当前位置:主页   - 电脑 - 网络技术 - 网络安全
IDS入侵检测在企业应用中的四种难题
来源:网络   作者:   更新时间:2012-05-29
收藏此页】    【字号    】    【打印】    【关闭

  IDS应用难点之一

  如何解决误报率问题?

  误报率一直是IDS产品的技术难点之一。很多公司都有各自不同的解决方法。

  赛门铁克的解决办法有两种:一是对IDS产品的应用范围(如作业平台)事先作一个分类。比如面向一个只有Windows平台的企业网络,则IDS包含的针对Unix平台攻击的检测特征功能就可以忽略,从而避免误报。二是从根源上解决问题,即通过互补产品来减少IDS的误报。赛门铁克已有的风险管理产品,就可以首先帮助企业查出漏洞所在,对易遭受攻击的弱点究根寻源,然后企业在堵住这些漏洞的前提下,应用IDS,其误报率会大大减少。

  东软认为,IDS的漏报和误报是一对矛盾体,其产品NetEye IDS可以在理解网络协议的基础上,对网络数据进行重组,并提供应用协议的内容恢复功能,对网络上发生的应用进行恢复和重放,不但检测攻击事件,还重现攻击的过程。这样,它不仅可以发现外部攻击,还可以发现内部用户的恶意行为。通过内容恢复,管理员可以准确了解攻击是否发生,有效地减少了误报。

  上海金诺公司的金诺网安入侵检测系统KIDS,采用安全策略优化、事件合并、事件关联和多种检测技术相结合等方法,来解决误报率问题。金诺网安KIDS采用了金诺公司新一代智能的检测技术,以基于包特征的检测技术为主体,充分结合协议状态分析、流量异常检测等技术,在保证检测到已知的最新攻击行为的前提下,及时发现一些未知的非法入侵行为,从而确保检测的准确性和广泛性。另外,KIDS也利用了TCP流重组和IP碎片重组等常见的技术,这些技术都可以有效降低系统的误报和漏报。

  如何降低端口扫描的漏报率和误报率?早期IDS采用的方法是定义一个时间段,在这个时间段内如发现了超过某一预订值的连接次数,就认为是端口扫描。这种做法的缺点是,如果扫描的时间超过了定义的时间段,但扫描的端口少于预订的连接次数,那么这种扫描将不能识别。若对采集到的长期数据进行分析,这样一些非常缓慢的扫描也逃不过IDS的监测。这种解决方法在东方龙马入侵侦测系统中有些体现。

其它资源
来源声明

版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明