之间的软硬件体系，该计算机流入流出的所有网络通信信息均要经过此防火墙的检测和过滤。3.1 防火墙的功能防火墙的功能 防火墙是控制对被保护网络的非法访问，它是设置在被保护内网和外部

6、网络之间的一道屏障，用来检查网络入口点通讯，根据设定的安全规则，对通过防火墙的数据流进行监测、限制和修改，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口，而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。3.2 防火墙的类型防火墙的类型 防火墙具有不同类型。一个防火墙可以是硬件自身的一部分，可以将因特网连接和计算机都插入其中3。防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙。最后，直接连在因特网的机器可以使用个人防火墙。3.3 防火墙的局限性防火墙的局限性

7、 个人防火墙并不是专门为防范恶意攻击而设计的，微软的 IE 和 AQL 的 NETSCAPE 浏览器均存在一些黑客可以利用的安全漏洞，从而导致用户的个人数据遭到窃取。（1）防火墙在对网络数据流量进行深入检测和分析的同时，网络的传输速度势必就会受到影响。且如果防火墙过分严格，可能会影响为合法用户提供连接的性能；（2）传统的防火墙产品需要人工来实施和维护，不能主动跟踪入侵者；（3）不是所有的 Internet 访问都得经过防火墙。如有时内网用户为图方便，直接用 Modem与 Internet 相连，这样防火墙就无法提供安全保护，且此连接可能会成为攻击者的后门，从而使其绕过了防火墙；（4）不是所有的

8、威胁都来自防火墙外。由于防火墙仅能看到在内网与 Internet 边界的流量，则其无法看到网络内的流量。（5）防火墙本身容易遭受攻击。两种最令人烦恼的攻击是隧道攻击和基于应用的攻击。隧道攻击3是指由于防火墙根据网络协议决定包的通过/禁止，然而把一种协议的信息封装在另外一种允许通过协议的信息之中时，不该通过的流量穿越了防火墙。此种攻击采用的手段类似于 VPN 中的隧道机制，因而称之为隧道攻击。基于应用的攻击是指通过发送包直接与应用通信，利用这些应用的漏洞。如，某人可以通过发送 HTTP 命令在 WEB 应用中执行缓冲区溢出攻击来利用 web 软件中的漏洞。如果防火墙配制成允许 HTTP 流量通过

9、，包含此攻击的包将允许通过。总之，防火墙不是一种动态的防卫系统，对来自内部的攻击和拨号上网用户无能为力，也已存在许多技术突破防火墙（如 IP Spoofing,IP Fragmentation）。一种积极的方法是主动测试系统的安全性能，发现安全漏洞，对系统加以改进。下面将介绍一种已经开发的网络安全http:/-3-自动检测系统和一种网络入侵监控预警系统。4.网络安全自动检测系统网络安全自动检测系统 扫描器是一种自动检测远程或本地主机安全性弱点的程序5，它并不直接的攻击网络漏洞。它有 3 项功能：发现一个主机或网络；一旦发现一台主机，可以找出机器正在运行的服务；测试具有漏洞的服务。它的最基本原理

10、是当一个用户试图连接一个特殊服务时，捕获连接产生的信息。网络安全自动检测系统主要是利用现有的安全攻击方法来对系统实施模拟攻击，以发现系统的安全设置缺陷。首要的问题是收集、分析各种黑客攻击的手段、方法，为了适应网络攻击方法的不断更新，设计了由攻击方法插件（plug-in）构成的扫描/攻击方法库。方法插件实际上是一个描述和实现攻击方法的动态链接库。为了方便扫描/攻击方法库的维护和管理，采取统一接口的描述语言对每一种新的攻击方法加以描述，实现方法库的动态增加。以扫描/攻击方法库为基础，设计实现扫描调度程序和扫描控制程序。扫描控制程序接受用户的扫描命令，对要扫描的网络、主机、攻击方法加以配置，并对扫描

