论文部分内容阅读
摘 要:以往所使用的网络漏洞扫描器,主要基于单机系统,因而其适用于结构相对简单、规模较小的网络环境中。但是,随着国内网络规模的急剧扩大,网络构成逐渐趋于复杂化。现阶段,漏洞检测是维护网络安全极为重要的方式。本文先对分布网络漏洞扫描系统的拓扑与体系结构进行分析,并进一步研究扫描代理的逻辑组成等相关内容。
关键词:分布式;网络漏洞扫描系统;网络安全
中图分类号:TP393.07 文献标识码:A 文章编号:1004-7344(2018)33-0309-02
1 引 言
网络实际应用过程中通常会被细分为几个虚拟子网,进而提高网络的可用性。同时,内部网大多设有虚拟专用网以及防火墙,以求提高网络运行的安全效果。虽然应用这些技术能够显著改善网络的可用性,但在一定程度上增加了网络管理的难度,对于以往所用的扫描器也起到了一定的限制。为了有效提高网络漏洞扫描的精确性与时效性,目前要注重分布网络漏洞扫描技术的应用,进而实现对不同网络接点的安全监控与检测。
2 概 述
2.1 分布网络漏洞扫描系统应用的必要性
计算机系统具体应用过程中存在着诸多的安全问题,这主要归结于系统具有一定的脆弱性。对于安全漏洞而言,它是硬件或者是软件、安全策略等方面出现错误而导致的问题与缺陷。别人可以利用这一缺陷,在系统末授权的前提下进行系统的访问与破坏,进而导致系统的使用受到影响。一般来说,系统一旦存在脆弱性,能够对很大范围的网络造成影响,这种影响不仅体现在路由器、客户以及服务器程序方面,同时也体现在操作系统以及防火墙等方面。可以说任何安全问题出现的原因都是因为安全漏洞所造成,因而要对系统弱点进行事先的检测,争取将损失降到最低。网络漏洞不会自己突然出现,而是要依靠人去发现,这也表明了网络漏洞的检测是一个变化着的、动态的过程。系统的脆弱性会随着系统的增大而更加明显,并且系统越复杂,那么系统就会变得越脆弱。如果发现了系统存在的一个或者是多个漏洞,系统的安全性就会受到严重的威胁。因而,对于分布网络安全漏洞检测技术来说,其主要作用就是进行计算机系统或者是其他网络设备的安全测试。通过测试能够及时寻找到系統存在的安全隐患,及时排除掉黑客可能会利用的系统缺陷。以往所使用的网络扫描器不适用于大型的、复杂的网络环境,并且对于扫描行动也不能进行统一的组织与管理。因而,面对目前逐渐复杂的网络环境,要加强对分布漏洞扫描系统的研究与应用,有效提高网络安全效果。
2.2 网络系统漏洞的形成
总体而言,系统漏洞主要来源于以下三个方面:①程序员有意无意间的疏忽所产生的漏洞。系统研发人员在进行某个功能的研发工作时,往往会设计出相应的后门程序,以求为后续工作提供方便。但是,如果在软件开发流程结束之后不能对这些程序进行及时的删除,一旦被那些别有用心的人知道就会产生较大的漏洞。这些漏洞很难被工作人员发现,并且漏洞的危害性极大,不利于工作人员进行修补。②网络协议自身存在着一定的缺陷,进而造成系统漏洞的形成。对于网络协议而言,它是计算机通信建立的规则与标准,在进行网络设计与开发工作时,主要偏重功能性与开放性,然而对于网络的安全性没有引起足够的重视,进而导致了大量的漏洞被挖掘,造成了网络系统存在着大量的安全隐患。③错误配置问题也可能造成漏洞,这同时也是漏洞最易出现的原因。
3 基于网络的漏洞扫描技术
漏洞扫描系统主要包含两种方式:①基于主机的漏洞扫描;②基于网络的漏洞扫描。对于这两种不同的方式来说,前者应用过程中对于管理员的管理工作极为不利,并且所用设备的价格相对较高。如果扫描的范围较大,那么部署起来较为麻烦。但是,基于网络的漏洞扫描系统能够很好的解决上述问题,该系统不仅成本低,并且维护工作较为便利,现阶段已经成为了一种主流的扫描工具。网络漏洞扫描技术应用环节中需要知道某一漏洞的相关特征,并在此基础上进行目标主机端口等检测。漏洞扫描环节需要经历四个步骤,首先要对目标进行锁定,其次要对目标信息进行探测,随后要进行数据交互以及特征匹配,最后要完成扫描结果的统计与分析。①对于目标锁定环节来说,主要是明确待扫描目标IP,这一环节也是整个扫描工作中最为费时、费力的环节。②对于目标信息探测而言,它是整个扫描工作中最为关键的一步。这一环节中,要对目标主机开放端口、目标地址在线与否以及应用安装等信息进行明确。同时,探测工作中要防止出现无效的操作,进而有效提高扫描工作的效率。此外,对于数据交互以及特征匹配环节来说,它是网络漏洞扫描的重要内容。这一过程中扫描程序需要参考获取到的基本信息,将特制的数据包及时的发送给目标,同时还要和目标主机之间进行一系列的数据交互,最终参考反馈数据以及目标状态,进行漏洞的匹配工作。③要进行扫描结果的统计与分析。这一过程中要提供解决问题的方案,并且要制定针对性的打补丁、防御措施。
