李小娜

（寧夏電投西夏熱電有限公司 寧夏 銀川 750021）

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)給人類經(jīng)濟(jì)、文化、軍事和社會(huì)活動(dòng)帶來更多便利的同時(shí)，也帶來了相當(dāng)巨大的安全挑戰(zhàn)。現(xiàn)代信息網(wǎng)絡(luò)面臨著各種各樣的安全威脅，有來自網(wǎng)絡(luò)外面的攻擊，比如網(wǎng)絡(luò)黑客、病毒等；也有來自網(wǎng)絡(luò)內(nèi)部的威脅，并且這種威脅更為危險(xiǎn)。因此內(nèi)部威脅檢測(cè)技術(shù)和工具研究成為人們關(guān)注和研究的焦點(diǎn)。

1 入侵檢測(cè)

1.1 基于主機(jī)的入侵檢測(cè)

基于主機(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)單臺(tái)主機(jī)不受網(wǎng)絡(luò)攻擊行為的危害，利用系統(tǒng)日志和審計(jì)記錄來進(jìn)行檢測(cè)分析。通常在受保護(hù)的主機(jī)上有專門的檢測(cè)代理，通過對(duì)系統(tǒng)日志和審計(jì)記錄不間斷地監(jiān)視和分析來發(fā)現(xiàn)攻擊。這類入侵檢測(cè)系統(tǒng)直接與操作系統(tǒng)有關(guān)，它控制文件系統(tǒng)以及重要的系統(tǒng)文件，確保操作系統(tǒng)不會(huì)被隨意地刪改。按照檢測(cè)對(duì)象的不同，基于主機(jī)的入侵檢測(cè)系統(tǒng)可以分為網(wǎng)絡(luò)連接檢測(cè)和主機(jī)文件檢測(cè)。

1.2 基于網(wǎng)絡(luò)的入侵檢測(cè)

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常作為一個(gè)獨(dú)立的個(gè)體放置在被保護(hù)的網(wǎng)絡(luò)上，它使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進(jìn)行的數(shù)據(jù)源，一般利用一個(gè)網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視和分析所有通過網(wǎng)絡(luò)傳輸?shù)耐ㄐ?。一旦檢測(cè)到攻擊，入侵檢測(cè)系統(tǒng)應(yīng)答模塊通過通知、報(bào)警以及中斷連接等方式對(duì)攻擊做出反映。通常，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)放置在防火墻或網(wǎng)關(guān)后，就像網(wǎng)絡(luò)窺探器捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包一樣。但它不延誤包的傳送，因?yàn)樗鼉H僅是監(jiān)視包。同時(shí)，由于它是通過在共享網(wǎng)段上偵聽采集通信數(shù)據(jù)、分析可疑現(xiàn)象，因此它對(duì)主機(jī)資源消耗少。

1.3 基于內(nèi)核的入侵檢測(cè)系統(tǒng)

基于內(nèi)核的入侵檢測(cè)系統(tǒng)是一種較新的技術(shù)，特別是在Linux上。在Linux上目前可用的基于內(nèi)核的入侵檢測(cè)系統(tǒng)主要有兩種:Open Wall和LIDS。它們采取措施防止緩沖區(qū)溢出，增加文件系統(tǒng)的保護(hù)，封閉信號(hào)，從而使得入侵者破壞系統(tǒng)越來越困難。LIDS同時(shí)也采取一些步驟以阻止根用戶的一些活動(dòng)，例如安裝一個(gè)包嗅探器或菏澤改變防火墻策略。

2 日志分析

2.1 文本方式

在統(tǒng)一安全管理系統(tǒng)中以文本方式采集日志數(shù)據(jù)主要是指郵件或FTP方式。郵件方式是指在安全設(shè)備內(nèi)設(shè)定報(bào)警或通知條件，當(dāng)符合條件的事件發(fā)生時(shí)，相關(guān)情況被一一記錄下來，然后在某一時(shí)間由安全設(shè)備或系統(tǒng)主動(dòng)地將這些日志信息以郵件形式發(fā)給郵件接受者，屬于被動(dòng)采集日志數(shù)據(jù)方式。其中的日志信息通常是以文本方式傳送，傳送的信息量相對(duì)少且需專業(yè)人員才能看懂。而FTP方式必須事先開發(fā)特定的采集程序進(jìn)行日志數(shù)據(jù)采集，每次連接都是完整下載整個(gè)日志文本文件,網(wǎng)絡(luò)傳輸數(shù)據(jù)量可能非常大，屬于主動(dòng)采集日志數(shù)據(jù)方式。

