（计算机应用技术专业论文）基于自治代理的网络安全漏洞检测系统设计与实现.pdf

摘要 本文系统地讨论了计算机网络安全防范的基本原理、方法以及网络安全的研 究现况。分析了黑客入侵网络的常用手段，指出网络被入侵的根本原因在于系统 安全漏洞的存在。 针对潺濑检测技术的当静发展状况进行7 研究探讨，对安全漏凋黪产奠：掇源鄹 漏洞检测软件的正传原理等方匿的研究馓了深入的分据，撂零出爨嚣弼终安全捡 测产品中怼计算机劂络安全潺洞动态产生戬及提应检测援块豹发聂熨耘的忽裰， 劳提出了基- 7 = 鑫涎代理的数据模型。然嚣详缨讨论了基予鸯治代理熬网络安全漏 漏捡溅系统的体系结搀，分撩了耨系统瓣王作燕毽戬及綦予该系统庭援静蕊络系 绫撂龄络梅。 系绞以鑫治代理为核心，蟊离异构、异葳的秘络平台雨构建，代理软件的自 治性冒戳鑫然地逶应对离散鼙两络弱点进行分布忒安全测试。面对不断产生的新 游漏洞，采麓模板纯的检测系统更易于扩充、扩震，确傈了随着阏络功能的变化 雨动态谲整检溺系统的灵活度。 在j 葩基础上本文对基于自治代理模型的安全检测系统进彳亍了工程实践，形成了 一个可跨操作系统平台运行的网络安全漏洞测试软件产品。实现过程中充分考虑 了人机交互界面的亲和性，配置、管理该系统的简便性以及漏洞报告的准确性。 最后，对本文实现的漏洞检测软件在局域网与因特网上进行了对比实验测试。实 验结果显示系统的运行效率、漏捻率、错报事、跨平台性、可扩充性、稳定饿等 各项性能指标优良。 关键词：潺溺检溅系绫；枣漆代理：罴客攻遗；嬲终安全 a b s t t a c t i nt h i sp a p e r t h em e a n su s e db yh a c k e r st oi n t r u d ec o m p u t e rn e t ”o r k s v s t e m sh a v eb e e nt h o r o u g h l y d i s c u s s e da n da n a l y s e d a n dt h ep r i m a r y c a u s a t i o no fi n t r u d i n gi n t oan e t w o r k t h es e c u r i t yl e a k so f as y s t e m w a sp o in t e do u t 。 b ys t u d y i n g o nt h e t h e o r i e so fs e c u r i t ys c a n n i n gp r o d u c t s i n e x i s t e n c e ，an e wt y p e o fn e t w o r kl e a kd e t e c t i o ns y s t e m m o d e l w a s i n t r o d u c e da n dd e s i g n e d t h es y s t e m i t s e l ft o o ka u t o n o m o u sa g e n t s o f t w a r ea st h ec o r e ，w i t ht h ed e s i g n i n g i nt h es e r v i c eo fd i f f e r e n t c o n s t r u c t i o na n dq u a l i t yn e t w o r kp l a t f o r m d u et o t h ea g e n ta u t o n o m o u s c h a r a e t e r i s t i c s ，i tc a nb ea m p l ya d a p t e dt ot h ed e t e c t i o no fd i s p e r s i v e l e 8 k s t h ep a t t e r n i z e dd e t e c t i n gs y s t e m i sm o r ee a s i l yt oe x p a n da n d e x t e n di nt h ef a c eo fn e ws e c u r i t yl e a k s ，s oi tg u a r a n t e e sp o s s i b i l i t i e s a n df l e x i b i l i t i e so fa d j u s t i n gd e t e c t i n gs y s t e mi nd y n a m i cs t a t ea s t h e n e t w o r kf u n c t i o n sc h a n g e t h es y s t e mi s s u i t a b l ef o rt r a n s p l a t f o r mm o t i o n ，i t h a sv e r y e x c e l l e n tp o r t a b i l i t y 。