ch7 网络安全检测与评估技术

1、第7章 网络安全检测与评估技术 内容提要：网络安全漏洞 网络安全漏洞检测技术网络安全评估标准网络安全评估方法网络安全检测评估系统简介小结7.1 网络安全漏洞 1. 网络安全漏洞威胁（1）安全漏洞的定义 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可以使攻击者在未授权的情况下访问或破坏系统。 漏洞的产生有其必然性，这是因为软件的正确性通常是通过检测来保障的。而“检测只能发现错误，证明错误的存在，不能证明错误的不存在”。返回本章首页（2）安全威胁的定义 安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。安全威胁可以

2、分为人为安全威胁和非人为安全威胁两大类。安全威胁与安全漏洞密切相关，安全漏洞的可度量性使得人们对系统安全的潜在影响有了更加直观的认识。 返回本章首页 可以按照风险等级对安全漏洞进行归类，表7-1，7-2，7-3对漏洞分类方法进行了描述 。 返回本章首页表7-1 漏洞威胁等级分类严 重 度等级影响度低严重度: 漏洞难以利用，并且潜在的损失较少。1低影响度: 漏洞的影响较低，不会产生连带的其他安全漏洞。中等严重度: 漏洞难以利用，但是潜在的损失较大，或者漏洞易于利用，但是潜在的损失较少。2中等影响度: 漏洞可能影响系统的一个或多个模块，该漏洞的利用可能会导致其他漏洞可利用。高严重度: 漏洞易于利用

3、，并且潜在的损失较大。3高影响度: 漏洞影响系统的大部分模块，并且该漏洞的利用显著增加其他漏洞的可利用性。 返回本章首页表7-2 漏洞威胁综合等级分类严重等级影响等级123112322343345表7-3 漏洞威胁等级分类描述等级描 述1低影响度，低严重度2低影响度，中等严重度；中等影响度，低严重度3低影响度，高严重度；高影响度，低严重度；中等影响度，中等严重度4中等影响度，高严重度；高影响度，中等严重度5高影响度，高严重度2. 网络安全漏洞的分类方法按漏洞可能对系统造成的直接威胁分类按漏洞的成因分类返回本章首页（1）按漏洞可能对系统造成的直接威胁分类 可以将漏洞分为： 远程管理员权限；本地管

4、理员权限；普通用户访问权限；权限提升；读取受限文件；远程拒绝服务；本地拒绝服务；远程非授权文件存取；口令恢复；欺骗；服务器信息泄露；其它漏洞。返回本章首页（2）按漏洞的成因分类 可以分为： 输入验证错误类；访问验证错误类；竞争条件类；意外情况处置错误类；设计错误类；配置错误类；环境错误类。返回本章首页7.2 网络安全漏洞检测技术 网络安全漏洞检测主要包括端口扫描、操作系统探测和安全漏洞探测。 通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些网络服务； 通过操作系统探测可以掌握操作系统的类型信息； 通过安全漏洞探测可以发现系统中可能存在的安全漏洞。返回本章首页1. 端口扫描技术 端口扫描的原

5、理是向目标主机的TCP/IP端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。端口扫描技术分为：TCP端口扫描技术UDP端口扫描技术返回本章首页（1）TCP端口扫描技术 TCP端口扫描技术主要有全连接扫描技术、半连接（SYN）扫描技术、间接扫描技术和秘密扫描技术等。全连接扫描技术全连接扫描的工作方式是：对目标主机上感兴趣的端口进行connect()连接试探，如果该端口被监听，则连接成功，否则表示该端口未开放或无法到达。返回本章首页全连接扫描的最大优点是用户无须特殊权限，且探测结果最为准确。缺点是很容易被目标主机察觉并记录下来。半连接（SYN）端口扫描技术

6、半连接端口扫描不建立完整的TCP连接，而是只发送一个SYN信息包，就如同正在打开一个真正的TCP连接，并等待对方的回应一样。返回本章首页半连接扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全连接扫描要少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。返回本章首页（2）UDP端口扫描技术 UDP端口扫描主要用来确定在目标主机上有哪些UDP端口是开放的。其实现思想是发送零字节的UDP信息包到目标机器的各个端口，若收到一个ICMP端口不可达的回应，则表示该UDP端口是关闭的，否则该端

