葛釗成　彭凱

摘要：入侵檢測(cè)系統(tǒng)（IntrusionDetection System，IDS）為網(wǎng)絡(luò)空間安全做出重大貢獻(xiàn)。然而隨著大數(shù)據(jù)時(shí)代的到來，IDS暴露出效率低下、理念落后等系統(tǒng)性不足。本文結(jié)合大數(shù)據(jù)特征及傳統(tǒng)IDS技術(shù)的不足，針對(duì)性地概述了分布式入侵檢測(cè)系統(tǒng)（DistrictedIntrusionDetection System，DIDS），并在基本概念、系統(tǒng)分類和性能特點(diǎn)等方面對(duì)其做出重點(diǎn)解釋。最后從深度學(xué)習(xí)、廣度融合等角度展望了入侵檢測(cè)技術(shù)的未來發(fā)展。

關(guān)鍵詞：入侵檢測(cè)；IDS；DIDS；大數(shù)據(jù)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.3969/j.issn.1003 6970.2016.05.014

本文著錄格式：葛釗成，彭

凱.大數(shù)據(jù)環(huán)境下入侵檢測(cè)系統(tǒng)概述.軟件，2016，37（5）：54-59

0.引言

自20世紀(jì)60年代以來，計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展速度呈幾何式增長(zhǎng)，信息化概念在金融、軍事、醫(yī)療等各領(lǐng)域都得到迅速的普及。正是這一廣泛存在的共性問題，使攻擊者可以利用流量分析、篡改信息、惡意程序、拒絕服務(wù)攻擊等方式尋找網(wǎng)絡(luò)系統(tǒng)的漏洞。并加以利用。也正是基于這樣的背景，傳統(tǒng)的入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）得以迅速發(fā)展并廣泛普及。

然而隨著信息化的不斷深入，網(wǎng)絡(luò)技術(shù)的融合性、開放性、交互性都在以一個(gè)前所未有的速度發(fā)展。這就直接導(dǎo)致了數(shù)據(jù)量的迅速膨脹。正如數(shù)據(jù)科學(xué)家Viktor Mayer在《Big Data》中所論，“大數(shù)據(jù)時(shí)代已經(jīng)是可以被看見的未來”。作為信息時(shí)代的升級(jí)版，大數(shù)據(jù)時(shí)代具有著獨(dú)特而又鮮明的特色。而在這條“信息高速公路”上，傳統(tǒng)的IDS已經(jīng)暴露出對(duì)未知入侵方法的漏報(bào)率較高、對(duì)大流量通信的檢測(cè)效率較低等多種缺陷。傳統(tǒng)技術(shù)已不能適應(yīng)快速更新的應(yīng)用需求。因此研究分布式入侵檢測(cè)系統(tǒng)（Districted Intrusion Detection System，DIDS），對(duì)于大數(shù)據(jù)環(huán)境下的信息安全防護(hù)體系而言很有必要。

本文結(jié)合大數(shù)據(jù)時(shí)代的信息特征及其引發(fā)的變化，具體解析了傳統(tǒng)IDS的技術(shù)缺陷，并進(jìn)一步分析了DIDS概念。然后從基層架構(gòu)、拓?fù)淠Ｊ揭约捌脚_(tái)性質(zhì)三個(gè)角度論述DIDS的分類，并引出DIDS時(shí)效性、獨(dú)立性、可靠性、靈活性等優(yōu)勢(shì)。最后結(jié)合實(shí)際應(yīng)用需求，從深度學(xué)習(xí)、廣度融合等多個(gè)角度分析入侵檢測(cè)系統(tǒng)的發(fā)展方向。

1.大數(shù)據(jù)背景

大數(shù)據(jù)是指在有限時(shí)間內(nèi)無法用常規(guī)工具進(jìn)行捕捉、管理和分析的數(shù)據(jù)集合，是只有在新型處理模式下才能具備更強(qiáng)的決策力、洞察力和流程優(yōu)化能力的海量、多樣和高增長(zhǎng)率的信息資產(chǎn)。自概念提出以來，大數(shù)據(jù)已迅速成為繼互聯(lián)網(wǎng)、物聯(lián)網(wǎng)之后的又一里程碑式技術(shù)。從最早應(yīng)用大數(shù)據(jù)的麥肯錫公司，到推進(jìn)大數(shù)據(jù)商業(yè)化的IBM、亞馬遜、谷歌等公司，再到近年不斷提出相關(guān)戰(zhàn)略要求的各國(guó)政府，大數(shù)據(jù)儼然成為金融、零售、服務(wù)、軍事等各行業(yè)新的發(fā)展引擎，并為社會(huì)各界產(chǎn)生了巨大的產(chǎn)業(yè)價(jià)值。

