◆陈志涛 魏杰 张宇辉

（顺德职业技术学院 广东 528300）

网络安全已经成为全社会关注的话题，是国家安全的重要组成部分，提高网络安全性可以保证人民群众的信息安全和财产安全。网络安全扫描是确保网络安全的关键步骤，通过网络安全扫描可以及时发现网络主机运行中存在的安全配置问题，对网络安全的风险等级进行评估，根据漏洞提出相应的解决方案。为了加强网络安全扫描技术的应用，本文对网络安全扫描的关键技术进行分析。

1 传统的网络安全扫描技术

网络安全扫描是一种主动的防御技术，主要是利用扫描器对网络服务器中的端口和软件信息进行寻找，根据各种信息判断是否存在安全漏洞。传统的网络安全扫描技术主要有以下4种，具体的论述如下：

1.1 弱口令扫描技术

弱口令安全扫描技术主要是利用用户口令强度对口令的安全性能进行评估，如果评估的结果显示用户口令的强度不高则需要发出警告至网络管理员或者是系统的用户，及时对口令强度进行修改以满足网络安全的需求。在进行弱口令扫描时，主要技术是运行暴力破解程序。暴力破解是黑客攻击时通过口令猜测程序对口令进行破解，如果用户的密码复杂程度较高则黑客破解时比较困难，这样可以在一定程度上提高网络系统的安全性。

1.2 漏洞扫描技术

漏洞扫描技术是对网络系统的软件和硬件基础设施或者网络安全策略所造成的网络安全隐患进行扫描，扫描目标为网络参数配置、网络安全协议、应用系统缺陷。在漏洞扫描过程中若存在网络安全威胁如未经授权的访问、破坏网络安全的行为等则会发出警报。网络安全漏洞扫描过程中，采用插件技术方法（利用脚本语言对扫描漏洞程序进行编写）和漏洞特征匹配方法（扫描程序根据漏洞类型进行匹配与检测）。

1.3 端口扫描技术

端口扫描技术主要是扫描网络中潜在通信通道。扫描的方式主要有两种，第一种将扫描探测数据包发送至被检测的目标对象的TCP/IP服务端口，并记录相关的反馈信息，对反馈的信息进行分析判断以掌握端口运行的数据信息；第二种是通过接收网络主机/服务器的数据实现主机运行情况的监视，数据分析过程中及时发现网络中存在的安全威胁。端口扫描的方式包括TCP全连接扫描和TCP半连接扫描两种。TCP全连接扫描主要包括三个过程阶段，一是主机端口的Syn报文发送，二是端口Syn/Ack信息反馈，三是再向端口发送Ack报文。TCP半连接扫描的只需开放相关的权限就可以实现，不一定实现完全连接，主要流程是通过扫描程序向目标端口发送Syn报文，通过反馈回来的信息对端口的状态如侦听、关闭等进行反馈。端口如果是关闭的状态则会回复RST，如果端口是未关闭的状态则会回复SYN/ACK。

TCP扫描的优点是实现比较简单，系统中的任何用户都可以调用TCP扫描，扫描的速度很快，可以打开多个套接字实现端口的调用而加速扫描。TCP扫描的缺点是容易被发现，在主机的日志记录中留下痕迹，关闭的速度快。

1.4 操作系统探测技术

操作系统探测是对操作系统进行检查的一种手段，通过提高操作系统的安全性来提高网络安全性。随着操作系统的更新换代及功能的不断强大，结构也越来越复杂，导致操作系统存在的安全隐患。很多黑客在对网络进行攻击时，首先要对操作系统进行攻击，收集及分析操作系统的相关信息。因此，需要对操作系统进行安全探测。传统的探测技术主要包括TCP/IP协议栈指纹探测（判定操作系统实现过程中TCP/IP协议栈差别）和应用层探测（通过主机记录访问或发送服务连接的方式判定操作系统的相关信息）两类。TCP/IP协议栈指纹探测在应用过程中包括三个步骤：建立连接、数据传输、终止连接。

2 基于搜索引擎的非入侵式网络安全扫描技术

随着计算机技术的发展，搜索引擎的功能不断强大，其类型也呈现出多样化的发展趋势。非入侵式扫描技术利用搜索引擎的实现主要有以下两种方法。

2.1 基于通用搜索引擎的非入侵式扫描

“谷歌”的搜索引擎的索引总页面数已经超过万亿个，“谷歌”黑客技术就是利用搜索引擎进行安全漏洞的扫描及敏感信息的分析，同时形成了谷歌黑客索引查询数据库GHDB。此外，还有很多学者对“谷歌”搜索引擎的网络安全扫描技术进行了分析，黄超在研究中利用GHDB对Web安全漏洞进行扫描，通过谷歌的缓存机制和Alert服务自动跟踪搜索结果，如果存在SQL注入漏洞，则可以利用搜索引擎对服务端页面及Web应用程序中的漏洞进行检查。利用端口信息也可以实现搜索引号和服务关键词搜索，获得相应的搜索结果之后与谷歌黑客索引查询引擎的端口数据库GHDB中的相关数据进行对比，以判定是否存在安全威胁。利用谷歌搜索引擎对网络安全进行非入侵式扫描具有操作简单、扫描隐蔽、扫描目标广泛等优点，但只是对已知的Web漏洞检测效果好，对于其他类型漏洞的扫描准确性还有必要进一步提升。

2.2 基于专用搜索引擎的非入侵式扫描

网络安全搜索引擎的发展也十分迅速，包括谛听、Censys、Shodan等，以Shodan为例进行分析。Shodan由美国人创建，创建时间为2009年，至今已经十一年的时间，该搜索引擎最多可以获得50个搜索结果，同时支持多种格式的搜索结果输出。Shodan是一种基于拦截器的搜索引擎，通过端口拦截相应的信息建立搜索索引得到相应的结果。基于Shodan的非入侵式网络安全漏洞扫描在应用过程中获得结果之后需要对漏洞知识和相应的信息进行关联分析，从而得到被检测的目标系统的脆弱信息，以确定是否存在安全威胁。基于Shodan的非入侵式网络安全漏洞扫描主要包括两步：第一步：通过ShodanAPI或者Shodan搜索引擎查询数据库中的相关资产信息或者服务信息，获得信息之后根据相应的格式进行整理，通过整理提高资产发现的准确性，同时结合IP归属信息数据库实现数据库信息的验证；第二部，获得查询的资产信息或服务信息，通过与漏洞知识库中的相关信息进行对比，以判定被检测的目标系统是否存在漏洞，查询之后发布相应的结果，对于涉及漏洞的信息进行汇总和处理，预测存在的安全漏洞，如果存在安全漏洞则需要提出相应的网络安全防护意见，进行漏洞修复。NVD即国家漏洞数据库，该数据库是我国目前比较权威的漏洞数据库之一，漏洞信息比较全面，国外也有应用的漏洞数据库如OSVDB。

3 结束语

网络安全扫描技术是一类重要的确保网络安全的技术。当前网络安全问题日益严重，网络安全扫描技术的发展也越来越完善，扫描效果也越来越好，可以及时发现网络中存在的安全威胁。通过网络安全扫描技术，管理员可以及时发现网络中存在的安全问题，从而采取相应的措施，但是当前的网络安全扫描技术各有优缺点，还需要加强研究，进一步完善技术。