(计算机软件与理论专业论文)面向内部网环境的网络安全扫描系统的设计和实现.pdf_第1页
(计算机软件与理论专业论文)面向内部网环境的网络安全扫描系统的设计和实现.pdf_第2页
(计算机软件与理论专业论文)面向内部网环境的网络安全扫描系统的设计和实现.pdf_第3页
(计算机软件与理论专业论文)面向内部网环境的网络安全扫描系统的设计和实现.pdf_第4页
(计算机软件与理论专业论文)面向内部网环境的网络安全扫描系统的设计和实现.pdf_第5页
已阅读5页,还剩71页未读 继续免费阅读

(计算机软件与理论专业论文)面向内部网环境的网络安全扫描系统的设计和实现.pdf.pdf 免费下载

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

东南大学硕上学位论文 向内部网环境的删络安全扫描系统的设计和实现 面向内部网环境的网络安全扫描系统的设计和实现 摘要 网络安全事件的不断发生使我们| = _ 1 益感觉到网络安全本身的重要性,而安全 入侵的不断复杂化则让我们更加体会到单一的安全防护在其技术上所具有的种 种缺陷,所以一个完整的安全防护体系需要各种安全组件相互协作共同完成。安 全扫描是以防火墙为核心集成多种技术( 如入侵检测、数字认证) 的安全防护体 系的中一个重要组成部分。它对计算机系统或者其它网络设备进行安全相关的检 测,以找出安全隐患和可能被黑客利用的漏洞。在分析现有网络扫描所具有的问 题的基础上,结合安全扫描作为安全防护的一部分的实际情况,本文设计并实现 了一个面向内部网环境的网络安全扫描系统,通过与i d s 信息共享以及和防火墙 的安全联动更好的实现了网络安全防护。 论文详细介绍了系统设计和实现。主要分为三大部分:第一部分主要讲述了 安全扫描脚本解析引擎i o n s l 的设计和实现,通过利用脚本解析引擎来解析、执 行安全扫描脚本的方式,实现了扫描的灵活性和可扩展性;通过控制解析执行库 的安全,实现了安全扫描自身的安全性;第二部分主要讲述了安全传输协议 s s n t p 的设计和实现,通过利用s s l 和具体交互指令设计的方式,实现了快速、 安全的简单安全扫描网络传输协议;第三部分主要讲述了安全扫描的核心扫描技 术和安全扫描任务调度的设计和实现,通过具体的核心技术包括端口扫描、系统 识别、服务识别、漏洞扫描、安全联动和l i n u x 上基于多进程的安全扫描调度方 案,实现了系统的整体运行。 【关键词】安全扫描、漏洞扫描、服务识别、安全联动、脚本解析引擎、安全传 输 i i 查塑查芏塑主兰篁笙苎 塑塑苎婴堑堕塑塑堑塞全塑塑墨竺塑丝盐塑窒堡 a b s t r a c t t h em o r et h en e t w o r ki n s t r u c t i o nh a p p e n s ,t h em o r e w er e a l i z et h e i m p o r t a n c e o ft h en e t w o r k s e c u r i t y w h il e t h em o r ew ea n a l v z et h e d i v e r s i f i e a t i o no fn e t w o r ki n s t r u c t i o na n dt h el i m i t a t i o no fi n d i v i d u a l n e t w o r k p r o t e c t i o nt e c h n o l o g y ,t h em o r ew er e a l i z et h ed e m a n da n d i m p o r t a n t o faw h o l en e t w o r kp r o t e c t i o ns y s t e m ,w h i c hi n c l u d e s m a n y s e c u r i t y m o d u l e ss u c ha si d s ,s c a n n e r ,c a e t c b yc o o p e r a t i n ga n d c o r r e l a t i n gw i t he a c ho t h e r , s h a r i n gt h es e c u r i t yi n f o r m a t i o n ,i tf o r m s aw h o l es e c u r i t yp r o t e c t i o ns y s t e m s e c u r i t ys c a n n e ri so n ei m p o r t a n tp a r t o ft h es y s t e m ,i ti n t e n d st og a t h e rt h eu s e f u la v a i l a b l ei n f o r m a t i o na n d a l r e a d y k n o w nv u l n e r a b i l i t i e st h a t m a y b e u s e d b u y i n t r u d e rf r o mt h e t a r g e t ,f i xt h ev u l n e