基于網(wǎng)絡(luò)探測的IP網(wǎng)絡(luò)安全性分析的研究

陶崢

【摘要】 隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，以及網(wǎng)絡(luò)在生活及工作等方面扮演著越來越重要的角色，網(wǎng)絡(luò)安全問題也層出不窮。網(wǎng)絡(luò)安全問題也越來越受到人們的重視，各種網(wǎng)絡(luò)安全解決方案也原來越先進(jìn)，但網(wǎng)絡(luò)入侵檢測和網(wǎng)絡(luò)脆弱性分析是解決這一問題重要手段之一。而本文就基于網(wǎng)絡(luò)探測的IP網(wǎng)絡(luò)安全性分析，來研究網(wǎng)絡(luò)入侵檢測和網(wǎng)絡(luò)脆弱性分析，來保證IP網(wǎng)絡(luò)安全有效平穩(wěn)的運(yùn)行。

【關(guān)鍵詞】 計(jì)算機(jī)系統(tǒng) 網(wǎng)絡(luò)入侵檢測 網(wǎng)絡(luò)脆弱性分析 檢測原理

一、計(jì)算機(jī)系統(tǒng)中存在的安全性問題

計(jì)算機(jī)技術(shù)的飛速發(fā)展，并應(yīng)用于教育、農(nóng)業(yè)、經(jīng)濟(jì)、軍事、政治等等各個(gè)方面，且它其他技術(shù)不斷的融合，導(dǎo)致人們越來越依賴于網(wǎng)絡(luò)。嚴(yán)重的依賴導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)安全存在巨大的危險(xiǎn)，如果計(jì)算機(jī)網(wǎng)絡(luò)一旦出現(xiàn)安全漏洞，那么小則浪費(fèi)人力、物力，導(dǎo)致個(gè)人和企業(yè)喪失競爭優(yōu)勢，大則對國家財(cái)產(chǎn)安全甚至是國家的機(jī)密信息的安全都會(huì)造成威脅。網(wǎng)絡(luò)安全問題不容小覷。

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)復(fù)雜，多變，有的網(wǎng)絡(luò)系統(tǒng)安全性并不高，存在著許多漏洞。眾多網(wǎng)絡(luò)“黑客”正是利用這一漏洞，來侵入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，竊取信息甚至是摧毀現(xiàn)有系統(tǒng)。對于“黑客”的身份和目的性我們并不能確定，他有可能只是出于游戲和獵奇心理，來尋找某些網(wǎng)絡(luò)系統(tǒng)中存在的漏洞，因此，網(wǎng)絡(luò)安全檢測和入侵行為的防御是一項(xiàng)長期而艱苦的斗爭。

二、網(wǎng)絡(luò)入侵檢測

所謂入侵系統(tǒng)檢測，就是指能夠通過分析系統(tǒng)或網(wǎng)絡(luò)安全相關(guān)數(shù)據(jù)來檢測入侵活動(dòng)的系統(tǒng)。一般來說，入侵檢測系統(tǒng)在功能結(jié)構(gòu)上是相同的，均由數(shù)據(jù)采集、數(shù)據(jù)分析、以及用戶接口能幾個(gè)功能模塊組成，只是具體系統(tǒng)檢測在分析數(shù)據(jù)的方法、數(shù)據(jù)采集以及數(shù)據(jù)采集的類型方面有所不同。Denning在1996年提出的基于主機(jī)系統(tǒng)的主體特征輪廓、系統(tǒng)對象、審計(jì)日志、異常記錄以及活動(dòng)規(guī)則等的檢測系統(tǒng)模型是最典型的系統(tǒng)設(shè)計(jì)模型。例如：IDES、NIDES。但隨著這種網(wǎng)絡(luò)安全斗爭的不斷發(fā)展，設(shè)計(jì)模型也在不斷更新。Heberlein利用Denning的模型設(shè)計(jì)的NSM系統(tǒng)能夠在以太網(wǎng)中通過網(wǎng)絡(luò)業(yè)務(wù)分析進(jìn)行檢測。DIDS是對NSM的發(fā)展，把網(wǎng)絡(luò)中主機(jī)系統(tǒng)的審計(jì)機(jī)制收集到事件數(shù)據(jù)通過網(wǎng)絡(luò)進(jìn)行綜合處理。

2.1 IDES模型

它是Denning最早提出的入侵檢測模型，它能夠檢測出黑客入侵、越權(quán)操作及其他種類非正常使用計(jì)算機(jī)系統(tǒng)的行為。它由主體、客體、審計(jì)記錄、輪廓、異常記錄和活動(dòng)規(guī)則六部分組成。IDES實(shí)際上是一個(gè)基于規(guī)則模式匹配的系統(tǒng)，這個(gè)模型不需要不需要保護(hù)目標(biāo)系統(tǒng)的安全弱點(diǎn)和攻擊者的手段。因此，它是一個(gè)異常入侵檢測模型。