隨著網(wǎng)絡(luò)高速的發(fā)展，網(wǎng)絡(luò)內(nèi)部以百兆、千兆甚至萬兆互聯(lián)，即使采取功能強(qiáng)大的計(jì)算機(jī)來處理日志數(shù)據(jù)包的采集工作，相對(duì)來說以上兩種方式速度和效率也是不盡人意。因此，文本方式只能在采集日志數(shù)據(jù)范圍小、速度比較慢的網(wǎng)絡(luò)中使用，一般在網(wǎng)絡(luò)安全管理中不被主要采用。

2.2 SNMP Trap方式

建立在簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP上的網(wǎng)絡(luò)管理，人們通常使用SNMP Trap機(jī)制進(jìn)行日志數(shù)據(jù)采集。生成Trap消息的事件(如系統(tǒng)重啟)由Trap代理內(nèi)部定義，而不是通用格式定義。由于Trap機(jī)制是基于事件驅(qū)動(dòng)的，代理只有在監(jiān)聽到故障時(shí)才通知管理系統(tǒng)，非故障信息不會(huì)通知給管理系統(tǒng)。對(duì)于該方式的日志數(shù)據(jù)采集只能在SNMP下進(jìn)行，生成的消息格式單獨(dú)定義，對(duì)于不支持SNMP設(shè)備通用性不是很強(qiáng)。

網(wǎng)絡(luò)設(shè)備的部分故障日志信息，如環(huán)境、SNMP訪問失效等信息由SNMP Trap進(jìn)行報(bào)告，通過對(duì)SNMP數(shù)據(jù)報(bào)文中Trap字段值的解釋就可以獲得一條網(wǎng)絡(luò)設(shè)備的重要信息，由此可見管理進(jìn)程必須能夠全面正確地解釋網(wǎng)絡(luò)上各種設(shè)備所發(fā)送的Trap數(shù)據(jù)，這樣才能完成對(duì)網(wǎng)絡(luò)設(shè)備的信息監(jiān)控和數(shù)據(jù)采集。

但是由于網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)的多樣性，以及不同廠商管理其網(wǎng)絡(luò)設(shè)備的手段不同，要求網(wǎng)絡(luò)管理系統(tǒng)不但對(duì)公有Trap能夠正確解釋，更要對(duì)不同廠商網(wǎng)絡(luò)設(shè)備的私有部分非常了解，這樣才能正確解析不同廠商網(wǎng)絡(luò)設(shè)備所發(fā)送的私有Trap，這也需要跟廠商緊密合作，進(jìn)行聯(lián)合技術(shù)開發(fā)，從而保證對(duì)私有Trap完整正確的解析和應(yīng)用。此原因?qū)е略摲N方式面對(duì)不同廠商的產(chǎn)品采集日志數(shù)據(jù)方式需單獨(dú)進(jìn)行編程處理，且要全面解釋所有日志信息才能有效地采集到日志數(shù)據(jù)。由此可見，該采集在日常日志數(shù)據(jù)采集中通用性不強(qiáng)。

