計算機系統信息收集層和檢測層相關技術分析

李小娜

（寧夏電投西夏熱電有限公司 寧夏 銀川 750021）

0 引言

隨著計算機網絡技術的不斷發展，計算機給人類經濟、文化、軍事和社會活動帶來更多便利的同時，也帶來了相當巨大的安全挑戰。現代信息網絡面臨著各種各樣的安全威脅，有來自網絡外面的攻擊，比如網絡黑客、病毒等；也有來自網絡內部的威脅，并且這種威脅更為危險。因此內部威脅檢測技術和工具研究成為人們關注和研究的焦點。

1 入侵檢測

1.1 基于主機的入侵檢測

基于主機的入侵檢測系統用于保護單臺主機不受網絡攻擊行為的危害，利用系統日志和審計記錄來進行檢測分析。通常在受保護的主機上有專門的檢測代理，通過對系統日志和審計記錄不間斷地監視和分析來發現攻擊。這類入侵檢測系統直接與操作系統有關，它控制文件系統以及重要的系統文件，確保操作系統不會被隨意地刪改。按照檢測對象的不同，基于主機的入侵檢測系統可以分為網絡連接檢測和主機文件檢測。

1.2 基于網絡的入侵檢測

基于網絡的入侵檢測系統通常作為一個獨立的個體放置在被保護的網絡上，它使用原始的網絡分組數據包作為進行的數據源，一般利用一個網絡適配器來實時監視和分析所有通過網絡傳輸的通信。一旦檢測到攻擊，入侵檢測系統應答模塊通過通知、報警以及中斷連接等方式對攻擊做出反映。通常，基于網絡的入侵檢測系統放置在防火墻或網關后，就像網絡窺探器捕獲網絡上的數據包一樣。但它不延誤包的傳送，因為它僅僅是監視包。同時，由于它是通過在共享網段上偵聽采集通信數據、分析可疑現象，因此它對主機資源消耗少。

1.3 基于內核的入侵檢測系統

基于內核的入侵檢測系統是一種較新的技術，特別是在Linux上。在Linux上目前可用的基于內核的入侵檢測系統主要有兩種:Open Wall和LIDS。它們采取措施防止緩沖區溢出，增加文件系統的保護，封閉信號，從而使得入侵者破壞系統越來越困難。LIDS同時也采取一些步驟以阻止根用戶的一些活動，例如安裝一個包嗅探器或菏澤改變防火墻策略。

2 日志分析

2.1 文本方式

在統一安全管理系統中以文本方式采集日志數據主要是指郵件或FTP方式。郵件方式是指在安全設備內設定報警或通知條件，當符合條件的事件發生時，相關情況被一一記錄下來，然后在某一時間由安全設備或系統主動地將這些日志信息以郵件形式發給郵件接受者，屬于被動采集日志數據方式。其中的日志信息通常是以文本方式傳送，傳送的信息量相對少且需專業人員才能看懂。而FTP方式必須事先開發特定的采集程序進行日志數據采集，每次連接都是完整下載整個日志文本文件,網絡傳輸數據量可能非常大，屬于主動采集日志數據方式。

隨著網絡高速的發展，網絡內部以百兆、千兆甚至萬兆互聯，即使采取功能強大的計算機來處理日志數據包的采集工作，相對來說以上兩種方式速度和效率也是不盡人意。因此，文本方式只能在采集日志數據范圍小、速度比較慢的網絡中使用，一般在網絡安全管理中不被主要采用。

2.2 SNMP Trap方式

建立在簡單網絡管理協議SNMP上的網絡管理，人們通常使用SNMP Trap機制進行日志數據采集。生成Trap消息的事件(如系統重啟)由Trap代理內部定義，而不是通用格式定義。由于Trap機制是基于事件驅動的，代理只有在監聽到故障時才通知管理系統，非故障信息不會通知給管理系統。對于該方式的日志數據采集只能在SNMP下進行，生成的消息格式單獨定義，對于不支持SNMP設備通用性不是很強。

