入侵检测(IDS)存在的问题及发展趋势

　　入侵检测系统(Intrusion Detect System)，目前基本上分为以下两种：主机入侵检测系统(HIDS);网络入侵检测系统(NIDS)。主机入侵检测系统分析对象为主机审计日志，所以需 要在主机上安装软件，针对不同的系统、不同的版本需安装不同的主机引擎，安装配置较为复杂，同时对系统的运行和稳定性造成影响，目前在国内应用较少。网络入侵监测分析对象为网络数据流，只需安装在网络的监听端口上，对网络的运行无任何影响，目前国内使用较为广泛。

　　一、IDS存在的问题

　　1、误/漏报率高

　　IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测，而统计方法中的阈值难以有效确定，太小的值会产生大量的误报，太大的值又会产生大量的漏报。而在协议分析的检测方式中，一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等，其余大量的协议报文完全可能造成IDS漏报，如果考虑支持尽量多的协议类型分析，网络的成本将无法承受。

　　2、没有主动防御能力

　　IDS技术采用了一种预设置式、特征分析式工作原理，所以检测规则的更新总是落后于攻击手段的更新。

　　3、缺乏准确定位和处理机制

　　IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。IDS系统在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。

　　4、性能普遍不足

　　现在市场上的IDS产品大多采用的是特征检测技术，这种IDS产品已不能适应交换技术和高带宽环境的发展，在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包，形成DoS攻击。

　　二、入侵检测技术的发展趋势

　　(1).分析技术的改进

　　入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分析方法主要有：统计分析、模式匹配、数据重组、协议分析、行为分析等。

　　统计分析是统计网络中相关事件发生的次数，达到判别攻击的目的。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是对网络连接的数据流进行重组再加以分析，而不仅仅分析单个数据包。

　　协议分析技术是在对网络数据流进行重组的基础上，理解应用协议，再利用模式匹配和统计分析的技术来判明攻击。例如：某个基于HTTP协议的攻击含有ABC特征，如果此数据分散在若干个数据包中，如：一个数据包含A，另外一个包含B，另外一个包含C，则单纯的模式匹配就无法检测，只有基于数据流重组才能完整检测。而利用协议分析。则只在符合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里，因为不符合协议，就不会报警。利用此技术，有效的降低了误报和漏报。

　　行为分析技术不仅简单分析单次攻击事件，还根据前后发生的事件确认是否确有攻击发生，攻击行为是否生效，是入侵检测分析技术的最高境界。但目前由于算法处理和规则制定的难度很大，目前还不是非常成熟，但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术，而不只是依靠传统的统计分析和模式匹配技术。另外，规则库是否及时更新也和检测的准确程度相关。

最新相关文章

• ·Linux平台四大IDS入侵检测工具
• ·五大最著名入侵检测系统全面分析
• ·重新认识IDS防范网络入侵行为
• ·入侵检测系统的正确使用方法
• ·入侵检测(IDS)存在的问题及发展趋势
• ·详述Windows 2003 SP2入门IDS构建过程
• ·浅析IDS与IPS：检测与防护的共生与发展
• ·IDS入侵特征库创建实例解析
• ·IDC技术详细说明 入侵检测功能详细集合
• ·IDS技术分析 入侵检测系统面临的三大挑战
• ·安全案例展示:IPS在校园网安全中的作用
• ·黑客经验:针对IDS的逃避技术与相关对策
• ·内核级利用通用Hook函数方法检测进程
• ·入侵检测系统IDS实战全面问题解答分析
• ·IDS的缺陷如何成就了IPS的发展
• ·专家看点：IDS的缺陷成就了IPS的发展