該如何攻克影響IDS應(yīng)用的誤報和漏報

　　影響IDS應(yīng)用的關(guān)鍵問題是誤報和漏報，那么，從技術(shù)上講，該如何攻克這兩大難題呢？本文的技術(shù)分析沒有考慮網(wǎng)絡(luò)流量，因為，關(guān)于IDS系統(tǒng)的流量性能測評是當(dāng)前爭議較大的地方，不同流量中的IDS引擎表現(xiàn)出來的丟包率、誤報、漏報等差異巨大。本文僅從影響IDS漏報和誤報的關(guān)鍵指標(biāo)入手講解技術(shù)發(fā)展。

　　為了解決IDS應(yīng)用中關(guān)鍵的誤報和漏報問題，首先要了解決定誤報和漏報的指標(biāo)。有兩個方面：一個是引擎和手法; 一個是管理能力。引擎的作用毋庸置疑，是“專家”和“高手”云集和追求的戰(zhàn)場；手法是整個系統(tǒng)的知識庫，機(jī)器的“智慧”所在；引擎和手法是密不可分的，通常引擎的結(jié)構(gòu)決定了手法的特性和能力，甚至檢測性能和精度。管理能力是IDS系統(tǒng)和最終用戶的界面，許許多多的誤報率、個性化、友好性、易管理性、可擴(kuò)展性等都和它直接相關(guān)。

　　一、引擎和手法

　　1．引擎

　　IDS核心技術(shù)至今已經(jīng)歷三代：

　　（1） 第一代技術(shù)是主機(jī)日志分析、模式匹配。這階段的IDS基本上都是實驗室系統(tǒng)，如IDES、DIDS、NSM等。

　�。�2） 第二代技術(shù)出現(xiàn)在上世紀(jì)90年代中期，技術(shù)突破包括網(wǎng)絡(luò)數(shù)據(jù)包截獲、主機(jī)網(wǎng)絡(luò)數(shù)據(jù)和審計數(shù)據(jù)分析、基于網(wǎng)絡(luò)的IDS（NIDS）和基于主機(jī)的IDS（HIDS）的明確分工和合作。代表性產(chǎn)品有早期的ISS RealSecure（v6.0之前）、Cisco（1998年收購Wheel Group獲得）、Snort（2000年開發(fā)代碼并免費）等。目前國內(nèi)絕大多數(shù)廠家沿用的是Snort核心。

　　（3） 第三代技術(shù)出現(xiàn)在2000年前后，代表性的突破有協(xié)議分析、行為異常分析。協(xié)議分析的出現(xiàn)極大減小了計算量，減少了誤報率。專家預(yù)計協(xié)議分析技術(shù)的誤報率是傳統(tǒng)模式匹配的1/4左右。行為異常分析技術(shù)的出現(xiàn)則賦予了第三代IDS系統(tǒng)識別未知攻擊的能力。代表性產(chǎn)品有NetworkICE（2001年并入ISS）、安氏LinkTrust NetworkDefender(v6.6)、NFR（第二版）等。

　　此外，還有非常多的新型IDS在努力爭取獲得市場的認(rèn)可。

　　2．手法

　　手法是引擎的知識庫，它可以是某個簡單的模式，也可以是一個非常復(fù)雜的協(xié)議分析規(guī)則。簡單模式主要用在第二代引擎中，復(fù)雜協(xié)議分析規(guī)則是第三代引擎的特征。

　　許多廠家喜歡講自己的IDS產(chǎn)品包含多少個“手法”（掃描器也使用這個名詞）。關(guān)于手法的定義也是各個廠家之間容易引起爭論的地方。手法體現(xiàn)了IDS系統(tǒng)作者對某個攻擊的理解和認(rèn)識，指導(dǎo)引擎去檢測這種攻擊。

　　手法也是IDS系統(tǒng)和防火墻等其他安全產(chǎn)品差異較大的地方。每個廠家必須緊跟攻擊技術(shù)的發(fā)展和最新的安全弱點，將相應(yīng)的“手法”及時提供給自己的客戶，這樣才能保證系統(tǒng)能夠在業(yè)務(wù)流中檢測出攻擊。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]