16.4.2人侵监测和漏洞扫描系统

    1.入侵监测系统的功能和性能要素

    主要包括:

    (1)在检测到入侵事件时，自动执行切断服务、记录入侵过程、邮件报警等动作。

    (2)支持攻击特征信息的集中式发布和攻击取证信息的分布式上载。

    (3)提供多种方式对监视引擎和检测特征的定期更新服务。

    (4)内置网络使用状况监控工具和网络监听工具。

    2.漏洞扫描系统的功能和性能要素

    主要包括:

    (1)定期或不定期地使用安全性分析软件对整个内部系统进行安全扫描，及时发现系统的安全漏洞、报警并提出补救建议。

    (2)支持与入侵监测系统的联动。

    (3)检测规则应与相应的国际标准漏洞相对应，包括CVE, BugTrap,  WhiteHats等国际标准漏洞库。

(4)支持灵活的事件和规则自定义功能，允许用户修改和添加自定义检测事件和规

则，支持事件查询。

    (5)支持快速检索事件和规则信息的功能，方便用户通过事件名、详细信息、检测

规则等关键字对事件进行快速查询。

    (6)可以按照风险级别进行事件分级。

    (7)控制台应能提供事件分析和事后处理功能，应具有对报警事件的源地址进行地址解析，分析主机名，分析攻击来源的功能。

    (8)传感器应提供TCP连接的检测报警能力。

    (9)提供安全事件统计概要报表，并按照风险等级进行归类。

    (10)通过数据库管理工具统计数据库建立时间以及当前记录数目。

    (11)支持对Teardrop, s.cgi缓冲区溢出攻击的检测。