目前的入侵检测产品大多存在哪些问题
目前的入侵检测产品大多存在这样一些问题:
误报和漏报的矛盾:入侵检测系统对网络上所有的数据进行分析,如果攻击者对系统进行攻击尝试,而系统相应服务开放,只是漏洞已经修补,那么这一次攻击是否需要报警,这就是一个需要管理员判断的问题。因为这也代表了一种攻击的企图,但大量的报警事件会分散管理员的精力,反而无法对真正的攻击做出反应。和误报相对应的是漏报,随着攻击的方法不断更新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。
隐私和安全的矛盾:入侵检测系统可以收到网路的所有数据,同时可以对其进行分析和记录,这对网络安极其重要,但难免对用户的隐私构成一定风险,这就要看具体的入侵检测产品是否能提供相应功能以供管理员进行取舍。
被动分析与主动发现的矛盾:入侵检测系统是采取被动监听的方式发现网络问题,无法主动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的问题。
海量信息与分析代价的矛盾:随着网络数据流量的不断增长,入侵检测产品能否高效处理网络中的数据也是衡量入侵检测产品的重要依据。
功能性和可管理性的矛盾:随着入侵检测产品功能的增加,可否在功能增加的同时,不增大管理的难度。例如,入侵检测系统的所有信息都储存在数据库中,此数据库能否自动维护和备份而不需管理员的干预。另外,入侵检测系统自身安全性如何,是否易于部署,采用何种报警方式?也都是需要考虑的因素。
单一的产品与复杂的网络应用的矛盾:入侵检测产品最出的目的是为了检测网络的攻击,但仅仅检测网络中的攻击远远无法满足目前复杂的网络应用需求。通常,管理员难以分清网络问题:是由于攻击引起的还是网络故障。入侵检测检测出的攻击事件又如何处理,可否和目前网络中的其他安全产品进行配合。
目前入侵检测产品存在问题的解决措施:
分布式入侵检测与通用人侵检测架构:传统的IDS一般局限于单一主机或网络构架,对异构系统及大规模网络的检测明显不足。同时不同的IDS系统之间不能协同工作,为解决这一问题,需要分布式检测技术和通用人侵检测构架。一是针对分布式网络攻击的检测方法;二是使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。分布式IDS在数据收集、入侵分析和自动响应方面能够最大限度地发挥系统资源的优势,其设计模型具有很大的灵活性。
与网络安全技术相结合:结合防火墙、VPN、PKIX和安全电子交易SET等新的网络安全与电子商务技术,入侵检测系统能提供完整的网络安全保障。
智能的人侵检测:入侵方法越来越多洋化与综合化,尽管已经有智能代理、神经网络与遗传算法在入侵检测领域的应用与研究,但这只是个基础性的研究工作。需要对智能化的IDS加以进一步的研究以解决其自学习与自适应的能力。
应用层入侵检:许多入侵的语义只有在应用层很难理解,而目前的IDS 仅能检测WEB之类的通用协议,而不能处理Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及面向对象技术的大型应用,需要应用层的入侵检测保护。
入侵检测系统的评测方法:面对功能越来越复杂的IDS,用户需对众多的IDS进行评价,从而设计通用的入侵检测测试与评估方法的平台,实现对多种IDS的检测己成为当前IDS应用的另一重要研究与发展领域