淺析網絡安全中的漏洞掃描技術

隨著Internet的不斷發展，信息技術已經對經濟發展、社會進步產生了巨大的推動力。當今社會高度的計算機化信息資源對任何人無論在任何時候、任何地方都變得極有價值。不管是存儲在工作站、服務器中還是流通于Internet上的信息，都已轉變成為一個關系事業成敗的策略點，因此，保證信息資源的安全就顯得格外重要。目前，國內網絡安全產品主要是以硬件為主，其中包括防火墻、入侵檢測系統（IDS）、入侵防御系統（IPS）、防病毒網關、虛擬專用網（VPN）以及物理隔離卡等產品，其中防火墻、入侵檢測系統、VPN應用較為廣泛。漏洞掃描系統也是網絡安全產品中不可缺少的一部分，有效的安全掃描是增強計算機系統安全性的重要措施之一，它能夠預先評估和分析系統中存在的各種安全隱患。換言之，漏洞掃描就是對系統中重要的數據、文件等進行檢查，發現其中可被黑客所利用的漏洞。隨著黑客入侵手段的日益復雜和通用系統不斷發現的安全缺陷，預先評估和分析網絡系統中存在的安全問題已經成為網絡管理員們的重要需求。漏洞掃描的結果實際上就是系統安全性能的一個評估報告，它指出了哪些攻擊是可能的，因此成為網絡安全解決方案中的一個重要組成部分。

漏洞掃描技術的原理

漏洞掃描系統是用來自動檢測遠程或本地主機安全漏洞的程序（安全漏洞通常指硬件、軟件、協議的具體實現或系統安全策略方面存在的安全缺陷）。漏洞掃描按功能大致可分為：操作系統漏洞掃描、網絡漏洞掃描和數據庫漏洞掃描。若針對檢測對象的不同，漏洞掃描還可分為網絡掃描、操作系統掃描、WWW服務掃描、數據庫掃描以及最近出現的無線網絡掃描。目前，漏洞掃描，從底層技術來劃分，也可以分為基于網絡的掃描和基于主機的掃描這兩種類型。

漏洞掃描主要通過以下兩種方法來檢測目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在（如圖1所示）；通過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等。一旦模擬攻擊成功，則表明目標主機系統存在安全漏洞，下面列出兩種漏洞掃描實現的方法。

（1） 漏洞庫的特征匹配方法

基于網絡系統漏洞庫的漏洞掃描的關鍵部分就是它所使用的漏洞特征庫。通過采用基于規則的模式特征匹配技術，即根據安全專家對網絡系統安全漏洞、黑客攻擊案例的分析和系統管理員對網絡系統安全配置的實際經驗，可以形成一套標準的網絡系統漏洞庫，然后再在此基礎之上構成相應的匹配規則，由掃描程序自動進行漏洞掃描。若沒有被匹配的規則，系統的網絡連接是禁止的。

因此，漏洞庫信息的完整性和有效性決定了漏洞掃描系統的性能，漏洞庫的修訂和更新的性能也會影響漏洞掃描系統運行的時間。因此，漏洞庫的編制不僅要對每個存在安全隱患的網絡服務建立對應的漏洞庫文件，而且應當能滿足前面所提出的性能要求。

（2）功能模塊（插件）技術

插件是由腳本語言編寫的子程序，掃描程序可以通過調用它來執行漏洞掃描，檢測出系統中存在的一個或多個漏洞。添加新的插件就可以使漏洞掃描軟件增加新的功能，掃描出更多的漏洞。插件編寫規范化后，甚至用戶自己都可以用Perl、C等腳本語言編寫的插件來擴充漏洞掃描軟件的功能。這種技術使漏洞掃描軟件的升級維護變得相對簡單，而專用腳本語言的使用也簡化了編寫新插件的編程工作，使漏洞掃描軟件具有很強的擴展性。

基于網絡的漏洞掃描技術

基于網絡的漏洞掃描器，就是通過網絡來掃描遠程計算機中TCP/IP不同端口的服務，然后將這些相關信息與系統的漏洞庫進行模式匹配，如果特征匹配成功，則認為安全漏洞存在；或者通過模擬黑客的攻擊手法對目標主機進行攻擊，如果模擬攻擊成功，則認為安全漏洞存在。

網絡漏洞掃描系統（簡稱掃描器），是指通過網絡遠程檢測目標網絡和主機系統漏洞的程序，它對網絡系統和設備進行安全漏洞檢測和分析，從而發現可能被入侵者非法利用的漏洞。漏洞掃描器多數采用基于特征的匹配技術，與基于誤用檢測技術的入侵檢測系統相似。掃描器首先通過請求/應答，或通過執行攻擊腳本，來搜集目標主機上的信息，然后在獲取的信息中尋找漏洞特征庫定義的安全漏洞，若匹配成功，則認為安全漏洞存在。可以看到，安全漏洞能否發現很大程度上取決于漏洞特征的定義。基于網絡的漏洞掃描器，一般有以下幾個主要模塊組成（如圖2所示）：

漏洞數據庫模塊：漏洞數據庫包含了各種操作系統的各種漏洞信息，以及如何檢測漏洞的指令。由于新的漏洞會不斷出現，該數據庫需要經常更新，以便能夠檢測到新發現的漏洞。

掃描引擎模塊：掃描引擎是掃描器的主要部件。根據用戶配置控制臺部分的相關設置，掃描引擎組裝好相應的數據包，發送到目標系統，將接收到的目標系統的應答數據包與漏洞數據庫中的漏洞特征進行比較，來判斷所選擇的漏洞是否存在。