網絡設備的部分故障日志信息，如環境、SNMP訪問失效等信息由SNMP Trap進行報告，通過對SNMP數據報文中Trap字段值的解釋就可以獲得一條網絡設備的重要信息，由此可見管理進程必須能夠全面正確地解釋網絡上各種設備所發送的Trap數據，這樣才能完成對網絡設備的信息監控和數據采集。

但是由于網絡結構和網絡技術的多樣性，以及不同廠商管理其網絡設備的手段不同，要求網絡管理系統不但對公有Trap能夠正確解釋，更要對不同廠商網絡設備的私有部分非常了解，這樣才能正確解析不同廠商網絡設備所發送的私有Trap，這也需要跟廠商緊密合作，進行聯合技術開發，從而保證對私有Trap完整正確的解析和應用。此原因導致該種方式面對不同廠商的產品采集日志數據方式需單獨進行編程處理，且要全面解釋所有日志信息才能有效地采集到日志數據。由此可見，該采集在日常日志數據采集中通用性不強。

2.3 Syslog方式

已成為工業標準協議的系統日志(Syslog)協議是在加里佛尼亞大學伯克立軟件分布研究中心的TCP/IP系統實施中開發的，目前，可用它記錄設備的日志。在路由器、交換機、服務器等網絡設備中，Syslog記錄著系統中的任何事件，管理者可以通過查看系統記錄，隨時掌握系統狀況。它能夠接收遠程系統的日志記錄，在一個日志中按時間順序處理包含多個系統的記錄,并以文件形式存盤。同時不需要連接多個系統，就可以在一個位置查看所有的記錄。Syslog使用UDP作為傳輸協議，通過目的端口514(也可以是其他定義的端口號),將所有安全設備的日志管理配置發送到安裝了Syslog軟件系統的日志服務器，Syslog日志服務器自動接收日志數據并寫到日志文件中。

3 漏洞掃描

3.1 基于主機的安全漏洞掃描器

基于主機安全漏洞掃描器通過查看系統內部的主要配置文件的完整性和正確性以及重要文件和程序的權限 (比如系統內核、文件屬性、操作系統的補丁等)，對主機內部安全狀態進行分析，查找軟件所在主機上的風險漏洞。即采用被動的、非破壞性的方法對系統進行檢測。一般主機型掃描器采用Client/Server的系統結構。

3.2 基于網絡的安全漏洞掃描器

基于網絡的安全漏洞掃描器主要利用一些腳本來模擬對系統的攻擊行為，然后對結果進行分析。類似從外部模擬黑客攻擊手法，通過端口掃描測試安全漏洞性能。即采用積極的、破壞性的方法來檢驗系統是否可能被攻擊崩潰。典型技術有SATAN,管理器(Manager)IIS等。

3.3 基于目標的安全漏洞掃描器

基于目標的安全漏洞掃描器運行一個封閉的環，不斷的處理文件、系統目標、系統目標屬性，然后產生檢測數，將這些檢測數同原來的檢測數相比較，一旦發現改變就通知管理員。即是被動的、非破壞行的方法。

3.4 基于應用的安全漏洞掃描器

基于應用的安全漏洞掃描器主要通過檢查應用軟件的設置，進而發現存在的安全漏洞。即也是采用被動的、非破壞性的方法。隨著計算機應用的發展，這種面向應用的安全漏洞掃描器種類將會越來越多。

4 結束語

總之，由于內部威脅危害更大，同時與技術和工具都相對比較成熟的外部攻擊比起來，其檢測技術還很不成熟。因此，內部威脅檢測技術成為網絡安全領域的一個研究熱點，還需更多的研究者對其展開深入研究。

［1］王自亮，羅守山，楊義先.入侵檢測系統的測試與評估[J].中國數據通信，2002，11:14-19.

［2］吳勇軍.入侵檢測系統研究與實現[D].成都:電子科技大學，2004.

［3］［4］馬遙，張國印.基于漏洞掃描的綜合掃描系統設計[D].哈爾濱:哈爾濱工程大學，2006.