大數(shù)據(jù)與早期的互聯(lián)網(wǎng)相比有較為鮮明的特色，其中由IBM最早提出的“4V”已被業(yè)界普遍接受——Volume（海量規(guī)模）、Velocity（高速流轉(zhuǎn)）、Variety（多樣類型）和Value（低價(jià)值比）?；谶@些前所未有的信息特征，大數(shù)據(jù)時(shí)代體現(xiàn)出以全體取代樣本、以混雜取代精準(zhǔn)、以相關(guān)取代因果的理念轉(zhuǎn)變。這也為現(xiàn)代的生活、工作和思維帶來了顛覆性的變革。

在面臨大數(shù)據(jù)的發(fā)展機(jī)遇的同時(shí)，社會(huì)各界也接受到前所未有的挑戰(zhàn)，其中當(dāng)然也包括信息安全領(lǐng)域。傳統(tǒng)的安全體系受到了大數(shù)據(jù)的極大沖擊。大數(shù)據(jù)安全問題對(duì)個(gè)人、企業(yè)乃至國(guó)家都造成了多方面的影響。

1.1數(shù)據(jù)成為戰(zhàn)略資源，安全問題凸顯

“數(shù)據(jù)是未來的石油和黃金”。大數(shù)據(jù)環(huán)境下，世間萬(wàn)物包括文字、機(jī)器甚至生命體都可以被量化。無論是傳統(tǒng)企業(yè)數(shù)據(jù)，機(jī)器傳感數(shù)據(jù)還是社交行為數(shù)據(jù)，都被視為新一代的戰(zhàn)略資源。

然而，正是數(shù)據(jù)的重要性使其成為了大量不法分子的重點(diǎn)攻擊對(duì)象，越來越多的黑客試圖竊取數(shù)據(jù)以獲取非法利益。而大數(shù)據(jù)集中化、高透明、大規(guī)模的特點(diǎn)也增加了信息泄漏風(fēng)險(xiǎn)和安全防護(hù)難度。因此，大數(shù)據(jù)環(huán)境下的信息安全是目前亟待解決的關(guān)鍵難題。

1.2基于大數(shù)據(jù)技術(shù)的入侵攻擊盛行

在大數(shù)據(jù)技術(shù)席卷全球并為社會(huì)各界創(chuàng)造眾多生活便利和巨大經(jīng)濟(jì)效益的同時(shí)，也存在著一部分不法分子濫用大數(shù)據(jù)技術(shù)以獲取非法利益的惡意行為。

大數(shù)據(jù)技術(shù)是一種通過對(duì)海量數(shù)據(jù)的分析、挖掘和整合，獲取具有前瞻性和決策性的信息的技術(shù)架構(gòu)。首先，黑客可以直接利用大數(shù)據(jù)技術(shù)處理商務(wù)郵件、社交網(wǎng)絡(luò)等個(gè)人及企業(yè)信息。除此之外，黑客更傾向于間接利用大數(shù)據(jù)技術(shù)，發(fā)動(dòng)以數(shù)據(jù)為載體的入侵攻擊，尤其是拒絕服務(wù)攻擊（Denial ofService，DOS）以及高級(jí)持續(xù)性攻擊（Advanced Persistent Threat，APT）。通過將攻擊隱藏在海量數(shù)據(jù)之中，不僅能利用“低價(jià)值比”的特點(diǎn)以大幅降低被檢測(cè)的概率，還可以在被整合的同時(shí)直接入侵系統(tǒng)核心。正是目標(biāo)廣泛、精確制導(dǎo)、隱蔽性高、破壞性強(qiáng)的特點(diǎn)，使得基于大數(shù)據(jù)技術(shù)的入侵攻擊對(duì)當(dāng)代信息安全防護(hù)體系構(gòu)成了極大的威脅。

1.3缺乏有效的監(jiān)管制度和法律法規(guī)

