李小娜

（寧夏電投西夏熱電有限公司 寧夏 銀川 750021）

0 引言

隨著計算機網(wǎng)絡技術的不斷發(fā)展，計算機給人類經(jīng)濟、文化、軍事和社會活動帶來更多便利的同時，也帶來了相當巨大的安全挑戰(zhàn)?，F(xiàn)代信息網(wǎng)絡面臨著各種各樣的安全威脅，有來自網(wǎng)絡外面的攻擊，比如網(wǎng)絡黑客、病毒等；也有來自網(wǎng)絡內(nèi)部的威脅，并且這種威脅更為危險。因此內(nèi)部威脅檢測技術和工具研究成為人們關注和研究的焦點。

1 入侵檢測

1.1 基于主機的入侵檢測

基于主機的入侵檢測系統(tǒng)用于保護單臺主機不受網(wǎng)絡攻擊行為的危害，利用系統(tǒng)日志和審計記錄來進行檢測分析。通常在受保護的主機上有專門的檢測代理，通過對系統(tǒng)日志和審計記錄不間斷地監(jiān)視和分析來發(fā)現(xiàn)攻擊。這類入侵檢測系統(tǒng)直接與操作系統(tǒng)有關，它控制文件系統(tǒng)以及重要的系統(tǒng)文件，確保操作系統(tǒng)不會被隨意地刪改。按照檢測對象的不同，基于主機的入侵檢測系統(tǒng)可以分為網(wǎng)絡連接檢測和主機文件檢測。

1.2 基于網(wǎng)絡的入侵檢測

基于網(wǎng)絡的入侵檢測系統(tǒng)通常作為一個獨立的個體放置在被保護的網(wǎng)絡上，它使用原始的網(wǎng)絡分組數(shù)據(jù)包作為進行的數(shù)據(jù)源，一般利用一個網(wǎng)絡適配器來實時監(jiān)視和分析所有通過網(wǎng)絡傳輸?shù)耐ㄐ?。一旦檢測到攻擊，入侵檢測系統(tǒng)應答模塊通過通知、報警以及中斷連接等方式對攻擊做出反映。通常，基于網(wǎng)絡的入侵檢測系統(tǒng)放置在防火墻或網(wǎng)關后，就像網(wǎng)絡窺探器捕獲網(wǎng)絡上的數(shù)據(jù)包一樣。但它不延誤包的傳送，因為它僅僅是監(jiān)視包。同時，由于它是通過在共享網(wǎng)段上偵聽采集通信數(shù)據(jù)、分析可疑現(xiàn)象，因此它對主機資源消耗少。

1.3 基于內(nèi)核的入侵檢測系統(tǒng)

基于內(nèi)核的入侵檢測系統(tǒng)是一種較新的技術，特別是在Linux上。在Linux上目前可用的基于內(nèi)核的入侵檢測系統(tǒng)主要有兩種:Open Wall和LIDS。它們采取措施防止緩沖區(qū)溢出，增加文件系統(tǒng)的保護，封閉信號，從而使得入侵者破壞系統(tǒng)越來越困難。LIDS同時也采取一些步驟以阻止根用戶的一些活動，例如安裝一個包嗅探器或菏澤改變防火墻策略。

2 日志分析

2.1 文本方式

在統(tǒng)一安全管理系統(tǒng)中以文本方式采集日志數(shù)據(jù)主要是指郵件或FTP方式。郵件方式是指在安全設備內(nèi)設定報警或通知條件，當符合條件的事件發(fā)生時，相關情況被一一記錄下來，然后在某一時間由安全設備或系統(tǒng)主動地將這些日志信息以郵件形式發(fā)給郵件接受者，屬于被動采集日志數(shù)據(jù)方式。其中的日志信息通常是以文本方式傳送，傳送的信息量相對少且需專業(yè)人員才能看懂。而FTP方式必須事先開發(fā)特定的采集程序進行日志數(shù)據(jù)采集，每次連接都是完整下載整個日志文本文件,網(wǎng)絡傳輸數(shù)據(jù)量可能非常大，屬于主動采集日志數(shù)據(jù)方式。

隨著網(wǎng)絡高速的發(fā)展，網(wǎng)絡內(nèi)部以百兆、千兆甚至萬兆互聯(lián)，即使采取功能強大的計算機來處理日志數(shù)據(jù)包的采集工作，相對來說以上兩種方式速度和效率也是不盡人意。因此，文本方式只能在采集日志數(shù)據(jù)范圍小、速度比較慢的網(wǎng)絡中使用，一般在網(wǎng)絡安全管理中不被主要采用。

2.2 SNMP Trap方式

建立在簡單網(wǎng)絡管理協(xié)議SNMP上的網(wǎng)絡管理，人們通常使用SNMP Trap機制進行日志數(shù)據(jù)采集。生成Trap消息的事件(如系統(tǒng)重啟)由Trap代理內(nèi)部定義，而不是通用格式定義。由于Trap機制是基于事件驅(qū)動的，代理只有在監(jiān)聽到故障時才通知管理系統(tǒng)，非故障信息不會通知給管理系統(tǒng)。對于該方式的日志數(shù)據(jù)采集只能在SNMP下進行，生成的消息格式單獨定義，對于不支持SNMP設備通用性不是很強。

