还剩22页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
浅析网络安全检测技术摘要计算机网络的发展及计算机应用的深入和广泛,使得网络安全问题日益突出和复杂,保障计算机网络安全逐渐成为数据通信领域产品研发的总趋势,现代网络安全成为了网络专家分析和研究的热点课题计算机网络安全检测技术就是在这种背景下被提出的,该技术研发的目的是为保证计算机网络服务的可用性,以及计算机网络用户信息的完整性、保密性本文针对多种计算机网络安全检测技术及其工作原理进行了深入的研究,并结合当前网络安全的实际情况,分析了计算机网络安全检测技术的现实意义关键词网络安全检测技术防火墙自动检测系统监控预警系统安全扫描技术目录TOC\o1-3\h\z\uHYPERLINK\l_Toc291840735第一章.网络中的安全问题3HYPERLINK\l_Toc291840736第二章.网络安全检测技术4HYPERLINK\l_Toc
2918407372.
1.网络安全检测技术的工作原理4HYPERLINK\l_Toc
2918407382.
2.网络安全检测系统的逻辑结构5HYPERLINK\l_Toc291840739第三章.网络安全扫描技术6HYPERLINK\l_Toc
2918407403.
1.网络远程安全扫描技术6HYPERLINK\l_Toc
2918407413.
2.防火墙系统分析7HYPERLINK\l_Toc
2918407423.
2.
1.防火墙的功能及类型7HYPERLINK\l_Toc
2918407433.
2.
2.防火墙的局限性7HYPERLINK\l_Toc
2918407443.
3.系统安全扫描技术8HYPERLINK\l_Toc291840745第四章.网络安全自动检测系统分析8HYPERLINK\l_Toc
2918407464.
1.安全测试8HYPERLINK\l_Toc
2918407474.
2.安全测试方法9HYPERLINK\l_Toc
2918407484.
3.网络安全自动检测系统的设计原理10HYPERLINK\l_Toc291840749第五章.网络入侵监控预警系统11HYPERLINK\l_Toc
2918407505.
1.网络入侵预警系统的模块组11HYPERLINK\l_Toc
2918407515.
2.网络入侵预警系统的技术分析13HYPERLINK\l_Toc291840752第六章.网络安全检测技术的现实意义14HYPERLINK\l_Toc
2918407536.
1.是对防火墙安全架构的必要补充14HYPERLINK\l_Toc
2918407546.
2.实现有效的网络安全评估体系14HYPERLINK\l_Toc
2918407556.
3.确保主机配置一致14HYPERLINK\l_Toc291840756结束语16HYPERLINK\l_Toc291840757参考文献17引言伴随着互联网商业化的迅速发展,互联网在大大拓展信息资源共享空间和时间,提高利用率的同时,存在着很多安全隐患网络安全问题日渐凸出,并且成为了我们不可小窥的网络问题之一出现在我们的生活中如正在运行的网络系统中有无不安全的网络服务;操作系统上有无漏洞可能导致遭受缓冲区溢出攻击或拒绝服务的攻击;系统中是否安装窃听程序;对于安装了防火墙系统的局域网,防火墙系统是否存在安全漏洞或配置错误等另外,各种计算机病毒和黑客攻击层出不穷它们可能利用计算机系统和通信协议中的设计漏洞,盗取用户口令,非法访问计算机中的信息资源窃取机密信息、破坏计算机系统,为了解决上述网络存在的安全问题,则必须加强网络安全检测与监控在这样的背景之下计算机网络安全检测技术应运而生第一章网络中的安全问题互联网的发展,在大大拓展信息资源共享空间和时间、提高其利用率的同时,也给信息资源的安全带来了前所未有的挑战各种计算机病毒和黑客攻击层出不穷,他们利用计算机系统和通信协议中的设计漏洞,盗取用户口令、非法访问计算机中的信息资源、窃取机密信息、破坏计算机系统【1】安全攻击的种类很多,但大致可以分为以下几种特洛伊木马(Trojanhorses)它活动于系统后台,不断监视所有键盘输入,盗取用户标识和口令;拒绝服务攻击(DenialofService)拒绝服务攻击,不损坏数据,而是使系统无法为用户提供服务如PingofDeath的方法将目标服务器关闭;同步攻击(CPSYNFlooding)在SYN攻击中,攻击者的计算机不回应其他计算机的ACK,而是向它发送大量的SYNACK信息使其他人不能进入该系统,从而导致了网络系统的崩溃;IP欺骗攻击(IPSpoofingAttack)在这种攻击方式下,通常是一台外部计算机伪装成网络内部的机器来获得某个服务器的通行证,从而取得合法用户的访问权限;Web欺骗攻击攻击者伪装成Web服务器与用户进行安全对话,用户被欺骗而给攻击者提供口令、信用卡信息以及其它有用的数据计算机网络安全是指利用网络管理控