解決 IDS 的誤報、誤警與安全管理

　　目前，人們對IDS最大的批評很可能就是誤報。從技術層面上講，誤報就是指檢測算法將正常的網(wǎng)絡數(shù)據(jù)當成了攻擊。但實際上用戶所認為的誤報卻是誤警。

　　IDS誤報的典型情況

　　典型的情況：用戶第一次使用IDS時，打開（起用）了所有可能的算法和配置，就等于說：“告訴我網(wǎng)絡上所發(fā)生的一切。”他們對所有的活動都感到驚喜。也許他們的確抓住了個把壞蛋。可是一兩個星期之后，他們會說：“唉，我被這些信息淹沒了，我無法對它們進行響應。”于是就產(chǎn)生了“誤報”的說法，事實上，在很多情況下，它們僅僅是誤警。用戶往往會對IDS報有錯誤的期望，他們指望IDS會自動提供他們希望看到的東西。我們距離這一目標還有很長的路要走。

　　在這方面，誤報是一個關鍵問題。很顯然，如果IDS產(chǎn)品將正常的網(wǎng)絡數(shù)據(jù)當成攻擊，客戶就不會再安裝IDS產(chǎn)品，以免影響其正常業(yè)務。IDS廠商應當投入大量資源和時間使IDS的算法運作良好，這樣一來，當客戶使用我們的產(chǎn)品時不會有很多誤報。

　　而且問題并不總是出在工具上面，也取決于如何配置工具。任何產(chǎn)品都是如此，如果配置得當，你會發(fā)現(xiàn)設備反映靈敏。如果你打開所有的（監(jiān)控）功能，則會造成數(shù)據(jù)泛濫，難以正常監(jiān)控。

　　但實際情況比這更加復雜。兩個不同的機構由于站點配置不同，對同一產(chǎn)品的誤報的評價也不同。當你在一個沒有人使用IE的網(wǎng)絡中發(fā)現(xiàn)了IE流量，（就說明誤報的存在）你同時對一個開放研究網(wǎng)和一個校園網(wǎng)中進行觀察，得出的結論是完全不同的。

　　造成誤報與誤警的認識誤區(qū)的一個重要原因是IDS所能報告的不只是攻擊，而是報告網(wǎng)絡的一切情況。例如IDS能夠報告TCP連接的建立，HTTP請求的URL，而這些都不一定是攻擊。IDS為什么要報告這些可能不存在攻擊的事件呢？因為通過對這些事件的統(tǒng)計和分析，有時是能夠在這些網(wǎng)絡事件發(fā)現(xiàn)攻擊跡象的。這也多少反映IDS的局限性，即它不可能百分之百精確地報告攻擊，“電腦”有時還需要人腦的經(jīng)驗。

　　解決誤報和誤警問題的對策

　　解決誤報和誤警的對策有很多，但離目標還有很長的路要走。主要方法如下：

　　1．將基于異常的技術和傳統(tǒng)的基于特征的技術相結合

　　異常檢測的一個問題在于當今最好的研究工具也只有大約75%的成功率。因此，幾乎沒有客戶能清楚地了解其網(wǎng)絡運作情況。如果你給他們的產(chǎn)品總是提供不可靠的數(shù)據(jù)，他們將完全放棄該產(chǎn)品。

　　2．將協(xié)議分析技術與和傳統(tǒng)的基于特征的技術相結合

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]