解析IDS的误报、误警与安全管理

目前，人们对IDS最大的批评很可能就是误报。从技术层面上讲，误报就是指检测算法将正常的网络数据当成了攻击。但实际上用户所认为的误报却是误警。

IDS误报的典型情况

典型的情况：用户第一次使用IDS时，打开（起用）了所有可能的算法和配置，就等于说："告诉我网络上所发生的一切。"他们对所有的活动都感到惊喜。也许他们的确抓住了个把坏蛋。可是一两个星期之后，他们会说："唉，我被这些信息淹没了，我无法对它们进行响应。"于是就产生了"误报"的说法，事实上，在很多情况下，它们仅仅是误警。用户往往会对IDS报有错误的期望，他们指望IDS会自动提供他们希望看到的东西。我们距离这一目标还有很长的路要走。

在这方面，误报是一个关键问题。很显然，如果IDS产品将正常的网络数据当成攻击，客户就不会再安装IDS产品，以免影响其正常业务。IDS厂商应当投入大量资源和时间使IDS的算法运作良好，这样一来，当客户使用我们的产品时不会有很多误报。

而且问题并不总是出在工具上面，也取决于如何配置工具。任何产品都是如此，如果配置得当，你会发现设备反映灵敏。如果你打开所有的（监控）功能，则会造成数据泛滥，难以正常监控。

但实际情况比这更加复杂。两个不同的机构由于站点配置不同，对同一产品的误报的评价也不同。当你在一个没有人使用IE的网络中发现了IE流量，（就说明误报的存在）你同时对一个开放研究网和一个校园网中进行观察，得出的结论是完全不同的。

造成误报与误警的认识误区的一个重要原因是IDS所能报告的不只是攻击，而是报告网络的一切情况。例如IDS能够报告TCP连接的建立，HTTP请求的URL，而这些都不一定是攻击。IDS为什么要报告这些可能不存在攻击的事件呢？因为通过对这些事件的统计和分析，有时是能够在这些网络事件发现攻击迹象的。这也多少反映IDS的局限性，即它不可能百分之百精确地报告攻击，"电脑"有时还需要人脑的经验。

解决误报和误警问题的对策

解决误报和误警的对策有很多，但离目标还有很长的路要走。主要方法如下：

1．将基于异常的技术和传统的基于特征的技术相结合

异常检测的一个问题在于当今最好的研究工具也只有大约75%的成功率。因此，几乎没有客户能清楚地了解其网络运作情况。如果你给他们的产品总是提供不可靠的数据，他们将完全放弃该产品。

2．将协议分析技术与和传统的基于特征的技术相结合

在检测攻击的大量模式和方法的基础上，我们将协议分析技术、模式匹配和其他一些技术相结合，通过异常检测和一些统计门限等指标来确定攻击的发生。面对不同的情况，供应商应当从客户那里了解哪种模式对哪种攻击最有效，并进行试验，然后确定采用的模式。

3．强化IDS的安全管理功能

前两种改进方法的目标是提高IDS检测的精度和速度。检测系统"诊断"的速度和精确性不断提高，渐渐具备了防御功能，进而又演进为一种集中式的决策支持系统。今后IDS将淡化防御职能，强化管理职能，淡化入侵防御，强化入侵管理。我们需要建立一个不断掌握企业总体安全漏洞状况的决策支持系统。

首先，为了强化IDS的安全管理功能，需要对各种报警信息进行集成。

这在技术上是完全可行的。我们看到入侵检测传感器技术在后台收集数据方面的改进。数据收集功能将和一个机构的入侵检测基础架构更紧密地集成。

而我们目前的情况则正相反，由于手头只有大量零散的数据，我们得花力气去理解数据的含义。如果，能够将来自不同类型传感器平台的数据收集起来，并通过智能化的手段集成这些数据，我们就可以将多个小型事件综合成一幅大型"图片"。

报警信息的集成对最终用户有何重要意义呢？

这是非常重要的，这就是为什么你看到NetForensics、Intellitactics、Network Intelligence、e-Security这些报警监控供应商们急着对数据进行标准化，并允许用户交叉使用它们的数据。我们的问题在于每个企业网都具有自己特定形式的流量。将流量模式化并转换成适当的形式、减少误报等现象，这是很难做到的。

