四项下一代入侵检测关键技术分析

　　 攻击技术和手段的不断发展促使IDS等网络安全产品不断更新换代，使得IDS产品从一个简单机械的产品发展成为智能化的产品。

　　入侵检测的研究可以追溯到JamesP.Anderson在1980年的工作，他首次提出了“威胁”等术语，这里所指的“威胁”与入侵的含义基本相同，将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问企图，致使系统不可靠或无法使用。1987年DorothyE. Denning首次给出一个入侵检测的抽象模型，并将入侵检测作为一个新的安全防御措施提出。1988年，Morris蠕虫事件加快了对入侵检测系统(IDS：Intrusion Detection System)的开发研究。

　　在过去的20年里，网络技术在不断发展，攻击者水平在不断提高，攻击工具与攻击手法日趋复杂多样，特别是以黑客为代表的攻击者对网络的威胁日益突出，他们正不遗余力地与所有安全产品进行着斗争。攻击技术和手段的不断发展促使IDS等网络安全产品不断更新换代，使得IDS产品从一个简单机械的产品发展成为智能化的产品。

一、目前IDS存在的缺陷

　　入侵检测系统作为网络安全防护的重要手段，有很多地方值得我们进一步深入研究。目前的IDS还存在很多问题，有待于我们进一步完善。

1.高误警（误报）率

　　误警的传统定义是将良性流量误认为恶性的。广义上讲，误警还包括对IDS用户不关心事件的告警。因此，导致IDS产品高误警率的原因是IDS检测精度过低以及用户对误警概念的拓展。 ［误警：正常的行为被ＩＤＳ判定为攻击行为而发出报警，误报是ＩＤＳ发展的最大的局限，管理员面对ＩＤＳ海量的报警已经感觉到无所适从，如果在这些报警里，还有比较高的比重是误报的话，会导致管理员对报警信息失去信心和耐心。误警和报警是这么产生的呢？我以有限的见识和理解总结如下，并留日后完善：

　　　　１．目前，大部分ＩＤＳ都是基于误用的检测，就是定义一个攻击行为特征库，将网络的连接行为与特征库中的条目相比较，这种方法类似于杀毒软件病毒库的原理．这种方法出现误报的话，可以类比成杀毒软件将正常的程序认定为病毒．概率比较低．绝大部分与配置相关．

　　　　２．一些ＩＤＳ还使用或配合使用了基于异常的检测方法．这种方法，主要是定义一个行为在单位时间的阀值，如果超过这个值，则将行为判定为异常或攻击行为，进行报警比如，比如，在单位时间内，一台主机对服务器发起的连接数，如果超过一定的值，就将其定义为攻击行为．阀值的定义很关键，如果定义得太高，则ＩＤＳ的反映就会相对迟钝，可能出现漏报的情况．阀值如果定义得偏低，则系统又太敏感，就可能会将正常的行为判定为攻击行为，导致误报．阀值一般是采用一个正常行为的平均值，并在此平均值的基础上，定义一个浮动的范围，只有落在范围外的，才被定义为误报。

　　　误报始终是存在的，只能尽量的减少，减少到用户可以接受的范围内：）］

2.产品适应能力低

　　传统的IDS产品在开发时没有考虑特定网络环境的需求，千篇一律。网络技术在发展，网络设备变得复杂化、多样化，这就需要入侵检测产品能动态调整，以适应不同环境的需求。

3.大型网络的管理问题

　　很多企业规模在不断扩大，对IDS产品的部署从单点发展到跨区域全球部署，这就将公司对产品管理的问题提上日程。首先，要确保新的产品体系结构能够支持数以百一计的IDS传感器；其次，要能够处理传感器产生的告警事件；此外，还要解决攻击特征库的建立，配置以及更新问题。 ［采用分布式ＩＤＳ，并可集中的管理。虽然性能和检测能力是ＩＤＳ最为关键的指标，但是管理是否方便，日志和报警是否人性化，将对用户是否选择产品产生很大的影响。］

4.缺少防御功能

　　检测，作为一种被动且功能有限的技术，缺乏主动防御功能。因此，需要在下一代IDS产品中嵌入防御功能，才能变被动为主动。 ［这里不太理解，嵌入防御功能，是指ＩＤＳ要智能的识别攻击？］

5.评价IDS产品没有统一标准

　　对入侵检测系统的评价目前还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断升级才能保证网络的安全性。

6.处理速度上的瓶颈

　　随着高速网络技术如ATM、千兆以太网等的相继出现，如何实现高速网络下的实时入侵检测是急需解决的问题。目前的百兆、千兆IDS产品的性能指标与实际要求还存在很大的差距。［ＩＤＳ采用旁路的方式，通过将交换机设置成镜像端口来采集网络中的数据，但是，ＩＤＳ数据采集引擎是单向的，也就是说，只能接收数据，但是，其他端口是全双工的工作状态，也就是说，一个正常的端口（１００Ｍ为例），流量的峰值为２００Ｍ，但是，ＩＤＳ的数据采集峰值为１００Ｍ，这样，必将导致丢包。而造成漏报或误报。就处理能力上来说，１个１００Ｍ的端口的线速转发率是１００＊０.1488Ｍpps,端口多的话，数值就更大，这个指标要大于一些ＩＤＳ产品的处理能力。（一些ＩＤＳ根本就不明确标识处理能力）］本文出自 51CTO.COM技术博客