为什么我的入侵检测IDS会产生许多误报?
的确,现在的许多入侵检测工具都会产生误报或者漏报的现象。这是因为在检测入侵行为时,单一的模式特征匹配是不够的。然而,大多数入侵检测工具却只做这项工作。如果攻击特征并没有细心的设计,那么工具会和许多数据流匹配。例如,检测工具在监视sendmail 协议攻击时,寻找邮件信息头部有没有"DEBUG"或 "WIZARD"字符串。但如果这些字符串出现在邮件的主题信息中,并且没有害处,入侵检测工具却不能对邮件头部和主题的字符串进行区分,这样就会产生误报。<br />
<br />许多正常的网络或系统操作行为也会被当作攻击报警。一些系统管理员的配置活动被认为是异常行为。因此,建立攻击数据流和管理数据流的清晰关系是系统的迫切需要。
页:
[1]