網絡安全檢測與監控技術的研究

摘要：計算機網絡的發展及計算機應用的深入和廣泛，使得網絡安全問題日益突出和復雜。現代網絡安全是網絡專家分析和研究的熱點課題。首先闡述因特網的安全檢測技術即實時監控技術和安全掃描技術的概念、工作原理以及防火墻系統的優勢和不足；然后介紹能夠主動測試系統安全且已實現的網絡安全自動檢測系統和入侵監控預警系統；最后總結網絡安全維護的重要性。
關鍵詞：網絡安全；防火墻；自動檢測與監控技術；入侵預警系統

1 引言
互聯網的發展，在大大拓展信息資源共享空間和時間、提高利用率的同時，存在著很多安全隱患，如正在運行的網絡系統中有無不安全的網絡服務；操作系統上有無漏洞可能導致遭受緩沖區溢出攻擊或拒絕服務的攻擊；系統中是否安裝竊聽程序；對于安裝了防火墻系統的局域網，防火墻系統是否存在安全漏洞或配置錯誤等。
另外，各種計算機病毒和黑客攻擊層出不窮。它們可能利用計算機系統和通信協議中的設計漏洞，盜取用戶口令，非法訪問計算機中的信息資源、竊取機密信息、破壞計算機系統。為了解決上述網絡存在的安全問題，則必須加強網絡安全檢測與監控。

2 網絡安全檢測技術
網絡安全檢測技術主要包括實時安全監控技術和安全掃描技術。實時安全監控技術通過硬件或軟件實時檢查網絡數據流并將其與系統入侵特征數據庫的數據相比較，一旦發現有被攻擊的跡象，立即根據用戶所定義的動作做出反應。這些動作可以是切斷網絡連接，也可以是通知防火墻系統調整訪問控制策略，將入侵的數據包過濾掉。安全掃描技術(包括網絡遠程安全掃描、防火墻系統掃描、Web網站掃描和系統安全掃描等技術)可以對局域網絡、Web站點、主機操作系統以及防火墻系統的安全漏洞進行掃描，及時發現漏洞并予以修復，從而降低系統的安全風險。
網絡安全檢測技術基于自適應安全管理模式。該管理模式認為：任何一個網絡都不可能安全防范其潛在的安全風險。它有兩個特點：一是動態性和自適應性，這可通過網絡安全掃描軟件的升級及網絡安全監控中的入侵特征庫的更新來實現；二是應用層次的廣泛性，可用于操作系統、網絡層和應用層等各個層次網絡安全漏洞的檢測。
很多早期的網絡安全掃描軟件是針對遠程網絡安全掃描。這些掃描軟件能檢測并分析遠程主機的安全漏洞。事實上。由于這些軟件能夠遠程檢測安全漏洞。因而也恰是網絡攻擊者進行攻擊的有效工具。網絡攻擊者利用這些掃描軟件對目標主機進行掃描，檢測可以利用的安全性弱點，通過一次掃描得到的信息將是進一步攻擊的基礎。這也說明安全檢測技術對于實現網絡安全的重要性。網絡管理員可以利用掃描軟件，及時發現網絡漏洞并在網絡攻擊者掃描和利用之前予以修補，從而提高網絡的安全性。
利用網絡安全檢測技術可以實現網絡安全檢測和實時攻擊識別，但它只能作為網絡安全的一個重要的安全組件，還應該結合防火墻組成一個完整的網絡安全解決方案。

3 防火墻系統分析
近年來隨著Internet的飛速發展，很多局域網采用了防火墻系統保護內部網絡安全。防火墻就是一個位于計算機和其所連接的網絡之間的軟硬件體系，從計算機流人流出的所有網絡信息均要經此防火墻的檢測和過濾。
3．1 防火墻的功能及類型
防火墻限制對被保護網絡的非法訪問，它是設置在被保護內網和外部網絡之間的一道屏障，用來檢查網絡入口點通訊，根據設定的安全規則，對通過防火墻的數據流進行監測、限制和修改，這樣可過濾掉一些攻擊，以免其在目標計算機上被執行。防火墻還可關閉未用的端口，禁止特定端口的流出通信，封鎖特洛伊木馬，禁止來自特殊站點的訪問，從而防止不明入侵者的所有通信。
防火墻具有不同類型，它可以是硬件自身的一部分，可以將因特網連接和計算機都插入其中；也可以在一個獨立的機器上運行，該機器作為其背后網絡中所有計算機的代理和防火墻，而直接連在因特網的機器可使用個人防火墻。
3．2 防火墻的局限性
個人防火墻并不是專為防范惡意攻擊而設計的，微軟的IE和AQL的NETSCAPE瀏覽器均存在黑客可以利用的安全漏洞，從而導致用戶的個人數據遭到竊取。防火墻存在以下局限性：
(1)防火墻深入檢測和分析網絡數據流量的同時，網絡的傳輸速度勢必會受到影響；如果防火墻過于嚴格，可能會影響為合法用戶提供連接的性能；
(2)傳統的防火墻需要人工實施和維護，不能主動跟蹤入侵者；
(3)不是所有的Internet訪問都需經過防火墻，如內網用戶為方便使用，Modem直接與Internet相連，這樣防火墻就無法提供安全保護，且此連接可能會成為攻擊者的后門，從而使其繞過防火墻；
(4)不是所有的威脅都來自外部網絡，防火墻僅能到內網與Internet邊界的流量，無法檢測到網絡內的流量。
(5)防火墻自身容易遭受攻擊，最令人煩惱的攻擊是隧道攻擊和基于應用的攻擊。隧道攻擊是指由于防火墻根據網絡協議決定數據包是否通過。然而把一種協議的信息封裝在另外一種允許通過協議的信息中時，禁止通過的流量就穿越防火墻。此種攻擊采用的手段類似于VPN中的隧道機制，故稱隧道攻擊。而基于應用的攻擊指通過發送包直接與應用通信，利用這些應用的漏洞。如通過發送HTTP命令在Web應用中執行緩沖區溢出攻擊來利用Web軟件的漏洞。如果防火墻配置成允許HTTP流量，包含此攻擊的包將通過。
總之，防火墻不是一種動態的防衛系統，對來自內部的攻擊和撥號上網無能為力，也已存在許多技術優于防火墻(如IPSpoofing，IP Fragmentation)。積極的方法是主動測試系統的安全性能，及早發現安全漏洞并改進系統。