r a b i l i t i e si na d v a n c e ,s h a r et h es e c u r i t yi n f o r m a t i o n w i t ho t h e r s e c u r i t y m o d u l e s t h i s p a p e r i n t r o d u c e st h e d e s i g n a n d i m p l e m e n t a t i o no fa n i n t r a n e to r i e n t e ds e c u r i t ys c a n n e r ,w h i c hs h a r e i n f o r m a t i o nw i t hi d sa n dc o r r e l a t ew i t hc o r ef i r ew a l lt oa c h i e v ea n e n h a n c e ds e c u f i t y p r o t e c t i o n t h i sp a p e ri n t r o d u c e st h ed e s i g na n di m p l e m e n t a t i o no ft h es e c u r i t y s c a n n e ri nd e t a i l i tc a nb ed i v i d e di n t ot h r e em a i np a r t s ,t h ef i r s tp a r t i n t r o d u c e st h ed e s i g na n di m p l e m e n t a t i o no ft h ec o r ee n g i n ef o rs e c u r it y s c r i p t s b yu s i n gt h es c r i p tp a r s ea n de x e c u t ee n g i n e ,w ec a na c h i e v et h e s t r e t c h i n ga n df l e x i b i l i t yo fs e c u r i t ys c a n ,w h i l eb ya d d i n gm o r ec o n t r o l o ni t s1i b r a r yf u n c t i o n s ,w ec a na c h i e v eam o r es e c u r ef r a m e w o r ko fs c r i p t e n g in e t h es e c o n dp a r ti n t r o d u c e st h ed e s i g na n di m p l e m e n t a t i o no ft h e s i m p es e c u r et r a n s f e rp r o t o c o lb a s e do ns s la n ds p e c i a ld e s i g no ft h e i n s t r u c t i o n ,w h i c hr e s u l t si naf a s ta n ds e c u r en e t w o r kt r a n s f e r :t h el a s t p a r tm a i n l yi n t r o d u c e st h ed e s i g na n di m p l e m e n t a t i o no ft h ec o r e s c a n m e t h o da n dt h em a n a g e m e n to fm u l t i - t a s k ,w h i c hi n c l u d e sp o r ts c a n ,s y s t e m i d e n t i f y ,s e r v i c ei d e n t i f y ,v u l n e r a b i l i t ys c a n ,a n dt h em a n a g e m e n t o f m u l t i t a s kb a s e do np r o c e s s 【k e yw o r d s 】s e c u r i t ys c a n ,v u l n e r a b i l i t ys c a n , s e r v i c ei d e n t i f y , s e c u r i t yc o r r e l a t i o n ,s c r i p tp a r s ea n de x e c u t ee n g i n e ,s e c u r en e t w o r k t r a n s f e r i l l 东南大学硕上学位论文 向内部网环境的网络譬仝扫描系统的设计和实现 东南大学学位论文w 6 4 4 7 3 9 独创性声明及使用授权说明 学位论文独创性声明 本人声明所早交的学位论文是我个人在导师指导下进行的研究上作及取得的研究成果。尽我 所知,除了文中特别加以标注和致 身 的地方外,论文中不包含其他人已经发表或撰写过的研 究成果,也不包含为获得东南大学或其它教育机构的学位或证b 而使用过的材料。