网络入侵检测与漏洞扫描协作研究.pdfVIP

文章编号：1674—7070(2010)01-0088-04 网络入侵检测与漏洞扫描协作研究 刘秀玲 詹仕华 摘要 0 引言 入侵检测 系统是现今 网络信息安全 Introduction 研究的热点，普通的网络入侵检测系统 有较高的误报率，为 了减少误报率并提 入侵检测系统 (IntrusionDetectionSystem，IDS)采用的是一种积 高检测效率，首先在入侵检测系统的分 析引擎中采用将异常检测和误用检测结 极主动的安全防护技术，可以识别出系统是否被入侵，从而做出及时 合起来降低入侵检测 系统的误报率和漏 的反应．一般来说，传统的模式匹配方法是将数据包中内容与系统已 报率，然后再通过漏洞扫描 引擎过滤入 知入侵特征库中的攻击特征串机械地进行匹配，只要发现数据包中 侵检测 系统 中无效警报再次降低误报 率，最后通过响应界面报警． 的内容与攻击特征相匹配，就马上发出警报，并不判断它是不是真的 关键词 攻击行为，这样就不可避免地产生误报 ．例如当攻击利用的Mi— 入侵检测系统；误报率；漏洞扫描 ； croso~IIS上的一个漏洞，而 目标系统上运行的是 Linux+Apache，在 协作 这种情况下所产生的报警就是误报，实际上该入侵是不能成功的．通 中图分类号 TP393 过漏洞扫描可以有效降低 IDS误报率，提高IDS效率． 文献标志码 A 1 入侵检测与漏洞扫描 Intrusiondetectionandvulnerabilityscanning 1．1 入侵检测 入侵检测是一种对系统的运行状态进行监视，发现各种攻击企 图、攻击行为或攻击结果，以保证系统资源的机密性、完整性与可用 性的技术．它通过对计算机网络或计算机系统中的若干关键点收集 信息并对其进行分析，从中发现网络或系统中是否有违反安全策略 的行为和被攻击的迹象，是一种主动防御技术． 从数据来源分类，入侵检测系统分为基于网络的入侵检测系统、 基于主机的入侵检测系统、分布式入侵检测系统3种． 1．2 网络漏洞扫描 网络漏洞扫描器通过远程检测 目标主机 TCP／IP不同端 口的服 务，记录 目标给予的应答，来搜集 目标主机上的各种信息，然后与系 统的漏洞库进行匹配，如果满足匹配条件 ，则认为安全漏洞存在；或 者通过模拟黑客的攻击手法对 目标主机进行攻击，如果模拟攻击成 功，则认为漏洞存在． 收稿13期 2009—10-31 资助项 目 福建省教育厅项 目(JB06119)；福 建农林大学青年基金 (07B21) 2 入侵检测与漏洞扫描协作设计 作者简介 The design of intrusion detection collaborating with vulnerability 刘秀玲，女，硕士，讲师，主要从事通信及 数据库研究．1iuxiuling50@163．corn