IDS 的漏報是什么意思

漏報指沒有告警，采用IDS技術就是為了在發現入侵時給出告警信息，如果入侵者入侵成功而IDS尚未告警，IDS便失去存在的意義這就是IDS漏報。和IDS誤報相比，漏報其實更危險。IDS想要防止欺騙，就要盡可能地模仿TCP/IP棧的實現。但是從效率和實現的復雜性考慮，IDS并不能很容易地做到這一點。IDS的實現總是在漏報和誤報中徘徊，漏報率降低了，誤報率就會提高；同樣誤報率降低了，漏報率就會提高。

IDS主要有以下技術：

• 基于知識的模式識別

  這種技術是通過事先定義好的模式數據庫實現的，其基本思想是：首先把各種可能的入侵活動均用某種模式表示出來，并建立模式數據庫，然后監視主體的一舉一動，當檢測到主體活動違反了事先定義的模式規則時，根據模式匹配原則判別是否發生了攻擊行為。

  模式識別的關鍵是建立入侵模式的表示形式，同時，要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為，屬已知類型，對新類型的入侵是無能為力的，仍需改進。

• 基于知識的異常識別

  這種技術是通過事先建立正常行為檔案庫實現的，其基本思想是：首先把主體的各種正常活動用某種形式描述出來，并建立“正常活動檔案”，當某種活動與所描述的正常活動存在差異時，就認為是“入侵”行為，進而被檢測識別。異常識別的關鍵是描述正常活動和構建正常活動檔案庫。

  利用行為進行識別時，存在四種可能：一是入侵且行為正常；二是入侵且行為異常；三是非入侵且行為正常；四是非入侵且行為異常。根據異常識別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為，并具有簡單的學習功能。

• 協議分析

  這種檢測方法是根據針對協議的攻擊行為實現的，其基本思想是：首先把各種可能針對協議的攻擊行為描述出來，其次建立用于分析的規則庫，最后利用傳感器檢查協議中的有效荷載，并詳細解析，從而實現入侵檢測。

  這種檢測技術能檢測出更為廣泛的攻擊，包括已知的和未知的攻擊行為。

回答所涉及的環境：聯想天逸510S、Windows 10。