一种网络漏洞检测系统设计与实现.docVIP

一种网络漏洞检测系统的设计与实现 　　（西安电子科技大学 计算机外部设备研究所， 陕西 西安 710071） 　　摘　要：网络漏洞检测系统是一种用于自动检测目标主机或计算机系统安全漏洞的系统，它通过模拟黑客攻击，主动对网络系统安全性能进行检查测试，提高网络系统防御能力。设计并实现了一种新型的网络安全漏洞检测系统，介绍了整体系统结构的设计、各个功能模块的设计以及各组成部分的设计和实现，最后强调了这一系统的优点和先进性。?? 　　 　　关键词：网络安全； 漏洞检测； 漏洞扫描?? 　　中图法分类号：TP393.08文献标识码：A 　　文章编号：1001-3695(2006)08-0126-03 　　 　　Design and Implementation of Vulnerability Detection System 　　 　　ZOU Zhi cheng, GAO You xing, DAI Zu feng?? 　　(Research Institute of Peripherals, Xidian University, Xi’an Shanxi 710071, China) 　??Abstract:Vulnerability detection system is a kind of network security system which could be used to detect the security of computer and network automatically. It could take the initiative to detect the security of the system by imitating the hacker’s attack in order to improve the recovery of network. This paper designs and implements a new type of network security vulnerability detection system, and introduces its frame, each fuction module and each part in details, at last, emphasizes the merits.?? 　　Key words:Network Security; Vulnerability Detection; Vulnerability Scanning 　　随着黑客入侵的日益猖獗，人们对网络安全的重视度空前提高，网络安全研究领域攻与防日趋激烈。在现阶段，虽然人们已经成功地研制出了以硬件为主的各种防火墙、入侵检测系统[1，5]（IDS）、入侵防御系统（IPS）、防病毒网关、VPN以及物理隔离卡等高性能安全产品，并广泛地使用，但是由于这些产品其自身存在的局限性，使得很多入侵和黑客攻击事件不断发生。?? 　　当然，对付各种破坏系统的企图的理想方法是建立一个完全安全的、没有漏洞的系统，但从实际而言，这根本不可能。美国威斯康星大学的Miller给出一份有关现今流行操作系统和应用程序的研究报告，指出软件中不可能没有漏洞和缺陷[2]。针对这种情况，人们设计了很多网络漏洞检测系统，但是由于这些已有的系统自成体系，兼容性较差。虽然现在许多系统已经采用了CVE（Common Vulnerablities and Exposure）标准作为索引漏洞的依据，但要实现大部分数据的共享是不可能的。针对这个问题，我们设计了一个更加完善的网络漏洞扫描系统，并给与实现。?? 　　 　　1漏洞扫描系统的设计 　　 　　漏洞检测系统设计的基本要求是能够覆盖当前存在的绝大部分漏洞检测，如Windows攻击、远程获得登录权、利用SNMP获取信息、FTP漏洞探测、防火墙漏洞探测、CGI漏洞探测、远程越权获取文件、远程获取Root权限、后门探测、NIS安全性分析、拒绝服务漏洞探测等各种漏洞的检测。同时，要求漏洞扫描功能能够更新及时。本系统结合国内外其他漏洞检测系统设计思想的优点，采用Client/Server/Database（控制平台/检测平台/数据库）和模块化的软件开发思路，通过模拟攻击的方法对目标系统进行检测。系统具有可扩展性、可重用性、操作方便性等特点。 　　 　　1．1整体系统结构设计?? 　　本系统克服了国内网络漏洞扫描系统存在的不足，把漏洞扫描检测部分从整个系统中分离出来，使用专门的数据库进行存放（图1），称为脚本库。如果发现新的漏洞并找到了检测的方法，则只要在脚本库中增加一个相应的新的攻击脚本记录，即可以实现对漏洞的模拟检测，同时也实