基于網(wǎng)絡安全的一種新的漏洞檢測系統(tǒng)方案

[摘要]本文分析了漏洞檢測技術(shù)重要性、研究現(xiàn)狀以及存在問題，提出了一個新的漏洞檢測系統(tǒng)模型。該系統(tǒng)與入侵檢測系統(tǒng)結(jié)合后，具有自動防御、入侵取證等新特性。

[關(guān)鍵詞]網(wǎng)絡安全 入侵檢測系統(tǒng) 漏洞檢測系統(tǒng)

一、引言

Internet迅速發(fā)展的同時也帶來了各種安全問題，各種黑客對網(wǎng)絡的有意攻擊越來越猛烈。黑客入侵總是從尋找系統(tǒng)的漏洞開始的，因此及時發(fā)現(xiàn)系統(tǒng)存在的漏洞并采取相應的防護措施顯得尤為重要，這就涉及到安全漏洞檢測問題。分析安全漏洞產(chǎn)生的根源，研究當前漏洞檢測技術(shù)和產(chǎn)品存在的不足并進行改進，推動安全漏洞檢測技術(shù)的進一步發(fā)展，對于網(wǎng)絡安全、入侵檢測等領(lǐng)域都有重要的意義。

安全漏洞檢測就是對計算機系統(tǒng)或其他網(wǎng)絡設備進行安全相關(guān)的測試，以找出安全隱患和可能被黑客利用的缺陷。在汲取前人工作經(jīng)驗教訓的基礎(chǔ)上，文章提出了一種新的漏洞檢測系統(tǒng)方案。作為對傳統(tǒng)網(wǎng)絡安全產(chǎn)品的擴展，可以全面提升防范平臺的性能。

二、一種新的漏洞檢測系統(tǒng)

與入侵檢測系統(tǒng)(IDS)結(jié)合，提出了一個新的具有自動防御功能和入侵取證功能的漏洞檢測系統(tǒng)方案。

1.層次式系統(tǒng)體系結(jié)構(gòu)

層次式體系結(jié)構(gòu)(Hierarchical Architecture)的漏洞檢測系統(tǒng)在邏輯上是樹形結(jié)構(gòu)：葉節(jié)點為本地(主機)基本事件的收集、分析和檢測實體(基于主機或基于網(wǎng)絡)；中間節(jié)點或根節(jié)點為監(jiān)視域中綜合事件的收集、分析和檢測實體(根節(jié)點通常還同時是管理控制臺)。每個檢測實體都由一組具有獨立檢測功能的基本檢測單元組成。葉節(jié)點只根據(jù)從本地主機上收集的基本事件信息進行漏洞檢測。這樣的若干父節(jié)點可以構(gòu)成更高層中間節(jié)點的監(jiān)視域，從而可以根據(jù)更抽象的綜合信息進行更加整體化和全局化的檢測和決策。以此類推， 直到負責最高層次監(jiān)視域的根節(jié)點。根節(jié)點通常作為一個管理控制臺， 用以評估攻擊狀況并做出響應。系統(tǒng)管理員可以據(jù)此了解系統(tǒng)狀態(tài)和發(fā)送命令。通過逐層向上精簡信息和逐層向下精簡控制，層次式結(jié)構(gòu)可以獲得有效的通信效果。

2.系統(tǒng)模型

本文的安全漏洞檢測系統(tǒng)采用三層結(jié)構(gòu)，包括五個數(shù)據(jù)庫和五個功能模塊。系統(tǒng)漏洞特征規(guī)則庫：該庫中存放了目前已知的系統(tǒng)漏洞名稱、特征、可能造成的危害等描述，是判斷一個系統(tǒng)是否存在漏洞的理論依據(jù)。系統(tǒng)漏洞補丁庫：針對已經(jīng)發(fā)現(xiàn)的系統(tǒng)和軟件漏洞，各公司會及時發(fā)布補丁。該庫收集了這樣的補丁，與漏洞特征規(guī)則庫中的記錄相對應。漏洞掃描插件庫：為了解決漏洞檢測系統(tǒng)靈活性和動態(tài)更新等要求，選擇采用掃描插件的策略。每個插件能檢測出特定的一個或者幾個少數(shù)的漏洞。入侵檢測特征庫：由于該漏洞檢測系統(tǒng)是與入侵檢測系統(tǒng)配合使用的，所以還應包括一個入侵檢測特征庫。黑客攻擊工具庫：這是該模型特有的數(shù)據(jù)庫，收集了大量黑客攻擊工具。當系統(tǒng)受到攻擊時，在管理員的干預下，系統(tǒng)調(diào)用相應的黑客工具，對攻擊源進行反攻擊，使其喪失繼續(xù)攻擊的能力。這就是主動防御的思想。

