IDS应用难点之一

　　如何解决误报率问题？

　　误报率一直是IDS产品的技术难点之一。很多公司都有各自不同的解决方法。

　　赛门铁克的解决办法有两种：一是对IDS产品的应用范围（如作业平台）事先作一个分类。比如面向一个只有Windows平台的企业网络，则IDS包含的针对Unix平台攻击的检测特征功能就可以忽略，从而避免误报。二是从根源上解决问题，即通过互补产品来减少IDS的误报。赛门铁克已有的风险管理产品，就可以首先帮助企业查出漏洞所在，对易遭受攻击的弱点究根寻源，然后企业在堵住这些漏洞的前提下，应用IDS，其误报率会大大减少。

　　东软认为，IDS的漏报和误报是一对矛盾体，其产品NetEye IDS可以在理解网络协议的基础上，对网络数据进行重组，并提供应用协议的内容恢复功能，对网络上发生的应用进行恢复和重放，不但检测攻击事件，还重现攻击的过程。这样，它不仅可以发现外部攻击，还可以发现内部用户的恶意行为。通过内容恢复，管理员可以准确了解攻击是否发生，有效地减少了误报。

　　上海金诺公司的金诺网安入侵检测系统KIDS，采用安全策略优化、事件合并、事件关联和多种检测技术相结合等方法，来解决误报率问题。金诺网安KIDS采用了金诺公司新一代智能的检测技术，以基于包特征的检测技术为主体，充分结合协议状态分析、流量异常检测等技术，在保证检测到已知的最新攻击行为的前提下，及时发现一些未知的非法入侵行为，从而确保检测的准确性和广泛性。另外，KIDS也利用了TCP流重组和IP碎片重组等常见的技术，这些技术都可以有效降低系统的误报和漏报。

　　如何降低端口扫描的漏报率和误报率？早期IDS采用的方法是定义一个时间段，在这个时间段内如发现了超过某一预订值的连接次数，就认为是端口扫描。这种做法的缺点是，如果扫描的时间超过了定义的时间段，但扫描的端口少于预订的连接次数，那么这种扫描将不能识别。若对采集到的长期数据进行分析，这样一些非常缓慢的扫描也逃不过IDS的监测。这种解决方法在东方龙马入侵侦测系统中有些体现。