2.2 IDM模型

設(shè)計(jì)人員在開發(fā)分布式入侵檢測系統(tǒng)時(shí)，提出一個(gè)層次化的入侵檢測模型，簡稱IDM。

這個(gè)模型給出了在推斷網(wǎng)絡(luò)中計(jì)算機(jī)受攻擊時(shí)數(shù)據(jù)抽象過程，它給出了將分散的原始數(shù)據(jù)轉(zhuǎn)化為高層次的有關(guān)入侵檢測環(huán)境的全部建設(shè)過程。通過把收集到的分散的數(shù)據(jù)進(jìn)行加工抽象和數(shù)據(jù)關(guān)聯(lián)操作，IDM構(gòu)造了一臺虛擬的機(jī)器環(huán)境，這臺機(jī)器由所有的相連主機(jī)和網(wǎng)絡(luò)組成。將分布式系統(tǒng)看作一臺虛擬的計(jì)算機(jī)的觀點(diǎn)簡化了跨越單機(jī)入侵行為識別。

2.3兩種模型的比較

IDES模型依靠主機(jī)的審計(jì)記錄，因此，在網(wǎng)絡(luò)環(huán)境下，IDES模型還是具有一定的局限性。首先，它無法準(zhǔn)確地描述網(wǎng)絡(luò)攻擊行為；其次，網(wǎng)絡(luò)攻擊行為具有一定的復(fù)雜性，一些攻擊者會(huì)通過協(xié)作的方式來挖掘系統(tǒng)的弱點(diǎn)，IDES模型無法描述攻擊者的操作過程；再者，它最多只能保護(hù)單一主機(jī)，然而網(wǎng)絡(luò)入侵攻擊的目標(biāo)是多樣的，且常常是互聯(lián)的，IDES無法判斷出隱藏的攻擊活動(dòng)。最后，IDES模型的局限是把入侵征兆的信息來源局限于審計(jì)記錄，這種做法是遠(yuǎn)遠(yuǎn)不夠的。而IDM模型則是對IDES模型的補(bǔ)充。

總之，入侵檢測模型要隨著網(wǎng)絡(luò)技術(shù)和入侵技術(shù)而變化。一方面要擴(kuò)充入侵檢測模型，另一方面要易于擴(kuò)充。

三、兩種基本檢測原理

絕大多數(shù)入侵檢測系統(tǒng)包括已有的和正在開發(fā)的都是圍繞異常檢測和誤用檢測兩種基本原理展開的。

3.1誤用檢測模型

誤用檢測是根據(jù)已知的入侵模式來檢測入侵。入侵者常常利用系統(tǒng)和應(yīng)用軟件中的弱點(diǎn)攻擊，而這些弱點(diǎn)易標(biāo)準(zhǔn)化成某種模式，如果入侵者的攻擊方式恰好匹配上檢測系統(tǒng)中的模式庫，則入侵者即被檢測到。應(yīng)用誤用檢測原理的檢測方案主要有基于概率誤用入侵檢測方法、基于專家系統(tǒng)誤用檢測、基于狀態(tài)遷移分析誤用檢測方法，基于鍵盤監(jiān)控誤用檢測方法、基于模型誤用檢測方法等。

3.2異常檢測模型

異常檢測是根據(jù)非正常行為和使用計(jì)算機(jī)資源非正常情況檢測出入侵行為。

異常檢測試圖用定量方式描述常規(guī)的或可接受的行為，以標(biāo)識非常規(guī)的、潛在的入侵行為。異常入侵檢測的主要前提是入侵活動(dòng)作為異常活動(dòng)的子集。會(huì)有這樣的情況，若外部人闖入計(jì)算機(jī)系統(tǒng)，盡管沒有危及用戶資源使用的傾向和企圖，可是仍然存在一種入侵可能性，還是將它的行為作異常處理，似乎很合理。但是入侵活動(dòng)常常是由單個(gè)活動(dòng)組合起來執(zhí)行，單個(gè)活動(dòng)卻與異常情況獨(dú)立無關(guān)。理想的情況是，異?；顒?dòng)集和入侵活動(dòng)集一致，這樣，就可以識別所有的異常活動(dòng)恰恰是檢測到的所有入侵性活動(dòng)，結(jié)果不會(huì)造成錯(cuò)誤的判斷。可是入侵活動(dòng)并不總是與異?；顒?dòng)相符合。有四種可能情況：

