摘要：隨著internet的迅速普及，人們越來越關(guān)注網(wǎng)絡(luò)的安全問題。該文從網(wǎng)絡(luò)中存在的安全問題入手，介紹了網(wǎng)絡(luò)安全的檢測技術(shù)，包括安全掃描技術(shù)和實時安全監(jiān)控技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；安全掃描；安全監(jiān)控

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）15-3487-02

1 網(wǎng)絡(luò)中的安全問題

互聯(lián)網(wǎng)的出現(xiàn)帶給人們更加豐富多彩和快捷方便的信息傳播和接收，并且極大的擴(kuò)展了信息資源的時間和空間上的使用率，但是信息資源的安全也帶給整個互聯(lián)網(wǎng)很大的問題。在現(xiàn)實的計算機(jī)網(wǎng)絡(luò)應(yīng)用中，電腦病毒和黑客襲擊等問題層出不窮。電腦黑客通過對計算機(jī)系統(tǒng)的漏洞、通信協(xié)議中的設(shè)計缺陷等進(jìn)行利用，非法的竊取信息資源，用戶口令等，訪問用戶的機(jī)密信息，破壞用戶的計算機(jī)系統(tǒng)。嚴(yán)重時甚至?xí)拐麄€計算機(jī)網(wǎng)絡(luò)癱瘓導(dǎo)致用戶蒙受巨大的經(jīng)濟(jì)損失。安全攻擊的種類很多，但大致可以分成以下幾種類型：

1） IP地址欺騙攻擊（IP spoofing attack）：這種攻擊模式為，黑客通過外部的一部電腦進(jìn)入到用戶網(wǎng)絡(luò)系統(tǒng)中，偽裝成為內(nèi)部網(wǎng)絡(luò)機(jī)器中的一員，之后獲得服務(wù)器的通行證，竊取計算機(jī)網(wǎng)絡(luò)的信息資源。

2） 同步攻擊（CP Syn flooding）：在該攻擊模式下，攻擊者向服務(wù)器發(fā)送大量的只有SYN標(biāo)記的TCP連接請求。當(dāng)服務(wù)器接收到這樣的請求時，都會以為是要求建立連接的請求。于是為這些請求建立會話，排到緩沖區(qū)隊列中。最終因為緩沖區(qū)滿而導(dǎo)致其他的計算機(jī)不能進(jìn)入到該系統(tǒng)中，嚴(yán)重時致使網(wǎng)絡(luò)癱瘓。

3） 特洛伊木馬（Trojan horses）：它偽裝成一些正常的程序，用各種方式隱藏在系統(tǒng)中進(jìn)行一些惡意活動。甚至可以竊取用戶的口令和密碼。

4） Web網(wǎng)頁欺騙攻擊：攻擊發(fā)起者通過發(fā)送一條web信息，偽裝成為網(wǎng)頁的服務(wù)器來與用戶進(jìn)行交互，當(dāng)用戶輸入自己的口令、信用卡信息密碼等之后，攻擊者從而盜取其個人財務(wù)。

2 網(wǎng)絡(luò)安全檢測技術(shù)的主要分類

網(wǎng)絡(luò)安全檢測技術(shù)分成兩類

1）實時安全監(jiān)控技術(shù)：這種監(jiān)控技術(shù)主要就是通過硬件和軟件，對用戶的實時的數(shù)據(jù)進(jìn)行安全監(jiān)控，實時的把采集到的信息與系統(tǒng)中已經(jīng)收集到的病毒或者木馬信息進(jìn)行比對，一旦發(fā)現(xiàn)相似即可進(jìn)行對用戶的警告，使用戶自己采取必要的手段進(jìn)行安全防護(hù)?？梢苑绞娇梢允乔袛嗑W(wǎng)絡(luò)連接、也可以是通知防火墻系統(tǒng)調(diào)整訪問控制策略，將入侵的數(shù)據(jù)包過濾掉。

2）安全掃描技術(shù)：主要包括有木馬的掃描、防火墻的掃描、網(wǎng)絡(luò)遠(yuǎn)程控制功能掃描、系統(tǒng)安全協(xié)議掃描等等技術(shù)。掃描主要對主機(jī)的安全，操作系統(tǒng)和安裝的軟件、web網(wǎng)頁站點和服務(wù)器、防火墻的安全漏洞等進(jìn)行全面的掃描，及時的發(fā)現(xiàn)漏洞之后系統(tǒng)進(jìn)行清除，保障網(wǎng)絡(luò)系統(tǒng)的安全。

