2003中国计算机大会(CNCC’2003)漏洞检测与主动防御系统模型的研究与实现★郎良,张玉清.钱秀槟,冯登冒中国科学院研究生院国家计算机网络入侵防范中心.北京市玉泉路19号甲,100039
摘要:漏洞检测与主动防御系统是一套集成大量黑客攻击工具,主动对网络系统安全性能进行检查测试。提高网络系统防御能力的系统。本论文在分析传统安全产品缺陷的基础上.提出并实现了漏洞检测与主动防御系统模型.结合新型安全防范平台介绍了它的功能和结构,说明了模型各组成部分的设计和实现方法.分析了模型的改进方向.最后强调了这一模型的优点和先进性。关健词:网络安全;蒲洞检测:主动防御;网络攻击
ResearchandImplementationofaVulnerability
DetectionandInitiativeRecoverySystem
Model
LangLiang,Z&angYuqing,QJanXiubin,FengDengguoNationalComputerNetwotkInn'usionPi-oteetionCenter,GraduateSchoolofChineseAcademyofSciences.19A
YuQuanRd,Beij;-g,100039
Abstract:VulnetabilityDetectionandlnRiauveRecoveryAttackSystemisasystem,whichintegratesla弹numbersofhacktoolkitsavailableandinitiativelydetectsnetworksystem
tOimprovetherecoveryofit.mpaperbasesOilthefault
analysesoftTaditionalsecuritytoolkits,presents
and
implementsmodelofVulnerabflityDetectionandInitmfiveReco、一crySystem,gives
mu-oductionofitsfunctionand
constructionunderthenewtypeplatformfor∞curitylmalyzes
methodstOdesignandexecuteseachpartofthemodelandtO
improveItindetails.andfinallyputsemphasisthemerits
andadvmatagesofhe
model.
Keywords:aelworksecttri可:”uherabflii'ydelection;imUativerecovery.tlelworkarrack
1.引言存lmemel设计之初就缺乏对其安全机制的总体构想.作为通信基础的TCP/IP协议是一个建立在r,r信环境F的网络巨连模型.安全设计欠缺.存佯着先天4i足。同时,制造商推出的各类网络产品^:设计和实现L或多或少都存在漏渊.这些漏洞也舟接导致攻击。为,段时消除系统隐患,避免网络系统遭到侵害,网络安全产品应运而生。然而,即使是其中佼佼者的安全扫描器与入侵检测系统(IDS)也不是万能的,它们普遍存在以下问题:1)漏报和误报问题:安全扫描器一般是利用TCMP和UDP协议,向远程端口和服务发送一些特殊的数据报。将目标返回的应答与自带的漏洞响应库进行匹配,满足匹配条件则视为漏洞…,由此可见,它并不是直接攻击网络漏洞的程序,仅仅能帮助我们发现目标机可能存在的某些隐患口J;IDS主要是对网段内部和进出网段的数据包进行过滤分析,当网络通信流量较大时.检测的实时性和有效性就大打折扣”J,所以出现漏报和误报也并不奇怪:2)更新问题:无论是安全扫描器还是IDS,它们进行检测都依赖于特征的匹配,但是现在几乎所有的安全扫描器和IDS都缺乏有效的特征知识库快速更新策略:3)安全扫描器扫描到的一些隐患在真实黑客攻击中很难利用,没有实际意义:4)IDS自身存在安全缺陷,黑客伪造大量并无实际危害的数据包.可以导致IDS频繁报警甚至瘫痪,以便掩盖真正的攻击。针对这些问题需要一套新的思想和模型,既可以较好地弥补传统网络安全产品的缺陷,准确地确定系统漏洞.又提供~个合理的组织架构,支持方便快速的更新。Jhsu.Disk、SimpleNomad、Irib曾提出调用集成的黑客软件对目标发动攻击的设想”1.虽然提出这一设想的本意是为了提高黑客攻击的效率,但是只要构建套合理的框架,就完全可以变害为利,使之成为种有效的漏洞检测手段。从早期仅供查询和下载的攻dTj.具库15.6,71到现在的集成攻击.已经有了相、5夫的进步,但因为集成风格迥异的攻击工具本身比较刚雄.所以现有系统集成f?具数目有限、结构枉:散.执行自动化程度低、手动设置过多。使用敬粜小理想。任汲取前人T作纤骑教训的基础上.根据我们中科院知识刨新项}j私{{℃束.靠科技计划J顼目研发
4、t讨j国家高技术矸冗艟展订划(863计划I(瀑题编号:2002.~A142Ijl)、中国丰4学院{l:U.创新i弹山向性项目(项目编%·K(Kx2·106)和北京市科技计划项目(J啊i{壤号:H020120090530)硗助。
