與防火墻這樣技術(shù)高度成熟的產(chǎn)品相比，入侵檢測系統(tǒng)還存在相當(dāng)多的問題。直到今天，還不時有人用Gartner公司副總裁Richard Stiennon發(fā)布的研究報告《入侵檢測壽終正寢，入侵防御萬古長青》(Intrusion Detection Is Dead—LongLive Intrusion Prevention)來批駁入侵檢測系統(tǒng)。

一、入侵檢測技術(shù)將面臨的問題

1.面臨的問題

(1)誤報。它是指被入侵檢測系統(tǒng)測出但其實是正常及合法使用受保護網(wǎng)絡(luò)和計算機的警報。沒有一個入侵檢測不會誤報，原因是缺乏共享信息的標(biāo)準(zhǔn)機制和集中協(xié)調(diào)的機制，不同的網(wǎng)絡(luò)及主機有不同的安全問題，不同的入侵檢測系統(tǒng)有各自的功能;缺乏揣摩數(shù)據(jù)在一段時間內(nèi)行為的能力;缺乏有效跟蹤分析，等等。

(2)精巧及有組織的攻擊。入侵檢測技術(shù)要能跟上現(xiàn)代化網(wǎng)絡(luò)增長的速度和復(fù)雜結(jié)構(gòu)發(fā)展的步伐，必須尋求支持整個網(wǎng)絡(luò)的入侵襲擊識別技術(shù)。另外，高速網(wǎng)絡(luò)技術(shù)尤其是交換技術(shù)和加密信道技術(shù)的發(fā)展，使得通過共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足，而巨大的通信量對數(shù)據(jù)分析也提出了新的要求。

2.問題的主要因素

(1)攻擊者的水平不斷提高，他們擁有日趨成熟的自動化工具，越來越復(fù)雜細致的攻擊手法。相對而言，入侵檢測工具應(yīng)用的技術(shù)老化，依據(jù)的已有攻擊方法陳舊。

(2)惡意信息采用加密的方法傳輸，網(wǎng)絡(luò)入侵檢測系統(tǒng)通過匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為，入侵檢測工具往往假設(shè)攻擊信息是通過明文傳輸?shù)?，因此對信息稍加改變便可能騙過它的檢測。

(3)必須協(xié)調(diào)、適應(yīng)多樣性的環(huán)境中的不同的安全策略，網(wǎng)絡(luò)及其中的設(shè)備越來越多樣化，既存在關(guān)鍵資源如郵件服務(wù)器、企業(yè)數(shù)據(jù)庫，又存在眾多相對不是很重要的PC機。檢測系統(tǒng)要能有所定制以更適應(yīng)多樣的環(huán)境要求。

(4)不斷增大的網(wǎng)絡(luò)流量，對入侵檢測的實時性提出了挑戰(zhàn)，商業(yè)產(chǎn)品一般都建議采用當(dāng)前最好的硬件環(huán)境。我們不僅要從系統(tǒng)體系結(jié)構(gòu)上、算法上加以改進，而且應(yīng)該考慮采用硬件固化的方法來克服單純使用軟件造成的速度問題。

(5)廣泛接受的術(shù)語和概念框架的缺乏。入侵檢測系統(tǒng)的廠家基本處于各自為戰(zhàn)的情況，標(biāo)準(zhǔn)的缺乏使得其間的互通幾乎不可能。

(6)采用不恰當(dāng)?shù)淖詣臃磻?yīng)所造成的風(fēng)險。入侵檢測系統(tǒng)可以很容易地與防火墻結(jié)合，當(dāng)發(fā)現(xiàn)有攻擊行為時，過濾掉所有來自攻擊者的IP數(shù)據(jù)。但是不恰當(dāng)?shù)姆磻?yīng)很容易帶來新問題，如:攻擊者假冒大量不同的IP進行模擬攻擊，而IDS系統(tǒng)自動配置防火墻，將這些實際上并沒有進行任何攻擊的地址都過濾掉，于是形成了新的拒絕訪問攻擊。

(7)對IDS自身的攻擊，和其他系統(tǒng)一樣，IDS本身也存在安全漏洞。若對IDS攻擊成功，則直接導(dǎo)致其報警失靈，入侵者在其后所作的行為將無法被記錄。

二、入侵檢測技術(shù)的發(fā)展方向

傳統(tǒng)IDS隨著市場的需求推動和技術(shù)自身的發(fā)展，出現(xiàn)了一些新的形式。從總體上講，目前除了完善常規(guī)的、傳統(tǒng)的技術(shù)外，入侵檢測系統(tǒng)應(yīng)重點加強與統(tǒng)計分析相關(guān)技術(shù)的研究。其主要發(fā)展方向可概括為下幾點。

1.分析技術(shù)由統(tǒng)計分析、模式匹配、數(shù)據(jù)重組等技術(shù)轉(zhuǎn)向協(xié)議分析和行為分析。協(xié)議分析技術(shù)是在對網(wǎng)絡(luò)數(shù)據(jù)流進行重組的基礎(chǔ)上，理解應(yīng)用協(xié)議，再利用模式匹配和統(tǒng)計分析的技術(shù)來判明攻擊。行為分析技術(shù)不僅簡單分析單次攻擊事件，而且根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生，攻擊行為是否生效。

2.部署方式從集中式向分布式智能Agent發(fā)展，具有使用分布式的方法來檢測分布式的攻擊的能力，其中的關(guān)鍵技術(shù)為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。

3.檢測技術(shù)從模式匹配向神經(jīng)網(wǎng)絡(luò)及數(shù)據(jù)挖掘等智能化入侵檢測方向發(fā)展，特別是具有自學(xué)習(xí)能力的專家系統(tǒng)，實現(xiàn)了知識庫的不斷更新與擴展，使設(shè)計的入侵檢測系統(tǒng)的防范能力不斷增強，具有更廣泛的應(yīng)用前景。

4.響應(yīng)方式從被動的告警向主動的聯(lián)動和自動阻斷方向發(fā)展。入侵檢測發(fā)現(xiàn)攻擊，自動發(fā)送給防火墻，防火墻加載

動態(tài)規(guī)則攔截入侵，稱為聯(lián)動功能，可以極大地增強網(wǎng)絡(luò)的安全。

5.嵌入操作系統(tǒng)內(nèi)核。由于黑客攻擊的目標(biāo)主要是終端部分，因此入侵檢測系統(tǒng)最好能與操作系統(tǒng)內(nèi)核結(jié)合起來，這樣就可以從根本上確定黑客攻擊系統(tǒng)到了什么程度。未來的入侵檢測系統(tǒng)將會結(jié)合其他網(wǎng)絡(luò)管理軟件，形成入侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體的工具。

總之，入侵檢測系統(tǒng)能夠從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度提供安全服務(wù)，盡管在技術(shù)上仍有許多未克服的問題，但正如攻擊技術(shù)不斷發(fā)展一樣，入侵的檢測也會不斷更新成熟，必將進一步受到人們的重視。