如何降低IDS漏报与误报 -电脑资料

电脑资料 时间:2019-01-01 我要投稿
【www.unjs.com - 电脑资料】

  起初, 们一般通过对IP包进行分片的方法来逃避IDS的监测,很多IDS系统没有碎片 重组的能力,

如何降低IDS漏报与误报

。所以这些IDS系统不能识别采用分片技术的攻击。如果你的NIDS系统不能进行碎片重组,请考虑更换你的产品或要求产品供应商提供给你能进行碎片重组的升级版本。基于策略的NIDS往往在规则中定义了默认端口,通常假定的目的端口是惟一的,例如将木马端口定义为该木马的默认端口,而大多数木马的通信端口都可以改变,这样,绝大多数NIDS系统不能识别出此木马攻击。我们认为,用木马的默认端口做为单一的匹配规则是不可靠的,应该对木马进行深入分析,综合木马的多种特征,才可以减少漏报和误报。有人提出了一种新的躲避IDS的方法,利用协议特有的漏洞进行攻击。如在DNS请求的返回包里,为了节省空间,采用压缩的方法用指针指向域名,在DNS请求包中是没有必要采用压缩标志的,但至少Bind 8x版本对请求包中的压缩标志进行解释,

电脑资料

如何降低IDS漏报与误报》(https://www.unjs.com)。这样构造一个使用压缩标志的攻击包,Bind 8x守护进程会接受并处理,但采用模式匹配的IDS系统将不会发现。Robert Graham的演示表明,DNS、FTP、RPC等多种协议存在类似的漏洞。对于采用模式匹配的IDS来说,这种协议上的漏洞是它所不能识别的,解决的方法是采用基于协议分析的IDS系统,对采集到的数据先分析解码再匹配,或者采用基于过程的IDS,例如NFR公司的NIDS,可以写出监测此种攻击的N-code代码。这两种方法都会降低一些性能,但事难两全。还有一个话题是如何降低端口扫描的漏报率和误报率,早期IDS采用的方法是定义一个时 间段,在这个时间段内如发现了超过某一预订值的连接次数,就认为是端口扫描。这种做法的缺点是,如果扫描的时间超过了定义的时间段,但扫描的端口少于预订的连接次数,那么这种扫描将不能识别。解决的方法是对采集到的长期数据进行分析,这样一些非常缓慢的扫描也逃不过IDS的监测。

最新文章