e x p a n s i o na n df l e x i b i l i t y ，e s p e c i a l l y f i tf o r c h e c k i n g a n d a n a l y z i n g o fv a r i a b l ep l a t f o r mn e t w o r k s l e a ka n d v u l n e r a b i l i t y f i n a l l y ，ap r o j e c tp r a c t i c eo nt h ep r e s c r i b e dt h e o r yh a s b e e nd o n e ，f o r m i n g a v e r yp r a c t i c a l s o f t w a r e p r o d u c t t h e n s o m e e x p e r i m e n t a lt e s t i n go ft h i s s o f t w a r eh a v eb e e np r o c e s s e d i nal o c a l s y s t e ma n di n t e r n e tn e t w o r ks y s t e m k e yw o r d s l e a kd e t e c t i n gs y s t e m ：a u t o n o m o u s ，a g e n t ；h a c k e ra t t a c k n e t w o r ks e c u r i t y 麓一蠢镪论 1 1 引言 第一章绪论 在信怠时代里，犯罪已经开始转向高科投领域。采用计算机进行犯罪的案例 越来越多，计算机的安全成为一个越来越引起_ 暾界备国关注的重要问题a 随着计 算机在人类生活各个领域中的广泛废用，计算机病海也在不断产生和传播，计算 机网络被不断非法入侵，重要情报资料被窃，以及由此造成网络系统的瘫痪等， 已绘各个国家以及众多公司造成巨大的经济损失，甚至危害到国家和地区的安全 。诞生于二十世纪六、七十年代的压联网，经过短短三十年的迅猛发展，规模鼎 益增大。1 9 9 8 年互联网上有3 2 亿个页面，到1 9 9 9 年这个数字增加到了8 亿e 联接的阏站越来越多，内容也越来越丰富，从最初的科磺、教育、彳亍政筵理到体 育、医药卫生、文化直至方兴束艾的电子商务，互联网已经愈来愈贴近我们驰生 活，并深刻地影响麓社会的格局，它引发了信息产业摹念，恕世爨经济从传统工 业、商业经济带入到知识经济时代2 。然两互联网最大蛇闫题蠖是安全超题，嚣 为它从问世起便是个以“笼政府”为鄹号豹公用慰络，任傍人餐霹以上去“冲 浪”一凰。i n t e r n e t 鲍核心一t e p p 协议簇“1 是基予可信琢境开发懿焉液弱子不 可信任的环境中豹掺议，它蓠走考虑的楚霹终懿曩联，焉映乏对安全方瑟抟保障， 妇此包含款诸多不安全爨素及许多漾溺绘了照客以誓乘之梳5 5 。 一令安全麴计算极系统楚指“可以倍赖的按照预期方式运行的系统”。1 。它怠 据物理安全耪逻辑安全。物疆安全主要燕指把服务器放劐加锁的房间里，防止有 皴坏预谋觞入接近秘莲设备。逻辑安全楚往糯密犸及其它形式的软件保护，实现 磊聿孥权隈橹往静安摊。对于实现物理安全需要加强机房的管理，如加强门卫、出 入者舞份检查、加颁以及各种硬件安全手段等预防措施。对于实现逻辑安全则需 簧用日令、文件许可、查账以及加密等方法实现。 现代计算机安全的目标乃是“在安全和通信方便之间建立平衡”) ，即达到三 个主要指标：机密性、完整憨和可用性。机密性是指只能由授权用户访问信息的 要求，完楚性是措防此信息被修改的要求，可用性是指系统资源s 够持续工作的 要求，授权用户能够在需要时从需要的地方以需要的方式访问资源。一个安全的 计算机系统应该支持所有这三个安全臌标，即安全的系统可以保护它的计算资源， 第一罐结论 一一 以茨非法访超、数据修浚耧拒缝鼹务 现骞静信惑安全产瀑中主要包括以下几个酃分( 漏漏检溅藏予评倍部分) ：防 必壤、及瘸毒、宓弱强弱耀户认镰、访闳控铺襁谈证、蕊密、评倍、记蒙报告和颥 警、安全鑫纯鹄瘸户铁证懿及物瑾安全。这样，在都署安全策酶对，就需簧考虑 诲多其施鹤安全基秣设施，鲡防火墙、病毒扫籀器、认证与识剐产品、访f 司控制 产菇、粕密产晶、纛拟专甭溺等潮。翔筒管琏这些设备，是安全检测系统和入侵检 测软件的职责。通过盆褫事件臼志，对系统受到攻击后的彳亍为和这些设备的信号 做畿反应。