基于网络安全一种新漏洞检测系统方案.docVIP

基于网络安全一种新漏洞检测系统方案 　　[摘要]本文分析了漏洞检测技术重要性、研究现状以及存在问题，提出了一个新的漏洞检测系统模型。该系统与入侵检测系统结合后，具有自动防御、入侵取证等新特性。 　　[关键词]网络安全 入侵检测系统 漏洞检测系统 　　 　　一、引言 　　 　　Internet迅速发展的同时也带来了各种安全问题，各种黑客对网络的有意攻击越来越猛烈。黑客入侵总是从寻找系统的漏洞开始的，因此及时发现系统存在的漏洞并采取相应的防护措施显得尤为重要，这就涉及到安全漏洞检测问题。分析安全漏洞产生的根源，研究当前漏洞检测技术和产品存在的不足并进行改进，推动安全漏洞检测技术的进一步发展，对于网络安全、入侵检测等领域都有重要的意义。 　　安全漏洞检测就是对计算机系统或其他网络设备进行安全相关的测试，以找出安全隐患和可能被黑客利用的缺陷。在汲取前人工作经验教训的基础上，文章提出了一种新的漏洞检测系统方案。作为对传统网络安全产品的扩展，可以全面提升防范平台的性能。 　　 　　二、一种新的漏洞检测系统 　　 　　与入侵检测系统(IDS)结合，提出了一个新的具有自动防御功能和入侵取证功能的漏洞检测系统方案。 　　1.层次式系统体系结构 　　层次式体系结构(Hierarchical Architecture)的漏洞检测系统在逻辑上是树形结构：叶节点为本地(主机)基本事件的收集、分析和检测实体(基于主机或基于网络)；中间节点或根节点为监视域中综合事件的收集、分析和检测实体(根节点通常还同时是管理控制台)。每个检测实体都由一组具有独立检测功能的基本检测单元组成。叶节点只根据从本地主机上收集的基本事件信息进行漏洞检测。这样的若干父节点可以构成更高层中间节点的监视域，从而可以根据更抽象的综合信息进行更加整体化和全局化的检测和决策。以此类推， 直到负责最高层次监视域的根节点。根节点通常作为一个管理控制台， 用以评估攻击状况并做出响应。系统管理员可以据此了解系统状态和发送命令。通过逐层向上精简信息和逐层向下精简控制，层次式结构可以获得有效的通信效果。 　　2.系统模型 　　本文的安全漏洞检测系统采用三层结构，包括五个数据库和五个功能模块。系统漏洞特征规则库：该库中存放了目前已知的系统漏洞名称、特征、可能造成的危害等描述，是判断一个系统是否存在漏洞的理论依据。系统漏洞补丁库：针对已经发现的系统和软件漏洞，各公司会及时发布补丁。该库收集了这样的补丁，与漏洞特征规则库中的记录相对应。漏洞扫描插件库：为了解决漏洞检测系统灵活性和动态更新等要求，选择采用扫描插件的策略。每个插件能检测出特定的一个或者几个少数的漏洞。入侵检测特征库：由于该漏洞检测系统是与入侵检测系统配合使用的，所以还应包括一个入侵检测特征库。黑客攻击工具库：这是该模型特有的数据库，收集了大量黑客攻击工具。当系统受到攻击时，在管理员的干预下，系统调用相应的黑客工具，对攻击源进行反攻击，使其丧失继续攻击的能力。这就是主动防御的思想。 　　正常情况下，系统管理员发布“安全检查”指令，系统调用静态扫描和动态扫描功能模块，对主机进行主动的漏洞检测。检测的结果通过报告日志生成模块生成日志，并且与漏洞特征规则数据库、补丁数据库配合，生成完整的系统安全方案提交给管理员。管理员根据系统提交的安全方案，针对当前主机存在的安全漏洞，选择合适的安全策略进行补救。 　　当发生黑客攻击时，首先入侵检测系统发现入侵行为并进行报警。报警信息传给系统管理员的同时，调用入侵取证模块。入侵取证模块完成数据采集、实时入侵分析、响应、重要数据的传输和保存、事后取证分析等功能后，产生入侵日志和取证日志；管理员收到警报后，可以发布攻击指令，调用动态扫描模块对攻击源进行漏洞扫描，根据扫描结果，从工具库中选择合适的黑客工具对攻击源进行攻击，使其在短时间内丧失继续攻击的能力。 　　 　　三、扫描插件的实现 　　 　　扫描插件有效地保证了漏洞检测系统的灵活性和动态更新性，因此扫描插件的实现是本系统的一个关键技术。扫描插件是漏洞检测系统的基石，它是完成检测功能的程序实体。对于这个关键技术，本文的解决思路是：首先从网络上下载已有的漏洞扫描工具作为现成的扫描插件直接加入到漏洞扫描插件库中；同时对于新发布的漏洞，可以自由编制增加新的扫描插件。在具体制作新的扫描插件时，可以考虑将网络端口扫描技术与Win Socket编程相结合，根据协议和漏洞的原理编制网络端口扫描器来实现。扫描插件的收集和编写是一个长期的工作，需要在日常的研究工作中不断的收集和探索。 　　 　　四、系统实现 　　 　　本文的漏洞检测系统给出了安全漏洞的解决方案。 　　考虑到本系统的跨平台运行特点，在开发的过程中采用PERL以及C为程序设计