解決 IDS 的誤報(bào)、誤警與安全管理

　　目前，人們對IDS最大的批評很可能就是誤報(bào)。從技術(shù)層面上講，誤報(bào)就是指檢測算法將正常的網(wǎng)絡(luò)數(shù)據(jù)當(dāng)成了攻擊。但實(shí)際上用戶所認(rèn)為的誤報(bào)卻是誤警。

　　IDS誤報(bào)的典型情況

　　典型的情況：用戶第一次使用IDS時(shí)，打開（起用）了所有可能的算法和配置，就等于說：“告訴我網(wǎng)絡(luò)上所發(fā)生的一切。”他們對所有的活動(dòng)都感到驚喜。也許他們的確抓住了個(gè)把壞蛋�？墒且粌蓚�(gè)星期之后，他們會(huì)說：“唉，我被這些信息淹沒了，我無法對它們進(jìn)行響應(yīng)。”于是就產(chǎn)生了“誤報(bào)”的說法，事實(shí)上，在很多情況下，它們僅僅是誤警。用戶往往會(huì)對IDS報(bào)有錯(cuò)誤的期望，他們指望IDS會(huì)自動(dòng)提供他們希望看到的東西。我們距離這一目標(biāo)還有很長的路要走。

　　在這方面，誤報(bào)是一個(gè)關(guān)鍵問題。很顯然，如果IDS產(chǎn)品將正常的網(wǎng)絡(luò)數(shù)據(jù)當(dāng)成攻擊，客戶就不會(huì)再安裝IDS產(chǎn)品，以免影響其正常業(yè)務(wù)。IDS廠商應(yīng)當(dāng)投入大量資源和時(shí)間使IDS的算法運(yùn)作良好，這樣一來，當(dāng)客戶使用我們的產(chǎn)品時(shí)不會(huì)有很多誤報(bào)。

　　而且問題并不總是出在工具上面，也取決于如何配置工具。任何產(chǎn)品都是如此，如果配置得當(dāng)，你會(huì)發(fā)現(xiàn)設(shè)備反映靈敏。如果你打開所有的（監(jiān)控）功能，則會(huì)造成數(shù)據(jù)泛濫，難以正常監(jiān)控。

　　但實(shí)際情況比這更加復(fù)雜。兩個(gè)不同的機(jī)構(gòu)由于站點(diǎn)配置不同，對同一產(chǎn)品的誤報(bào)的評價(jià)也不同。當(dāng)你在一個(gè)沒有人使用IE的網(wǎng)絡(luò)中發(fā)現(xiàn)了IE流量，（就說明誤報(bào)的存在）你同時(shí)對一個(gè)開放研究網(wǎng)和一個(gè)校園網(wǎng)中進(jìn)行觀察，得出的結(jié)論是完全不同的。

　　造成誤報(bào)與誤警的認(rèn)識(shí)誤區(qū)的一個(gè)重要原因是IDS所能報(bào)告的不只是攻擊，而是報(bào)告網(wǎng)絡(luò)的一切情況。例如IDS能夠報(bào)告TCP連接的建立，HTTP請求的URL，而這些都不一定是攻擊。IDS為什么要報(bào)告這些可能不存在攻擊的事件呢？因?yàn)橥ㄟ^對這些事件的統(tǒng)計(jì)和分析，有時(shí)是能夠在這些網(wǎng)絡(luò)事件發(fā)現(xiàn)攻擊跡象的。這也多少反映IDS的局限性，即它不可能百分之百精確地報(bào)告攻擊，“電腦”有時(shí)還需要人腦的經(jīng)驗(yàn)。

　　解決誤報(bào)和誤警問題的對策

　　解決誤報(bào)和誤警的對策有很多，但離目標(biāo)還有很長的路要走。主要方法如下：

　　1．將基于異常的技術(shù)和傳統(tǒng)的基于特征的技術(shù)相結(jié)合

　　異常檢測的一個(gè)問題在于當(dāng)今最好的研究工具也只有大約75%的成功率。因此，幾乎沒有客戶能清楚地了解其網(wǎng)絡(luò)運(yùn)作情況。如果你給他們的產(chǎn)品總是提供不可靠的數(shù)據(jù)，他們將完全放棄該產(chǎn)品。

　　2．將協(xié)議分析技術(shù)與和傳統(tǒng)的基于特征的技術(shù)相結(jié)合

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]