与我一同 工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示了谢意。 签名: 二、关于学位论文使用授权说明 馒经日期:麴醢 东南大学、中国科学技术信息研究所、国家图b 馆有权保留本人所送交学位论文的复印件和 l h 子文档,可以采用影印、缩印或其他复制手段保存论文。本人【l l 子文档的 容和纸质论文 的内容相一致。除在保密期内的保密论文外,允许论文被查阅和借阅,可以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研究生院办理。 签名:纽翩签名阻日期:粤 尔南人4 i 学位论文 面向内删叫环境的嗍络4 立伞 时苗系统的【芷_ ;f _ 1 灾地 1 1 研究背景 第一章引言 信息时代的到来使得计算机网络应用同益融入生活,如自动办公系统、电子 商务系统、网络游戏等等。但同时无沦是从红色代码( c o d e r e d ) 、尼姆达( n i m d a ) 蠕虫、直到最近的“冲击波”,还是计算机紧急响应组( c e r i 、) 协调中心历年 的统汁报告,都显示以信息共享为初衷的、丌放自由的互联网存在严重的涮络 安全问题。因此,如何提高网络的安全性”1 成为人们日益关心的问题。 安全防护是加强网络安伞的重要措施,但是随着网络规模的扩大和复杂度的 提高,网络攻击的形式和手段也同益多样化,这就使得单一的安伞防护具有种种 缺陷,如防火墙。作为刚络之i a j 一种特殊的互联访问控制设施,在保证流晕不 受限制的情况下一股不能解析应用层的数据,从而使得防火墙本身彳i 具备检测的 功能“;入侵检测“1 可以很人程度上得知当前网络中发生的一些包括入侵在内 的行为,但由于缺乏对被攻击目标的了解和不断复杂的攻击方法,使得入侵检测 的准确率不高,所以检测的结果不能用米动态调整防火墙的访问规则;同时存 加密过的安全应用 j ,入侵检测山于无法获得会话内容而难于检测出其中的桐火 漏洞,如基于h t t p s 的w e b 安仝漏洞。所以,一个完整的安全防护体系需要各 种安全组件相互协作共同完成。 九l 年代l j 其坷,d 1f a r m e r 和w i e t s ev e n e m a 存r n ier n e t 上公布了他们著 名的软件s a t a n 以及著名的文档“i m p r o v et h es e c u r jt y0 r y o u rs i t eb yb r e a k i n t oi t ”,“1 从而引发了安全管理员以个新的思路看待系统的安全。正如黑客 入侵日标网络前需要先了解f j 标网络中的基本信息和安全隐患样,我们可以置 动的束收集本地网络的基本信息并杏找本地删络中的安全隐患。安全扫描”1 就 是对计算机系统或者其它网络设备进行安全相关的检测,以找出安全隐患和可 能被黑客利用的漏洞。安全扫描系统的扫描结果可以使得管理员及早发现网络 叶r 现有的安全漏涧,给出一定的安全解决方案以便管理员在安全事件发生之前堵 :漏涮,郦r 寸获取内部网络巾的一些有用信息为入侵检测和防火墙的联动提供 定的参考依据。 安全扫描是以防火墙为核心集成多种技术( 如入侵检测、数字认证) 的安 全防护体系中的一个重要组成部分。 1 2 网络安全扫描现状 1 2 1 安全扫描的发展过程 荩丁网络的安全扫描软件从九i 年代中期由d a r lf a r m sr 和w i e t s ev o n e m a 存1 te r n e t 上公巾的他们著名的软件s a t a n ( 安全管理员的网络分析r 具) 以 及著名的文档“i m p r o v et h es e c u r i t yo fy o u rs it eb vb r e a ki n t oi t ” 丌始,安伞扫描技术经过不断发展,经历了如下四个阶段”1 : 扫描引擎和数据混合型:这种扫描把扫描引擎和扫描比对的特征数据混合 住一起定制工作,小同实现的过程实现小同的简单的功能,f ;利于扩展; 分离的扫描引擎和扫描规则:这种扫描实现了引擎和规则的分离,有利r 动态知识库的不断扩充; 插件技术的安全扫描:这种扫描使得每个插什都封装一个或者多个漏洞的 测试乒段,主扫描程序通过调用插件的方法来执行扫描,通过添加新的安全扫描 捕件,扫描更多漏洞。在插件编写规范公布的情况下,用户或者第三方公司甚至 川以自己通过编写安全扫描插件,从而扩充软件的功能。同时这种技术使软件的 升级维护都变得相对简单,并具有非常强的扩展性; 专用脚本语言的安全扫描:这其实就是一种更高级的插件技术,用户j 以 使用专用脚本语言柬扩充软件功能,这些脚本语言语法通常比较简单易学,往往 用h l 行代码就可以定制一个简单的测试,为软件添加新的测试项。脚本语古的 使用,简化了编写扫描插件的编程工作,使扩充软件功能的工作变得更加容易, 忖通过对脚本解析引擎施加一。定的限制使得安全扫描本身较般的安全扫拙 捅什技术而古有,更多的安全保障。 帆目各个安伞组件之问的联系也得到不峨的加强,功能越来越强,由安全 扫描程序到安全评估系统“”,最早的安伞扫描程序只是简单的把各个扫描测试 项的执行结果岁列出来,直接提供给测试者而一i 对信息进行任何分析处理。