入侵檢測系統面臨的主要問題及其未來發展方向

與防火墻這樣技術高度成熟的產品相比，入侵檢測系統還存在相當多的問題。直到今天，還不時有人用Gartner公司副總裁Richard Stiennon發布的研究報告《入侵檢測壽終正寢，入侵防御萬古長青》(Intrusion Detection Is Dead—LongLive Intrusion Prevention)來批駁入侵檢測系統。

一、入侵檢測技術將面臨的問題

1.面臨的問題

(1)誤報。它是指被入侵檢測系統測出但其實是正常及合法使用受保護網絡和計算機的警報。沒有一個入侵檢測不會誤報，原因是缺乏共享信息的標準機制和集中協調的機制，不同的網絡及主機有不同的安全問題，不同的入侵檢測系統有各自的功能;缺乏揣摩數據在一段時間內行為的能力;缺乏有效跟蹤分析，等等。

(2)精巧及有組織的攻擊。入侵檢測技術要能跟上現代化網絡增長的速度和復雜結構發展的步伐，必須尋求支持整個網絡的入侵襲擊識別技術。另外，高速網絡技術尤其是交換技術和加密信道技術的發展，使得通過共享網段偵聽的網絡數據采集方法顯得不足，而巨大的通信量對數據分析也提出了新的要求。

2.問題的主要因素

(1)攻擊者的水平不斷提高，他們擁有日趨成熟的自動化工具，越來越復雜細致的攻擊手法。相對而言，入侵檢測工具應用的技術老化，依據的已有攻擊方法陳舊。

(2)惡意信息采用加密的方法傳輸，網絡入侵檢測系統通過匹配網絡數據包發現攻擊行為，入侵檢測工具往往假設攻擊信息是通過明文傳輸的，因此對信息稍加改變便可能騙過它的檢測。

(3)必須協調、適應多樣性的環境中的不同的安全策略，網絡及其中的設備越來越多樣化，既存在關鍵資源如郵件服務器、企業數據庫，又存在眾多相對不是很重要的PC機。檢測系統要能有所定制以更適應多樣的環境要求。

(4)不斷增大的網絡流量，對入侵檢測的實時性提出了挑戰，商業產品一般都建議采用當前最好的硬件環境。我們不僅要從系統體系結構上、算法上加以改進，而且應該考慮采用硬件固化的方法來克服單純使用軟件造成的速度問題。

(5)廣泛接受的術語和概念框架的缺乏。入侵檢測系統的廠家基本處于各自為戰的情況，標準的缺乏使得其間的互通幾乎不可能。

(6)采用不恰當的自動反應所造成的風險。入侵檢測系統可以很容易地與防火墻結合，當發現有攻擊行為時，過濾掉所有來自攻擊者的IP數據。但是不恰當的反應很容易帶來新問題，如:攻擊者假冒大量不同的IP進行模擬攻擊，而IDS系統自動配置防火墻，將這些實際上并沒有進行任何攻擊的地址都過濾掉，于是形成了新的拒絕訪問攻擊。

(7)對IDS自身的攻擊，和其他系統一樣，IDS本身也存在安全漏洞。若對IDS攻擊成功，則直接導致其報警失靈，入侵者在其后所作的行為將無法被記錄。

二、入侵檢測技術的發展方向

傳統IDS隨著市場的需求推動和技術自身的發展，出現了一些新的形式。從總體上講，目前除了完善常規的、傳統的技術外，入侵檢測系統應重點加強與統計分析相關技術的研究。其主要發展方向可概括為下幾點。

1.分析技術由統計分析、模式匹配、數據重組等技術轉向協議分析和行為分析。協議分析技術是在對網絡數據流進行重組的基礎上，理解應用協議，再利用模式匹配和統計分析的技術來判明攻擊。行為分析技術不僅簡單分析單次攻擊事件，而且根據前后發生的事件確認是否確有攻擊發生，攻擊行為是否生效。

2.部署方式從集中式向分布式智能Agent發展，具有使用分布式的方法來檢測分布式的攻擊的能力，其中的關鍵技術為檢測信息的協同處理與入侵攻擊的全局信息的提取。

3.檢測技術從模式匹配向神經網絡及數據挖掘等智能化入侵檢測方向發展，特別是具有自學習能力的專家系統，實現了知識庫的不斷更新與擴展，使設計的入侵檢測系統的防范能力不斷增強，具有更廣泛的應用前景。

4.響應方式從被動的告警向主動的聯動和自動阻斷方向發展。入侵檢測發現攻擊，自動發送給防火墻，防火墻加載

動態規則攔截入侵，稱為聯動功能，可以極大地增強網絡的安全。

5.嵌入操作系統內核。由于黑客攻擊的目標主要是終端部分，因此入侵檢測系統最好能與操作系統內核結合起來，這樣就可以從根本上確定黑客攻擊系統到了什么程度。未來的入侵檢測系統將會結合其他網絡管理軟件，形成入侵檢測、網絡管理、網絡監控三位一體的工具。

總之，入侵檢測系統能夠從網絡安全的立體縱深、多層次防御的角度提供安全服務，盡管在技術上仍有許多未克服的問題，但正如攻擊技術不斷發展一樣，入侵的檢測也會不斷更新成熟，必將進一步受到人們的重視。