这样，检测系统就于巴这臻设备有机地结含在一起。因此安全检测是完 整韵安全解决方案中的一个矢键部分，在企业安全莆略中处于非常熏要的地位t 计算机系统中的安全河题来源予系统的脆弱性。1 。安全漏洞烂硬件、软件或翥 是安全策略上的错误而引起的缺陷，从而可以使别人能够利用这个缺陷在系统来 授权的情况下访问系统或者破坏系统的正常使用。磁系统软件和硬件设计实现时 可能存的弱点叫做按术脆弱性。其它的弱点发生在安全策略、处理过程、控制、 配置和其它的系统管理区，这些弱点属于管理脆弱性。系统的缺陷所能影响到的 网络范围是很大的，其中包括路出器、客户和服务器程序、操作系统、醛火壤等。 任何安全问题总是出于安全漏浏g 起的，事先检测系统的弱点防患予泰然是 减少损失的最佳办法。溅洞本身不会自己出现，它依鼓予人数发现。邃欺，潺濑 的检测是个动态的过程。，般藤言，系统越大，系统裁越脆弱；系统越笺杂， 系统就越脆弱；系统葶丑它的环境越动态他，系统璇越脆弱。当发凌了系统豹个 戏多个弱点，对系绞安全戆威胁倭照之产生。 1 2 黑客攻击网络的手段 黑客入侵总是从寻找系统的漏洞开始的分析黑客入侵网络的方法，做到知已 知彼，才能使安全防范更加周密。黑客攻击的方式有远程攻击、本地攻击以及伪 远程攻击兰类。其目的不外乎：获取嗣标系统的非法访问一获德不该获德的访闽 权限；获取所需资料包括科技情报、个人资料、金融帐户、技术成果、系统壤 息等等；篡改有关数据修改资料达到非法目的：利用有关资源媸爆技入侵垂冬 机器对其他目标进行攻击、发农威假信息、占用存储空阉“。缴鼹星藩黑窖攻击 劂络的技术手段，主要存如下几类： ( )裔令入侵 入侵者获取目标系统的口令文件，以离线的方式破解霹令“”。入侵者先猿测 2 赣一章臻诧 一 一个口令，然后用与原系统一样的加密算法( 加密算法魁从开的) 来加密此口令， 然厨将加密的结果与文件中的加密口令进行比较，若相同则猜对了。口令入侵时， 入侵者并不通过蛮力破解，而用一个特殊的黑客字典中的单词来试探”现存爨 客字典戗括2 0 0 多刃个单词，有英语或其它语言的常见调、黑客词语、捞写有谈 的单词和一蝗人名。对现代的计算机来说，试探这2 0 0 多万个单诚缀容易t 入侵 者只要获得一个用户的口令，尤其是特权用户的口令，裁可以为鼹效力了 ( 2 ) t r o j a n 未骂 所谓特洛伊木马程序是指提供隐藏的、非用户所希握的程序。这些功可熊 泄露一些系统的私有信息或者控制该系统，致使整个系统渡入侵。例如，入 侵者修改系统中的l o g i n 和t e l n e t 程序，将用户的名字和口令臭动记录戮一个文 件中，弼将该文件隐藏到系统的嫠个地方。此文 牛绘入侵者提供了许多帐号鞠攘 应的口令，一旦得手，成匿上千的计算枫可能受影赡。入侵器可能在被侵入豹嚣 算机上安装一个程序( 例如网终噢探器) ，监视姥计算撬鼹在懿是域溺静窃取翟令。 舅藏已煮专熙的防范敬件。“浆迂泵系统懿状态芳冒鼗视转法修改。 ( 3 ) s n l 辩燕瞬 在掰络上窃敬数据就翻徽嗅探( s n i f f i n g ) 。通过唉探网络，一个用户能够获 褥饱入的访阀校限“”。如莱在以太网中，入侵者只要将网卡设置为混杂模式 ( p r o m i s c u o u sm o d e ) 【l ”，嗣用一鏊现商的工具，如s n o o p 、n e t x r a y 、t c p d u m p 等， 采收集并分丰斤数据以获取有篇信息，夺取网络控制权。 ( 4 ) 缓冲区滋出攻击 利用应用程序中存在的错误，执行特定的代码以获取系统的越级权限，鲤d n s o v e r f l o v ，、s t a t do v e r f l o w 等1 8 舯。 ( 5 ) t o p l p 协议漏洞攻击 这是利用i n t e r n e t 铷 义簇斡弱点进行的攻击”。因为t c p i p 协议楚基于可 售环境开发豹霭技用予不掰僖任黪环境中抟协议，它蓄先考虑的惹两络的互联， 恧缺芝对安全方瑟戆缣障，宙姥琶含豹诸多不安全因素“”及许多漏洞给了黑客以 霹乘之橇：妇i p 欺骗、a r p 欺骗、路由欺骗、d n s 欺骗和t c p 连接欺骗等。 ( 8 ) 撵绝耱务d o s ( d e n ；a lo f $ e r v i c e ) 该项入侵手段是以先行挤占服务系统的资源来阻止合法的用户使用或使系统 崩溃。如p i n go fd e a t h 、s y nf l o o d 、t e a r d r o p 、t r i n o o 、t f n 2 k 和电子船 集一毒绪论 件炸弹等。一般可将其归于服务超载、报文洪水、t c p 阻塞三种类型 1 3 安全漏洞检测技术研究现状 安全漏漏捡测就是慰计算枞系统或其她照终设备进程安全摆关舱测试，以找 出安全隐患靼可能皱黑客剥用的缺陷。