目前，人們對IDS最大的批評很可能就是誤報。從技術層面上講，誤報就是指檢測算法將正常的網絡數據當成了攻擊。但實際上用戶所認為的誤報卻是誤警。

IDS誤報的典型情況

典型的情況：用戶第一次使用IDS時，打開（起用）了所有可能的算法和配置，就等于說：“告訴我網絡上所發生的一切。”他們對所有的活動都感到驚喜。也許他們的確抓住了個把壞蛋。可是一兩個星期之后，他們會說：“唉，我被這些信息淹沒了，我無法對它們進行響應。”于是就產生了“誤報”的說法，事實上，在很多情況下，它們僅僅是誤警。用戶往往會對IDS報有錯誤的期望，他們指望IDS會自動提供他們希望看到的東西。我們距離這一目標還有很長的路要走。

在這方面，誤報是一個關鍵問題。很顯然，如果IDS產品將正常的網絡數據當成攻擊，客戶就不會再安裝IDS產品，以免影響其正常業務。IDS廠商應當投入大量資源和時間使IDS的算法運作良好，這樣一來，當客戶使用我們的產品時不會有很多誤報。

而且問題并不總是出在工具上面，也取決于如何配置工具。任何產品都是如此，如果配置得當，你會發現設備反映靈敏。如果你打開所有的（監控）功能，則會造成數據泛濫，難以正常監控。

但實際情況比這更加復雜。兩個不同的機構由于站點配置不同，對同一產品的誤報的評價也不同。當你在一個沒有人使用IE的網絡中發現了IE流量，（就說明誤報的存在）你同時對一個開放研究網和一個校園網中進行觀察，得出的結論是完全不同的。

造成誤報與誤警的認識誤區的一個重要原因是IDS所能報告的不只是攻擊，而是報告網絡的一切情況。例如IDS能夠報告TCP連接的建立，HTTP請求的URL，而這些都不一定是攻擊。IDS為什么要報告這些可能不存在攻擊的事件呢？因為通過對這些事件的統計和分析，有時是能夠在這些網絡事件發現攻擊跡象的。這也多少反映IDS的局限性，即它不可能百分之百精確地報告攻擊，“電腦”有時還需要人腦的經驗。

解決誤報和誤警問題的對策

解決誤報和誤警的對策有很多，但離目標還有很長的路要走。主要方法如下：

1．將基于異常的技術和傳統的基于特征的技術相結合

異常檢測的一個問題在于當今最好的研究工具也只有大約75%的成功率。因此，幾乎沒有客戶能清楚地了解其網絡運作情況。如果你給他們的產品總是提供不可靠的數據，他們將完全放棄該產品。

2．將協議分析技術與和傳統的基于特征的技術相結合

在檢測攻擊的大量模式和方法的基礎上，我們將協議分析技術、模式匹配和其他一些技術相結合，通過異常檢測和一些統計門限等指標來確定攻擊的發生。面對不同的情況，供應商應當從客戶那里了解哪種模式對哪種攻擊最有效，并進行試驗，然后確定采用的模式。

3．強化IDS的安全管理功能

前兩種改進方法的目標是提高IDS檢測的精度和速度。檢測系統“診斷”的速度和精確性不斷提高，漸漸具備了防御功能，進而又演進為一種集中式的決策支持系統。今后IDS將淡化防御職能，強化管理職能，淡化入侵防御，強化入侵管理。我們需要建立一個不斷掌握企業總體安全漏洞狀況的決策支持系統。

首先，為了強化IDS的安全管理功能，需要對各種報警信息進行集成。

這在技術上是完全可行的。我們看到入侵檢測傳感器技術在后臺收集數據方面的改進。數據收集功能將和一個機構的入侵檢測基礎架構更緊密地集成。

而我們目前的情況則正相反，由于手頭只有大量零散的數據，我們得花力氣去理解數據的含義。如果，能夠將來自不同類型傳感器平臺的數據收集起來，并通過智能化的手段集成這些數據，我們就可以將多個小型事件綜合成一幅大型“圖片”。

報警信息的集成對最終用戶有何重要意義呢？

這是非常重要的，這就是為什么你看到NetForensics、Intellitactics、Network Intelligence、e-Security這些報警監控供應商們急著對數據進行標準化，并允許用戶交叉使用它們的數據。我們的問題在于每個企業網都具有自己特定形式的流量。將流量模式化并轉換成適當的形式、減少誤報等現象，這是很難做到的。

