目前，人們對IDS最大的批評很可能就是誤報(bào)。從技術(shù)層面上講，誤報(bào)就是指檢測算法將正常的網(wǎng)絡(luò)數(shù)據(jù)當(dāng)成了攻擊。但實(shí)際上用戶所認(rèn)為的誤報(bào)卻是誤警。

IDS誤報(bào)的典型情況

典型的情況：用戶第一次使用IDS時(shí)，打開（起用）了所有可能的算法和配置，就等于說：“告訴我網(wǎng)絡(luò)上所發(fā)生的一切。”他們對所有的活動(dòng)都感到驚喜。也許他們的確抓住了個(gè)把壞蛋。可是一兩個(gè)星期之后，他們會說：“唉，我被這些信息淹沒了，我無法對它們進(jìn)行響應(yīng)。”于是就產(chǎn)生了“誤報(bào)”的說法，事實(shí)上，在很多情況下，它們僅僅是誤警。用戶往往會對IDS報(bào)有錯(cuò)誤的期望，他們指望IDS會自動(dòng)提供他們希望看到的東西。我們距離這一目標(biāo)還有很長的路要走。

在這方面，誤報(bào)是一個(gè)關(guān)鍵問題。很顯然，如果IDS產(chǎn)品將正常的網(wǎng)絡(luò)數(shù)據(jù)當(dāng)成攻擊，客戶就不會再安裝IDS產(chǎn)品，以免影響其正常業(yè)務(wù)。IDS廠商應(yīng)當(dāng)投入大量資源和時(shí)間使IDS的算法運(yùn)作良好，這樣一來，當(dāng)客戶使用我們的產(chǎn)品時(shí)不會有很多誤報(bào)。

而且問題并不總是出在工具上面，也取決于如何配置工具。任何產(chǎn)品都是如此，如果配置得當(dāng)，你會發(fā)現(xiàn)設(shè)備反映靈敏。如果你打開所有的（監(jiān)控）功能，則會造成數(shù)據(jù)泛濫，難以正常監(jiān)控。

但實(shí)際情況比這更加復(fù)雜。兩個(gè)不同的機(jī)構(gòu)由于站點(diǎn)配置不同，對同一產(chǎn)品的誤報(bào)的評價(jià)也不同。當(dāng)你在一個(gè)沒有人使用IE的網(wǎng)絡(luò)中發(fā)現(xiàn)了IE流量，（就說明誤報(bào)的存在）你同時(shí)對一個(gè)開放研究網(wǎng)和一個(gè)校園網(wǎng)中進(jìn)行觀察，得出的結(jié)論是完全不同的。

造成誤報(bào)與誤警的認(rèn)識誤區(qū)的一個(gè)重要原因是IDS所能報(bào)告的不只是攻擊，而是報(bào)告網(wǎng)絡(luò)的一切情況。例如IDS能夠報(bào)告TCP連接的建立，HTTP請求的URL，而這些都不一定是攻擊。IDS為什么要報(bào)告這些可能不存在攻擊的事件呢？因?yàn)橥ㄟ^對這些事件的統(tǒng)計(jì)和分析，有時(shí)是能夠在這些網(wǎng)絡(luò)事件發(fā)現(xiàn)攻擊跡象的。這也多少反映IDS的局限性，即它不可能百分之百精確地報(bào)告攻擊，“電腦”有時(shí)還需要人腦的經(jīng)驗(yàn)。

解決誤報(bào)和誤警問題的對策

解決誤報(bào)和誤警的對策有很多，但離目標(biāo)還有很長的路要走。主要方法如下：

1．將基于異常的技術(shù)和傳統(tǒng)的基于特征的技術(shù)相結(jié)合

異常檢測的一個(gè)問題在于當(dāng)今最好的研究工具也只有大約75%的成功率。因此，幾乎沒有客戶能清楚地了解其網(wǎng)絡(luò)運(yùn)作情況。如果你給他們的產(chǎn)品總是提供不可靠的數(shù)據(jù)，他們將完全放棄該產(chǎn)品。

