|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機整體��,實現(xiàn)資源的全面共享和有機協(xié)作���,使人們能夠透明地使用資源的整體能力并按需獲取信息����。資源包括高性能計算機�����、存儲資源���、數(shù)據(jù)資源����、信息資源、知識資源���、專家資源�����、大型數(shù)據(jù)庫�、網(wǎng)絡(luò)����、傳感器等。 當前的互聯(lián)網(wǎng)只限于信息共享���,網(wǎng)絡(luò)則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段�。 目前����,大多數(shù)基于特征的入侵檢測系統(tǒng)都是以網(wǎng)絡(luò)報文探測引擎和主機日志探測引擎為主要事件檢測來源�����。其事件檢測能力主要依賴于特征庫的完備性和協(xié)議報文分析能力。這些產(chǎn)品技術(shù)路線存在很大的局限性����,對事件的誤警和漏警問題缺乏有效控制管理,影響了入侵檢測產(chǎn)品的效能�,于是業(yè)界也懷疑IDS存在的價值。
面對信息安全新的挑戰(zhàn)和需求�����,國內(nèi)外的IDS廠商也開始嘗試在入侵檢測系統(tǒng)中將入侵檢測與漏洞掃描兩種技術(shù)相融合�����,在降低誤警和漏警有效控制管理方面獲得重大突破����,同時還提高了入侵檢測系統(tǒng)的目標事件檢測能力和未知事件的驗證發(fā)現(xiàn)能力���,啟明星辰公司在國內(nèi)率先推出自己的新一帶入侵監(jiān)測系統(tǒng)�。
首先�,一般商用入侵檢測系統(tǒng)對被檢測目標漏洞缺陷和業(yè)務(wù)應(yīng)用環(huán)境不掌握,導致引擎事件檢測策略沒有針對性����,以致產(chǎn)生大量無用事件報警甚至誤警�。有些事件只在特定目標存在漏洞或特定應(yīng)用服務(wù)環(huán)境下才可能有效��,例如:Win95上的DoS事件�;第三方應(yīng)用gftpd的遠程溢出事件;Windows辦公環(huán)境中的IRIX遠程溢出事件等�����。
在啟明星辰公司推出的新一代入侵檢測系統(tǒng)��,融合掃描技術(shù)和CNCVE漏洞庫對目標資產(chǎn)安全狀況預先進行掃描檢查��,并存入環(huán)境資產(chǎn)數(shù)據(jù)庫�����,通過有效的策略互動和檢測事件過濾����,較好地實現(xiàn)對目標環(huán)境的有效事件報警,大大降低誤警率���;同時�,該系統(tǒng)一改傳統(tǒng)入侵檢測系統(tǒng)對引擎檢測處理后的上傳報警事件不提供進一步的分析過濾功能的現(xiàn)狀�,能為安全分析人員提供控制臺上的事件綜合過濾分析和事后目標節(jié)點的驗證功能,使入侵檢測產(chǎn)品向入侵事件有效管理分析前進了一大步�����,能夠更好地滿足企業(yè)安全管理人員的應(yīng)用需求��。
其次���,雖然目前大多數(shù)商用的入侵檢測系統(tǒng)都采用特征事件庫匹配技術(shù)���,但由于特征事件庫精確表達存在的局限性,入侵檢測正在發(fā)展的一個研究領(lǐng)域是創(chuàng)建一種多信息過濾語言��,用來描述所有可能的誤用判定條件����,形成精確事件完整規(guī)范。啟明星辰公司新一代入侵檢測系統(tǒng)的核心數(shù)據(jù)庫引進了多維事件庫描述技術(shù)���,將目標環(huán)境特征與入侵事件特征進行綜合描述分析��,大大提高了報警事件有效性���。該系統(tǒng)還采用事件根原因分析技術(shù)(即基于漏洞機理等分析方法)檢測未知攻擊�����。根原因分析是用來識別漏洞或誤用行為的根源的一種方法��。使用根原因標志檢測將能夠檢測到新型攻擊或變種攻擊�,并利用遠程驗證掃描系統(tǒng)進行漏洞驗證�。例如,沖擊波(MSBlaste)蠕蟲爆發(fā)之前對RPCDcom溢出(MS03-26)進行遠程監(jiān)控�;SQLSlammer蠕蟲爆發(fā)前對SQL Server 2000 Resolution Service 遠程溢出(MS02-039)的檢測�����;Nimda蠕蟲爆發(fā)之前對IIS Unicode(MS00-78)漏洞����;MIME頭文件漏洞(MS01-20)以及IIS CGI文件名錯誤解碼漏洞(MS01-26)的檢測等實例����。
綜上所述,新一代入侵檢測系統(tǒng)通過融合漏洞掃描技術(shù)使入侵檢測產(chǎn)品不僅克服了過去有效報警事件的局限性,同時還提高了目標資產(chǎn)的檢測保護能力��。并且結(jié)合漏洞機理分析驗證掃描手段�,提高對新的攻擊事件的檢測發(fā)現(xiàn)能力��。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中����,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴峻的考驗―從硬件上����、軟件上、所用標準上......�,各項技術(shù)都需要適時應(yīng)勢�,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進步的催化劑�����。
| 
