网络安全检测与监控技术的研究

4 网络安全自动检测系统
扫描器是一种自动检测远程或本地主机安全性弱点的程序，它并不直接修复网络漏洞。扫描器有3个功能：发现一个主机或网络；一旦发现一台主机，可以找出该机器正在运行的服务；测试具有漏洞的服务。其基本原理是当用户试图连接一个特殊服务时，捕获连接产生的信息。
网络安全自动检测系统主要是利用现有的安全攻击方法对系统实施模拟攻击，以发现系统的安全设置缺陷。首要问题是收集、分析各种黑客攻击的手段、方法，为了适应网络攻击方法而不断更新，设计由攻击方法插件(plugin)构成的扫捕／攻击方法库。攻击方法插件实际上是一个描述和实现攻击方法的动态链接库。为方便维护和管理扫描／攻击方法库，采取统一接口的描述语言描述每一种新的攻击方法，实现方法库的动态增加。以扫描／攻击方法库为基础，设计实现扫描调度程序和扫描控制程序。扫描控制程序接受用户的扫描命令，配置要扫描的网络、主机、攻击方法，并分析处理扫描结果。扫描调度根据扫描控制程序发送的扫描要求，动态调用方法库中的方法扫描网络或主机，并将扫描结果反馈给扫描控制程序。
图1为网络安全自动检测系统总体结构。

5 网络入侵监控预警系统
网络安全自动检测系统的目的在于发现系统中存在的安全漏洞，而网络入侵监控预警系统则负责监视网络上的通信数据流，捕捉可疑的网络活动，及时发现对系统安全的攻击，并实时响应和报警。
网络入侵监控预警系统一般设在防火墙或路由器后面，是防火墙等传统网络安全产品的一个强有力助手。其结构如图2所示。网络入侵监控预警系统的技术关键是嗅探器的设计。嗅探器可以是硬件软件(通常是软硬件结合)，用以接收在网络上传输的信息。设置嗅探器的目的是使网络接口处于广播状态，从而可以截获网络上的传输内容。网络上传输的信息在任何协议下都是由信息包组成的，信息包携带着数据。在机器的操作系统间的网络接口级进行交换。

嗅探器假定每个人口的数据包都具有潜在敌意。通过对数据包分解、组合和分析，以判断数据包是否合理，对于无效、泄密、带有攻击性的数据包进行实时记录和报警。嗅探器包含抓包和包分析两大功能。抓包主要通过设计网卡的全收模式拦截数据包；包分析则检测数据包是否合法。为此，首先对各种黑客攻击方法进行分类，提取出攻击规则，构成攻击规则库，从待分析的数据包中分解出关键信息，与攻击规则库的规则进行模式匹配，若发现可疑攻击，则实时报警并记录报警及网络活动信息。

6 结语
计算机网络的发展使计算机应用更深入和广泛，但随之也使网络安全问题日益突出和复杂。网络安全技术具有的复杂性和多样性，使网络安全发展为一种专门的技术和服务。网络安全自动检测和网络入侵监控预防的开发为网络信息资源的安全提供了预防和防范攻击的有效措施。当然，网络信息不存在绝对的安全，攻击方法也在不断地更新，因此，我们应该不断发现、总结，及时概括最新的攻击方法，保证网络的持久安全。