影響IDS應(yīng)用的關(guān)鍵問(wèn)題是誤報(bào)和漏報(bào)，那么，從技術(shù)上講，該如何攻克這兩大難題呢？本文的技術(shù)分析沒(méi)有考慮網(wǎng)絡(luò)流量，因?yàn)椋P(guān)于IDS系統(tǒng)的流量性能測(cè)評(píng)是當(dāng)前爭(zhēng)議較大的地方，不同流量中的IDS引擎表現(xiàn)出來(lái)的丟包率、誤報(bào)、漏報(bào)等差異巨大。本文僅從影響IDS漏報(bào)和誤報(bào)的關(guān)鍵指標(biāo)入手講解技術(shù)發(fā)展。

為了解決IDS應(yīng)用中關(guān)鍵的誤報(bào)和漏報(bào)問(wèn)題，首先要了解決定誤報(bào)和漏報(bào)的指標(biāo)。有兩個(gè)方面：一個(gè)是引擎和手法; 一個(gè)是管理能力。引擎的作用毋庸置疑，是“專家”和“高手”云集和追求的戰(zhàn)場(chǎng)；手法是整個(gè)系統(tǒng)的知識(shí)庫(kù)，機(jī)器的“智慧”所在；引擎和手法是密不可分的，通常引擎的結(jié)構(gòu)決定了手法的特性和能力，甚至檢測(cè)性能和精度。管理能力是IDS系統(tǒng)和最終用戶的界面，許許多多的誤報(bào)率、個(gè)性化、友好性、易管理性、可擴(kuò)展性等都和它直接相關(guān)。

一、引擎和手法

1．引擎

IDS核心技術(shù)至今已經(jīng)歷三代：

（1） 第一代技術(shù)是主機(jī)日志分析、模式匹配。這階段的IDS基本上都是實(shí)驗(yàn)室系統(tǒng)，如IDES、DIDS、NSM等。

（2） 第二代技術(shù)出現(xiàn)在上世紀(jì)90年代中期，技術(shù)突破包括網(wǎng)絡(luò)數(shù)據(jù)包截獲、主機(jī)網(wǎng)絡(luò)數(shù)據(jù)和審計(jì)數(shù)據(jù)分析、基于網(wǎng)絡(luò)的IDS（NIDS）和基于主機(jī)的IDS（HIDS）的明確分工和合作。代表性產(chǎn)品有早期的ISS RealSecure（v6.0之前）、Cisco（1998年收購(gòu)Wheel Group獲得）、Snort（2000年開(kāi)發(fā)代碼并免費(fèi)）等。目前國(guó)內(nèi)絕大多數(shù)廠家沿用的是Snort核心。

（3） 第三代技術(shù)出現(xiàn)在2000年前后，代表性的突破有協(xié)議分析、行為異常分析。協(xié)議分析的出現(xiàn)極大減小了計(jì)算量，減少了誤報(bào)率。專家預(yù)計(jì)協(xié)議分析技術(shù)的誤報(bào)率是傳統(tǒng)模式匹配的1/4左右。行為異常分析技術(shù)的出現(xiàn)則賦予了第三代IDS系統(tǒng)識(shí)別未知攻擊的能力。代表性產(chǎn)品有NetworkICE（2001年并入ISS）、安氏LinkTrust NetworkDefender(v6.6)、NFR（第二版）等。

此外，還有非常多的新型IDS在努力爭(zhēng)取獲得市場(chǎng)的認(rèn)可。

2．手法

手法是引擎的知識(shí)庫(kù)，它可以是某個(gè)簡(jiǎn)單的模式，也可以是一個(gè)非常復(fù)雜的協(xié)議分析規(guī)則。簡(jiǎn)單模式主要用在第二代引擎中，復(fù)雜協(xié)議分析規(guī)則是第三代引擎的特征。

許多廠家喜歡講自己的IDS產(chǎn)品包含多少個(gè)“手法”（掃描器也使用這個(gè)名詞）。關(guān)于手法的定義也是各個(gè)廠家之間容易引起爭(zhēng)論的地方。手法體現(xiàn)了IDS系統(tǒng)作者對(duì)某個(gè)攻擊的理解和認(rèn)識(shí)，指導(dǎo)引擎去檢測(cè)這種攻擊。

手法也是IDS系統(tǒng)和防火墻等其他安全產(chǎn)品差異較大的地方。每個(gè)廠家必須緊跟攻擊技術(shù)的發(fā)展和最新的安全弱點(diǎn)，將相應(yīng)的“手法”及時(shí)提供給自己的客戶，這樣才能保證系統(tǒng)能夠在業(yè)務(wù)流中檢測(cè)出攻擊。