制和技术措施保证在一个网络环境里数据的保密性、完整性及可使用性受到保护计算机网络安全包括两个方面即物理安全和罗辑安全物理安全指系统设备及相关设施受到物理保护免于破坏、丢失等逻辑安全包括信息的完整性、保密性和可用性对计算机信息构成不安全的因素很多其中包括人为的因素、自然的因素和偶发的因素其中人为因素是指一些不法之徒利用计算机网络存在的漏洞或者潜入计算机房盗用计算机系统资源非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒人为因素是对计算机信息网络安全威胁最大的因素网络安全天生脆弱,计算机网络系统安全的脆弱性是伴随计算机网络一同产生的,换句话说,系统安全的脆弱是计算机网络与生俱来的致命弱点可以说世界上任何一个计算机网络都不是绝对安全的;黑客攻击后果严重,近几年,黑客猖狂肆虐,四面出击,使交通通信网http://www.cctime.com\t_blank络中断,军事指挥系统失灵,电力供水系统瘫痪,银行金融系统混乱,危及国家政治、军事、经济的安全与稳定,在世界各国造成了难以估量的损失;网络杀手集团化,目前,网络杀手除了一般的黑客外,还有一批具有高精尖技术的“专业杀手”,更令人担忧的是出现了具有集团性质的“网络恐怖分子”,甚至由政府出面组织的“网络战”、“黑客战”,其规模化、专业性和破坏程度都使其他黑客望尘莫及破坏手段多元化,目前,“网络恐怖分子”除了制造、传播病毒软件、设置“邮箱炸弹”外,更多的是借助工具软件对网络发动袭击,令其瘫痪或者盗用一些大型研究机构的服务器网络安全隐患主要表现在以下三个方面病毒、内部用户的非法操作和网络外部的黑客攻击对于病毒,几乎80%的应用网络都受到过它的侵害内部用户的非法操作包括恶意和非恶意两种一种是由于网络设计的不严密性,网络内部使用者误入他们本不该进入的领域,误改其中的数据;另一种是有些内部用户利用自身的合法身份有意对数据进行破坏据统计,70%左右的安全问题来源于内部用户黑客攻击是最可怕的,也是网络安全策略的首要防范对象网络黑客一旦进入某个网络,其造成的损失无法估量此外,网络协议的缺陷,如TCP/IP协议的安全问题,自然灾害,意外事故以及信息战等都会影响网络安全操作系统是作为一个支撑软件使得你的程序或别的运用系统在上面正常运行的一个环境操作系统提供了很多的管理功能主要是管理系统的软件资源和硬件资源操作系统软件自身的不安全性系统开发设计的不周而留下的破绽都给网络安全留下隐患操作系统结构体系的缺陷操作系统本身有内存管理、CPU管理、外设的管理每个管理都涉及到一些模块或程序如果在这些程序里面存在问题比如内存管理的问题外部网络的一个连接过来刚好连接一个有缺陷的模块可能出现的情况是计算机系统会因此崩溃所以有些黑客往往是针对操作系统的不完善进行攻击使计算机系统特别是服务器系统立刻瘫痪操作系统支持在网络上传送文件、加载或安装程序包括可执行文件这些功能也会带来不安全因素
[2]网络很重要的一个功能就是文件传输功能比如FTP这些安装程序经常会带一些可执行文件这些可执行文件都是人为编写的程序如果某个地方出现漏洞那么系统可能就会造成崩溃像这些远程调用、文件传输如果生产厂家或个人在上面安装间谍程序那么用户的整个传输过程、使用过程都会被别人监视到所有的这些传输文件、加载的程序、安装的程序、执行文件都可能给操作系统带来安全的隐患所以建议尽量少使用一些来历不明或者无法证明它的安全性的软件操作系统不安全的一个原因在于它可以创建进程支持进程的远程创建和激活支持被创建的进程继承创建的权利这些机制提供了在远端服务器上安装“间谍”软件的条件若将间谍软件以打补丁的方式“打”在一个合法用户上特别是“打”在一个特权用户上黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在操作系统有些守护进程它是系统的一些进程总是在等待某些事件的出现所谓守护进程比如说用户有没按键盘或鼠标或者别的一些处理一些监控病毒的监控软件也是守护进程这些进程可能是好的比如防病毒程序一有病毒出现就会被扑捉到但是有些进程是一些病毒一碰到特定的情况比如碰到7月1日它就会把用户的硬盘格式化这些进程就是很危险的守护进程平时它可能不起作用可是在某些条件发生比如7月1日它才发生作用如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况操作系统会提供一些远程调用功能所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序可以提交程序给远程的服务器执行远程调用要经过很多的环节中间的通讯环节可能会出现被人监控等安全的问题操作系统的后门和漏洞后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法在软件开发阶段程序员利用软件的后门程序得以便利修改程序设计中的不足一旦后门被黑客利用或在发布软件前没有删除后门程序容易被黑客当成漏洞进行攻击造成信