鑒于大數(shù)據(jù)與傳統(tǒng)互聯(lián)網(wǎng)技術(shù)的顯著區(qū)別，舊時(shí)的規(guī)章制度已無法適應(yīng)新興的大數(shù)據(jù)領(lǐng)域。對(duì)于數(shù)據(jù)這一新型財(cái)產(chǎn)，目前市場(chǎng)上缺少有效的監(jiān)管制度，數(shù)據(jù)的收集、發(fā)布和存儲(chǔ)都缺乏規(guī)范性。而且由于缺乏相應(yīng)的法律法規(guī)，個(gè)人、企業(yè)和國(guó)家的信息安全利益（包括隱私權(quán)，使用權(quán)、知識(shí)產(chǎn)權(quán)等）都得不到應(yīng)有的保障。所以完善制度、推進(jìn)立法的工作迫在眉睫。

2.傳統(tǒng)IDS的缺陷

經(jīng)過數(shù)十年的發(fā)展，IDS已經(jīng)成為一項(xiàng)較為成熟且成功的安全防護(hù)技術(shù)。以snort為代表的IDS為近年的網(wǎng)絡(luò)信息安全做出了杰出的貢獻(xiàn)。然而隨著信息化的深入以及大數(shù)據(jù)的到來，傳統(tǒng)技術(shù)受到了眾多新科技的沖擊，進(jìn)而也暴露出了以下幾個(gè)致命性問題

（1）模式匹配算法是幾乎所有IDS產(chǎn)品的核心技術(shù)之一，基于AC、BM、MWM等匹配算法的誤用檢測(cè)可以使IDS具備對(duì)廣泛存在、特征明顯的已知攻擊的被動(dòng)式檢測(cè)，并推動(dòng)形成初級(jí)安全防護(hù)體系。但是，隨著人侵技術(shù)的復(fù)雜化、綜合化和大規(guī)?；?，現(xiàn)代攻擊越來越傾向于將多種已知入侵技術(shù)整合一體，形成某種未知的入侵技術(shù)。而由于本質(zhì)性的缺陷，模式匹配算法對(duì)此類APT攻擊的檢出率極低。

（2）對(duì)于未知攻擊，傳統(tǒng)IDS通常采取基于“偏離值”和“用戶行為”的異常檢測(cè)進(jìn)行主動(dòng)防護(hù)。統(tǒng)計(jì)模型、貝葉斯推理、聚類分析等檢測(cè)形式以及DB、Dnk、DTlk等優(yōu)秀算法可以彌補(bǔ)模式匹配的不足，使系統(tǒng)對(duì)未知攻擊有了一定的檢測(cè)能力。然而在實(shí)際環(huán)境中，異常與攻擊并非高度符合。異常但非攻擊行為會(huì)對(duì)傳統(tǒng)IDS造成較高的誤保率，非異常但攻擊行為則會(huì)對(duì)其造成較高的漏報(bào)率。兩個(gè)關(guān)鍵性能的不穩(wěn)定性極大影響傳統(tǒng)IDS的工作效率。同時(shí)，現(xiàn)實(shí)數(shù)據(jù)的高度復(fù)雜性也是限制傳統(tǒng)技術(shù)的一大瓶頸。

（3）傳統(tǒng)IDS基本都采用集中式的CIDF模型，傳統(tǒng)技術(shù)主要基于對(duì)日志文件、審計(jì)數(shù)據(jù)的遍歷掃描以及對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)包的過濾分析以實(shí)現(xiàn)全面的保護(hù)。圖1給出這一經(jīng)典的IDS結(jié)構(gòu)，主要包括事件產(chǎn)生器、事件分析器、事件數(shù)據(jù)庫(kù)和響應(yīng)單元四部分，

而隨著大數(shù)據(jù)時(shí)代的來臨，高速傳輸和海量數(shù)據(jù)成為信息的基本特性。首先，以往的集中式結(jié)構(gòu)使IDS在收集、分析、響應(yīng)等階段存在不可避免的時(shí)滯性，不能對(duì)高速傳輸數(shù)據(jù)進(jìn)行及時(shí)處理。其次，傳統(tǒng)技術(shù)過度依賴于單機(jī)性能。單臺(tái)計(jì)算機(jī)的分析能力非常有限，難以充分應(yīng)對(duì)海量數(shù)據(jù)。綜上，傳統(tǒng)IDS的功能優(yōu)勢(shì)正在消退，它已無法實(shí)現(xiàn)對(duì)系統(tǒng)的全方位的實(shí)時(shí)檢測(cè)。