尽懿漏溺检测誉题下述耀季孛技本： ( 1 ) 基于变规的安全灏漏 曩接：通过查看系统内部躲主耍懿要文 孛翡完整性 秘曩确燃，囊善錾要文 孛襄程序豹投袋簿，对圭辊黪疼鼯安全状态遴学分辑。这 一类安全技术懿代表羔要骞c o p s ( c o m p u t e ro r a c i e a n dp a s s w o r ds e c u r i t y s y s t e m ) 等泓m ”。( 2 ) 基予蹒络款安全漏灞拯捂：这一类凌能建扶系统步 部模仿嚣 窖觞行为，使用湍嚣扫攒王其或其它针对吴体安全潇漏的测试功能，对系统的外 部安全状态迸彳亍分析。这一类安全技术豹代表有s a t a n ( s e c u r i t y a d m i n i s t r a t o r st o o lf o ra a n a l y z i n gn e t w o r k s ) 、i s s 等。8 。( 3 ) 基于应 用的安全漏洞扫描：它采用被动的 # 破坏往的方法检查应用软件的设置以发现安 全漏洞。( 4 ) 基予目标的安全漏洞扫描：它主要稔查系统属性和文件属性，如数据 库和注册号等。其基本原理跫消息加密算法和哈希函数 ，如果函数的输入有一 点交化，那么其输出就会发生大的变化，这样文件和数据流的细微变化都会被感 知。这些算法加密强度极大，不翁受到攻击，并且实现是运行在一个完螽环上， 不断地处理文件和系统目标属性，然后产生检验数，把这些检验数同原来的检验 数相比较，一旦发现改变就通知管理员。 优秀的安全检测产品应该是综合了以上四种方法的优点。但是，目前安全软 件面临的各种问题影响了其最大限度地发挥漏洞识别的精确性： ( 1 ) 现有网络安全产品一般只针对网络的篡个元素使餍菜一秽安全技术， 很难实现网络的全局安全。对于某一羊中产品磁言，其安全羡噻都是专有的，安全 策略与安全策略之闻缺乏一致性。这撑，不仅达不到全局蛇安全爨求，逐哥能造 成网络安全搂旌的重复程浪费甚至冲突。( 2 ) 缺乏霹扩充挂。安全技术隧着瓣潼 的推穆恧过时，系统必须及酵更裁才能缳持原有熬安全东平，特澍是安全漏洞层 崽不穷，动态更掰安金模块雯是农爨难免。毽是瓣蔫豹系统姣乏一种有效的梳制 支持掰技术熬应瘸释系统的舞级，对薪出筏豹漏澜反痤不迅速。( 3 ) 当前的安全 灞溺捡溅程序只是鬻攀楚把各个j 譬描溺试顼静执彳亍结莱罗列离来，直接提供给测 试者甏不瓣信息遴行分析齄璎，没有辩报表进行规范整理，对具体漏洞的解决办 法只怒簿萃的罗梦f j ，馋对阏络的蘩体状况缺乏一个合适的评估，对网络安全没有 系统的解浃方案。( 4 ) 缺乏安全等级的管理。( 5 ) 安企工具是把双刃剑，如果 镀黑窖稍精刚会产生破坏往后果，而系统管理员掌握它又可以有效地防范黑客的 4 第一章结论 入侵。但目前安全检测系统自身的完整性蔚安全性难以保证。 从用户使用的细节角度来籍，目前安全检测产品的主蓑不足有： ( 1 ) 扫描报告的派送无法自动化完成，需由人工：；麸行筛选与过滤鬃，辩一 通知相关单位的人员，效率不离。( 2 ) 无支持多使用者的统一接口，旦多半未使 用数据库系统整合历次扫描结粜，供相关单位人员登入检视、比对 銎描报告。( 3 ) 除非使用者极具技术知识与经验，并经过特别设定与调整，否则执行套装搠描王 具易消糍大量频宽，占用网络资源，更可能造成阻叛服务攻击发生，虽控攒时阙 冗长，效果不佳。( 4 ) 擐丧通常是量多质不壤，却缀戆判叛、了鲜其中戆鬟点， 井旦报镑所星现的掇式与内容遴常难以阅读了然，缱增使用者爨找。 德是，如采长度超过2 5 8 字节，就将触发缓冲区溢出： $ c u r lh t t p ：x x x x x x x x 上v t i - b i n v i i a u t f p 3 0 r e g d l l ? p e r l e p r i n t a x 2 5 9 e r r o r t h er e m o t ep r o c e d u r ec a l l f a i l e d s g - - 牵安全灞溺梭瀚能基本琢理 临时解决方法： 删除或禁止任 可人访问f p 3 0 r e g ，d ll 和f p 4 a r e g d l l 厂裁状态： 2 0 0 1 4 ，1 3 我们将这个闯艨逶擐绘了微软公司。 2 0 0 1 4 1 5 微软告知黧现7 这个越题 2 0 0 1 。5 1 8 微软提供了 丁程窿供溅试，溪试发臻诧趣题墨被解决 2 0 0 1 6 。2 1 微软已就毖发奄了一个安全公舞( m s 0 1 - 0 3 5 ) 戳及穗应补丁 辫搠信患： 逶怒潺灞援器( c o m m o nv u l n e r a b i l i t i e sa n de x p o s u r e s ) 缀织e v e 已经为魏 润题分配了一个候选名c a n - 2 0 0 1 - 0 3 4 1 。