3 安全掃描的技術(shù)簡介

安全掃描技術(shù)主要是運用一些特定軟件對可能存在的安全漏洞進(jìn)行檢測。當(dāng)網(wǎng)絡(luò)管理員不清楚系統(tǒng)以及軟件中的漏洞時，那么很容易被黑客所用。安全掃描技術(shù)在網(wǎng)絡(luò)安全系統(tǒng)中扮演的是偵察兵與預(yù)警員的角色，不能獨自完成對網(wǎng)絡(luò)的保護(hù)，還需要與其他的系統(tǒng)進(jìn)行相互的配合，才可以保證主機(jī)的安全，提高網(wǎng)絡(luò)的安全性，找出網(wǎng)絡(luò)中的薄弱點。網(wǎng)絡(luò)管理員根據(jù)檢測結(jié)果就可以及時的糾正硬件、軟件上的缺陷，提前在受到攻擊前進(jìn)行防御。其主要分成兩類：

1）主機(jī)安全掃描。主要是用于保護(hù)主機(jī)，執(zhí)行一些文件來對安裝的軟硬件、系統(tǒng)中的未知系統(tǒng)版本，不常見的文件名，等不符合安全規(guī)則的對象進(jìn)行檢查，并通過監(jiān)視主機(jī)的審計記錄和日志文件來檢測。

2）網(wǎng)絡(luò)安全掃描技術(shù)。網(wǎng)絡(luò)安全掃描技術(shù)是檢查所有網(wǎng)絡(luò)部件來收集數(shù)據(jù)。主要包括有操作系統(tǒng)的掃描（operating system identification）、IP地址沖突掃描、端口掃描（port scam）、漏洞掃描等。其中端口掃描和漏洞掃描技術(shù)是網(wǎng)絡(luò)安全掃描技術(shù)中的核心部分，越來越成為網(wǎng)絡(luò)管理和維護(hù)的重要工作。

3.1端口掃描技術(shù)

端口的作用就是為計算機(jī)傳輸信息數(shù)據(jù)而設(shè)計的，在系統(tǒng)里有硬件端口，也有軟件端口，而每一個端口都有可能被黑客利用作為入侵的通道口。端口掃描技術(shù)就是通過對目標(biāo)主機(jī)里的端口進(jìn)行信息的監(jiān)控和檢測，之后對反饋的信息分析來達(dá)到對系統(tǒng)目前的安全程度的了解。端口掃描向目標(biāo)主機(jī)的TCP/IP服務(wù)端口發(fā)送探測數(shù)據(jù)包，等待主機(jī)的信息反饋，根據(jù)返回的響應(yīng)來判斷端口是關(guān)閉還是打開，之后得到端口的服務(wù)信息。端口掃描技術(shù)也可通過對捕獲本地主機(jī)或服務(wù)器的流入流出IP數(shù)據(jù)包來對本地主機(jī)進(jìn)行實時的檢測和監(jiān)控，以發(fā)現(xiàn)主機(jī)存在的弱點。

目前端口掃描主要有全連接掃描器、半連接掃描器。

3.1.1全連接掃描

全連接端口掃描程序向目標(biāo)主機(jī)的TCP/IP端口發(fā)送探測數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。全連接掃描有TCP connect（）掃描和TCP反向ident掃描等。TCP connect（）掃描是通過TCP/IP協(xié)議的3次握手與目標(biāo)主機(jī)的指定端口間建立連接，從而對主機(jī)的端口進(jìn)行安全掃描。連接由系統(tǒng)調(diào)用connect（ ）開始，若端口開放，則連接建立成功；否則，則返回-1，表明端口關(guān)閉。當(dāng)成功的建立連接后，主機(jī)發(fā)出一個響應(yīng)，說明了端口是處于監(jiān)測狀態(tài)（turn on）。當(dāng)處于關(guān)閉（turn off）狀態(tài)時，主機(jī)發(fā)送一個復(fù)位包。這種技術(shù)的特點就是快速準(zhǔn)確，無需特定的用戶權(quán)限。

3.1.2半連接掃描

若端口掃描程序沒能和目標(biāo)主機(jī)完成一個完整的TCP連接，即掃描主機(jī)和目標(biāo)主機(jī)在某指定端口建立連接時只完成了前兩次握手，掃描主機(jī)中斷了本次連接，使連接沒有完全建立，這樣的端口掃描技術(shù)稱為半連接掃描。

3.2漏洞掃描技術(shù)

