网络安全检测技术
摘要:随着internet的迅速普及,人们越来越关注网络的安全问题。该文从网络中存在的安全问题入手,介绍了网络安全的检测技术,包括安全扫描技术和实时安全监控技术。
关键词:网络安全;安全扫描;安全监控
中图分类号:tp393 文献标识码:a 文章编号:1009-3044(2013)15-3487-02
1 网络中的安全问题
互联网的出现带给人们更加丰富多彩和快捷方便的信息传播和
接收,并且极大的扩展了信息资源的时间和空间上的使用率,但是信息资源的安全也带给整个互联网很大的问题。在现实的计算机网络应用中,电脑病毒和黑客袭击等问题层出不穷。电脑黑客通过对计算机系统的漏洞、通信协议中的设计缺陷等进行利用,非法的窃取信息资源,用户口令等,访问用户的机密信息,破坏用户的计算机系统。严重时甚至会使整个计算机网络瘫痪导致用户蒙受巨大的经济损失。安全攻击的种类很多,但大致可以分成以下几种类型:1) ip地址欺骗攻击(ip spoofing attack):这种攻击模式为,黑客通过外部的一部电脑进入到用户网络系统中,伪装成为内部网络机器中的一员,之后获得服务器的通行证,窃取计算机网络的信息资源。
2)同步攻击(cp syn flooding):在该攻击模式下,攻击者向服务器发送大量的只有syn标记的tcp连接请求。当服务器接收到
这样的请求时,都会以为是要求建立连接的请求。于是为这些请求建立会话,排到缓冲区队列中。最终因为缓冲区满而导致其他的计算机不能进入到该系统中,严重时致使网络瘫痪。
3)特洛伊木马(trojan horses):它伪装成一些正常的程序,用各种方式隐藏在系统中进行一些恶意活动。甚至可以窃取用户的口令和密码。
4) web网页欺骗攻击:攻击发起者通过发送一条web信息,伪装成为网页的服务器来与用户进行交互,当用户输入自己的口令、信用卡信息密码等之后,攻击者从而盗取其个人财务。
2 网络安全检测技术的主要分类
网络安全检测技术分成两类
1)实时安全监控技术:这种监控技术主要就是通过硬件和软件,对用户的实时的数据进行安全监控,实时的把采集到的信息与系统中已经收集到的病毒或者木马信息进行比对,一旦发现相似即可进行对用户的警告,使用户自己采取必要的手段进行安全防护。可以方式可以是切断网络连接、也可以是通知防火墙系统调整访问控制策略,将入侵的数据包过滤掉。
2)安全扫描技术:主要包括有木马的扫描、防火墙的扫描、网络远程控制功能扫描、系统安全协议扫描等等技术。扫描主要对主机的安全,操作系统和安装的软件、web网页站点和服务器、防火墙的安全漏洞等进行全面的扫描,及时的发现漏洞之后系统进行清除,保障网络系统的安全。
3 安全扫描的技术简介
安全扫描技术主要是运用一些特定软件对可能存在的安全漏洞进行检测。当网络管理员不清楚系统以及软件中的漏洞时,那么很容易被黑客所用。安全扫描技术在网络安全系统中扮演的是侦察兵与预警员的角色,不能独自完成对网络的保护,还需要与其他的系统进行相互的配合,才可以保证主机的安全,提高网络的安全性,找出网络中的薄弱点。网络管理员根据检测结果就可以及时的纠正硬件、软件上的缺陷,提前在受到攻击前进行防御。其主要分成两类:
1)主机安全扫描。主要是用于保护主机,执行一些文件来对安装的软硬件、系统中的未知系统版本,不常见的文件名,等不符合安全规则的对象进行检查,并通过监视主机的审计记录和日志文件来检测。
2)网络安全扫描技术。网络安全扫描技术是检查所有网络部件来收集数据。主要包括有操作系统的扫描(operating system identification)、ip地址冲突扫描、端口扫描(port scam)、漏洞扫描等。其中端口扫描和漏洞扫描技术是网络安全扫描技术中的核心部分,越来越成为网络管理和维护的重要工作。
3.1端口扫描技术
端口的作用就是为计算机传输信息数据而设计的,在系统里有硬件端口,也有软件端口,而每一个端口都有可能被黑客利用作为入侵的通道口。端口扫描技术就是通过对目标主机里的端口进行信息
的监控和检测,之后对反馈的信息分析来达到对系统目前的安全程度的了解。端口扫描向目标主机的tcp/ip服务端口发送探测数据包,等待主机的信息反馈,根据返回的响应来判断端口是关闭还是打开,之后得到端口的服务信息。端口扫描技术也可通过对捕获本地主机或服务器的流入流出ip数据包来对本地主机进行实时的检测和监控,以发现主机存在的弱点。
目前端口扫描主要有全连接扫描器、半连接扫描器。
3.1.1全连接扫描
全连接端口扫描程序向目标主机的tcp/ip端口发送探测数据包,并记录目标主机的响应。全连接扫描有tcp connect()扫描和tcp 反向ident扫描等。tcp connect()扫描是通过tcp/ip协议的3次握手与目标主机的指定端口间建立连接,从而对主机的端口进行安全扫描。连接由系统调用connect()开始,若端口开放,则连接建立成功;否则,则返回-1,表明端口关闭。当成功的建立连接后,主机发出一个响应,说明了端口是处于监测状态(turn on)。当处于关闭(turn off)状态时,主机发送一个复位包。这种技术的特点就是快速准确,无需特定的用户权限。
3.1.2半连接扫描
若端口扫描程序没能和目标主机完成一个完整的tcp连接,即扫描主机和目标主机在某指定端口建立连接时只完成了前两次握手,扫描主机中断了本次连接,使连接没有完全建立,这样的端口扫描技术称为半连接扫描。
3.2漏洞扫描技术
系统漏洞指的是与系统安全规则存在冲突的错误。具体的系统漏洞就是攻击者被允许非法的进入私人网络中,窃取和盗用网络信息和个人口令权限,或者对系统进行攻击,影响主机的正常运行。主要由两种类型的漏洞扫描技术:基于漏洞库的扫描和没有漏洞库的各种扫描。基于漏洞库的扫描有cgi漏洞扫描、pop3漏洞扫描和ftp漏洞扫描等。
3.2.1基于漏洞库进行对比匹配的方法
这种根据网络漏洞库来进行系统漏洞扫描方法的核心就是漏洞库。前提是假设所有的网络攻击行为和方法都有一定的特征。对已有的黑客攻击的案列,网络管理员对网络安全的漏洞查找的那些已有经验进行总结归纳,建立一整套标准的网络系统漏洞数据库,然后依照系统管理员的管理经验和安全配置习惯,构成主要的匹配对比原则和方法,最后由程序自己运行来对系统的漏洞进行扫描。但是这种方法存在一定的局限性,比如说在设定规则和原则的时候,如果设置不准确,那么其扫描的结果也会出现很大的偏差。在网络中存在很多的未知威胁,因此需要对扫描漏洞库进行及时的更新和补充,这样才会产生准确的预测结果。
3.2.2插件(功能模块技术)技术
插件是用脚本语言编写出来的特殊子程序,在扫描整个系统的漏洞时,可以通过扫描程序的调用来实现程序的调用,帮助查找系统中的漏洞。每个插件都封装了一些测试方法,插件越多,扫描程序
