入侵监测融合漏洞扫描(1)

　　IDS探索新思路 入侵监测融合漏洞扫描

　　面对信息安全新的挑战和需求，国内外的IDS厂商也开始尝试在入侵检测系统中将入侵检测与漏洞扫描两种技术相融合，在降低误警和漏警有效控制管理方面获得重大突破，

　　同时还提高了入侵检测系统的目标事件检测能力和未知事件的验证发现能力。

　　目前，大多数基于特征的入侵检测系统都是以网络报文探测引擎和主机日志探测引擎为主要事件检测来源。其事件检测能力主要依赖于特征库的完备性和协议报文分析能力。这些产品技术路线存在很大的局限性，对事件的误警和漏警问题缺乏有效控制管理，影响了入侵检测产品的效能，于是业界也怀疑IDS存在的价值。

　　面对信息安全新的挑战和需求，国内外的IDS厂商也开始尝试在入侵检测系统中将入侵检测与漏洞扫描两种技术相融合，在降低误警和漏警有效控制管理方面获得重大突破，同时还提高了入侵检测系统的目标事件检测能力和未知事件的验证发现能力，启明星辰公司在国内率先推出自己的新一带入侵监测系统。

　　首先，一般商用入侵检测系统对被检测目标漏洞缺陷和业务应用环境不掌握，导致引擎事件检测策略没有针对性，以致产生大量无用事件报警甚至误警。有些事件只在特定目标存在漏洞或特定应用服务环境下才可能有效，例如：Win95上的DoS事件；第三方应用gftpd的远程溢出事件；Windows办公环境中的IRIX远程溢出事件等。

　　在启明星辰公司推出的新一代入侵检测系统，融合扫描技术和CNCVE漏洞库对目标资产安全状况预先进行扫描检查，并存入环境资产数据库，通过有效的策略互动和检测事件过滤，较好地实现对目标环境的有效事件报警，大大降低误警率。