系統(tǒng)漏洞指的是與系統(tǒng)安全規(guī)則存在沖突的錯誤。具體的系統(tǒng)漏洞就是攻擊者被允許非法的進(jìn)入私人網(wǎng)絡(luò)中，竊取和盜用網(wǎng)絡(luò)信息和個人口令權(quán)限，或者對系統(tǒng)進(jìn)行攻擊，影響主機(jī)的正常運行。主要由兩種類型的漏洞掃描技術(shù)：基于漏洞庫的掃描和沒有漏洞庫的各種掃描?；诼┒磶斓膾呙栌蠧GI漏洞掃描、POP3漏洞掃描和FTP漏洞掃描等。

3.2.1基于漏洞庫進(jìn)行對比匹配的方法

這種根據(jù)網(wǎng)絡(luò)漏洞庫來進(jìn)行系統(tǒng)漏洞掃描方法的核心就是漏洞庫。前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都有一定的特征。對已有的黑客攻擊的案列，網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)安全的漏洞查找的那些已有經(jīng)驗進(jìn)行總結(jié)歸納，建立一整套標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)漏洞數(shù)據(jù)庫，然后依照系統(tǒng)管理員的管理經(jīng)驗和安全配置習(xí)慣，構(gòu)成主要的匹配對比原則和方法，最后由程序自己運行來對系統(tǒng)的漏洞進(jìn)行掃描。但是這種方法存在一定的局限性，比如說在設(shè)定規(guī)則和原則的時候，如果設(shè)置不準(zhǔn)確，那么其掃描的結(jié)果也會出現(xiàn)很大的偏差。在網(wǎng)絡(luò)中存在很多的未知威脅，因此需要對掃描漏洞庫進(jìn)行及時的更新和補(bǔ)充，這樣才會產(chǎn)生準(zhǔn)確的預(yù)測結(jié)果。

3.2.2插件（功能模塊技術(shù)）技術(shù)

插件是用腳本語言編寫出來的特殊子程序，在掃描整個系統(tǒng)的漏洞時，可以通過掃描程序的調(diào)用來實現(xiàn)程序的調(diào)用，幫助查找系統(tǒng)中的漏洞。每個插件都封裝了一些測試方法，插件越多，掃描程序的功能就越多，就會掃描出更多的漏洞來。插件的編寫規(guī)范化以后，由于腳本語言簡單易學(xué)，用戶自己可以用腳本語句來編寫一些適合自己使用的小程序來查找系統(tǒng)的漏洞，從而實現(xiàn)更多的功能。這種插件技術(shù)使掃描系統(tǒng)的工作變得方便快捷。能夠快速的實現(xiàn)軟件的更新，并且可以簡化新插件的編程工作，使掃描漏洞的軟件有更好的擴(kuò)展性。

4 實時安全監(jiān)測技術(shù)

實時安全監(jiān)控技術(shù)就是對文件的隨時監(jiān)控。病毒通常會依附在文件之中，隨文間的傳播而傳播。實時的安全監(jiān)控技術(shù)能有效的在第一時間監(jiān)控對文件的各種操作。當(dāng)文件在系統(tǒng)中進(jìn)行寫入、關(guān)閉、清除、打開等操作時掃描該文件是否包含有病毒。若存在病毒，就可以根據(jù)用戶自己設(shè)定的病毒處理方式，如清除病毒、，嚴(yán)禁訪問文件和刪除文件等，這樣就能夠有效的避免病毒文件與系統(tǒng)內(nèi)部的文件產(chǎn)生病毒的傳播和感染。這樣就確保了每次執(zhí)行的都是干凈的不帶毒的文件從而不給病毒以任何執(zhí)行和發(fā)作的機(jī)會。

5 結(jié)束語

Internet已經(jīng)廣泛普及，網(wǎng)絡(luò)安全問題現(xiàn)在越來越嚴(yán)重。如何防患于未然，確保網(wǎng)絡(luò)的實實在在的安全是現(xiàn)在研究的熱點。該文只是對網(wǎng)絡(luò)安全一般的檢測技術(shù)進(jìn)行了簡單的介紹，至于網(wǎng)絡(luò)安全檢測技術(shù)的具體技術(shù)和實現(xiàn)有待于進(jìn)一步的研究。

參考文獻(xiàn)：

[1] 鄭友律，阿卡他（Akhtar，S.）.計算機(jī)網(wǎng)絡(luò)（工科類）[M].彭旭東，譯.北京：清華大學(xué)出版社，2004.

[2] 王佳明，曾紅衛(wèi)，唐毅.網(wǎng)絡(luò)安全自動檢測系統(tǒng)（NSATS）[J].計算機(jī)工程，2000.

[3] 無名氏.網(wǎng)絡(luò)最高安全技術(shù)指南[M].王銳，譯.北京：機(jī)械工業(yè)出版社，1998.