息泄密和丢失此外操作系统的无口令的入口也是信息安全的一大隐患尽管操作系统的漏洞可以通过版本的不断升级来克服但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值当发现问题到升级这段时间一个小小的漏洞就足以使你的整个网络瘫痪掉第二章网络安全检测技术网络安全检测技术主要包括实时安全监控技术和安全扫描技术实时安全监控技术通过硬件或软件实时检查网络数据流并将其与系统入侵特征数据库的数据相比较,一旦发现有被攻击的迹象,立即根据用户所定义的动作做出反应这些动作可以是切断网络连接,也可以是通知防火墙系统调整访问控制策略,将入侵的数据包过滤http://whatis.ctocio.com.cn/searchwhatis/117/
7464617.shtml\t_bank掉安全扫描技术包括网络远程安全扫描、防火墙系统扫描、Web网站扫描和系统安全扫描等技术可以对局域http://whatis.ctocio.com.cn/searchwhatis/194/
7352194.shtml\t_bank网络、Web站点、主机操作系统http://whatis.ctocio.com.cn/searchwhatis/250/
7333750.shtml\t_bank以及防火墙系统的安全漏洞进行扫描,及时发现漏洞并予以修复,从而降低系统的安全风险网络安全检测技术基于自适应安全管理模式
[3]该管理模式认为任何一个网络都不可能安全防范其潜在的安全风险它有两个特点一是动态性和自适应性,这可通过网络安全扫描软件的升级及网络安全监控中的入侵特征库的更新来实现;二是应用层次的广泛性,可用于操作系统、网络层和应用层等各个层次网络安全漏洞的检测 很多早期的网络安全扫描软件是针对远程网络安全扫描这些扫描软件能检测并分析远程主机的安全漏洞事实上,由于这些软件能够远程检测安全漏洞因而也恰是网络攻击者进行攻击的有效工具网络攻击者利用这些扫描软件对目标主机进行扫描,检测可以利用的安全性弱点,通过一次扫描得到的信息将是进一步攻击的基础这也说明安全检测技术对于实现网络安全的重要性网络管理员可以利用扫描软件,及时发现网络漏洞并在网络攻击者扫描和利用之前予以修补,从而提高网络的安全性 利用网络安全检测技术可以实现网络安全检测和实时攻击识别,但它只能作为网络安全的一个重要的安全组件,还应该结合防火墙组成一个完整的网络安全解决方案
2.
1.网络安全检测技术的工作原理网络安全检测系统对网络安全的检测主要分为两个部分,对本机的安全检测和在网络上的安全检测网络安全检测系统的实现基于黑客攻击的思路,采用模拟攻击的方法测试目标系统在Internet上的安全漏洞此外,安全检测系统还能设置防火墙,对网络容易受攻击的各个节点加以保护,对远程登录的可疑用户进行实时的跟踪和监控网络安全检测系统对目标系统可能提供的各种网络服务进行全面扫描,尽可能收集目标系统远程主机和网络的有用信息,并模拟攻击行为,找出可能的安全漏洞【4】由于网络测试涉及远程机及其所处的子网,因而大部分检测、扫描、模拟攻击等工作并不能一步完成,网络安全检测系统采取的方式是先根据这些返回信息进行分析判断,再决定后续采取的动作,或者进一步检测,或者结束检测并输出最后的分析结果如此反复多次使用“检测——分析”这种循环结构,设计网络安全检测系统要注重灵活性,各个检测工具相对独立,为增加新的检测工具提供方便如需加人新的检测工具,只需在网络安全检测目录下加人该工具,并在网络检测级别类中注明,则启动程序会自动执行新的安全检测为了实现这种灵活性,网络安全检测系统的安全检测采用将检测部分和分析部分分离的策略,即检测部分由一组相对而言功能较单纯的检测工具组成,这种工具对目标主机的某个网络特性进行一次探测,并根据探测结果向调用者返回一个或多个标准格式的记录,分析部分根据这些标准格式的返回记录决定下一轮对哪些相关主机执行哪些相关的检测程序,这种“检测——分析”循环可能进行多次直至分析过程不再产生新的检测为止一次完整的检测工作可能由多次上述的“检测——分析”循环组成网络安全检测系统为了进一步提高灵活性采取了以下策略分析部分并不预先设定,而是由每个分析过程在运行时刻根据与之相关的规则集自动生成这些规则集用一种规范的形式定义了各个子过程的实际行为,只要掌握了规则的书写方法,使规则的格式简单且语义清晰,任何用户都可随意添加自己的规则,改变分析子过程的行为,从而达到控制“检测——分析”流程的目的由于网络安全检测系统的网络测试采用了“检测——分析”循环结构,并且每一次循环的检测结果都具有保存价值,尤其当检测比较详尽、范围较大时检测时间会较长,检测结果也很详细,因此应当将结果存储起来供下一次循环分析使用或供以后参考【5】每次进行网络检测之前,网络安全检测系统都会创建一个新的数据库或选择一个先前创建的数据库,用以存放本次检测的结果如不选择,系统会用缺省数据库存放检测数据,如果选择的数据库是已经存在的,则本次的检测数据将和数据库中已有的数据合并
2.