而当 前较成熟的扫描系统都能够将对单个卞机的扫描结果整理,形成报表,能够对具 体漏洞提一些解决方法。 1 2 2 安全扫描分类 基于应用的扫描技术:这种扫描技术采用被动的,非破坏性的办法,通过 扶取系统1 1 1 关川越用软件的相关基本配胃信息,捡垒麻用软件包的没嚣,从而发 现安伞漏涮。 基于主机的扫描技术:这j f l | 1 扫描技术采用被动的,4 e 破坏性的办法,通过 捩取系统俯,n 通j i 静涉及剑系统的内核,文件的橱r :,操作系统的补r 等问题, 面向内部m 玎境的h 络艾牟_ 川描系统的啦 十和实现 来检测系统。这种技术通常还包括i 令解密,把一些简单的厂l 令别除。因此,这 种技术r q 以非常准确的定位系统的问题,发现系统的漏涮。 基于目标的漏洞扫描技术:这种扫描技术采用被动的,1 f 破坏性的办法检 查系统属性和文件属性,如数据库,汴册号等。通过消息文摘算法,确定系统在 i i i 常状态下的榆验数,通过运行在一个闭环上,小断地处理文件,系统e l 标,系 统一标属性,然后产生检验数,然后把这些榆验数和原来的检验数相比较。一旦 发现改变就通知管理员。 基于网络的检测技术:这种扫描技术采用积极的,非破坏性的办法来检验 系统是否有口j 能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行 为,然后埘结果进行分析,它针对已知的网络漏洞进行检验。网络检测技术常被 用柬进行穿透实验和安全审计。这种技术可以发现一系列平台的漏洞,也容易安 装。但是,它可能会影响网络的性能。 1 2 3 网络安全扫描的技术现状 基f 网络的安全扫描和基于主机的安全扫描的不同之处在于,基于主机的安 令扫描提供了基于土机的安全评估策略来分析系统漏洞,可以通过准确获取系统 信息柬分析系统的安全,而基于网络的安全扫描更多的是从主机外部网络的角 度,在结合已有漏洞知识的情况下,通过对目标采取类似入侵的检测技术来收集 二| 标j 卜机的基本信息= = 发现目标所具有的- j 能被入侵者利用的安全隐患。 i _ i i 自“已有为数众多f 勺针对小同方面的安全漏洞的安全扫描软件,相对而石2 - 如 州外的n m a p ( n e t w o r km a p p e r 网络安伞扫描器) ,s a t a n ( s e c u r i t ya d m i n is t m l ( ” 1 、( m if o ra n a l y z i n gn e t w o r k s 安全管理员的刚络分析工具) ,i s s ( i n t e r n e t s e c u f i t ys c a n n e r 网络安全扫描器) ,n e s s u s 等;国内的著名黑客g l a c i e r ( 冰 作者) 的x s c a n 及小榕的流光等都具有各自扫描的特点; n m a pj i l l 自是最受欢迎的端厂| 扫描器之一,用来对一个比较大的网络进行 快速端口扫描的工具,它能榆测该服务器有哪些t c p i p 端口目前汇处丁打j i 状 态。碰j l 奘。- 现秘密扫拙、动态延迟、欺骗扫描、端i 过滤探测等,在扫描痕迹的隐 藏性和探测防火墙和入侵检测方面都有定的领先技术,灵活性非常好,功能强 人: s a t a n :s a t a n 足为u n i x 设计的,它主要是用c 和p e r l 语言编写的,同时在 界【i 部分采用了一螳l l 。i m l 技术。sa 1 a n 是比较早用来扫描远程主机的网络扫描 器,能扫描- 些如:f t p d 脆弱性和f t p 的可写| _ 二| 录、n i i s 脆弱性、n i s 脆弱性、 阶1 1 脆弱性、s i i n d m a j l 、x 服务器脆弱性等漏洞; i s s “”:1h ss a i :e s s u n c 产品系列山i nl e 1s c a n n er 和s v s l e l l is o c l i f l t ? s ( 。i n r ll 、r ) 岍部分绢成, r l te l ,n l 、lh ( 、,【r ( 、i 包括w e bs cc l i r it ys c 。l n n ( 、 、 血同内部l 叫王1 、境的嗍络爱伞 l 描系统的改1 i = 【1 1 文现 f i f q w & i ls c m m 和i n t r a n e ts c a n n e i 、k - t t i l 件,分别用 _ _ 扫描w e b 服务器、 防火墙和介业内部网;s 3 用 - 扫描服务器操作系统; n e s s u s “”:它是比较好的个l i n u x b s o 7 州h 上丌放源代码风险评估具, 它是多线程,采用c s 分丌模式、基于插件的软件,在基于n a s 安全脚本捕述 语占的基础一h ,能进行较多的远程安仓检奄,同c v e 漏洞知识库相结合的网络扫 描软件,山于不是面向安仝防护型的h 描工具,软件的实现中有定的i d s 逃避 和防火墙穿透功能。 总体上米i 色,当前为数众多的安全扫描在基于应用的检测技术、基于主机的 检测技术、基于目标的漏洞检测技术、基于列络的检测技术等不同方面都具有相 对成熟的暴本扫描技术和方案。但随着网络攻击的形式和手段的越来越多样化、 匝雨上下文相关的网络攻击不断出现,网络攻击不断向应用层提升。