7、口就是开放的。返回本章首页2. 操作系统探测技术由于操作系统的漏洞信息总是与操作系统的类型和版本相联系的，因此操作系统的类型信息是网络安全检测的一个重要内容。操作系统探测技术主要包括：获取标识信息探测技术基于TCP/IP协议栈的指纹探测技术基于ICMP响应分析探测技术返回本章首页（1）获取标识信息探测技术 获取标识信息探测技术主要是指借助操作系统本身提供的命令和程序进行操作系统类型探测的技术。 通常，可以利用telnet这个简单命令得到主机操作系统的类型。返回本章首页（2）基于TCP/IP协议栈的指纹探测技术 指纹探测实现依据是不同类型、不同版本的操作系统在协议栈实现上存在细微差别。操作系统指

8、纹探测步骤为：形成一个全面的操作系统指纹特征库；向目标发送多种特意构造的信息包，检测其是否响应这些信息包以及其响应方式；把从目标返回的特征信息与指纹特征库进行匹配，判断目标机器的操作系统类型等信息。返回本章首页（3）基于ICMP响应分析探测技术 ICMP响应分析探测技术是一种较新的操作系统探测技术。该技术通过发送UDP或ICMP的请求报文，然后分析各种ICMP应答信息来判断操作系统的类型及其版本信息。 本质也是一种基于TCP/IP协议栈的操作系统指纹探测技术。返回本章首页3. 安全漏洞探测技术 安全漏洞探测是采用各种方法对目标可能存在的已知安全漏洞进行逐项检查。 按照网络安全漏洞的可利用方式来

9、划分，漏洞探测技术可以分为：信息型漏洞探测和攻击型漏洞探测两种。 按照漏洞探测的技术特征，可以划分为：基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。返回本章首页（1）信息型漏洞探测技术 信息型漏洞探测技术就是通过探测目标的型号、运行的操作系统版本及补丁安装情况、配置情况、运行服务及其服务程序版本等信息确定目标存在的安全漏洞的探测技术。 该技术具有实现方便、对目标不产生破坏性影响的特点。其不足之处是对于具体某个漏洞存在与否，难以做出确定性的结论。 返回本章首页 为提高信息型漏洞探测技术的准确率和效率，许多改进措施也不断地被引入:顺序扫描技术多重服务检测技术返回

10、本章首页（2）攻击型漏洞探测技术 模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。 该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。 返回本章首页（3）漏洞探测技术按其技术特征可分为：基于应用的检测技术 基于主机的检测技术基于目标的漏洞检测技术基于网络的检测技术返回本章首页网络扫描 黑客攻击最重要环节：扫描，一般分成两种策略:一种是主动式策略另一种是被动式策略。扫描方式主动式扫描一般可以分成：1、活动主机探测；2、ICMP查询；3、网络PING扫描；4、端口扫描；5、标识UDP和TCP服务；6、指定漏洞扫描；7、综

11、合扫描。扫描方式可以分成两大类：慢速扫描和乱序扫描。1、慢速扫描：对非连续端口进行扫描，并且源地址不一致、时间间隔长没有规律的扫描。2、乱序扫描：对连续的端口进行扫描，源地址一致，时间间隔短的扫描。案例4-1 系统用户扫描可以使用工具软件：GetNTUser，该工具可以在Winnt4以及Win2000操作系统上使用，主要功能包括：（1）扫描出NT主机上存在的用户名。（2）自动猜测空密码和与用户名相同的密码。（3）可以使用指定密码字典猜测密码。（4）可以使用指定字符来穷举猜测密码。扫描对IP为09的计算机进行扫描，首先将该计算机添加到扫描列表中，选择菜单File下的菜单项“添加主机”，输入目标计

12、算机的IP地址，如图4-3所示。可以得到对方的用户列表了。点击工具栏上的图标，得到的用户列表如图4-4所示。密码破解利用该工具可以对计算机上用户进行密码破解，首先设置密码字典，设置完密码字典以后，将会用密码字典里的每一个密码对目标用户进行测试，如果用户的密码在密码字典中就可以得到该密码。一个典型的密码字典如图4-5所示。设置密码字典选择菜单栏工具下的菜单项“设置”，设置密码字典为一个文本文件，如图4-6所示。进行系统破解利用密码字典中的密码进行系统破解，选择菜单栏工具下的菜单项“字典测试”，程序将按照字典的设置进行逐一的匹配，如图4-7所示。案例4-2 开放端口扫描 得到对方开放了哪些端口也是