2.网络安全检测系统的逻辑结构网络安全检测系统的逻辑结果如图1所示图1网络安全检测系统的逻辑结构流程图策略分析部分用于控制网络安全检测系统的功能,即应当检测哪些主机并进行哪些项目的检测,根据系统预先设定的配置文件决定应检测哪些Internet域内的主机并决定对测试目标机执行的测试级别对于给定的目标系统,获取检测工具部分用于决定对其进行检测的工具,目标系统可以是一个主机,或是某个子网上的所有主机目标系统可以由用户指定,也可以由分析推断部分根据获取数据部分获得的结果产生一旦确定了目标系统,获取检测工具部分就可以根据策略分析部分得出的测试级别,确定需要的应用检测工具,这些检测工具正是获取数据部分的输人对于给定的检测工具,获取数据部分运行对应的检测过程,收集数据信息并产生新的事实记录安全检测系统能在检测循环中记录哪些检测是已执行过的,哪些检测是还未执行的,避免重复工作,最后获得的新的事实记录是事实分析部分的输入对于给定的事实分析记录,事实分析部分能产生出新的目标系统,新的检测工具和新的事实记录,该部分又分为几个事实分析子过程,每个子过程分别由自己的基本规则集控制,同时该规则集又在子过程的分析中不断更新,新生成的目标系统作为获取检测工具部分的输人;新生成的检测工具又作为获取数据部分的输人;新的事实记录又再一次作为事实分析部分的输人,如此周而复始直至产生新的事实记录为止当安全检测系统执行完网络安全检测之后,会获得目标系统的大量信息报告,分析部分则将有用的信息组织起来,用超文本界面显示,使用户可以通过浏览器方便地查看运行结果网络安全检测技术主要包括实时安全监控技术和安全扫描技术,实时安全监控技术通过硬件或软件实时检查网络数据流,【6】并将其与系统入侵特征数据库的数据相比较一旦发现有被攻击的迹象,立即根据用户所定义的动作做出反应,这些动作可以是切断网络连接,也可以是通知防火墙系统调整访问控制策略,将入侵的数据包过滤掉安全扫描技术(包括网络远程安全扫描、防火墙系统扫描、Web网站扫描和系统安全扫描等技术)可以对局域网络、Web站点、主机操作系统以及防火墙系统的安全漏洞进行扫描,及时发现漏洞并予以修复,从而降低系统的安全风险第三章网络安全扫描技术网络安全扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术通过对网络的扫描,网络管理员能够发现所维护的Web服务器的各种TCP/IP端口的分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞网络安全扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃它利用了一系列的脚本模拟对系统进行攻击的行为,并对结果进行分析这种技术通常被用来进行模拟攻击实验和安全审计网络安全扫描技术与防火墙、网络监控系统互相配合,能够有效提高网络的安全性网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然一次完整的网络安全扫描分为三个阶段发现目标主机或网络;发现目标后进一步搜集目标信息,包括操作系统类型、运行的服务以及服务软件的版本等如果目标是一个网络,还可以进一步发现该网络的拓扑结构、路由设备以及各主机的信息;根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞【7】网络安全扫描技术包括端口扫描PortScan、漏洞扫描VulnerabilityScan、操作系统探测OperatingSystemIdentification、如何探测访问控制规则Firewalking、PING扫射PingSweep等这些技术在网络安全扫描的三个阶段中各有体现在以上扫描技术中,端口扫描技术和漏洞扫描技术是两种核心技术,广泛应用于当前较成熟的网络扫描器中,如著名的Nmap和Nessus
3.
1.网络远程安全扫描技术网络安全扫描技术能够对网络系统的安全进行预先的检测,发现系统安全漏洞,并提供相应解决方案,从而降低计算机网络风险的存在管理员可在网络运行时及时发现风险站点的存在,使操作系统免受攻击,同时该技术还能检测出目标主机是否被入侵者安装嗅探软件,还可检测出防火墙系统有没有配置错误和安全漏洞等等及时的发现漏洞并给予修复,也就可以降低系统安全风险早期网络上共享的安全扫描软件,绝大部分都是针对远程网络的,这些软件可以对远程目标主机进行安全扫描并作出系统分析,但正是由于这些软件能够对主机上的漏洞进行远程检测,这一软件也便成为了黑客攻击的“得意助手”黑客利用这种软件对目标主机进行远程扫描,一旦发现目标主机上存在安全漏洞,便利用之一突破口对目标主机进行网络攻击这种情况从另一角度体现出安全扫描技术对于实现网络安全的重大现实意义,很多人称其为“双刃剑”管理员可合理利用该扫描件,要及时发现安全弱点,并在黑客对其实施攻击之前予以修补,要做到防患于未然,提高计算机网络的安全性
3.
2.防火墙系统分析近年来随着Internet的飞速发展,很多局域网采用了防火墙系统保护内部网络安全防火墙就是一个位于计算机和其所连接的网络之间的软硬件体系,从计算机流入流出的所有网络信息均要经此防火墙的检测和过滤
3.
2.
1.防火墙的功能及类型防火墙限制对被保护网络的非法访问,它是设置在被保护内网和外部网络之间的一道屏障,用来检查网络入口点通讯,根据设定的安全规则,【8】对通过防火墙的数据流进行监测、限制和修改,这样可过滤掉一些攻击,以免其在目标计算机上被执行,防火墙还可关闭未用的端口,禁止特定端口的流出通信封锁特洛伊木马,禁止来自特殊站点的访问,从而防止不明入侵者的所有通信防火墙具有不同类型,它可以是硬件自身的一部分,可以将因特网连接和计算机都插入其中;也可以在一个独立的机器上运行,该机器作为其背后网络中所有计算机的代理和防火墙而直接连在因特网的机器可使用个人防火墙
3.
