您的位置: 旅游网 > 影视

网络安全检测与监控技术的研究

发布时间:2019-10-12 23:17:42

络安全检测与监控技术的研究

络安全检测技术 互联的发展,在大大拓展信息资源共享空间和时间、提高利用率的同时,存在着很多安全隐患,如正在运行的络系统中有无不安全的络服务;操作系统上有无漏洞可能导致遭受缓冲区溢出攻击或拒绝服务的攻击;系统中是否安装窃听程序;对于安装了防火墙系统的局域,防火墙系统是否存在安全漏洞或配置错误等。 另外,各种计算机病毒和黑客攻击层出不穷。它们可能利用计算机系统和通信协议中的设计漏洞,盗取用户口令,非法访问计算机中的信息资源、窃取机密信息、破坏计算机系统。为了解决上述络存在的安全问题,则必须加强络安全检测与监控。 络安全检测技术 络安全检测技术主要包括实时安全监控技术和安全扫描技术。实时安全监控技术通过硬件或软件实时检查络数据流并将其与系统入侵特征数据库的数据相比较,一旦发现有被攻击的迹象,立即根据用户所定义的动作做出反应。这些动作可以是切断络连接,也可以是通知防火墙系统调整访问控制策略,将入侵的数据包过滤掉。安全扫描技术(包括络远程安全扫描、防火墙系统扫描、Web站扫描和系统安全扫描等技术)可以对局域络、Web站点、主机操作系统以及防火墙系统的安全漏洞进行扫描,及时发现漏洞并予以修复,从而降低系统的安全风险。 络安全检测技术基于自适应安全管理模式。该管理模式认为:任何一个络都不可能安全防范其潜在的安全风险。它有两个特点:一是动态性和自适应性,这可通过络安全扫描软件的升级及络安全监控中的入侵特征库的更新来实现;二是应用层次的广泛性,可用于操作系统、络层和应用层等各个层次络安全漏洞的检测。 很多早期的络安全扫描软件是针对远程络安全扫描。这些扫描软件能检测并分析远程主机的安全漏洞。事实上。由于这些软件能够远程检测安全漏洞。因而也恰是络攻击者进行攻击的有效工具

。络攻击者利用这些扫描软件对目标主机进行扫描

,检测可以利用的安全性弱点

,通过一次扫描得到的信息将是进一步攻击的基础。这也说明安全检测技术对于实现络安全的重要性。络管理员可以利用扫描软件,及时发现络漏洞并在络攻击者扫描和利用之前予以修补,从而提高络的安全性。 利用络安全检测技术可以实现络安全检测和实时攻击识别,但它只能作为络安全的一个重要的安全组件,还应该结合防火墙组成一个完整的络安全解决方案。 防火墙系统分析 近年来随着Internet的飞速发展,很多局域采用了防火墙系统保护内部络安全。防火墙就是一个位于计算机和其所连接的络之间的软硬件体系,从计算机流人流出的所有络信息均要经此防火墙的检测和过滤。 3.1防火墙的功能及类型 防火墙限制对被保护络的非法访问,它是设置在被保护内和外部络之间的一道屏障,用来检查络入口点通讯,根据设定的安全规则,对通过防火墙的数据流进行监测、限制和修改,这样可过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可关闭未用的端口,禁止特定端口的流出通信,封锁特洛伊木马,禁止来自特殊站点的访问,从而防止不明入侵者的所有通信

