（计算机系统结构专业论文）应急响应联动系统模型的研究和典型工具的建立.pdf

摘要 网络安全事件应急响应联动系统目前尚未有广泛的接受的模型，其主要功能 和目的是为了应对各种网络安全事件，协调应急响应组织人力和信息资源。本文 以目前应急响应的技术和应急响应组织的结构为基础，从研究应急响应的发展趋 势谈起，分析了应急响应联动的意义，目的，和必要性，根据我国国情和现状 提出了一套适合我国发展的网络安全应急响应联动系统，讨论了该体系结构，功 能和策略，同时实现了该体系的初步模型； 同时，根据应急响应联动的需要，抛砖引玉，设计和实现了集成各种网络漏 洞扫描的一种平台，该平台基于插件技术，使用n a s l 脚本语言实现各种扫描插件。 本文对平台体系结构、功能模块、程序流程等进行了详细的说明，并简要地研究 了漏洞扫描脚本语言n a s l 。 该联动体系模型和支撑平台还不够完善，二者之阀的协作关系还有待进一步 研究，但从我国的实际情况出发，具有一定的可操作性。 关键字：应急响应联动系统扫描平台 a b s t r a c t t h e r ei s 矾a ya b i o a d a c c e p t e dm o d e lu pt o 肿wa b o u tt h en e t w o r ks e c u r i t y i n d d c n tr 髓p o n s c n k a g cs y s t c m i t sp f i m a r yf i i n c t i o n 趾dp u r p o s ci st 0d c a lw i t i lt h c v a r i o 惦雌t w o r k c u d t yi n d d 铷t s 如da s mw i mt b eh u m a i i 锄di n f b r m a i i o n r e s o u r c e so fm ei n d d e n t 陀s p o i l s e0 r g a n i z a 妇0 nt h eb a s i so fr 。c c mt e c h n 0 1 0 9 ya 1 1 d o r g a i z a t i o n0 fi n d d e tm s p 帆s c s 明db c 西皿i gw i t l li t st r b d ，t l l ca u l h o f 呻a l y s 鼯t h c s i ：阱i ：f i c a n c e 勰dp u r p o s e so ft h el j l l k 8 铲s y s t e ma dp u l sf o r w a i d8p 而n 缸ym o d e lo f n e 啪r ks e c i t yi n c i d e n i l i n k a g es y s i 啪w h i c hi ss l l i t a b l ef o ro l l rc o u l 。y m e 明w h i l e ， t h ea u t h o rd j s c u 站鸭铀e w o r k ，f i l n 面伽sa n ds c c m j t ym a t e g ya 1 1 dr e a l i z e st h e e l c m 曲t a i ym o d d a c c o f d i n gt oi h cn c e d 姐dc 罄d n gab i i c kt o a t t r a c tj a d c ，t h i sp a p e fd 髂i g n sa p l a t f o i mw h i c hi n t c f 砒c s1 0 t so fw a n n t 嘶sp h d b 皿i s r e a l ：函翻b yp l u g j i lt c c l l i l 0 1 q g y w h i c hi su s e dt or c & i i z et os c 趾肿h r o 止v u l n c r 舢t e s t h cp a p 盯i n t 如c e st k a 托h n c c t 呲，f u c t i o nm o d c l s 孤dp t o c c 销i n 血l a i l s a n dt h 瓶t 髓c a r c k st h en ? l s ls c r i p t l a n g g c i n b r i e a l t h o u g l lt l l j sm o d e li s o tp c 疵c t n t sc x e r c i s a m ej nac e n a i ne x t e n l b e c a q s cni s a d a p t e d w i l h t h e f a c t o f o w 姗打y k e y w o r d ：i 口d d 即tr e s p 0 璐el i n k a 咎s y s t 锄 s c a n n i n gp l a t 妇皿 独创性声明 y8 5 8 7 7 8 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，议文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材科。