面對日益嚴重的攻擊，入侵檢測系統(tǒng)(IDS)作為防火墻的有力補充，實時監(jiān)視著網(wǎng)絡中的不法行為;

阻止入侵或試圖控制系統(tǒng)及網(wǎng)絡資源的惡意攻擊，

正在成為安全部署中不可或缺的工具之一，

其產(chǎn)品與技術正在不斷地更新和發(fā)展，新亮點不斷涌現(xiàn)。

提到網(wǎng)絡安全，很多人首先想到的是防火墻。配置適當?shù)姆阑饓﹄m然可以將非預期的訪問請求屏蔽在外，但不能檢查出經(jīng)過它的合法流量中是否包含著惡意的入侵代碼。在這種需求背景下，入侵檢測系統(tǒng)(IDS)應運而生。隨著網(wǎng)絡的發(fā)展，IDS技術也在不斷更新和變化。

變被動為主動

目前IDS產(chǎn)品常用的檢測技術主要有以下幾種：專家系統(tǒng)、基于模型的入侵檢測方法、簡單模式匹配。但以上的集中檢測技術都存在著一些缺陷，導致目前的入侵檢測系統(tǒng)不夠完善，存在大量誤報和漏報現(xiàn)象。這種現(xiàn)狀也促使廠商進行技術革新。很多廠商，特別是防火墻廠商提出了IPS(IDP)的概念，如NAI推出的IPS產(chǎn)品、Netscreen推出的IDP產(chǎn)品等都融入了這個概念。這種IPS技術將防火墻的訪問控制、應用代理、路由轉(zhuǎn)發(fā)等功能統(tǒng)統(tǒng)去掉，以網(wǎng)橋形態(tài)接入網(wǎng)絡中，利用防火墻上日益成熟的防范攻擊的功能，為用戶提供主動而有效的入侵防護系統(tǒng)。IPS產(chǎn)品的出現(xiàn)就是重點突出和強化了IDS中的阻斷功能，并為此將傳統(tǒng)IDS的旁路監(jiān)聽模式改為干路轉(zhuǎn)發(fā)模式。

目前，從各廠商推出的IPS產(chǎn)品來看，其技術所倡導的核心是主動防御和在線安裝的理念，除了采用IDS的集中檢測方法外，還增加了事件關聯(lián)等技術，并可以有選擇地阻斷惡意攻擊，而且，在不斷檢測過程中，還具有積累以往的經(jīng)驗而自動學習的功能，不斷更新策略，使防御更加主動、更加智能化。當然，有些所謂的IPS產(chǎn)品還是沿用了傳統(tǒng)IDS對事件的匹配方法對攻擊行為進行鑒別，但不同于傳統(tǒng)IDS發(fā)送Reset包的方式，IPS可以直接將流經(jīng)本身的數(shù)據(jù)阻斷。

結構越來越復雜

目前的IDS產(chǎn)品從結構上說，是向著復雜化方向發(fā)展，分布式產(chǎn)品越來越多地被各個廠商所推薦。實際上，這和IDS本身所存在的一個技術障礙有關：誤報率和漏報率高。這主要由于三個原因：一是入侵檢測系統(tǒng)知識庫中，事件特征描述對攻擊行為認識的不確定性;二是入侵檢測引擎中，檢測分析證據(jù)來源獲取的不確定性; 三是由于攻擊行為來自于復雜的網(wǎng)絡環(huán)境，信息來源具有復雜的時空結構，相應的分析體系中，攻擊知識獲取轉(zhuǎn)換具有不確定性。針對這些因素，降低誤警技術途徑主要在三個方向展開。

降低誤警漏警的第一個技術途徑是事件庫的完備表達。與各種攻擊有關的定性知識與定量知識的表達與推理是入侵檢測問題的核心。通過漏洞機理特征分析，對事件庫進行精確定義;基于高層協(xié)議解析和狀態(tài)簽名技術，對漏洞事件進行精確匹配處理;對高層協(xié)議解析處理可直接準確地產(chǎn)生應用連接和應用登錄事件。通過增加會話流匹配技術，對利用成組報文特征、返回報文特征進行事件精確定義。通過對事件庫進行多維信息源關聯(lián)數(shù)據(jù)維護，以備后續(xù)處理引擎分層、分布匹配過濾預警信息。 通過提高事件庫對標準漏洞的覆蓋率、應用協(xié)議覆蓋率、攻擊工具覆蓋率，可以大大降低系統(tǒng)漏警率，同時提高系統(tǒng)對報文變形、碎片的處理能力，也是對付IDS反躲避的關鍵技術。

降低誤警漏警的第二個技術途徑是，檢測分析證據(jù)來源信息的全面獲取。網(wǎng)絡入侵檢測的信息獲取的完整與全面，是降低檢測誤警的基礎。為使在復雜環(huán)境中的信息獲取更全面，獲取過程應該具有階段性，獲取信息應該具有層次性、分布性。信息采集包括系統(tǒng)內(nèi)核信息、系統(tǒng)日志信息、事件信息、應用日志信息等層次，獲取對象包括網(wǎng)絡和進程、主機和域、用戶、組和所有者、服務等。

降低誤警漏警的第三個技術途徑是，設計具有多數(shù)據(jù)源采集、事件綜合集成功能的入侵管理分析系統(tǒng)。入侵管理分析系統(tǒng)的設計是減少誤警的基礎。由于攻擊行為來自于復雜的網(wǎng)絡環(huán)境，信息來源具有復雜的時空結構，相應的分析體系也應該體現(xiàn)分級、分層和分階段的處理特點。因此，為處理復雜的網(wǎng)絡攻擊行為的檢測識別問題，網(wǎng)絡入侵檢測的分析體系應該設計成為具有自適應與自管理分析功能的多級數(shù)據(jù)融合體系。

向易用性轉(zhuǎn)變

從實際使用情況來看，目前購買IDS的主要用戶群一般集中在那些擁有比較專業(yè)的網(wǎng)管人員、對網(wǎng)絡安全需求比較高的單位，特別是銀行等金融行業(yè)。這也從側(cè)面說明了，由于目前的IDS還處于一個工具的狀態(tài)，沒有能夠成為一個真正適用于廣大用戶的產(chǎn)品，只用擁有專業(yè)網(wǎng)絡知識的操作者才能對IDS系統(tǒng)進行有效的策略配置和規(guī)則優(yōu)化，并能從大量的報警信息中找到那些真正的入侵行為。銀行和電信行業(yè)出于自身的行業(yè)特點，對網(wǎng)絡安全的需求非常高，通常都建設了自身的網(wǎng)絡管理隊伍和網(wǎng)絡安全體系。大多數(shù)的企業(yè)和事業(yè)單位對網(wǎng)絡安全的認識都停留在防病毒和防火墻的層次上，很少對網(wǎng)絡整體安全有深刻的認識和建設規(guī)劃;網(wǎng)絡管理人員一般也是兼職人員或力量薄弱，很少有時間和精力專門處理非常復雜的IDS報警信息。

為了使IDS真正成為一個適用于大多數(shù)用戶的產(chǎn)品，大多數(shù)IDS廠商都在盡力提高IDS產(chǎn)品的易用性。上面提到的新的分布式結構IDS產(chǎn)品的最終目的也是要解決易用性問題。只有減少了誤報率和漏報率，用戶看到的報警都是比較準確和完整的攻擊信息，才能比較放心地進行阻斷和處理，而不必像以前那樣，利用經(jīng)驗和專業(yè)知識去分析和猜測大量報警信息中的真正有用的部分。