（1）入侵性而非異常。將導(dǎo)致不能被檢測到，造成漏檢，結(jié)果是IDS不報(bào)告入侵。

（2）非入侵性且是異常的，會(huì)造成虛報(bào)。

（3）非入侵性非異常?；顒?dòng)不具有入侵性，IDS不報(bào)告，屬于正常判斷。

（4）入侵且異常，活動(dòng)具有入侵性并因?yàn)榛顒?dòng)是異常的，IDS報(bào)告為入侵。

應(yīng)用異常檢測原理的檢測方法主要有統(tǒng)計(jì)異常檢測方法等。再者，異常的門限設(shè)置不當(dāng)，往往會(huì)導(dǎo)致IDS經(jīng)常地誤報(bào)警和漏檢。漏檢對于重要的安全系統(tǒng)來說還是非常危險(xiǎn)的。同樣，誤報(bào)警會(huì)增加安全管理員的負(fù)擔(dān)，容易造成麻痹大意。而且，也會(huì)導(dǎo)致IDS的異常檢測器計(jì)算開銷增大。

四、網(wǎng)絡(luò)脆弱性分析

首先，在分析網(wǎng)絡(luò)脆弱性之前，我們必須得清楚什么是網(wǎng)絡(luò)脆弱性。網(wǎng)絡(luò)脆弱性指的是網(wǎng)絡(luò)中任何能被黑客用來作為攻擊前提的特性。網(wǎng)絡(luò)是由主機(jī)、通信子網(wǎng)、各種協(xié)議和應(yīng)用軟件等組成的復(fù)雜系統(tǒng)。網(wǎng)絡(luò)的脆弱性主要就來自于這些部件的安全缺陷和不正確配置。在單一的行為條件下或者單個(gè)的計(jì)算機(jī)系統(tǒng)下，網(wǎng)絡(luò)是出于安全狀態(tài)的。但是，網(wǎng)絡(luò)本身就是互聯(lián)的，因而它具有復(fù)雜的網(wǎng)絡(luò)配置。越復(fù)雜的網(wǎng)絡(luò)越脆弱，一旦某個(gè)不經(jīng)意的點(diǎn)被攻破，那么所面臨的將是整個(gè)系統(tǒng)的癱瘓甚至是徹底損毀。

另一方面，網(wǎng)絡(luò)脆弱性分析是能夠通過分析系統(tǒng)或網(wǎng)絡(luò)安全相關(guān)特性、配置來檢測系統(tǒng)或網(wǎng)絡(luò)安全缺陷或漏洞的系統(tǒng)。一般來說，網(wǎng)絡(luò)脆弱性分析系統(tǒng)在功能結(jié)構(gòu)上也是基本一致的，均由數(shù)據(jù)采集、脆弱性分析以及用戶接口等幾個(gè)功能模塊組成，只是具有脆弱性分析系統(tǒng)在利用系統(tǒng)或網(wǎng)絡(luò)安全特性、配置數(shù)據(jù)分析網(wǎng)絡(luò)脆弱性的方法、采集數(shù)據(jù)及采集數(shù)據(jù)的類型方面有所不同。已經(jīng)有的網(wǎng)絡(luò)脆弱性分析工具包括：基于行為建模的，基于攻擊樹的，基于網(wǎng)絡(luò)描述的，基于主機(jī)的分析。下面就舉幾種典型的脆弱性分析技術(shù)。

4.1 NVT模型

它是由美國空軍研究實(shí)驗(yàn)室開發(fā)。NVT應(yīng)用一個(gè)拓?fù)湎到y(tǒng)模型，這個(gè)模型支持眾多脆弱性分析工具的信息需求，NVT原型整合和互聯(lián)網(wǎng)應(yīng)用若干已有的脆弱性分析評估技術(shù)，產(chǎn)生一個(gè)一體的、組合的脆弱性分析工具。NVT程序定義和發(fā)展了一個(gè)脆弱性評估環(huán)境，這個(gè)評估環(huán)境將若干脆弱性分析資源和工具組合到一個(gè)粘合的脆弱性可視化體系結(jié)構(gòu)中。它提供了一個(gè)靈活的、可拓展的、易維護(hù)的解決方案，它使每一個(gè)脆弱性分析工具處理和報(bào)告能力獨(dú)立于一個(gè)系統(tǒng)的實(shí)際信息。它的優(yōu)點(diǎn)是，讓每一個(gè)工具只僅僅利用它所需要的輸入數(shù)據(jù)。而它能夠提供一個(gè)靈活的、有標(biāo)準(zhǔn)組件的、可擴(kuò)展的脆弱性分析途徑，不僅是一個(gè)富有創(chuàng)新的設(shè)計(jì)，更是它的最大的一個(gè)優(yōu)點(diǎn)。