13、扫描的重要一步。使用工具软件PortScan可以到得到对方计算机都开放了哪些端口，主界面如图4-8所示。 端口扫描对09的计算机进行端口扫描，在Scan文本框中输入IP地址，点击按钮“START”，开始扫描如图4-9所示。案例4-3 共享目录扫描通过工具软件Shed来扫描对方主机，得到对方计算机提供了哪些目录共享。工具软件的主界面如图4-10所示。扫描一个IP地址段该软件可以扫描一个IP地址段的共享信息，这里只扫描IP为09的目录共享情况。在起始IP框和终止IP框中都输入09，点击按钮“开始”就可以得到对方的共享目录了，如图4-11所示。案例4-4 利用TCP协议实现端口扫描 实现端口扫描的程

14、序可以使用TCP协议和UDP协议，原理是利用Socket连接对方的计算机的某端口，试图和该端口建立连接如果建立成功，就说明对方开放了该端口，如果失败了，就说明对方没有开放该端口主动式策略扫描 主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。案例4-5 漏洞扫描 使用工具软件X-Scan-v2.3该软件的系统要求为：Windows 9x/NT4/2000。该软件采用多线程方式对指定IP地址段(（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式扫描内容包括：远程操作系统类型及版本标准端口状态及端口Banner信息

15、SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用户，NT服务器NETBIOS信息注册表信息等。主界面扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。主界面如图4-14所示。扫描参数可以利用该软件对系统存在的一些漏洞进行扫描，选择菜单栏设置下的菜单项“扫描参数”，扫描参数的设置如图4-15所示。扫描参数可以看出该软件可以对常用的网络以及系统的漏洞进行全面的扫描，选中几个复选框，点击按钮“确定”。下面需要确定要扫描主机的IP地址或者IP地址段，选

16、择菜单栏设置下的菜单项“扫描参数”，扫描一台主机，在指定IP范围框中输入：09-09，如图4-16所示。漏洞扫描设置完毕后，进行漏洞扫描，点击工具栏上的图标“开始”，开始对目标主机进行扫描，如图4-17所示。网络监听 网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。Sniffer pro就是一个完善的网络监听工具。监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到

17、的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。监听软件防止监听的手段是：建设交换网络、使用加密技术和使用一次性口令技术。除了非常著名的监听软件Sniffer Pro以外，还有一些常用的监听软件：嗅探经典Iris密码监听工具Win Sniffer密码监听工具pswmonitor和非交换环境局域网的fssniffer等等Sniffer Pro是一款非常著名监听的工具，但是Sniffer Pro不能有效的提取有效的信息。监听工具-Win Sniffer Win Sniffer

18、专门用来截取局域网内的密码，比如登录FTP，登录Email等的密码。主界面如图4-19所示。设置只要做简单的设置就可以进行密码抓取了，点击工具栏图标“Adapter”，设置网卡，这里设置为本机的物理网卡就可以，如图4-20所示。抓取密码这样就可以抓取密码了，使用DOS命令行连接远程的FTP服务，如图4-21所示。会话过程打开Win Sniffer，看到刚才的会话过程已经被记录下来了，显示了会话的一些基本信息，如图4-22所示。监听工具-pswmonitor 监听器pswmonitor用于监听基于WEB的邮箱密码、POP3收信密码和FTP登录密码等等，只需在一台电脑上运行，就可以监听局域网内任意

19、一台电脑登录的用户名和密码，并将密码显示、保存，或发送到用户指定的邮箱，主界面如图4-23所示。监听工具-pswmonitor该工具软件功能比较强大，可以监听的一个网段所有的用户名和密码，而且还可以指定发送的邮箱，设置的界面如图4-24所示。7.3 网络安全评估标准 1. 网络安全评估标准的发展历程（1）首创而孤立的阶段（2）普及而分散的阶段（3）集中统一阶段 返回本章首页返回本章首页图7-1 测评标准的发展演变历程2. TCSEC、ITSEC和CC的基本构成 （1）TCSEC的基本构成 TCSEC主要由以下四个方面进行描述：安全策略模型（Security Policy Model）可追究性（

