为什么我的入侵检测IDS会产生许多误报？

卡西达

的确，现在的许多入侵检测工具都会产生误报或者漏报的现象。这是因为在检测入侵行为时，单一的模式特征匹配是不够的。然而，大多数入侵检测工具却只做这项工作。如果攻击特征并没有细心的设计，那么工具会和许多数据流匹配。例如，检测工具在监视sendmail 协议攻击时，寻找邮件信息头部有没有"DEBUG"或 "WIZARD"字符串。但如果这些字符串出现在邮件的主题信息中，并且没有害处，入侵检测工具却不能对邮件头部和主题的字符串进行区分，这样就会产生误报。

许多正常的网络或系统操作行为也会被当作攻击报警。一些系统管理员的配置活动被认为是异常行为。因此，建立攻击数据流和管理数据流的清晰关系是系统的迫切需要。