基于边界网关的自我扫描模型设计

[摘 要]利用扫描技术对边界网关的各端口进行扫描从而获得对方所开放的服务及系统信息，然后分析得到对应的BUG，根据这些BUG制定相应的攻击策略和攻击手段。所以，扫描是进行网络攻击前必不可少的准备。扫描本身的特点导致其不能直接防御，在本文中介绍的自我扫描方法是从间接的角度防御扫描，从而有效的抵御后继的网络攻击。

[关键词]扫描 边界网关 网络攻击 自我扫描

一、引言

面对网络中的各种扫描技术，尤其是针对边界网关的扫描需要特别注意，因为边界作为互联网的基础设施，主要负责各AS之间的数据通信。一旦边界网关的系统薄弱的环节被扫描出来，将会成为攻击者攻击边界网关的首要资料，那么边界网关就面临着巨大的网络安全威胁。如果边界网关被攻击成功，那么AS内计算机的通信瘫痪，他难怪是，AS内的计算机资源的安全得不到保证。所以，在边界网关上，必须采取一定的策略和办法来抵制对网关的扫描。在下面的介绍中，我们将构建一种“自我扫描”模型来抵抗针对边界网关的扫描攻击。

二、自我扫描策略介绍

由于边界网关要维护网络的正常通信，必须开发一些必要的端口，提供必要的服务。而扫描技术基本上是利用TCP协议本身在安全防御方面的先天不足。模拟和边界网关建立连接等方式获得网关端口的基本情况，所以，从扫描本身来说，是很难检测到该连接时合法连接还是扫描器的模拟连接。因此，要直接抵抗扫描难度很大。

自我扫描本质上是一种实时的扫描策略，其核心在于自我扫描，基本思想是：利用扫描技术对边界网关自身进行扫描，从而反馈出本网关在提供的端口信息、服务信息、系统漏洞、管理缺陷等方面的信息，然后对这些信息进行分析，找出当前网关的不足和漏洞，即：BUG，针对这些BUG，及时采取补救措施和制定进一步的完善策略，从自身的角度来分析自身的缺陷所在。

该策略不直接过滤和抵抗网络对边界网关的扫描，而是通过自我扫描的方式发现网关的系统问题。也就是一种典型的“自我批评、自我剖析”的方式。

三、自我扫描模型的结构

该系统由5部分构成，各部分各司其职，根据执行的先后顺序，统一协调的完成自我扫描任务，发现边界网关的漏洞和不足，为下一步的自我完善提供信息和材料。它由扫描实例集、扫描工具集、信息中心、信息分析中心和完善处理单元组成，他的功能结果如下图所示：

（图1）

1.扫描实例集。这个模块负责收集针对网关系统各扫描指标，比如各端口、服务、系统等。这是一个很重要的部分，因为如果某些敏感的指标没有考虑到，那么该指标导致的安全问题就不易被发现，而该指标很可能被攻击者扫描到，成了自我扫描中的一个盲点，而被攻击者利用了。

2.扫描工具集。这是执行扫描任务的软件的集合，可能不止一种扫描工具。在选择扫描工具的时候一定要根据扫描对象的情况选择合适的扫描工具，才能有效的扫描出边界网关的漏洞和不足。

3.信息中心。该模块主要的任务在于接收扫描后收集起来的各种扫描结果，即：信息，将这些信息组织管理起来，及时的提供给分析中心的分析使用。

4.信息分析中心。顾名思义，该模块的主要职能在于对信息中心收集到的信息进行检查分析，然后得出分析结果，即：当前网关存在的不安全因素，比如：系统的漏洞、缺陷、管理上的盲区等。

5.完善处理单元。这是自扫描模型的核心，该模块的职能在于根据信息分析中心找到的系统漏洞，经过有效的验证和核实，找到解决问题的办法，对系统进行完善和修复，使之暴露的问题能被解决而防止网络中对边界网关的攻击。这个模块的执行过程就是边界网关系统不断完善、升级、增强的过程。

四、自我扫描模型的工作原理

自我扫描模型的5个模块经过严密的合作，便能有效的防止攻击者对边界网关的扫描，从而避免对边界网关造成威胁。它的工作原理如图2所示：

从图2可以看出，自我扫描策略工作过程如下所述：

（1）首先应该确定扫描实例集，也就是要确定对系统的那些指标进行扫描，从而得出的一个扫描集合。

（2）确立执行扫描的工具，扫描工具一定要针对目标系统的不同而有所调整。（1）、（2）准备好后转入（3）。

（3）开始扫描，将扫描后的结果送入信息中心保存，然后转入（4）。

（4）信息分析中心根据信息中心所提供的信息开始分析、比对，检测。如果发现有新信息，就说明出现了新的BUG，那么就对新出现的BUG寻求解决办法.然后转入（5）。

（5）找到新的解决办法后，立即完善边界网关系统，不留任何机会给攻击者。转入（1），循环实时的对边界网关进行扫描。

五、总结

自我扫描模型在本质上和其他扫描技术是相同的，唯一的不同在于，攻击者扫描的目的是为了获得基础信息为下一步攻击做准备；而自我扫描模型执行扫描的目的在于获得这些基础信息，发现自身系统的BUG，从而不断的对系统进行完善和加强，更有效的防御攻击。

参考文献：

[1].张千里，陈光英《网络安全新技术》人民邮电出版社

[2].杨义先，钮心忻《网络安全理论与技术》人民邮电出版社

[3]高永强，郭世泽《网络安全技术与应用大典》人民邮电出版社

[4]刘熙，浅谈黑客攻防.硅谷.2009.1671—7597

[5]王峰.浅析入侵检测.电脑知识与技术.2009 005（002）.1009—3044

[6] Lisa Vaas. Tying the network access knot. eWeek. 2007. 1530—6283

[7] Gibson， T. Securing large—scale military networks： homogenous protection for disparate environments . IEEE Network. 2002 0890—8044

[8] Chi—Hung Kelvin Chu； Ming Chu. An Integrated Framework for the Assessment of Network Operations， Reliability， and Security. Bell Labs Technical Journal. 2004. 1089—7089