4 分布漏洞扫描系统拓扑以及体系结构分析
对于分布式结构来说,其部署过程中需要集中管理中心和扫描引擎进行有效的配合,最终才能得到这一结构。登录集中管理中心以及扫描引擎之后,二者在功能界面的显示方面存在着较大的差异:①集中管理中心不仅可以进行系统的管理,同时可以调度任务以及执行扫描任务。②对于扫描引擎而言,其功能主要是执行扫描任务。一般来说,分布式结构部署有着三种不同的方式:①将集中管理中心全部部署到集中管理中心的下方位置;②将集中管理中心以及扫描引起进行合理组合,并将其部署到集中管理中心的下方;③在集中管理中心下方,全部部署成扫描引擎。分布漏洞扫描系统可以分为六大模块,根据功能的不同包含u-key/用户登录模块以及界面交互模块,同时还包括了智能调度模块以及扫描引擎等模块。①对于插入u-key模块,只有在认证成功之后才能进行系统的登录。②智能调度模块在接收到数据包之后,要利用分布式心跳单元进行信息获取,所获取的信息包含运行状态信息以及心跳信息。通过对心跳信息进行处理,可以实现对数据库的实时更新,同时在界面生成相应的分布式拓扑图。 5 扫描代理的逻辑组成
扫描代理是网络漏洞检测子系统的一个主要组成部分,并且由它来进行具体的扫描任务。扫描代理主要包含两部分:前端、后端。扫描代理前端主要是进行信息之间的传递,并且可以将中心管理子系统传来的信息及时的传送到后端,这一过程中的信息包含了用户扫描请求以及控制信息等。此外,它还可以将扫描结果及时的发给到中心管理子系统。对于扫描代理后端而言,它的主要功能就是进行目标主机信息的收集,并且根据收集来的信息进行漏洞扫描插件的调动,最终完成网络漏洞扫描。之后,还要对并生成扫描报告。该报告中包括了脆弱点以及漏洞危险级别等信息,并且报告还要说明漏洞的修补方案。扫描代理后端的组成部分较为复杂,其中主要有控制管理模块以及信息收集模块,同时后端还应包含分析模块以及报告生成模块、插件库等等。对于控制管理模块来说,它是扫描代理后端的重要核心,该模块的功能体现在接收扫描请求,并且能够对漏洞扫描插件做出及时的调用,最终完成外部扫描以及入侵模拟。其次,信息收集模块主要是进行目标主机信息的收集。需要注意的是,安全漏洞数据在漏洞库内部的存储主要以规格化的方式进行,这样一来就可以为后续的查询、增加以及删除、修改等管理提供便利,并且也便于匹配原则的制定。
6 漏洞库设计以及扫描插件的调用分析
在进行网络漏洞的扫描时,为了有效提高扫描环节的效率与质量,需要将漏洞库中的相关漏洞数据进行分类。此外,还要根据漏洞风险等级的不同,将漏洞分为九个不同的级别。这样一来,管理人员就能对漏洞的危险性进行全面的了解,同时也可以采取针对性措施予以应对。另外,在进行漏洞扫描插件的功能设计工作时,要对其在漏洞库中的分类做出分析,并且漏洞扫描插件的调用需要遵循状态转换推理机制。也就是说,在进行执行程序的选择时,需要对已知事物进行事先分析。具体转换时,要对上一状态的信息做出一定的判断。扫描系统应用时首先要进行的是操作系统识别以及端口扫描,之后在调用相应的插件进行扫描活动。在进行网络攻击的抵御过程中,网络漏洞扫描系统是一道重要的保障,因而要对其应用引起重视。
7 结束语
对于分布漏洞掃描系统来说,它的核心是分布式代理,并且它的构建需要面向异构网络平台。由于受到扫描代理分布性特点的影响,因而该系统能够对复杂的网络环境有良好的适应性,并且可以完成快速、有效的安全测试。此外,对于插件化的扫描系统而言,其能够为功能扩充和扩展提供便利。现阶段,要注重分布网络漏洞扫描系统的应用,不断改善网络安全环境。
参考文献
[1]王志琦.一种分布式漏洞扫描系统的设计[J].信息技术与信息化,2007(6):45~49.
