网络安全入侵检测技术面临的哪些挑战
网络安全入侵检测技术面临的以下挑战:
错误率较高:这里的错误率是指入侵检测对攻击行为的误报或者漏报。常见的入侵检测方法有状态检测、误用检测、异常检测、协议分析等。以上的检测方法均存在一定的缺陷,例如协议检测技术只能处理常见的网络协议,但是新的攻击技术会用到一些不常见的协议报文,遇到这样的情况,就会发生漏报的现象。再如,异常检测用到的方法是统计方法,但是在统计方法中需要确定阈值,如何确定合适的阈值给入侵检测技术带来了不小的困难,阈值如果过小,会将许多正常行为判断成异常行为,产生误报现象。但是阈值过大又会将很多攻击行为误判成正常行为,这样漏报率就会很高。因此,如何解决错误率较高这个问题是当今入侵检测的一大挑战。
实时性较低:检验入侵检测技术的一个重要标准是实时性。实时性是指入侵检测系统能够在一定的时间阈值内检测出网络的入侵行为,并在入侵行为发生前予以阻挡。这是入侵检测技术应该具备的特点,也是其区别于防火墙技术的最大不同点。但是,目前的入侵检测系统实时性普遍比较低,无法满足在入侵行为发生前准确并及时地发现有攻击行为的网络数据包这个要求。
安全性较低:值得注意的是,入侵检测系统作为整个网络信息系统的一部分,也是攻击者攻击的目标。攻击者会通过拒绝服务(DoS)攻击的方式对入侵检测系统进行攻击,这就需要入侵检测系统自身的安全性和抗攻击性要高。但是实际上,有些入侵检测系统在设计之初就存在一定的安全漏洞,无法保证自身的安全性,这样一旦入侵检测系统被攻击成功,整个网络系统将失去保护伞,暴露在攻击者的攻击范围内。因此,好的入侵检测系统必须具备两个特点,第一是要具备在各种复杂的网络环境下工作的能力;第二是系统应该具备非常高的稳定性,因为入侵检测系统需要在整个计算机网络中进行监视,负载比较大,这种情况下容易受到拒绝服务攻击,因此一个好的入侵检测系统必须能够抵挡各种网络攻击行为,从而提高自身的安全性。
效率低下:入侵检测系统处理数据的速度是考察其效率的重要指标之一。目前的网络攻击向着大流量、分布式的方向发展,特别是随着分布式拒绝服务攻击技术的发展,使得攻击者可以同时操作无数台主机对同一个系统进行攻击,这种情况下的攻击流量会非常大,这就考验了入侵检测系统处理数据的能力。当前主流的入侵检测技术是特征检测技术,但是当面对大流量、多主机的攻击时这种技术的效率明显不高。
漏报问题严重:攻击者不断增加的知识、日趋成熟多样的自动化工具,以及越来越复杂细致的攻击手法,导致不得不增多入侵规则策略,从而使系统的处理负荷线性增加,结果对一些攻击行为不能及时识别并做出响应,漏报问题显著。
目前入侵检测技术存在问题的解决措施如下:
分布式入侵检测与通用人侵检测架构:传统的 IDS 一般局限于单一主机或网络构架,对异构系统及大规模网络的检测明显不足。同时不同的 IDS 系统之间不能协同工作,为解决这一问题,需要分布式检测技术和通用人侵检测构架。一是针对分布式网络攻击的检测方法;二是使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。分布式 IDS 在数据收集、入侵分析和自动响应方面能够最大限度地发挥系统资源的优势,其设计模型具有很大的灵活性。
与网络安全技术相结合:结合防火墙、VPN、PKIX 和安全电子交易 SET 等新的网络安全与电子商务技术,入侵检测系统能提供完整的网络安全保障。
智能的人侵检测:入侵方法越来越多洋化与综合化,尽管已经有智能代理、神经网络与遗传算法在入侵检测领域的应用与研究,但这只是个基础性的研究工作。需要对智能化的 IDS 加以进一步的研究以解决其自学习与自适应的能力。
应用层入侵检:许多入侵的语义只有在应用层很难理解,而目前的 IDS 仅能检测 WEB 之类的通用协议,而不能处理 Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及面向对象技术的大型应用,需要应用层的入侵检测保护。
入侵检测系统的评测方法:面对功能越来越复杂的 IDS,用户需对众多的 IDS 进行评价,从而设计通用的入侵检测测试与评估方法的平台,实现对多种 IDS 的检测己成为当前 IDS 应用的另一重要研究与发展领域。