Nessus是一款免费、开放源代码和最新的网络脆弱性分析工具,可运行在Linux、Bsd、Solaris和其他平台上,实现多线程和插件功能,提供gtk界面,目前可检查多种远程安全漏洞。但是,Nessus只能从远程进行扫描获取脆弱性。许多脆弱性是本地的,不能通过网络检测到或被利用,例如收集主机配置信息,信任关系和组的信息难以远程获取。
第二类,基于安全属性形式规范脆弱性检测方法
自动和系统地进行脆弱性分析是目前的研究重点,C.R.Ramakri-shnan和R.Sekar提出了一种基于模型的配置脆弱性分析方法,其基本原理是:首先以形式来规范目标的安全属性,例如,普通用户不能够重写系统日志子文件;其次建立系统抽象模型描述安全相关行为,抽象模型由系统的组件模型来组成,例如,文件系统、特权进程等; 最后检查抽象模型是否满足安全属性,如果不满足,则生成一个脆弱性挖掘过程操作序列,用以说明导致这些安全属性冲突的实现过程。
该方法的优点在于检测已知和新的脆弱点,而Cops和Satan主要解决已知脆弱性的检查。但是运用该方法需要占用大量计算资源,目前还无法做到实际可用,另外,方法的可扩展性仍然是一个难题,实际模型要比实验大得多。模型的开发过程依赖于手工建立,模型自动生成技术尚需要解决。
第三类,基于关联的脆弱性分析与检测
这类研究工作利用了第一、第二类研究成果,侧重脆弱性的关联分析,即从攻击者的角度描述脆弱点的挖掘过程。一款基于网络拓扑结构的脆弱分析工具Tva(Topological Vulnerability Analysis)能够模拟渗透安全专家自动地进行高强度脆弱性分析,给出脆弱点挖掘过程,生成攻击图。tva将攻击步骤及条件建立为状态迁移图,这种表示使得脆弱性分析具有好的扩充性,使得输入指定的计算资源算出安全的网络配置。
然而Tva模型化脆弱性挖掘过程依赖尚需要手工输入,该问题的解决需要一种标准的、机器能理解的语言自动获取领域知识。另外,若一个大型网络存在多个脆弱点,则Tva将产生巨大图形,因而图形的管理将成为难题。最后,tva用到的信息要准确可靠,以便确定脆弱点是否可用,但是Tva的脆弱信息只是依靠Nessus。
Laura P.Swiler等人也研制了计算机攻击图形生成工具,将网络配置、攻击者能力、攻击模板、攻击者轮廓输入到攻击图生成器就可以输出攻击图,图中最短路径集表示系统最有可能受到攻击途径。Oleg Sheyner和Joshua Haines用模型检查方法来研究攻击图的自动生成和分析,其基本的思路是将网络抽象成一个有限状态机,状态的迁移表示原子攻击,并且赋予特定安全属性要求。然后用模型检查器Nusmv自动生成攻击图,并以网络攻击领域知识来解释图中状态变量意义和分析图中的状态变迁关系。但是该方法所要处理问题是模型的可扩展性,计算开销大,建模所使用到的数据依赖于手工来实现。
第四类,脆弱性检测基础性工作,主要指脆弱信息的发现、收集、分类、标准化等研究
安全脆弱性检测依赖于安全脆弱性发现,因此脆弱性原创性发现成为最具挑战性的研究工作。当前,从事安全脆弱性挖掘的研究部门主要来自大学、安全公司、黑客团体等。在脆弱性信息发布方面,Cert最具有代表性,它是最早向Internet网络发布脆弱性信息的研究机构。而在脆弱性信息标准化工作上,Mitre开发“通用漏洞列表(Common Vulnerabilities and Exposures,CVE)”来规范脆弱性命名,同时mitre还研制出开放的脆弱性评估语言OVAL(Open Vulnerability Assessment Language),用于脆弱性检测基准测试,目前该语言正在逐步完善之中。
同国外比较,我国脆弱性信息的实时性和完整性尚欠缺,主要原因在于脆弱性新发现滞后于国外。而安全脆弱性检测、消除、防范等都受制于安全脆弱性的发现。因而,安全脆弱性分析成为最具挑战性的研究热点。
入侵检测与预警技术
网络信息系统安全保障涉及到多种安全系统,包括防护、检测、反应和恢复4个层面。入侵检测系统是其中一个重要的组成部分,扮演着数字空间“预警机”的角色。入侵检测技术大致分为五个阶段:第一阶段是基于简单攻击特征模式匹配检测;第二阶段,基于异常行为模型检测;第三阶段,基于入侵报警的关联分析检测;第四阶段,基于攻击意图检测;第五阶段,基于安全态势检测。归纳起来,入侵检测与预警发展动向表现为以下几方面。
入侵安全技术集成
由于网络技术的发展和攻击技术的变化,入侵检测系统难以解决所有的问题,例如检测、预防、响应、评估等。入侵检测系统正在发生演变:入侵检测系统、弱点检查系统、防火墙系统 、应急响应系统等,将逐步集成在一起,形成一个综合的信息安全保障系统。例如,Securedecisions公司研究开发了一个安全决策系统产品,集成IDS、Scanner、Firewall等功能,并将报警数据可视化处理。入侵阻断系统(Intrusion Prevention System)成为IDS的未来发展方向。
高性能网络入侵检测
现代网络技术的发展带来的新问题是,IDS需要进行海量计算,因而高性能检测算法及新的入侵检测体系成为研究热点。高性能并行计算技术将用于入侵检测领域,高速模式匹配算法及基于纯硬件的NIDS都是目前国外研究的内容。