[2]占善华.分布式漏洞扫描模型研究与应用[D].广东:广东工业大学,2013.
[3]张玉清.安全扫描技术[M].北京:清华大学出版社,2004.
收稿日期:2018-10-2
关键词:分布式;网络漏洞扫描系统;网络安全
中图分类号:TP393.07 文献标识码:A 文章编号:1004-7344(2018)33-0309-02
1 引 言
网络实际应用过程中通常会被细分为几个虚拟子网,进而提高网络的可用性。同时,内部网大多设有虚拟专用网以及防火墙,以求提高网络运行的安全效果。虽然应用这些技术能够显著改善网络的可用性,但在一定程度上增加了网络管理的难度,对于以往所用的扫描器也起到了一定的限制。为了有效提高网络漏洞扫描的精确性与时效性,目前要注重分布网络漏洞扫描技术的应用,进而实现对不同网络接点的安全监控与检测。
2 概 述
2.1 分布网络漏洞扫描系统应用的必要性
计算机系统具体应用过程中存在着诸多的安全问题,这主要归结于系统具有一定的脆弱性。对于安全漏洞而言,它是硬件或者是软件、安全策略等方面出现错误而导致的问题与缺陷。别人可以利用这一缺陷,在系统末授权的前提下进行系统的访问与破坏,进而导致系统的使用受到影响。一般来说,系统一旦存在脆弱性,能够对很大范围的网络造成影响,这种影响不仅体现在路由器、客户以及服务器程序方面,同时也体现在操作系统以及防火墙等方面。可以说任何安全问题出现的原因都是因为安全漏洞所造成,因而要对系统弱点进行事先的检测,争取将损失降到最低。网络漏洞不会自己突然出现,而是要依靠人去发现,这也表明了网络漏洞的检测是一个变化着的、动态的过程。系统的脆弱性会随着系统的增大而更加明显,并且系统越复杂,那么系统就会变得越脆弱。如果发现了系统存在的一个或者是多个漏洞,系统的安全性就会受到严重的威胁。因而,对于分布网络安全漏洞检测技术来说,其主要作用就是进行计算机系统或者是其他网络设备的安全测试。通过测试能够及时寻找到系統存在的安全隐患,及时排除掉黑客可能会利用的系统缺陷。以往所使用的网络扫描器不适用于大型的、复杂的网络环境,并且对于扫描行动也不能进行统一的组织与管理。因而,面对目前逐渐复杂的网络环境,要加强对分布漏洞扫描系统的研究与应用,有效提高网络安全效果。
2.2 网络系统漏洞的形成
总体而言,系统漏洞主要来源于以下三个方面:①程序员有意无意间的疏忽所产生的漏洞。系统研发人员在进行某个功能的研发工作时,往往会设计出相应的后门程序,以求为后续工作提供方便。但是,如果在软件开发流程结束之后不能对这些程序进行及时的删除,一旦被那些别有用心的人知道就会产生较大的漏洞。这些漏洞很难被工作人员发现,并且漏洞的危害性极大,不利于工作人员进行修补。②网络协议自身存在着一定的缺陷,进而造成系统漏洞的形成。对于网络协议而言,它是计算机通信建立的规则与标准,在进行网络设计与开发工作时,主要偏重功能性与开放性,然而对于网络的安全性没有引起足够的重视,进而导致了大量的漏洞被挖掘,造成了网络系统存在着大量的安全隐患。③错误配置问题也可能造成漏洞,这同时也是漏洞最易出现的原因。
3 基于网络的漏洞扫描技术
漏洞扫描系统主要包含两种方式:①基于主机的漏洞扫描;②基于网络的漏洞扫描。对于这两种不同的方式来说,前者应用过程中对于管理员的管理工作极为不利,并且所用设备的价格相对较高。如果扫描的范围较大,那么部署起来较为麻烦。但是,基于网络的漏洞扫描系统能够很好的解决上述问题,该系统不仅成本低,并且维护工作较为便利,现阶段已经成为了一种主流的扫描工具。网络漏洞扫描技术应用环节中需要知道某一漏洞的相关特征,并在此基础上进行目标主机端口等检测。漏洞扫描环节需要经历四个步骤,首先要对目标进行锁定,其次要对目标信息进行探测,随后要进行数据交互以及特征匹配,最后要完成扫描结果的统计与分析。①对于目标锁定环节来说,主要是明确待扫描目标IP,这一环节也是整个扫描工作中最为费时、费力的环节。②对于目标信息探测而言,它是整个扫描工作中最为关键的一步。这一环节中,要对目标主机开放端口、目标地址在线与否以及应用安装等信息进行明确。同时,探测工作中要防止出现无效的操作,进而有效提高扫描工作的效率。此外,对于数据交互以及特征匹配环节来说,它是网络漏洞扫描的重要内容。这一过程中扫描程序需要参考获取到的基本信息,将特制的数据包及时的发送给目标,同时还要和目标主机之间进行一系列的数据交互,最终参考反馈数据以及目标状态,进行漏洞的匹配工作。③要进行扫描结果的统计与分析。这一过程中要提供解决问题的方案,并且要制定针对性的打补丁、防御措施。
