入侵檢測系統(tǒng)的探討與應(yīng)用

1.引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)環(huán)境變得越來越復(fù)雜，對于網(wǎng)絡(luò)安全來說，單純的防火墻技術(shù)暴露出明顯的不足和弱點，一個有效的解決途徑就是入侵檢測系統(tǒng)IDS(Intrusion Detection System)。入侵檢測技術(shù)是一種主動保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、攻擊識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測。它可以防止或減輕上述的網(wǎng)絡(luò)威脅。

2.入侵檢測概述

2.1 入侵檢測概念

20世紀(jì)80年代初期，安全專家認(rèn)為：“入侵是指未經(jīng)授權(quán)蓄意嘗試訪問信息、篡改信息、使系統(tǒng)不可用的行為?！泵绹髮W(xué)安全專家將入侵定義為“非法進(jìn)入信息系統(tǒng)，包括違反信息系統(tǒng)的安全策略或法律保護(hù)條例的動作?！蔽覀冋J(rèn)為，入侵應(yīng)與受害目標(biāo)相關(guān)聯(lián)，該受害目標(biāo)可以是一個大的系統(tǒng)或單個對象。判斷與目標(biāo)相關(guān)的操作是入侵的依據(jù)是：對目標(biāo)的操作是否超出看目標(biāo)的安全策略范圍。因此，入侵是違背訪問目標(biāo)的安全策略的行為。入侵檢測通過收集操作系統(tǒng)、系統(tǒng)程序、應(yīng)用程序、網(wǎng)絡(luò)包等信息，發(fā)現(xiàn)系統(tǒng)中違背安全策略或危及系統(tǒng)安全的行為。具有入侵檢測功能的系統(tǒng)稱為入侵檢測系統(tǒng)，簡稱IDS。

2.2 入侵檢測系統(tǒng)模型

最在的入侵檢測模型是由Denning給出的，該模型主要根據(jù)主機(jī)系統(tǒng)審計記錄數(shù)據(jù)，生成有關(guān)系統(tǒng)的若干輪廓，并檢測輪廓的變化差異，發(fā)現(xiàn)系統(tǒng)的入侵行為，如圖1所示。

現(xiàn)在，入侵行為的種類在不斷增多，許多攻擊都是經(jīng)過長時期準(zhǔn)備的。面對這種情況，入侵檢測系統(tǒng)的不同功能組件之間、不同IDS之間共享這類攻擊信息是十分重要的。于是，一種通用的入侵檢測框架模型(簡稱CIDF)就被提出來了。該模型認(rèn)為入侵檢測系統(tǒng)由事件產(chǎn)生器(event genertors)、事件分析器(event analyzers)、響應(yīng)單元(response units)和事件數(shù)據(jù)庫(event database)組成，如圖2所示。

CIDF將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件，它可以是網(wǎng)絡(luò)中的數(shù)據(jù)包，也可以是從系統(tǒng)日志等其他途徑得到的信息。事件產(chǎn)生器從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供事件。事件分析器分析所得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元對分析結(jié)果做出反應(yīng)，如切斷網(wǎng)絡(luò)連接，改變文件屬性，簡單報警等。事件數(shù)據(jù)庫存放各種中間和最終數(shù)據(jù)，數(shù)據(jù)存放的形式既可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。CIDF模型具有很強(qiáng)的擴(kuò)展性，目前已經(jīng)得到廣泛認(rèn)同。

2.3 入侵檢測作用

表1 HIDS和NIDS性能比較

入侵檢測系統(tǒng)在網(wǎng)絡(luò)安全保障過程中扮演類似“預(yù)警機(jī)”或“安全巡邏人員”的角色，入侵檢測系統(tǒng)的直接目的不是阻止入侵事件的發(fā)生，而是通過檢測技術(shù)來發(fā)現(xiàn)系統(tǒng)中企圖或違背安全策略的行為，其作用表現(xiàn)為以下幾個方面：

