入侵检测系统的误报和漏报

时间：2014-11-9

  误报就是指Snort产生的警报并不存在的情况,实际上误报就是误警.如果使用Snort的默认规则集,就会生成大量误报,为什么入侵检测系统会产生大量误报呢?对于生成的误报可以通过调整将其滤掉,总要好过漏掉一个严重的攻击.因此一个新的Snort系统安装后会产生大量警报,需要你来决定哪些报警和自身网络相关,网络越是开放,就越可能监测到大量的警报.sw
  另一方面,Snort也可能出现漏报,也就是说,被Snort监测的系统受到了攻击,但Snort并没有检测出来,你可能认为这种情况不会发生,假设某天你收到来自另一位系统管理员的一封邮件说他发现了了一个可疑的攻击,但是你的Snort系统并没有发现,这是一个非常真实的情况,这种情况经常出现在用户使用了过期的Snort规则集,或是遇到一咱全新的攻击,其牲还没有被加入规则集的时候,因此一定要确保Snort规则集及时更新