該如何攻克影響IDS應(yīng)用的誤報(bào)和漏報(bào)

　　影響IDS應(yīng)用的關(guān)鍵問題是誤報(bào)和漏報(bào)，那么，從技術(shù)上講，該如何攻克這兩大難題呢？本文的技術(shù)分析沒有考慮網(wǎng)絡(luò)流量，因?yàn)椋�關(guān)于IDS系統(tǒng)的流量性能測評是當(dāng)前爭議較大的地方，不同流量中的IDS引擎表現(xiàn)出來的丟包率、誤報(bào)、漏報(bào)等差異巨大。本文僅從影響IDS漏報(bào)和誤報(bào)的關(guān)鍵指標(biāo)入手講解技術(shù)發(fā)展。

　　為了解決IDS應(yīng)用中關(guān)鍵的誤報(bào)和漏報(bào)問題，首先要了解決定誤報(bào)和漏報(bào)的指標(biāo)。有兩個(gè)方面：一個(gè)是引擎和手法; 一個(gè)是管理能力。引擎的作用毋庸置疑，是“專家”和“高手”云集和追求的戰(zhàn)場；手法是整個(gè)系統(tǒng)的知識(shí)庫，機(jī)器的“智慧”所在；引擎和手法是密不可分的，通常引擎的結(jié)構(gòu)決定了手法的特性和能力，甚至檢測性能和精度。管理能力是IDS系統(tǒng)和最終用戶的界面，許許多多的誤報(bào)率、個(gè)性化、友好性、易管理性、可擴(kuò)展性等都和它直接相關(guān)。

　　一、引擎和手法

　　1．引擎

　　IDS核心技術(shù)至今已經(jīng)歷三代：

　�。�1） 第一代技術(shù)是主機(jī)日志分析、模式匹配。這階段的IDS基本上都是實(shí)驗(yàn)室系統(tǒng)，如IDES、DIDS、NSM等。

　�。�2） 第二代技術(shù)出現(xiàn)在上世紀(jì)90年代中期，技術(shù)突破包括網(wǎng)絡(luò)數(shù)據(jù)包截獲、主機(jī)網(wǎng)絡(luò)數(shù)據(jù)和審計(jì)數(shù)據(jù)分析、基于網(wǎng)絡(luò)的IDS（NIDS）和基于主機(jī)的IDS（HIDS）的明確分工和合作。代表性產(chǎn)品有早期的ISS RealSecure（v6.0之前）、Cisco（1998年收購Wheel Group獲得）、Snort（2000年開發(fā)代碼并免費(fèi)）等。目前國內(nèi)絕大多數(shù)廠家沿用的是Snort核心。

　　（3） 第三代技術(shù)出現(xiàn)在2000年前后，代表性的突破有協(xié)議分析、行為異常分析。協(xié)議分析的出現(xiàn)極大減小了計(jì)算量，減少了誤報(bào)率。專家預(yù)計(jì)協(xié)議分析技術(shù)的誤報(bào)率是傳統(tǒng)模式匹配的1/4左右。行為異常分析技術(shù)的出現(xiàn)則賦予了第三代IDS系統(tǒng)識(shí)別未知攻擊的能力。代表性產(chǎn)品有NetworkICE（2001年并入ISS）、安氏LinkTrust NetworkDefender(v6.6)、NFR（第二版）等。

　　此外，還有非常多的新型IDS在努力爭取獲得市場的認(rèn)可。

　　2．手法

　　手法是引擎的知識(shí)庫，它可以是某個(gè)簡單的模式，也可以是一個(gè)非常復(fù)雜的協(xié)議分析規(guī)則。簡單模式主要用在第二代引擎中，復(fù)雜協(xié)議分析規(guī)則是第三代引擎的特征。

　　許多廠家喜歡講自己的IDS產(chǎn)品包含多少個(gè)“手法”（掃描器也使用這個(gè)名詞）。關(guān)于手法的定義也是各個(gè)廠家之間容易引起爭論的地方。手法體現(xiàn)了IDS系統(tǒng)作者對某個(gè)攻擊的理解和認(rèn)識(shí)，指導(dǎo)引擎去檢測這種攻擊。

　　手法也是IDS系統(tǒng)和防火墻等其他安全產(chǎn)品差異較大的地方。每個(gè)廠家必須緊跟攻擊技術(shù)的發(fā)展和最新的安全弱點(diǎn)，將相應(yīng)的“手法”及時(shí)提供給自己的客戶，這樣才能保證系統(tǒng)能夠在業(yè)務(wù)流中檢測出攻擊。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]