現在IDS已經發展到了一定的階段，很顯然，下一階段的工作是全方位的管理。很多機構將注意力集中在管理事件并發掘其相關性上。這已不是單純的IDS，它不僅關注入侵檢測，而且著眼于漏洞評估。IDS需要確定系統是否存在漏洞，以及這些漏洞之間是否存在關聯。在獲取了評估所需的各組成部分（數據）之后，下一步將是產生漏洞信息。這涉及到與漏洞評估工具，如掃描器的集成。

現在，一個比較大的不利因素是缺乏標準。這完全可以理解，因為這一領域的發展太迅速了。現在有很多產品都可以產生報警，每種產品的實現方式都存在細微的差異，因而人們希望能夠有一種集成的方式來解決：如何將NFR的數據格式（layout）映射成ISS的數據格式，如何將Snort的數據格式映射成Cisco的數據格式。而這本身就是一個棘手的問題。當然，供應商的問題在于是否有商業的驅動？我們是否看到了來自客戶方面的解決此問題的壓力？

其次，為了強化IDS的安全管理功能，還需要與入侵防御形成互動。

入侵防御和入侵檢測可以互為補充。當你在使用入侵防護系統時，如果一種功能失效，可以通過其他功能彌補。入侵防御將成為整個防御系統的另一個重要層面。

一個有用的舉措是安全設備的集成。因此，你將看到IDS和防火墻之間的聯系越來越緊密，就象VPN已經開始向防火墻靠攏。如果這些服務捆綁在一起，就意味著它們可以協同工作，當IDS檢測到事件發生時，將自動通知防火墻實施相應策略。但是，要做到這一點，我們必須將誤報降至最低。

在一年左右的時間里，我們將繼續看到防火墻成為IDS的有力補充。它們將在高層次上發揮特定的作用，它們可以根據你的需要設置進出網絡的策略。任何IDS都可以檢測你預先設定的行為，并可能阻止攻擊。同時，你也將看到越來越多的防火墻具備IDS的能力。

最后，為了強化IDS的安全管理功能，必須使安全信息易于管理，必須使IDS易于使用。

用戶是需要大量有關網絡運作的信息，但事實并非只是如此。他們需要了解當前發生事件的意義。人們購買IDS是為了知道自己遇到了什么種類的攻擊，以及攻擊對網絡所造成的影響。

用戶需要的是安全信息易于理解性。安全信息的易理解性表現在網絡信息的人文化、可視化，安全信息的圖表化和信息挖掘。

用戶還會需要易用性好，需要安全易于管理。例如在IDS中引入企業資產的概念，多樣實用的報表，將事件按風險分類，自定義事件，事件的二次分析，容易與其他安全產品聯動，與網絡管理系統的無縫銜接等等。

提高IDS的易用性，一個非常重要的方面就是提高報警事件描述的質量。幾乎所有的IDS都會提供對報警事件的詳細描述，報警事件的描述一般包括：事件名稱、事件介紹、發布日期、影響的平臺和解決的方法。但是，現在很多事件的描述都很簡單，比方說在解決方法里面只是提到打什么Patch等，對于缺乏安全經驗的網絡管理員來說，非常不具備操作性。如果你能夠提供網站的連接，告訴他操作的思路，就會好很多。很多IDS提供了防火墻聯動的功能，但是在事件的描述中只字不提如何利用聯動阻止攻擊，這個例子是說明作為這么重要的事件描述功能，應該和IDS的其他功能結合起來，在事件描述中不僅告訴用戶事件的起源、影響平臺等，還需要告訴客戶如何利用好IDS來一定程度的解決問題。這體現了IDS產品本身的內在耦合性存在問題。這也許和許多IDS廠商只是簡單的將檢測規則和報警事件從其他地方復制或翻譯過來，不做深入分析有關。

如果你的工具易用了，用戶就會懂得如何更好的配置，大大地減少誤警。

總之，由于方法論的問題，IDS的誤報和誤警是不可能徹底解決的，這個問題對IDS的方向的影響就是它需要走強化安全管理功能的道路。它需要強化對多種安全信息的收集功能，它需要提高IDS的智能化分析和報告能力，它需要與多種安全產品形成配合。只有這樣，IDS才有可能成為網絡安全的重要基礎設施。