3.DIDS基本概念

針對(duì)大數(shù)據(jù)特征以及傳統(tǒng)IDS的不足，本文在由Jai Sundar教授等人首創(chuàng)的AFFID系統(tǒng)的基礎(chǔ)上，提出了一種基于自治終端的分布式入侵檢測(cè)系統(tǒng)。如圖2所示，該系統(tǒng)主要包括自治終端（autonomous agent）、收發(fā)器（transeeiver）和控制器（monitor）三部分。

自治終端大量分布于各主機(jī)內(nèi)網(wǎng)絡(luò)接口、日志文件等脆弱點(diǎn)和檢測(cè)關(guān)鍵點(diǎn)。其具備獨(dú)立的運(yùn)行能力、通信能力以及有限的入侵檢測(cè)能力（檢測(cè)、分析、響應(yīng)）。當(dāng)自治終端檢測(cè)到攻擊后，它能將完整的分析處理數(shù)據(jù)傳送給收發(fā)器，同時(shí)也會(huì)接收來自收發(fā)器的信息與指令。

收發(fā)器是連接自治終端與控制器的橋梁。一方面它不斷收集由主機(jī)內(nèi)各自治終端發(fā)出的數(shù)據(jù)，另一方面它能分析所得信息并得出入侵消除、終端過載等結(jié)果，然后再將分析結(jié)果報(bào)送至控制器。

控制器是該DIDS模型的最高層模塊，其兩大功能分別是實(shí)時(shí)通信和協(xié)同調(diào)度。當(dāng)某臺(tái)主機(jī)遭遇大規(guī)模的高級(jí)攻擊時(shí)，該主機(jī)上的控制器可以通過內(nèi)部的通信機(jī)制與DIDS系統(tǒng)內(nèi)其他各主機(jī)的控制器相連，盡可能地整合并共享所需資源。然后根據(jù)收發(fā)器的分析結(jié)果，通過基于遺傳算法和任務(wù)復(fù)制的調(diào)度機(jī)制，在短時(shí)間內(nèi)快速?gòu)?qiáng)化受攻擊主機(jī)的分析處理能力。

4.DIDS系統(tǒng)分類

傳統(tǒng)的IDS主要以信息來源和檢測(cè)技術(shù)作為分類標(biāo)準(zhǔn)。為體現(xiàn)分布式系統(tǒng)的結(jié)構(gòu)特點(diǎn)并突出DIDS優(yōu)勢(shì)，本文從基層架構(gòu)、拓?fù)淠Ｊ揭约捌脚_(tái)性質(zhì)三個(gè)角度對(duì)DIDS進(jìn)行分類并加以詳細(xì)介紹。

根據(jù)基層架構(gòu)的區(qū)別，DIDS分為同構(gòu)式和異構(gòu)式兩種。

（1）同構(gòu)式DIDS是指各個(gè)處理節(jié)點(diǎn)在功能特性，物理結(jié)構(gòu)上保持高度一致的系統(tǒng)。結(jié)構(gòu)較為簡(jiǎn)單的同構(gòu)系統(tǒng)在小范圍內(nèi)具有很高的流通性，并且有效提高了并行計(jì)算能力。不過同構(gòu)系統(tǒng)的結(jié)構(gòu)特點(diǎn)限制了DIDS的檢測(cè)性能，高度一致的處理節(jié)點(diǎn)功能較為單一，無法應(yīng)對(duì)大型、復(fù)雜的高級(jí)攻擊。而且相似的結(jié)構(gòu)體系更易遭受網(wǎng)絡(luò)入侵。目前同構(gòu)式DIDS主要用于個(gè)人和小型企業(yè)的安全防護(hù)體系。

（2）與同構(gòu)式系統(tǒng)恰好相反，異構(gòu)式DIDS中各處理節(jié)點(diǎn)的功能特性和物理結(jié)構(gòu)可以存在一定差異。正是基于各節(jié)點(diǎn)的差異性，異構(gòu)式DIDS可以根據(jù)檢測(cè)需求，充分整合各節(jié)點(diǎn)的優(yōu)勢(shì)部分，取長(zhǎng)補(bǔ)短，以滿足多樣化的應(yīng)用需求。然而該類系統(tǒng)關(guān)于兼容性的技術(shù)問題仍有待解決，如何實(shí)現(xiàn)大量的不同設(shè)備在同一系統(tǒng)下的實(shí)時(shí)交互是異構(gòu)式DIDS的關(guān)鍵突破點(diǎn)。異構(gòu)式DIDS通常規(guī)模較大，常用于大型企業(yè)的安全防護(hù)體系。