324塑塑丝型兰圭型堕塑墨竺苎型塑塑塞主壅翌—一中得到的实际成果,本文提出了“主动防御”的设计思想,并给出了漏洞检测与主动防御系统的模型,作为对传统网络安全产品的扩展,可以全面提升防范平台的性能。第2节提出了系统模型的功能定位和总体结构;第3节给出了模型各部分的具体实现;第4节介绍了模型的改进方向;最后予以总结。
2.漏洞检测与主动防御系统模型概述“主动防御”思想分为两个层次:第一层次是指在攻击事件发生前,为了提高网络系统的防御性能,利用大量实际的黑客攻击软件,以自主攻击的方法,对网络系统安全漏洞进行的检测,比较准确地确定系统的漏洞,实现对漏洞的修补和相关配置,从而提高系统的防御能力:第二层次是指在黑客攻击进行中,以牙还牙地对攻击源实施报复,使其丧失继续攻击的能力,从而确保我方系统的正常工作。基于这一思想,我们提出了漏洞检测与主动防御系统的基本模型。2.1在新型安全防范平台中的动能设计图1所示的新型安全防范平台添加了漏洞检测与主动防御系统,这样这一平台在拥有原有功能的基础上,又增添了四种新的工作方式,从而提高了系统漏洞的检测效果,极大地提升整套安全防范平台的性能。风险;2)与安全扫描器配合使用,这时系统的主要任务是对于安全扫描器探得的隐患扫描结果进行检测,确认隐患是否是真正具有威胁性的系统漏洞,同时检测是否有漏报的系统漏洞,最后通过检索漏洞与补丁数据库进行修补;3)系统也可以单独使用,以实际的黑客入侵手段对网络系统的抗攻击性能进行测试,作为网络系统安全评估的重要依据;4)系统甚至可以在必要时作为反击的工具,对黑客实施反治。由图l我们可以看到,漏洞检测与主动防御系统担负着承上启下作用,因此它与其他系统之间的联动问题就成了新型安全防范平台研究与实施中的重点。最有效的方法是将它的攻击工具库与IDS入侵特征库、安全扫描器的插件库以及漏洞补丁库进行整合,形成一个统一紧凑的知识库。攻击工具库中会给出攻击工具所针对的系统漏洞,这样就可以与安全扫描插件库、漏洞补丁库关联起来。IntemetTask
Force的Intrusion
WorkingGroup已经
提出了入侵检测交换消息格式数据模型(IDMEF)p】.根据交换消息对入侵事件给出的描述,可以在攻击工具库中查找类似的攻击手法用于针对网络系统进行模拟攻击。为了更好的实现多个数据库的
圈I新掣安全阱藕乎台的【。作流程圈圈中显示J’漏洞检测与主动防御系镜】作的』L种疗式:1)与IDs配合使用.通过模拟攻。h的方法来
确认导致入侵的系统漏洞是卉真的存仃=.这样就u,以避免因IDS误报。7t发的茫渭r件.也·,J以降低10S自身奠伞缺l:}j导致的
天联和整合,在借鉴国内外现有研究成果的基础1..我们将会提出套完整的网络攻击与系统漏洞分类描述体系.其中网络攻击与入侵事件的描述基奉符合IDMEF的要求.漏洞组织上与CVE相兼容.通过形成确切…致的描述.来驱动整个知泌库.蛮现高效的协调互动.!竺!!里盐兰垫盔童!型曼兰:新型安全防范平台容纳了当今常见的网络安全产品,合理地整合了各种安全资源,极大的减少了人工操作.从而提高了工作效率.特别是对突发事件的反应速度将得到显著提高。这都是传统平台无法比拟的。2.2系统模基的总体结构基本功能确定了以后,关键闯题就在于确定系统模型的总体结构。首先涉及到的就是运行模式和实际的攻击.并将检测结果和进程信息传回客户端;客户端即控制平台,用户通过分析检测目标和检索攻击工具性能信息来确定针对待测系统所采用的检测策略,以及攻击结束后检测结果的汇总和保存:攻击工具库是一个分布式数据库.划分为客户端数据库和服务器端数据库两部分,分别存储攻击工具的说明信息和参数信息。
系统平台的选择。Wmdows操作系统直观易用且使3.用广泛,而以Linux为代表的Unix系统具有开放源模型各组成部分的设计与实现系统功能定位和总体结构已经明确,下面就针
通信J控制l攻击少交互界面线鬣《釜镧
攻击检测/1向导结果\广
之乡、网通信网
络℃协议》络
I攻击参数f:>通通
<>信信
接接L]一口口§多
7
客户端匿酬驾
攻击工具库(攻击工具的性能描述),1检测结果<>
图2漏洞检测与主动防御系统模型的总体结构图代码的优点,并且大量作为网络操作系统使用。考虑到这些,我们决定取二者之所长,采用Client/Server模式,作为控制平台的客户端基于Windows操作系统,这样操作人员的工作就更直观更轻松:作为攻击平台的服务器端是基于Linux操作系统的,这样不但可以更好地利用开放源码的攻击软件.而且也为将来服务器端功能的进…步扩充留有余地。图2给出了漏洞检测与主动防御系统模型的总体结构图。从图中我们可以看出.系统模型{要分成四大部分,即通信协议、服务器端、客户端以及分布式攻击工具数据库.通信协议沟通客}’端与服务器端.发送各类消息.完成用户对整个攻击检测过程的控制:服务器端即攻击平台,接收客户端的指令并调用集成的夫量黑客软件.对测试系统进打对每个部分来研究如何实现既定的功能。3.1通信协议选定了Client/Server模式.那么用户端就要将操作人员的各类操作消息发给服务器端,相应的服务器端需要将攻击结果传给用户端.那么两端之间的通信就必须要有一套可靠机制来保证。我们借鉴nessus的通信协议”J.设计7ATP协议(AttackerTrmAsferIh-otoco|)用于攻击平台(服务器端)与挖制平台(客户端)之间通信。这个通信协议基rTCP