网络安全基础篇之<九>

*********网络安全检测技术

*********安全威胁的概念：安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。

******安全漏洞的概念：安全漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。

******端口扫描的基本原理：端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同，网络通信端口可以分为TCP端口和UDP端口两大类，因此端口扫描技术也可以相应地分为TCP端口扫描技术和UDP端口扫描技术。
******
******网络安全漏洞的分类方法：

****漏洞的分类方法主要有①按漏洞可能对系统造成的直接威胁分类；②按漏洞的成因分类两大类。

******操作系统类型探测的主要方法：由于操作系统的漏洞信息总是与操作系统的类型和版本相联系的，因此操作系统类型信息是网络安全检测的一个重要内容。操作系统探测技术主要包括：

**①获取标识信息探测技术；
**②基于TCP/IP协议栈的操作系统指纹探测技术；
**③ICMP响应分析探测技术。

***信息型漏洞探测和攻击型漏洞探测技术的原理

***（1）信息型漏洞探测原理：大部分的网络安全漏洞都与特定的目标状态直接相关，因此只要对目标的此类信息进行准确探测就可以在很大程度上确定目标存在的安全漏洞。该技术具有实现方便、对目标不产生破坏性影响的特点，广泛应用于各类网络安全漏洞扫描软件中。其不足之处是对于具体某个漏洞存在与否，难以做出确定性的结论。这主要是因为该技术在本质上是一种间接探测技术，探测过程中某些不确定因素的影响无法完全消除。
为提高漏洞探测的准确率和效率，引进如下两种改进措施：
顺序扫描技术，可以将收集到的漏洞和信息用于另一个扫描过程以进行更深层次的扫描——即以并行方式收集漏洞信息，然后在多个组件之间共享这些信息。
多重服务检测技术，即不按照RFC所指定的端口号来区分目标主机所运行的服务，而是按照服务本身的真实响应来识别服务类型。

***（2）攻击型漏洞探测原理：模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。
模拟攻击技术也有其局限性，首先，模拟攻击行为难以做到面面俱到，因此就有可能存在一些漏洞无法探测到；其次，模拟攻击过程不可能做到完全没有破坏性，对目标系统不可避免地会带来一定的负面影响。
模拟攻击主要通过专用攻击脚本语言、通用程序设计语言和成形的攻击工具来进行。

附：按照网络安全漏洞的可利用方式来划分，漏洞探测技术可以分为信息型漏洞探测和攻击型漏洞探测。P.186
按照漏洞探测的技术特征，又可以划分为基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。

***网络安全漏洞威胁等级的划分方法：(待续)