入侵检测系统目前存在的问题和今后的发展.docVIP

入侵检测系统目前存在的问题和今后的发展 目前，企业用户已经意识到入侵检测的重要性，但在购买IDS产品时，往往因为价格高昂、产品自身无法克服的弱点(如误报和漏报)以及前段时间一直炒作的入侵防护系统(IPS)将取代IDS的概念，拿不定主意。下面，我就IDS目前存在的问题和未来的发展方向发表一下个人看法。 一、IDS的重要性 自IDS诞生以来，就一直是网络安全领域内富有争议的产品。误报和漏报严重、海量信息难以分析、与其他设备联动困难、部署麻烦等问题一直缠绕着它。但IDS为什么没有消亡，反而越来越受到重视呢？我们先来分析一下目前的网络现状：首先，各类网络攻击与破坏行为与日俱增，攻击的手段也层出不穷，传统的网络防火墙、防病毒产品等设备应对这些攻击越来越吃力；其次，随着企业网络结构的不断扩大，由内部引发的安全问题日益突出。基于上述两点原因，大家可以知道为什么IDS在网络中的应用越来越广泛。可喜的是，现在IDS已不仅成功应用到对安全等级要求很高的电信和金融等领域，在政府和教育网络中也经常看到它的身影。 二、IDS的技术剖析 由于市场对入侵检测产品的需求增多，不少国内安全厂商开始投入到IDS产品的研发当中，但大都是在国际上一些流行的IDS(如Snort)的基础上改进，重新编写控制台而得到的。由于这些厂商无需开发自己的核心技术，可以采用比较低廉的价格进入安全市场，因此吸引了国内一批用户采购。但是由于部分产品本身存在较高的误报率和漏报率，使得很多用户感觉就像碰到“鸡肋”一样。在这种情况下，一些有实力的厂商开始研发异常检测技术(异常检测技术是假定所有入侵行为都与正常行为不同)。这一技术的局限是并非所有的入侵都表现为异常，并且系统的轨迹难于计算和更新，因此协议分析技术诞生了。一些国际和国内知名的安全厂商正在研究它，其原理是通过对数据包进行结构化协议分析来识别入侵企图和行为。这种技术不仅比模式匹配检测效率更高，而且能对一些未知的攻击特征进行识别，具有一定的免疫功能。 IDS作为并联在网络上的设备，只能被动地检测网络遭到何种攻击，阻断攻击能力相当有限，需要与防火墙联动发送TCP reset包来阻止入侵，因此联动技术的需求日益高涨。早在几年前，入侵检测厂商几乎都把联动技术当作“卖点”，很多用户对它的期待值也较高，但为什么这种技术的实际应用并不多呢？这是因为它在技术上有很多不成熟之处，主要问题有以下两点。 1．安全性。防火墙需要开放联动端口，可能导致它的安全问题，还有一些使用联动技术的设备采用telnet、ssh等作为管理的方式，更存在安全隐患。 2．时效性。一个攻击包，经过交换机镜像到IDS的检测引擎，再触发报警信息到联动的防火墙，当这一系列的工作完成时，一次快速的入侵早已完成，并且部分规则要在攻击成功后才能触发。因此，这种联动方式根本解决不了实际问题，甚至毫无效果，只能用在拒绝进一步，或者说是将来的入侵，而最初的入侵还是实现了。 有些厂商提出将入侵检测设备以“inline”方式接入网络，就像防火墙一样串接在网络中，这样可以解决联动技术的安全性与时效性问题。但由于设备是串接在网络中(采用这种方式的设备就是前面提到的IPS)，它会分析网络中的每一个数据包，其性能和稳定性又成为网络中的瓶颈。结果是其带来的负作用可能要大于它所带来的好处。这就是为什么市场对IPS呼声很高，而产品的实际应用却很少的原因。 三、IDS的发展趋势 对于IDS以后的发展趋势，笔者发表以下个人的观点：IDS的发展方向终究是IPS产品，虽然IPS实现技术复杂，对于检测精度和性能等多方面要求较高，远不是普通IDS串接网络那么简单，但是随着NP和ASIC技术的发展，硬件方面的瓶颈将不再是发展的壁垒。此外入侵检测技术也在不断地提高，实现趋于零的误报率和漏报率也并非不可能，相信到那个时候IPS产品将发挥其真正的作用。 IDS作为当前比较成熟的安全设备，其“网络警卫”作用十分重要。尽管IDS由于技术发展的原因，也许会在几年内从形式上消失，被IPS取代，但是其入侵检测功能并不会因形式的消失而消亡，而是逐渐被转化和吸纳到其他的安全设备中。在目前国内IPS技术与产品还不是很成熟的阶段，用户选择一款较成熟的IDS产品来保护自己网络无疑是明智之举。