1）發(fā)現(xiàn)受保護(hù)系統(tǒng)中的入侵行為或異常行為。

2）檢驗安全保護(hù)措施的有效性。

3）分析受保護(hù)系統(tǒng)所面臨的威脅。

4）有利于阻止安全事件擴(kuò)大，及時報警觸發(fā)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)。

5）可以為網(wǎng)絡(luò)安全策略的制定提供重要指導(dǎo)。

6）報警信息可用作網(wǎng)絡(luò)犯罪取證。

3.入侵檢測技術(shù)

3.1 基于誤用的入侵檢測技術(shù)

基于誤用的入侵檢測通常稱為基于特征的入侵檢測方法，是指根據(jù)已知的入侵模式檢測入侵行為。攻擊者常常利用系統(tǒng)和應(yīng)用軟件中的漏洞技術(shù)進(jìn)行攻擊，而這些基于漏洞的攻擊方式具有某種特征模式。如果入侵者的攻擊方法恰好匹配上檢測系統(tǒng)中的特征模式，則入侵行為可立即被檢測到，如圖3所示。

雖然，誤用入侵檢測依賴于攻擊模式庫，因此，這種采用誤用入侵檢測技術(shù)的IDS產(chǎn)品的檢測能力就取決于攻擊模式庫的大小以及攻擊方法的覆蓋面。如果攻擊模式庫太小，則IDS的有效性就大打折扣。而如果攻擊模式庫過大。則IDS的性能會受到影響。

基于上述分析，誤用入侵檢測的前提條件是，入侵行為能夠按某種方法進(jìn)行特征編碼，而入侵檢測的過程實際上就是模式匹配的過程。根據(jù)入侵特征描述的方法或構(gòu)造技術(shù)，誤用檢測方法可以進(jìn)一步細(xì)分。

3.2 基于異常的入侵檢測技術(shù)

異常檢測方法通過對計算機(jī)或網(wǎng)絡(luò)資源的統(tǒng)計分析，建立系統(tǒng)正常行為的“軌跡”，定義一組系統(tǒng)正常情況的閾值，然后將系統(tǒng)運行時的數(shù)值與定義的“正?！鼻闆r相比較，得出是否有被攻擊的跡象，如圖4所示。

但是，異常檢測的前提是異常行為包括入侵行為。理想情況下，異常行為集合等同于入侵行為集合，此時，如果IDS能夠檢測所有的異常行為，就表明能夠檢測所有的入侵行為。但是在現(xiàn)實中，入侵行為集合通常不等同于異常行為集合。事實上，行為有以下4種狀況：

1)行為是入侵行為，但不表現(xiàn)異常；

2)行為不是入侵行為，卻表現(xiàn)異常；

3)行為既不是入侵行為，也不表現(xiàn)異常；

4)行為是入侵行為，且表現(xiàn)異常。

異常檢測方法的基本思路是構(gòu)造異常行為集合，從中發(fā)現(xiàn)入侵行為。異常檢測依賴于異常模型的建立，不同模型可構(gòu)成不同的檢測方法。

4.入侵檢測系統(tǒng)的組成與分類

4.1 入侵檢測系統(tǒng)的組成

一個入侵檢測系統(tǒng)主要由以下功能模塊組成：數(shù)據(jù)采集模塊、入侵分析引擎模塊、應(yīng)急處理模塊、管理配置模塊和相關(guān)的輔助模塊。數(shù)據(jù)采集模塊的功能是為入侵分析引擎模塊提供分析用的數(shù)據(jù)，包括操作系統(tǒng)的審計日志、應(yīng)用程序的運行日志和網(wǎng)絡(luò)數(shù)據(jù)包等。入侵分析引擎模塊的功能是一句輔助模塊提供的信息（如攻擊模式），根據(jù)一定的算法對手機(jī)系統(tǒng)的核心模塊。管理配置模塊的功能是為其他模塊提供配置服務(wù)，是IDS系統(tǒng)中的模塊與用戶的借口。應(yīng)急吃力模塊的功能是發(fā)生入侵后，提供緊急響應(yīng)服務(wù)，例如關(guān)閉網(wǎng)絡(luò)提供響應(yīng)的信息，例如攻擊特征庫、漏洞信息等。圖5給出了一個通用的入侵檢測系統(tǒng)結(jié)構(gòu)。

