基于網絡探測的IP網絡安全性分析的研究

陶崢

【摘要】 隨著網絡技術的不斷發展，以及網絡在生活及工作等方面扮演著越來越重要的角色，網絡安全問題也層出不窮。網絡安全問題也越來越受到人們的重視，各種網絡安全解決方案也原來越先進，但網絡入侵檢測和網絡脆弱性分析是解決這一問題重要手段之一。而本文就基于網絡探測的IP網絡安全性分析，來研究網絡入侵檢測和網絡脆弱性分析，來保證IP網絡安全有效平穩的運行。

【關鍵詞】 計算機系統 網絡入侵檢測 網絡脆弱性分析 檢測原理

一、計算機系統中存在的安全性問題

計算機技術的飛速發展，并應用于教育、農業、經濟、軍事、政治等等各個方面，且它其他技術不斷的融合，導致人們越來越依賴于網絡。嚴重的依賴導致計算機網絡安全存在巨大的危險，如果計算機網絡一旦出現安全漏洞，那么小則浪費人力、物力，導致個人和企業喪失競爭優勢，大則對國家財產安全甚至是國家的機密信息的安全都會造成威脅。網絡安全問題不容小覷。

計算機網絡技術復雜，多變，有的網絡系統安全性并不高，存在著許多漏洞。眾多網絡“黑客”正是利用這一漏洞，來侵入計算機網絡系統，竊取信息甚至是摧毀現有系統。對于“黑客”的身份和目的性我們并不能確定，他有可能只是出于游戲和獵奇心理，來尋找某些網絡系統中存在的漏洞，因此，網絡安全檢測和入侵行為的防御是一項長期而艱苦的斗爭。

二、網絡入侵檢測

所謂入侵系統檢測，就是指能夠通過分析系統或網絡安全相關數據來檢測入侵活動的系統。一般來說，入侵檢測系統在功能結構上是相同的，均由數據采集、數據分析、以及用戶接口能幾個功能模塊組成，只是具體系統檢測在分析數據的方法、數據采集以及數據采集的類型方面有所不同。Denning在1996年提出的基于主機系統的主體特征輪廓、系統對象、審計日志、異常記錄以及活動規則等的檢測系統模型是最典型的系統設計模型。例如：IDES、NIDES。但隨著這種網絡安全斗爭的不斷發展，設計模型也在不斷更新。Heberlein利用Denning的模型設計的NSM系統能夠在以太網中通過網絡業務分析進行檢測。DIDS是對NSM的發展，把網絡中主機系統的審計機制收集到事件數據通過網絡進行綜合處理。

2.1 IDES模型

它是Denning最早提出的入侵檢測模型，它能夠檢測出黑客入侵、越權操作及其他種類非正常使用計算機系統的行為。它由主體、客體、審計記錄、輪廓、異常記錄和活動規則六部分組成。IDES實際上是一個基于規則模式匹配的系統，這個模型不需要不需要保護目標系統的安全弱點和攻擊者的手段。因此，它是一個異常入侵檢測模型。

2.2 IDM模型

設計人員在開發分布式入侵檢測系統時，提出一個層次化的入侵檢測模型，簡稱IDM。

這個模型給出了在推斷網絡中計算機受攻擊時數據抽象過程，它給出了將分散的原始數據轉化為高層次的有關入侵檢測環境的全部建設過程。通過把收集到的分散的數據進行加工抽象和數據關聯操作，IDM構造了一臺虛擬的機器環境，這臺機器由所有的相連主機和網絡組成。將分布式系統看作一臺虛擬的計算機的觀點簡化了跨越單機入侵行為識別。

2.3兩種模型的比較

IDES模型依靠主機的審計記錄，因此，在網絡環境下，IDES模型還是具有一定的局限性。首先，它無法準確地描述網絡攻擊行為；其次，網絡攻擊行為具有一定的復雜性，一些攻擊者會通過協作的方式來挖掘系統的弱點，IDES模型無法描述攻擊者的操作過程；再者，它最多只能保護單一主機，然而網絡入侵攻擊的目標是多樣的，且常常是互聯的，IDES無法判斷出隱藏的攻擊活動。最后，IDES模型的局限是把入侵征兆的信息來源局限于審計記錄，這種做法是遠遠不夠的。而IDM模型則是對IDES模型的補充。

