入侵檢測(IDS)存在的問題及發展趨勢

入侵檢測系統(Intrusion Detect System)，目前基本上分為以下兩種：主機入侵檢測系統(HIDS);網絡入侵檢測系統(NIDS)。主機入侵檢測系統分析對象為主機審計日志，是以需 要在主機上安裝軟體，針對不同的系統、不同的版本需安裝不同的主機引擎，安裝配置較為複雜，同時對系統的運作和穩定性造成影響，目前在國内應用較少。網絡入侵監測分析對象為網絡資料流，隻需安裝在網絡的監聽端口上，對網絡的運作無任何影響，目前國内使用較為廣泛。

一、IDS存在的問題

1、誤/漏報率高

IDS常用的檢測方法有特征檢測、異常檢測、狀态檢測、協定分析等。而這些檢測方式都存在缺陷。比如異常檢測通常采用統計方法來進行檢測，而統計方法中的門檻值難以有效确定，太小的值會産生大量的誤報，太大的值又會産生大量的漏報。而在協定分析的檢測方式中，一般的IDS隻簡單地處理了常用的如HTTP、FTP、SMTP等，其餘大量的協定封包完全可能造成IDS漏報，如果考慮支援盡量多的協定類型分析，網絡的成本将無法承受。

2、沒有主動防禦能力

IDS技術采用了一種預設定式、特征分析式工作原理，是以檢測規則的更新總是落後于攻擊手段的更新。

3、缺乏準确定位和處理機制

IDS僅能識别IP位址，無法定位IP位址，不能識别資料來源。IDS系統在發現攻擊事件的時候，隻能關閉網絡出口和伺服器等少數端口，但這樣關閉同時會影響其他正常使用者的使用。因而其缺乏更有效的響應處理機制。

4、性能普遍不足

現在市場上的IDS産品大多采用的是特征檢測技術，這種IDS産品已不能适應交換技術和高帶寬環境的發展，在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丢包，形成DoS攻擊。

二、入侵檢測技術的發展趨勢

(1).分析技術的改進

入侵檢測誤報和漏報的解決最終依靠分析技術的改進。目前入侵檢測分析方法主要有：統計分析、模式比對、資料重組、協定分析、行為分析等。

統計分析是統計網絡中相關事件發生的次數，達到判别攻擊的目的。模式比對利用對攻擊的特征字元進行比對完成對攻擊的檢測。資料重組是對網絡連接配接的資料流進行重組再加以分析，而不僅僅分析單個資料包。

協定分析技術是在對網絡資料流進行重組的基礎上，了解應用協定，再利用模式比對和統計分析的技術來判明攻擊。例如：某個基于HTTP協定的攻擊含有ABC特征，如果此資料分散在若幹個資料包中，如：一個資料包含A，另外一個包含B，另外一個包含C，則單純的模式比對就無法檢測，隻有基于資料流重組才能完整檢測。而利用協定分析。則隻在符合的協定(HTTP)檢測到此事件才會報警。假設此特征出現在Mail裡，因為不符合協定，就不會報警。利用此技術，有效的降低了誤報和漏報。

行為分析技術不僅簡單分析單次攻擊事件，還根據前後發生的事件确認是否确有攻擊發生，攻擊行為是否生效，是入侵檢測分析技術的最高境界。但目前由于算法處理和規則制定的難度很大，目前還不是非常成熟，但卻是入侵檢測技術發展的趨勢。目前最好綜合使用多種檢測技術，而不隻是依靠傳統的統計分析和模式比對技術。另外，規則庫是否及時更新也和檢測的準确程度相關。

2).内容恢複和網絡審計功能的引入

前面已經提到，入侵檢測的最高境界是行為分析。但行為分析前還不是很成熟，是以，個别優秀的入侵檢測産品引入了内容恢複和網絡審計功能。

内容恢複即在協定分析的基礎上，對網絡中發生的應為加以完整的重組和記錄，網絡中發生的任何行為都逃不過它的監視。網絡審計即對網絡中所有的連接配接事件進行記錄。入侵檢測的接入方式決定入侵檢測系統中的網絡審計不僅類似防火牆可以記錄網絡進出資訊，還可以記錄網絡内部連接配接狀況，此功能對内容恢複無法恢複的加密連接配接尤其有用。

内容恢複和網絡審計讓管理者看到網絡的真正運作狀況，其實就是調動管理者參與行為分析過程。此功能不僅能使管理者看到孤立的攻擊事件的報警，還可以看到整個攻擊過程，了解攻擊确實發生與否，檢視攻擊着的操作過程，了解攻擊造成的危害。不但發現已知攻擊，同時發現未知攻擊。不當發現外部攻擊者的攻擊，也發現内部使用者的惡意行為。畢竟管理者是最了解其網絡的，管理者通過此功能的使用，很好的達成了行為分析的目的。但使用此功能的同時需注意對使用者隐私的保護。

(3).內建網絡分析和管理功能

入侵檢測不但對網絡攻擊是一個檢測。同時，侵檢測可以收到網絡中的所有資料，對網絡的故障分析和健康管理也可起到重大作用。當管理者發現某台主機有問題時，也希望能馬上對其進行管理。入侵檢測也不應隻采用被動分析方法，最好能和主動分析結合。是以，入侵檢測産品內建網管功能，掃描器(Scanner)，嗅探器(Sniffer)等功能是以後發展的方向。

(4).安全性和易用性的提高

入侵檢測是個安全産品，自身安全極為重要。是以，目前的入侵檢測産品大多采用硬體結構，黑洞式接入，免除自身安全問題。同時，對易用性的要求也日益增強，例如：全中文的圖形界面，自動的資料庫維護，多樣的報表輸出。這些都是優秀入侵産品的特性和以後繼續發展細化的趨勢。

(5).改進對大資料量網絡的處理方法

随着對大資料量處理的要求，入侵檢測的性能要求也逐漸提高，出現了千兆入侵檢測等産品。但如果入侵檢測檢測産品不僅具備攻擊分析，同時具備内容恢複和網絡審計功能，則其存儲系統也很難完全工作在千兆環境下。這種情況下，網絡資料分流也是一個很好的解決方案，成本效益也較好。這也是國際上較通用的一種作法。

(6).防火牆關聯功能

入侵檢測發現攻擊，自動發送給放火牆，防火牆加載動态規則攔截入侵，稱為防火牆關聯功能。目前此功能還沒有到完全實用的階段，主要是一種概念。随便使用會導緻很多問題。目前主要的應用對象是自動傳播的攻擊，如Nimda等，關聯隻在這種場合有一定的作用。無限制的使用關聯。如未經充分測試，對防火期的穩定性和網絡應用會造成負面影響。但随着入侵檢測産品檢測準确度的提高，關聯功能日益趨向實用化