IDS系統(tǒng)遭受的許多批評(píng)都源于手法庫(kù)更新的及時(shí)性方面。一般來(lái)說(shuō)，從發(fā)現(xiàn)一個(gè)弱點(diǎn)、廠家研究并提煉出“手法”，更新系統(tǒng)的“手法”庫(kù)，這個(gè)過(guò)程通常在數(shù)天到數(shù)個(gè)星期之間。而互聯(lián)網(wǎng)上攻擊程序的傳播卻以分鐘和小時(shí)計(jì)。這個(gè)時(shí)間差給用戶網(wǎng)絡(luò)留下了脆弱空隙，也成為各個(gè)廠家較量的主要戰(zhàn)場(chǎng)。

為此，許多專家提出了“開(kāi)放手法”的概念，將更多的靈活性和自主權(quán)授予用戶。只有用戶自己才最了解自己的業(yè)務(wù)系統(tǒng)，也只有這樣，用戶才可以更好地微調(diào)自己的“手法庫(kù)”結(jié)構(gòu)，來(lái)減少誤報(bào)，增加手法庫(kù)的“智能”性。但是，可惜的是許多IDS系統(tǒng)給用戶只提供了“開(kāi)/關(guān)”控制，你或者打開(kāi)它，忍受它的誤報(bào)，或者關(guān)閉它，讓自己的投資閑置。

二、管理

管理對(duì)于IDS系統(tǒng)來(lái)說(shuō)非常重要，它工作在檢測(cè)層次之上，對(duì)檢測(cè)（各級(jí)傳感器）獲得的事件信息進(jìn)行處理。優(yōu)秀的IDS管理系統(tǒng)不僅限于將檢測(cè)獲得的事件簡(jiǎn)單呈現(xiàn)在控制臺(tái)上，而是能夠進(jìn)行各種先進(jìn)的數(shù)據(jù)處理、濾除噪音、鑒別誤報(bào)、獲得超越檢測(cè)層次的信息等。這里，數(shù)據(jù)挖掘、相關(guān)、神經(jīng)網(wǎng)絡(luò)、人工智能、歸一化、數(shù)據(jù)分類、決策支持系統(tǒng)等各種技術(shù)紛紛獲得應(yīng)用的嘗試。

1．安全管理的功能

典型的安全管理要實(shí)現(xiàn)六個(gè)功能，它們按照先后順序分別是：

（1）數(shù)據(jù)收集和確認(rèn)整理。包括大量數(shù)據(jù)的提取和初步的有效性確認(rèn)。

（2）歸一化。將收集來(lái)的海量數(shù)據(jù)處理成為系統(tǒng)設(shè)計(jì)的統(tǒng)一格式，為后面的分析進(jìn)行準(zhǔn)備。

（3）按照資產(chǎn)分類。將收集來(lái)的海量數(shù)據(jù)按照所屬的信息資產(chǎn)進(jìn)行分類。能夠?qū)崿F(xiàn)這一步的前提條件是企業(yè)網(wǎng)已經(jīng)進(jìn)行過(guò)信息資產(chǎn)分類。這一點(diǎn)很重要，可以大幅度提高數(shù)據(jù)的可利用性、減小誤報(bào)引起的人力浪費(fèi)，將管理員寶貴的精力放到關(guān)鍵的信息資產(chǎn)上去。當(dāng)前專門(mén)的信息安全顧問(wèn)服務(wù)可以幫助企業(yè)進(jìn)行信息資產(chǎn)分類。

（4）與風(fēng)險(xiǎn)評(píng)估（VA）系統(tǒng)輸出的弱點(diǎn)信息進(jìn)行關(guān)聯(lián)處理。鑒別有效、無(wú)效、誤報(bào)，并按照弱點(diǎn)和資產(chǎn)對(duì)海量事件數(shù)據(jù)進(jìn)行優(yōu)先級(jí)排序。這一步和上一步的順序可以交換。

（5）分析。一般來(lái)說(shuō)，這一步體現(xiàn)的是廠家的看家本領(lǐng)，也是安全管理產(chǎn)品的關(guān)鍵所在。

（6）響應(yīng)。響應(yīng)一般都會(huì)包括各種告警、日志、實(shí)時(shí)阻斷等。

2．與其他系統(tǒng)的關(guān)聯(lián)性

伴隨著第三代IDS產(chǎn)品的另一標(biāo)志性特色就是它們強(qiáng)大的管理能力，具有海量數(shù)據(jù)融合和關(guān)聯(lián)性分析能力，支持大規(guī)模網(wǎng)絡(luò)、層次化結(jié)構(gòu)。其中，與風(fēng)險(xiǎn)評(píng)估系統(tǒng)的關(guān)聯(lián)是當(dāng)前IDS技術(shù)發(fā)展的一個(gè)重要方向，是減少誤報(bào)的一種強(qiáng)有力手段。