解决 IDS 的误报 误警与安全管理（转）

目前，人们对IDS最大的批评很可能就是误报。从技术层面上讲，误报就是指检测算法将正常的网络数据当成了攻击。但实际上用户所认为的误报却是误警。

　　IDS误报的典型情况

　　典型的情况：用户第一次使用IDS时，打开（起用）了所有可能的算法和配置，就等于说：“告诉我网络上所发生的一切。”他们对所有的活动都感到惊喜。也许他们的确抓住了个把坏蛋。可是一两个星期之后，他们会说：“唉，我被这些信息淹没了，我无法对它们进行响应。”于是就产生了“误报”的说法，事实上，在很多情况下，它们仅仅是误警。用户往往会对IDS报有错误的期望，他们指望IDS会自动提供他们希望看到的东西。我们距离这一目标还有很长的路要走。

　　在这方面，误报是一个关键问题。很显然，如果IDS产品将正常的网络数据当成攻击，客户就不会再安装IDS产品，以免影响其正常业务。IDS厂商应当投入大量资源和时间使IDS的算法运作良好，这样一来，当客户使用我们的产品时不会有很多误报。

　　而且问题并不总是出在工具上面，也取决于如何配置工具。任何产品都是如此，如果配置得当，你会发现设备反映灵敏。如果你打开所有的（监控）功能，则会造成数据泛滥，难以正常监控。

　　但实际情况比这更加复杂。两个不同的机构由于站点配置不同，对同一产品的误报的评价也不同。当你在一个没有人使用IE的网络中发现了IE流量，（就说明误报的存在）你同时对一个开放研究网和一个校园网中进行观察，得出的结论是完全不同的。

　　造成误报与误警的认识误区的一个重要原因是IDS所能报告的不只是攻击，而是报告网络的一切情况。例如IDS能够报告TCP连接的建立，HTTP请求的URL，而这些都不一定是攻击。IDS为什么要报告这些可能不存在攻击的事件呢？因为通过对这些事件的统计和分析，有时是能够在这些网络事件发现攻击迹象的。这也多少反映IDS的局限性，即它不可能百分之百精确地报告攻击，“电脑”有时还需要人脑的经验。

　　解决误报和误警问题的对策

　　解决误报和误警的对策有很多，但离目标还有很长的路要走。主要方法如下：

　　1．将基于异常的技术和传统的基