1.ids誤報
所謂ids誤報是指: 明明沒有這個攻擊,但是入侵者讓ids拼命告警,使不斷增長的告警日誌塞滿硬碟,以致翻滾的告警螢幕把管理者搞得眼花繚亂。這樣,真正的攻擊就可以夾雜在數不清的虛假告警中蒙混過關了。
2001
年3月,國外網路安全產品評測人員coretez發現另外一種讓ids誤報的入侵:快速地產生告警資訊,抑制ids的反應速度,以致使ids失去反應能力,甚至讓系統出現宕機現象。
2.ids漏報
採用ids技術就是為了在發現入侵時給出告警資訊。如果入侵者入侵成功而ids尚未告警,ids便失去存在的意義。和ids誤報相比,漏報其實更危險。ids想要防止欺騙,就要盡可能地模仿tcp/ip棧的實現。但是從效率和實現的複雜性考慮,ids並不能很容易地做到這一點。
ids的實現總是在漏報和誤報中徘徊,漏報率降低了,誤報率就會提高;同樣誤報率降低了,漏報率就會提高。一般地,ids產品會在兩者中取乙個折衷,並且能夠進行調整,以適應不同的網路環境。
3.ids逃避
利用ids誤報和漏報,穿透ids和防火牆的行為叫「逃避
」。 據芬蘭的stonesoft公司報道,目前在全球有180多種「逃避
」技術被發現。還有新的不斷產生。有部分產品對這種「逃避
」危害尚能對付。 但是,對不同「逃避
」技術的組合(其數量按排列,組合演算法會有2的180方種可能)又會產生新的更俱威脅的「逃逸
」,這種逃避稱之為高階"逃避"。高階逃避幾乎能通過目前任何安全裝置,比如防火牆,ips等。
IDS誤報 漏報和逃避
1.ids誤報 所謂ids誤報是指 明明沒有這個攻擊,但是入侵者讓ids拼命告警,使不斷增長的告警日誌塞滿硬碟,以致翻滾的告警螢幕把管理者搞得眼花繚亂。這樣,真正的攻擊就可以夾雜在數不清的虛假告警中蒙混過關了。2001年3月,國外網路安全產品評測人員coretez發現另外一種讓ids誤報的入侵 快速...
態勢感知安全產品誤報 漏報分析
1.分析思路 正向分析 根據已有的高危 嚴重 中危 低危規則分析目前的規則制定的資訊是否有效,本質上屬於功能測試 黑盒分析 從爆出的告警日誌分析,分析具體的攻擊行為,根據產品具體日誌資訊,檢視資料報內容,確定是誤報。正向分析出現的問題,已經做完功能測試,每條規則本身是生效的,那麼存在問題,應該歸為b...
IPS和IDS的區別
入侵檢測系統 ids ids intrusion detection systems,入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統 執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機密性 完整性和可用性。入侵防禦系統 ips ips intrusio...