现在IDS已经发展到了一定的阶段，很显然，下一阶段的工作是全方位的管理。很多机构将注意力集中在管理事件并发掘其相关性上。这已不是单纯的IDS，它不仅关注入侵检测，而且着眼于漏洞评估。IDS需要确定系统是否存在漏洞，以及这些漏洞之间是否存在关联。在获取了评估所需的各组成部分（数据）之后，下一步将是产生漏洞信息。这涉及到与漏洞评估工具，如扫描器的集成。

现在，一个比较大的不利因素是缺乏标准。这完全可以理解，因为这一领域的发展太迅速了。现在有很多产品都可以产生报警，每种产品的实现方式都存在细微的差异，因而人们希望能够有一种集成的方式来解决：如何将NFR的数据格式（layout）映射成ISS的数据格式，如何将Snort的数据格式映射成Cisco的数据格式。而这本身就是一个棘手的问题。当然，供应商的问题在于是否有商业的驱动？我们是否看到了来自客户方面的解决此问题的压力？

其次，为了强化IDS的安全管理功能，还需要与入侵防御形成互动。

入侵防御和入侵检测可以互为补充。当你在使用入侵防护系统时，如果一种功能失效，可以通过其他功能弥补。入侵防御将成为整个防御系统的另一个重要层面。

一个有用的举措是安全设备的集成。因此，你将看到IDS和防火墙之间的联系越来越紧密，就象VPN已经开始向防火墙靠拢。如果这些服务捆绑在一起，就意味着它们可以协同工作，当IDS检测到事件发生时，将自动通知防火墙实施相应策略。但是，要做到这一点，我们必须将误报降至最低。

在一年左右的时间里，我们将继续看到防火墙成为IDS的有力补充。它们将在高层次上发挥特定的作用，它们可以根据你的需要设置进出网络的策略。任何IDS都可以检测你预先设定的行为，并可能阻止攻击。同时，你也将看到越来越多的防火墙具备IDS的能力。

最后，为了强化IDS的安全管理功能，必须使安全信息易于管理，必须使IDS易于使用。

用户是需要大量有关网络运作的信息，但事实并非只是如此。他们需要了解当前发生事件的意义。人们购买IDS是为了知道自己遇到了什么种类的攻击，以及攻击对网络所造成的影响。

用户需要的是安全信息易于理解性。安全信息的易理解性表现在网络信息的人文化、可视化，安全信息的图表化和信息挖掘。

用户还会需要易用性好，需要安全易于管理。例如在IDS中引入企业资产的概念，多样实用的报表，将事件按风险分类，自定义事件，事件的二次分析，容易与其他安全产品联动，与网络管理系统的无缝衔接等等。

提高IDS的易用性，一个非常重要的方面就是提高报警事件描述的质量。几乎所有的IDS都会提供对报警事件的详细描述，报警事件的描述一般包括：事件名称、事件介绍、发布日期、影响的平台和解决的方法。

但是，现在很多事件的描述都很简单，比方说在解决方法里面只是提到打什么Patch等，对于缺乏安全经验的网络管理员来说，非常不具备操作性。如果你能够提供网站的连接，告诉他操作的思路，就会好很多。

很多IDS提供了防火墙联动的功能，但是在事件的描述中只字不提如何利用联动阻止攻击，这个例子是说明作为这么重要的事件描述功能，应该和IDS的其他功能结合起来，在事件描述中不仅告诉用户事件的起源、影响平台等，还需要告诉客户如何利用好IDS来一定程度的解决问题。

这体现了IDS产品本身的内在耦合性存在问题。这也许和许多IDS厂商只是简单的将检测规则和报警事件从其他地方复制或翻译过来，不做深入分析有关。

如果你的工具易用了，用户就会懂得如何更好的配置，大大地减少误警。

总之，由于方法论的问题，IDS的误报和误警是不可能彻底解决的，这个问题对IDS的方向的影响就是它需要走强化安全管理功能的道路。它需要强化对多种安全信息的收集功能，它需要提高IDS的智能化分析和报告能力，它需要与多种安全产品形成配合。只有这样，IDS才有可能成为网络安全的重要基础设施。

未经允许不得转载：DOIT » 解析IDS的误报、误警与安全管理