二、下一代IDS系统采用的技术
　　
　　为了降低误警率、合理部署多级传感器、有效控制跨区域的传感器，下一代入侵检测产品需要包含以下关键技术。
　　
　　1.智能关联
　　
　　智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合，从而减少误警。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时，它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞，IDS将抑制告警的产生。
　　
　　智能关联包括主动关联和被动关联。主动关联是通过扫描确定主机漏洞；被动关联是借助操作系统的指纹识别技术，即通过分析IP、TCP报头信息识别主机上的操作系统。下面将详细介绍指纹识别技术。
　　
　　(1)IDS有时会出现误报(主机系统本身并不存在某种漏洞，而IDS报告系统存在该漏洞)
　　
　　造成这种现象的原因是当IDS检测系统是否受到基于某种漏洞的攻击时，没有考虑主机的脆弱性信息。以针对Windows操作系统的RPC攻击为例，当网络中存在RPC攻击时，即使该网络中只有基于Linux的机器，IDS也会产生告警，这就是一种误报现象。为了解决这个问题，需要给IDS提供一种基于主机信息的报警机制。因此新一代IDS产品利用被动指纹识别技术构造一个主机信息库，该技术通过对TCP、IP报头中相关字段进行识别来确定操作系统(OS)类型。
　　
　　(2)被动指纹识别技术的工作原理
　　
　　被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息，另一个是特征数据库中的目标主机信息，通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口大小(Windowsize)、数据报存活期(TTL)、DF(don'tfragment)标志以及数据报长(Totallength)。
　　
　　窗口大小(wsize)指输入数据缓冲区大小，它在TCP会话的初始阶段由OS设定。多数UNIX操作系统在TCP会话期间不改变它的值，而在Windows操作系统中有可能改变。
　　
　　数据报存活期指数据报在被丢弃前经过的跳数(hop)；不同的TTL值代表不同的OS，TTL=64，OS=UNIX；TTL=12，OS=Windows。
　　
　　DF字段通常设为默认值，而OpenBSD不对它进行设置。
　　
　　数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中，不同的数据报长代表不同的操作系统，60代表Linux、44代表Solaris、48代表Windows2000。
　　
　　IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64，初步判断OS=Linux/OpenBSD；如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此，(TTL，wsize)就可以作为特征库中的一个特征信息。
　　
　　(3)被动指纹识别技术工作流程
　　
　　具有指纹识别技术的IDS系统通过收集目标主机信息，判断主机是否易受到针对某种漏洞的攻击，从而降低误报率。它的工作流程如图1所示。
　　
　　<1>指纹识别引擎检查SYN报头，提取特定标识符；
　　
　　<2>从特征库中提取目标主机上的操作系统信息；
　　
　　<3>更新主机信息表；
　　
　　<4>传感器检测到带有恶意信息的数据报，在发出警告前先与主机信息表中的内容进行比较；
　　
　　<5>传感器发现该恶意数据报是针对Windows服务器的，而目标主机是Linux服务器，所以IDS将抑制该告警的产生。
　　

图1 被动指纹识别技术工作流程

　　
　　因此，当IDS检测到攻击数据包时，首先查看主机信息表，判断目标主机是否存在该攻击可利用的漏洞；如果不存在该漏洞，IDS将抑制告警的产生，但要记录关于该漏洞的告警信息作为追究法律责任的证据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。一些IDS经销商已经把OS指纹识别的概念扩展到应用程序指纹识别，甚至到更广泛的用途上。
　　
　　2.告警泛滥抑制
　　
　　IDS产品使用告警泛滥抑制技术可以降低误警率。在利用漏洞的攻击势头逐渐变强之时，IDS短时间内会产生大量的告警信息；而IDS传感器却要对同一攻击重复记录，尤其是蠕虫在网络中自我繁殖的过程中，这种现象最为严重。NFR(一家网络安全公司)称这种现象为“告警饱和”。
　　
　　所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。下一代IDS产品利用一些规则(规则的制定需要考虑传感器)筛选产生的告警信息来抑制告警泛滥；IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样，网管人员可以专注于公司网络的安全状况，不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中，使传感器能够识别告警饱和现象并实施抑制操作。有了这种技术，传感器可以在告警前对警报进行预处理，抑制重复告警。例如，可以对传感器进行适当配置，使它忽略在30秒内产生的针对同一主机的告警信息；IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。
　　
　　3.告警融合
　　
　　该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息，这有助于解决误报和漏报问题。
　　
　　当与低级别警告有关的条件或规则满足时，安全管理员在IDS上定义的元告警相关性规
　　
　　则就会促使高级别警告产生。如扫描主机事件，如果单独考虑每次扫描，可能认为每次扫描都是独立的事件，而且对系统的影响可以忽略不计；但是，如果把在短时间内产生的一系列事件整合考虑，会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件，而且扫描强度在不断升级，安全管理人员可以认为是攻击前的渗透操作，应该作为高级别告警对待。这个例子告诉我们告警融合技术可以发出早期攻击警告，如果没有这种技术，需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆；而通过设置元警告相关性规则，安全管理员可以把精力都集中在高级别警告的处理上。
　　
　　元警告相关性规则中定义的参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。
　　
　　4.可信任防御模型
　　
　　改进的IDS中应该包含可信任防御模型的概念。事实上，2004年多数传统的IDS供应商已经逐渐地把防御功能加入到IDS产品中。与此同时，IPS（入侵防御系统）产品的使用率在增长，但是安全人士仍然为IDS产品预留了实现防御功能的空间。IDS产品供应商之所以这样做，部分原因在于他们认识到防御功能能否有效地实施关键在于检测功能的准确性和有效性。没有精确的检测就谈不上建立可信任的防御模型；所以，开发出好的内嵌防御功能的IDS产品关键在于提高检测的精确度。