与我一同工作的同志对本研究所做 的任何贡献均己在论文中做了明确的说明并表示了谢意。 申请学位论文与资料蔫不实之处， 本人签名：基：盘基 本人承担一切相关责任。， 日期型：! ：兰! 关于论文使用授权的说明 本人完全了解西安电予科技大学有关保留和使用学位论文的规定，即：研究生 在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业 离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学 校有权保留送交论文的复印件。允许查阅和借阅论文；学校可以公布论文中的全 部或部分内容，可以允许采用影印、缩印或其它复制手段傈存论文。( 保密的论文 日期丝! ：! ：型 日期；壅堑! ! ：! 第一章绪论 第一章绪论 当今世界已经进入信息化时代，信息系统在社会各个领域中得到了广泛应用， 不仅改变了人们的生产、生活、学习方式，甚至改变了人们的思维方式，信息世 界也渐成雏形。我国的信息化步伐也随之加快，政务办公、电子商务、企业管理、 科研协作、新闻、广告、医疗、教育、文化等活动纷纷进入了网络时代。 但是，网络是一把双刃剑：一方面，它支持网络连接，实现信息的共亭，最 大限度的缩短了时间和空间的距离，显著提高了效率：另一方面，它也为不道德 和误导的用户提供了攻击和毁坏系统的机会，导致网络安全事件的发生日益增多， 造成的损失相当巨大。 随着网络技术的发展，隐藏其中的各种危险也越来越明显，各种病毒、蠕虫、 木马、入侵等安全事件层出不穷。由于各种原因，现有数量巨大且迅速增加的黑 客工具几乎可以随意下载，这使普通人也可能成为黑客；网络于是充满了陷阱和 危险，这绝不是危言耸昕。 因此，我们需要完善网络安全保障体系。这种体系结合以下两个方面对网络 的安全给与保护、防御及应急的处理：一方面，表现在技术方面，即各种网络安 全技术的开发和应用，比如漏洞扫描、反病毒技术、防火墙技术、入侵检测技术 ( m s ) 等技术；另一方面，表现在组织管理方面，即通过侧重于网络安全防御的 应急响应体系来进行保障。 近几年在网络安全的组织管理方面的发展比较快，主要表现为各种应急响应 组的发展。自从a m l y o c ( 计算机事件响应协调中心) 和c 认c ( 计算机安全事件 咨询小组) 成立以来，世界各地成立了各种类型的应急响应组。事件响应的重要 性经过十五年的发展，逐渐得到了广泛认可。我国第一个安全事件响应组织c c e r t 成立于1 9 9 9 年5 月：为建立完善的应急响应体系。信息产业部安全管理中心于2 0 0 0 年3 月建立了中国计算机应急响应组协调中心。 然而，网络安全的形势日益恶化，其趋势更加令人担忧。现有的应急响应组 织因其运行模式和影响力等限制，对此却捉襟见肘。究竟如何才能充分利用有限 的资源有效应对这种局面呢? 合作是必要的，但是要选择松散模式联合还是选择 建立大型安全组织呢? 合作中又要如何协调与实际应对安全事件呢? 合作究竟需 要什么样的必要结构、平台以及相关标准呢? 联动系统的概念因此应运而生。国 内在这方面的研究已经开始了，但尚未有被广泛接受的模式形成。作者通过对大 量安全及应急响应文献的分析，结合对现有典型应急响应组的运行模式的研究与 对比，力图建立一种适应网络安全趋势的联动响应系统框架模型。本文从网络安 全事件应急响应技术的特点和发展趋势谈起，讨论了所建立的应急响应联动系统 初步模型各个层次的功能，提出相关的标准等重要内容。 三应急响应联动系统模型的研究与典型工具的建立 同时，保障网络安全的各种技术也是非常的重要的。二者相辅相成，相互依 靠。在应急响应联动系统中，我们工作的重点放在主动防御方面，对各种网络漏 洞进行预警。而在主动防御方面，我们认为漏洞检测也起到了非常重要的作用。 虽然目前漏洞扫描检测的程序很多，但是大部分实现的扫描功能比较单一， 用户只能一个一个的进行运行调用，分别进行检测；对于得到的大量检测信息， 再进行手工分析，处理非常繁琐：同时，如果需要进行新的检测，需要用户自己 进行大量繁琐的网络编程来实现。这样，不仅效率低，而且不利于软件资源的共 享。 因此，本文在后半部分设计和实现了集成各种嚼络漏渝扫描的一种平台，该 平台基于插件技术，使用辐l 脚本语言实现各种扫描插件，具有很好的扩充性 能，同时也实现了大部分的扫描功能，并能为用户提供统一的易于理解的报告。 本文对平台体系结构、功能模块、程序流程等进行了详细的说明，并简要地研究 了漏洞扫描脚本语言n a s l 。 第二章网络安全事件的应急响应 第二章网络安全事件的应急响应 应急响应联动系统模型，是基于网络安全事件应急响应，它贯穿于应急响应 的各个阶段，而应急响应本身是一门实践性和综合性很强的课题，它涉及到计算 机技术，通信技术，安全管理，法律等诸多方面i ”。因此，首先我们介绍一下应急 响应相关的概念，在此基础上，我们结合我国的实际情况，提出应急响应处理协 同联动的必要性。 2 1 应急响应的定义和必要性 应急响应是指对事件，即发生在计算机系统或网络上的威胁安全的事件进行 响应、处理、恢复、跟踪的方法及过程。1 。这些事件是影响计算机系统和网络安全 的不当行为。 