2.
2.防火墙的局限性个人防火墙并不是专为防范恶意攻击而设计的,微软的IE和AQL的NETSCAPE浏览器均存在黑客可以利用的安全漏洞,从而导致用户的个人数据遭到窃取防火墙存在以下局限性防火墙深入检测和分析网络数据流量的同时,网络的传输速度势必会受到影响;如果防火墙过于严格,可能会影响为合法用户提供连接的性能传统的防火墙需要人工实施和维护,不能主动跟踪入侵者【9】不是所有的Internet访问都需经过防火墙如内网用户为方便使用Modem直接与Internet相连,这样防火墙就无法提供安全保护,且此连接可能会成为攻击者的后门,从而使其绕过防火墙不是所有的威胁都来自外部网络防火墙仅能到内网与Internet边界的流量无法检测到网络内的流量防火墙自身容易遭受攻击最令人烦恼的攻击是隧道攻击和基于应用的攻击隧道攻击是指由于防火墙根据网络协议决定数据包是否通过,然而把一种协议的信息封装在另外一种允许通过协议的信息中时,禁止通过的流量就穿越防火墙,此种攻击采用的手段类似于VPN中的隧道机制,故称隧道攻击而基于应用的攻击指通过发送包直接与应用通信利用这些应用的漏洞,如通过发送HTTP命令在Web应用中执行缓冲区溢出攻击来利用Web软件的漏洞如果防火墙配置成允许HTTP流量包含此攻击的包将通过总之,防火墙不是一种动态的防卫系统,对来自内部的攻击和拨号上网无能为力也已存在许多技术优于防火墙(如IPSpoofingFragmentation)积极的方法是主动测试系统的安全性能及早发现安全漏洞并改进系统
3.
3.系统安全扫描技术计算机系统安全扫描时计算机网络安全检测技术的重要组成部分该技术是通过对目标计算机操作系统的配置进行全盘检测,得出的报告会详细的记载该系统存在的安全漏洞并有针对性的提出修补建议第四章网络安全自动检测系统分析为了解决网络上存在的安全问题,已开发出了一些安全设备和技术,如防火墙、虚拟专用网络(VPN)防火墙在Internet与内部网之间架起一道屏障来防止外来入侵,但防火墙对来自内部的攻击和拨号上网用户无能为力,也已存在许多技术突破防火墙(如IPSpoofingIPfragmentation);而虚拟专用网络是一种通过公共网络实现的具有授权检查和加密技术的通信方式一种积极的方法是主动测试系统的安全性能,发现安全漏洞,对系统加以改进而且系统自身也应具备识别安全攻击的能力为此,在研究分析国外一些著名的网络安全检测工具NSS网络安全扫描器、Strobe(超级优化TCP端口检测程序)、SATAN一个图形化的扫描器)、ISS一种网络安全检测软件)的基础上,开发了一个网络安全自动检测系统和一个网络入侵监控预警系统
4.
1.安全测试安全攻击,是通过对计算机和网络进行未授权的访问或使用而达到某些目的【10】大多数攻击可分为3步获取系统访问权,荻取该系统的根访问权,向邻近系统扩展访问权第一阶段获取一个登录帐号对Unix系统进行攻击的首要目标是获取一个登陆帐号与口令,攻击者试田获取存在/eta/passwd或NIS映射中的加密口令拷贝一旦他们得到到这样一个口令文件,他们可以对其运行Crack,并可能猜出至少一个口令尽管策略指导与系统软件努力强化好的口令选择,但却往往难以做到第二阶段获取根访问权攻击的第二阶段不一定是一个网络问题入侵者套试图扩大一个特定Unix系统上的已有漏洞一些网络问题,像未加限制的NFS允科根对其读与写,这可以被用来获取根访问权第三阶段扩展访问权一旦入侵者拥有根访问权,这个采统即可被用来攻击网络上其他系统通常的攻击方法包括对登录守护程序作修改以便获取口令flpd、lnetd、Hogind、login增加包窥探权以获取通信口令,并将它们返回给入侵者;以及伪装成试图利用受托关系来获取
4.