圖5中的系統(tǒng)是一個廣泛的概念，可以使工作站、網(wǎng)段、服務(wù)器、防火墻、Web、服務(wù)器、企業(yè)網(wǎng)等。雖然每一種IDS在概念上是一致的，但在具體實現(xiàn)是，它在采用的分析數(shù)據(jù)方法、采集數(shù)據(jù)以及保護(hù)對象等關(guān)鍵方面還是有所區(qū)別。根據(jù)IDS的檢測數(shù)據(jù)來源和它的安全作用范圍，可將IDS分為三大類：第一類是基于主機(jī)的入侵檢測系統(tǒng)(簡稱HIDS)，即統(tǒng)統(tǒng)分析主機(jī)的信息來檢測入侵行為；第二類是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(簡稱NIDS)，即通過獲取網(wǎng)絡(luò)通信中的數(shù)據(jù)包，然后對這些數(shù)據(jù)包進(jìn)行攻擊特征掃描或異常建模來發(fā)現(xiàn)入侵行為；第三類是分布式入侵檢測系統(tǒng)(簡稱DIDS)，DIDS從多臺主機(jī)、多個網(wǎng)段采集檢測數(shù)據(jù)，或者手機(jī)單個IDS的報警信息，然后根據(jù)手機(jī)到的信息進(jìn)行綜合分析，以發(fā)現(xiàn)入侵行為。

圖1 入侵檢測模型

圖2 CIDF各組之間的關(guān)系到圖

圖4 異常檢測原理圖

圖5 通用的入侵檢測系統(tǒng)示意圖

圖6 基于主機(jī)的入侵檢測系統(tǒng)

圖7 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

4.2 基于主機(jī)的入侵檢測系統(tǒng)

基于主機(jī)的入侵檢測系統(tǒng)，簡稱HIDS。HIDS手機(jī)主機(jī)系統(tǒng)的日志文件、系統(tǒng)調(diào)用以及應(yīng)用程序的使用、系統(tǒng)資源、網(wǎng)絡(luò)通信和用戶使用等信息，然后分析這些信息是否包含攻擊特征或異常情況，并依此來判斷該主機(jī)是否受到入侵。由于入侵行為會引起主機(jī)系統(tǒng)的變化，因此在實際的HIDS產(chǎn)品中，CPU利用率、內(nèi)存利用率、磁盤空間大小、網(wǎng)絡(luò)端口使用情況、注冊表、文件的完整性、進(jìn)程信息、系統(tǒng)調(diào)用等常作為識別入侵事件的依據(jù)。圖6為基于主機(jī)的入侵檢測系統(tǒng)的結(jié)構(gòu)示意圖。

4.3 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，簡稱NIDS。NIDS通過偵聽網(wǎng)絡(luò)系統(tǒng)，捕獲網(wǎng)絡(luò)數(shù)據(jù)包，并依據(jù)網(wǎng)絡(luò)數(shù)據(jù)包是否包含攻擊特征，或者網(wǎng)絡(luò)通信流是否異常來識別入侵行為。NIDS通常由一組用途單一的計算機(jī)組成，其構(gòu)成多分為兩部分：檢測器和管理控制器。檢測器分布在網(wǎng)絡(luò)中的不同區(qū)域，通過偵聽（嗅探）方式獲取網(wǎng)絡(luò)包，探測器將檢測到的攻擊行為形成一個報警時間。向管理控制器發(fā)送報警信息。報告發(fā)生入侵行為。管理控制器可監(jiān)控不同網(wǎng)絡(luò)區(qū)域的探測器，接收來自探測器的報警信息。圖7為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的結(jié)構(gòu)示意圖。

4.4 分布式入侵檢測系統(tǒng)

隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化，帶來許多新的入侵檢測問題：

1）系統(tǒng)的漏銅分散在網(wǎng)絡(luò)中的各個主機(jī)上，這些漏洞有可能被攻擊者一起用來攻擊網(wǎng)絡(luò)，僅依靠基于主機(jī)或網(wǎng)絡(luò)的IDS不會發(fā)現(xiàn)入侵行為。

