IDS误报的典型情况与对策

安全
IDS误报是企业在使用IDS系统中最为头疼的问题,许多正常的网络数据被当成了网络攻击,本文就通过介绍IDS误报的典型情况谈一谈如何应对IDS误报。

IDS作为企业防护系统受到广大企业的推崇,但是IDS误报问题也是反对IDS系统呼声中最高的。IDS误报就是指检测算法将正常的网络数据当成了攻击。那我们通过IDS误报的典型情况分析对于IDS误报的对策。

IDS误报的典型情况

典型的情况:用户第一次使用IDS时,打开(起用)了所有可能的算法和配置,就等于说:"告诉我网络上所发生的一切。"他们对所有的活动都感到惊喜。也许他们的确抓住了个把坏蛋。可是一两个星期之后,他们会说:"唉,我被这些信息淹没了,我无法对它们进行响应。"于是就产生了"误报"的说法,事实上,在很多情况下,它们仅仅是误警。用户往往会对IDS报有错误的期望,他们指望IDS会自动提供他们希望看到的东西。我们距离这一目标还有很长的路要走。

在这方面,误报是一个关键问题。很显然,如果IDS产品将正常的网络数据当成攻击,客户就不会再安装IDS产品,以免影响其正常业务。IDS厂商应当投入大量资源和时间使IDS的算法运作良好,这样一来,当客户使用我们的产品时不会有很多误报。

而且问题并不总是出在工具上面,也取决于如何配置工具。任何产品都是如此,如果配置得当,你会发现设备反映灵敏。如果你打开所有的(监控)功能,则会造成数据泛滥,难以正常监控。

但实际情况比这更加复杂。两个不同的机构由于站点配置不同,对同一产品的误报的评价也不同。当你在一个没有人使用IE的网络中发现了IE流量,(就说明误报的存在)你同时对一个开放研究网和一个校园网中进行观察,得出的结论是完全不同的。

造成误报与误警的认识误区的一个重要原因是IDS所能报告的不只是攻击,而是报告网络的一切情况。例如IDS能够报告TCP连接的建立,HTTP请求的URL,而这些都不一定是攻击。IDS为什么要报告这些可能不存在攻击的事件呢?因为通过对这些事件的统计和分析,有时是能够在这些网络事件发现攻击迹象的。这也多少反映IDS的局限性,即它不可能百分之百精确地报告攻击,"电脑"有时还需要人脑的经验。

解决误报和误警问题的对策

解决误报和误警的对策有很多,但离目标还有很长的路要走。主要方法如下:

1.将基于异常的技术和传统的基于特征的技术相结合

异常检测的一个问题在于当今最好的研究工具也只有大约75%的成功率。因此,几乎没有客户能清楚地了解其网络运作情况。如果你给他们的产品总是提供不可靠的数据,他们将完全放弃该产品。

2.将协议分析技术与和传统的基于特征的技术相结合

在检测攻击的大量模式和方法的基础上,我们将协议分析技术、模式匹配和其他一些技术相结合,通过异常检测和一些统计门限等指标来确定攻击的发生。面对不同的情况,供应商应当从客户那里了解哪种模式对哪种攻击最有效,并进行试验,然后确定采用的模式。

3.强化IDS的安全管理功能

前两种改进方法的目标是提高IDS检测的精度和速度。检测系统"诊断"的速度和精确性不断提高,渐渐具备了防御功能,进而又演进为一种集中式的决策支持系统。今后IDS将淡化防御职能,强化管理职能,淡化入侵防御,强化入侵管理。我们需要建立一个不断掌握企业总体安全漏洞状况的决策支持系统。
 

【编辑推荐】

  1. 如何构建入门级IDS
  2. IDS漏洞分析与黑客入侵手法
  3. 测试评估IDS的性能指标
  4. 正确评估IDS性能的标准与步骤
  5. 企业测试IDS的四条重要标准

 

责任编辑:张启峰 来源: 安全在线
相关推荐

2012-11-26 13:32:14

2010-01-01 12:01:25

2009-03-03 13:12:14

2010-09-01 17:30:38

2012-10-08 09:42:41

2010-09-08 11:26:02

2010-12-22 17:17:54

2021-09-10 11:19:41

医疗行业CISO网络攻击

2010-08-25 10:35:07

2010-09-08 12:29:52

2017-12-04 10:56:47

MySQL问题分析解决对策

2013-06-19 10:03:42

2020-02-27 10:44:28

数据中心网络人才

2024-06-17 08:00:00

2016-10-12 09:34:54

2022-03-12 09:55:09

安全误报SOC

2024-07-17 21:12:50

2009-03-19 09:53:00

IPTV多媒体网络

2018-10-24 19:12:18

2010-02-24 17:01:49

点赞
收藏

51CTO技术栈公众号