2.安全测试方法按强测试程序在实施某一测试时所扮演角色的不同,测试可以被分为主动测试测试程序扮演攻击者的角色使用攻击的手段,来揭示各种漏洞被动测试,测试程序扮演类似于审记员或系统管理员的角色检测它们所在的系统,通过查看系统的状态来发现隐藏着的漏洞安全测试主要包括以下几方面配置文件测试,现代计算机系统都是高度可配置的,这也反映了控制上的可塑性和必须实现的安全策略不同配置之间的相互安空性是相当广泛的在根多情况下,系统运行于事先没有预想想到的、不安全的配置下这往往是由于那种配置是缺省值或实现起来最简单的在另外一些情况下.配置文件的复杂度导致了未曾预料到的并且是不安全的配置配置文件测试通过读取井解释代表系统配置信息的文件来查找漏洞的迹象文件内客和保护机制测试命令文件特别是启动脚本文件和系统工具是特洛伊木马最热衷于植入的地方这就需要有检测工具来保证只有拥有适当权限的用户才能修改启动过程文件因为每一条命令都有可能来执行其它的过程所以这些过程也必须受到检测,访问控制设置的检测是评估这些文件安空性的第一步因为许多系坑支持几种访问控制机制,并且它们之间的相互作用不总是很明朗,所取这个检测过程往往被复杂化了特别是,仅有对文件的访问控制可能并不够,为了完整起见,应该检测到这个命令支件所执行的所有程序,以确保它们也受到适当的保护错误修正测试,操作系统的错误,有时可成为系统的安全漏洞并且,许多系统管理员并不热衷于安装补丁程序因而,这种系统往往还存在着一些陈旧的漏洞CERT站点上的建议书中描述了大多数已知的漏洞,同时也提供了检测系统是否需要用补丁来修改系统的简单方法这些方法常常包括拴验文件太小,版本号是否可执行程序有关的校驻差别测试技术是一类被动式审记测试技术【11】这些测试用来确保从某一个基准时间开始,文件没有被修改过这种测试实际上忽略掉文件的日期、时间,因为它们可能被造假或毁环这种测试依赖于循环冗余校验CRC或基于加密技术的算法这种测试不能阻止程序的修改或纠正被修改的部分,但用于确定程序是否被修改过却是十分有效的这种测试技术能用来保证系统程序未被机入特洛伊木马对于指定系统的测试,在某些情况下,我们必须用专用于指定系统的测试来代替通用型的测试当通用测试起不到作用时,必须设计专用于某一系统特征的测试程序,说明它们的栓测过程一般来说.主动测试总是专用于指定系统的它们通过执行系统级或资源级的命令来发现特定的漏洞配置文件测试也应改是专用于某一系统的它们将测试特定系统中的特定错误配置相反,差别测试算法一般是通用的虽然,差别测试的校验和不通用,但其算法本身还是具有通用性的人工智能技术也可以应用于测试工具中在系统中找出一个普通漏洞是很容易的但是,对于某些特殊的漏洞,事情就没那么简单了为了找出一个漏洞的所有后果.一个系统必须能够找出一系列得到过度权限或过度信息的动作而这并非是对任何一个漏洞直接进行测试就可以得到的这个任务却很适合于交给基于规则的人工智能工作给出系统访问的规则.这种工具就能很快地找出”最大”的漏洞
4.
3.网络安全自动检测系统的设计原理研究分析一些著名的扫描器,如NSS、Strobe、SATAN、ISS而设计成功网络安全自动检测系统扫描器是一种自动检测远程或本地主机安全性弱点的程序,它并不直接的攻击网络漏洞它有3项功能发现一个主机或网络;一旦发现一台主机,可以找出机器正在运行的服务;测试具有漏洞的服务它的最基本原理是当一个用户试图联接一个特殊服务时,捕获联接产生的消息网络安全自动检测系统主要是利用现有的安全攻击方法来对系统实施模拟攻击,以发现系统的安全设置缺陷首要的问题是收集、分析各种黑客攻击的手段、方法,为了适应网络攻击方法的不断更新,设计了由攻击方法插件(Plug-in)构成的扫描攻击方法库方法插件实际上是一个描述和实现攻击方法的动态链接库扫描、攻击方法库有如下优点标准的plug-in结构,提供了统一的调用接口;每个攻击方法被包装在一个函数内,不影响编程的灵活性;每个方法插件都是独立的文件,便于扩展;每个方法插件都是一个共享程序库,只有使用时才载入内存,用后释放,不会占用太多内存同时为方便扫描、攻击方法库的维护和管理,我们采取统一接口的描述语言对每一种新的攻击方法加以描述,实现方法库的动态增加以扫描、攻击方法库为基础,设计实现扫描调度程序和扫描控制程序扫描控制程序接受用户的扫描命令,对要扫描的网络、主机、攻击方法加以配置,并对扫描结果进行分析处理,如图2网络安全自动检测系统的总体结构图)扫描调度根据扫描控制程序发送的扫描要求,动态调用方法库中的方法对网络或主机进行扫描,将扫描结果反馈给扫描控制程序图2网络安全自动检测系统的总体结构第五章网络入侵监控预警系统
5.
