当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > IDS探索新思路入侵监测融合漏洞扫描

安全基础
找出安全漏洞 QQ盗号软件后门分析与反击
网络安全技术 再谈跨站脚本攻击与防御
掌控PC 如何应对僵尸主机及僵尸网络
如何在Windows中构建蜜罐?
分析并清除web服务器上的网页木马
基础知识讲解 病毒的IFEO映像劫持技术
网管秘籍 拒绝服务攻击防御全攻略
网管秘籍 如何减轻DDoS攻击带来的危害
利用输入法漏洞轻松破解Vista登录密码
安全保障!封杀木马病毒十大绝招
变态入侵:有史以来最酷的Windows后门
安全导航:认识反网络钓鱼欺骗新技术
管理好自己密码的10个技巧
如何隐藏管理员帐号
网络监听的原理、实现技术与防范方法
简单分析微软无线键盘的安全隐患
解密美国FBI的电话及网络监控技术
突破ADSL限制 通过宽带路由多机共享上网
Autorun病毒防御者 让U盘不中毒
计算机的密码设置技巧

安全基础 中的 IDS探索新思路入侵监测融合漏洞扫描


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 67 ::
收藏到网摘: n/a

  目前,大多数基于特征的入侵检测系统都是以网络报文探测引擎和主机日志探测引擎为主要事件检测来源。其事件检测能力主要依赖于特征库的完备性和协议报文分析能力。这些产品技术路线存在很大的局限性,对事件的误警和漏警问题缺乏有效控制管理,影响了入侵检测产品的效能,于是业界也怀疑IDS存在的价值。

  面对信息安全新的挑战和需求,国内外的IDS厂商也开始尝试在入侵检测系统中将入侵检测与漏洞扫描两种技术相融合,在降低误警和漏警有效控制管理方面获得重大突破,同时还提高了入侵检测系统的目标事件检测能力和未知事件的验证发现能力,启明星辰公司在国内率先推出自己的新一带入侵监测系统。

  首先,一般商用入侵检测系统对被检测目标漏洞缺陷和业务应用环境不掌握,导致引擎事件检测策略没有针对性,以致产生大量无用事件报警甚至误警。有些事件只在特定目标存在漏洞或特定应用服务环境下才可能有效,例如:Win95上的DoS事件;第三方应用gftpd的远程溢出事件;Windows办公环境中的IRIX远程溢出事件等。

  在启明星辰公司推出的新一代入侵检测系统,融合扫描技术和CNCVE漏洞库对目标资产安全状况预先进行扫描检查,并存入环境资产数据库,通过有效的策略互动和检测事件过滤,较好地实现对目标环境的有效事件报警,大大降低误警率;同时,该系统一改传统入侵检测系统对引擎检测处理后的上传报警事件不提供进一步的分析过滤功能的现状,能为安全分析人员提供控制台上的事件综合过滤分析和事后目标节点的验证功能,使入侵检测产品向入侵事件有效管理分析前进了一大步,能够更好地满足企业安全管理人员的应用需求。

其次,虽然目前大多数商用的入侵检测系统都采用特征事件库匹配技术,但由于特征事件库精确表达存在的局限性,入侵检测正在发展的一个研究领域是创建一种多信息过滤语言,用来描述所有可能的误用判定条件,形成精确事件完整规范。启明星辰公司新一代入侵检测系统的核心数据库引进了多维事件库描述技术,将目标环境特征与入侵事件特征进行综合描述分析,大大提高了报警事件有效性。该系统还采用事件根原因分析技术(即基于漏洞机理等分析方法)检测未知攻击。根原因分析是用来识别漏洞或误用行为的根源的一种方法。使用根原因标志检测将能够检测到新型攻击或变种攻击,并利用远程验证扫描系统进行漏洞验证。例如,冲击波(MSBlaste)蠕虫爆发之前对RPCDcom溢出(MS03-26)进行远程监控;SQLSlammer蠕虫爆发前对SQL Server 2000 Resolution Service 远程溢出(MS02-039)的检测;Nimda蠕虫爆发之前对IIS Unicode(MS00-78)漏洞;MIME头文件漏洞(MS01-20)以及IIS CGI文件名错误解码漏洞(MS01-26)的检测等实例。

    综上所述,新一代入侵检测系统通过融合漏洞扫描技术使入侵检测产品不仅克服了过去有效报警事件的局限性,同时还提高了目标资产的检测保护能力。并且结合漏洞机理分析验证扫描手段,提高对新的攻击事件的检测发现能力。