应急响应从整体上讲，是一种被动性韵安全体系，它是持续运行并由一定条 件触发。与此相反，加密、认证等行为则具有更多的主动性”。那么为什么业界要 对这种被动性的体系投入越来越多的耩力呢? 1 ) 保护网络安全的困难越来越大：信息系统、应用和网络变得越来越复杂， 这使得维护安全变得目益艰难。同时，发生过的安全事件已经造成惊人的 损失，并显示出巨大的社会危害性。 2 ) 大量的安全漏洞的出现：随着系统和软件的功能越来越强大，它们也变得 越来越复杂，再加上软件行业的不规范与整体的发展滞后，这些遗憾造成 了目前软件系统漏洞百出的现状。 3 ) 攻击系统和网络程序的存在；网络发展日新月异，带宽增加，这为恶意代 码的传播和肆虐创造了便利条件，人们可阻随意下载攻击工具，蠕虫的影 响也可以更快的显现。 4 ) 当前入侵检测能力的局限性：人们一直所期待的“入侵检测系统”( d s ) 还远没有设想的成功。m s 的实现与运行原理中仍然存在着若干缺陷，限 制了s ，漏报、误报一直是m s 所无法克服的问题。 从上面几点我们可以看出，作为补救性的应急响应是必不可少的。下面，我们 简要的介绍一下应急响应所处的地位和发展现状及趋势。 ! 应急响应联动系统模型的研究与典型工具的建立 2 2 应急响应与计算机信息安全生命周期 在一个优秀的计算机和信息安全实践中，应急响应是信息安全周期的必要组成 部分。这个生命周期包括三个部分：对策、检测和响应。如下图： 图2 1 计算机信息安全生命周期 1 对策 对策是针对对方威胁，如入侵、拒绝服务攻击等采取的防御措旅。对策通常是 做过风险评估后作出的选择。然而没有哪种对策是万无一失的，即使真的很安全， 仅仅针对已知的风险采取的对策也是不够的。 2 检测 检测是对于已有的对策。比如网络的配置，采取的安全性的，充分性的反馈。 这里包括我们常见的入侵检测系统。防火墙等等如果禁种特殊事栉爨复发生， 并且可能被入侵检测系统发现，或刚我们自身通过漏洞扫描，发现了某些安全隐 患，那么就会推动到建立相应的对策来防止这样的事件再次发生。 3 应急响应 对于事件的响应，是网络安全事件发生之后，亡羊补牢的一种手段。当安全事 件发生后，事件的响应就被激发。在事件响应过程巾，我 f 】主要是对发生的事件 进行抑制，恢复，同时防止事件的再次发生。评估事件的类型，严重程度等。 2 3 应急响应的具体行为 从图2 1 我们可以看出，应急响应是信息安全周期中不可缺少的一部分。应急 响应工作具有可操作性和实践性，主要表现在未雨绷缨和亡羊补牢两个方面的工 作。 一方面是事先的充分准备。这方面在管理上包括安全培训、制订安全政策和 应急预案以及风险分析等，技术上则要增加系统安全性，如各份、打补丁，升级 系统与软件，有条件的可以安装防火墙、入侵检测工具( m s ) 和杀毒工具等，同 第二章网络安全事件的应急响应 时使用网络漏洞扫描工具对各种网络隐患进行检查。尽可能的排出各种潜在的威 胁。 另一方面是事件发生后的采取的抑制、根除和恢复等措施。其目的在于尽可 能的减少损失或尽快恢复正常运行。如收集系统特征，检测病毒、后门等恶意代 码，隔离、限制或关闭网络服务，系统恢复，反击，跟踪总结等活动。 2 4 应急响应的发展现状 网络安全事件应急响应是一门综合性的学科，它的现状和发展我们从以下几 个方面加以阐述： 2 4 _ 1 应急响应关键技术的发展现状 应急响应技术是一门综合性的技术，几乎与网络安全学科内所有的技术有关。 以下简要地介绍一些公认的与应急响应密切相关的关键技术的发展现状。 1 _ 入侵检测 入侵检测领域已经发生了巨大变化。目前的入侵检测系统( i d s ) 大部分是基 于特征的。它有一个通用攻击模式数据库，当检测到一个相似的模式时，便会发 生警报。这种机理的缺点很明显：首先，它只能检测刮已知攻击，系统必须经常 更新以保持特征数据库的有效；其次，有些攻击和普通数据流不可分，例如以很 慢的速度随机扫描一个范围内的端口，当扫描速率低于特定值得时候，入侵检测 系统便不把它看作是扫描，这样很容易产生漏报，甚至误报。 而在应急响应中，事件的发现主要依靠检测手段，入侵检测技术是目前最主 要的检测手段。目前比较热的焦点之一是自动入侵响应，它赋与i d s 系统自动响 应的能力。但也有学者认为，“由于检测技术并不成熟，在实际环境中使用这些自 动响应技术是相当危险的”“1 。 2 网络追踪和定位 入侵者可以以各种权限穿梭很多主机。追踪这种攻击需要入侵者穿梭途径中 各个组织的合作。有些攻击( 比如拒绝服务攻击) 使用了假地址，所以调查者很 难回溯跟踪数据。为了对付这些攻击，人们正在研究追踪攻击的新方法。这些不 是靠简单的配置就能完成的，有些甚至可能要改变t c p i p 协议，所以这个问题不 会很快的解决。虽然新的源地址确认的路由器宣称能够解决这个问题，但是它与 现在网络隐私保护的现状显然是矛盾的。 3 事件隔离与快速恢复 对于安全性、保密性要求特别高的领域，在检测与收集信息的基础上，尤其 !应急响应联动系统模型的研究与典型工具的建立 是确定了事件类型和攻击源之后，一般应该及时隔离攻击源，这是制止事件影响 进一步恶化的有效措施。 另一方面，对于对外提供不可中断服务的环境，如移动运营商隧营平台、 门户网站等，应惫响应过程就应该侧重考虑尽快恢复系统的正常运行，或是最小 限度的正常的运行。