正常情況下，系統(tǒng)管理員發(fā)布“安全檢查”指令，系統(tǒng)調(diào)用靜態(tài)掃描和動態(tài)掃描功能模塊，對主機進行主動的漏洞檢測。檢測的結(jié)果通過報告日志生成模塊生成日志，并且與漏洞特征規(guī)則數(shù)據(jù)庫、補丁數(shù)據(jù)庫配合，生成完整的系統(tǒng)安全方案提交給管理員。管理員根據(jù)系統(tǒng)提交的安全方案，針對當前主機存在的安全漏洞，選擇合適的安全策略進行補救。

當發(fā)生黑客攻擊時，首先入侵檢測系統(tǒng)發(fā)現(xiàn)入侵行為并進行報警。報警信息傳給系統(tǒng)管理員的同時，調(diào)用入侵取證模塊。入侵取證模塊完成數(shù)據(jù)采集、實時入侵分析、響應、重要數(shù)據(jù)的傳輸和保存、事后取證分析等功能后，產(chǎn)生入侵日志和取證日志；管理員收到警報后，可以發(fā)布攻擊指令，調(diào)用動態(tài)掃描模塊對攻擊源進行漏洞掃描，根據(jù)掃描結(jié)果，從工具庫中選擇合適的黑客工具對攻擊源進行攻擊，使其在短時間內(nèi)喪失繼續(xù)攻擊的能力。

三、掃描插件的實現(xiàn)

掃描插件有效地保證了漏洞檢測系統(tǒng)的靈活性和動態(tài)更新性，因此掃描插件的實現(xiàn)是本系統(tǒng)的一個關(guān)鍵技術(shù)。掃描插件是漏洞檢測系統(tǒng)的基石，它是完成檢測功能的程序?qū)嶓w。對于這個關(guān)鍵技術(shù)，本文的解決思路是：首先從網(wǎng)絡上下載已有的漏洞掃描工具作為現(xiàn)成的掃描插件直接加入到漏洞掃描插件庫中；同時對于新發(fā)布的漏洞，可以自由編制增加新的掃描插件。在具體制作新的掃描插件時，可以考慮將網(wǎng)絡端口掃描技術(shù)與Win Socket編程相結(jié)合，根據(jù)協(xié)議和漏洞的原理編制網(wǎng)絡端口掃描器來實現(xiàn)。掃描插件的收集和編寫是一個長期的工作，需要在日常的研究工作中不斷的收集和探索。

四、系統(tǒng)實現(xiàn)

本文的漏洞檢測系統(tǒng)給出了安全漏洞的解決方案。

考慮到本系統(tǒng)的跨平臺運行特點，在開發(fā)的過程中采用PERL以及C為程序設計語言，以LINUX及Windows NT為平臺進行開發(fā)。

本文的漏洞檢測系統(tǒng)經(jīng)過筆者和同行的多次測試，測試結(jié)果顯示本文的漏洞檢測系統(tǒng)是穩(wěn)定的、高效的。經(jīng)過多次和同類產(chǎn)品的實例檢測比較，本文的漏洞檢測系統(tǒng)均顯示了比其他同行產(chǎn)品更卓越的檢測性能。本文的系統(tǒng)彌補了傳統(tǒng)安全工具的一些缺陷，克服了類似產(chǎn)品的諸多缺點，比較好地實現(xiàn)了攻擊工具的集成和控制。

五、結(jié)束語

漏洞檢測是保障網(wǎng)絡安全的首道門戶。筆者分析當前漏洞檢測技術(shù)存在的不足，并考慮相應的改進措施，提出了一種新的漏洞檢測系統(tǒng)方案。本系統(tǒng)彌補了傳統(tǒng)安全工具的一些缺陷，克服了類似產(chǎn)品的諸多缺點，比較好地實現(xiàn)了攻擊工具的集成和控制，在新型安全防范平臺中具有一定的作用，對于推動網(wǎng)絡安全技術(shù)的發(fā)展具有重要的意義。

參考文獻：

[1]俞曉雯，高強，丁杰.一種入侵檢測取證系統(tǒng)模型的設計.微機發(fā)展.2004.8：P117-119

[2]郎良等.漏洞檢測與主動防御系統(tǒng)模型的研究與實現(xiàn).計算機工程.2004.7：P38-40.

[3]馬恒太，蔣建春.基于Agent的分布式入侵檢測系統(tǒng)模型.軟件學報，2005，11：(10)：P1312-1319.

[4]張勇，張德運.基于分布協(xié)作式代理的網(wǎng)絡入侵檢測技術(shù)的研究與實現(xiàn).計算機學報，2006.24(7)：P736-741.

[5]王學榮，曾曉勤.從面向?qū)ο髷?shù)據(jù)庫模式到關(guān)系數(shù)據(jù)庫模式的轉(zhuǎn)換[J].計算機工程與科學.2005.5：P100-107.

(作者單位：中國石油天然氣集團公司信息管理部)