网络安全检测与监控技术的研究

核心提示： (4)不是所有的威胁都来自外部网络，防火墙仅能到内网与Internet边界的流量，网络安全检测与监控技术的研究(3)，无法检测到网络内的流量，(5)防火墙自身容易遭受攻击，扫描调度根据扫描控制程序发送的扫描要求，动态调用方法库中的方法扫描网络或主机，最令人烦恼的攻击是隧道攻击和基于应用的攻

(4)不是所有的威胁都来自外部网络，防火墙仅能到内网与Internet边界的流量，无法检测到网络内的流量。

(5)防火墙自身容易遭受攻击，最令人烦恼的攻击是隧道攻击和基于应用的攻击。隧道攻击是指由于防火墙根据网络协议决定数据包是否通过。然而把一种协议的信息封装在另外一种允许通过协议的信息中时，禁止通过的流量就穿越防火墙。此种攻击采用的手段类似于VPN中的隧道机制，故称隧道攻击。而基于应用的攻击指通过发送包直接与应用通信，利用这些应用的漏洞。如通过发送HTTP命令在Web应用中执行缓冲区溢出攻击来利用Web软件的漏洞。如果防火墙配置成允许HTTP流量，包含此攻击的包将通过。

总之，防火墙不是一种动态的防卫系统，对来自内部的攻击和拨号上网无能为力，也已存在许多技术优于防火墙(如IPSpoofing，IP Fragmentation)。积极的方法是主动测试系统的安全性能，及早发现安全漏洞并改进系统。

4 网络安全自动检测系统

扫描器是一种自动检测远程或本地主机安全性弱点的程序，它并不直接修复网络漏洞。扫描器有3个功能：发现一个主机或网络；一旦发现一台主机，可以找出该机器正在运行的服务；测试具有漏洞的服务。其基本原理是当用户试图连接一个特殊服务时，捕获连接产生的信息。

网络安全自动检测系统主要是利用现有的安全攻击方法对系统实施模拟攻击，以发现系统的安全设置缺陷。首要问题是收集、分析各种黑客攻击的手段、方法，为了适应网络攻击方法而不断更新，设计由攻击方法插件(plugin)构成的扫捕／攻击方法库。攻击方法插件实际上是一个描述和实现攻击方法的动态链接库。为方便维护和管理扫描／攻击方法库，采取统一接口的描述语言描述每一种新的攻击方法，实现方法库的动态增加。以扫描／攻击方法库为基础，设计实现扫描调度程序和扫描控制程序。扫描控制程序接受用户的扫描命令，配置要扫描的网络、主机、攻击方法，并分析处理扫描结果。扫描调度根据扫描控制程序发送的扫描要求，动态调用方法库中的方法扫描网络或主机，并将扫描结果反馈给扫描控制程序。