總之，入侵檢測模型要隨著網絡技術和入侵技術而變化。一方面要擴充入侵檢測模型，另一方面要易于擴充。

三、兩種基本檢測原理

絕大多數入侵檢測系統包括已有的和正在開發的都是圍繞異常檢測和誤用檢測兩種基本原理展開的。

3.1誤用檢測模型

誤用檢測是根據已知的入侵模式來檢測入侵。入侵者常常利用系統和應用軟件中的弱點攻擊，而這些弱點易標準化成某種模式，如果入侵者的攻擊方式恰好匹配上檢測系統中的模式庫，則入侵者即被檢測到。應用誤用檢測原理的檢測方案主要有基于概率誤用入侵檢測方法、基于專家系統誤用檢測、基于狀態遷移分析誤用檢測方法，基于鍵盤監控誤用檢測方法、基于模型誤用檢測方法等。

3.2異常檢測模型

異常檢測是根據非正常行為和使用計算機資源非正常情況檢測出入侵行為。

異常檢測試圖用定量方式描述常規的或可接受的行為，以標識非常規的、潛在的入侵行為。異常入侵檢測的主要前提是入侵活動作為異常活動的子集。會有這樣的情況，若外部人闖入計算機系統，盡管沒有危及用戶資源使用的傾向和企圖，可是仍然存在一種入侵可能性，還是將它的行為作異常處理，似乎很合理。但是入侵活動常常是由單個活動組合起來執行，單個活動卻與異常情況獨立無關。理想的情況是，異常活動集和入侵活動集一致，這樣，就可以識別所有的異常活動恰恰是檢測到的所有入侵性活動，結果不會造成錯誤的判斷。可是入侵活動并不總是與異常活動相符合。有四種可能情況：

（1）入侵性而非異常。將導致不能被檢測到，造成漏檢，結果是IDS不報告入侵。

（2）非入侵性且是異常的，會造成虛報。

（3）非入侵性非異常。活動不具有入侵性，IDS不報告，屬于正常判斷。

（4）入侵且異常，活動具有入侵性并因為活動是異常的，IDS報告為入侵。

應用異常檢測原理的檢測方法主要有統計異常檢測方法等。再者，異常的門限設置不當，往往會導致IDS經常地誤報警和漏檢。漏檢對于重要的安全系統來說還是非常危險的。同樣，誤報警會增加安全管理員的負擔，容易造成麻痹大意。而且，也會導致IDS的異常檢測器計算開銷增大。

四、網絡脆弱性分析

首先，在分析網絡脆弱性之前，我們必須得清楚什么是網絡脆弱性。網絡脆弱性指的是網絡中任何能被黑客用來作為攻擊前提的特性。網絡是由主機、通信子網、各種協議和應用軟件等組成的復雜系統。網絡的脆弱性主要就來自于這些部件的安全缺陷和不正確配置。在單一的行為條件下或者單個的計算機系統下，網絡是出于安全狀態的。但是，網絡本身就是互聯的，因而它具有復雜的網絡配置。越復雜的網絡越脆弱，一旦某個不經意的點被攻破，那么所面臨的將是整個系統的癱瘓甚至是徹底損毀。

另一方面，網絡脆弱性分析是能夠通過分析系統或網絡安全相關特性、配置來檢測系統或網絡安全缺陷或漏洞的系統。一般來說，網絡脆弱性分析系統在功能結構上也是基本一致的，均由數據采集、脆弱性分析以及用戶接口等幾個功能模塊組成，只是具有脆弱性分析系統在利用系統或網絡安全特性、配置數據分析網絡脆弱性的方法、采集數據及采集數據的類型方面有所不同。已經有的網絡脆弱性分析工具包括：基于行為建模的，基于攻擊樹的，基于網絡描述的，基于主機的分析。下面就舉幾種典型的脆弱性分析技術。

