入侵监测融合漏洞扫描(2)

    同时，该系统一改传统入侵检测系统对引擎检测处理后的上传报警事件不提供进一步的分析过滤功能的现状，能为安全分析人员提供控制台上的事件综合过滤分析和事后目标节点的验证功能，使入侵检测产品向入侵事件有效管理分析前进了一大步，能够更好地满足企业安全管理人员的应用需求。

　　其次，虽然目前大多数商用的入侵检测系统都采用特征事件库匹配技术，但由于特征事件库精确表达存在的局限性，入侵检测正在发展的一个研究领域是创建一种多信息过滤语言，用来描述所有可能的误用判定条件，形成精确事件完整规范。启明星辰公司新一代入侵检测系统的核心数据库引进了多维事件库描述技术，将目标环境特征与入侵事件特征进行综合描述分析，大大提高了报警事件有效性。该系统还采用事件根原因分析技术（即基于漏洞机理等分析方法）检测未知攻击。根原因分析是用来识别漏洞或误用行为的根源的一种方法。使用根原因标志检测将能够检测到新型攻击或变种攻击，并利用远程验证扫描系统进行漏洞验证。例如，冲击波（MSBlaste）蠕虫爆发之前对RPCDcom溢出（MS03-26）进行远程监控；SQLSlammer蠕虫爆发前对SQL Server2000 Resolution Service 远程溢出（MS02-039）的检测；Nimda蠕虫爆发之前对IIS Unicode（MS00-78）漏洞；MIME头文件漏洞（MS01-20）以及IIS CGI文件名错误解码漏洞（MS01-26）的检测等实例。

　　综上所述，新一代入侵检测系统通过融合漏洞扫描技术使入侵检测产品不仅克服了过去有效报警事件的局限性，同时还提高了目标资产的检测保护能力。并且结合漏洞机理分析验证扫描手段，提高对新的攻击事件的检测发现能力。