2．將協(xié)議分析技術(shù)與和傳統(tǒng)的基于特征的技術(shù)相結(jié)合

在檢測攻擊的大量模式和方法的基礎(chǔ)上，我們將協(xié)議分析技術(shù)、模式匹配和其他一些技術(shù)相結(jié)合，通過異常檢測和一些統(tǒng)計(jì)門限等指標(biāo)來確定攻擊的發(fā)生。面對不同的情況，供應(yīng)商應(yīng)當(dāng)從客戶那里了解哪種模式對哪種攻擊最有效，并進(jìn)行試驗(yàn)，然后確定采用的模式。

3．強(qiáng)化IDS的安全管理功能

前兩種改進(jìn)方法的目標(biāo)是提高IDS檢測的精度和速度。檢測系統(tǒng)“診斷”的速度和精確性不斷提高，漸漸具備了防御功能，進(jìn)而又演進(jìn)為一種集中式的決策支持系統(tǒng)。今后IDS將淡化防御職能，強(qiáng)化管理職能，淡化入侵防御，強(qiáng)化入侵管理。我們需要建立一個(gè)不斷掌握企業(yè)總體安全漏洞狀況的決策支持系統(tǒng)。

首先，為了強(qiáng)化IDS的安全管理功能，需要對各種報(bào)警信息進(jìn)行集成。

這在技術(shù)上是完全可行的。我們看到入侵檢測傳感器技術(shù)在后臺收集數(shù)據(jù)方面的改進(jìn)。數(shù)據(jù)收集功能將和一個(gè)機(jī)構(gòu)的入侵檢測基礎(chǔ)架構(gòu)更緊密地集成。

而我們目前的情況則正相反，由于手頭只有大量零散的數(shù)據(jù)，我們得花力氣去理解數(shù)據(jù)的含義。如果，能夠?qū)碜圆煌愋蛡鞲衅髌脚_的數(shù)據(jù)收集起來，并通過智能化的手段集成這些數(shù)據(jù)，我們就可以將多個(gè)小型事件綜合成一幅大型“圖片”。

報(bào)警信息的集成對最終用戶有何重要意義呢？

這是非常重要的，這就是為什么你看到NetForensics、Intellitactics、Network Intelligence、e-Security這些報(bào)警監(jiān)控供應(yīng)商們急著對數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化，并允許用戶交叉使用它們的數(shù)據(jù)。我們的問題在于每個(gè)企業(yè)網(wǎng)都具有自己特定形式的流量。將流量模式化并轉(zhuǎn)換成適當(dāng)?shù)男问健p少誤報(bào)等現(xiàn)象，這是很難做到的。

現(xiàn)在IDS已經(jīng)發(fā)展到了一定的階段，很顯然，下一階段的工作是全方位的管理。很多機(jī)構(gòu)將注意力集中在管理事件并發(fā)掘其相關(guān)性上。這已不是單純的IDS，它不僅關(guān)注入侵檢測，而且著眼于漏洞評估。IDS需要確定系統(tǒng)是否存在漏洞，以及這些漏洞之間是否存在關(guān)聯(lián)。在獲取了評估所需的各組成部分（數(shù)據(jù)）之后，下一步將是產(chǎn)生漏洞信息。這涉及到與漏洞評估工具，如掃描器的集成。

現(xiàn)在，一個(gè)比較大的不利因素是缺乏標(biāo)準(zhǔn)。這完全可以理解，因?yàn)檫@一領(lǐng)域的發(fā)展太迅速了。現(xiàn)在有很多產(chǎn)品都可以產(chǎn)生報(bào)警，每種產(chǎn)品的實(shí)現(xiàn)方式都存在細(xì)微的差異，因而人們希望能夠有一種集成的方式來解決：如何將NFR的數(shù)據(jù)格式（layout）映射成ISS的數(shù)據(jù)格式，如何將Snort的數(shù)據(jù)格式映射成Cisco的數(shù)據(jù)格式。而這本身就是一個(gè)棘手的問題。當(dāng)然，供應(yīng)商的問題在于是否有商業(yè)的驅(qū)動(dòng)？我們是否看到了來自客戶方面的解決此問題的壓力？