4 分布漏洞扫描系统拓扑以及体系结构分析
对于分布式结构来说,其部署过程中需要集中管理中心和扫描引擎进行有效的配合,最终才能得到这一结构。登录集中管理中心以及扫描引擎之后,二者在功能界面的显示方面存在着较大的差异:①集中管理中心不仅可以进行系统的管理,同时可以调度任务以及执行扫描任务。②对于扫描引擎而言,其功能主要是执行扫描任务。一般来说,分布式结构部署有着三种不同的方式:①将集中管理中心全部部署到集中管理中心的下方位置;②将集中管理中心以及扫描引起进行合理组合,并将其部署到集中管理中心的下方;③在集中管理中心下方,全部部署成扫描引擎。分布漏洞扫描系统可以分为六大模块,根据功能的不同包含u-key/用户登录模块以及界面交互模块,同时还包括了智能调度模块以及扫描引擎等模块。①对于插入u-key模块,只有在认证成功之后才能进行系统的登录。②智能调度模块在接收到数据包之后,要利用分布式心跳单元进行信息获取,所获取的信息包含运行状态信息以及心跳信息。通过对心跳信息进行处理,可以实现对数据库的实时更新,同时在界面生成相应的分布式拓扑图。 5 扫描代理的逻辑组成
扫描代理是网络漏洞检测子系统的一个主要组成部分,并且由它来进行具体的扫描任务。扫描代理主要包含两部分:前端、后端。扫描代理前端主要是进行信息之间的传递,并且可以将中心管理子系统传来的信息及时的传送到后端,这一过程中的信息包含了用户扫描请求以及控制信息等。此外,它还可以将扫描结果及时的发给到中心管理子系统。对于扫描代理后端而言,它的主要功能就是进行目标主机信息的收集,并且根据收集来的信息进行漏洞扫描插件的调动,最终完成网络漏洞扫描。之后,还要对并生成扫描报告。该报告中包括了脆弱点以及漏洞危险级别等信息,并且报告还要说明漏洞的修补方案。扫描代理后端的组成部分较为复杂,其中主要有控制管理模块以及信息收集模块,同时后端还应包含分析模块以及报告生成模块、插件库等等。对于控制管理模块来说,它是扫描代理后端的重要核心,该模块的功能体现在接收扫描请求,并且能够对漏洞扫描插件做出及时的调用,最终完成外部扫描以及入侵模拟。其次,信息收集模块主要是进行目标主机信息的收集。需要注意的是,安全漏洞数据在漏洞库内部的存储主要以规格化的方式进行,这样一来就可以为后续的查询、增加以及删除、修改等管理提供便利,并且也便于匹配原则的制定。
6 漏洞库设计以及扫描插件的调用分析
在进行网络漏洞的扫描时,为了有效提高扫描环节的效率与质量,需要将漏洞库中的相关漏洞数据进行分类。此外,还要根据漏洞风险等级的不同,将漏洞分为九个不同的级别。这样一来,管理人员就能对漏洞的危险性进行全面的了解,同时也可以采取针对性措施予以应对。另外,在进行漏洞扫描插件的功能设计工作时,要对其在漏洞库中的分类做出分析,并且漏洞扫描插件的调用需要遵循状态转换推理机制。也就是说,在进行执行程序的选择时,需要对已知事物进行事先分析。具体转换时,要对上一状态的信息做出一定的判断。扫描系统应用时首先要进行的是操作系统识别以及端口扫描,之后在调用相应的插件进行扫描活动。在进行网络攻击的抵御过程中,网络漏洞扫描系统是一道重要的保障,因而要对其应用引起重视。
7 结束语
对于分布漏洞掃描系统来说,它的核心是分布式代理,并且它的构建需要面向异构网络平台。由于受到扫描代理分布性特点的影响,因而该系统能够对复杂的网络环境有良好的适应性,并且可以完成快速、有效的安全测试。此外,对于插件化的扫描系统而言,其能够为功能扩充和扩展提供便利。现阶段,要注重分布网络漏洞扫描系统的应用,不断改善网络安全环境。
参考文献
[1]王志琦.一种分布式漏洞扫描系统的设计[J].信息技术与信息化,2007(6):45~49.
[2]占善华.分布式漏洞扫描模型研究与应用[D].广东:广东工业大学,2013.
[3]张玉清.安全扫描技术[M].北京:清华大学出版社,2004.
收稿日期:2018-10-2