这其中可能涉及事件优先级认定、完整性检测和域名切换等 技术。 现在主要使用各种容灾系统，利用冗余存储，达到快速恢复的目的。 4 ，取证技术 取证是一门针对不同情况要求灵活处理的技术，它要求实施者全面、详细地 了解系统、网络和应用软件的使用与运行状态对人的要求十分地高。目前主要 的取证对象是各种日志的审计，但是在目前的情况下，海量的日志信息为取证造 成的麻烦越来越大。 上述四个关键技术也是应急响应技术中的难点，尤其是在目前网络芯片处理水 平、软件复杂度和高速网络日新月异的情况下，它们的难度不断地在加大，也越 来越有挑战性。 2 4 2 应急响应社会学迸展 应急响应关键技术也代表着应惫响应在技术上的发展方向，相关的各种技术 与工具正在努力证明自己的有效性，但实际上捕战仍然太于成莱。而同时，网络 信息安全盼保障，不仅仅是依靠技术的本身，应意响盔在社会组织方面前进展也 就成为应急响应另一个重要的发展方向，主要表现在法律和应急响应组的发展两 个方面。 1 法律方面 事件响应的主要挑战之一就是法律上盼保障。世界上还有很多攮方对付黑客 的法律并不存在，或者执行的很差。在这方面，目前世界各国，包括信息技术最 先进的美国，在法律方面对网络安全的建设都是不足的，很多地方根本不存在这 样的法律。以前酵有过不少蠕虫制造者被无罪释放的先倒，就是因为无法可依。 即使有了法律，又常由于取证等技术和法律程序土的闽避造成难以执行，这与相 关部门缺乏技术力量支持有关。缺乏法律上的支持，应急响应只得处于尴尬的境 地。 2 应急响应组的发展 目前，应急响应中最重要的主体是应急响应组。应急响应组作为应急响应过 程中决定性的力量是应急响应的主要决策和执行者也是应急响应各阶段的指 导者。 第二章网络安全事件的应急响应 现阶段，应急响应组织主要是为应急响应提供各种服务给客户并与之保持联 系，在此基础上制订适台的政策，建立事件报告渠道、应急响应流程和应急通信 机制。但不同的应急响应组织由于其角色定位不同，其运行也有很大不同。主要 存在两类组织，一种是企业或单位内部的应急响应小组，只为本单位服务，人员 主要由网络管理员和各部门中接受了训练的人员组成；另一种是面向区域的应急 响应组织，比如c 腿7 i c c ( 美) 和d f n c 脚( 德) 、a u s c e r t ( 澳) 等，它 们定位于区域甚至整个b t e m e t ，对安全事件提供响应服务。 从近几年的情况来看，由于应急响应组织本身的技术和经验的优势，随着人 们对信息和网络安全的日益重视，安全事件越来越复杂，应急响应组也得到了进 一步的发展。 2 5 应急响应联动的必要性 2 5 1 应急响应组发展趋势 目前，国内外已经存在着众多公众性或商业性的应急响应组织，而应急响应 组织的合作是太势所趋。f m s t 是目前最大规模的一种蓬际协作形式，应急响应 组可以在这个论坛内交流网络安全事件应急响应的技术与经验。f m s t 从各国( 地 区) 收集网络安全状况，免费定期向成员通报最新的网络安全动态，披露最新技 术。 另外的一个有关的趋势是l s a c ( h 硒a s h a r i n g da a i y s i sc c n i e r ，信 息共享与分析中心) 的发展。该组织于2 0 年由美国商务部协助各公司成立是 美国信息保障国家战略的重要组成部分，也是关键基础设施部门内部共享网络空 间安全信息的中间机构。i 勖c 被认为是发出早期警报的有效方法之一是涉及整 个行业有关网络攻击威胁( 警报) 、实际攻击( 分析和发展趋势) 和反攻击措旌 的非专利信息的信息共享机制。现在美国政府正在大力扶植各个i 勖c 机构，并 且试图以统一的交换协议将各行业i 勖t c 的信息在新成立的下属单位n p c ( 国家 基础设施保护中心) 进行整合，以便更有效蛾为国家服务。除了美国之外，欧盟、 日本、俄罗斯等国家也开始着手建立本国的i s a c 机构。我们认为，i s a c 与应急 响应组织的运作方式和功能很可能趋向结合。 我国的应急响应组织也逐渐发展为两类，商业性组织以安全公司为主力，组 织上比较简单，虽受地理位置限制较大但正在通过各种渠道解决这个问题；公众 性组织则由地理上分布的应急响应组联合组成统一的应急响应体系，但是体系比 较松散，缺乏一套能够有效调动整个体系活力的机制与成熟的联动系统模型。 旦 应急响应联动系统模型的研究与典型工具的建立 2 5 2 联动的必要性 应急响应组织在国内十五年的发展中，为维护网络安全发挥了重要的作用。 但是目前的应急响应组织仍然有两个严重缺陷，一是应急响应组织受地理限制与 l i l t c m 醴跨越地理限制之间的矛盾：二是应对安全事件时被动并缺乏有效合作其它 的不足主要表现为缺少风险分析、公告不全面、事件报告方式不标准与低效率、 事件报告与处理总结的利用程度低等。同时，网络安全事件经常跨越地域，而且 大规模事件的发生趋向频繁，因此应急响应所涉及各实体之间的协同响应就显得 越来越重要。因此，目前最流行的趋势是应急响应组织的广泛协作。 同时，网络事件的特点在于：突发、多样和不可预知性，往往在短时间内就 造成巨大损失。这种特点决定了防御方不仅要有很高的技术水平和经验积累，更 重要的是充分利用所有的人力、物力、信息、技术等资源，协作应对安全事件。 