因此,安全 扫描存不断扩充扫描功能的同时,需要不断加强安全信息的灵活调整以及安全组 件之间的安全信息共享,为不断动态更新扫描方案和相互协作提供更方便的接 口,同时作为个安全应用,其自身的安全性也需要得到不断的加强。 1 2 4 网络安全扫描主要问题 扫描基本信息的共享问题 动态结果知识的共享程度不够。由丁越来越多的安全漏洞都出现在应用层 上,比如f t p 的各种实现软件在应用层指令解析错误时所导致的种种问题,就 需要河先确定t i 标机所玎放的f t p 服务端l j ,扫描就被分为如下步骤: 1 :探测j _ ! = 机的在线状态; 2 :获取主机的外放端口列表: 3 :识别出丌放f t p 服务的端口; 4 :进行相应的漏洞检测; 在侮个动作完成一个功能的情况下,如果没有形成共享的信息库,那么当卜 个需要进行另外种f t p 栩天漏涮的扫描的时候,那么又要重复1 3 来定似 f t p 服务;同时如果希单调整一些定位f t p 服务的鉴别方案时,就需要修改相 关所有漏洞扫描的服务发现部分,很不方便。通过将其分丌,明确各自的关注重 点,如服务定位只定位服务供服务漏洞扫描者利用,而漏洞扫描者只关注漏洞扫 描而小需要定位服务,我们就比较容易修改当中的任何一部分而不影响其它的部 分,并_ l 将来且匕更高层的功能可以在以6 结果知u 库的基础上继续进行。同时 这蝗牲本知识也能给其它的安全防护如入侵检测干【i 防火墙等做一定的参考; ,扫描系统安全扩展方案问题 j 。奠伞漏州总足经f 力从未破发现到被发现这样个过程,所以艇j 二知让! n 0 扫描也需要扯更新基本规则的同时更新扫描的1 些实现引擎。现有的基于d l l 的动态加载的策略往往过f # 业,同时添j j u 利渊试新的模块也不方便,从底层实 现丌始的 1 描代码的编写也冠得事倍功半:同时对于笨十d l l 等底层乃式的动 态插什何。j ,盯j 二其实现呵以调用整个系统相j 越的箨种功能函数,导致我们无法 对其操作施加牛日关的安全控制,这就涉及到插4 1 :自身的安全引入问题,不利川奇 求实现基二代理的结合主机和网络功能的混合安全扫描,毕竟安全代理需要处在 个受限的安全控制框架巾。所以需要一种简易的高层脚本语言来便捷的添加、 修改、调试各个扫描功能模块,同时又便于施加相关的安全限制; 基于信息采集下的漏洞判断问题 以前的安全扫捕很多采取的是一种基于信息采集的方式,也就是通过获取f 1 标的一些如服务信息、版水信息,然后根据知u 库中的可能存在该问题的版本相 关内容等进行判断,而不是通过真f 的模拟交互的方式来进行的,所以1 i 能够很 准确。如识别端口,仅仅通过提示信息来确定的话,那么在没有提示信息或提示 信息被修改等方式下就没有办法做到;对于服务而言,如果简单认为h t t p 服务 在8 0 或8 0 8 0 或8 0 0 0 上,那么就无法获得玎放在其它端口上的h t t p 服务,事 实 :越来越多的服务丌启在1 i 同fi a n a ( i n t e r n e t a s s i g n e dn u m b e r s a u t h o r i t y ) 所制定的端口上:同样对于漏洞而- k ,由于具体系统的微妙差异,叮能使得结果 相差很多,如溢出漏洞,由于堆栈地址空间的,1 i 同而不一样。这时通过模拟交互 过程就能更好的准确识别。不过前者1 i 会导致实际的系统伤害,而后者可能会导 致对系统的实际伤害。 1 3 研究内容及论文安排 论文的研究内容是通过分析研究现有基本安全扫描技术和系统的优缺点,结 合面向内部恻环境并作为卡动式防火墙的一部分的特殊安令扫描自身的要求,通 过基1 j j 脚本解析引擎的安全脚本扫描、基十数据库的信息其享、基于多进程的分 级调度,来增加扫描系统的灵活性、准确性、信息共享性,设计并实现一个面向 内部蚓环境的网络安令扫描系统,并将其集成到以防火墙为核心集成多种技术 ( 如入侵检测、数字认证) 的安全防护体系中。 论文要陶绕实际系统的设计和实现来详细展丌,每一部分从现有的艇本结 构、仃在的问题出发,确市系统的设计f 1 标,提出相应的修改方案或实际所采取 的。爻施乃案。沦文最后就系统的不足干进步的改进 1 :m 了何意义的探讨。本文 j l 分,。、一、l : 尔南凡学坝i 学位沦殳 l第章引言部分主要阐述了安全扫描的研究背景、技术现状及问题,并就此 提出研究内容: 2 第:带介蜊了面向内部网环境的网络安全扫描系统系统( i o n s ) 的整体设 计原则、f 1 标以及安全扫描巾的一些笨本相关技术; 3 第二章详细的分析了脚本解析引擎的必要性、设计目标及具体的设计和实现 。 的相关技术: 4 第四章介绍了安令扫描作为服务中用到的简译安全扫捕网络传输协议 s s n t p 的没计和实现中的相关技术; 5第五章主要讲述了系统实现中的具体实施方案,包括端口扫描方案、系统谚 别方案、服务识别方案、核心脚本及库函数的加载、任务调度调度; 6第六章就论文进行总结,并就末来发展趋势做了定展望和探讨。 第二章 io n s 系统整体框架设计概述及相关技术简介 本章主耍胰整体上讲述了面向内部黼环境煎嘲络安全扫描系统i o n s ( f 1 r a n e to r je b 【e dn e t w o r ks e c ur n ys c a n n e r ) 的相关设计原则、目标、椭 架结构、模块划分及相关功能,同时就系统相关扫捕技术做了简要的介绍。 