【摘 要】在信息技術(shù)高速發(fā)展的今天，入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)安全的防衛(wèi)方面起到了至關(guān)重要的作用。正是基于這一基礎(chǔ)，本文闡述了IDS在網(wǎng)絡(luò)安全具體應(yīng)用中存在的問題，并結(jié)合存在的問題概況了IDS的發(fā)展趨勢(shì)。

【關(guān)鍵詞】IDS 應(yīng)用 問題 趨勢(shì)

隨著現(xiàn)代科學(xué)和技術(shù)的不斷提高，在給我們帶來快樂的同時(shí)，也給我們的學(xué)習(xí)、工作、生活帶來很多不便，最明顯即網(wǎng)絡(luò)安全問題：國家、單位、個(gè)人的信息頻頻泄露、黑客攻擊事件頻繁發(fā)生、病毒變種多種多樣等等，這都給網(wǎng)絡(luò)的安全性敲響了警鐘，安全防護(hù)問題備受各方關(guān)注。

一、IDS介紹

IDS（Intrusion Detection Systems的簡(jiǎn)稱），入侵檢測(cè)系統(tǒng)。即識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為并對(duì)此做出反應(yīng)的過程。它通過對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，采用匹配技術(shù)通過一定的安全策略盡可能的去發(fā)現(xiàn)各種攻擊事件，用以保證網(wǎng)絡(luò)系統(tǒng)中資源的機(jī)密性、完整性，屬于一種監(jiān)聽系統(tǒng)。

二、IDS在網(wǎng)絡(luò)安全應(yīng)用中存在的不足

（一）存在誤報(bào)、漏報(bào)現(xiàn)象。入侵檢測(cè)系統(tǒng)根據(jù)不同的分類方式，有不同的分類，而不論是哪種分類方式，其檢測(cè)方法都在某種程度上存在缺陷，例如，依據(jù)數(shù)據(jù)的分析與匹配方法，常將IDS分為基于誤用檢測(cè)與基于異常檢測(cè)兩種而這些檢測(cè)方式都存在某種程度上的缺陷。具體說，基于統(tǒng)計(jì)分析的入侵檢測(cè)系統(tǒng)能通過訓(xùn)練方式來保證它和入侵模式相適應(yīng)，借助于一次次訓(xùn)練來保證入侵事件與正常操作的統(tǒng)計(jì)規(guī)律相符合，從而將入侵事件看作是正常事件，而導(dǎo)致漏報(bào)現(xiàn)象的產(chǎn)生。

（二）缺少主動(dòng)防御能力。任何事物都具有兩面性的特征，IDS也一樣，它能夠檢測(cè)黑客在攻擊前的探測(cè)行為并進(jìn)行預(yù)警；對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的內(nèi)部攻擊、外部攻擊以及誤操作等行為進(jìn)行實(shí)時(shí)防護(hù)，但是它由于采用了預(yù)設(shè)置式、特征分析式的工作原理，監(jiān)聽方式的入侵檢測(cè)，事后報(bào)警的特性，使它在整個(gè)安全防御過程中處于被動(dòng)防御狀態(tài)，其規(guī)則的更新總是落后于攻擊手段的更新。尤其當(dāng)網(wǎng)絡(luò)環(huán)境變得復(fù)雜時(shí)，遲鈍性顯的更為明顯。

（三）定位和處理機(jī)制不夠準(zhǔn)確。IDS不能識(shí)別數(shù)據(jù)來源，僅能識(shí)別IP地址，無法定位IP地址，缺乏更有效的響應(yīng)處理機(jī)制。因此在發(fā)現(xiàn)攻擊事件的時(shí)候，它只能關(guān)閉服務(wù)器和網(wǎng)絡(luò)出口等少數(shù)端口，但在關(guān)閉同時(shí)它會(huì)影響其他正常用戶的使用。

（四）應(yīng)用中存在隱私和安全，單一產(chǎn)品和復(fù)雜網(wǎng)絡(luò)應(yīng)用的矛盾。入侵檢測(cè)系統(tǒng)能夠?qū)W(wǎng)絡(luò)中的全部數(shù)據(jù)進(jìn)行收集，此外還可以對(duì)這些數(shù)據(jù)進(jìn)行記錄和分析，這對(duì)網(wǎng)絡(luò)安全非常重要，但是對(duì)數(shù)據(jù)進(jìn)行記錄和分析就很有可能對(duì)用戶的隱私造成一定威脅。同時(shí)，入侵檢測(cè)產(chǎn)品最初的目的是為了檢測(cè)網(wǎng)絡(luò)的攻擊，但隨著網(wǎng)絡(luò)的日趨復(fù)雜，僅僅檢測(cè)網(wǎng)絡(luò)中的攻擊已經(jīng)遠(yuǎn)遠(yuǎn)無法滿足目前復(fù)雜的網(wǎng)絡(luò)應(yīng)用需求。這就導(dǎo)致管理員難以分清是由于攻擊引起還是網(wǎng)絡(luò)故障引起的網(wǎng)路問題，以及是否可以將目前網(wǎng)絡(luò)中的其他安全產(chǎn)品進(jìn)行配合的問題等。

三、IDS的發(fā)展趨勢(shì)