20、Accountability）保证（Assurance）文档（Documentation） 返回本章首页返回本章首页TCSEC的安全级别类别级别名 称主要特征AA验证设计形式化的最高级描述和验证形式化的隐蔽通道分析非形式化的代码对应证明BB3安全区域访问控制高抗渗透能力B2结构化保护形式化模型/隐通道约束面向安全的体系结构较好的抗渗透能力B1标识的安全保护强访问控制安全标识CC2受控制的访问控制单独的可追究性广泛的审计踪迹C1自主安全保护自主访问控制DD低级保护相当于无安全功能的个人微机TCSEC根据所采用的安全策略、系统所具备的安全功能将系统分为四类七个安全级别。（2）ITSEC的基本构成

21、TSEC也定义了7个安全级别，即 E6：形式化验证；E5：形式化分析；E4：半形式化分析；E3：数字化测试分析；E2：数字化测试；E1：功能测试；E0：不能充分满足保证。 返回本章首页 ITSEC的安全功能分类为：标识与鉴别、访问控制、可追究性、审计、客体重用、精确性、服务可靠性、数据交换。其保证则分为：有效性（Effectiveness）和正确性（Correctness）。 返回本章首页（3）CC的基本构成 CC分为三部分，相互依存，缺一不可。其中第1部分是介绍CC的基本概念和基本原理，第2部分提出了安全功能要求，第3部分提出了非技术的安全保证要求 。返回本章首页 CC的功能要求和保证要求均

22、以类-族-组件的结构表述。 功能要求包括11个功能类（安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐秘、TSF保护、资源利用、TOE访问、可信路径、信道） 。 保证要求包括7个保证类（配置管理、交付和运行、开发、指导性文件、生命周期支持、测试、脆弱性评定）。 返回本章首页 CC的评估等级共分7级：EAL1到EAL7 ，分别为功能测试，结构测试，系统测试和检验，系统设计、测试和评审，半形式化设计和测试，半形式化验证的设计和测试，形式化验证的设计和测试。返回本章首页7.4 网络安全评估方法 1. 基于通用评估方法(CEM)的网络安全评估模型 CC作为通用评估准则，本身并不涉及具体

23、的评估方法，信息技术的评估方法论主要由CEM给出。 CEM主要包括评估的一般性原则，PP评估、ST评估和EAL1EAL4的评估。CEM与CC中的保证要求相对应。返回本章首页CEM由两部分组成： 第一部分为简介与一般模型，包括评估的一般原则、评估过程中的角色、评估全过程概况和相关术语解释； 第二部分为评估方法，详细介绍适于所有评估的通用评估任务、PP评估、ST评估、EALIEAL4评估及评估过程中使用的一般技术。 返回本章首页（1）CEM评估一般原则 CEM评估应该遵循适当、公正、客观的原则，要求评估结果满足可重复和可再现的特点，且评估结果是可靠的。 CEM假定代价合理，方法可以不断演进，评估结

24、果可重用。返回本章首页（2）CEM评估模型 CEM评估，都可用下图的模型来表示。返回本章首页（3）CEM评估任务 CEM中所有的评估都具备的评估任务是评估输入任务和评估输出任务 。 评估输入任务包括配置控制、证据的保护、处置和保密四个任务，其中CEM对后两个任务无要求，留给评估体制解决。 评估输出任务包括书写观察报告（OR）和书写评估技术报告（ETR）两个子任务。 返回本章首页（4）CEM评估活动 任何一个信息技术安全产品或系统（也可以是PP）的评估，其核心是评估人员展开的一组评估活动。每一项评估活动可进一步细分为子活动，子活动又进一步细分为动作，而每一个动作又由一个或多个确定的工作单元组成，