2 1 系统的设计原则 凇确性、综合经、整抟性原则: 安全扫描的酱的在予零先发现被保护的本施嘲终中存在的可麓筏利闫的安 全漏洞,从而鬻先修补漏洞以达到防患j 二末然的目的,同时由于供入侵检测参考 和防火墙互动的原斛,所以爱求安全扫描具有较高的安全准确性;嗣时在不失准 确性的l 掇一f ,安全招撼作为对被臻护飘络蹶送芎亍豹一黪安全添溺辨护扫援, 般来说周期相对较短,同时随着安全漏涧知识库的不断增加,安令扫描的工作量 电不断增加,所以要求系统具有较好的性能; 爨扩震、再伸缩、灵活性艨剃; 翔】二随黄各种应用的不甑扩麓,应用层的协议不凝增多,基予不弱应用诱议 的安全隐患 i ! _ 不断出现,安全扫描需要能够不断的扩充新的应用协议安全扫描引 擎及相关的安全知识库信息,所以要求系统具有较强的灵活性来适应这种动忿增 测的要求。 信息共享性原则: i t f 安全隐患所产生的上下文环境越来越复杂,每个安全扫描之| 自j 存在了 定的依赖型,。磐安全扫描的基本信息可给另一些安全扫描提供一+ 砦基本信息以 减少霞复扫描妨渡费,提高扫描的茬麓翻准确率;霹露给不露静安全产晶魏i d s 、 防火墒之洲搬供相应的安仝信息参考;所以要求系统县有内部共事和外部共享的 知识庠。 攥捧楚易、缀巢清额蛙爨剿: 安全扫描作为1 个基本昭安令应用模块束辅助系统安全管璎爱更魏l 有效游 管理整个局域网的安全,要求系统在不失功能的前提f 操作起来相对简单,同时 列二卜扫描的结果两高,不仅要求 描的撼术信息易查易读,同时能对相应的安全 瓣溺提供褶庭瓣漏洞描述翱褶关麓餐凌撼藏。 传输快速、安全性原则: j i o n s 作为c s 模式米实现同步多请求多线程的并行扛i 捕,请求和j _ i i 曼务 之阏存斑较多昀信盟_ 输,为了提离扫拭的董 :能和降低嘲络扫撼珊带米妁对列络 一弦蘸的 川,所以篮求系统在信息传输力| | _ l j 傲。定的拎制,胰而送别较少和较溉 东南人学坝1 1 学位论立 的信息传输;同时山于防火墙的规则调整涉及到整个网络的安全,所以基于网络 传输的规则调整指令需要考虑网络传输奉身的安全。 2 2 系统的设计目标 存现有的安令扫描技术“4 5 川6 1 的基础上,结合已分析的安全扫描中所存 在的问题,通过协议栈指纹识别远程操作系统、通过协议交h :识别远程服务、通 过中f j 结果知识库实现信息重用和共享、通过嵌入脚本实现扫描模块动态扩展、 通过模拟攻击检测远程漏洞等方案,结合分析面向内部网环境以及和i d s 及防 火墙信息联动的实际应, _ 需求,设计和实现一个不仅可以独立可用同时可以作为 “主动式防火墙”中的一部分和防火墙及1 d s 进行联动的安全扫描系统。 2 3 系统的整体框架及各个模块功能简述 2 3 1 服务部分框架 血向内部i 列环境的m 络坂 牟= i 捕系统的吐r _ 罚1 实现 安全扫描守护进程: 安全守护进程部分在完成。、f 护进程的初始化工作以后,如连接m y s q l 后台 锕以库,检查本地脚本插件、脚本解析引擎,创建小地峪听安全套接字,然后以 服务的方式作为守护进程等待客户的连接。通过s s n t p 协议平u 客户端进行信息 交互,并根据客户端的配置,形成扫描请求的相应会话信息,存储存后台知识库 中,同时根据请求的蚀商参数形成脚本解析的上下文信息,然后通过f o r k 了进 程的方式启用多进程的脚本解析引擎,丌始安令扫描; 扫描脚本运行核心: 扫拙脚本解析引擎在相应的安全脚本解析引擎上下文巾,通过脚本解析形成 脚本语法树,然后在脚本底层函数库的配合下,通过递归执行的方式,完成脚本 的执行; 后台知识库: 后台知识序用于安全扫描信息的存储,如用户信息库主要用于存储系统用户 什1 灭的基本信息,包括用户名、编号、安全规则索引、安全证书索引等信息;扫 描策略库用来记录每一个会话的请求信息及相关扫描的完成状态,从而达到恢 复、暂停扫描等功能:响应策略库丰要是定制相关安全扫描脚本发现相应漏洞时 所采取的动作,供扫描响应部分实施;安全信息库记录着历史扫描的相关结果信 息; 扫描响应部分: 至要根据安全响应策略j 车来形成相应的安全响应报文,然后通过安全结果和 核1 5 , 舫火墙进行通信,调整桐笑规则; 2 3 2 客户部分系统框架 量世坚兰型曼旦兰! 丝一 堕塑塑型型型:塑塑塑堑塞曼! ! 塑墨竺塑坠童婴茎些 扫描相关: 连接鼹务纂,邋过罐户谈证,定铡捆关豹搦攘请求会话,包括扫捺静上f 爻 参数和所要进行的安今扫描、扫描方案( 定时、谯线、离线、安全方式还是模拟 攻击方式) 等,然后丌始实施安全扫拙,= 1 _ = 显示桐应的反馈信息等; 信息检索: 奄寻相关安全扫猕的信息; 报表输出: 形成相关的h t m l 页砥或者p d f 报表供用户查看; 2 4 系统工作基本原理 系统在s s x i f p 简单安全扫描嘲络传输出汉簸纂础上,按麟用户的请求信息, 形成请求的安令二卜义,然后在籀关滟眷种安全孝j 糖辩本、底层扫籀库醢数豁配 合下,通过多进程的方式利用脚本解析引擎解解析并执行相关的安全扫描脚本, 通过安全脚本针对特定漏洞的逻辑判定,结合基于识别和模拟攻击安全扫描的方 案,采检测羁标i q i l s 存在靛安全黪悫;氡时结合安全噙应繁骥,逶过摹予s s i 。 