11、结果进行分析处理。扫描调度根据扫描控制程序发送的扫描要求，动态调用方法库中的方法对网络或主机进行扫描，将扫描结果反馈给扫描控制程序。网络安全自动检测系统的总体结构如图 1 所示。图 1 网络安全自动检测系统的总体结构 5.网络入侵监控预警系统网络入侵监控预警系统 网络安全自动检测系统4的目的在于发现系统中存在的安全漏洞，而网络入侵监控预警系统则负责监视网络上的通信数据流，捕捉可疑的网络活动，及时发现对系统的安全攻击，进行实时响应和报警。网络入侵监控预警系统一般放在防火墙或路由器后面，是防火墙等传统网络安全产品的一个强有力助手。http:/-4-其结构如图 2 所示。图 2 网络入侵监控预警系统

12、总体结构 网络入侵监控预警系统6的技术关键是设计嗅探器。嗅探器既可以是硬件也可以是软件（通常是软硬件的结合），用来接收在网络上传输的信息。放置嗅探器的目的是使网络接口处于广播状态，从而可以截获网络上的传输内容。网络上传输的信息不管在什么协议下，都是由信息包组成，它们携带者数据，在机器的操作系统间的网络接口级进行交换。嗅探器假定每个进口的数据包都是具有潜在敌意的。通过对数据包分解、组合和分析，从中判别数据包是否合理，对于无效、泄密、带有攻击性的数据包进行实时的记录和报警。嗅探器包含两大功能：抓包和包分析。抓包主要通过实现对网卡的全收模式的设计，拦截数据包。包分析则检测数据包是否合法，为此，从各种

13、黑客攻击方法进行分类，提取出攻击规则，构成攻击规则库。对待分析的数据包，从中分解出关键信息，与攻击规则库的规则进行模式匹配，发现可疑攻击，实时报警，记录报警及网络活动信息。6 结束语结束语 计算机网络的发展使计算机应用更加深入和广泛，但随之也使安全问题日益突出和复杂。网络安全技术具有的复杂性和多样性，使得网络安全越来越成为一种专门的技术和服务。网络安全自动检测和网络入侵监控预防的开发为网络信息资源的安全提供了预防和防范攻击的有效措施。当然，网络信息不存在绝对的安全，安全攻击也在不断地更新，因此，我们应该不断发现、总结，及时概括最新的攻击方法，保证网络的持续安全。Internet 防火墙/路由器

14、 防火墙/路由器 局域网 嗅探器 嗅探器 局域网 安全管理中心 http:/-5-参考文献参考文献 1王佳明,曾红卫,唐毅.网络安全自动检测系统（NSATS）.计算机工程,2000 2王 锐 译.网络最高安全技术指南.北京:机械工业出版社,1998 3 王惠琴,李明.基于 Web 数据库安全机制的研究J.计算机工程与设计,2002.4蔡亮,杨小虎,董金祥.数据库安全与保护系统的研究J.浙江大学学报(工学版),2002.5蒋继洪.计算机系统.数据库系统和通信网络的安全与保密M.成都:电子科技大学出版社,1991.6Paul E.Proctor.入侵检测使用手册M.中国电力出版社,2002 The

15、 research on the Network Security Testing and Monitoring Technology Zhu Bin，Xue Hongye(Department of Computer,Xian University of Science Technology)Abstract The modern network security is hot topic for network experts devote to analyzing and researching.This article elaborates network security testi

16、ng technology-the real-time monitoring technology and safe scanning technologys concept,principle as well as elaborates the fire-wall systems superiority and insufficiency on this question.We introduce the network security automated testing system and alarming system in this article,they have been i

17、mplemented and could test system security positively.Finally,make the summary to the network security maintenances importance.Keywords:The security of the network，Fire-wall，automated testing system，Alarming system against attacking 作者简介：朱斌(1983)，男，汉族，陕西咸阳人。2000 年毕业于山西太原科技大学，目前就读于西安科技大学计算机应用技术专业硕士研究生，研究计算机网络与数据库方向。