扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
其次,虽然目前大多数商用的入侵检测系统都采用特征事件库匹配技术,但由于特征事件库精确表达存在的局限性,入侵检测正在发展的一个研究领域是创建一种多信息过滤语言,用来描述所有可能的误用判定条件,形成精确事件完整规范。启明星辰公司新一代入侵检测系统的核心数据库引进了多维事件库描述技术,将目标环境特征与入侵事件特征进行综合描述分析,大大提高了报警事件有效性。该系统还采用事件根原因分析技术(即基于漏洞机理等分析方法)检测未知攻击。根原因分析是用来识别漏洞或误用行为的根源的一种方法。使用根原因标志检测将能够检测到新型攻击或变种攻击,并利用远程验证扫描系统进行漏洞验证。例如,冲击波(MSBlaste)蠕虫爆发之前对RPCDcom溢出(MS03-26)进行远程监控;SQLSlammer蠕虫爆发前对SQL Server2000 Resolution Service 远程溢出(MS02-039)的检测;Nimda蠕虫爆发之前对IIS Unicode(MS00-78)漏洞;MIME头文件漏洞(MS01-20)以及IIS CGI文件名错误解码漏洞(MS01-26)的检测等实例。
综上所述,新一代入侵检测系统通过融合漏洞扫描技术使入侵检测产品不仅克服了过去有效报警事件的局限性,同时还提高了目标资产的检测保护能力。并且结合漏洞机理分析验证扫描手段,提高对新的攻击事件的检测发现能力。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。