漏洞扫描和入侵检测联动机制探讨.pdfVIP

漏洞扫描和入侵检测联动机制探讨 王 熠，肖竞华 (武汉科技大学 计算机科学与技术学院，湖北 武汉 430065) 摘 要：由于漏洞扫描器和入侵检测系统都有不同程度 的产生误报和漏报的缺陷，提出了将这两个系统进行联动的模型和实现 方案。该模型通过开放接 口的方式实现联动，将漏洞信息和报警信息传递到联动机制中的预处理器，根据策略库的关联规则进 行联动分析，可以很大程度上降低误报和漏报的比例，提高检测的效率。 关键词：漏洞扫描；入侵检测 ；联动 The Correlation Mechanism of Vulnerability Scannerand Intrusion Detection System WANG Yi．XIAO Jing-hua (SchoolofComputerScience,WuhanUniversityofScienceandTechnology,WuhanHube／4：0085,Ch~a) Abstract： Bothvulnerabilityscannerandintrusiondetectionsystem (IDS)sufferfromthedrawbackofproducingfalsepositiveandfalsenegative results．Soa correlationmodelbetween thevulnerability scanner and IDS isproposed inthispaper．ThemodelusestheopeninterfacetO implement correlation． Firsc，thevulnerability information and alertsalarmsare transmitted into the preprocessor； second， execute the correlation analysis according t0 the rulesin policy database． Thismethod cangreatly reducethefalsepositive and false negativerates。 enhancing the detection efficiency． Key words：vulnerability scan；intrusiondetection；correlation 1研究背景 文提出了一种联动机制，将漏洞扫描和入侵检测联动起来， 漏洞扫描和入侵检测是当今 网络安全 中流行 的两 漏洞信息和报警信息传递到联动机制 中的预处理器 ，根据 大防护技术。但是漏洞扫描和入侵检测都有误报 (False 策略库的关联规则进行联动分析 ，可 以很大程度上降低误 Positive)、漏报 (FalseNegative)的缺陷。入侵检测系统 报和漏报的比率，提高检测的效率。 产生误报的情况很多，比如，一个 IDS在 Web URL中 发现 “／etc／passwd”可能会认为是一个 CGI—BIN的 2漏洞扫描和入侵检测的联动分析 攻击而报警 ，但这也可能是一些人进入G0ogle网搜索 2．1联动的理论基础 “／etc／passwd”的正常行为…。又比如 ，黑客伪造大量并 美国Wisconsin大 Barton Miller教授绘龃一协 | 无实际危害的数据包，可以导致 IDS频繁报警甚至瘫痪， 有关现今流行操作系统和应用程序的研究报告，指出软件 臻 中不可能没有漏洞和缺陷。漏洞扫描是一种主动防御技术， 薯 以便一掩—r盖真正-．的攻一击 。而—鬈漏报厂是．、指—未能一检、测I出真正∥的一攻 一j 击，这是由于入侵检测系统常常不能及时更新特征规则库。 匹配漏洞库 ，及利用插件技术 ，确定存在的漏洞后及时下 另一方面，漏洞扫描器误报和漏报的原因有 ：一是扫描器 载补丁 ，抵御攻击者的攻击 ，如Ne