诧名字是为了收录迸c v e 列表做候选之 羯， 下面仅对部分类型的安全满洞简介如下： ( 1 ) f t p 文件传输协议类f t p 服务广泛应用于i n t e r n e t 中，同时具有显 著的安全脆弱性。如匿名f t p 本身不是安全漏洞，但其提供了访问远程系统能力， 入侵者可借此获取系统口令文件并探测系统漏洞，因而通常禁用匿名f t p 服务， 开放时必须正确酉已鸯并进行严格管理：此夕卜，建立上传鹚录往往为了便予在 i n t e r n e t 上交换文件，丽网络攻击者则在可写区域中肆意删除、修改信息或上传 恶意代码( 如特洛伊木马、计算机病毒等) 。 ( 2 ) d d o s 分布式掇绝服务类分布式攮绝服务攻壹也是最必常见豹鄹络攻 毒方法，进攻形式多釉多样。从利用月终协议到针对操传系统平台黟潺滔，帮可 以发感拒绝服务攻壹，可以说其攻击等段防不胜骆。逶避发送连续懿字符可以检 测m i c r o s o f ts q ls e r v e r 等数撼痒黢务器是否有d d o s 潞澜。 ( 3 ) f i r e w a l l 防火墙类设譬网终防火墙豹蟊的蔗在通信阏与矫养网之间 提供一遴屏障，豁保护蒋络中静信息流尧受来自舞部两络的各种威胁。防火墙可 潋是路由器、踅枫、主梳系统或一批主系统，是硬件和软件的组含体。由于随络 防灾墙自身存在韵设计问题和使用配蠢错误，扫描器可以检测不同类剐或版本的 网络防火墙存在的安全漏渝。 因为c v e 列袭是面向全球免费公汗的，黑客同样可以得到。安全管理员必需 不断更新安全知识库，通过扫描检测对系统的脆弱性进行深入了解，豢先运用程 第二章安全漏渝检瀚的基本豫理 序来检测发现其是否存在已有的漏洞，按照c v e 列表查看系统中有多少安全漏洞 已经被解决了。 2 3 证书式( c r e d e n t i a l e d ) 安全漏洞检测方法 脆弱性分析的产品使用的监控方法可分为两类：证书式( c r e d e n t i a l e d ) ( 也 被认为是被动的) 和非证书式( n o n c r e d e n t i a l e d ) ( 也被认为是主动的) 。证书是 允许某人合法使用系统设备的口令或其它访问标识。当访问一个系统数据目标时 要作基本的证书检查，而只有当反复进行非法使用以激起系统一个运行反应时才 作非证书检查。证书式非证书式区别的根本在于被分析的信息是否有无证书而获 得。 2 3 1 证书式方法的定义 评估脆弱性的证书式监控方法假定一些系统接入是合法的。以证书模式运行的 检查使用着系统数据资源f i j i a n 文件内容、配置信息、状态信息。这些信息是从没 有被入侵的资源中获碍的，也就是说，它们是通过进行标准系统状态查询和系统 属性检查而获得的。u n i x 系统是以主机或设备级水平收集这种信息的，所以，证 书式方法也称作基于主机的方法。w i n d o w sn t 系统允许在本地系统或远程系统 依据使用的信任状作很多本地访问，因此，证书式与基于主机的方法有时也有差 异。 2 3 2 证书式方法的主题 证书式方法对脆弱性分析的影响依赖于被分析的主题。系统的安全策略很大 程度上决定了证书式方法的相应目标，也决定了由专家资源提供的威胁信息的内 容和形式。绝大多数由证书式检查所揭露的脆弱性涉及到特权的扩大化( 也就是 说，用户们获得了超级用户的特权) 。 商业化的脆弱性分析产品所附加的许多价值表现在：采用专家型信息形式进行 现场威胁信息的评估，并立即被翻译转化为脆弱性分析系统的向导。正是向导的 部分决定在检测某一特殊问题时证书式检查和非证书检查到底哪一个更有效一 些。由于威胁环境的广泛性和动态性，这是一项非常有力的属性。 图2 1 一棵k u a n g 规则树 胤络安全团体非常了勰影嬲0 、r x 系统的安全脆弱煌 与其它搽馋系统援毖) 。c o 黔 系统( 见熙2 - 1 中的输出例子) 妈造了对一毁u n i x 系绞溺题的配鬟捻查致最单弱 定义舆之一”1 。一些捡查是针慰配嚣中几乎从不发生黪错误。铡摇，只有系统 管理受名。憝修改关键系绞文l 譬秘器录，并且只有霹信瓣系统管理爱才能嚣读一些 关键配置文传。残缝大多数环凌中浃省静俊设是愆户应该对鑫己豹文件空间的私 鸯性耱控巷有一定靛嬲望篷，辑以，c o p s 淦鸯要确傈只有用户对舀己的西录裔缺 省故篙特投。 话书式分析鹃一个特例是蒸于舀称韵麓控机制，尤其怒文件完整性确傈机制。 这些谦护梳制使弼着密码学的消息摘要算法来傈护文件和目标以防非授权的修 改。一个证书式脆弱筏分析嚣包括了关键文件和目标的列表，以及相应参考校验 和。在这种情形下，人们主要关注检测前一次分析后的任何变化。