日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

IDS作為企業(yè)防護系統(tǒng)受到廣大企業(yè)的推崇，但是IDS誤報問題也是反對IDS系統(tǒng)呼聲中最高的。IDS誤報就是指檢測算法將正常的網(wǎng)絡(luò)數(shù)據(jù)當成了攻擊。那我們通過IDS誤報的典型情況分析對于IDS誤報的對策。

IDS誤報的典型情況

典型的情況：用戶第一次使用IDS時，打開（起用）了所有可能的算法和配置，就等于說："告訴我網(wǎng)絡(luò)上所發(fā)生的一切。"他們對所有的活動都感到驚喜。也許他們的確抓住了個把壞蛋?？墒且粌蓚€星期之后，他們會說："唉，我被這些信息淹沒了，我無法對它們進行響應(yīng)。"于是就產(chǎn)生了"誤報"的說法，事實上，在很多情況下，它們僅僅是誤警。用戶往往會對IDS報有錯誤的期望，他們指望IDS會自動提供他們希望看到的東西。我們距離這一目標還有很長的路要走。

在這方面，誤報是一個關(guān)鍵問題。很顯然，如果IDS產(chǎn)品將正常的網(wǎng)絡(luò)數(shù)據(jù)當成攻擊，客戶就不會再安裝IDS產(chǎn)品，以免影響其正常業(yè)務(wù)。IDS廠商應(yīng)當投入大量資源和時間使IDS的算法運作良好，這樣一來，當客戶使用我們的產(chǎn)品時不會有很多誤報。

而且問題并不總是出在工具上面，也取決于如何配置工具。任何產(chǎn)品都是如此，如果配置得當，你會發(fā)現(xiàn)設(shè)備反映靈敏。如果你打開所有的（監(jiān)控）功能，則會造成數(shù)據(jù)泛濫，難以正常監(jiān)控。

但實際情況比這更加復(fù)雜。兩個不同的機構(gòu)由于站點配置不同，對同一產(chǎn)品的誤報的評價也不同。當你在一個沒有人使用IE的網(wǎng)絡(luò)中發(fā)現(xiàn)了IE流量，（就說明誤報的存在）你同時對一個開放研究網(wǎng)和一個校園網(wǎng)中進行觀察，得出的結(jié)論是完全不同的。

造成誤報與誤警的認識誤區(qū)的一個重要原因是IDS所能報告的不只是攻擊，而是報告網(wǎng)絡(luò)的一切情況。例如IDS能夠報告TCP連接的建立，HTTP請求的URL，而這些都不一定是攻擊。IDS為什么要報告這些可能不存在攻擊的事件呢？因為通過對這些事件的統(tǒng)計和分析，有時是能夠在這些網(wǎng)絡(luò)事件發(fā)現(xiàn)攻擊跡象的。這也多少反映IDS的局限性，即它不可能百分之百精確地報告攻擊，"電腦"有時還需要人腦的經(jīng)驗。

解決誤報和誤警問題的對策

解決誤報和誤警的對策有很多，但離目標還有很長的路要走。主要方法如下：

1．將基于異常的技術(shù)和傳統(tǒng)的基于特征的技術(shù)相結(jié)合

異常檢測的一個問題在于當今最好的研究工具也只有大約75%的成功率。因此，幾乎沒有客戶能清楚地了解其網(wǎng)絡(luò)運作情況。如果你給他們的產(chǎn)品總是提供不可靠的數(shù)據(jù)，他們將完全放棄該產(chǎn)品。

2．將協(xié)議分析技術(shù)與和傳統(tǒng)的基于特征的技術(shù)相結(jié)合

在檢測攻擊的大量模式和方法的基礎(chǔ)上，我們將協(xié)議分析技術(shù)、模式匹配和其他一些技術(shù)相結(jié)合，通過異常檢測和一些統(tǒng)計門限等指標來確定攻擊的發(fā)生。面對不同的情況，供應(yīng)商應(yīng)當從客戶那里了解哪種模式對哪種攻擊最有效，并進行試驗，然后確定采用的模式。

3．強化IDS的安全管理功能

前兩種改進方法的目標是提高IDS檢測的精度和速度。檢測系統(tǒng)"診斷"的速度和精確性不斷提高，漸漸具備了防御功能，進而又演進為一種集中式的決策支持系統(tǒng)。今后IDS將淡化防御職能，強化管理職能，淡化入侵防御，強化入侵管理。我們需要建立一個不斷掌握企業(yè)總體安全漏洞狀況的決策支持系統(tǒng)。
 

【編輯推薦】

1. 如何構(gòu)建入門級IDS
2. IDS漏洞分析與黑客入侵手法
3. 測試評估IDS的性能指標
4. 正確評估IDS性能的標準與步驟
5. 企業(yè)測試IDS的四條重要標準

 

分享題目：IDS誤報的典型情況與對策
鏈接地址：http://www.dlmjj.cn/article/djgjipe.html