李小娜

（宁夏电投西夏热电有限公司 宁夏 银川 750021）

0 引言

随着计算机网络技术的不断发展，计算机给人类经济、文化、军事和社会活动带来更多便利的同时，也带来了相当巨大的安全挑战。现代信息网络面临着各种各样的安全威胁，有来自网络外面的攻击，比如网络黑客、病毒等；也有来自网络内部的威胁，并且这种威胁更为危险。因此内部威胁检测技术和工具研究成为人们关注和研究的焦点。

1 入侵检测

1.1 基于主机的入侵检测

基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的危害，利用系统日志和审计记录来进行检测分析。通常在受保护的主机上有专门的检测代理，通过对系统日志和审计记录不间断地监视和分析来发现攻击。这类入侵检测系统直接与操作系统有关，它控制文件系统以及重要的系统文件，确保操作系统不会被随意地删改。按照检测对象的不同，基于主机的入侵检测系统可以分为网络连接检测和主机文件检测。

1.2 基于网络的入侵检测

基于网络的入侵检测系统通常作为一个独立的个体放置在被保护的网络上，它使用原始的网络分组数据包作为进行的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络传输的通信。一旦检测到攻击，入侵检测系统应答模块通过通知、报警以及中断连接等方式对攻击做出反映。通常，基于网络的入侵检测系统放置在防火墙或网关后，就像网络窥探器捕获网络上的数据包一样。但它不延误包的传送，因为它仅仅是监视包。同时，由于它是通过在共享网段上侦听采集通信数据、分析可疑现象，因此它对主机资源消耗少。

1.3 基于内核的入侵检测系统

基于内核的入侵检测系统是一种较新的技术，特别是在Linux上。在Linux上目前可用的基于内核的入侵检测系统主要有两种:Open Wall和LIDS。它们采取措施防止缓冲区溢出，增加文件系统的保护，封闭信号，从而使得入侵者破坏系统越来越困难。LIDS同时也采取一些步骤以阻止根用户的一些活动，例如安装一个包嗅探器或菏泽改变防火墙策略。

2 日志分析

2.1 文本方式

在统一安全管理系统中以文本方式采集日志数据主要是指邮件或FTP方式。邮件方式是指在安全设备内设定报警或通知条件，当符合条件的事件发生时，相关情况被一一记录下来，然后在某一时间由安全设备或系统主动地将这些日志信息以邮件形式发给邮件接受者，属于被动采集日志数据方式。其中的日志信息通常是以文本方式传送，传送的信息量相对少且需专业人员才能看懂。而FTP方式必须事先开发特定的采集程序进行日志数据采集，每次连接都是完整下载整个日志文本文件,网络传输数据量可能非常大，属于主动采集日志数据方式。

随着网络高速的发展，网络内部以百兆、千兆甚至万兆互联，即使采取功能强大的计算机来处理日志数据包的采集工作，相对来说以上两种方式速度和效率也是不尽人意。因此，文本方式只能在采集日志数据范围小、速度比较慢的网络中使用，一般在网络安全管理中不被主要采用。

2.2 SNMP Trap方式

建立在简单网络管理协议SNMP上的网络管理，人们通常使用SNMP Trap机制进行日志数据采集。生成Trap消息的事件(如系统重启)由Trap代理内部定义，而不是通用格式定义。由于Trap机制是基于事件驱动的，代理只有在监听到故障时才通知管理系统，非故障信息不会通知给管理系统。对于该方式的日志数据采集只能在SNMP下进行，生成的消息格式单独定义，对于不支持SNMP设备通用性不是很强。

网络设备的部分故障日志信息，如环境、SNMP访问失效等信息由SNMP Trap进行报告，通过对SNMP数据报文中Trap字段值的解释就可以获得一条网络设备的重要信息，由此可见管理进程必须能够全面正确地解释网络上各种设备所发送的Trap数据，这样才能完成对网络设备的信息监控和数据采集。

但是由于网络结构和网络技术的多样性，以及不同厂商管理其网络设备的手段不同，要求网络管理系统不但对公有Trap能够正确解释，更要对不同厂商网络设备的私有部分非常了解，这样才能正确解析不同厂商网络设备所发送的私有Trap，这也需要跟厂商紧密合作，进行联合技术开发，从而保证对私有Trap完整正确的解析和应用。此原因导致该种方式面对不同厂商的产品采集日志数据方式需单独进行编程处理，且要全面解释所有日志信息才能有效地采集到日志数据。由此可见，该采集在日常日志数据采集中通用性不强。

2.3 Syslog方式

已成为工业标准协议的系统日志(Syslog)协议是在加里佛尼亚大学伯克立软件分布研究中心的TCP/IP系统实施中开发的，目前，可用它记录设备的日志。在路由器、交换机、服务器等网络设备中，Syslog记录着系统中的任何事件，管理者可以通过查看系统记录，随时掌握系统状况。它能够接收远程系统的日志记录，在一个日志中按时间顺序处理包含多个系统的记录,并以文件形式存盘。同时不需要连接多个系统，就可以在一个位置查看所有的记录。Syslog使用UDP作为传输协议，通过目的端口514(也可以是其他定义的端口号),将所有安全设备的日志管理配置发送到安装了Syslog软件系统的日志服务器，Syslog日志服务器自动接收日志数据并写到日志文件中。

3 漏洞扫描

3.1 基于主机的安全漏洞扫描器

基于主机安全漏洞扫描器通过查看系统内部的主要配置文件的完整性和正确性以及重要文件和程序的权限 (比如系统内核、文件属性、操作系统的补丁等)，对主机内部安全状态进行分析，查找软件所在主机上的风险漏洞。即采用被动的、非破坏性的方法对系统进行检测。一般主机型扫描器采用Client/Server的系统结构。

3.2 基于网络的安全漏洞扫描器

基于网络的安全漏洞扫描器主要利用一些脚本来模拟对系统的攻击行为，然后对结果进行分析。类似从外部模拟黑客攻击手法，通过端口扫描测试安全漏洞性能。即采用积极的、破坏性的方法来检验系统是否可能被攻击崩溃。典型技术有SATAN,管理器(Manager)IIS等。

3.3 基于目标的安全漏洞扫描器

基于目标的安全漏洞扫描器运行一个封闭的环，不断的处理文件、系统目标、系统目标属性，然后产生检测数，将这些检测数同原来的检测数相比较，一旦发现改变就通知管理员。即是被动的、非破坏行的方法。

3.4 基于应用的安全漏洞扫描器

基于应用的安全漏洞扫描器主要通过检查应用软件的设置，进而发现存在的安全漏洞。即也是采用被动的、非破坏性的方法。随着计算机应用的发展，这种面向应用的安全漏洞扫描器种类将会越来越多。

4 结束语

总之，由于内部威胁危害更大，同时与技术和工具都相对比较成熟的外部攻击比起来，其检测技术还很不成熟。因此，内部威胁检测技术成为网络安全领域的一个研究热点，还需更多的研究者对其展开深入研究。

［1］王自亮，罗守山，杨义先.入侵检测系统的测试与评估[J].中国数据通信，2002，11:14-19.

［2］吴勇军.入侵检测系统研究与实现[D].成都:电子科技大学，2004.

［3］［4］马遥，张国印.基于漏洞扫描的综合扫描系统设计[D].哈尔滨:哈尔滨工程大学，2006.