一种新的漏洞检测系统方案
关键词：网络安全；入侵检测系统；漏洞检测系统；实现；

一种新的漏洞检测系统方案
摘要：在分析了漏洞检测技术重要性、研究现状以及存在问题的基础上,提出了一个新的漏洞检测系统模型,并对系统功能进行了详细的分析,对系统工作流程进行了具体的讨论。该系统与IDS系统结合,具有自动防御、入侵取证等新特性。最后就系统实现的一些关键问题,进行了探索式的讨论。

0  引言
Internet迅速发展的同时也带来了各种安全问题,各种黑客对网络的有意攻击越来越猛烈。黑客入侵总是从寻找系统的漏洞开始的,因此及时发现系统存在的漏洞并采取相应的防护措施显得尤为重要,这就是安全漏洞检测技术。
分析安全漏洞产生的根源,研究当前漏洞检测技术和产品存在的不足并进行改进,推动安全漏洞检测技术的进一步发展,对于网络安全、入侵检测等领域都有重要的意义。
1  安全漏洞及其检测技术
漏洞是硬件、软件或者是安全策略上的错误而引起的缺陷,攻击者能够利用这个缺陷在系统未授权的情况下访问系统或者破坏系统的正常使用。根据黑客攻击的方式不同,安全漏洞可以分为：（1）利用网络与网络、主机与主机之间的信任关系；（2）以数据驱动的形式如特洛伊木马、后门程序等；（3）利用系统、协议的bug；（4）拒绝服务的形式；（5）其它类型的安全漏洞。
安全漏洞检测就是对计算机系统或其他网络设备进行安全相关的测试,以找出安全隐患和可能被黑客利用的缺陷。目前漏洞检测一般采用两种策略：被动式策略和主动式策略。被动式策略是基于主机的检测,对系统中不合适的配置、脆弱的口令以及其它同安全规则相抵触的对象进行检查；而主动式策略是基于网络的检测,通过从系统外部模仿黑客的行为,使用端口扫描工具或者其它针对具体安全漏洞的测试功能,对系统进行攻击并记录它的反应,从而发现其中的漏洞。漏洞检测技术具体可分为下列五种：基于应用的检测技术、基于主机的检测技术、基于目标的检测技术、基于网络的检测技术以及综合的技术[1]。
针对上述安全漏洞和检测技术策略, 研究人员提出了种种检测技术[],但是, 现有网络安全产品一般只针对网络的某一个元素使用某一种安全技术,很难实现网络的全局安全；对于某一种产品而言,其安全策略都是专有的,安全策略与安全策略之间缺乏一致性；安全漏洞层出不穷,但现有检测技术在动态更新安全模块以及动态支持新技术上缺乏考虑；另外,由于现有的检测系统大部分都是根据网络上传来的被测系统的回应信息进行判断,而这种回应信息和判断受到诸如带宽、通信流量等因素的影响,存在难以避免的漏报和误报问题。所有这些不足影响了影响了安全漏洞检测的效果和效率以及长远发展。
在汲取前人工作经验教训的基础上[2],文章提出了一种新的漏洞检测系统框架。作为对传统网络安全产品的扩展,可以全面提升防范平台的性能。
2  一种新的漏洞检测系统
与入侵检测系统（IDS）结合,提出了一个新的具有自动防御功能和入侵取证功能的漏洞检测系统方案。