在線探測技術(shù)與應(yīng)用的論文

　　摘 要 網(wǎng)絡(luò)設(shè)備的在線狀態(tài)及其工作、運行信息的收集是網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全狀況分析的基礎(chǔ)，本文介紹了幾種探測技術(shù)和探測工具的使用，并介紹了計算機探測技術(shù)的應(yīng)用。

　　關(guān)鍵詞 掃描；探測；代理；拓撲圖；自動化管理

　　1 引言

　　隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)的安全風險系數(shù)不斷提高，需要在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)聽和探測，從計算機網(wǎng)絡(luò)系統(tǒng)的各個終端主機、應(yīng)用系統(tǒng)以及若干關(guān)鍵點收集信息，并分析這些信息，發(fā)現(xiàn)漏洞、缺陷以及潛在的威脅，從而提供對網(wǎng)絡(luò)的實時保護，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

　　2 探測技術(shù)介紹

　　2.1 常用簡單的掃描技術(shù)

　　掃描是一種基于Internet的遠程檢測網(wǎng)絡(luò)或主機的技術(shù)，通過掃描發(fā)現(xiàn)檢測主機TCP/IP端口的分配情況、開放的服務(wù)已經(jīng)存在的安全漏洞等信息。主要使用的技術(shù)有Ping掃描、端口掃描以及漏洞掃描等。

　　Ping掃描是通過發(fā)送ICMP包到目標主機，檢測是否有返回應(yīng)答來判斷主機是否處于活動狀態(tài)。這種方法具有使用簡單、方便的優(yōu)點，但是由于ICMP包是不可靠的、非面向連接的協(xié)議，所以這種掃描方法也容易出錯，也可能被邊界路由器或防火墻阻塞。

　　端口掃描技術(shù)就是通過向目標主機的TCP/IP服務(wù)端口發(fā)送探測數(shù)據(jù)包，并記錄目標主機的響應(yīng)。通過分析響應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提供的服務(wù)或信息。端口掃描也可以通過捕獲本地主機或服務(wù)器的流入流出IP數(shù)據(jù)包來監(jiān)視本地主機的運行情況，它僅能對接收到的數(shù)據(jù)進行分析，幫助我們發(fā)現(xiàn)目標主機的某些內(nèi)在的弱點，發(fā)現(xiàn)系統(tǒng)的安全漏洞，了解系統(tǒng)目前向外界提供了哪些服務(wù)，從而為系統(tǒng)管理網(wǎng)絡(luò)提供了一種手段。端口掃描主要有TCP全連接、SYN（半連接）掃描等方式。

　　圖1 Sniffer探測信息矩陣圖示

　　漏洞掃描技術(shù)主要通過以下兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。

　　2.2 利用探測工具

　　網(wǎng)絡(luò)探測工具非常多，種類非常繁雜，功能也不盡相同，這里只以網(wǎng)絡(luò)偵聽工具Sniffer和X-scan掃描器為例進行闡述。

　　Sniffer是一種通過網(wǎng)絡(luò)偵聽獲取所有的網(wǎng)絡(luò)信息（包括數(shù)據(jù)包信息，網(wǎng)絡(luò)流量信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)管理信息等），具有實時檢測網(wǎng)絡(luò)活動、產(chǎn)生可視化的即時報警和通報信息、基于網(wǎng)絡(luò)特定終端，會話或任何網(wǎng)絡(luò)部分的詳細利用情況收集和錯誤統(tǒng)計、保存基線分析的歷史數(shù)據(jù)和錯誤信息等功能。Sniffer還可以根據(jù)抓獲的'數(shù)據(jù)包信息動態(tài)繪制各主機直接的通信關(guān)系圖示。

　　X-scan采用多線程方式對指定IP地址段(或單機)進行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式，掃描內(nèi)容包括：遠程服務(wù)類型、操作系統(tǒng)類型及版本，各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、拒絕服務(wù)漏洞等二十幾個大類。對于多數(shù)已知漏洞都給出了相應(yīng)的漏洞描述、解決方案及詳細描述鏈接。掃描結(jié)束后生成檢測報告。

　　圖2 X-scan檢測報告圖示

　　現(xiàn)在網(wǎng)上還有其他各類有特色的掃描器，種類繁多，如nMAP、SATAN、iris等，在此不一一介紹。

　　2.3 路由交換設(shè)備的探測與管理

　　通過SNMP協(xié)議MIB庫，可以獲取網(wǎng)絡(luò)中的交換機的交換表和路由器的路由表，實現(xiàn)流量統(tǒng)計，速率統(tǒng)計等功能，繪制出網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。通過MIB庫定義的接口，還可以遠程控制和修改路由器、交換機的配置信息。

　　2.4 獲取應(yīng)用系統(tǒng)的運行信息

　　通過收集網(wǎng)絡(luò)中的防火墻、防病毒軟件以及其他應(yīng)用系統(tǒng)的運行日志，發(fā)現(xiàn)非法入侵或越權(quán)訪問信息，程序運行報警信息等，及時掌握網(wǎng)絡(luò)和系統(tǒng)的安全特性，在遇到攻擊或威脅時可以進一步采取措施，避免造成損失，并有效防止損失的擴大化。