2.3 Syslog方式

已成為工業(yè)標(biāo)準(zhǔn)協(xié)議的系統(tǒng)日志(Syslog)協(xié)議是在加里佛尼亞大學(xué)伯克立軟件分布研究中心的TCP/IP系統(tǒng)實(shí)施中開發(fā)的，目前，可用它記錄設(shè)備的日志。在路由器、交換機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備中，Syslog記錄著系統(tǒng)中的任何事件，管理者可以通過查看系統(tǒng)記錄，隨時(shí)掌握系統(tǒng)狀況。它能夠接收遠(yuǎn)程系統(tǒng)的日志記錄，在一個(gè)日志中按時(shí)間順序處理包含多個(gè)系統(tǒng)的記錄,并以文件形式存盤。同時(shí)不需要連接多個(gè)系統(tǒng)，就可以在一個(gè)位置查看所有的記錄。Syslog使用UDP作為傳輸協(xié)議，通過目的端口514(也可以是其他定義的端口號(hào)),將所有安全設(shè)備的日志管理配置發(fā)送到安裝了Syslog軟件系統(tǒng)的日志服務(wù)器，Syslog日志服務(wù)器自動(dòng)接收日志數(shù)據(jù)并寫到日志文件中。

3 漏洞掃描

3.1 基于主機(jī)的安全漏洞掃描器

基于主機(jī)安全漏洞掃描器通過查看系統(tǒng)內(nèi)部的主要配置文件的完整性和正確性以及重要文件和程序的權(quán)限 (比如系統(tǒng)內(nèi)核、文件屬性、操作系統(tǒng)的補(bǔ)丁等)，對(duì)主機(jī)內(nèi)部安全狀態(tài)進(jìn)行分析，查找軟件所在主機(jī)上的風(fēng)險(xiǎn)漏洞。即采用被動(dòng)的、非破壞性的方法對(duì)系統(tǒng)進(jìn)行檢測(cè)。一般主機(jī)型掃描器采用Client/Server的系統(tǒng)結(jié)構(gòu)。

3.2 基于網(wǎng)絡(luò)的安全漏洞掃描器

基于網(wǎng)絡(luò)的安全漏洞掃描器主要利用一些腳本來模擬對(duì)系統(tǒng)的攻擊行為，然后對(duì)結(jié)果進(jìn)行分析。類似從外部模擬黑客攻擊手法，通過端口掃描測(cè)試安全漏洞性能。即采用積極的、破壞性的方法來檢驗(yàn)系統(tǒng)是否可能被攻擊崩潰。典型技術(shù)有SATAN,管理器(Manager)IIS等。

3.3 基于目標(biāo)的安全漏洞掃描器

基于目標(biāo)的安全漏洞掃描器運(yùn)行一個(gè)封閉的環(huán)，不斷的處理文件、系統(tǒng)目標(biāo)、系統(tǒng)目標(biāo)屬性，然后產(chǎn)生檢測(cè)數(shù)，將這些檢測(cè)數(shù)同原來的檢測(cè)數(shù)相比較，一旦發(fā)現(xiàn)改變就通知管理員。即是被動(dòng)的、非破壞行的方法。

3.4 基于應(yīng)用的安全漏洞掃描器

基于應(yīng)用的安全漏洞掃描器主要通過檢查應(yīng)用軟件的設(shè)置，進(jìn)而發(fā)現(xiàn)存在的安全漏洞。即也是采用被動(dòng)的、非破壞性的方法。隨著計(jì)算機(jī)應(yīng)用的發(fā)展，這種面向應(yīng)用的安全漏洞掃描器種類將會(huì)越來越多。

4 結(jié)束語

總之，由于內(nèi)部威脅危害更大，同時(shí)與技術(shù)和工具都相對(duì)比較成熟的外部攻擊比起來，其檢測(cè)技術(shù)還很不成熟。因此，內(nèi)部威脅檢測(cè)技術(shù)成為網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)研究熱點(diǎn)，還需更多的研究者對(duì)其展開深入研究。

［1］王自亮，羅守山，楊義先.入侵檢測(cè)系統(tǒng)的測(cè)試與評(píng)估[J].中國(guó)數(shù)據(jù)通信，2002，11:14-19.

［2］吳勇軍.入侵檢測(cè)系統(tǒng)研究與實(shí)現(xiàn)[D].成都:電子科技大學(xué)，2004.

［3］［4］馬遙，張國(guó)印.基于漏洞掃描的綜合掃描系統(tǒng)設(shè)計(jì)[D].哈爾濱:哈爾濱工程大學(xué)，2006.