的安令信息传输嗣核心防火墙通讯,动态调整沈火墙的访问蛳则。 2 。5 系统特点 动态扩展: 系统具有内部独。、z 的i o n s l 脚本解析引擎,通过动态的增d r f l 4 :t 关的安全漏 溯扫搽脚本、安全信息收集媵本达到存趣胄协议的基磷上发蛾勰盼安全漏濑朗功 能;同时安全扫描脚本和c v e 兼容,# ;j 与其它安全扫籀工其共享信息;搿时系 统具有自已的底层封装函数库,通过扩展库函数达列解析执行基于新应刚协议的 安令纠攒脚本的功能; 黪零静炭活及奏效耋爝: 通过脚本中的依赖关系,我们可以使得每个扫描脚本的目的更加明确,通过 将扫描的过程分成更多的阶段,脚本之问呵以通过相互的利用关系来达到信息的 震崩,从藤使嚣扫描的溺度更加的蠢效;比如遗过将扫描有关f t p 匿名羽、t 提 升投溆的涮涌分成定位f t p 服务、确定匿名登录、确定投羧提升三个部分,我 们町以使得定位f t p 服务、确定匿名登录的动作为更多其他的州关f t p 雕名漏 洞扫描所利j 氇 安全簧竣: 系统的警个俯息传输存基j 二o p e n s s l 构建的s s n t p 伪议之卜: 多进程并行扫描: 东南人学顺l 。学位论文 系统通过集成可重入的脚本解析引擎达到多进程并行扫描的目的; 扫描会话: 通过后台数据库的支持,系统将每个扫描请求所指定的信息形成相火j 。- 4 描会 话知i t 库,使得扫描可以暂停剐复并详细记录每个扫描的执行状念; 防火墙联动: 结合扫描结果s n , l a j 应策略,在安仝通讯的前提下,通过i n t e r s e c 和核心防火 墙之问的交互来动念的调整防火墙的实施规则; 可定制扫描策略和响应策略: u j 以为每个安全扫描请求制定相应的扫描参数,如模拟攻击方式还是基于知 谚 方式扫描、离线或存线等;同时就每个安全插件制定相应的响应策略: 2 6 相关技术简介 2 6 1 端口扫描技术 t c p i p 协议栈中不同的网络应用通过端口来区分,端 】就是相应的网络服 务刈外通讯的逻辑接口。端_ | 扫描“”“8 ”“”就是通过不同的探测技术得 到f 1 标二# 机的丌放端【_ _ | 列表,从而为进一步获取信息打下摹础。端口扫拙有如下 j 趋方案: t c pc o r r e c t ( ) 全t c p 连接扫描: 操作系统提供的c o r lr l e c 0 系统调用,用来与每一个感兴趣的目标计算机的 端r 进行连接。如果端口处于侦听状态,那么c o n n e c t 0 就能成功。否则,这个 端口是小能用的,即没有提供服务。这个技术的一个最大的优点是,你不需要任 何权限。系统中的任何用户都有权利使用这个调用。另一个好处就是速度。如果 对每个同标端口以线性的方式,使用币独的c o n n e c t 0 调用,那么将会花费相当 k 的时问,你可以通过同时打刀。多个套接字,从而加速扫描。使用非阻塞o 允许你设置一个低的h , g i i 用尽周期,同时观察多个套接字。f 1 4 这利一方法的缺点是 很容易被发觉,并且被过滤掉。目标计算机的l o g s 文件会显示一连串的连接利 连接是出错的服务消息,并且能很快的使它关闭。 t c ps y n 半t c p 连接扫描: 这种技术通常认为是“半开放”扫描,这是因为扫描程序1 :1 i 必要 t 4 1 个完 伞的l 、( 1 p 连接。扫拙稃序发送的是一个s y n 数据包,好像准备打丌+ 个实际的连 接并等待反应样( 参考t c p 的次握手建立个t c p 连接的过程) 。 一个 s y na c k 的返回信息表示端ii 处j 一贿听状态。一个r s t 返回,表示端 j 没有处丁 雌l ”i 状态。如粜收到个s y 、, x c k ,l j l _ j 扣捌1 摊j 必须再发送个r s t 信号,来关 闭这个迎接过料。这种 l 描技术的优;量仉j _ 舣f ;会存f _ _ 标汁算机搿f 、记? 抟。 但这种方法的 个缺点足,必须要有r 0 c ,1 权限才能建立自己的s y n 数据包。 t c pf i n 秘密扫描: 有的时候有可能s y n 扫描都不够秘密。些防火墙和包过滤器会对一些指定 的端口进行! 盥视,有的稃序能检测到这些扫描。相反,f i n 数据包町能会没仃任 何麻烦的通过,因为f i n 数据包本身不包含t c p 置次握手的任何部分。这种扫描 方法的思想是关闭的端口会用适当的r s t 来回复f i n 数据包。另方而,打丌的 端口会忽略对f i n 数据包的回复。 间接扫描: f n 接扫拙的思想是利用第三方的1 p ( 欺骗丰机) 来隐藏真正扫拙者的t r 。 m 十扫描主机会对欺骗主机发送回应信息,所以必须临控欺骗丰机的t p 行为, 从玎获得原始扫描的结果。间接扫描的t :作过程如下:假定参与扫描过程的主 几 为扫描机,隐藏机,目标机。扫描机和目标记的角色非常明显。隐藏机是一个非 常特殊的角色,侄扫描机扫描目标主机的时候,它不能发送任何数据包( 除了与 扫描有关的包) 。 认证扫描: 认证扫描是一个非常有趣的例二于。利用认证协议,这种扫描器能够获取运行 征某个端门卜的进程的用,。名( u s e r l d ) 。认汪扫描尝试1 j 一个t c p 端ii 建立连 接,如果连接成功,扫描器发送认证请求到目的主机的1 1 3 t c p 端i _ 1 。