。 防火墙具有不同类型,它可以是硬件自身的一部分,可以将因特连接和计算机都插入其中;也可以在一个独立的机器上运行,该机器作为其背后络中所有计算机的代理和防火墙,而直接连在因特的机器可使用个人防火墙。 3.2防火墙的局限性 个人防火墙并不是专为防范恶意攻击而设计的,微软的IE和AQL的NETSCAPE浏览器均存在黑客可以利用的安全漏洞,从而导致用户的个人数据遭到窃取。防火墙存在以下局限性: (1)防火墙深入检测和分析络数据流量的同时,络的传输速度势必会受到影响;如果防火墙过于严格,可能会影响为合法用户提供连接的性能; (2)传统的防火墙需要人工实施和维护,不能主动跟踪入侵者; (3)不是所有的Internet访问都需经过防火墙,如内用户为方便使用,Modem直接与Internet相连,这样防火墙就无法提供安全保护,且此连接可能会成为攻击者的后门,从而使其绕过防火墙; (4)不是所有的威胁都来自外部络,防火墙仅能到内与Internet边界的流量,无法检测到络内的流量。 (5)防火墙自身容易遭受攻击,最令人烦恼的攻击是隧道攻击和基于应用的攻击。隧道攻击是指由于防火墙根据络协议决定数据包是否通过。然而把一种协议的信息封装在另外一种允许通过协议的信息中时,禁止通过的流量就穿越防火墙。此种攻击采用的手段类似于VPN中的隧道机制,故称隧道攻击。而基于应用的攻击指通过发送包直接与应用通信,利用这些应用的漏洞。如通过发送HTTP命令在Web应用中执行缓冲区溢出攻击来利用Web软件的漏洞。如果防火墙配置成允许HTTP流量,包含此攻击的包将通过。 总之,防火墙不是一种动态的防卫系统,对来自内部的攻击和拨号上无能为力,也已存在许多技术优于防火墙(如IPSpoofing,IPFragmentation)。积极的方法是主动测试系统的安全性能,及早发现安全漏洞并改进系统。 络安全自动检测系统 扫描器是一种自动检测远程或本地主机安全性弱点的程序,它并不直接修复络漏洞。扫描器有3个功能:发现一个主机或络;一旦发现一台主机,可以找出该机器正在运行的服务;测试具有漏洞的服务。其基本原理是当用户试图连接一个特殊服务时,捕获连接产生的信息。 络安全自动检测系统主要是利用现有的安全攻击方法对系统实施模拟攻击,以发现系统的安全设置缺陷。首要问题是收集、分析各种黑客攻击的手段、方法,为了适应络攻击方法而不断更新,设计由攻击方法插件(plugin)构成的扫捕/攻击方法库。攻击方法插件实际上是一个描述和实现攻击方法的动态链接库。为方便维护和管理扫描/攻击方法库,采取统一接口的描述语言描述每一种新的攻击方法

,实现方法库的动态增加。以扫描/攻击方法库为基础,设计实现扫描调度程序和扫描控制程序。扫描控制程序接受用户的扫描命令,配置要扫描的络、主机、攻击方法,并分析处理扫描结果。扫描调度根据扫描控制程序发送的扫描要求,动态调用方法库中的方法扫描络或主机,并将扫描结果反馈给扫描控制程序。 络入侵监控预警系统 络安全自动检测系统的目的在于发现系统中存在的安全漏洞,而络入侵监控预警系统则负责监视络上的通信数据流

,捕捉可疑的络活动,及时发现对系统安全的攻击,并实时响应和报警。 络入侵监控预警系统一般设在防火墙或路由器后面,是防火墙等传统络安全产品的一个强有力助手。其结构如图2所示。络入侵监控预警系统的技术关键是嗅探器的设计。嗅探器可以是硬件软件(通常是软硬件结合),用以接收在络上传输的信息。设置嗅探器的目的是使络接口处于广播状态,从而可以截获络上的传输内容。络上传输的信息在任何协议下都是由信息包组成的,信息包携带着数据。在机器的操作系统间的络接口级进行交换

。 嗅探器假定每个人口的数据包都具有潜在敌意。通过对数据包分解、组合和分析,以判断数据包是否合理,对于无效、泄密、带有攻击性的数据包进行实时记录和报警。嗅探器包含抓包和包分析两大功能。抓包主要通过设计卡的全收模式拦截数据包;包分析则检测数据包是否合法。为此,首先对各种黑客攻击方法进行分类,提取出攻击规则,构成攻击规则库,从待分析的数据包中分解出关键信息,与攻击规则库的规则进行模式匹配,若发现可疑攻击,则实时报警并记录报警及络活动信息。 结语 计算机络的发展使计算机应用更深入和广泛,但随之也使络安全问题日益突出和复杂。络安全技术具有的复杂性和多样性,使络安全发展为一种专门的技术和服务。络安全自动检测和络入侵监控预防的开发为络信息资源的安全提供了预防和防范攻击的有效措施。当然,络信息不存在绝对的安全,攻击方法也在不断地更新,因此,我们应该不断发现、总结,及时概括最新的攻击方法,保证络的持久安全。

微商城软件
小程序多级分销
微商城和微店有什么区别
猜你会喜欢的
猜你会喜欢的