该如何攻克影响IDS应用的误报和漏报

　　影响IDS应用的关键问题是误报和漏报，那么，从技术上讲，该如何攻克这两大难题呢？本文的技术分析没有考虑网络流量，因为，关于IDS系统的流量性能测评是当前争议较大的地方，不同流量中的IDS引擎表现出来的丢包率、误报、漏报等差异巨大。本文仅从影响IDS漏报和误报的关键指标入手讲解技术发展。

　　为了解决IDS应用中关键的误报和漏报问题，首先要了解决定误报和漏报的指标。有两个方面：一个是引擎和手法; 一个是管理能力。引擎的作用毋庸置疑，是“专家”和“高手”云集和追求的战场；手法是整个系统的知识库，机器的“智慧”所在；引擎和手法是密不可分的，通常引擎的结构决定了手法的特性和能力，甚至检测性能和精度。管理能力是IDS系统和最终用户的界面，许许多多的误报率、个性化、友好性、易管理性、可扩展性等都和它直接相关。

　　一、引擎和手法

　　1．引擎

　　IDS核心技术至今已经历三代：

　　（1） 第一代技术是主机日志分析、模式匹配。这阶段的IDS基本上都是实验室系统，如IDES、DIDS、NSM等。

　　（2） 第二代技术出现在上世纪90年代中期，技术突破包括网络数据包截获、主机网络数据和审计数据分析、基于网络的IDS（NIDS）和基于主机的IDS（HIDS）的明确分工和合作。代表性产品有早期的ISS RealSecure（v6.0之前）、Cisco（1998年收购Wheel Group获得）、Snort（2000年开发代码并免费）等。目前国内绝大多数厂家沿用的是Snort核心。

　　（3） 第三代技术出现在2000年前后，代表性的突破有协议分析、行为异常分析。协议分析的出现极大减小了计算量，减少了误报率。专家预计协议分析技术的误报率是传统模式匹配的1/4左右。行为异常分析技术的出现则赋予了第三代IDS系统识别未知攻击的能力。代表性产品有NetworkICE（2001年并入ISS）、安氏LinkTrust NetworkDefender(v6.6)、NFR（第二版）等。

　　此外，还有非常多的新型IDS在努力争取获得市场的认可。

　　2．手法

　　手法是引擎的知识库，它可以是某个简单的模式，也可以是一个非常复杂的协议分析规则。简单模式主要用在第二代引擎中，复杂协议分析规则是第三代引擎的特征。

　　许多厂家喜欢讲自己的IDS产品包含多少个“手法”（扫描器也使用这个名词）。关于手法的定义也是各个厂家之间容易引起争论的地方。手法体现了IDS系统作者对某个攻击的理解和认识，指导引擎去检测这种攻击。

　　手法也是IDS系统和防火墙等其他安全产品差异较大的地方。每个厂家必须紧跟攻击技术的发展和最新的安全弱点，将相应的“手法”及时提供给自己的客户，这样才能保证系统能够在业务流中检测出攻击。

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]