解决IDS的误报、误警与安全管理.doc

　　解决 IDS 的误报、误警与安全管理～教育资源库 　　目前，人们对IDS最大的批评很可能就是误报。从技术层面上讲，误报就是指检测算法将正常的网络数据当成了攻击。但实际上用户所认为的误报却是误警。 　　IDS误报的典型情况 　　典型的情况：用户第一次使用IDS时，打开（起用）了所有可能的算法和配置，就等于说：告诉我网络上所发生的一切。他们对所有的活动都感到惊喜。也许他们的确抓住了个把坏蛋。可是一两个星期之后，他们会说：唉，我被这些信息淹没了，我无法对它们进行响应。于是就产生了误报的说法，事实上，在很多情况下，它们仅仅是误警。用户往往会对IDS报有错误的期望，他们指望IDS会自动提供他们希望看到的东西。我们距离这一目标还有很长的路要走。 　　在这方面，误报是一个关键问题。很显然，如果IDS产品将正常的网络数据当成攻击，客户就不会再安装IDS产品，以免影响其正常业务。IDS厂商应当投入大量资源和时间使IDS的算法运作良好，这样一来，当客户使用我们的产品时不会有很多误报。 　　而且问题并不总是出在工具上面，也取决于如何配置工具。任何产品都是如此，如果配置得当，你会发现设备反映灵敏。如果你打开所有的（监控）功能，则会造成数据泛滥，难以正常监控。 　　但实际情况比这更加复杂。两个不同的机构由于站点配置不同，对同一产品的误报的评价也不同。当你在一个没有人使用IE的网络中发现了IE流量，（就说明误报的存在）你同时对一个开放研究网和一个校园网中进行观察，得出的结论是完全不同的。 　　造成误报与误警的认识误区的一个重要原因是IDS所能报告的不只是攻击，而是报告网络的一切情况。例如IDS能够报告TCP连接的建立，HTTP请求的URL，而这些都不一定是攻击。IDS为什么要报告这些可能不存在攻击的事件呢？因为通过对这些事件的统计和分析，有时是能够在这些网络事件发现攻击迹象的。这也多少反映IDS的局限性，即它不可能百分之百精确地报告攻击，电脑有时还需要人脑的经验。 　　解决误报和误警问题的对策 　　解决误报和误警的对策有很多，但离目标还有很长的路要走。主要方法如下： 　　1．将基于异常的技术和传统的基于特征的技术相结合 　　异常检测的一个问题在于当今最好的研究工具也只有大约75%的成功率。因此，几乎没有客户能清楚地了解其网络运作情况。如果你给他们的产品总是提供不可靠的数据，他们将完全放弃该产品。 　　2．将协议分析技术与和传统的基于特征的技术相结合 　　在检测攻击的大量模式和方法的基础上，我们将协议分析技术、模式匹配和其他一些技术相结合，通过异常检测和一些统计门限等指标来确定攻击的发生。面对不同的情况，供应商应当从客户那里了解哪种模式对哪种攻击最有效，并进行试验，然后确定采用的模式。 　　3．强化IDS的安全管理功能 　　前两种改进方法的目标是提高IDS检测的精度和速度。检测系统诊断的速度和精确性不断提高，渐渐具备了防御功能，进而又演进为一种集中式的决策支持系统。今后IDS将淡化防御职能，强化管理职能，淡化入侵防御，强化入侵管理。我们需要建立一个不断掌握企业总体安全漏洞状况的决策支持系统。 　　首先，为了强化IDS的安全管理功能，需要对各种报警信息进行集成。 　　这在技术上是完全可行的。我们看到入侵检测传感器技术在后台收集数据方面的改进。数据收集功能将和一个机构的入侵检测基础架构更紧密地集成。 　　而我们目前的情况则正相反，由于手头只有大量零散的数据，我们得花力气去理解数据的含义。如果，能够将来自不同类型传感器平台的数据收集起来，并通过智能化的手段集成这些数据，我们就可以将多个小型事件综合成一幅大型图片。 　　报警信息的集成对最终用户有何重要意义呢？ 　　这是非常重要的，这就是为什么你看到NetForensics、Intellitactics、Network Intelligence、e-Security这些报警监控供应商们急着对数据进行标准化，并允许用户交叉使用它们的数据。我们的问题在于每个企业网都具有自己特定形式的流量。将流量模式化并转换成适当的形式、减少误报等现象，这是很难做到的。 　　现在IDS已经发展到了一定的阶段，很显然，下一阶段的工作是全方位的管理。很多机构将注意力集中在管理事件并发掘其相关性上。这已不是单纯的IDS，它不仅关注入侵检测，而且着眼于漏洞评估。IDS需要确定系统是否存在漏洞，以及这些漏洞之间是否存在关联。在获取了评估所需的各组成部分（数据）之后，下一步将是产生漏洞信息。这涉及到与漏洞评估工具，如扫描器的集成。 　　现在，一个比较大的不利因素是缺乏标准。这完全可以理解，因为这一领域的发展太迅速了。现在有很多产品都可以产生报警，每种产品的实现方式都存