1.网络入侵预警系统的模块组我们既然已经知道了网络安全对于我们的重要性,那我们就必须解决掉它发现源头找到攻击,而网络入侵预警系统的一个重要作用就是发现攻击网络入侵预警系统是嘲络安全产品的一个得力助手,一般将网络入侵预警系统放在网络安全产品的后面或网关的后面,其对越来越猖狂的网络攻击和网络犯罪十分有效,强有力的手段网络入侵预警系统的关键是对网络数据传输层的数据包的嗅探sniff,它把所有进出的数据包都看成是潜在的具有攻击据包,然后把这些数据包做分拆,再次组合从中分析,看其是否是有效合理的网络传输,那发现中那些无效,泄密具有攻击性的数据包进行预报和做好记录,有自动预警的功能网络安全自动检测系统的目的在于发现系统中存在的安全漏洞,而网络入侵监控预警系统则负责监视网络上的通信数据流,捕捉可疑的网络活动,及时发现对系统的安全攻击,进行实时响应和报警,提供详细的网络安全审计报告【12】网络入侵监控预警系统一般放在防火墙或路由器后面,是防火墙等传统网络安全产品的一个强有力助手其结构如图3图3网络入侵监控预警系统总体结构网络入侵监控预警系统的技术关键是设计嗅探器Snuffer,嗅探器是实现网络安全的又一工具它既可以是硬件,也可以是软件(通常是软硬件的结合),用来接收在网络上传输的信息放置嗅探器的目的是使网络接口处于广播状态,从而可以截获网络上的传输内容网络上传输的信息不管在什么协议下,都是由信息包组成,它们携带着数据,在机器的操作系统间的网络接口级进行交换嗅探器截获和收藏这些数据以被日后检查使用设计的嗅探器用来嗅探(sniff)网络传输层的数据包,它假定每个进出的数据包都是具有潜在敌意的通过对数据包分解、组合和分析,从中判别数据包是否合理,对于无效、泄密、带有攻击性的数据包进行实时的记录和报警嗅探器包含两大功能抓包和包分析抓包主要通过实现对网卡的全收模式的设计,拦截数据包而包分析则检测数据包是否合法,为此,从各种黑客攻击方法进行分类,提取出攻击规则,构成攻击规则库对待分析的数据包,从中分解出关键信息,与攻击规则库的规则进行模式匹配,发现可疑攻击,实时报警,记录报警及网络活动信息安全管理中心则负责管理嗅探器的运行,维护攻击规则库,接受嗅探器发来的报警与网络活动信息,提供网络安全情况的审计报告网络入侵监控预警系统功能结构如图4图4网络入侵监控预警系统功能结构
5.
2.网络入侵预警系统的技术分析本系统是在WindowsNT平台上运用WinDDK、VC、SQserver、PowerBuilder等开发软件共同开发的在技术上以下几个难点在抓包模块中,要实现对网卡全收模式的设计,而本系统实现是在windowsNT外,通过WinDDKDeviceDrive Kim实现的而DDK的编程是比较复杂的,在这里不详细讨论分析包模块是本系统中的重中之中,在这个模块中,包含着检测网络黑客攻击的规则库,并且这些规则库是按照攻击方法的优先级高低来安排的,优先级的高低是由黑客攻击行为所造成的危害程度来定义的一般是按攻击规则的优先级从高到低的顺序对数据包进行分析这样,若发现优先级高的攻击方法则先响应并且为了实现对攻击规则的动态添加,而不更改其他模块部分的代码在实现时采用了以下技术为了方便添加和管理新攻击规则首先把相似类型的攻击手法放在同一个DLL模块中例如可以把拒绝攻击的各种类型攻击放DenialofAttaek.dll中【13】而且,在做DLL模数,并让这些虚函数的返值为False每个相应的虚函数代表一种击方法若要添加新的攻击方法时,就在后面空的虚函数中添加数应的代码,并把值True赋给此虚函数的返回值在此函数中,还要保存相应攻击者的各种信息,以便随后产生攻击报告记录考虑到优先级的问题,我们把优先级高所代表的函数放在攻击规则模块的前面对于来自具有root权限的用户对嗅探器配置所做的这样处理的,把相关的嗅探器配置信息保存在嗅探器本地的配置文件中,当嗅探器觉察到要修改配置参数时,就把这些修改保存在这的数据个配置文件中而嗅探器会定期的从此配置文件中读取相应的配置参数,然后按照新的参数对数据包进行分析网络安全每时每刻都在遭受着攻击,为了避免给我们造成不必要的损失,需要时刻堤防网络攻击网络入侵预警系统就是针对网络攻击而开发的一个有效的保护系统如果网络再次遭遇新的黑客攻击,系统会把黑客的攻击方式发到数据库中,而不必在做其它的变动网络入侵预警系统能够对网络中的数据流进行分拆在组合并做详细的审计报告,由于监听是被动式的因此也不容易将其发现但是道高一尺,魔高一丈,防范措施提高的同时,网络攻击的方式也在越来越隐蔽化这就要求我们必须更加努力开拓新的方法解决网络安全问题第六章网络安全检测技术的现实意义
6.
1.是对防火墙安全架构的必要补充对于计算机来说,防火墙好像是守卫者,时刻保卫着网络出入口的安全,不过一旦计算机网络内部存在漏洞,黑客突破或是绕过了防火墙就可以为所欲为了但是计算机安全检查系统能够及时检测出网络的弱点,并提供相应的处理方法,从而巩固了网络的安全防御能力,看防火墙这个守卫者是否尽职尽责
6.
2.实现有效的网络安全评估体系当某个单位构建其内部网络时,单位管理员可利用计算机网络安全检测系统对该单位的内部网络进行全面检测并利用,得出网络安全准确数据对单位内部网络进行安全评估,并根据该单位内部网络的实际情况制定科学的计算机网络安全策略
6.