根據(jù)拓?fù)淠Ｊ降膮^(qū)別，DIDS分為P2P模式和層次模式兩種。

（1）P2P模式的DIDS可采用網(wǎng)狀連接結(jié)構(gòu)，而且網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)都近似一個(gè)完整的微型檢測(cè)系統(tǒng)，其不僅具備檢測(cè)、分析、響應(yīng)功能，還同時(shí)擁有控制模塊，通信模塊和數(shù)據(jù)庫(kù)。各節(jié)點(diǎn)相互獨(dú)立又相互連接，可通過網(wǎng)絡(luò)實(shí)現(xiàn)資源共享和協(xié)同工作。該模式的優(yōu)點(diǎn)在于處理速度快，各節(jié)點(diǎn)可通過網(wǎng)絡(luò)鏈路直接通信，大幅減少時(shí)間開銷，提高了檢測(cè)效率。于此同時(shí)，P2P模式的缺點(diǎn)也很明顯。該模式對(duì)各節(jié)點(diǎn)的配置要求較高，不僅要具備完整的入侵檢測(cè)功能，同時(shí)還要擁有支持控制、通信等硬件模塊，使得搭建和維護(hù)的成本大幅提高。而且較高的技術(shù)難度也是P2P模式暫時(shí)無法普及的重要原因。

（2）層級(jí)模式的DIDS由控制層、通信層、處理層和數(shù)據(jù)庫(kù)構(gòu)成。其與P2P模式的差別在于處理層的終端設(shè)備只具備一定的入侵檢測(cè)功能，而控制和通信則由控制層和通信層單獨(dú)負(fù)責(zé)。這樣的好處在于各層級(jí)分工明確，便于后期的管理和維護(hù)，同時(shí)它對(duì)處理終端的要求不高，主要在于軟件功能。而層級(jí)模式的主要缺點(diǎn)是控制層和通信層負(fù)載能力有限，若同時(shí)受到多點(diǎn)攻擊則很可能導(dǎo)致整個(gè)系統(tǒng)的崩潰。除此之外，層級(jí)模式的處理速度相對(duì)較慢，大部分的指令都必須通過控制層和通信層才能到達(dá)終端。這一缺陷在面對(duì)APT攻擊時(shí)尤為致命。

根據(jù)平臺(tái)性質(zhì)的區(qū)別，DIDS分為本地平臺(tái)和云平臺(tái)兩種。

（1）作為互聯(lián)網(wǎng)產(chǎn)業(yè)的傳統(tǒng)工作模式，本地化平臺(tái)是指用戶直接控制的網(wǎng)絡(luò)設(shè)備，例如手機(jī)、計(jì)算機(jī)等。本地平臺(tái)具有讀寫速度快，獨(dú)立運(yùn)行，安全性高的特點(diǎn)，目前大部分的互聯(lián)網(wǎng)產(chǎn)品也都是建立于本地化平臺(tái)之上。然而隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，特別是大數(shù)據(jù)時(shí)代的到來，性能有限、成本高昂、靈活性差的本地平臺(tái)逐漸無法適應(yīng)廣泛的市場(chǎng)需求。但憑借著長(zhǎng)久的發(fā)展歷史以及成熟的應(yīng)用技術(shù)，本地化平臺(tái)仍然保持著極高的普及率和市場(chǎng)占有率。

（2）作為一項(xiàng)新興技術(shù)，云是指虛擬化的互聯(lián)網(wǎng)資源平臺(tái)。作為提供商，亞馬遜、谷歌以及國(guó)內(nèi)的阿里巴巴、華為等企業(yè)建立包含大型數(shù)據(jù)中心，整合數(shù)以萬(wàn)計(jì)的計(jì)算機(jī)的資源和計(jì)算能力以搭建云端平臺(tái)。作為用戶，DIDS可以利用云端平臺(tái)搭建入侵檢測(cè)系統(tǒng)，并通過控制臺(tái)或Open API等技術(shù)收集、分析所獲數(shù)據(jù)從而做出快速的有效響應(yīng)。

