IDS的漏报是什么意思

漏报指没有告警，采用IDS技术就是为了在发现入侵时给出告警信息，如果入侵者入侵成功而IDS尚未告警，IDS便失去存在的意义这就是IDS漏报。和IDS误报相比，漏报其实更危险。IDS想要防止欺骗，就要尽可能地模仿TCP/IP栈的实现。但是从效率和实现的复杂性考虑，IDS并不能很容易地做到这一点。IDS的实现总是在漏报和误报中徘徊，漏报率降低了，误报率就会提高；同样误报率降低了，漏报率就会提高。

IDS主要有以下技术：

• 基于知识的模式识别

  这种技术是通过事先定义好的模式数据库实现的，其基本思想是：首先把各种可能的入侵活动均用某种模式表示出来，并建立模式数据库，然后监视主体的一举一动，当检测到主体活动违反了事先定义的模式规则时，根据模式匹配原则判别是否发生了攻击行为。

  模式识别的关键是建立入侵模式的表示形式，同时，要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为，属已知类型，对新类型的入侵是无能为力的，仍需改进。

• 基于知识的异常识别

  这种技术是通过事先建立正常行为档案库实现的，其基本思想是：首先把主体的各种正常活动用某种形式描述出来，并建立“正常活动档案”，当某种活动与所描述的正常活动存在差异时，就认为是“入侵”行为，进而被检测识别。异常识别的关键是描述正常活动和构建正常活动档案库。

  利用行为进行识别时，存在四种可能：一是入侵且行为正常；二是入侵且行为异常；三是非入侵且行为正常；四是非入侵且行为异常。根据异常识别思想，把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为，并具有简单的学习功能。

• 协议分析

  这种检测方法是根据针对协议的攻击行为实现的，其基本思想是：首先把各种可能针对协议的攻击行为描述出来，其次建立用于分析的规则库，最后利用传感器检查协议中的有效荷载，并详细解析，从而实现入侵检测。

  这种检测技术能检测出更为广泛的攻击，包括已知的和未知的攻击行为。