例如，在商业 位产品墨，一些开发商也使用这些校验和进行另一些对用户具有巨大价值的检套， 决定开发商提供的b u g 补丁是否被应用于系统二进制代码。 2 3 。3 证书式方法的篆略积优 l ： 用于梅造诞书式脆弱毪分析的种策略是使用各自独立的评语程净来进行每 一种捡誊。这种方法使系统管理员可戳并行遗运行各种检瓷，也允许将工作任务 分割蓟所期待的多个平台上去。优化跨多个阏络主机的证书式分柝的另一个策略 是傻焉软件代壤，该代理绝大多数本地评 古导向被监控的节点，并将评估结果向 第二章安全潺漏检涵鹩萋毒躁理 中央管理控制台报告。 其它方案使用的策略是：在本地进行简单的分析和检查，而把分析中非常复杂 ( 大计算量) 的部分传向性能更强大的系统。 证书式方法本质上是要紧紧地瞄向操作系统平台的。这种优化扫描结果的性能 导致精确性改进。另一方面，本地主机运行的部分评估引擎将使被监视的系统性 能受到影响。针对操作系统平台进行必要的剪裁也意味着：当运行于异构类的多 网络平台时，不得不维护各种各样的针对不同系统的专门工具。这在经济和时间 上都是花费很大的，最后，证书( 以及使用证书时评估引擎所访问的很多信息) 本身必须被保护好。否则，系统本身就意味着一个安全脆弱性。 一种非典型但出现特别早的安全方法是k u a n g 系统，它是一个专家系统，在 脆弱性评估和入侵检测方面激发出大量的后继工作( 包括c o p s 和网络安全监控器 ( n e t w o r ks e c u r i t ym o n i t o t ) ) 。该专家系统使系统管理员可以进行“假设”分析， 通过这种分析可描绘出某配置变化导致的对安全的影响。图2 1 显示了由其工 具生成的一棵典型的k u a n g 决策树及其含义。k u a n g 系统允许用户提供某一专门 的黑客目标和一组条件( 通常以用户组和许可的形式) 。并且k u a n g 代表着抽象刻 画系统配置的安全影响的最佳的方法之一。一棵k u a n g 树是一种i f 规则树，所以， 任何一个叶节点条件都是满足根节点的充分条件。 2 3 4 证书式安全检测方法的系统结构 证书式的安全漏洞扫描最主要是针对操作系统内部问题作更深入的扫描，如 第二章安全漏濑樵弱的基本豫理 u n i x 、n t 、l i u n x ，它可弥补网络型安全漏洞扫描器只从外面通过网络检查系统安 全的不足。一般采用c l i e n t s e r v e r 的架构，( 如图2 2 ) ，其中有一个统一控管 的主控台( c o n s o l e ) 和分布于各重要操作系统的检测代理，然后由c o n s o l e 端下 达命令给主机代理进行扫描，务a g e n t s 再回报给c o n s o l e 扫描的结果，最后由 c o n s o l e 端呈现出安全漏洞报表。该类检测方式的主要功是：( 1 ) 重要资料锁定 利用安全的c h e c k s u m ( s h a l ) 来监控重要资料或程序的完整及真实性，如 i n d e x h t m l 档”。( 2 ) 密码检测采用结合系统信息、字典和词汇组合的规则来 检测易猜的密码。 2 4 非证书式( n o n c r d e e n t ia e d ) 安全漏洞检测方法 2 4 1 非证书式( n o n c r d e e n t iaie d ) 方法的定义 脆弱性分析的非证书式方法就是使系统扮演攻击角色，标注和记录对这些攻 击的系统响应。非证书式方法比证书式方法更具干扰性，f i 者既有传统的监视功 能，也有证书式方法不具备的检测功能，使用户可以评估与网络服务有关的脆弱 性。 2 4 2 非证书式脆弱性分析的方法 非证书式脆弱性评估使用着各种技术。评估该项技术的指标有以下几个：1 精 确性：分析技术是否j 下确诊断出一个脆弱性的存在。2 可靠性：分析技术是否一致 性地诊断出一个脆弱性的存在。3 干扰性：分析技术对目标系统正常运行的影响程 度。4 资源使用量：分析技术消耗的计算量和网络带宽。 2 4 3 使用攻击程序的测试 使用攻击程序的测试是系统扮演一个实际的攻击角色的一种分析技术。测试脚 本通常使攻击程序返回一个状态标志，而不是一个实际攻击所返回的r o o ts h e l l 。 虽然使用攻击程序的测试技术的精确性和可靠性要比推断技术的精确性和可靠性 大一些，但在制定策略和执行方面存在的许多问题影响着这种形式的评估。 要可靠地诊断出一个脆弱性存在，必须将脆弱性的标记信号与从目标主机返回 的信息隔离开，或者使用额外的步骤来得到这些数据。正如开发商在软件质量和 遵从的标准中所论证的那样，由于其性能不稳定，所以口述处理过程有难度。使 用攻击程序的测试具有很强的干扰性，在进行拒绝式服务的脆弱性检查时，这个 问题特别明显。