|
入侵检测 浅谈安全扫描软件的检测技术(1) 安全扫描通常采用两种策略,第一种是被动式策略,第二种是主动式策略。所谓被动式策略就是基于主机之上,对系统中不合适的设置,脆弱的口令以及其他同安全规则抵触的对象进行检查;而主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。利用被动式策略扫描称为系统安全扫描,利用主动式策略扫描称为网络安全扫描。
一、目前安全扫描主要涉及的检测技术
相信读者已经对安全扫描有了一个初步的认识,这里进一步介绍安全扫描的四种检测技术:
① 基于应用的检测技术,它采用被动的,非破坏性的办法检查应用软件包的设置,发现安全漏洞。
② 基于主机的检测技术,它采用被动的,非破坏性的办法对系统进行检测。通常,它涉及到系统的内核,文件的属性,操作系统的补丁等问题。这种技术还包括口令解密,把一些简单的口令剔除。因此,这种技术可以非常准确的定位系统的问题,发现系统的漏洞。它的缺点是与平台相关,升级复杂。
③ 基于目标的漏洞检测技术,它采用被动的,非破坏性的办法检查系统属性和文件属性,如数据库,注册号等。通过消息文摘算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上,不断地处理文件,系统目标,系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。
④ 基于网络的检测技术,它采用积极的,非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审记。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它可能会影响网络的性能。
优秀的安全扫描产品应该是综合了以上4种方法的优点,最大限度的增强漏洞识别的精度。
二、安全扫描在企业部署安全策略中处于重要地位
从前面的介绍可以看出安全扫描在维护计算机安全方面起到的重要作用,但仅仅装备安全扫描软件是不够的。
现有的信息安全产品中主要包括以下几个部分(安全扫描属于评估部分):防火墙,反病毒,加强的用户认证,访问控制和认证,加密,评估,记录报告和预警,安全固化的用户认证,认证,物理安全。这样,在部署安全策略时,有许多其它的安全基础设施要考虑进来,如防火墙,病毒扫描器,认证与识别产品,访问控制产品,加密产品,虚拟专用网等等。如何管理这些设备,是安全扫描系统和入侵侦测软件(入侵侦测软件往往包含在安全扫描系统中)的职责。通过监视事件日志,系统受到攻击后的行为和这些设备的信号,作出反应。这样,安全扫描系统就把这些设备有机地结合在一起。因此,而安全扫描是一个完整的安全解决方案中的一个关键部分,在企业部署安全策略中处于非常重要的地位。
大家可能已经注意到防火墙和安全扫描的同时存在,这是因为防火墙是不够的。防火墙充当了外部网和内部网的一个屏障,但是并不是所有的外部访问都是通过防火墙的。比如,一个未经认证的调制解调器把内部网连到了外部网,就对系统的安全构成了威胁。此外,安全威胁往往并不全来自外部,很大一部分来自内部。另外,防火墙本身也很有可能被黑客攻破。
结合了入侵侦测功能后,安全扫描系统具有以下功能:
① 协调了其它的安全设备;
② 使枯燥的系统安全信息易于理解,告诉了你系统发生的事情;
③ 跟踪用户进入,在系统中的行为和离开的信息;
④ 可以报告和识别文件的改动;
⑤ 纠正系统的错误设置;
⑥ 识别正在受到的攻击;
⑦ 减轻系统管理员搜索最近黑客行为的负担;
⑧ 使得安全管理可由普通用户来负责;
⑨ 为制定安全规则提供依据。不过必须注意,安全扫描系统不是万能的。首先,它不能弥补由于认证机制薄弱带来的问题,不能弥补由于协议本身的问题;此外,它也不能处理所有的数据包攻击,当网络繁忙时它也分析不了所有的数据流;当受到攻击后要进行调查,离不开安全专家的参与。
| 