25、如下图所示： 返回本章首页返回本章首页评估活动的分解（5）评估结果 评估人员在评估过程中，需要作出不同层次的裁决，评估人员的裁决可以有三种不同的结果，分别为：不确定、通过或失败。 返回本章首页2. 基于指标分析的网络安全综合评估模型 （1）综合评估概要 为全面了解目标网络系统的安全性能的状况，需要对各个方面的指标或项目进行测试或评估，必须将全体评估项目的评估结果进行综合，才能得到关于目标网络信息系统的安全性能的最终评价。 返回本章首页 为完成网络系统安全状况的综合评估，首先要从最低层的项目入手，然后由低到高，确定出每个层次项目的评估结果，最后将第一层项目的评估结果综合在一起，得出目标网络系统安

26、全状况的综合评估结果。 对同一层次上的（局部的）评估项的评估结果的综合，可以有多种方法，如采用加权平均，模糊综合评价等。 返回本章首页（2）归一化处理 定量指标的归一化 对定量指标进行归一化处理方法可分成三类：线段，折线，曲线。使用哪一种方法做归一化处理取决于具体的测试项的特点，适用于某一测试项的归一化方法不一定适用于其它项目。 返回本章首页 定性评估项的量化和归一化 定性评估项的结果通常以等级的形式给出，如“很差、较差、一般、较好、很好”。 对于定性评估项的最筒单的定性评估结果，即评估结果为“是”或“否”的情况，量化和归一化可采用直截了当法，即“是”指定为“1”，“否”指定为“0”。 返回本

27、章首页 当定性指标采用“很差、较差、一般、较好、很好”的方式描述时，可根据它们的次序粗略地分配一个整数来实现结果的量化，如使用“1、2、3、4、5”与之对应。这些量化后的结果“ 1、2、3、4、5”可分别采用“0.1、0.3、0.5、0.7、0.9”或“a、b、c、d、e”作为它们的归一化值，其中0a0.2，0.2b0.4，0.4c0.6，0.6d0.8，0.8e1。 返回本章首页（3）综合评估方法 所有评估项的评估结果经过综合便可得到对系统的总的评价。对于同一个层次上的评估项（指标），综合评估过程是一个从多维空间到一个线段中的点或评价等级论域中的等级的映射过程。返回本章首页 如果评估项之间是

28、层次关系，则综合评估过程的任务是将该层次结构中的全部评估项映射到上面的线段A，或等级论域L。即： f：(H)A（或f：（H）L）其中，H表示评估项之间的层次结构 返回本章首页典型的综合评估方法有： 加权算数平均加权几何平均混合平均 返回本章首页 在综合评估过程中，对某些评估项来说，使用加权算数平均对其进行综合比较合适，而对另一些评估项来说，使用加权几何平均可能更好。这种情况是由评估项的固有性质决定的。某一评估项的评估值可能是决定性的，以至于基本上主要依靠它作出最终评价，也可能不那么重要。 返回本章首页3. 基于模糊评价的网络安全状况评估模型 在评估实践中，经常遇到一些评估项，它们的评估结果难于

29、以定量的方式表达。模糊数学特别适合于用来处理定性的评估项目。 例如：系统评估中的大部分项目基本都是定性的。模糊数学可用来处理这些评估结果，并形成总的评价。 返回本章首页7.5 网络安全检测评估系统简介 计算机网络信息系统安全检测评估系统的发展非常迅速，现在已经成为计算机网络信息系统安全解决方案的重要组成部分。 我们以Internet Scanner和Nessus为例来介绍网络安全检测评估系统。 返回本章首页1. Internet Scanner 7.0简介 Internet Scanner是ISS公司开发的网络安全评估工具，可以对网络漏洞进行分析和提供决策支持。 Internet Scanne

30、r可以对计算机网络信息系统进行全面的检测和评估。 返回本章首页2. Internet Scanner的扫描评估过程 Internet Scanner 有计划和可选择性地对网络通信服务、操作系统、主要的应用系统以及路由器和防火墙等进行探测扫描，查找最容易被用来攻击的漏洞，探测、调查和模拟攻击网络。最后Internet Scanner 对漏洞情况进行分析，同时提供一系列正确的应采取的措施，提供趋势分析并产生报告和数据。返回本章首页Internet Scanner的扫描评估过程返回本章首页（1）定义扫描会话（Session） Internet Scanner利用会话（Session）来定义哪些设备需要被扫描。创建了某个新的会话时，其中会包含以下三个属性：