網(wǎng)絡(luò)安全的高速發(fā)展給網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用市場帶來了前所未有的機遇，然而機遇與挑戰(zhàn)并存，網(wǎng)絡(luò)安全市場雖然迎來了一個快速發(fā)展的機會，但是由于網(wǎng)絡(luò)延伸的速度超出了人們的預(yù)想，網(wǎng)絡(luò)安全問題表現(xiàn)出越來越復(fù)雜的狀態(tài)，給網(wǎng)絡(luò)應(yīng)用市場的前進帶來了新的困難，想要發(fā)展網(wǎng)絡(luò)應(yīng)用市場的前提是如何建立可管理、可控制、可信度高的網(wǎng)絡(luò)環(huán)境。

隨著網(wǎng)絡(luò)技術(shù)發(fā)展速度日趨加快，入侵手段也從原來的單一入侵演變成現(xiàn)在的混合型威脅，以往的防護手段已經(jīng)無法滿足網(wǎng)絡(luò)安全的需要。信息安全建設(shè)不得不提出新的理念，那就是切實可行的為用戶提供立體防護體系，這樣的體系不僅要局部安全、全局安全、智能安全，而且還要多層次、全方位保護網(wǎng)絡(luò)信息的安全。正是由于網(wǎng)絡(luò)安全面臨著各種各樣的入侵威脅，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的實時監(jiān)控是現(xiàn)下我們的首要任務(wù)。

傳統(tǒng)的安全防護有防火墻等手段，但防火墻本身容易受到攻擊，且對于內(nèi)部網(wǎng)絡(luò)出現(xiàn)的問題經(jīng)常束手無策。防火墻是一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。但是目前的網(wǎng)絡(luò)入侵技術(shù)多是動態(tài)的，不會按照人們的預(yù)期出現(xiàn)在指定的位置，防火墻技術(shù)在實際應(yīng)用中暴露出無法預(yù)防這些網(wǎng)絡(luò)入侵的缺陷，它只能提供靜態(tài)的網(wǎng)絡(luò)防護。根據(jù)調(diào)查顯示來自于網(wǎng)絡(luò)內(nèi)部的入侵行為在網(wǎng)絡(luò)攻擊中占有一半以上的比率，而防火墻技術(shù)只能攔截到來自于網(wǎng)絡(luò)外部的攻擊。與此同時網(wǎng)絡(luò)的攻擊還有可能來自于病毒，像蠕蟲病毒等的攻擊，防火墻技術(shù)明顯表現(xiàn)的力不從心?；诰W(wǎng)絡(luò)入侵的上述特性，加之防火墻不能很好的滿足現(xiàn)今網(wǎng)絡(luò)安全的需求，那么就目前情況針對網(wǎng)絡(luò)安全問題如何通過實現(xiàn)網(wǎng)絡(luò)監(jiān)測來達到來保護對網(wǎng)絡(luò)環(huán)境安全就成為目前的重中之重。入侵檢測系統(tǒng)的出現(xiàn)是為了彌補防火墻的不足，能夠為網(wǎng)絡(luò)安全提供實時的入侵檢測，通過跟蹤入侵發(fā)現(xiàn)攻擊行為及時采取有效的防護手段，進行網(wǎng)絡(luò)的恢復(fù)或斷開連接等操作。如果說防火墻是網(wǎng)絡(luò)環(huán)境的大門，那么入侵檢測系統(tǒng)就是網(wǎng)絡(luò)環(huán)境的監(jiān)控。

