基于CVE的掃描技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用.pdf

1、隨著計算機(jī)網(wǎng)絡(luò)資源相關(guān)應(yīng)用重要性的快速增長，威脅這些應(yīng)用的入侵行為成了一個亟待解決的關(guān)鍵問題。入侵檢測技術(shù)是繼防火墻、數(shù)據(jù)加密等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù)，它對計算機(jī)網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識別和響應(yīng)，它不僅檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動。目前，大多數(shù)基于特征的入侵檢測系統(tǒng)都是以網(wǎng)絡(luò)報文探測引擎和主機(jī)日志探測引擎為主要事件檢測來源，這造成入侵檢測系統(tǒng)對自己所保護(hù)的網(wǎng)絡(luò)狀況不了解。且入侵檢測系統(tǒng)的事

2、件檢測能力還依賴于特征庫的完備性、特征的準(zhǔn)確性及協(xié)議報文的分析能力，這就使入侵檢測系統(tǒng)對事件的誤警問題缺乏有效的控制管理。 本文首先詳細(xì)研究了目前入侵檢測及掃描技術(shù)特點，然后針對入侵檢測系統(tǒng)高誤報率問題，在目前的入侵檢測系統(tǒng)基礎(chǔ)上，引入掃描模塊，并將基于CVE標(biāo)準(zhǔn)的漏洞庫運(yùn)用到掃描模塊中，設(shè)計了融合CVE的掃描技術(shù)的入侵檢測系統(tǒng)。改進(jìn)的入侵檢測系統(tǒng)從了解自己本網(wǎng)絡(luò)狀況這一思想出發(fā)，利用掃描技術(shù)主動地獲取網(wǎng)絡(luò)當(dāng)前的狀態(tài)信息，并根據(jù)