目前入侵检测系统主要面临哪些挑战

目前入侵检测系统主要面临以下挑战:

• 攻击者不断增加的知识、日趋成熟多样的自动化工具，以及越来越复杂细致的攻击手法，导致不得不增多入侵规则策略，从而使系统的处理负荷线性增加，结果对一些攻击行为不能及时识别并做出响应，漏报问题显著。

• 入侵检测系统往往假设攻击信息是通过明文传输的，因此对信息稍加改变便可能躲过入侵检测系统的检测。目前不少系统已经通过加密的方法传输控制信息，或通过VPN进行网络之间的互联，如果入侵检测系统不能理解上层的应用协议，会出现大量的误报和漏报。

• 入侵检测系统通常采取被动监听的方式发现网络问题，对已知的攻击类型能有效地检测，对未知的攻击类型检测能力较欠缺。因为对已知攻击类型的检测是利用模式匹配技术把截获的网络数据包与预先定义好的攻击特征库进行比对来检测攻击的，这对未知的攻击就显得无能为力，对那些稍作改动的攻击变种都难以检测到。

• 针对多样性环境的自适应能力，必须根据不同的网络协议形成不同的分析器才能提高检测的效率和准确率。网络及其设备越来越多样化，既存在关键资源，如邮件服务器、企业数据库，也存在众多相对不是很重要的PC，不同系统之间的情况也往往不尽相同，一般的入侵检测系统要定制不同策略甚至重新部署以适应多样化的环境要求。

• 不断增大的网络流量。客户往往要求入侵检测系统尽可能快速报警，因此需要对获得的数据进行实时分析，这导致对所在系统的要求越来越高，商业产品一般都建议采用当前最好的硬件环境。尽管如此，随着网络流量的进一步加大，对入侵检测系统将提出更大的挑战，现阶段具备高速检测能力的入侵检测系统在包捕获能力和检测性能上都不是很理想。

目前入侵检测产品存在问题的解决措施：

• 分布式入侵检测与通用人侵检测架构：传统的IDS一般局限于单一主机或网络构架，对异构系统及大规模网络的检测明显不足。同时不同的IDS系统之间不能协同工作，为解决这一问题，需要分布式检测技术和通用人侵检测构架。一是针对分布式网络攻击的检测方法;二是使用分布式的方法来检测分布式的攻击，其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。分布式IDS在数据收集、入侵分析和自动响应方面能够最大限度地发挥系统资源的优势，其设计模型具有很大的灵活性。

• 与网络安全技术相结合：结合防火墙、VPN、PKIX和安全电子交易SET等新的网络安全与电子商务技术，入侵检测系统能提供完整的网络安全保障。

• 智能的人侵检测：入侵方法越来越多洋化与综合化，尽管已经有智能代理、神经网络与遗传算法在入侵检测领域的应用与研究，但这只是个基础性的研究工作。需要对智能化的IDS加以进一步的研究以解决其自学习与自适应的能力。

• 应用层入侵检：许多入侵的语义只有在应用层很难理解，而目前的IDS 仅能检测WEB之类的通用协议，而不能处理Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及面向对象技术的大型应用，需要应用层的入侵检测保护。

• 入侵检测系统的评测方法：面对功能越来越复杂的IDS，用户需对众多的IDS进行评价，从而设计通用的入侵检测测试与评估方法的平台，实现对多种IDS的检测己成为当前IDS应用的另一重要研究与发展领域