而且网络事件已经出现新的趋势，就是经验丰富的黑客团体越来越多并使攻击变 得更加专业，情况更加复杂m ：各个单位仅依靠自身力量想要高效率地应对复杂多 变的网络事件相当困难，我们只能选择联合。 本文建立的模型正是在这种环境下建立的。我们认为，应急响应应该综合上 述趋势发展，那就是以协调中心作为协调机构和信息中心，建立快捷安全的联络 手段和资源共事机制，由各应急响应组接受协调中心指导，组成的地理上分布、 组织上统一的网络安全事件应急响应联动系统。事实上安全形势日益严竣，我们 的安全保护力量却相对薄弱与不平衡，这个矛盾也迫切要求一套脆够有效协调安 全组织力量与资源的联动系统。不仅在我国，许多雷家也莉惦着类似问题：单一 的应急响应组力量薄弱，松散的联合体系又不能很好的合作，信息共享的渠道并 不畅通，也没有得到充分的利用。成熟的应急响应联动系统模型成为维护网络安 全迫切的需求。 因此我们研究网络安全事件应急响应联动系统模型，主要目的就是实现大规 模应急响应组织内部协调人力与信息资源共同应对网络安垒事俦。它避过信息共 享，统一操作流程与软件平台，相近的组织结拇和运作方式，最大限度地帮助组 织成员互相提供有利于快速解决阔题的帮助 第三章应急响应联动系统基本模型 第三章应急响应联动系统基本模型 9 根据上一章的分析，在应急响应组发展的基础上，我们提出了一套网络安全 事件应急响应联动系统的初步模型。它属于应急响应组织发展后期的组织形式。 其所包含的联动有三个含义：一是组织间的协作；二是功能上的统一：三是网络 安全策略上的联合。目的是通过统一的组织结构和运作方式、统一的操作流程与 软件平台、通用的信息共享和交换方式以及完整的安全燕略，力争最大限度地在 应对网络安全事件时互相提供有利于快速解决问题的方案。 本文涉及模型的体系结构、系统功能与运作方式及策略的联动三个方面。 3 1 联动系统体系结构 应急响应联动系统从应急喃应组发展而来，继承了大部分响应组的结构与功 能。但是为了保证大的体系内协作的顺利进行，应急响应联动系统必然要有适应 协作的体系结构，并充分利用这种结构承担新的功能角色。 与松散的应急响应体系不同，一个基本的应急响应联动系统模型由协调中心、 应急响应组面向客户形成一个统一的密切合作的体系。 图3 1 应急响应联动系统的体系结构 图3 1 所示为体系的整体结构。联动系统以应急和协作为最大特色，因此这 种体系结构有三个特点：一是层次简单便于缩短联络程序；二是设立功能强大的 协调、共享和分析中心；三是通畅的联络渠道。这种层次简单、功能明确的设置 有利于提高整个系统的运转速度，高效应对突发事件。 下面分别介绍体系结构中各个层次的功能和作用。 1 客户 竺应急响应联动系统模型的研究与典型工具的建立 客户方在应急响应组的帮助下进行风险分析、建立安全政策和设立联系人员， 增强自身主动防御的能力和应对事件时采取合理措施的能力，这对于正确处理安 全事件尤其在事件初期进行有效的抑制有重要的作用。 2 应急响应组 应急响应组以直接应对网络安全事件为主要目标。它可以根据实际技术力量 和资源状况设置与协调中心相同的机构或适当合并，甚至可以承担部分协调中心 的功能。应急响应组根据自己覆盖的范围为客户提供直接技术支持与响应的服 务，同时与协调中心保持高度的信息共享。 3 应急响应协调中心 在整个体系中，应急响应协调中心负责协调体系正常运行，同时也是信息共 享、交换和分析中心。是联动系统组织管理中最重要的核心。 应急响应协调中心的运行方式包括两个方面；最基本的一方面是提供安全事 件的应急响应服务，另一方面在应对安全事件之外的时间主要表现为信息共享、 变换和分析中心。 典型的联动响应体现在跨地域的事件中，对于事件路径完全处于体系覆盖范 围内的情况，异地响应组的合作可以从事件根源加以处理使事件豹根除更为彻底： 有路径位于体系外的，则可以通过体系与其他响应组织的联系获得帮助，显然这 在早期的应急响应中是很难实现的。 协调中心的信息整理和公告功能是维护阿络安全的一道具有一定主动性的防 线。中心通过对一段时期内体系内所有组织提供的安全信息的统计分析，找出某 段时间内容易发生的安全事件，并以预警信息结合预防建议的形式发布，将有效 遏制类似事件的大规模发生；联动系统内事件处理的跟踪报告与安全形势分析在 这方面占有重要的地位。 以上几方面的功能融合在一起，可以产生互相取长朴短的效果，使应急响应 更加高效、便捷，也使信息共享内容更加丰富、实用。 3 2 联动系统安全策略方法 对于f 目络安全事件的应急喃应，设计一个合理的响应的结构是非常重要的， 这也是我们提出的应急响瘟联动系统模型核心所在。网络安全事件的响应结构， 定义了事件响应机制的组成部分瓯及各个部分之闻是如何相互关联，相互合作， 达到响应的目的。在应急响应联动系统中，我们可i ! l 使用一个金字塔的结构来进 行描述，如下图所示： 第三章应急响应联动系统基本模型 l l 图3 2 应急响应联动系统策略方法 如图3 2 所示，在最高两级别的要素，是概念性的，堆下面一层包含的各个要 素，是具体的元素。在对于网络安全事件的应急响应过程中，我们通常要进行的 一些标准的设计具体辅助软件工具的使用，以及一些响应实践活动。 