然而，仍有大量的例子显示：在测试一个不是拒绝式服务攻击的 第二章安全褊涡检灏羽基卒凉理 脆弱性时，也可能会导致系统崩溃。 当减少测试时的干扰性程序后，其它的策略使用攻击程序的测试也显示一定的 优势。这些策略包括一个“扩大化”的策略，可使用户执行少干扰的检查，并且 只有当少干扰的检查没有产生那些必需的信息后，才推动一个实际攻击的执行。 例如，可能要在运行一个针对拒绝式服务脆弱性的攻击程序脚本之前，在需要一 个w e b 服务器运行的应用中，检查w e b 服务器的存在性。 2 4 4 推断方法 推断方法虽然围绕着那些不能实际探索出脆弱性的分析技术而进行，但它能 寻找出脆弱性已被挖掘证据。早期的脆弱性评估工具，包括分析网络的安全管理 员的工具( s e c u r i t ya d m i n i s t r a c t o r st o o lf o ra n a l y z i n g n e t w o r k s ，s a t a n ) ， 就使用推断技术。一些专门的推断技术有： i 版本检查：依据一个版本号或其它由服务器提供的识别器( 有时候对一个查 询的响应) 来推断是否存在一个脆弱性。 2 端口状念检查：查询端口以确定哪一个端口是打开的。某一些端口打丌这一 事实就可作为某些脆弱性存在的可靠的证据。 3 协议一致性检查：与端口状态检查相配合进行，协议一致性以简单请求系统 状态或信息的形式占用网络服务。 4 推断方法与使用攻击程序测试方法相比，有对系统干扰少的优势。所以，推 断方法能安全地执行拒绝服务的检查。这些技术的资源使用也很少。然而，它们 通常没有使用攻击程序测试方法精确或可靠。 2 4 5 证书式方法的一个实例 计算机界引入非证书式脆弱性评估是在1 9 9 5 年，那时s a t a n 正发行。由安全 专家d a nf a r m e r 和w i e t s ev e n e m a 开发的这个工具遭到大量的争议。 s a t a n 采取一种主动出击的、非证书式方法来保护系统。在这之前，绝大多数 计算机安全仅强调通过系统和威胁信息的程序上的控制来防止问题发生。虽然这 种证书式方法适宜于计算机少、费用高并且采用中央集权式管理的领域，但在网 络中个人计算机和工作站的数量和能力爆炸性增长( 对那些系统的威胁也相应地 增长) 的情况下，它是没有什么效果的。 就在s a t a n 投向i n t e r n e t 的同时，专门设计用来检测s a t a n 的两个工具也被 开发出来，并投放市场。可以说是i n t e r n e t ( 实质上，是全世界) 拯救了s a t n a 的发行并且使其生命力旺盛起来。在当时可获得的工具中还有c h r i s t o p h e r 1 9 第二章安全漏捅裣撼的基率原理 k 1 a u s 的i s s ( 自由软件版本1 9 9 3 年发行) ，i i s 一个娇小玲珑的、更具主动进攻 力的扫描器而著称。按照c a r n e g i em e l l o n 大学的计算机紧急事件抢救小组 ( c o m p u t e re m e r g e n c yr e s p o n s et e a m ，c e r t ) 的统计数据汹，1 1 1 个安全事故 中，被检测出的扫描工具包中9 3 个与i s s 有关，2 1 个与s a t a n 有关。 2 5 安全漏洞分析技术的优点与缺点 一般来讲，脆弱性分析是安全监控系统中最重要也最有价值的部分。这个工具 使安全管理人员能检测出那些不太支持动态性更强的监控技术的系统的问题。在 启动一个安全程序或重新建立个基准要求时，脆弱性分析能满足为校准系统而 使用的安全配置测试器的需要( 如软件作了更改并安装到操作系统中时) 。最后， 当被配置成按常规进度表运行时，脆弱性分析工具能可靠地发现各种变化，在给 站点带来不利影响之前提醒安全管理员存在的各种问题。 2 5 1证书式分析技术的优点 证书式分析技术能在主机缴水平对系统目标进行抽样和测试，它们特别适合检 测设计精美的人为攻击。当黑客攻击了一个系统并留下一串有关他们活动的后门、 奇怪数据文件或其它制作品的痕迹时，证书式分析器通常比非证书式分析器能更 快地发现这些后门之类的东西。在这种情形下，证书式分析器能检测出一个安全 问题的结果，但可能得不到与该事故有关的详细细节或其它辩解。当攻击造成更 多的损失并且组织想更带有主动攻势地追踪攻击者时，这种考虑是很重要的。 因为证书式方法紧紧地与特定主机和操作系统平台配置在一起，这些方法通常 比非证书式方法更精确更可靠些。其次，按常规进度表运行的证书式分析器能够 对一些问题按时间括定( t i m e - b r a c k e t ) 。即它们能揭露出：在一定的粗略的相似 性程度范围内，当注意到各种系统对象从“安全”状态转向“不安全”状态时某 一个问题的发生。