（一）減少誤報(bào)和漏報(bào)現(xiàn)象，提高檢測(cè)的精確度。為了提高網(wǎng)絡(luò)的安全性，入侵檢測(cè)系統(tǒng)要提高其檢測(cè)的精確度，減少誤報(bào)和漏報(bào)現(xiàn)象。在這方面，可以使用智能化的方法與手段來進(jìn)行入侵檢測(cè)，利用現(xiàn)階段常用的如模糊邏輯和模糊、推理粗糙集理論、數(shù)據(jù)挖掘技術(shù)軟計(jì)算等理論和方法單獨(dú)或集成使用，以滿足網(wǎng)絡(luò)安全實(shí)時(shí)性和實(shí)際檢測(cè)的需要，從而減少漏報(bào)或誤報(bào)的現(xiàn)象的發(fā)生。特別要實(shí)現(xiàn)知識(shí)庫的不斷升級(jí)與擴(kuò)展，使設(shè)計(jì)的入侵檢測(cè)系統(tǒng)防范能力不斷增強(qiáng)，具有更廣泛的應(yīng)用前景，為 IDS 的研究和發(fā)展注入新的活力。

（二）與其他系統(tǒng)進(jìn)行融合或集成。為了彌補(bǔ)IDS和防火墻被動(dòng)防御的缺陷，要在靜態(tài)取證的基礎(chǔ)上，利用動(dòng)態(tài)監(jiān)測(cè)的方法進(jìn)行動(dòng)態(tài)取證，將動(dòng)態(tài)取證技術(shù)融入到防火墻和入侵檢測(cè)系統(tǒng)中，對(duì)一切可能的通信網(wǎng)絡(luò)中的計(jì)算機(jī)犯罪行為進(jìn)行動(dòng)態(tài)監(jiān)測(cè)，智能分析，在確保系統(tǒng)安全運(yùn)行的情況下誘使對(duì)方深入，并盡可能的獲取大量證據(jù)，從而有針對(duì)性的提出應(yīng)對(duì)策略，指導(dǎo)相應(yīng)的入侵檢測(cè)系統(tǒng)做出實(shí)時(shí)相應(yīng)，形成防火墻、入侵檢測(cè)與計(jì)算機(jī)取證系統(tǒng)聯(lián)動(dòng)的效果，從外部和內(nèi)部共同保障網(wǎng)絡(luò)安全，構(gòu)建完整的網(wǎng)絡(luò)安全體系。

（三）提高IDS的安全性、速度性。當(dāng)前，入侵檢測(cè)系統(tǒng)作為一種安全技術(shù)產(chǎn)品，其自身安全極為重要。與其他系統(tǒng)一樣，IDS本身也存在安全漏洞，倘若對(duì)IDS的攻擊成功，就會(huì)導(dǎo)致報(bào)警失靈，將無法被記錄入侵者在其后的行為，這就要求系統(tǒng)采取多種防護(hù)措施，在保障網(wǎng)絡(luò)安全的同時(shí)，首先要提高其自身的安全性，從而避免入侵者利用其自身的脆弱性和不足有機(jī)可乘。

（四）實(shí)現(xiàn)分布式協(xié)同檢測(cè)和應(yīng)用層入侵檢測(cè)，構(gòu)建全面安全的防御體系。由于現(xiàn)在的IDS只能夠?qū)νㄓ脜f(xié)議進(jìn)行檢測(cè)，例如Web協(xié)議，不能處理其他的應(yīng)用系統(tǒng)。而許多入侵的語義只有在應(yīng)用層才能理解，因而很多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)和對(duì)象技術(shù)的大型應(yīng)用，都應(yīng)該得到應(yīng)用層的入侵檢測(cè)保護(hù)。入侵檢測(cè)技術(shù)只是網(wǎng)絡(luò)安全防御與響應(yīng)構(gòu)造中的一個(gè)枝節(jié)，要提升網(wǎng)絡(luò)系統(tǒng)的安全性，就需要將不同的網(wǎng)絡(luò)安全技術(shù)聯(lián)合在一起，將分布式協(xié)同檢測(cè)和應(yīng)用層入侵檢測(cè)都納入到IDS系統(tǒng)，從而構(gòu)筑完整的網(wǎng)絡(luò)安全檢測(cè)、響應(yīng)和防護(hù)體系結(jié)構(gòu)，提供完整的網(wǎng)絡(luò)安全保障。

（五）構(gòu)建標(biāo)準(zhǔn)化的入侵檢測(cè)系統(tǒng)。近幾年，很多企業(yè)和網(wǎng)絡(luò)公司都投入到這一領(lǐng)域，但就目前而言入侵檢測(cè)系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn)，不同的IDS之間幾乎不能實(shí)現(xiàn)數(shù)據(jù)交換和信息通信。為了能夠構(gòu)建出各入侵檢測(cè)響應(yīng)系統(tǒng)間的信息共享，以及對(duì)信息和數(shù)據(jù)的格式進(jìn)行交換，以及實(shí)現(xiàn)系統(tǒng)管理的需要，美國國防高級(jí)研究計(jì)劃署和互聯(lián)網(wǎng)工程任務(wù)組 IETF 的入侵檢測(cè)工作組（IDWG）已經(jīng)制定出了關(guān)于IDS 規(guī)范化的一系列標(biāo)準(zhǔn)草案。但還不夠成熟，仍在不斷地改進(jìn)和完善中，但是入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)化是其發(fā)展的必然方向。

參考文獻(xiàn)：

[1]彭建.IDS入侵檢測(cè)系統(tǒng)研究[J].科技廣場(chǎng)，2011，6：31-34

[2]龔民，孫建華，朱秀蘭.入侵檢測(cè)系統(tǒng)的分析技術(shù)研究[J].電腦知識(shí)與技術(shù)，2009，34：53-55

[3]叢慧源.淺析入侵檢測(cè)系統(tǒng)存在問題及發(fā)展趨勢(shì)[J].網(wǎng)絡(luò)通訊及安全，2009，2：796-797