根据应急响应联动系统的结构，我们提出了依附该结构的安全策略和方法学， 通过体系中各种资源相互紧密地联系和协调，共同完成应急处理任务。该联动系 统模型在策略方法上集合了主动与被动防御两个方面。如图3 3 ： 亍冷风险分新 = = 安盒敢策亡= = i 晖 i ll l 糠 政治事件 迅速蔓延性的事件( 如蠕虫) 经济犯罪 恶作局 误操作等。 ! 然，事件优先响应级别并不脆仅仅依靠这个顺序决定，而要根据事件具体 情况具体分析，有时误操作的危险性并不低于经济犯罪中入侵者造成的危害。这 个优先级需要联动系统在实践中不断修正和完善。 2 受害者的优先保护级别 这里指的优先级指受害者可以接受的损失的黻。具体优先级应该由保护对 象的决策者根据一定的原则来定义，供应急响应过程参考，以选择适合的具体行 动。我们给出一个建议的原则：关键设备安全 商业机密 保持服务不中断 系统崩 溃 数据损失 网络瘫痪 可接受的非关键硬件损失，特定对象实际的优先级可以经 过风险分析之后再确定。 望 应急响应联动系统模型的研究与典型工具的建立 4 2 3 应急处理结果报告表 在应急响应联动系统中，应急处理结果是与安全事件报告表相互对应的。目 的是为了对该事件进行各案，形成应急响应处理的经验，供以后进行参考使用。 ( 该表的具体形式参见附录) 4 3 协调中心辅助平台设计 4 3 1 辅助平台功能设计 为了协调联动系统中核心层协讽中心的组织功能和机构设置需求，我们设计了 该协调中心网站软件功能平台，该软件平台是为联动系统服务的，包括l 酗心与应 急响应联动两大功能。其中l s c 定位于信息共享与分析；应急响应联动定位于信 息麸享，交换与远程协作，分别由“信息整理与事件跟踪”和“联络”部门负 责，达到保障整个网络体系的信息安全的目的。该平台功能描述如下： 衰4 1 珊拍性质内容盘食致掘库 信提供者简介文档 息服务范围文档 公 联系办法避讯致据库 应 开 合作组织音作维妖信息痒 急 事件安全事件信息上报安全事件库 响 上报漏洞信息上报新漏洞临时数据库 应 安垒事件处理总结壤踪报告安全事锋备案库 联 信息论坛 论坛相哭数据库 动 交流验证 维护 权限管理 f a o 信 工具软件整理 攻击工具库 息 技术文献资料技术资料库 资 新嘲动态 新闻库 i s a c 源 法僖法规 法律法规库 协商共 安全政策安垒策略库 享 资褫链接 公告 公告 公告礴5 号) 库 警报 安全( 吱击、病毒) 警报及建议警报( 分缓编号) 库 第四章联动系统协调中心机构功能和辅助平台设计旦 4 3 2 辅助平台实现 辅助平台以w 曲为主要的对外交流和信息交换形式。根据以上的功能的需求 描述，我们对网站的结构进行了实现具体框架结构如下图4 2 所示。 图4 2 辅助平台的框架结构 在联动系统中，信息的共享和交换，只是作为联动响应的服务来进行提供的； 但是，协调中心另一个非常重要的功能就是对信息进行分析，那么我们以后还有 很多功能对其进行扩展。因此，对于该网站平台，我们使用开放分布式构件系统 模型来实现，这是因为相对于传统软件的功能横块，其有以下主要优点： 易于理解，具有完整的语义特征； 易于重用，可方便地被使用到不同的应用中： 良好的封装性和独立性，相互之间的影响小： 易于扩充和修改，一个对象类的修改不影响其他的对象： 应急响应联动系统模型的研究与典型工具的建立 易于构造组装，具有规范的外部接口。 目前，在开放分布式模型中，应用较多的有以下三种技术规范或体系结构： 一是c o r b a ( c o 姗锄o b j e c cr e q u e s tb k e ra r c h j t e c l ) ，二是c o m 彻m ( c o m p o n 衄t o b j c c t m 0 d e l ，d i 咖i h i i t e d o 嘲p 叩l o b j l m o d e l ) ，三是j 删a b e 阳。 三种方式各有其特点，考虑到系统的移植和与平台无关性，我们采用j a v a b e a n 技 术规范进行开发。 辅助w e b 平台，我们使用三层构架，使用j s p + j a v a b c n s + m y s o l 数据库的结 构。便于信息的存取，同时，使用j 砌c m 技术，隔离了软件平台界面操作和数 据，便于组件的复用和功能的扩展。 该网站辅助平台的主要框架如图4 3 所示； 瞄4 3 嗣站平台的框架 如图4 3 所示，其中，j ，a b e 埘主要完成对数据的定义，描述，操作等功能， 用以把数据库与系统应用分离开。信息数据库是一个数拱他的相关数据的集合， 包括数据本省和数据问的联系，它独立于应用纛序而存在；数据库应用接口是接 受并完成各类应用程序对数据库的不同请求的，形成各个应用的用户界面。 目前，该辅助平台实现了实现该系统安全漏洞发在，安全事件发布及安全事 件报告等功能，同时实现了该系统论坛功能，在一定程度上实现了信息共享。同 时，完成了系统横型中的口地址物理定位系统功能，在一定程度上，作为口定位 服务的提供者，对于某些攻击方式，如木马等，能够起到一定的定位追踪作用。 由于该系统己实现的内容技术实现比较简单，故在此不作详细介绍。 