认证扫描 同时也彼成为反向认证扫描,因为即使最初的l l ? c 建议了一种帮助服务器认证客 户端的协议,然而在实际的实现巾也考虑了反向应用( 即客户端认证服务器) 。 f t p 返回攻击的代理式扫描: 文件传输仂、议( f t p ) 支持一个非常有意思的选项:代理h p 连接。这个选 项最初的目的( r f c 9 5 9 ) 是允许一个客户端同时跟两个f t p 服务器建立连接,然 后在服务器之问直接传输数据。然】| c i 了,在大部分实现中,实际上能够使得f t p 服务器发送文什剑f n t e r r l e i 的任何地方。许多攻击正是利用了这个缺陷。f t p 端ii 扫拙卜要使f _ ;】f t p 代理服务器柬扫描t c p 端u 。扫描步骤如下: l :假定s 是扫描机,t 是扫描同标,f 足一个f t p 服务器,这个服务器支持 代理选项,能够跟s 和t 建立连接。 2 :s 勺【1 建瓿一个f t p 会话,使用p o r t 命令声明一个选择的端【_ _ 1 ( 称之为 f )j 1 ) 作为代理传输所需要的被动端口。 : :然后s 使用个1 。i s t 命令尝试启动一个到pt 的数据传输。 1 :如粜端ffp w 确实在 g i 听,传输就会成助( 返回码1 5 0 和2 2 6 被发送川 给s ) 。古则s 嘲收到”q 2 5 无法打7 1 数据连接”的应答。 j :s 持续使用p o r t 和i i 蝌命令,卣到tl :所有的选择端口扫描完牛= h l ,代胖十 描0 :似难以跟踪,i 町n “jf 1 1 ,服务器冉防火墙后晰的时候就使得 商向内部州环境的m 络艾拿手j 描系统的啦汁和实现 这种扫捕本身具备了一定穿透防火墙的能力。 u d pr e c v f r o m 0 和w r i t e 0 扫描: 当非r ( ) c ) 1 用户不能直接读到端口不能到达错误时,l i n u x 能i b j 接地在它们 到达时通知用户。比如,刈个关c = :| 的端l i 的第二个w r i t e o 调用将穴败。在非 阻寨的u d p 套接字上调用r e c v f r o m o 时,如果i c m p 出错还没有剑达时会返回 e a ( ;a l n 表示重试。如果i c m p 到达时,返回e c o n n r e f u s e d 表示连接被拒绝,l i j 心此技术来查看端r 是否扣丌。 2 6 2 基于协议栈指纹的系统识别技术 协议栈指纹特征“”简单的说就是由各个操作系统在网络通讯协议具体实现 j 二的差异而产生的相关特征。根据这螳特征,就可以识别出各种不同的操作系统, 从而编写出相应的探测程序,这样就可以提高操作系统的探测精度。有以下一些 这方i h i 的技术: f i n 探测:通过发送一个f i n 数据包( 或任何未设置a c k 或s y n 标志位的数 据包) 剑个打玎的端口,并等待回应。r f c 7 9 3 定义的标准行为足“不”响应, 但渚如w in d o w s 、b s d i 、c s c o 、 l p u x 、w s 和i r i x 等操作系统会回应一个r e s e ,r 包。 b o g u s ( 伪造) 标志位探测:q u e s o 是第一个使用这种更聪明技术的探测器。 它原理是在一个s y n 数掘包t c p 头中设旨未定义的t c p “标记”( 6 4 或1 2 8 ) 。低 j 2 0 :3 5 版本的l i n u x 内核会在叫应包中保持这个标记,而其它操作系统好像 都没有这个问题。不过,有些操作系统当接收剑个s y n + b o g u s 数据包时会复位 连接。所以这种方法能够比较有效地识别出操作系统。 t c pi s n 取样:其原理是通过在操作系统对连接请求的回应中寻找t c p 连 接初始化序列号的特征。目前可以区分的类别有传统的6 4 k ( 旧u n i x 系统使用) 、 随机j f l 加( 新版本的s o l a r i s 、i r i x 、f r e e b s d 、d i g i t a lu n i x 、c r a y 和其它许 多系统使用) 、真l 卜“随机”( l i l 3 u x2 0 $ 及更每版本、o p e n v m s 和新版本的a i x 等操作系统使用) 等。w in d o w s 平台( 还有其它些平台) 使用“基寸二时问”方 式j 。,i - 的【s n 会随着时删的变化而有着相对固定的增长。确实有些机器总是使朋 相同的is n ,如某些3 c o m 集线器( 使用0 x 8 3 ) 和a p p el a s e r w r i t e r 打印机( 使 用o x c t 0 0j ) 。根据计算i s n 的变化、最大公约数和其它一些有迹可循的规律, 还一r j 以将这些类划分得更细、更准确。 “无碎片”标记位:讷:多操作系统逐渐丌始在它们发送的数据包中设置 “小分片( 无碎片) ”位。这对:提高传输性能有好处,但并不是所有操作系统 部何这个没胃,或许许小是总是使用这个设置因此通过留意这个标

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论