入侵檢測系統(tǒng)，英文Intrusion detection system的縮寫，簡稱IDS。它是一種全方位的網(wǎng)絡(luò)安全設(shè)備，它通過分析來自網(wǎng)絡(luò)傳輸信息的若干關(guān)鍵點的信息能，實現(xiàn)對網(wǎng)絡(luò)的實時監(jiān)控，并且能從收集到的信息中即時發(fā)現(xiàn)并處理傳輸過程中的可疑信息，告知用戶采取主動反應(yīng)措施。網(wǎng)絡(luò)安全可能受到的攻擊包括沒有訪問權(quán)限的非法用戶，也就是我們經(jīng)常所說的黑客（hackers），還有就是來自網(wǎng)絡(luò)內(nèi)部，雖然有訪問網(wǎng)絡(luò)的許可，但是卻非法使用網(wǎng)絡(luò)的用戶（insider threat），對于這些可能發(fā)生的攻擊入侵檢測系統(tǒng)都能及時有效的發(fā)現(xiàn)。入侵檢測系統(tǒng)是一種積極主動的實時檢測技術(shù)，它的出現(xiàn)改變了以往的靜態(tài)防護模式，能夠發(fā)現(xiàn)動態(tài)入侵企圖，這點與其他一些網(wǎng)絡(luò)安全設(shè)備有著相當(dāng)大的差別。入侵檢測的研究最早可以追溯到20世紀(jì)80年代，1980年，James P.Anderson的《計算機安全威脅監(jiān)控與監(jiān)視》(《Computer Security Threat Monitoring and Surveillance》)第一次詳細闡述了入侵檢測的概念;提出計算機系統(tǒng)威脅分類;提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想，他將入侵行為劃分為外部闖入、內(nèi)部授權(quán)用戶越權(quán)使用和濫用。入侵是指任何試圖破壞資源完整性、機密性、可用性的行為，還包括用戶對系統(tǒng)資源的誤用。1984年到1986年，喬治敦大學(xué)的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一個實時入侵檢測系統(tǒng)模型--IDES(入侵檢測專家系統(tǒng))。1987年DorothyE Denning提出了入侵檢測的模型，首次將入侵檢測作為一種計算機安全防御措施提出。1988年之后，美國開展對分布式入侵檢測系統(tǒng)(DIDS)的研究，將基于主機和基于網(wǎng)絡(luò)的檢測方法集成到一起。DIDS是分布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn)品。1989年，加州大學(xué)戴維斯分校的ToddHeberlein發(fā)表論文《ANetworkSecurityMonitor》，該監(jiān)控器用于捕獲TCP/IP分組，第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機，網(wǎng)絡(luò)入侵檢測從此誕生。1990年，加州大學(xué)戴維斯分校的L.T.Heberlein等人開發(fā)出了NSM(Network Security Monitor)，該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機。入侵檢測系統(tǒng)發(fā)展史翻開了新的一頁，兩大陣營正式形成：基于網(wǎng)絡(luò)的IDS和基于主機的IDS。隨著目前攻擊的多樣化、復(fù)雜化，入侵檢測技術(shù)也在飛速地發(fā)展，目前入侵檢測技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域內(nèi)研究的熱點。總體來說，入侵檢測系統(tǒng)的發(fā)展經(jīng)歷了五個階段：最早的是基于主機的入侵檢測系統(tǒng)，如IDES；基于多主機的入侵檢測系統(tǒng)，如NIDES；基于網(wǎng)絡(luò)入侵檢測系統(tǒng)，如NSM；分布式入侵檢測系統(tǒng)，DIDS；以及面向大規(guī)模網(wǎng)絡(luò)的入侵檢測系統(tǒng)。

盡管入侵檢測系統(tǒng)（IDS）發(fā)展迅速，但是還是常受到專家和用戶詬病。Gartner就一直不看好入侵檢測系統(tǒng)（IDS），在多份報告中對IDS提出非議。2003年 Gartner公司副總裁Richard Stiennon發(fā)表《入侵檢測已壽終正寢，入侵防御將萬古長青》。Gartner指出入侵防御要替代入侵檢測報告引發(fā)的安全業(yè)界震動，而在另一份《2003年：信息安全的炒作周期》的報告中，Gartner稱入侵檢測系統(tǒng)是一次市場失敗。受Gartner報告的影響，IDS倍受攻擊。至今關(guān)于入侵檢測系統(tǒng)與入侵防御系統(tǒng)之間關(guān)系的討論已經(jīng)趨于平淡，2006年IDC年度安全市場報告更是明確指出入侵檢測系統(tǒng)和入侵防御系統(tǒng)是兩個獨立的市場，給這個討論畫上了一個句號?？梢哉f，目前無論是從業(yè)于信息安全行業(yè)的專業(yè)人士還是普通用戶，都認為入侵檢測系統(tǒng)和入侵防御系統(tǒng)是兩類產(chǎn)品，并不存在入侵防御系統(tǒng)要替代入侵檢測系統(tǒng)的可能。

IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理，所以檢測規(guī)則的更新總是落后于攻擊手段的更新。IDS缺乏準(zhǔn)確定位和處理機制，IDS僅能識別IP地址，無法定位IP地址，不能識別數(shù)據(jù)來源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時候，只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口，但這樣關(guān)閉同時會影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機制。缺乏基于行為的0DAY分析能力是用戶對入侵檢測系統(tǒng)（IDS）不滿意最集中的一點。筆者以為如果IDS將APT檢測作為其主要功能方向?qū)⒋蟠笤鰪娺@一弱點。

APT（Advanced Persistent Threat）即高級持續(xù)性威脅是一種利用先進的攻擊手段對特定目標(biāo)進行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT攻擊的原理相對于其他攻擊形式更為高級和先進，其高級性主要體現(xiàn)在APT在發(fā)動攻擊之前需要對攻擊對象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞，利用這些漏洞組建攻擊者所需的網(wǎng)絡(luò)，并利用0day漏洞進行攻擊。社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。針對被鎖定對象發(fā)送幾可亂真的社交工程惡意郵件，使用者只要一時不察，就可能會讓自己的計算機被植入惡意程序。通過電子郵件附件進行的APT攻擊，已成為單位聞之色變的主要入侵方式。從一些受到APT攻擊的大型單位中可以發(fā)現(xiàn)，這些單位受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。黑客針對某些特定員工發(fā)送釣魚郵件，以此作為使用APT攻擊的源頭。

如今，信息化與日常生活工作結(jié)合的愈發(fā)緊密，單位業(yè)務(wù)對信息系統(tǒng)越來越依賴，安全的邊界已經(jīng)從傳統(tǒng)的網(wǎng)關(guān)、桌面終端延續(xù)到任何應(yīng)用及業(yè)務(wù)可能到達的每一個節(jié)點，基于漏洞的APT攻擊可能就潛伏在我們身邊。由于員工缺乏信息安全方面的素養(yǎng)，對黑客入侵方式如什么是釣魚郵件、釣魚連接和釣魚電話等新入侵方式的認識。如大部分的網(wǎng)絡(luò)釣魚訊息，目的是希望讓人進入會收集個人資料的惡意網(wǎng)站，由于這些電子郵件或其它形式訊息都是用HTML格式，使用者在點選鏈接前，只要將鼠標(biāo)箭頭停在這些鏈接上，就可以在瀏覽器狀態(tài)列上，看到實際網(wǎng)址(通常在瀏覽器或電子郵件軟件視窗的底部)，而大部分員工不認得這些網(wǎng)站，或它用的是像bit.ly的短網(wǎng)址，或鏈接來源都沒有接觸過的，大部分員工會下意識的（沒有任何防范）情況下直接點擊附件或鏈接，導(dǎo)致打開惡意附件文件，惡意附件文件會攻擊一個目前仍不明的漏洞來植入并執(zhí)行后門程序。這個后門程序可以讓潛在攻擊者來做遠端存取，能在受感染機器做出其他惡意行為。根據(jù)我們的分析，這個后門程序也會下載并執(zhí)行其他惡意文件，讓受感染系統(tǒng)被進一步的感染和或竊取資料。

對于APT攻擊的防御成為擺在全體信息安全從業(yè)者面前的重大課題，特別是針對實施APT攻擊容易利用的Web應(yīng)用程序漏洞、Email郵件社工和0DAY漏洞等方面的防御，增加安全指數(shù)，提高攻擊難度。降低APT攻擊成功率，提高預(yù)警能力。

入侵檢測系統(tǒng)（IDS）缺乏零日漏洞預(yù)警能力，但是其已知特征檢測能力還是令人滿意的。不過在APT攻擊的防御上，入侵檢測系統(tǒng)（IDS）正好可以大展拳腳。潛伏性和持續(xù)性是APT攻擊最大的威脅，這就決定了APT攻擊難以被檢測。通過對APT攻擊的相關(guān)行為的分析，發(fā)現(xiàn)APT攻擊的一些蛛絲馬跡從而及時處理APT攻擊，減輕威脅是可以做到的。而IDS最主要的功能就是檢測已知特征入侵行為，可以用于APT攻擊的關(guān)聯(lián)分析上。

目前的入侵檢測設(shè)備只是為已知特征威脅提供必要的預(yù)警和支持，還不到為未知威脅的有效發(fā)現(xiàn)，但是把APT 檢測作為入侵檢測的發(fā)展方向，其前瞻性一下就體現(xiàn)出來了。