云技術(shù)具有按需分配、管理簡(jiǎn)易、價(jià)格低廉、多點(diǎn)備份、實(shí)時(shí)下載、并行運(yùn)算等優(yōu)勢(shì)，尤其是其超大規(guī)模的計(jì)算能力以及海量存儲(chǔ)能力使DIDS支持神經(jīng)網(wǎng)絡(luò)、自主學(xué)習(xí)等先進(jìn)技術(shù)，進(jìn)而從容應(yīng)對(duì)日益趨向大型化、復(fù)雜化和綜合化的入侵攻擊。這非常符合如今大數(shù)據(jù)時(shí)代的信息特征和應(yīng)用需求。然而云技術(shù)也存在過度依賴網(wǎng)絡(luò)的缺陷，而且目前云端的安全問題仍是阻礙其發(fā)展的一大瓶頸。

5.DIDS性能特點(diǎn)

為適應(yīng)接踵而來的信息安全挑戰(zhàn)，DIDS在設(shè)計(jì)之初便有著更先進(jìn)的設(shè)計(jì)理念以及更高的預(yù)定目標(biāo)。與傳統(tǒng)IDS相比，DIDS主要具有高效、獨(dú)立、可靠和靈活四大優(yōu)勢(shì)。

第一，作為入侵檢測(cè)系統(tǒng)的關(guān)鍵指標(biāo)，檢測(cè)效率是DIDS的核心優(yōu)勢(shì)之一。DIDS可以實(shí)現(xiàn)對(duì)全體數(shù)據(jù)而不僅是隨機(jī)樣本的實(shí)時(shí)檢測(cè)。無論是對(duì)本地文件的遍歷掃描還是對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的過濾分析，系統(tǒng)都能保持較高的檢測(cè)速度和較低的漏報(bào)率。另外，強(qiáng)大的計(jì)算能力使其支持相關(guān)性分析，自模擬學(xué)習(xí)以及大數(shù)據(jù)分析等復(fù)雜策略，極大提高了DIDS的檢測(cè)效率。

第二，當(dāng)某個(gè)節(jié)點(diǎn)遭受入侵時(shí)，DIDS可以充分整合內(nèi)部資源，通過預(yù)置算法實(shí)時(shí)調(diào)度其它閑置節(jié)點(diǎn)，并以協(xié)同工作的形式應(yīng)對(duì)入侵行為。這樣的工作模式改善了傳統(tǒng)IDS過度依賴單機(jī)性能的缺陷。不僅降低了處理節(jié)點(diǎn)的入網(wǎng)標(biāo)準(zhǔn)，還使系統(tǒng)避免出現(xiàn)因超負(fù)荷工作而導(dǎo)致無效檢測(cè)甚至宕機(jī)的情況，體現(xiàn)出較強(qiáng)的魯棒性。

第三，DIDS在可靠性方面具有較大的優(yōu)勢(shì)?？煽啃詣t主要分為兩點(diǎn)。一方面，DIDS具有一定的容錯(cuò)性。鑒于分布式的結(jié)構(gòu)優(yōu)勢(shì)，局部故障并不影響整個(gè)系統(tǒng)的正常工作。另一方面，DIDS還支持實(shí)時(shí)備份功能。各節(jié)點(diǎn)的數(shù)據(jù)信息會(huì)被完整拷貝并存儲(chǔ)于于若干個(gè)相鄰節(jié)點(diǎn)中，并通過時(shí)鐘機(jī)制不斷更新。

第四，靈活性是DIDS較傳統(tǒng)IDS的一大特色。DIDS可以在不中斷正常工作的前提下，用簡(jiǎn)便的技術(shù)增添節(jié)點(diǎn)或修改結(jié)構(gòu)，以適應(yīng)不斷變化的外部環(huán)境。另外，當(dāng)某一節(jié)點(diǎn)負(fù)荷過載時(shí)，按需分配的機(jī)制可以通過靈活的資源調(diào)度暫時(shí)加強(qiáng)該點(diǎn)的處理能力。而當(dāng)入侵行為消失后，資源各歸其位，系統(tǒng)又恢復(fù)原態(tài)。這一模式體現(xiàn)了DIDS的高度靈活性。

盡管DIDS與傳統(tǒng)技術(shù)相比有著突出的優(yōu)勢(shì)，而且在目前初步的實(shí)際檢測(cè)中也卓有成效。但DIDS在穩(wěn)定性、安全性和技術(shù)復(fù)雜性等方面有需要改進(jìn)之處，只有不斷改善缺陷，這一新型安全防護(hù)體系才能得到廣泛的普及