由于系统平台使用j w a b e m 技术，在功能的扩展上具有优越性，因此，对于 i s a c 信息分析的功能，如在漏洞数据库海量收集的基础上，利用数据挖掘的相关 技术，对数据进行分析，找出网络安全事件的潜在规律，得到各种攻击的特征， 同时可得出各种攻击方式的发生频率，对事件进行分类等等。这一部分工作，将 是系统的进一步实现目标。 第五章支撑网络漏洞扫描的平台设计和实现 第五章支撑网络漏洞扫描的平台设计和实现 由于网络所带来的诸多不安全因素。使得网络使用者必须采取相应的网络技 术来堵塞安全漏洞和提供安全的通信服务。如今，快速发展的网络安全技术能从 不同角度来保证网络信息不受侵犯，网络安全的关键技术主要包括： 漏洞扫描技术、数据加密技术、访问控制技术、防火墙技术、网络入侵检测 技术、黑客诱骗技术等。 在网络安全应急处理中，我们说的检测包含的范围并不仅仅是入侵检测，它 的范围要比入侵检测的范围大的多。在检测阶段中，我们在强调i d s 系统和防火 墙技术的同时，也认为网络漏洞的扫描是非常值得重视的，它从主动防御和事先 预防的角度来最大限度的降低受攻击的可能性。 安全漏洞扫描技术是为使系统管理员能够及时了解系统中存在的安全漏洞， 并采取相应防范措施，从而降低系统的安全风险而发展起来的一种安全技术。利 用安全漏洞扫描技术，可以对局域网、眦b 站点、主机操作系统、系统服务以及防 火墙系统的安全漏洞进行扫描，系统管理员可以检查出正在运行的网络系统中存 在的不安全网络服务，在操作系统上存在蛇可能会导致遭受缓冲区溢出攻击或者 拒绝服务攻击的安全漏洞，防火墙系统是否存在安全漏洞和配置错误等等。 因此，在网络事件处理联动系统中，安全褥溺扫描是保证系统和网络安全必 不可少的手段，有必要仔细地进行研究和利用 5 1 网络安全漏洞扫描方法 测试网络漏洞的方法主要有两类：扫描和模拟攻击。对目标系统进行扫描， 就是通过与目标主机t ( ：p 爬端口建立连接并请求某些服务，如t e l n e t 、f t p 等， 记录目标主机的应答，从而收集目标系统的安全漏洞信息。模拟攻击就是通过使 用模拟攻击的方法，如口欺骗、缓冲区益处、d d o i s ( d i s 奸i b u t c dd c n i a lo fs e n r i c e ) 等方法对目标系统可能存在的已知安全漏洞进行逐项检查，从而发现系统的网络 安全漏洞所在。 1 扫描方法 对目标系统的扫描，收集目标系统有关的信息，如端口的分布，提供的服务， 软件的版本，系统地配置，匿名用户是否可以登录等，从而发现目标系统的潜在 的安全漏洞。从原理上说，主要有以下几种扫描方法： 1 ) t ( ，c m e d 扫描：这种类型是最传统的扫描技术，程序调用o o e c t 0 套接 u 连接到目标端口，形成一次完整的t c p 三次握手过程，成功连接则说明端口开 丝应急响应联动系统模型的研究与典型工具的建立 放。 2 ) t c p s y n 扫描：这种类型也称为半开放式扫描，原理是往目标端口发送一 个s y n 分组( t c p 三次握手协议中的一次) ，若得到目标端口返回的s y m a c k 响应包，则说明端口开发，否则没有开放。 3 ) t c pr c v e i s e i d e n t 扫描：根据砌1 c 1 4 1 3 文档，i d t 协议( 一种确认用户连 接到自己的协议) 允许通过t c p 连接得到进程所有者的用户名，即便该进程不是 连接发起方。此方法可以用于得到兀t 所有者信息，以及其他需要的信息。 4 ) t c px m a s1 h c 扫描：根据i t f c7 ”文档，程序目标端口发送一个f n 、 u r o 和p u s h 分组，若其关闭应该返回一个r s t 分组。 5 ) t c p n u l l 扫描：根据砌屯7 9 3 文档，程序往目标端口发送一个没有任何 标志为的t c p 包，如果目标端口是关闭的，那么将返回一个r s t 数据报；否则， 则打开。 6 ) t c p a c k 扫描：这种技术往往用来探测防火墙的类型，根据a 位的设 爱情况可以确定该防火墙是简单的包过滤还是状态检溯机制的防火墙。 7 ) t c 甲窗口扫描：由于俯窗口大小报告方式不规则，这种扫插方法可以检 测一些类u n 系统打开的端口以及是否过滤得端口。 以上所描述的是一些常用的简单收集和获取远程目标系统信息及潜在安全漏 洞的方法，还有一些其他方法也艟实现：如卫c p r p c 捂描，u d p i c 御扫描，分 片扫描，f r p 跳转扫描等众多的方法”1 。 对脆弱点进行扫描的过程中，还需要利用i p 欺骗，缓；申区溢出等接术对远程 主机系统进行尝试性的攻击，从而发现潜在的隈络安全漏洞信息。所以，在下面， 我们将对扫描程序常用的模拟攻击的方法进行简单的描述 2 模拟攻击方法 通过基本的扫描方法取得目标系统的信息后，就可以开始对目标系统实施模 拟攻击，逐项检查系统的安全漏漏。常用的模拟攻击方法有缓冲区溢出、拒绝服 务攻击，字典攻击等，以下分别进行介绍。 1 ) 拒绝服务攻击 拒绝服务攻击是一种简单但是根有效的进攻方式。它的基本原理是：攻击者 向服务器发送数量众多的带有虚假地址的请求，服务器发送回复信息后等待回传 信息，由于i p 地址是伪造的，所以服务器一直等不到回传得消息，而分配给这次 请求的资源就始终没有被释放。