2）入侵行為不再是單一的行為，而是相互協(xié)作的入侵行為。

3）入侵檢測所依靠的數(shù)據(jù)來源分散化，收集原始的檢測數(shù)據(jù)變得困難。如交換型網(wǎng)絡(luò)使監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包受到限制。

4）網(wǎng)絡(luò)速度傳輸加快，網(wǎng)絡(luò)的流量增大，集中處理原始數(shù)據(jù)的方式往往造成檢測瓶頸，從而導(dǎo)致漏檢。

面對這些新的入侵檢測問題，分析式入侵檢測系統(tǒng)應(yīng)運而生，它可以跨越多個子網(wǎng)檢測攻擊行為，特別是大型網(wǎng)絡(luò)。分布式入侵檢測系統(tǒng)可以分成兩種類型，即基于主機(jī)檢測的分布式入侵檢測

系統(tǒng)和基于網(wǎng)絡(luò)的分布式入侵檢測系統(tǒng)。下面分別敘述。

4.4.1 基于主機(jī)檢測的分布式入侵檢測系統(tǒng)

基于主機(jī)檢測的分布式入侵檢測系統(tǒng)，簡稱HDIDS，其結(jié)構(gòu)分為兩個部分；主機(jī)探測器和入侵管理控制器。HDIDS將主機(jī)探測器按層次、分區(qū)域地配置和管理、把它們集成為一個可用于監(jiān)控、保護(hù)分布在網(wǎng)絡(luò)區(qū)域中的主機(jī)系統(tǒng)。HDIDS用于保護(hù)網(wǎng)絡(luò)的關(guān)鍵服務(wù)器或其他具有監(jiān)控、保護(hù)分布在網(wǎng)絡(luò)區(qū)域中的主機(jī)系統(tǒng)。HDIDS用于保護(hù)網(wǎng)絡(luò)的關(guān)鍵服務(wù)器或其他具有敏感信息的系統(tǒng)，利用主機(jī)的系統(tǒng)資源、系統(tǒng)調(diào)用、審計日志等信息，判斷主機(jī)系統(tǒng)的運行是否遵循安全規(guī)則，在實際工作過程中，主機(jī)探測器多以安全代理（Agent）形式直接安裝在每個被保護(hù)的主機(jī)系統(tǒng)上，并通過網(wǎng)絡(luò)中的系統(tǒng)管理控制臺進(jìn)行遠(yuǎn)程控制。這種集中式的控制方式，便于對系統(tǒng)進(jìn)行狀態(tài)監(jiān)控、管理以及對檢測模塊的軟件進(jìn)行更新。HDIDS的典型配置如圖8所示。

圖8 基于主機(jī)入侵檢測系統(tǒng)典型配置

4.4.2 基于網(wǎng)絡(luò)的分布式入侵檢測系統(tǒng)

HDIDS只能保護(hù)主機(jī)的安全，而且要在每個受保護(hù)主機(jī)系統(tǒng)上都配置一個主機(jī)的探測器，如果當(dāng)網(wǎng)絡(luò)中血藥保護(hù)的主機(jī)系統(tǒng)比較多時，其安裝配置工作非常大。此外，對于一些復(fù)雜攻擊，主機(jī)探測器無能為力。因此，需要使用基于網(wǎng)絡(luò)的分布式入侵檢測系統(tǒng)，簡稱NDIDS。NDIDS結(jié)構(gòu)分為兩部分：網(wǎng)絡(luò)探測器和管理控制器，如圖9所示。