4.2 NVA模型

分析過程如下：第一步，定義脆弱性度量；第二步，網(wǎng)絡(luò)狀態(tài)被刻畫為正常、不確定或者脆弱，這是基于所選度量的門限值；最后，用節(jié)點(diǎn)和流脆弱性指標(biāo)度量量化網(wǎng)絡(luò)脆弱性。但它最大的缺點(diǎn)是沒能反映網(wǎng)絡(luò)拓?fù)溥B接性對于網(wǎng)絡(luò)脆弱性的直接影響。

這兩種分析方法分別體現(xiàn)了兩種不同的設(shè)計(jì)理念，特別是NVT模型，它的全新的設(shè)計(jì)理念，值得學(xué)習(xí)和借鑒。

在模型的基礎(chǔ)上，下面是幾種流行的分析方法。

1）網(wǎng)絡(luò)描述：提供網(wǎng)絡(luò)經(jīng)受攻擊或故障而幸免的能力分析：這種分析方法提供了一種系統(tǒng)框架，這種系統(tǒng)框架將故障和攻擊事件注入一個(gè)給定的網(wǎng)絡(luò)描述，然后將注入事件以模式曲線圖的形式可視化輸出。這種方法利用模式校驗(yàn)、貝葉斯分析和統(tǒng)計(jì)分析。

2）攻擊樹：攻擊樹假定所有的攻擊路徑已知并且可以被定義為可能或者不可能，通過將已知的攻擊模式映射到攻擊樹上以量化網(wǎng)絡(luò)脆弱性，判定何種攻擊可能性最大因而最有可能存在于網(wǎng)絡(luò)中。

3）被動(dòng)檢測網(wǎng)絡(luò)鏈接：這種方法利用公開監(jiān)測工具得到多種網(wǎng)絡(luò)性能測試的數(shù)值化數(shù)據(jù)。

美國坦桑尼亞大學(xué)Guangzhi Qu等人提出的網(wǎng)絡(luò)脆弱性分析體系結(jié)構(gòu)為該領(lǐng)域的研究工作奠定了重要基礎(chǔ)。它是一種分布式的分析體系。以每種攻擊類型的脆弱性度量作為每個(gè)代理的輸入，代理同時(shí)監(jiān)視網(wǎng)絡(luò)收集網(wǎng)絡(luò)節(jié)點(diǎn)狀態(tài)和服務(wù)性能指標(biāo)，各個(gè)代理的脆弱性度量特定值經(jīng)過事件綜合處理機(jī)制作為脆弱性分析模塊的輸入，輸出為在特定攻擊類型下的脆弱性指標(biāo)。

五、總結(jié)

在計(jì)算機(jī)技術(shù)飛速發(fā)展的今天，尤其是計(jì)算機(jī)技術(shù)和通信技術(shù)相融合，人們的日常生活更離不開計(jì)算機(jī)網(wǎng)絡(luò)。而計(jì)算機(jī)網(wǎng)絡(luò)正在慢慢的融為一個(gè)大的整體，其復(fù)雜性可見一斑。整體里面所包含的是人們的日常工作和生活的方方面面以及企業(yè)甚至是國家的一些機(jī)密信息。所以對于網(wǎng)絡(luò)安全性的檢測必不可少。

在安全性檢測的前提下要了解網(wǎng)絡(luò)入侵原型、網(wǎng)絡(luò)檢測原型以及網(wǎng)絡(luò)脆弱的分析，這樣對于網(wǎng)絡(luò)的入侵與防御以及其內(nèi)部的運(yùn)行才能有一個(gè)更加全面的了解，這樣對于不斷提高網(wǎng)絡(luò)安全運(yùn)行的水平也起著重要的作用

參 考 文 獻(xiàn)

[1]蔣建春 馮登國等，網(wǎng)絡(luò)入侵檢測原理與技術(shù)，國防工業(yè)出版社

[2]李鴻培 王新梅等，入侵檢測中幾個(gè)關(guān)鍵技術(shù)研究，西安電子科技大學(xué)博士研究生畢業(yè)論文，2001

[3]王繼龍、錢德沛、張然、楊新宇、張興軍，互聯(lián)網(wǎng)應(yīng)用性能測量系統(tǒng)的研究實(shí)現(xiàn)

[4]呂錫香，基于網(wǎng)絡(luò)探測的IP網(wǎng)絡(luò)安全性分析的研究，西安電子科技大學(xué)研究生畢業(yè)論文，2004