当服务器等待一定时间后，连接虽然会因为超时 而被切断，但攻击者会再度传送新的一批请求，这个过程周而复始，最终导致服 务器因资源被耗尽而瘫痪。 现在d o s 攻击发展成分布式d o s 攻击d 】x 坞( d i s 蛐n 蜘d c i l i a lo f s c r v i c e ) ， 这种攻击是一种分布、协作的大规模攻击方式，它是利用一批受控制的主机向日 第五章支撑网络漏洞扫描的平台设计和实现 标主机服务器发起d o s 攻击，这种攻击更加难以防备，因此具有较大的破坏性。 2 ) 缓冲区溢出攻击 缓冲区溢出( b u m r o v e 棚o w ) 是一种非常普遍和严重的漏洞。它的原理是向 一个有限内存空间的缓冲区复制了超过长度的字符串，而程序自身却没有对k 度 进行有效的检验，从而导致程序运行失败，系统重新启动，甚至停机。因此，缓 冲区溢出的设计缺陷变成了黑客进行系统攻击趵一种手段，他们通过有意识的往 缓冲区写超出其长度的内容，破坏程序的堆栈，从而使程序转而执行其它指令， 以达到攻击的目的。 最常见的攻击手段是通过制造缓冲区溢出使程序运行一个用户s i l i ，再通过 s h d l 执行其他命令。如果该程序属于i t 且有i d 权限的话，攻击者就获得了一个 有f o o t 权限的s h e l l ，可以对系统进行任意操作。 3 ) 远程字典攻击 这种攻击也是漏洞扫描中模拟攻击的一种。但是其原理和其他的攻击相差较 大。许多网络应用都需要提供用户名和密码才能登陆使用，常见的如t e i 阀盯、 f r p 、p o p 3 和w 面曲w ss m b 等服务。理论上讲。用户可以将密码设置的足够复杂， 使对口令的攻击变得几乎不可能。然而，实际上报多用户会把密码设置的非常简 单，比如使用一个常见的单词、自己的用户名或生日等等，这样的口令就报容易 受到攻击。设置一个由一系列可能的用户名和口令组成的字典文件，然后让程序 自动读取该字典对目标主枫的f 5 l _ 络服务进行试探登陆，这样就有可能发现些弱 用户名口令。这些攻击如果最终成功的话则可以直接得到登录目标主机系统的 用户名和密码，危害非常大。 4 ) 珥欺骗 i p 欺骗技术就是伪造某台主机的i p 地址的技术。通过i p 地址豹伪装使得某台主 机能够伪装成另外的一台主机而这台主机往往具有某种特权或者被另外的主机 所信任。 许多应用程序被设计成信任基于发送方1 p 地址韵包。这些应用程序相信如果 数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地，那么源 i p 地址一定是青教的。如果这些应用程序使用豫之上的1 u 剐舍进一步相信如果 远程发送方可以继续一次t o 级会话那么该连接合法。如果包指示i p 源地址来自内 部网络，则该数据包可以被转发。因此，外部用户只要表明是一个内部口地址即可 绕过路由器发送包。 在下面的讨论中，我们把扫描方法和模拟攻击方法统称为扫描技术。 应急响应联动系统模型的研究与典型工具的建立 5 2 平台的必要性 从以上描述的扫描技术的介绍我们明显可以看出，这些方法种类繁多，处理 繁杂。而现阶段，很多工具仅能实现功能单一的扫描或者模拟攻击方式比如现 在功能强大的n m 神扫描工具，也只能实现扫描端口的工作，而不能实现模拟攻击。 因此用户还需要调用其它的模拟攻击程序再次进行检测。同时，用户需要使用多 个功能单一的工具进行扫描，然后要对各个工具返回的大量信息进行汇总，这样 不仅所有信息的手工收集需要很长的时间，并且收集的数据是零乱的，还需要对 信息进行分析，处理。另外，如果我们需要根据自己的需求进行检测时，由于扫 描方法繁多，而原理类似，这就需要用户自己进行大重的繁杂的重复鳊程，造成 时间的浪费和效率的低下，同时，也不利于工具资源的共享。 基于此，我们设计了应用于联动系统中的网络漏洞扫描平台，将上一节介绍 的所有扫描技术集中起来，基于一个共同的平台来自动完成对扫描橙辩，同时自 动完成对扫描的结果的分析，产生一个最终易于用户理解韵报告。 该平台作为应急响应防御阶段的主要工具，用于远程检测日标网络和主机系 统漏洞，然后针对发现的网络安全漏洞提供详尽的梭穗报告，同 l 时，我们剥用联 动系统提供的信息，得到切实可行的网络安全蒲润解决方案，使系统管理员在黑 客入侵之前将系统可能存在的各种网络安全满椭修补好，避免黑客的入侵而造成 不同程度的损失。下面对该平台进行详细介绍。 5 3 平台设计目标 漏洞扫描平台设计的主要目的： 1 要求能够集成各种扫描方法于一身如端口扫描、们n 曲m 攻击、利用s n m p 获取信息、f t p 漏洞探测、防火墙漏洞探测、0 g i 漏洞探溯等等各种漏洞的检测 功能，同时也要求能够进行各种鼹络模拟攻击。 2 随着网络漏洞的总量与丑俱增，同时导致漏洞发生的原因也不尽梧同，因 此，也要求该平台能够方便和灵活地添加丈量漏洞的检溺程穿，甚至定制自己的 网络漏洞检测程序。 3 能够对各种扫描技术产生的零乱的大麓信息进行分析和处理，为用户呈现 出易于理解的报告。 4 能够自动对扫描结果进行共享利于其他的扫描程序再次使用。从而减少 提高扫描效率，减少扫描时间。 考虑到各种漏洞检测程序所需要的技术和理论各不相同，所以要选到