入侵檢測系統(tǒng)的誤報(bào)和漏報(bào)
作者:佚名 時(shí)間:2014-11-09 分享到:
誤報(bào)就是指snort產(chǎn)生的警報(bào)并不存在的情況,實(shí)際上誤報(bào)就是誤警.如果使用snort的默認(rèn)規(guī)則集,就會(huì)生成大量誤報(bào),為什么入侵檢測系統(tǒng)會(huì)產(chǎn)生大量誤報(bào)呢?對于生成的誤報(bào)可以通過調(diào)整將其濾掉,總要好過漏掉一個(gè)嚴(yán)重的攻擊.因此一個(gè)新的snort系統(tǒng)安裝后會(huì)產(chǎn)生大量警報(bào),需要你來決定哪些報(bào)警和自身網(wǎng)絡(luò)相關(guān),網(wǎng)絡(luò)越是開放,就越可能監(jiān)測到大量的警報(bào).sw
另一方面,snort也可能出現(xiàn)漏報(bào),也就是說,被snort監(jiān)測的系統(tǒng)受到了攻擊,但snort并沒有檢測出來,你可能認(rèn)為這種情況不會(huì)發(fā)生,假設(shè)某天你收到來自另一位系統(tǒng)管理員的一封郵件說他發(fā)現(xiàn)了了一個(gè)可疑的攻擊,但是你的snort系統(tǒng)并沒有發(fā)現(xiàn),這是一個(gè)非常真實(shí)的情況,這種情況經(jīng)常出現(xiàn)在用戶使用了過期的snort規(guī)則集,或是遇到一咱全新的攻擊,其牲還沒有被加入規(guī)則集的時(shí)候,因此一定要確保snort規(guī)則集及時(shí)更新
如沒特殊注明,文章均為上海聯(lián)楷網(wǎng)絡(luò)原創(chuàng),轉(zhuǎn)載請注明來自:http://www.ktcbnqb.cn/help/20151126/n1937.html
