IDS作為企業(yè)防護系統(tǒng)受到廣大企業(yè)的推崇，但是IDS誤報問題也是反對IDS系統(tǒng)呼聲中最高的。IDS誤報就是指檢測算法將正常的網絡數(shù)據(jù)當成了攻擊。那我們通過IDS誤報的典型情況分析對于IDS誤報的對策。

IDS誤報的典型情況

典型的情況：用戶第一次使用IDS時，打開（起用）了所有可能的算法和配置，就等于說："告訴我網絡上所發(fā)生的一切。"他們對所有的活動都感到驚喜。也許他們的確抓住了個把壞蛋?？墒且粌蓚€星期之后，他們會說："唉，我被這些信息淹沒了，我無法對它們進行響應。"于是就產生了"誤報"的說法，事實上，在很多情況下，它們僅僅是誤警。用戶往往會對IDS報有錯誤的期望，他們指望IDS會自動提供他們希望看到的東西。我們距離這一目標還有很長的路要走。

在這方面，誤報是一個關鍵問題。很顯然，如果IDS產品將正常的網絡數(shù)據(jù)當成攻擊，客戶就不會再安裝IDS產品，以免影響其正常業(yè)務。IDS廠商應當投入大量資源和時間使IDS的算法運作良好，這樣一來，當客戶使用我們的產品時不會有很多誤報。

而且問題并不總是出在工具上面，也取決于如何配置工具。任何產品都是如此，如果配置得當，你會發(fā)現(xiàn)設備反映靈敏。如果你打開所有的（監(jiān)控）功能，則會造成數(shù)據(jù)泛濫，難以正常監(jiān)控。

但實際情況比這更加復雜。兩個不同的機構由于站點配置不同，對同一產品的誤報的評價也不同。當你在一個沒有人使用IE的網絡中發(fā)現(xiàn)了IE流量，（就說明誤報的存在）你同時對一個開放研究網和一個校園網中進行觀察，得出的結論是完全不同的。

造成誤報與誤警的認識誤區(qū)的一個重要原因是IDS所能報告的不只是攻擊，而是報告網絡的一切情況。例如IDS能夠報告TCP連接的建立，HTTP請求的URL，而這些都不一定是攻擊。IDS為什么要報告這些可能不存在攻擊的事件呢？因為通過對這些事件的統(tǒng)計和分析，有時是能夠在這些網絡事件發(fā)現(xiàn)攻擊跡象的。這也多少反映IDS的局限性，即它不可能百分之百精確地報告攻擊，"電腦"有時還需要人腦的經驗。

解決誤報和誤警問題的對策

解決誤報和誤警的對策有很多，但離目標還有很長的路要走。主要方法如下：

1．將基于異常的技術和傳統(tǒng)的基于特征的技術相結合

異常檢測的一個問題在于當今最好的研究工具也只有大約75%的成功率。因此，幾乎沒有客戶能清楚地了解其網絡運作情況。如果你給他們的產品總是提供不可靠的數(shù)據(jù)，他們將完全放棄該產品。

2．將協(xié)議分析技術與和傳統(tǒng)的基于特征的技術相結合

在檢測攻擊的大量模式和方法的基礎上，我們將協(xié)議分析技術、模式匹配和其他一些技術相結合，通過異常檢測和一些統(tǒng)計門限等指標來確定攻擊的發(fā)生。面對不同的情況，供應商應當從客戶那里了解哪種模式對哪種攻擊最有效，并進行試驗，然后確定采用的模式。

3．強化IDS的安全管理功能

前兩種改進方法的目標是提高IDS檢測的精度和速度。檢測系統(tǒng)"診斷"的速度和精確性不斷提高，漸漸具備了防御功能，進而又演進為一種集中式的決策支持系統(tǒng)。今后IDS將淡化防御職能，強化管理職能，淡化入侵防御，強化入侵管理。我們需要建立一個不斷掌握企業(yè)總體安全漏洞狀況的決策支持系統(tǒng)。
 

【編輯推薦】

1. 如何構建入門級IDS
2. IDS漏洞分析與黑客入侵手法
3. 測試評估IDS的性能指標
4. 正確評估IDS性能的標準與步驟
5. 企業(yè)測試IDS的四條重要標準