入侵检测系统主要的发展方向可概括为哪几方面
入侵检测系统主要的发展方向可概括为以下几方面:
体系结构由集中式向分布式转变:随着网络系统的日趋大型化、复杂化,以及入侵行为的协作性,入侵检测系统的体系结构由基于主机和基于网络的集中式向分布式发展,重点需要解决不同入侵检测系统之间检测信息的协同处理与入侵攻击的全局信息的提取。
入侵检测系统的标准化:具有标准化接口将是入侵检测系统的下一步发展方向之一,这将有利于不同类型的入侵检测系统之间进行数据交换与协同处理,以及入侵检测系统与其他安全产品之间的信息交互。IETF下属的入侵检测工作组(IDWG)已经制定了入侵检测消息交换格式(IDMEF)、入侵检测交换协议(IDXP)、入侵报警(IAP)等标准,以适应入侵检测系统之间安全数据交换的需要。
安全技术综合集成:入侵检测系统能够及时识别并记录攻击,但并不能实时阻止攻击,因此,针对网络的实际安全需求,需要将入侵检测系统与防火墙、应急响应系统等逐渐融合,组成一个综合性的信息安全保障系统。
面向应用的入侵检测:面向应用层的入侵检测也将是入侵检测系统的下一步发展方向之一。因为由应用程序所解释的各种不同类型的数据,其语义只有在应用层才能被理解,因此,只有入侵检测系统面向应用层,才能对其进行理解和并进行分析。
增进对大流量网络的处理能力:随着网络流量的不断增长,传感器要收集处理的信息不断增加,对获得的数据进行实时分析的难度加大,因而对传感器的要求更高。传感器不断引入、融合新的智能技术,是入侵检测系统产品的发展方向之一。
面向协作化:最早的入侵检测系统都是紧密结合的单独平台,而目前趋向于由多个开放的、具备协作能力的入侵检测子系统组成。这种构建入侵检测系统的方法的优势是可以根据适当的结构(如层次结构)充分利用各个不同的子系统的优势,并克服它们固有的不足,通过各个子系统的协同工作来实现保护本地主机和计算机系统的任务。同时,多个系统之间的协作问题也是人工智能等领域当前主要的研究方向,因此可以不断利用人工智能领域的新研究成果。
向可集成化发展发展:方向是集成网络监控和网络管理的相关功能。入侵检测系统可检测网络中的数据包,当发现某台设备出现问题时,可立即对该设备进行相应的管理。未来的入侵检测系统产品会结合其他网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具。在下一代入侵检测系统产品中,各种类型的入侵检测系统结合在一起,集成网络型和主机型入侵检测系统产品的检测技术,提供集成化的攻击签名、检测、报告和时间关联功能,不仅功能更强大,而且部署和应用上也更加灵活方便。