当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > IDS探索新思路入侵监测融合漏洞扫描

安全基础
入侵检测系统之日志检测详解
在Windows中密码设置的几个要点
Windows 2000密码破解不完全指南
用WinRAR解密木马捆绑的原理
四招技巧轻松学会安全上网
防范自己的IP泄漏 菜鸟也学IP的侦察和隐藏
11个不可不知的安全保护常识
精彩!微软反间谍软件应用详尽攻略
防范非法用户的侵入
微软1月补丁更新:两个高危级
修改TTL值 巧妙骗过黑客
纠正14条日常查杀电脑病毒的错误认识
内网计算机安全技术十大策略详解
“灰鸽子”网页木马从原理、制作到防范
端口、木马、安全和扫描应用知识
这个马儿太厉害!浅析灰鸽子的防范与清除
安全至上!教你在局域网中隐藏自己
P2P的安全守卫者:PeerGuardian
Google提醒用户注意危险网站 关键词搜索带来麻烦
24个最恶意的中文网站,千万不要试!(最新)

安全基础 中的 IDS探索新思路入侵监测融合漏洞扫描


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 79 ::
收藏到网摘: n/a

  目前,大多数基于特征的入侵检测系统都是以网络报文探测引擎和主机日志探测引擎为主要事件检测来源。其事件检测能力主要依赖于特征库的完备性和协议报文分析能力。这些产品技术路线存在很大的局限性,对事件的误警和漏警问题缺乏有效控制管理,影响了入侵检测产品的效能,于是业界也怀疑IDS存在的价值。

  面对信息安全新的挑战和需求,国内外的IDS厂商也开始尝试在入侵检测系统中将入侵检测与漏洞扫描两种技术相融合,在降低误警和漏警有效控制管理方面获得重大突破,同时还提高了入侵检测系统的目标事件检测能力和未知事件的验证发现能力,启明星辰公司在国内率先推出自己的新一带入侵监测系统。

  首先,一般商用入侵检测系统对被检测目标漏洞缺陷和业务应用环境不掌握,导致引擎事件检测策略没有针对性,以致产生大量无用事件报警甚至误警。有些事件只在特定目标存在漏洞或特定应用服务环境下才可能有效,例如:Win95上的DoS事件;第三方应用gftpd的远程溢出事件;Windows办公环境中的IRIX远程溢出事件等。

  在启明星辰公司推出的新一代入侵检测系统,融合扫描技术和CNCVE漏洞库对目标资产安全状况预先进行扫描检查,并存入环境资产数据库,通过有效的策略互动和检测事件过滤,较好地实现对目标环境的有效事件报警,大大降低误警率;同时,该系统一改传统入侵检测系统对引擎检测处理后的上传报警事件不提供进一步的分析过滤功能的现状,能为安全分析人员提供控制台上的事件综合过滤分析和事后目标节点的验证功能,使入侵检测产品向入侵事件有效管理分析前进了一大步,能够更好地满足企业安全管理人员的应用需求。

其次,虽然目前大多数商用的入侵检测系统都采用特征事件库匹配技术,但由于特征事件库精确表达存在的局限性,入侵检测正在发展的一个研究领域是创建一种多信息过滤语言,用来描述所有可能的误用判定条件,形成精确事件完整规范。启明星辰公司新一代入侵检测系统的核心数据库引进了多维事件库描述技术,将目标环境特征与入侵事件特征进行综合描述分析,大大提高了报警事件有效性。该系统还采用事件根原因分析技术(即基于漏洞机理等分析方法)检测未知攻击。根原因分析是用来识别漏洞或误用行为的根源的一种方法。使用根原因标志检测将能够检测到新型攻击或变种攻击,并利用远程验证扫描系统进行漏洞验证。例如,冲击波(MSBlaste)蠕虫爆发之前对RPCDcom溢出(MS03-26)进行远程监控;SQLSlammer蠕虫爆发前对SQL Server 2000 Resolution Service 远程溢出(MS02-039)的检测;Nimda蠕虫爆发之前对IIS Unicode(MS00-78)漏洞;MIME头文件漏洞(MS01-20)以及IIS CGI文件名错误解码漏洞(MS01-26)的检测等实例。

    综上所述,新一代入侵检测系统通过融合漏洞扫描技术使入侵检测产品不仅克服了过去有效报警事件的局限性,同时还提高了目标资产的检测保护能力。并且结合漏洞机理分析验证扫描手段,提高对新的攻击事件的检测发现能力。