首先，據(jù)上述概念介紹，DIDS以分布式節(jié)點(diǎn)為基礎(chǔ)，且高度依賴于網(wǎng)絡(luò)通信。而節(jié)點(diǎn)的高自由度和不確定性以及網(wǎng)絡(luò)傳輸?shù)牟淮_定性導(dǎo)致DIDS故障率較高，極大影響其對(duì)目標(biāo)系統(tǒng)的實(shí)時(shí)保護(hù)。同時(shí)DIDS自身的技術(shù)復(fù)雜性也會(huì)導(dǎo)致較高的系統(tǒng)出錯(cuò)率。

其次，系統(tǒng)安全性不高。DIDS的正常工作立足于大量自由、開放的處理節(jié)點(diǎn)，而非單一、封閉的節(jié)點(diǎn)。這導(dǎo)致DIDS中各節(jié)點(diǎn)顯得較為脆弱，其自身對(duì)DOS、APT等尖端攻擊的抵抗能力相當(dāng)有限。而且系統(tǒng)規(guī)模越大，目標(biāo)就越明顯，受攻擊的概率也就越高。

最后，雖然目前市場(chǎng)中已有DIDS產(chǎn)品，但真正大規(guī)模的DIDS仍在研發(fā)中，各節(jié)點(diǎn)間的資源調(diào)度、實(shí)時(shí)共享和協(xié)同工作等復(fù)雜技術(shù)的穩(wěn)定性問題仍有待攻克。除此之外，如何結(jié)合不斷更新的信息特征，并實(shí)現(xiàn)對(duì)大數(shù)據(jù)的有效安全防護(hù)也是DIDS廣泛應(yīng)用的攔路虎。

6.發(fā)展趨勢(shì)

傳統(tǒng)的集中式IDS在發(fā)展之初體現(xiàn)出巨大優(yōu)勢(shì)。但如今面臨新時(shí)代的挑戰(zhàn)，這一經(jīng)典技術(shù)的結(jié)構(gòu)性缺陷暴露無遺。作為對(duì)傳統(tǒng)IDS的改進(jìn)，DIDS先進(jìn)的設(shè)計(jì)理念使其具備高效、獨(dú)立、可靠、靈活等多重優(yōu)勢(shì)，這保證DIDS能在高速傳輸、海量數(shù)據(jù)的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的有效保護(hù)。

（1）面對(duì)日益復(fù)雜的入侵技術(shù)以及大數(shù)據(jù)引發(fā)的挑戰(zhàn)，現(xiàn)代入侵分析策略的分析局限性和滯后性使其顯得力不從心。針對(duì)于此，高度智能的機(jī)器學(xué)習(xí)能力是提高檢測(cè)率，降低誤報(bào)率和漏報(bào)率的最佳方法。結(jié)合神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘、關(guān)聯(lián)性分析、人工免疫等前端技術(shù)，未來的入侵檢測(cè)系統(tǒng)應(yīng)能在已有的數(shù)據(jù)基礎(chǔ)之上，通過模擬惡意入侵，不斷獲取新的知識(shí)和技能，進(jìn)而提高其自適應(yīng)能力。由此可見，智能化的深度學(xué)習(xí)是IDS未來發(fā)展的必經(jīng)之路。

（2）作為專項(xiàng)網(wǎng)絡(luò)安全防護(hù)技術(shù)，IDS的設(shè)計(jì)目標(biāo)有一定的局限性，缺乏廣度防護(hù)能力。這就要求它必須與防火墻、殺毒軟件、加，解密等技術(shù)相融合，形成較為全面的廣度防護(hù)網(wǎng)。只有推進(jìn)多技術(shù)協(xié)同工作才能真正實(shí)現(xiàn)對(duì)系統(tǒng)全方位、多層次的有效保護(hù)。因此融合型IDS將成為未來信息安全防護(hù)體系的主導(dǎo)。

（3）目前入侵檢測(cè)技術(shù)正在蓬勃發(fā)展，但國(guó)內(nèi)外尚沒有一個(gè)相關(guān)的標(biāo)準(zhǔn)，也沒有一個(gè)國(guó)際組織對(duì)此負(fù)責(zé)。然而沒有統(tǒng)一的標(biāo)準(zhǔn)和公共的平臺(tái)，一門學(xué)科或是一項(xiàng)技術(shù)將無法健康發(fā)展，所以入侵檢測(cè)技術(shù)的標(biāo)準(zhǔn)化和組織化工作迫在眉睫。