目前,大多数基于特征的入侵检测系统都是以网络报文探测引擎和主机日志探测引擎为主要事件检测来源。其事件检测能力主要依赖于特征库的完备性和协议报文分析能力。这些产品技术路线存在很大的局限性,对事件的误警和漏警问题缺乏有效控制管理,影响了入侵检测产品的效能,于是业界也怀疑IDS存在的价值。
面对信息安全新的挑战和需求,国内外的IDS厂商也开始尝试在入侵检测系统中将入侵检测与漏洞扫描两种技术相融合,在降低误警和漏警有效控制管理方面获得重大突破,同时还提高了入侵检测系统的目标事件检测能力和未知事件的验证发现能力,启明星辰公司在国内率先推出自己的新一带入侵监测系统。
首先,一般商用入侵检测系统对被检测目标漏洞缺陷和业务应用环境不掌握,导致引擎事件检测策略没有针对性,以致产生大量无用事件报警甚至误警。有些事件只在特定目标存在漏洞或特定应用服务环境下才可能有效,例如:Win95上的DoS事件;第三方应用gftpd的远程溢出事件;Windows办公环境中的IRIX远程溢出事件等。
在启明星辰公司推出的新一代入侵检测系统,融合扫描技术和CNCVE漏洞库对目标资产安全状况预先进行扫描检查,并存入环境资产数据库,通过有效的策略互动和检测事件过滤,较好地实现对目标环境的有效事件报警,大大降低误警率;同时,该系统一改传统入侵检测系统对引擎检测处理后的上传报警事件不提供进一步的分析过滤功能的现状,能为安全分析人员提供控制台上的事件综合过滤分析和事后目标节点的验证功能,使入侵检测产品向入侵事件有效管理分析前进了一大步,能够更好地满足企业安全管理人员的应用需求。
其次,虽然目前大多数商用的入侵检测系统都采用特征事件库匹配技术,但由于特征事件库精确表达存在的局限性,入侵检测正在发展的一个研究领域是创建一种多信息过滤语言,用来描述所有可能的误用判定条件,形成精确事件完整规范。启明星辰公司新一代入侵检测系统的核心数据库引进了多维事件库描述技术,将目标环境特征与入侵事件特征进行综合描述分析,大大提高了报警事件有效性。该系统还采用事件根原因分析技术(即基于漏洞机理等分析方法)检测未知攻击。根原因分析是用来识别漏洞或误用行为的根源的一种方法。使用根原因标志检测将能够检测到新型攻击或变种攻击,并利用远程验证扫描系统进行漏洞验证。例如,冲击波(MSBlaste)蠕虫爆发之前对RPCDcom溢出(MS03-26)进行远程监控;SQLSlammer蠕虫爆发前对SQL Server 2000 Resolution Service 远程溢出(MS02-039)的检测;Nimda蠕虫爆发之前对IIS Unicode(MS00-78)漏洞;MIME头文件漏洞(MS01-20)以及IIS CGI文件名错误解码漏洞(MS01-26)的检测等实例。
综上所述,新一代入侵检测系统通过融合漏洞扫描技术使入侵检测产品不仅克服了过去有效报警事件的局限性,同时还提高了目标资产的检测保护能力。并且结合漏洞机理分析验证扫描手段,提高对新的攻击事件的检测发现能力。
4/20/2005
|