　　2.5 部署代理的探測技術(shù)

　　在網(wǎng)絡(luò)中設(shè)立一臺服務(wù)器，安裝服務(wù)程序，在網(wǎng)絡(luò)中需要探測的計算機上安裝客戶端代理程序，并制定一些特定的協(xié)議，服務(wù)器端定期查詢客戶端的狀態(tài)和日志信息，或者按照服務(wù)器端制定的策略，客戶端定期將自己的狀態(tài)、日志、或應(yīng)用程序運行信息發(fā)送給服務(wù)器，服務(wù)器端對這些信息進行過濾、分析、整理和審計，以獲取反映客戶端微機的運行狀態(tài)。如果服務(wù)器端在制定的策略時間范圍內(nèi)沒有接收到該客戶端的信息，則可以判斷該客戶端處于離線狀態(tài)，或者網(wǎng)絡(luò)線路出現(xiàn)故障。

　　3 探測技術(shù)的應(yīng)用

　　應(yīng)用一：掌握和了解系統(tǒng)運行情況

　　通過探測技術(shù)，獲取計算機的在線狀態(tài)，可以及時發(fā)現(xiàn)網(wǎng)絡(luò)中離線或出現(xiàn)故障的計算機，或者發(fā)現(xiàn)哪些計算機沒有運行本該運行的程序和應(yīng)用，還可以通過這些探測信息及時發(fā)現(xiàn)計算機系統(tǒng)存在的漏洞以及計算機系統(tǒng)運行存在的風險，如：入侵檢測系統(tǒng)。

　　圖3 Cisco交換機的流量和數(shù)量統(tǒng)計圖示

　　應(yīng)用二：實時反映網(wǎng)絡(luò)拓撲結(jié)構(gòu)

　　探測的結(jié)果還可以用來實時反映網(wǎng)絡(luò)的連接結(jié)構(gòu)，為實時繪制網(wǎng)絡(luò)的拓撲結(jié)構(gòu)圖，實時反映網(wǎng)絡(luò)的運行狀態(tài)等提供了依據(jù)。如：HP OpenView網(wǎng)絡(luò)節(jié)點管理器，鼠標放在某個節(jié)點上將顯示該節(jié)點的詳細信息，示例圖示如下：

　　圖4 HP OpenView繪制網(wǎng)絡(luò)拓撲圖示

　　應(yīng)用三：實現(xiàn)網(wǎng)絡(luò)的自動化管理

　　通過探測收集到網(wǎng)絡(luò)的運行信息，為網(wǎng)絡(luò)的安全管理依據(jù)和手段，這樣就可以在制定相應(yīng)的策略指導(dǎo)下實現(xiàn)個應(yīng)用系統(tǒng)之間的聯(lián)動，如給防火墻設(shè)置新的安全規(guī)格，發(fā)現(xiàn)病毒后對殺毒軟件的病毒庫進行及時更新等，建立起一套統(tǒng)一、安全、高效的安全檢測、監(jiān)控、管理體系，實現(xiàn)網(wǎng)絡(luò)的互連、互控、互動和集中統(tǒng)一防御，從而達到了自動化管理的目標。

　　為了提供自動化管理效率和準確性，可以在管理員的干預(yù)下建立一個專家數(shù)據(jù)庫，對系統(tǒng)的聯(lián)動提供指導(dǎo)和依據(jù)。

　　4 結(jié)束語

　　一般來說，在線探測技術(shù)是網(wǎng)絡(luò)管理的基礎(chǔ)，探測結(jié)果是實施下一步安全管理、系統(tǒng)聯(lián)動等管理手段的依據(jù)，所以保證檢測結(jié)果的正確性非常必要，因此需要對探測收集到的信息需要進行驗證，以達到去偽存真的目標，提高管理的準確性和效率。

　　參考資料

　　[1] 王曦 楊健 編著.《網(wǎng)絡(luò)安全技術(shù)與實務(wù)》，電子工業(yè)出版社，2006

　　[2] 余承行 主編, 劉親華等副主編.《信息安全技術(shù)》 科學(xué)出版社，2005

　　[3] 李石磊.網(wǎng)絡(luò)安全掃描技術(shù)原理及建議，東軟教育在線網(wǎng)站

　　[4] HP OpenView聯(lián)機文檔

　　[5] RFC2011：SNMPv2 Management Information Base for the Internet Protocol using SMIv2

【在線探測技術(shù)與應(yīng)用的論文】相關(guān)文章：

物探測量的新技術(shù)應(yīng)用論文06-12

變壓器在線監(jiān)測技術(shù)的論文08-03

論文：微灌技術(shù)的應(yīng)用06-11

關(guān)于變壓器在線監(jiān)測技術(shù)的論文06-12

最短路徑算法在線路搶修中的應(yīng)用論文02-20

平面攝影技術(shù)的改善與應(yīng)用論文06-24

控壓鉆井技術(shù)應(yīng)用論文06-12

機電技術(shù)應(yīng)用教學(xué)之我見論文06-19

自動化技術(shù)及應(yīng)用論文03-29