圖9 網(wǎng)絡(luò)入侵檢測系統(tǒng)功能模塊的分布式配置及管理

網(wǎng)絡(luò)探測器部署在重要的網(wǎng)絡(luò)區(qū)域，如服務(wù)器所在的網(wǎng)段，對于手機(jī)網(wǎng)絡(luò)通信數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)流，通過采用異常和無用兩種方法對收集到信息進(jìn)行分析，若出現(xiàn)攻擊或異常網(wǎng)絡(luò)行為，就向管理控制器發(fā)送報警信息。NDIDS一般適用于大規(guī)模網(wǎng)絡(luò)或者是地理區(qū)域分散的網(wǎng)絡(luò)，采用這種結(jié)構(gòu)有利于實現(xiàn)網(wǎng)絡(luò)的分布式安全管理?，F(xiàn)在市場上的網(wǎng)絡(luò)入侵系統(tǒng)一般支持分布式結(jié)構(gòu)。

綜上所述，分布式IDS系統(tǒng)結(jié)構(gòu)能夠?qū)⒒谥鳈C(jī)和網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu)結(jié)合起來，檢測所用到的數(shù)據(jù)源豐富，可以克服前兩者的弱點。但是，由于是分布式的結(jié)構(gòu)，所以帶來了新的弱點。例如，傳輸安全事件過程中增加了通信的安全問題處理，安全管理配置復(fù)雜度增加等。

5.入侵檢測系統(tǒng)的評估指標(biāo)

入侵檢測系統(tǒng)的評估指標(biāo)有：

1）可靠性。由于入侵檢測系統(tǒng)血藥不間斷地檢測受保護(hù)系統(tǒng)，因策，要求入侵檢測系統(tǒng)具有容錯能力，可以連續(xù)運行。

2）可用性。入侵檢測系統(tǒng)運行開銷要盡量小，特別是基于主機(jī)的入侵檢測系統(tǒng)，不能影響到主機(jī)和網(wǎng)絡(luò)的系統(tǒng)性能。

3）可擴(kuò)展性。該指標(biāo)主要評價入侵檢測系統(tǒng)配置修改和安裝部署的能力。以適應(yīng)新的攻擊技術(shù)方法不斷出現(xiàn)和系統(tǒng)環(huán)境的變遷要求。

4）時效性。時效性要求入侵檢測系統(tǒng)必須盡快的分析報警數(shù)據(jù)，并將分析結(jié)果傳送到報警控制臺，以使系統(tǒng)安全管理者能夠入侵攻擊尚未造成更大危害以前做出反應(yīng)，組織攻擊者破壞審計系統(tǒng)甚至入侵檢測系統(tǒng)的企圖。和上面的處理性能因素相比，該指標(biāo)的及時性要求更高。它不僅要求入侵檢測系統(tǒng)的處理速度要盡可能地快，而且要求傳播、反應(yīng)檢測結(jié)果信息的時間盡可能少，能實時發(fā)現(xiàn)入侵企圖，以便及時制止入侵活動和限制破壞程度。

5）準(zhǔn)確性。準(zhǔn)確性是指入侵檢測系統(tǒng)能正確檢測出系統(tǒng)入侵活動的能力。當(dāng)一個人入侵檢測系統(tǒng)的檢測部準(zhǔn)確時，它就可以吧系統(tǒng)中的合法活動當(dāng)做入侵行為，或者把入侵行為作為正常行為，這是就出現(xiàn)誤報警和漏報警現(xiàn)象。使用的入侵檢測系統(tǒng)應(yīng)具有低的誤報警率和漏報警率。

6）安全性。與其他系統(tǒng)一樣，入侵檢測系統(tǒng)本身也往往存在安全漏洞。若對入侵檢測系統(tǒng)攻擊成功，則直接導(dǎo)致報警生靈，使攻擊者的攻擊行為無法被記錄。因此，入侵檢測系統(tǒng)的安全性要求具有保護(hù)自身的安全功能，具有抗攻擊干擾能力。

6.入侵檢測系統(tǒng)的發(fā)展方向

在入侵檢測技術(shù)發(fā)展的同時，入侵技術(shù)也在更新，攻擊者將試圖繞過入侵檢測系統(tǒng)（IDS）或攻擊IDS系統(tǒng)。交換技術(shù)的發(fā)展以及通過加密信道的數(shù)據(jù)通信使通過共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足，而大通信量對數(shù)據(jù)分析也提出了新的要求。入侵技術(shù)的發(fā)展與演化主要反映在下列幾個方面：

