(转载)如何降低IDS的漏报和误报

如何降低IDS的漏报和误报

发布日期：2002-01-29
文摘内容：

---

【中国计算机报】01-12-6

　　目前，漏报率和误报率太高一直是困扰IDS用户的主要问题。

　　起初，黑客们一般通过对IP包进行分片的方法来逃避IDS的监测，很多IDS系统没有碎片
重组的能力。所以这些IDS系统不能识别采用分片技术的攻击。如果你的NIDS系统不能进行碎
片重组，请考虑更换你的产品或要求产品供应商提供给你能进行碎片重组的升级版本。

　　基于策略的NIDS往往在规则中定义了默认端口，通常假定的目的端口是惟一的，例如将
木马端口定义为该木马的默认端口，而大多数木马的通信端口都可以改变，这样，绝大多数
NIDS系统不能识别出此木马攻击。我们认为，用木马的默认端口做为单一的匹配规则是不可
靠的，应该对木马进行深入分析，综合木马的多种特征，才可以减少漏报和误报。

　　有人提出了一种新的躲避IDS的方法，利用协议特有的漏洞进行攻击。如在DNS请求的返
回包里，为了节省空间，采用压缩的方法用指针指向域名，在DNS请求包中是没有必要采用压
缩标志的，但至少Bind 8x版本对请求包中的压缩标志进行解释。这样构造一个使用压缩标志
的攻击包，Bind 8x守护进程会接受并处理，但采用模式匹配的IDS系统将不会发现。Robert
Graham的演示表明，DNS、FTP、RPC等多种协议存在类似的漏洞。对于采用模式匹配的IDS来
说，这种协议上的漏洞是它所不能识别的，解决的方法是采用基于协议分析的IDS系统，对采
集到的数据先分析解码再匹配，或者采用基于过程的IDS，例如NFR公司的NIDS，可以写出监
测此种攻击的N-code代码。这两种方法都会降低一些性能，但事难两全。

　　还有一个话题是如何降低端口扫描的漏报率和误报率，早期IDS采用的方法是定义一个时
间段，在这个时间段内如发现了超过某一预订值的连接次数，就认为是端口扫描。这种做法
的缺点是，如果扫描的时间超过了定义的时间段，但扫描的端口少于预订的连接次数，那么
这种扫描将不能识别。解决的方法是对采集到的长期数据进行分析，这样一些非常缓慢的扫
描也逃不过IDS的监测。以上解决方法在中科网威的“天眼”入侵侦测系统2.0中都有体现。