該如何攻克影響IDS應用的誤報和漏報

　　影響IDS應用的關鍵問題是誤報和漏報，那么，從技術上講，該如何攻克這兩大難題呢？本文的技術分析沒有考慮網絡流量，因為，關于IDS系統的流量性能測評是當前爭議較大的地方，不同流量中的IDS引擎表現出來的丟包率、誤報、漏報等差異巨大。本文僅從影響IDS漏報和誤報的關鍵指標入手講解技術發展。

　　為了解決IDS應用中關鍵的誤報和漏報問題，首先要了解決定誤報和漏報的指標。有兩個方面：一個是引擎和手法; 一個是管理能力。引擎的作用毋庸置疑，是“專家”和“高手”云集和追求的戰場；手法是整個系統的知識庫，機器的“智慧”所在；引擎和手法是密不可分的，通常引擎的結構決定了手法的特性和能力，甚至檢測性能和精度。管理能力是IDS系統和最終用戶的界面，許許多多的誤報率、個性化、友好性、易管理性、可擴展性等都和它直接相關。

　　一、引擎和手法

　　1．引擎

　　IDS核心技術至今已經歷三代：

　�。�1） 第一代技術是主機日志分析、模式匹配。這階段的IDS基本上都是實驗室系統，如IDES、DIDS、NSM等。

　�。�2） 第二代技術出現在上世紀90年代中期，技術突破包括網絡數據包截獲、主機網絡數據和審計數據分析、基于網絡的IDS（NIDS）和基于主機的IDS（HIDS）的明確分工和合作。代表性產品有早期的ISS RealSecure（v6.0之前）、Cisco（1998年收購Wheel Group獲得）、Snort（2000年開發代碼并免費）等。目前國內絕大多數廠家沿用的是Snort核心。

　�。�3） 第三代技術出現在2000年前后，代表性的突破有協議分析、行為異常分析。協議分析的出現極大減小了計算量，減少了誤報率。專家預計協議分析技術的誤報率是傳統模式匹配的1/4左右。行為異常分析技術的出現則賦予了第三代IDS系統識別未知攻擊的能力。代表性產品有NetworkICE（2001年并入ISS）、安氏LinkTrust NetworkDefender(v6.6)、NFR（第二版）等。

　　此外，還有非常多的新型IDS在努力爭取獲得市場的認可。

　　2．手法

　　手法是引擎的知識庫，它可以是某個簡單的模式，也可以是一個非常復雜的協議分析規則。簡單模式主要用在第二代引擎中，復雜協議分析規則是第三代引擎的特征。

　　許多廠家喜歡講自己的IDS產品包含多少個“手法”（掃描器也使用這個名詞）。關于手法的定義也是各個廠家之間容易引起爭論的地方。手法體現了IDS系統作者對某個攻擊的理解和認識，指導引擎去檢測這種攻擊。

　　手法也是IDS系統和防火墻等其他安全產品差異較大的地方。每個廠家必須緊跟攻擊技術的發展和最新的安全弱點，將相應的“手法”及時提供給自己的客戶，這樣才能保證系統能夠在業務流中檢測出攻擊。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]