(1)入侵的綜合化與復(fù)雜化。入侵的手段有多種，入侵者往往采取一種攻擊手段。由于網(wǎng)絡(luò)防范技術(shù)的多重化，攻擊的難度增加，使得入侵者在實施入侵或攻擊時往往同時采取多種入侵的手段，以保證入侵的成功幾率，并可在攻擊實施的初期掩蓋攻擊或入侵的真實目的。

(2)入侵主體對象的間接化，即實施入侵與攻擊的主體的隱蔽化。通過一定的技術(shù)，可掩蓋攻擊主體的源地址及主機(jī)位置。即使用了隱蔽技術(shù)后，對于被攻擊對象攻擊的主體是無法直接確定的。

(3)入侵的規(guī)模擴(kuò)大。對于網(wǎng)絡(luò)的入侵與攻擊，在其初期往往是針對于某公司或一個網(wǎng)站，其攻擊的目的可能為某些網(wǎng)絡(luò)技術(shù)愛好者的獵奇行為，也不排除商業(yè)的盜竊與破壞行為。由于戰(zhàn)爭對電子技術(shù)與網(wǎng)絡(luò)技術(shù)的依賴性越來越大，隨之產(chǎn)生、發(fā)展、逐步升級到電子戰(zhàn)與信息戰(zhàn)。對于信息戰(zhàn)，無論其規(guī)模與技術(shù)都與一般意義上的計算機(jī)網(wǎng)絡(luò)的入侵與攻擊都不可相提并論。信息戰(zhàn)的成敗與國家主干通信網(wǎng)絡(luò)的安全是與任何主權(quán)國家領(lǐng)土安全一樣的國家安全。

(4)入侵技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單機(jī)執(zhí)行。由于防范技術(shù)的發(fā)展使得此類行為不能奏效。所謂的分布式拒絕服務(wù)（DDoS）在很短時間內(nèi)可造成被攻擊主機(jī)的癱瘓。且此類分布式攻擊的單機(jī)信息模式與正常通信無差異，所以往往在攻擊發(fā)動的初期不易被確認(rèn)。分布式攻擊是近期最常用的攻擊手段。

(5)攻擊對象的轉(zhuǎn)移。入侵與攻擊常以網(wǎng)絡(luò)為侵犯的主體，但近期來的攻擊行為卻發(fā)生了策略性的改變，由攻擊網(wǎng)絡(luò)改為攻擊網(wǎng)絡(luò)的防護(hù)系統(tǒng)，且有愈演愈烈的趨勢。現(xiàn)已有專門針對IDS作攻擊的報道。攻擊者詳細(xì)地分析了IDS的審計方式、特征描述、通信模式找出IDS的弱點，然后加以攻擊。

入侵檢測系統(tǒng)還存在相當(dāng)多的問題，這些問題大多是目前入侵檢測系統(tǒng)的結(jié)構(gòu)所難以克服的。

(1)攻擊者不斷增加的知識，日趨成熟多樣自動化工具，以及越來越復(fù)雜細(xì)致的攻擊手法。入侵檢測系統(tǒng)必須不斷跟蹤最新的安全技術(shù)，才能不致被攻擊者遠(yuǎn)遠(yuǎn)超越。

(2)惡意信息采用加密的方法傳輸。網(wǎng)絡(luò)入侵檢測系統(tǒng)通過匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，入侵檢測系統(tǒng)往往假設(shè)攻擊信息是通過明文傳輸?shù)?，因此對信息的稍加改變便可能騙過入侵檢測系統(tǒng)的檢測。

(3)不能知道安全策略的內(nèi)容。必須協(xié)調(diào)、適應(yīng)多樣性的環(huán)境中的不同的安全策略。網(wǎng)絡(luò)及其中的設(shè)備越來越多樣化，入侵檢測系統(tǒng)要能有所定制以更適應(yīng)多樣的環(huán)境要求。