3.确保主机配置一致计算机网络安全检测系统还能保证主机上所有系统和服务都是按照与安全策略统一的方式进行配置的,当主机配置出现新的,差异或是产生安全漏洞时,计算机网络安全检测系统能够及时将问题传达给管理员合理的利用计算机网络安全检查系统能够实现对计算机网络安全的实时监测以及对网络入侵行为的实时识别,虽然是计算机网络安全的重要组件,【14】它侧重于发现无法代替防火墙对整个网络的访问控制进行调整而防火墙则缺乏对非预期入侵行为的识别功能,需要借助安全检测系统才能对非预期入侵行为进行识别,因此二者需要相辅相成才能达到保证网络安全的目的随着网络逐渐融入人们的日常生活人们对网络安全的要求也越来越高,广泛的应用网络安全检测技术,可为人们网络生活的安全带来保障结束语随着计算机网络技术的发展,网络安全性的问题日益得到重视,必须采取有效的检测工具和手段,并将各种安全技术手段有机地结合起来,确保计算机网络系统的安全在此论文完成之际,我的心情万分激动从论文的选题、资料的收集到论文的撰写编排整个过程中,我得到了许多的热情帮助提起笔来,感慨万千,想到有那么多人值得我感谢,一时竟不知从何说起首先,在写作过程中由于经验尚浅,收集的资料也很片面,论据方面还存在很多问题和不足,对本课题的研究还处于肤浅层面但是通过这次研究和学习,我对“网络安全检测技术”产生了浓厚的兴趣,并且,我的各方面能力都得到了提高,我相信毕业之后,我对这一问题还会继续关注和学习其次,请允许我向我的指导老师道一声感谢!感谢老师委婉而亲切地给我提出指导意见,这些不仅成了我美好的回忆,而且将成为我一笔宝贵的人生财富,令我受益终生最后,我还想借此机会,衷心地感谢学校对我四年的培养,衷心地感谢在这四年的学习过程中各位教过我的老师对我无微不至的关怀,衷心地感谢在我论文的写作过程中为我提供帮助和支持的同学正是你们对我的关爱,让我在西藏民族学院度过了人生最美好的时光,留下了终生难忘的回忆再次感谢你们,所有给予我帮助的人参考文献
[1]三刘渊乐红乐宋志庆.因特网防火墙技术[M].北京:机械工业出版社
20015.
[2]余建斌.黑客的攻击手段及用户对策[J].北京:人民邮电出版社
20023.
[3]劳诚信姜国雄尹良槟.计算机安全指南[M].北京:清华大学出版社
2002.
[4]王佳明曾红卫唐毅.网络安全自动检测系统NSATS.计算机工程
20001.
[5]王锐.译网络最高安全技术指南北京.机械工业出版社
1998.
[6]徐其兴.计算机组网技术与配置[M].北京.高等教育出版社
2007.
[7]倪文志.局域网组建配置与管理入门与提高[M].北京:清华大学出版社
2003.
[8]刘敏涵王存祥.计算机网络技术[M].西安:西安电子科技大学出版社
2007.
[9]卿斯汉.密码学与计算机网络安全[M]北京清华大学出版社
2006.
[10]刘启原.网络需要攻击检测技术[N].中国计算机报.
1998.
[11]东方人华.倪文志.杭志.局域网组建配置与管理入门与提高[M].北京:清华大学出版社.
2003.
[12]吴恩平等.TcP/IP安全问题.计算机工程特刊.
1997.
[13]余建斌.黑客的攻击手段与用户对策[M].人民邮电出版.
1998.
[14]王青川.入侵检测软件对付网上黑客.计算机世界.
1998.SimpleanalyzethenetworksafetyexaminestechniqueAbstractComputernetworksdevelopmentandcomputerapplicationsthoroughandwidespreadcausedthenetworksecurityproblemtobedaybydayprominentandtobecomplexsafeguardsthecomputernetworksafetobecomethedatacommunicationdomainproductresearchanddevelopmentgraduallythegeneraltrendthemodernnetworksecurityhasbecomethenetworkexpertanalysisandtheresearchhotspottopic.Thecomputernetworksafeexaminationtechnologywasproposedunderthissituationthatthistechnicalresearchanddevelopmentsgoalistoguaranteethecomputernetworkservesusabilityaswellascomputernetworkuserinformationintegritysecrecy.Thisarticlehasconductedthethoroughresearchinviewofmanykindsofcomputernetworksafeexaminationtechnologyandtheprincipleofworkandunifiesthecurrentnetworksecuritytheactualsituationhasanalyzedthecomputernetworksafeexaminationtechnologypracticalsignificance.KeywordnetworksafetyfirewallAutomaticexaminationsystemSuperviseandcontrolearly-warningsystemThesafetyscansatechnique扫描控制程序描述语言接口扫描调度程序扫描/攻击方法库配置信息、扫描命令扫描结果Internet扫描、攻击主机响应Internet防火墙/路由器防火墙/路由器局域网局域网嗅探器嗅探器安全管理中心网络数据流抓包分析包数据包报警与网络活动信息库攻击规则库攻击规则维护安全审计报警报告分析有新的信息吗?事实分析获取数据获取检测工具策略分析配置文件Y新的事实记录新的检测工具新的目标系统NPAGE22。