信息安全所涉及的内容越来越多，从最初的信息保密性，发展到现在的信息的完整性、可用性、可控性和不可否认性，信息技术在一步步走向成熟。

　　据国外SecurityFocus公司的安全脆弱性统计数据表明，绝大部分操作系统存在安全脆弱性。一些应用软件面临同样的问题。再加上管理、软件复杂性等问题，信息产品的安全脆弱性还远未能解决。由于安全脆弱性分析事关重大，安全脆弱性发现技术细节一般不对外公布，例如最近Windows平台上RPC 安全脆弱性，尽管国外安全组织已经报告，但安全脆弱性分析过程及利用始终未透露。

　　信息系统安全脆弱性分析技术

　　当前安全脆弱性时刻威胁着网络信息系统的安全。要保障网络信息安全，关键问题之一是解决安全脆弱性问题，包括安全脆弱性扫描、安全脆弱性修补、安全脆弱性预防等。

　　网络系统的可靠性、健壮性、抗攻击性强弱也取决于所使用的信息产品本身是否存在安全隐患。围绕安全脆弱性分析的研究工作分为以下几个方面:

　　第一类，基于已知脆弱性检测及局部分析方法。

　　SATAN是最早的网络脆弱性分析工具，也是该类研究的代表，由网络安全专家Dan Farmer和Wietse Venema研制，其基本的设计思路是模拟攻击者来尝试进入自己防守的系统，SATAN具有一种扩充性好的框架，只要掌握了扩充规则，就可以把自己的检测程序和检测规则加入到这个框架中去，使它成为SATAN的一个有机成分。

　　正因为如此，当SATAN的作者放弃继续开发新版本之后，它能被别的程序员接手过去，从魔鬼（SATAN）一跃变成了圣者（SAINT）。SAINT与SATAN相比，增加了许多新的检测方法，但丝毫没有改变SATAN的体系结构。SATAN 系统只能运行在Unix系统上，远程用户无法使用SATAN检测。SAINT解决了SATAN远程用户问题，但是SATAN和SAINT都无法对一些远程主机的本地脆弱性进行采集，而且两者的脆弱信息分析方法停留在低级别上，只能处理原始的脆弱信息。

　　Nessus是一款免费、开放源代码和最新的网络脆弱性分析工具，可运行在Linux、BSD、Solaris和其他平台上，实现多线程和插件功能，提供GTK界面，目前可检查多种远程安全漏洞。但是，Nessus只能从远程进行扫描获取脆弱性。许多脆弱性是本地的，不能通过网络检测到或被利用，例如收集主机配置信息，信任关系和组的信息难以远程获取。

　　第二类，基于安全属性形式规范脆弱性检测方法。

　　自动和系统地进行脆弱性分析是目前的研究重点，C.R.Ramakri-shnan和R.Sekar提出了一种基于模型的配置脆弱性分析方法，其基本原理是: 首先以形式来规范目标的安全属性，例如，普通用户不能够重写系统日志子文件; 其次建立系统抽象模型描述安全相关行为，抽象模型由系统的组件模型来组成，例如，文件系统、特权进程等; 最后检查抽象模型是否满足安全属性，如果不满足，则生成一个脆弱性挖掘过程操作序列，用以说明导致这些安全属性冲突的实现过程。

　　该方法的优点在于检测已知和新的脆弱点，而COPS和SATAN主要解决已知脆弱性的检查。但是运用该方法需要占用大量计算资源，目前还无法做到实际可用，另外，方法的可扩展性仍然是一个难题，实际模型要比实验大得多。模型的开发过程依赖于手工建立，模型自动生成技术尚需要解决。

　　第三类，基于关联的脆弱性分析与检测。

　　这类研究工作利用了第一、第二类研究成果，侧重脆弱性的关联分析，即从攻击者的角度描述脆弱点的挖掘过程。一款基于网络拓扑结构的脆弱分析工具TVA (Topological Vulnerability Analysis)能够模拟渗透安全专家自动地进行高强度脆弱性分析，给出脆弱点挖掘过程，生成攻击图。TVA将攻击步骤及条件建立为状态迁移图，这种表示使得脆弱性分析具有好的扩充性，使得输入指定的计算资源算出安全的网络配置。

　　然而TVA模型化脆弱性挖掘过程依赖尚需要手工输入，该问题的解决需要一种标准的、机器能理解的语言自动获取领域知识。另外，若一个大型网络存在多个脆弱点，则TVA将产生巨大图形，因而图形的管理将成为难题。最后，TVA用到的信息要准确可靠，以便确定脆弱点是否可用，但是TVA的脆弱信息只是依靠Nessus。

　　Laura P.Swiler等人也研制了计算机攻击图形生成工具，将网络配置、攻击者能力、攻击模板、攻击者轮廓输入到攻击图生成器就可以输出攻击图，图中最短路径集表示系统最有可能受到攻击途径。Oleg Sheyner和Joshua Haines用模型检查方法来研究攻击图的自动生成和分析，其基本的思路是将网络抽象成一个有限状态机，状态的迁移表示原子攻击，并且赋予特定安全属性要求。然后用模型检查器NuSMV自动生成攻击图，并以网络攻击领域知识来解释图中状态变量意义和分析图中的状态变迁关系。但是该方法所要处理问题是模型的可扩展性，计算开销大，建模所使用到的数据依赖于手工来实现。