其次，為了強(qiáng)化IDS的安全管理功能，還需要與入侵防御形成互動(dòng)。

入侵防御和入侵檢測可以互為補(bǔ)充。當(dāng)你在使用入侵防護(hù)系統(tǒng)時(shí)，如果一種功能失效，可以通過其他功能彌補(bǔ)。入侵防御將成為整個(gè)防御系統(tǒng)的另一個(gè)重要層面。

一個(gè)有用的舉措是安全設(shè)備的集成。因此，你將看到IDS和防火墻之間的聯(lián)系越來越緊密，就象VPN已經(jīng)開始向防火墻靠攏。如果這些服務(wù)捆綁在一起，就意味著它們可以協(xié)同工作，當(dāng)IDS檢測到事件發(fā)生時(shí)，將自動(dòng)通知防火墻實(shí)施相應(yīng)策略。但是，要做到這一點(diǎn)，我們必須將誤報(bào)降至最低。

在一年左右的時(shí)間里，我們將繼續(xù)看到防火墻成為IDS的有力補(bǔ)充。它們將在高層次上發(fā)揮特定的作用，它們可以根據(jù)你的需要設(shè)置進(jìn)出網(wǎng)絡(luò)的策略。任何IDS都可以檢測你預(yù)先設(shè)定的行為，并可能阻止攻擊。同時(shí)，你也將看到越來越多的防火墻具備IDS的能力。

最后，為了強(qiáng)化IDS的安全管理功能，必須使安全信息易于管理，必須使IDS易于使用。

用戶是需要大量有關(guān)網(wǎng)絡(luò)運(yùn)作的信息，但事實(shí)并非只是如此。他們需要了解當(dāng)前發(fā)生事件的意義。人們購買IDS是為了知道自己遇到了什么種類的攻擊，以及攻擊對網(wǎng)絡(luò)所造成的影響。

用戶需要的是安全信息易于理解性。安全信息的易理解性表現(xiàn)在網(wǎng)絡(luò)信息的人文化、可視化，安全信息的圖表化和信息挖掘。

用戶還會需要易用性好，需要安全易于管理。例如在IDS中引入企業(yè)資產(chǎn)的概念，多樣實(shí)用的報(bào)表，將事件按風(fēng)險(xiǎn)分類，自定義事件，事件的二次分析，容易與其他安全產(chǎn)品聯(lián)動(dòng)，與網(wǎng)絡(luò)管理系統(tǒng)的無縫銜接等等。

提高IDS的易用性，一個(gè)非常重要的方面就是提高報(bào)警事件描述的質(zhì)量。幾乎所有的IDS都會提供對報(bào)警事件的詳細(xì)描述，報(bào)警事件的描述一般包括：事件名稱、事件介紹、發(fā)布日期、影響的平臺和解決的方法。但是，現(xiàn)在很多事件的描述都很簡單，比方說在解決方法里面只是提到打什么Patch等，對于缺乏安全經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員來說，非常不具備操作性。如果你能夠提供網(wǎng)站的連接，告訴他操作的思路，就會好很多。很多IDS提供了防火墻聯(lián)動(dòng)的功能，但是在事件的描述中只字不提如何利用聯(lián)動(dòng)阻止攻擊，這個(gè)例子是說明作為這么重要的事件描述功能，應(yīng)該和IDS的其他功能結(jié)合起來，在事件描述中不僅告訴用戶事件的起源、影響平臺等，還需要告訴客戶如何利用好IDS來一定程度的解決問題。這體現(xiàn)了IDS產(chǎn)品本身的內(nèi)在耦合性存在問題。這也許和許多IDS廠商只是簡單的將檢測規(guī)則和報(bào)警事件從其他地方復(fù)制或翻譯過來，不做深入分析有關(guān)。

如果你的工具易用了，用戶就會懂得如何更好的配置，大大地減少誤警。

總之，由于方法論的問題，IDS的誤報(bào)和誤警是不可能徹底解決的，這個(gè)問題對IDS的方向的影響就是它需要走強(qiáng)化安全管理功能的道路。它需要強(qiáng)化對多種安全信息的收集功能，它需要提高IDS的智能化分析和報(bào)告能力，它需要與多種安全產(chǎn)品形成配合。只有這樣，IDS才有可能成為網(wǎng)絡(luò)安全的重要基礎(chǔ)設(shè)施。