首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>网络安全>文章内容
IDS探索新思路 入侵监测融合漏洞扫描
来源:ccidnet.com 作者:ccidnet 发布时间:2005-04-12  

IDS探索新思路 入侵监测融合漏洞扫描
作者:技术天地整理 发文时间:2005.04.09

目前,大多数基于特征的入侵检测系统都是以网络报文探测引擎和主机日志探测引擎为主要事件检测来源。其事件检测能力主要依赖于特征库的完备性和协议报文分析能力。这些产品技术路线存在很大的局限性,对事件的误警和漏警问题缺乏有效控制管理,影响了入侵检测产品的效能,于是业界也怀疑IDS存在的价值。

面对信息安全新的挑战和需求,国内外的IDS厂商也开始尝试在入侵检测系统中将入侵检测与漏洞扫描两种技术相融合,在降低误警和漏警有效控制管理方面获得重大突破,同时还提高了入侵检测系统的目标事件检测能力和未知事件的验证发现能力,启明星辰公司在国内率先推出自己的新一带入侵监测系统。

首先,一般商用入侵检测系统对被检测目标漏洞缺陷和业务应用环境不掌握,导致引擎事件检测策略没有针对性,以致产生大量无用事件报警甚至误警。有些事件只在特定目标存在漏洞或特定应用服务环境下才可能有效,例如:Win95上的DoS事件;第三方应用gftpd的远程溢出事件;Windows办公环境中的IRIX远程溢出事件等。

在启明星辰公司推出的新一代入侵检测系统,融合扫描技术和CNCVE漏洞库对目标资产安全状况预先进行扫描检查,并存入环境资产数据库,通过有效的策略互动和检测事件过滤,较好地实现对目标环境的有效事件报警,大大降低误警率;同时,该系统一改传统入侵检测系统对引擎检测处理后的上传报警事件不提供进一步的分析过滤功能的现状,能为安全分析人员提供控制台上的事件综合过滤分析和事后目标节点的验证功能,使入侵检测产品向入侵事件有效管理分析前进了一大步,能够更好地满足企业安全管理人员的应用需求。

其次,虽然目前大多数商用的入侵检测系统都采用特征事件库匹配技术,但由于特征事件库精确表达存在的局限性,入侵检测正在发展的一个研究领域是创建一种多信息过滤语言,用来描述所有可能的误用判定条件,形成精确事件完整规范。启明星辰公司新一代入侵检测系统的核心数据库引进了多维事件库描述技术,将目标环境特征与入侵事件特征进行综合描述分析,大大提高了报警事件有效性。该系统还采用事件根原因分析技术(即基于漏洞机理等分析方法)检测未知攻击。根原因分析是用来识别漏洞或误用行为的根源的一种方法。使用根原因标志检测将能够检测到新型攻击或变种攻击,并利用远程验证扫描系统进行漏洞验证。例如,冲击波(MSBlaste)蠕虫爆发之前对RPCDcom溢出(MS03-26)进行远程监控;SQLSlammer蠕虫爆发前对SQL Server 2000 Resolution Service 远程溢出(MS02-039)的检测;Nimda蠕虫爆发之前对IIS Unicode(MS00-78)漏洞;MIME头文件漏洞(MS01-20)以及IIS CGI文件名错误解码漏洞(MS01-26)的检测等实例。

综上所述,新一代入侵检测系统通过融合漏洞扫描技术使入侵检测产品不仅克服了过去有效报警事件的局限性,同时还提高了目标资产的检测保护能力。并且结合漏洞机理分析验证扫描手段,提高对新的攻击事件的检测发现能力。

链接:

启明星辰信息技术有限公司研制的新一代入侵检测系统,实现了多类引擎的集中管理,包括:统一通信协议;统一数据存储;统一调度管理控制中心;显示中心和分析中心和统一资产目标环境信息数据库。在有效地融合了入侵检测与漏洞扫描技术的基础上,新一代入侵检测系统建立了具有数据融合关联分析功能的事件报警管理系统。



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·一句话木马
·samcrypt.lib简介
·教你轻松查看QQ空间加密后的好友
·web sniffer 在线嗅探/online ht
·SPIKE与Peach Fuzzer相关知识
·asp,php,aspx一句话集合
·Cisco PIX525 配置备忘
·用Iptables+Fedora做ADSL 路由器
·检查 Web 应用安全的几款开源免
·Md5(base64)加密与解密实战
·NT下动态切换进程分析笔记
·风险评估中的渗透测试
  相关文章
·小规模DDoS用Freebsd+IPFW搞定
·网络入侵检测系统(IDS)漫谈
·溢出利用程序和编程语言大杂烩
·IP欺骗原理精解和防范手段综述
·网站服务器通用和专用保护方法比
·执行一个asp文件完成防止Access
·内核级利用通用Hook函数方法检测
·打造安全的个人Web服务器(win200
·基于ARP欺骗的TCP伪连接D.o.S
·使用TCP/IP协议栈指纹进行远程操
·信息安全认证指南
·了解你的敌人:网络钓鱼--络钓鱼
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved