漏洞检测与主动防御系统模型的研究与实现

塑塑丝型兰圭型堕塑墨竺苎型塑塑塞主壅翌—一

中得到的实际成果，本文提出了“主动防御”的设计思想，并给出了漏洞检测与主动防御系统的模

型，作为对传统网络安全产品的扩展，可以全面提升防范平台的性能。第２节提出了系统模型的功能

定位和总体结构；第３节给出了模型各部分的具体实现；第４节介绍了模型的改进方向；最后予以总

结。

２．漏洞检测与主动防御系统模型概述

“主动防御”思想分为两个层次：第一层次是指在攻击事件发生前，为了提高网络系统的防御性能，利用大量实际的黑客攻击软件，以自主攻击的方法，对网络系统安全漏洞进行的检测，比较准确地确定系统的漏洞，实现对漏洞的修补和相关配置，从而提高系统的防御能力：第二层次是指在黑客攻击进行中，以牙还牙地对攻击源实施报复，使其丧失继续攻击的能力，从而确保我方系统的正常工作。基于这一思想，我们提出了漏洞检测与主动防御系统的基本模型。

２．１

在新型安全防范平台中的动能设计

图１所示的新型安全防范平台添加了漏洞检测

与主动防御系统，这样这一平台在拥有原有功能的基础上，又增添了四种新的工作方式，从而提高了系统漏洞的检测效果，极大地提升整套安全防范平台的性能。

风险；２）

与安全扫描器配合使用，这时系统的主要任务是对于安全扫描器探得的隐患扫描结果进行检测，确认隐患是否是真正具有威胁性的系统漏洞，同时检测是否有漏报的系统漏洞，最后通过检索漏洞与补丁数据库进行修补；３）

系统也可以单独使用，以实际的黑客入侵手段对网络系统的抗攻击性能进行测试，作为网络系统安全评估的重要依据；４）系统甚至可以在必要时作为反击的工具，

对黑客实施反治。

由图ｌ我们可以看到，漏洞检测与主动防御系统担负着承上启下作用，因此它与其他系统之间的联动问题就成了新型安全防范平台研究与实施中的重点。最有效的方法是将它的攻击工具库与ＩＤＳ入侵特征库、安全扫描器的插件库以及漏洞补丁库进行整合，形成一个统一紧凑的知识库。攻击工具库中会给出攻击工具所针对的系统漏洞，这样就可以与安全扫描插件库、漏洞补丁库关联起来。

ＩｎｔｅｍｅｔＴａｓｋＦｏｒｃｅ的ＩｎｔｒｕｓｉｏｎＷｏｒｋｉｎｇＧｒｏｕｐ已经

提出了入侵检测交换消息格式数据模型（ＩＤＭＥＦ）ｐ】．根据交换消息对入侵事件给出的描述，可以在攻击工具库中查找类似的攻击手法用于针对网络系统进行模拟攻击。为了更好的实现多个数据库的

圈Ｉ新掣安全阱藕乎台的【。作流程圈

圈中显示Ｊ’漏洞检测与主动防御系镜】作的』Ｌ种疗式：

１）

与ＩＤｓ配合使用．通过模拟攻。ｈ的方法来确认导致入侵的系统漏洞是卉真的存仃＝．这样就ｕ，以避免因ＩＤＳ误报。７ｔ发的茫渭ｒ件．也·，Ｊ以降低１０Ｓ自身奠伞缺ｌ：｝ｊ导致的

天联和整合，在借鉴国内外现有研究成果的基础１．．我们将会提出

套完整的网络攻击与系统漏洞

分类描述体系．其中网络攻击与入侵事件的描述基奉符合ＩＤＭＥＦ的要求．漏洞组织上与ＣＶＥ相兼容．通过形成确切…致的描述．来驱动整个知泌库．蛮

现高效的协调互动．

漏洞检测与主动防御系统模型的研究与实现

作者：郎良， 张玉清， 钱秀槟， 冯登国

作者单位：中国科学院研究生院国家计算机网络入侵防范中心(北京市)本文链接：/Conference_4886674.aspx