四问IDS入侵检测应用

IDS应用难点之一
　　
　　
　　如何解决误报率问题？
　　
　　误报率一直是IDS产品的技术难点之一。很多公司都有各自不同的解决方法。
　　
　　赛门铁克的解决办法有两种：一是对IDS产品的应用范围（如作业平台）事先作一个分类。比如面向一个只有Windows平台的企业网络，则IDS包含的针对Unix平台攻击的检测特征功能就可以忽略，从而避免误报。二是从根源上解决问题，即通过互补产品来减少IDS的误报。赛门铁克已有的风险管理产品，就可以首先帮助企业查出漏洞所在，对易遭受攻击的弱点究根寻源，然后企业在堵住这些漏洞的前提下，应用IDS，其误报率会大大减少。
　　
　　东软认为，IDS的漏报和误报是一对矛盾体，其产品NetEye IDS可以在理解网络协议的基础上，对网络数据进行重组，并提供应用协议的内容恢复功能，对网络上发生的应用进行恢复和重放，不但检测攻击事件，还重现攻击的过程。这样，它不仅可以发现外部攻击，还可以发现内部用户的恶意行为。通过内容恢复，管理员可以准确了解攻击是否发生，有效地减少了误报。
　　
　　上海金诺公司的金诺网安入侵检测系统KIDS，采用安全策略优化、事件合并、事件关联和多种检测技术相结合等方法，来解决误报率问题。金诺网安KIDS采用了金诺公司新一代智能的检测技术，以基于包特征的检测技术为主体，充分结合协议状态分析、流量异常检测等技术，在保证检测到已知的最新攻击行为的前提下，及时发现一些未知的非法入侵行为，从而确保检测的准确性和广泛性。另外，KIDS也利用了TCP流重组和IP碎片重组等常见的技术，这些技术都可以有效降低系统的误报和漏报。
　　
　　如何降低端口扫描的漏报率和误报率？早期IDS采用的方法是定义一个时间段，在这个时间段内如发现了超过某一预订值的连接次数，就认为是端口扫描。这种做法的缺点是，如果扫描的时间超过了定义的时间段，但扫描的端口少于预订的连接次数，那么这种扫描将不能识别。若对采集到的长期数据进行分析，这样一些非常缓慢的扫描也逃不过IDS的监测。这种解决方法在东方龙马入侵侦测系统中有些体现。
　　
　　
　　IDS应用难点之二
　　
　　
　　怎样判断检测速度？
　　
　　IDS的检测速度，是影响NIDS的技术难题。为了实时对网络进行入侵侦测，每个基于NIDS的吞吐量是一定的，普通的IDS产品或许可以应付一般规模的企业检测要求，但对于电信级大型企业则有困难。这方面，赛门铁克建议，如果企业财力允许，可以考虑在网络内同时安装几套IDS，各自分别负责检测一部分，这样就可以解决检测速度吞吐量不够的问题。另外，可以考虑在覆盖企业网络终端的防病毒工具上做足文章。防病毒工具中集成一些IDS的功能，让IDS在网络内的每台PC上实现，以此来解决检测速度的问题。目前赛门铁克正在做这方面的工作。
　　
　　东软的NetEye IDS提高检测速度的方法是，在操作系统的内核级别进行数据重组，对收取数据的驱动进行大量的优化，减少了系统内核到用户空间的数据拷贝，提高了系统的性能。NetEye IDS是软硬一体的系统结构，选取高性能的专用硬件，并通过大量测试，保证了硬件性能的最优化，通过选择专用的数据库，进行高效的索引，不但减轻了用户的管理负担，更极大地提高了存储效率。
　　
　　上海金诺在解决检测速度问题上，首先是将系统的硬件平台进行优化，使硬件性能达到最佳，然后是利用一些先进的技术，如高性能的网络数据包处理技术（包括金诺网安独有的零拷贝技术、零系统调用技术等）、高性能协议分析技术（包括基于协议状态的检测技术）和基于预分析的检测技术等。  

原文转自：http://www.ltesting.net