NIDS误报、漏报的原因分析

据统计，目前网络入侵检测系统（NIDS）的告警信息中，仅有10%是有用的；同时，网络入侵检测系统又存在大量漏报的现象。应该如何降低NIDS的漏报、误报呢？

当网络入侵检测系统部署到网络后，网络管理员会发现系统产生大量的入侵误报信息，这些误报信息将给网络和管理员带来如下困扰：首先，网络管理员很难从大量的告警信息中发现真实的入侵事件，这样就会引起网络的入侵和信息泄漏；其次，这给网络传输和日志存储带来严重的问题，可能使网络传输负载变大，也将使日志存储系统空间占满，导致真实的入侵事件无法进行审计。

误报原因有四种

网络入侵检测系统可分成四种：

1.由网络结构引起的

网络结构，特别是路由结构的设计，在一些特殊情况下，比如路由不可达时，将产生大量的ICMP Echo请求，这时候网络入侵检测系统将产生“ICMP Flood”的入侵信息（该入侵方式就是攻击者发送大量的ICMP Echo请求，超过了协议堆栈所能处理的能力）。

2.由特殊设备引起的

一些特殊设备会产生特殊的、畸异的数据包，比如负载均衡设备。在一些情况下，如果发出的数据包和返回的数据包经过不同链路的设备，此时网络入侵检测系统将产生入侵告警。

3.由特殊应用协议引起的

在网络环境中，一些应用系统由于设计和实现时存在缺陷，比如Client同Server之间通信的协议在数据传输过程中，恰好包括了网络入侵检测系统模式匹配的特征串，此时网络入侵检测系统将产生误报告警。

4.由NIDS本身Bug引起的

网络入侵检测系统软件可能由于设计的缺陷造成入侵误报，此时，只有通过厂商提供Patch方可解决。

漏报原因分六类

造成网络入侵检测系统漏报的原因大致可分成如下六类：

1.网络部署因素

由于网络入侵检测系统主要通过监听接口进行Sniffer的方式俘获数据包，如果由于交换机的原因，监听接口所监控的范围不能包括交换机所有端口，此时网络入侵检测系统将不能对该网络进行有效的入侵监控和防范，从而产生告警漏报现象。

2.加密网络环境部署

在加密网络环境中，如果在数据没有进行解密前被网络入侵检测系统捕获，此时的数据对于网络入侵检测系统没有任何意义；如果入侵数据包被网络中加密机设备加密，此时NIDS并不能检测到入侵，这些入侵数据包到达目的地后，经过对端的加密机设备解密后，就会对目标服务器造成入侵。

3.网络结构变更管理

如果网络管理员同内部网络使用者沟通不顺畅，导致内部网络使用者修改了自己的网络结构（比如修改了服务器的IP地址、更换服务器所在交换机端口等）；同时，网络结构的修改又没有及时通知给网络管理员，此时可能由于网络入侵检测系统策略没有及时修改，导致入侵的漏报事件。

4.未公开的入侵事件

对于未公开的入侵方法，网络入侵检测系统无法通过模式匹配的方式对未公开的入侵进行告警，只有通过网络入侵检测系统的制造商进行规则库的升级来解决问题。

5.NIDS系统问题

有些网络入侵检测系统自身和配置上可能存在如下问题，导致漏报事件：

a.为降低误报率，管理员设置了较大宽松范畴的规则。

b.由于设备的性能问题，在流量很大的网络中，NIDS无法去检测所有的网络流量。

c. NIDS系统的入侵告警信息描述不清晰，网络管理员无法通过告警信息了解入侵的原因。

6.NIDS产品缺陷

如果NIDS系统本身存在缺陷，导致入侵事件的漏报，此时只有通过IDS制造商进行产品修改，方可解决问题。

目前国内大部分网络入侵检测系统均采用Linux＋Snort的实现方式，因此，必须采用有效的方法和途径解决入侵事件的误报、漏报及Snort本身存在的缺陷。如果调整有效，可以使网络入侵检测系统误报率降低到40%以下，同时可最大程度降低入侵事件的漏报率。但是，降低误报率后，必然会影响入侵事件的漏报率。