網(wǎng)絡設備的部分故障日志信息，如環(huán)境、SNMP訪問失效等信息由SNMP Trap進行報告，通過對SNMP數(shù)據(jù)報文中Trap字段值的解釋就可以獲得一條網(wǎng)絡設備的重要信息，由此可見管理進程必須能夠全面正確地解釋網(wǎng)絡上各種設備所發(fā)送的Trap數(shù)據(jù)，這樣才能完成對網(wǎng)絡設備的信息監(jiān)控和數(shù)據(jù)采集。

但是由于網(wǎng)絡結構和網(wǎng)絡技術的多樣性，以及不同廠商管理其網(wǎng)絡設備的手段不同，要求網(wǎng)絡管理系統(tǒng)不但對公有Trap能夠正確解釋，更要對不同廠商網(wǎng)絡設備的私有部分非常了解，這樣才能正確解析不同廠商網(wǎng)絡設備所發(fā)送的私有Trap，這也需要跟廠商緊密合作，進行聯(lián)合技術開發(fā)，從而保證對私有Trap完整正確的解析和應用。此原因?qū)е略摲N方式面對不同廠商的產(chǎn)品采集日志數(shù)據(jù)方式需單獨進行編程處理，且要全面解釋所有日志信息才能有效地采集到日志數(shù)據(jù)。由此可見，該采集在日常日志數(shù)據(jù)采集中通用性不強。

2.3 Syslog方式

已成為工業(yè)標準協(xié)議的系統(tǒng)日志(Syslog)協(xié)議是在加里佛尼亞大學伯克立軟件分布研究中心的TCP/IP系統(tǒng)實施中開發(fā)的，目前，可用它記錄設備的日志。在路由器、交換機、服務器等網(wǎng)絡設備中，Syslog記錄著系統(tǒng)中的任何事件，管理者可以通過查看系統(tǒng)記錄，隨時掌握系統(tǒng)狀況。它能夠接收遠程系統(tǒng)的日志記錄，在一個日志中按時間順序處理包含多個系統(tǒng)的記錄,并以文件形式存盤。同時不需要連接多個系統(tǒng)，就可以在一個位置查看所有的記錄。Syslog使用UDP作為傳輸協(xié)議，通過目的端口514(也可以是其他定義的端口號),將所有安全設備的日志管理配置發(fā)送到安裝了Syslog軟件系統(tǒng)的日志服務器，Syslog日志服務器自動接收日志數(shù)據(jù)并寫到日志文件中。

3 漏洞掃描

3.1 基于主機的安全漏洞掃描器

基于主機安全漏洞掃描器通過查看系統(tǒng)內(nèi)部的主要配置文件的完整性和正確性以及重要文件和程序的權限 (比如系統(tǒng)內(nèi)核、文件屬性、操作系統(tǒng)的補丁等)，對主機內(nèi)部安全狀態(tài)進行分析，查找軟件所在主機上的風險漏洞。即采用被動的、非破壞性的方法對系統(tǒng)進行檢測。一般主機型掃描器采用Client/Server的系統(tǒng)結構。

3.2 基于網(wǎng)絡的安全漏洞掃描器

基于網(wǎng)絡的安全漏洞掃描器主要利用一些腳本來模擬對系統(tǒng)的攻擊行為，然后對結果進行分析。類似從外部模擬黑客攻擊手法，通過端口掃描測試安全漏洞性能。即采用積極的、破壞性的方法來檢驗系統(tǒng)是否可能被攻擊崩潰。典型技術有SATAN,管理器(Manager)IIS等。

3.3 基于目標的安全漏洞掃描器

基于目標的安全漏洞掃描器運行一個封閉的環(huán)，不斷的處理文件、系統(tǒng)目標、系統(tǒng)目標屬性，然后產(chǎn)生檢測數(shù)，將這些檢測數(shù)同原來的檢測數(shù)相比較，一旦發(fā)現(xiàn)改變就通知管理員。即是被動的、非破壞行的方法。

3.4 基于應用的安全漏洞掃描器

基于應用的安全漏洞掃描器主要通過檢查應用軟件的設置，進而發(fā)現(xiàn)存在的安全漏洞。即也是采用被動的、非破壞性的方法。隨著計算機應用的發(fā)展，這種面向應用的安全漏洞掃描器種類將會越來越多。

4 結束語

總之，由于內(nèi)部威脅危害更大，同時與技術和工具都相對比較成熟的外部攻擊比起來，其檢測技術還很不成熟。因此，內(nèi)部威脅檢測技術成為網(wǎng)絡安全領域的一個研究熱點，還需更多的研究者對其展開深入研究。

［1］王自亮，羅守山，楊義先.入侵檢測系統(tǒng)的測試與評估[J].中國數(shù)據(jù)通信，2002，11:14-19.

［2］吳勇軍.入侵檢測系統(tǒng)研究與實現(xiàn)[D].成都:電子科技大學，2004.

［3］［4］馬遙，張國印.基于漏洞掃描的綜合掃描系統(tǒng)設計[D].哈爾濱:哈爾濱工程大學，2006.