IDS-systemer giver falske alarmer

Artiklen blev oprindeligt publiceret den 25/6/2002

Otte IDS-systemer, som bladet Network World har testet, var så dårlige, at bladet ikke udpegede en testvinder. De giver for mange falske alarmer og opdager ikke alle angrebsforsøg.

IDS-software (Intrusion Detection System) analyserer trafikken på et netværk og forsøger at opdage, når det er under angreb fra en hacker. De fleste systemer gør det ved at sammenligne trafikmønstre med kendte angrebsmønstre. Her minder de om antivirusprogrammer, der genkender virus ud fra signaturer.

Det amerikanske blad Network World har testet otte systemer ved at lade dem overvåge trafikken hos en internet-udbyder. Bladet satte også lokkemad op i form af servere, der skulle være nemme at bryde ind i for en hacker. Men IDS-systemerne levede ikke op til forventningerne. Især viste de sig at være meget følsomme over for overbelastning.

Ud over den manglende stabilitet var falske alarmer det største problem. For eksempel rapporterede systemerne masser af forsøg på angreb med Code Red og Nimda. Disse angreb kan ramme servere, der anvender Microsofts Internet Information Server som web-program. Men de overvågede servere kørte slet ikke Windows, så der var ingen grund til at slå alarm, når disse angrebsforsøg dukkede op.

De testede systemer kom fra Cisco, Intrusion, Lancope, Network Flight Recorder, Nokia, OneSecure, Recourse Technologies og open source-projektet Snort.

Links