找到自身漏洞 信息安全脆弱性分析技术

第四类，脆弱性检测基础性工作，主要指脆弱信息的发现、收集、分类、标准化等研究

安全脆弱性检测依赖于安全脆弱性发现，因此脆弱性原创性发现成为最具挑战性的研究工作。当前，从事安全脆弱性挖掘的研究部门主要来自大学、安全公司、黑客团体等。在脆弱性信息发布方面，Cert最具有代表性，它是最早向Internet网络发布脆弱性信息的研究机构。而在脆弱性信息标准化工作上，Mitre开发“通用漏洞列表(Common Vulnerabilities and Exposures，CVE)”来规范脆弱性命名，同时mitre还研制出开放的脆弱性评估语言OVAL（Open Vulnerability Assessment Language），用于脆弱性检测基准测试，目前该语言正在逐步完善之中。

同国外比较，我国脆弱性信息的实时性和完整性尚欠缺，主要原因在于脆弱性新发现滞后于国外。而安全脆弱性检测、消除、防范等都受制于安全脆弱性的发现。因而，安全脆弱性分析成为最具挑战性的研究热点。

入侵检测与预警技术

网络信息系统安全保障涉及到多种安全系统，包括防护、检测、反应和恢复4个层面。入侵检测系统是其中一个重要的组成部分，扮演着数字空间“预警机”的角色。入侵检测技术大致分为五个阶段：第一阶段是基于简单攻击特征模式匹配检测；第二阶段，基于异常行为模型检测；第三阶段，基于入侵报警的关联分析检测；第四阶段，基于攻击意图检测；第五阶段，基于安全态势检测。归纳起来，入侵检测与预警发展动向表现为以下几方面。

入侵安全技术集成

由于网络技术的发展和攻击技术的变化，入侵检测系统难以解决所有的问题，例如检测、预防、响应、评估等。入侵检测系统正在发生演变：入侵检测系统、弱点检查系统、防火墙系统 、应急响应系统等，将逐步集成在一起，形成一个综合的信息安全保障系统。例如，Securedecisions公司研究开发了一个安全决策系统产品，集成IDS、Scanner、Firewall等功能，并将报警数据可视化处理。入侵阻断系统（Intrusion Prevention System）成为IDS的未来发展方向。

高性能网络入侵检测

现代网络技术的发展带来的新问题是，IDS需要进行海量计算，因而高性能检测算法及新的入侵检测体系成为研究热点。高性能并行计算技术将用于入侵检测领域，高速模式匹配算法及基于纯硬件的NIDS都是目前国外研究的内容。

入侵检测系统标准化

标准化有利于不同类型IDS之间的数据融合及IDS与其他安全产品之间的互动。IETF（Internet Engineering Task Force）的入侵检测工作组（Intrusion Detection Working Group，简称 IDWG）制定了入侵检测消息交换格式(IDMEF)、入侵检测交换协议(IDXP)、入侵报警(IAP)等标准，以适应入侵检测系统之间安全数据交换的需要。同时，这些标准协议得到了Silicon Defense、Defcom、UCSB等不同组织的支持，而且按照标准的规定进行实现。目前，开放源代码的网络入侵检测系统Snort已经支持Idmef的插件。因此，具有标准化接口的功能将是下一代IDS的发展方向。

嵌入式入侵检测

互联网的应用，使计算模式继主机计算和桌面计算之后，将进入一种全新的计算模式，这就是普适计算模式。普适计算模式强调把计算机嵌入到人们日常生活和工作环境中，使用户能方便地访问信息和得到计算的服务。随着大量移动计算设备的使用，嵌入式入侵检测技术得到了重视。