　　第四类，脆弱性检测基础性工作，主要指脆弱信息的发现、收集、分类、标准化等研究。

　　安全脆弱性检测依赖于安全脆弱性发现，因此脆弱性原创性发现成为最具挑战性的研究工作。当前，从事安全脆弱性挖掘的研究部门主要来自大学、安全公司、黑客团体等。在脆弱性信息发布方面，CERT最具有代表性，它是最早向Internet网络发布脆弱性信息的研究机构。而在脆弱性信息标准化工作上， Mitre开发“通用漏洞列表(Common Vulnerabilities and Exposures，CVE)”来规范脆弱性命名，同时Mitre还研制出开放的脆弱性评估语言OVAL（Open Vulnerability Assessment Language），用于脆弱性检测基准测试，目前该语言正在逐步完善之中。

　　同国外比较，我国脆弱性信息的实时性和完整性尚欠缺，主要原因在于脆弱性新发现滞后于国外。而安全脆弱性检测、消除、防范等都受制于安全脆弱性的发现。因而，安全脆弱性分析成为最具挑战性的研究热点。

　　入侵检测与预警技术

　　网络信息系统安全保障涉及到多种安全系统，包括防护、检测、反应和恢复4个层面。入侵检测系统是其中一个重要的组成部分，扮演着数字空间“预警机”的角色。入侵检测技术大致分为五个阶段: 第一阶段是基于简单攻击特征模式匹配检测; 第二阶段，基于异常行为模型检测; 第三阶段，基于入侵报警的关联分析检测; 第四阶段，基于攻击意图检测; 第五阶段，基于安全态势检测。归纳起来，入侵检测与预警发展动向表现为以下几方面。

　　入侵安全技术集成

　　由于网络技术的发展和攻击技术的变化，入侵检测系统难以解决所有的问题，例如检测、预防、响应、评估等。入侵检测系统正在发生演变: 入侵检测系统、弱点检查系统、防火墙系统、应急响应系统等，将逐步集成在一起，形成一个综合的信息安全保障系统。例如，Securedecisions公司研究开发了一个安全决策系统产品，集成 IDS、Scanner、Firewall等功能，并将报警数据可视化处理。入侵阻断系统（intrusion prevention system）成为IDS的未来发展方向。

　　高性能网络入侵检测

　　现代网络技术的发展带来的新问题是，IDS需要进行海量计算，因而高性能检测算法及新的入侵检测体系成为研究热点。高性能并行计算技术将用于入侵检测领域，高速模式匹配算法及基于纯硬件的NIDS都是目前国外研究的内容。

　　入侵检测系统标准化

　　标准化有利于不同类型IDS之间的数据融合及IDS与其他安全产品之间的互动。IETF（Internet Engineering Task Force）的入侵检测工作组（Intrusion Detection Working Group，简称 IDWG）制定了入侵检测消息交换格式(IDMEF)、入侵检测交换协议(IDXP)、入侵报警(IAP)等标准，以适应入侵检测系统之间安全数据交换的需要。同时，这些标准协议得到了silicon defense、defcom、UCSB等不同组织的支持，而且按照标准的规定进行实现。目前，开放源代码的网络入侵检测系统Snort已经支持 IDMEF的插件。因此，具有标准化接口的功能将是下一代IDS的发展方向。

　　嵌入式入侵检测

　　互联网的应用，使计算模式继主机计算和桌面计算之后，将进入一种全新的计算模式，这就是普适计算模式。普适计算模式强调把计算机嵌入到人们日常生活和工作环境中，使用户能方便地访问信息和得到计算的服务。随着大量移动计算设备的使用，嵌入式入侵检测技术得到了重视。

　　入侵检测与预警体系化

　　入侵检测系统由集中向分布式发展，通过探测器分布式部署，实现对入侵行为的分级监控，将报警事件汇总到入侵管理平台，然后集中关联分析，以掌握安全态势的全局监控，从而支持应急响应。目前技术正向“检测-响应”到“预警-准备”方向发展。

　　网络蠕虫防范技术

　　与传统的主机病毒相比，网络蠕虫具有更强的繁殖能力和破坏能力。传统的基于单机的病毒预防技术、基于单机联动的局域网病毒防范技术、病毒防火墙技术等都不能很好地适应开放式网络对网络蠕虫的预警要求。例如，传统的单机病毒检测技术依赖于一定的检测规则，不适应网络蠕虫的检测。因为网络中恶意代码种类繁多，形态千变万化，其入侵、感染、发作机制也千差万别。近年来的研究热点主要是: 计算机蠕虫的分类、蠕虫流量的仿真及蠕虫预警系统设计与测试、蠕虫的传播仿真实验、蠕虫剖析模型及隔离技术研究。在网络蠕虫的产品市场方面，国外 SILICON DEFENSE公司发布围堵蠕虫产品counterMalice，Lancope公司的StealthWatch产品，该产品是基于行为入侵检测系统，具有威胁管理功能。

　　总之，就网络蠕虫发展状况来看，网络蠕虫的攻防技术正处于发展期间，其主要技术走向包括: 网络蠕虫的快速传播机制及隐蔽机制; 网络蠕虫的早期预警技术和仿真测试; 网络蠕虫应急响应技术，主要是阻断技术; 网络蠕虫理论模型，如基于应用系统的蠕虫、数据库蠕虫、移动环境网络蠕虫。抗网络蠕虫攻击机制，如代码随机化、软件多样性、蠕虫攻击特征自动识别。

　　信息系统攻击容忍技术

　　据有关资料统计，通信中断1小时可以使保险公司损失2万美元，使航空公司损失250万美元，使投资银行损失600万美元。如果通信中断2天则足以使银行倒闭。攻击容忍技术解决的安全问题是在面临攻击、失效和偶发事件的情况下，信息网络系统仍能按用户要求完成任务，信息网络系统能够支持用户必要的业务运行。目前，国际上关于信息网络系统生存的研究处于发展阶段，其主要研究领域包括生存性概念及其特性、生存性模型和仿真、生存性工程、系统的生存性分析与评估、网络容错、数据库入侵容忍等。