入侵检测系统标准化
标准化有利于不同类型IDS之间的数据融合及IDS与其他安全产品之间的互动。IETF(Internet Engineering Task Force)的入侵检测工作组(Intrusion Detection Working Group,简称 IDWG)制定了入侵检测消息交换格式(IDMEF)、入侵检测交换协议(IDXP)、入侵报警(IAP)等标准,以适应入侵检测系统之间安全数据交换的需要。同时,这些标准协议得到了Silicon Defense、Defcom、UCSB等不同组织的支持,而且按照标准的规定进行实现。目前,开放源代码的网络入侵检测系统Snort已经支持Idmef的插件。因此,具有标准化接口的功能将是下一代IDS的发展方向。
嵌入式入侵检测
互联网的应用,使计算模式继主机计算和桌面计算之后,将进入一种全新的计算模式,这就是普适计算模式。普适计算模式强调把计算机嵌入到人们日常生活和工作环境中,使用户能方便地访问信息和得到计算的服务。随着大量移动计算设备的使用,嵌入式入侵检测技术得到了重视。
入侵检测与预警体系化
入侵检测系统由集中向分布式发展,通过探测器分布式部署,实现对入侵行为的分级监控,将报警事件汇总到入侵管理平台,然后集中关联分析,以掌握安全态势的全局监控,从而支持应急响应。目前技术正向“检测-响应”到“预警-准备”方向发展。
网络蠕虫防范技术
与传统的主机病毒相比,网络蠕虫具有更强的繁殖能力和破坏能力。传统的基于单机的病毒预防技术、基于单机联动的局域网病毒防范技术、病毒防火墙技术等都不能很好地适应开放式网络对网络蠕虫的预警要求。例如,传统的单机病毒检测技术依赖于一定的检测规则,不适应网络蠕虫的检测。因为网络中恶意代码种类繁多,形态千变万化,其入侵、感染、发作机制也千差万别。近年来的研究热点主要是:计算机蠕虫的分类、蠕虫流量的仿真及蠕虫预警系统设计与测试、蠕虫的传播仿真实验、蠕虫剖析模型及隔离技术研究。在网络蠕虫的产品市场方面,国外Silicon Defense公司发布围堵蠕虫产品Countermalice,Lancope公司的Stealthwatch产品,该产品是基于行为入侵检测系统,具有威胁管理功能。
总之,就网络蠕虫发展状况来看,网络蠕虫的攻防技术正处于发展期间,其主要技术走向包括:网络蠕虫的快速传播机制及隐蔽机制;网络蠕虫的早期预警技术和仿真测试;网络蠕虫应急响应技术,主要是阻断技术;网络蠕虫理论模型,如基于应用系统的蠕虫、数据库蠕虫、移动环境网络蠕虫。抗网络蠕虫攻击机制,如代码随机化、软件多样性、蠕虫攻击特征自动识别。
信息系统攻击容忍技术
据有关资料统计,通信中断1小时可以使保险公司损失2万美元,使航空公司损失250万美元,使投资银行损失600万美元。如果通信中断2天则足以使银行倒闭。攻击容忍技术解决的安全问题是在面临攻击、失效和偶发事件的情况下,信息网络系统仍能按用户要求完成任务,信息网络系统能够支持用户必要的业务运行。目前,国际上关于信息网络系统生存的研究处于发展阶段,其主要研究领域包括生存性概念及其特性、生存性模型和仿真、生存性工程、系统的生存性分析与评估、网络容错、数据库入侵容忍等。
TCB 及防御作用
5.1.5 TCB 访问控制
应提供控制用户与 TCB 建立会话的功能。用户会话的建立包括创建一个或多个主体(如进程),
这些主体在TCB 中代表用户执行操作,并具有相应用户的敏感标记。TCB 访问控制包括: a) TCB 会话建立:根据相关的会话安全属性,TSF 应允许或拒绝用户与TCB 建立会话。这些属性包括:访问地址或端口,用户安全属性(如用户身份、许可证等级、角色中的成员资格),时间范围(如一天中的某些时间、一周的某些天、某些特定日期),或上述属性的组合。 b) 可选属性范围限定:在与TCB 建立会话时,应限制用户可选择的会话安全属性的范围,包括访问方法、访问的地址或端口及访问时间(如一日的某些时间、一周的某些天等),以及用户可能绑定到的主体(如进程)。
c) 多重并发会话限定:应对用户在一个时间段内可能的并发会话数进行限制,包括多重并发会
话的基本限定和每位用户多重并发会话的限定。前者是对TCB 内所有用户并发会话数的限 制,后者是对每一个用户并发会话数的限制。
d) TCB 访问历史:在一次会话成功建立的基础上,应显示该账户上一次会话成功建立的日期、时间、方法和位置等信息,或显示该账户上一次会话建立不成功的日期、时间、方法和位置等信息,以及从最后一次成功的会话建立以来不成功的尝试次数。用户应能够复查这些信息,也可以放弃这些信息,并且在没有给用户提供访问历史信息的机会的情况下,不能从用户界面上抹去该信息的。
e) 会话锁定:应提供交互式会话的TSF 原发的和用户原发的锁定和解锁能力及TSF 原发终止能
力,以便在会话进入非活动周期后对末端进行锁定或结束会话。在用户的静止期超过规定的 值时,通过以下方式锁定该用户的交互式会话: ——在显示设备上清除或涂抹,使当前的内容不可读;
——取消会话解锁之外的所有用户数据的存取/显示的任何活动; ——在会话解锁之前再次鉴别。 5.2 TCB 设计和实现