当然，按时间括定模式也许不是一个可靠的检测形式，尤其当 入侵者是一个专家型入侵者时，因此其它技术应该被采用来建构最基本的检测机 制。 2 5 2 非证书式分析技术的优点 非证书式方法也是有价值的。它们很大程度上独立于平台。这样，单个的非证 书式分析器就能支持很多操作系统平台，适当裁剪能适应各种不同的网络环境。 非证书式分析器也能检测出对基于网络的攻击的敏感性( 例如，对t c p i p 服务 第= 章安全瀚最捡龅的基毒曝瑗 套 牟熬攻壹、基于黯形镪懿浚毒以及踅缝式鼹务攻撩) 。 2 5 3 不利因素 证书式分析器与操作系统平台之间的紧耦合意味着这些分析器不能很容易地 调整使之跨越异种网络，并盥它们可能在建立、维护和管理方法花费更海。证书 式分析器所拥有的平台独立性使它们不太精确并且更易遭受错误报繁。非证书式 具备的测试系统对拒绝式服务攻击的敏感性的性能会引火烧身，因为拒绝式服务 的测试很容易变成与拒绝式服务攻击不可区分! 不孝的是，对那些本身不是拒绝 式服务攻击的脆弱性的测试也可能会蠢妫样的结局。 在脆弱蠼评馈产晶与入侵硷测系缆的协调一致性方匿瞧存在阀题。菲涯书式捡 褒尤其是拒绝式攻击触发入馒捡测系统 乍出响应，最终阻塞紧接慧瓣亨薹描。在 燕复性捡查( 妇郑些与翘撼大型网络款髫标妻极窍美躲检查) 中也会出蜣福 娃的 阉题。黥弱性_ 平悠检查栽魅发错误报警并且会丧失掩入侵检测系统豹精确性。更 邀一步，频繁豹检查会奁某种程度上重塑入侵检溺系统，以至予当真正的攻击发 生野这翻却忽臻撺这些攻击。 2 1 纂三罐基于套治代理酶漏濑捡溅系镜髅系结掬设讨 第三章蒸予自治代理的漏洞检测系统体系结构设计 3 1 自治代理 所谓软件代理( s o f t w a r ea g e n t ) 是一种软件实体，能在特定环境下保持功能 的延续往与自治性，鼠随环境的改变灵活、智能化地执行凝功能”。理想的情况是 一个代理其有从缎验中学习的能力。此外，我f f ) 还期望存在于一定环境中的代璎 之间能相互通讯与协作，或者可以从一处移往另处。 在此将自治代理( a u t o n o m o u sa g e n t ) 定义为一种运行于生机上的执行特定安 全漏洞检测的软件代理( 简称代理) 。自治代理是自主运行的软l 孛实 本，它不受控 于其它的进程( 当然，它游要操作系统的支持) 。不管代遵之闯有无数据交互，毽 它们均不存在相互影响的因素，彼此间独立自主o 。可以筠单媳认为代理裁是在圭 机上能独立完成一定检测功能的软l 粤单元。 漏洞检测自治代理( a u t o n o m o u sa g e n t ) 在缝棱上出管蘧器、捡溅鼙元、透信器 等部件组成( 如图3 。l 艇拳) 。 整3 。l 鑫治代理结搦攘鹫 l 。譬疆嚣管理器震鼍：对检测攀嚣豹管毽，它决定如何谪度捻掰荜元。在管 理嚣孛最重要功麓是对执霉孑具体检灏任务静检测萃冗的调度。管理嚣的核心部分是 代璎配鬟文体：a g e n t 。c o n f 。配置文件中记录了系统中已安装检测单元信息以及访 溺投限记录。当在系统中增加新的漏滴检测功能即添加新检测单元时，必须在配置 文僻串进行注掰( 卵插入稽关记录) ；当该功能还没实现时只需将其注释掉即可。 a g e n t 掰能提供的服务均由管理器予以懿控。当管理器收到通信器转来的 第三章基子包治代淫钓褊溺裣溺系统蒋系结构设讨 _ _ 一一一 控制命令时酋先进行命令熊释，以决定对检测单元的控到动作。当管理器收到从 捡测单元发寒的漏濑消息发送请求时，只是简单地掩其送至逶识器。 2 检测单元梭测单元是整个系统的基蠢，它是完成检测功能豹程痒实体。 它袋用p e r l 语塞“编写，一般一个检测单元具体实现对菜一安全瀑洞黪测试，各 个单元之阀樱要独立，照藿耘溱溺鲍发毒，霹以鑫巍编嚣增搬耨翡检测筚元。一 令霹扩充豹检测单元程廖出三帮分终成：注辫部分、捡瓣帮分、簿载部分。捡测 摹元瓣管理# 霉麓荤，安装辩只要囱管理器懿配嚣文件浚置孽帮胃，鲡渠u n i n s t a l l 菜捡溺单元，只需焱管理器的酸霉文 牛中将蒸记录注释掉。 3 遴信器遥信器主要掰予信怠在网络上的传递。通信器采雨b s ds o c k e t 实 现，笆括对漏漏摄表、电子部件、溺络寻呼以及控帚命令的传输等内容。它一方 面摧检测的结栗发绘用户和安全服务器。另一方面，它将用户的控制信息传送至 控制器。在u n i x 平台和w i n d o w s n t 平台上，均对s o c k e t 标准提供了强力支持“， 对于遵守一定的安全记泶格式和消息语法的信息在通信器中传递的工作原理基本 类似一主要是通过对s o c k e ta p i 的调用来实现。 3 2 基于自治代理的漏洞检测系统工作原理 3 2 i 系统逻辑模蘩 从逻辑上可以将基于自治代理的漏洞检