(4)不斷增大的網(wǎng)絡(luò)流量。用戶往往要求入侵檢測系統(tǒng)盡可能快的報警，因此需要對獲得的數(shù)據(jù)進(jìn)行實時的分析，這導(dǎo)致對所在系統(tǒng)的要求越來越高，商業(yè)產(chǎn)品一般都建議采用當(dāng)前最好的硬件環(huán)境。盡管如此，對百兆以上的流量，單一的入侵檢測系統(tǒng)系統(tǒng)仍很難應(yīng)付?？梢韵胍?，隨著網(wǎng)絡(luò)流量的進(jìn)一步加大(許多大型ICP目前都有數(shù)百兆的帶寬)，對入侵檢測系統(tǒng)將提出更大的挑戰(zhàn)，在PC機(jī)上運行純軟件系統(tǒng)的方式需要突破。

(5)缺乏廣泛接受的術(shù)語和概念框架。標(biāo)準(zhǔn)的缺乏使得互通、互操作幾乎不可能。

(6)不恰當(dāng)?shù)淖詣臃磻?yīng)存在風(fēng)險。一般的IDS都有入侵響應(yīng)的功能，如記錄日志，發(fā)送告警信息給console、發(fā)送警告郵件，防火墻互動等，敵手可以利用IDS的響應(yīng)進(jìn)行間接攻擊，使入侵日志迅速增加，塞滿硬盤；發(fā)送大量的警告信息，使管理員無法發(fā)現(xiàn)真正的攻擊者，并占用大量的cpu資源；發(fā)送大量的告警郵件，占滿告警信箱或硬盤，并占用接收警告郵件服務(wù)器的系統(tǒng)資源；發(fā)送虛假的警告信息，使防火墻錯誤配置，如攻擊者假冒大量不同的IP進(jìn)行模擬攻擊，而入侵檢測系統(tǒng)系統(tǒng)自動配置防火墻將這些實際上并沒有進(jìn)行任何攻擊的地址都過濾掉，造成一些正常的IP無法訪問等。

（7）自身的安全問題。入侵檢測系統(tǒng)本身也往往存在安全漏洞。因為IDS是安裝在一定的操作系統(tǒng)之上，操作系統(tǒng)本身存在漏洞或IDS自身防御力差，就可能受到smurf、synflood等攻擊。此類攻擊很有可能造成IDS的探測器丟包、失效或不能正常工作。

（8）存在大量的誤報和漏報。采用當(dāng)前的技術(shù)及模型，完美的入侵檢測系統(tǒng)無法實現(xiàn)。這種現(xiàn)象存在的主要原因是：入侵檢測系統(tǒng)必須清楚的了解所有操作系統(tǒng)網(wǎng)絡(luò)協(xié)議的運作情況，甚至細(xì)節(jié)，才能準(zhǔn)確的進(jìn)行分析。而不同操作系統(tǒng)之間，甚至同一操作系統(tǒng)的不同版本之間對協(xié)議處理的細(xì)節(jié)均有所不同。而力求全面則必然違背入侵檢測系統(tǒng)高效工作的原則。

（9）缺乏客觀的評估與測試信息的標(biāo)準(zhǔn)。

今后的入侵檢測技術(shù)大致可朝下述幾個方向發(fā)展：

（1）分布式入侵檢測：傳統(tǒng)的IDS局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)檢測明顯不足，不同的IDS系統(tǒng)之間不能協(xié)同工作。為解決這一問題，需要發(fā)展分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。第一層含義，即針對分布式網(wǎng)絡(luò)攻擊的檢測方法；第二層含義即使用分布式的方法來檢測分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。

（2）智能化入侵檢測：即使用智能化的方法與手段來進(jìn)行入侵檢測。所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化。利用專家系統(tǒng)的思想來構(gòu)建入侵檢測系統(tǒng)也是常用的方法之一。特別是具有自學(xué)習(xí)能力的專家系統(tǒng)，實現(xiàn)了知識庫的不斷更新與擴(kuò)展，使設(shè)計的入侵檢測系統(tǒng)的防范能力不斷增強(qiáng)，應(yīng)具有更廣泛的應(yīng)用前景。應(yīng)用智能體的概念來進(jìn)行入侵檢測的嘗試也已有報道。較為一致的解決方案應(yīng)為高效常規(guī)意義下的入侵檢測系統(tǒng)與具有智能檢測功能的檢測軟件或模塊的結(jié)合使用。目前盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但這只是一些嘗試性的研究工作，仍需對智能化的IDS加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。