4 網絡安全自動檢測系統
掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，它并不直接修復網絡漏洞。掃描器有3個功能：發現一個主機或網絡；一旦發現一臺主機，可以找出該機器正在運行的服務；測試具有漏洞的服務。其基本原理是當用戶試圖連接一個特殊服務時，捕獲連接產生的信息。
網絡安全自動檢測系統主要是利用現有的安全攻擊方法對系統實施模擬攻擊，以發現系統的安全設置缺陷。首要問題是收集、分析各種黑客攻擊的手段、方法，為了適應網絡攻擊方法而不斷更新，設計由攻擊方法插件(plugin)構成的掃捕／攻擊方法庫。攻擊方法插件實際上是一個描述和實現攻擊方法的動態鏈接庫。為方便維護和管理掃描／攻擊方法庫，采取統一接口的描述語言描述每一種新的攻擊方法，實現方法庫的動態增加。以掃描／攻擊方法庫為基礎，設計實現掃描調度程序和掃描控制程序。掃描控制程序接受用戶的掃描命令，配置要掃描的網絡、主機、攻擊方法，并分析處理掃描結果。掃描調度根據掃描控制程序發送的掃描要求，動態調用方法庫中的方法掃描網絡或主機，并將掃描結果反饋給掃描控制程序。
圖1為網絡安全自動檢測系統總體結構。

5 網絡入侵監控預警系統
網絡安全自動檢測系統的目的在于發現系統中存在的安全漏洞，而網絡入侵監控預警系統則負責監視網絡上的通信數據流，捕捉可疑的網絡活動，及時發現對系統安全的攻擊，并實時響應和報警。
網絡入侵監控預警系統一般設在防火墻或路由器后面，是防火墻等傳統網絡安全產品的一個強有力助手。其結構如圖2所示。網絡入侵監控預警系統的技術關鍵是嗅探器的設計。嗅探器可以是硬件軟件(通常是軟硬件結合)，用以接收在網絡上傳輸的信息。設置嗅探器的目的是使網絡接口處于廣播狀態，從而可以截獲網絡上的傳輸內容。網絡上傳輸的信息在任何協議下都是由信息包組成的，信息包攜帶著數據。在機器的操作系統間的網絡接口級進行交換。

嗅探器假定每個人口的數據包都具有潛在敵意。通過對數據包分解、組合和分析，以判斷數據包是否合理，對于無效、泄密、帶有攻擊性的數據包進行實時記錄和報警。嗅探器包含抓包和包分析兩大功能。抓包主要通過設計網卡的全收模式攔截數據包；包分析則檢測數據包是否合法。為此，首先對各種黑客攻擊方法進行分類，提取出攻擊規則，構成攻擊規則庫，從待分析的數據包中分解出關鍵信息，與攻擊規則庫的規則進行模式匹配，若發現可疑攻擊，則實時報警并記錄報警及網絡活動信息。

6 結語
計算機網絡的發展使計算機應用更深入和廣泛，但隨之也使網絡安全問題日益突出和復雜。網絡安全技術具有的復雜性和多樣性，使網絡安全發展為一種專門的技術和服務。網絡安全自動檢測和網絡入侵監控預防的開發為網絡信息資源的安全提供了預防和防范攻擊的有效措施。當然，網絡信息不存在絕對的安全，攻擊方法也在不斷地更新，因此，我們應該不斷發現、總結，及時概括最新的攻擊方法，保證網絡的持久安全。