掃描知識庫模塊：通過查看內存中的配置信息，該模塊監控當前活動的掃描，將要掃描的漏洞的相關信息提供給掃描引擎，同時還接收掃描引擎返回的掃描結果。

結果存儲器和報告生成工具：報告生成工具，利用當前活動掃描知識庫中存儲的掃描結果，生成掃描報告。掃描報告將告訴用戶配置控制臺設置了哪些選項，根據這些設置，掃描結束后，在哪些目標系統上發現了哪些漏洞。

基于主機的漏洞掃描技術

主機漏洞掃描器則通過在主機本地的代理程序對系統配置、注冊表、系統日志、文件系統或數據庫活動進行監視掃描，搜集他們的信息，然后與系統的漏洞庫進行比較，如果滿足匹配條件，則認為安全漏洞存在。比如，利用低版本的DNS Bind漏洞，攻擊者能夠獲取root權限，侵入系統或者攻擊者能夠在遠程計算機中執行惡意代碼。使用基于網絡的漏洞掃描工具，能夠監測到這些低版本的DNS Bind是否在運行。一般來說，基于網絡的漏洞掃描工具可以看作為一種漏洞信息收集工具，根據不同漏洞的特性，構造網絡數據包，發給網絡中的一個或多個目標服務器，以判斷某個特定的漏洞是否存在。

漏洞掃描技術中存在的問題

網絡安全掃描產品的核心功能在于檢測目標網絡設備存在的各種網絡安全漏洞，針對發現的網絡安全漏洞提供詳盡的檢測報告和切實可行的網絡安全漏洞解決方案，使系統管理員在黑客入侵之前將系統可能存在的各種網絡安全漏洞修補好，避免黑客的入侵而造成不同程度的損失。

網絡漏洞掃描系統發展迅速，產品種類繁多，且各具特點，在功能和性能上存在著一定的差異。漏洞掃描系統大多采用軟件產品來實現，也有廠家采用硬件產品來實現漏洞掃描。通常以三種形式出現：單一的掃描軟件，安裝在計算機或掌上電腦上，例如ISS Internet Scanner；基于客戶機（管理端）/服務器（掃描引擎）模式或瀏覽器/服務器模式，通常為軟件，安裝在不同的計算機上，也有將掃描引擎做成硬件的，例如Nessus；其他安全產品的組件，例如防御安全評估就是防火墻的一個組件。在安全掃描中，硬件設備的資源能夠承受多數量的主機。與通常的軟件掃描器相比，由于承載的硬件嵌入系統平臺經過特別優化，其掃描效率遠遠高于一般的安全掃描軟件。本文分別介紹了基于網絡的漏洞掃描工具和基于主機的漏洞掃描工具，現有的漏洞掃描系統基本上是采用上述的兩種方法來完成對漏洞的掃描，但是這兩種方法在不同程度上也各有不足之處，主要表現在：

（1）系統配置特征規則庫問題

網絡系統漏洞庫是基于漏洞庫的漏洞掃描的靈魂所在，而系統漏洞的確認是以系統配置特征規則庫為基礎的。但是，這樣的系統配置特征規則庫存在其局限性。專家建議，系統配置特征規則庫應能不斷地被擴充和修正，這樣也是對系統漏洞庫的擴充和修正，但這些又需要專家的指導和參與才能夠實現。

（2）針對漏洞庫信息要求

漏洞庫信息是基于網絡系統漏洞庫的漏洞掃描的主要判斷依據。如果漏洞庫信息不全面或得不到即時的更新，不但不能發揮漏洞掃描的作用，還會給系統管理員以錯誤的引導，從而對系統的安全隱患不能采取有效措施并及時消除。專家建議，在按照某一標準設計漏洞庫的同時，還應該讓漏洞庫信息具備完整性、有效性、簡易性等特點，這樣即使是用戶自己也易于對漏洞庫進行添加配置，從而實現對漏洞庫的即時更新。

結束語

漏洞掃描技術是一門新興的技術，它從另一個角度解決網絡安全問題。具體來講，防火墻技術是被動防御，而漏洞掃描技術則是主動防御。與防火墻、入侵檢測等技術相比，它從另一個角度來解決網絡安全上的問題。本文就網絡安全掃描技術與其包含端口漏洞掃描技術的一些具體內容進行了闡述和分析。隨著網絡的發展和內核的進一步修改，新的掃描技術及對入侵性的漏洞掃描的新防御技術還會誕生，而到目前為止還沒有一種完全成熟、高效的漏洞掃描防御技術；同時，漏洞掃描面向的漏洞包羅萬象，而且漏洞的數目也在持續地增加。就目前的漏洞掃描技術而言，將結合人工智能、模式識別等知識逐漸地被提高，但是自動化的漏洞掃描無法得以完全實現，而且新的難題也將不斷涌現，因此網絡安全掃描技術仍有待更進一步地研究和完善。

總之，網絡安全掃描系統，是維護網絡安全所必備的系統級網絡安全產品之一，其存在的重要性和必要性正被廣大用戶所接受和認可。