（3）應(yīng)用層入侵檢測：許多入侵的語義只有在應(yīng)用層才能理解，而目前的IDS僅能檢測如Web之類的通用協(xié)議，而不能處理如Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。

（4）高速網(wǎng)絡(luò)的入侵檢測：在IDS中，截獲網(wǎng)絡(luò)的每一個數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費大量的時間和系統(tǒng)資源，因此大部分現(xiàn)有的IDS只有幾十兆的檢測速度，隨著百兆、甚至千兆網(wǎng)絡(luò)的大量應(yīng)用，需要研究高速網(wǎng)絡(luò)的入侵檢測。

（5）入侵檢測系統(tǒng)的標(biāo)準(zhǔn)化：在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)的不同部分可能使用了多種入侵檢測系統(tǒng)，甚至還有防火墻、漏洞掃描等其他類別的安全設(shè)備，這些入侵檢測系統(tǒng)之間以及IDS和其他安全組件之間如何交換信息，共同協(xié)作來發(fā)現(xiàn)攻擊、作出響應(yīng)并阻止攻擊是關(guān)系整個系統(tǒng)安全性的重要因素。例如，漏洞掃描程序例行的試探攻擊就不應(yīng)該觸發(fā)IDS的報警；而利用偽造的源地址進(jìn)行攻擊，就可能聯(lián)動防火墻關(guān)閉服務(wù)從而導(dǎo)致拒絕服務(wù)，這也是互動系統(tǒng)需要考慮的問題?？梢越⑿碌臋z測模型，使不同的IDS產(chǎn)品可以協(xié)同工作。

7.結(jié)束語

目前，國內(nèi)外有很多家研究機(jī)構(gòu)在從事IDS的研究工作，不少廠家也開發(fā)出了IDS產(chǎn)品。但總的看來，現(xiàn)在對IDS的研究還不夠深入，產(chǎn)品的性能也有待提高。隨著用戶對網(wǎng)絡(luò)帶寬、高速流量等需求不斷增加，入侵檢測技術(shù)迫切需要進(jìn)一步創(chuàng)新和性能改進(jìn)以適應(yīng)高速環(huán)境下的安全防護(hù)。同時目前入侵檢測隨著功能的增強(qiáng)角色也在悄悄變化，其本身獨特的技術(shù)優(yōu)勢也更多為安全審計，入侵管理平臺等提供支撐，因此融合多種功能、功能更強(qiáng)是IDS重要生命力。技術(shù)是保障IDS順利發(fā)展的核心?？傊?，入侵檢測系統(tǒng)作為一種主動的安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。隨著網(wǎng)絡(luò)通信技術(shù)安全性的要求越來越高，為給電子商務(wù)等網(wǎng)絡(luò)應(yīng)用提供可靠服務(wù)，而由于入侵檢測系統(tǒng)能夠從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)提供安全服務(wù)，必將進(jìn)一步受到人們的高度重視。

[1]馬利,姚永雷.計算機(jī)網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2010,8,1.

[2]鮮永菊.入侵檢測[M].西安電子科技大學(xué)出版社,2009,8,1.

[3]魏紅霞.入侵檢測系統(tǒng)探討[J].硅谷,2012,2.

[4]中國計算機(jī)學(xué)會計算機(jī)安全專業(yè)委員會.信息與網(wǎng)絡(luò)安全研究新進(jìn)展——全國計算機(jī)安全學(xué)術(shù)論文集(第二十五卷)[M].中國科學(xué)技術(shù)大學(xué)出版社,2010,9,1.

[5]莊建忠.李蕊基于入侵檢測系統(tǒng)IDS構(gòu)建的研究[J].農(nóng)業(yè)網(wǎng)絡(luò)信息,2009,7.