4.1 NVT模型

它是由美國空軍研究實驗室開發。NVT應用一個拓撲系統模型，這個模型支持眾多脆弱性分析工具的信息需求，NVT原型整合和互聯網應用若干已有的脆弱性分析評估技術，產生一個一體的、組合的脆弱性分析工具。NVT程序定義和發展了一個脆弱性評估環境，這個評估環境將若干脆弱性分析資源和工具組合到一個粘合的脆弱性可視化體系結構中。它提供了一個靈活的、可拓展的、易維護的解決方案，它使每一個脆弱性分析工具處理和報告能力獨立于一個系統的實際信息。它的優點是，讓每一個工具只僅僅利用它所需要的輸入數據。而它能夠提供一個靈活的、有標準組件的、可擴展的脆弱性分析途徑，不僅是一個富有創新的設計，更是它的最大的一個優點。

4.2 NVA模型

分析過程如下：第一步，定義脆弱性度量；第二步，網絡狀態被刻畫為正常、不確定或者脆弱，這是基于所選度量的門限值；最后，用節點和流脆弱性指標度量量化網絡脆弱性。但它最大的缺點是沒能反映網絡拓撲連接性對于網絡脆弱性的直接影響。

這兩種分析方法分別體現了兩種不同的設計理念，特別是NVT模型，它的全新的設計理念，值得學習和借鑒。

在模型的基礎上，下面是幾種流行的分析方法。

1）網絡描述：提供網絡經受攻擊或故障而幸免的能力分析：這種分析方法提供了一種系統框架，這種系統框架將故障和攻擊事件注入一個給定的網絡描述，然后將注入事件以模式曲線圖的形式可視化輸出。這種方法利用模式校驗、貝葉斯分析和統計分析。

2）攻擊樹：攻擊樹假定所有的攻擊路徑已知并且可以被定義為可能或者不可能，通過將已知的攻擊模式映射到攻擊樹上以量化網絡脆弱性，判定何種攻擊可能性最大因而最有可能存在于網絡中。

3）被動檢測網絡鏈接：這種方法利用公開監測工具得到多種網絡性能測試的數值化數據。

美國坦桑尼亞大學Guangzhi Qu等人提出的網絡脆弱性分析體系結構為該領域的研究工作奠定了重要基礎。它是一種分布式的分析體系。以每種攻擊類型的脆弱性度量作為每個代理的輸入，代理同時監視網絡收集網絡節點狀態和服務性能指標，各個代理的脆弱性度量特定值經過事件綜合處理機制作為脆弱性分析模塊的輸入，輸出為在特定攻擊類型下的脆弱性指標。

五、總結

在計算機技術飛速發展的今天，尤其是計算機技術和通信技術相融合，人們的日常生活更離不開計算機網絡。而計算機網絡正在慢慢的融為一個大的整體，其復雜性可見一斑。整體里面所包含的是人們的日常工作和生活的方方面面以及企業甚至是國家的一些機密信息。所以對于網絡安全性的檢測必不可少。

在安全性檢測的前提下要了解網絡入侵原型、網絡檢測原型以及網絡脆弱的分析，這樣對于網絡的入侵與防御以及其內部的運行才能有一個更加全面的了解，這樣對于不斷提高網絡安全運行的水平也起著重要的作用

參 考 文 獻

[1]蔣建春 馮登國等，網絡入侵檢測原理與技術，國防工業出版社

[2]李鴻培 王新梅等，入侵檢測中幾個關鍵技術研究，西安電子科技大學博士研究生畢業論文，2001

[3]王繼龍、錢德沛、張然、楊新宇、張興軍，互聯網應用性能測量系統的研究實現

[4]呂錫香，基于網絡探測的IP網絡安全性分析的研究，西安電子科技大學研究生畢業論文，2004