淺論入侵檢測系統(tǒng)在網(wǎng)絡(luò)安全中的應(yīng)用

【摘 要】在信息技術(shù)高速發(fā)展的今天，入侵檢測系統(tǒng)在網(wǎng)絡(luò)安全的防衛(wèi)方面起到了至關(guān)重要的作用。正是基于這一基礎(chǔ)，本文闡述了IDS在網(wǎng)絡(luò)安全具體應(yīng)用中存在的問題，并結(jié)合存在的問題概況了IDS的發(fā)展趨勢。

【關(guān)鍵詞】IDS 應(yīng)用 問題 趨勢

隨著現(xiàn)代科學和技術(shù)的不斷提高，在給我們帶來快樂的同時，也給我們的學習、工作、生活帶來很多不便，最明顯即網(wǎng)絡(luò)安全問題：國家、單位、個人的信息頻頻泄露、黑客攻擊事件頻繁發(fā)生、病毒變種多種多樣等等，這都給網(wǎng)絡(luò)的安全性敲響了警鐘，安全防護問題備受各方關(guān)注。

一、IDS介紹

IDS（Intrusion Detection Systems的簡稱），入侵檢測系統(tǒng)。即識別針對計算機或網(wǎng)絡(luò)資源的惡意企圖和行為并對此做出反應(yīng)的過程。它通過對網(wǎng)絡(luò)系統(tǒng)的運行狀況進行監(jiān)視，采用匹配技術(shù)通過一定的安全策略盡可能的去發(fā)現(xiàn)各種攻擊事件，用以保證網(wǎng)絡(luò)系統(tǒng)中資源的機密性、完整性，屬于一種監(jiān)聽系統(tǒng)。

二、IDS在網(wǎng)絡(luò)安全應(yīng)用中存在的不足

（一）存在誤報、漏報現(xiàn)象。入侵檢測系統(tǒng)根據(jù)不同的分類方式，有不同的分類，而不論是哪種分類方式，其檢測方法都在某種程度上存在缺陷，例如，依據(jù)數(shù)據(jù)的分析與匹配方法，常將IDS分為基于誤用檢測與基于異常檢測兩種而這些檢測方式都存在某種程度上的缺陷。具體說，基于統(tǒng)計分析的入侵檢測系統(tǒng)能通過訓練方式來保證它和入侵模式相適應(yīng)，借助于一次次訓練來保證入侵事件與正常操作的統(tǒng)計規(guī)律相符合，從而將入侵事件看作是正常事件，而導致漏報現(xiàn)象的產(chǎn)生。

（二）缺少主動防御能力。任何事物都具有兩面性的特征，IDS也一樣，它能夠檢測黑客在攻擊前的探測行為并進行預(yù)警；對計算機系統(tǒng)或網(wǎng)絡(luò)的內(nèi)部攻擊、外部攻擊以及誤操作等行為進行實時防護，但是它由于采用了預(yù)設(shè)置式、特征分析式的工作原理，監(jiān)聽方式的入侵檢測，事后報警的特性，使它在整個安全防御過程中處于被動防御狀態(tài)，其規(guī)則的更新總是落后于攻擊手段的更新。尤其當網(wǎng)絡(luò)環(huán)境變得復(fù)雜時，遲鈍性顯的更為明顯。

（三）定位和處理機制不夠準確。IDS不能識別數(shù)據(jù)來源，僅能識別IP地址，無法定位IP地址，缺乏更有效的響應(yīng)處理機制。因此在發(fā)現(xiàn)攻擊事件的時候，它只能關(guān)閉服務(wù)器和網(wǎng)絡(luò)出口等少數(shù)端口，但在關(guān)閉同時它會影響其他正常用戶的使用。

（四）應(yīng)用中存在隱私和安全，單一產(chǎn)品和復(fù)雜網(wǎng)絡(luò)應(yīng)用的矛盾。入侵檢測系統(tǒng)能夠?qū)W(wǎng)絡(luò)中的全部數(shù)據(jù)進行收集，此外還可以對這些數(shù)據(jù)進行記錄和分析，這對網(wǎng)絡(luò)安全非常重要，但是對數(shù)據(jù)進行記錄和分析就很有可能對用戶的隱私造成一定威脅。同時，入侵檢測產(chǎn)品最初的目的是為了檢測網(wǎng)絡(luò)的攻擊，但隨著網(wǎng)絡(luò)的日趨復(fù)雜，僅僅檢測網(wǎng)絡(luò)中的攻擊已經(jīng)遠遠無法滿足目前復(fù)雜的網(wǎng)絡(luò)應(yīng)用需求。這就導致管理員難以分清是由于攻擊引起還是網(wǎng)絡(luò)故障引起的網(wǎng)路問題，以及是否可以將目前網(wǎng)絡(luò)中的其他安全產(chǎn)品進行配合的問題等。

三、IDS的發(fā)展趨勢

（一）減少誤報和漏報現(xiàn)象，提高檢測的精確度。為了提高網(wǎng)絡(luò)的安全性，入侵檢測系統(tǒng)要提高其檢測的精確度，減少誤報和漏報現(xiàn)象。在這方面，可以使用智能化的方法與手段來進行入侵檢測，利用現(xiàn)階段常用的如模糊邏輯和模糊、推理粗糙集理論、數(shù)據(jù)挖掘技術(shù)軟計算等理論和方法單獨或集成使用，以滿足網(wǎng)絡(luò)安全實時性和實際檢測的需要，從而減少漏報或誤報的現(xiàn)象的發(fā)生。特別要實現(xiàn)知識庫的不斷升級與擴展，使設(shè)計的入侵檢測系統(tǒng)防范能力不斷增強，具有更廣泛的應(yīng)用前景，為 IDS 的研究和發(fā)展注入新的活力。

（二）與其他系統(tǒng)進行融合或集成。為了彌補IDS和防火墻被動防御的缺陷，要在靜態(tài)取證的基礎(chǔ)上，利用動態(tài)監(jiān)測的方法進行動態(tài)取證，將動態(tài)取證技術(shù)融入到防火墻和入侵檢測系統(tǒng)中，對一切可能的通信網(wǎng)絡(luò)中的計算機犯罪行為進行動態(tài)監(jiān)測，智能分析，在確保系統(tǒng)安全運行的情況下誘使對方深入，并盡可能的獲取大量證據(jù)，從而有針對性的提出應(yīng)對策略，指導相應(yīng)的入侵檢測系統(tǒng)做出實時相應(yīng)，形成防火墻、入侵檢測與計算機取證系統(tǒng)聯(lián)動的效果，從外部和內(nèi)部共同保障網(wǎng)絡(luò)安全，構(gòu)建完整的網(wǎng)絡(luò)安全體系。

（三）提高IDS的安全性、速度性。當前，入侵檢測系統(tǒng)作為一種安全技術(shù)產(chǎn)品，其自身安全極為重要。與其他系統(tǒng)一樣，IDS本身也存在安全漏洞，倘若對IDS的攻擊成功，就會導致報警失靈，將無法被記錄入侵者在其后的行為，這就要求系統(tǒng)采取多種防護措施，在保障網(wǎng)絡(luò)安全的同時，首先要提高其自身的安全性，從而避免入侵者利用其自身的脆弱性和不足有機可乘。

（四）實現(xiàn)分布式協(xié)同檢測和應(yīng)用層入侵檢測，構(gòu)建全面安全的防御體系。由于現(xiàn)在的IDS只能夠?qū)νㄓ脜f(xié)議進行檢測，例如Web協(xié)議，不能處理其他的應(yīng)用系統(tǒng)。而許多入侵的語義只有在應(yīng)用層才能理解，因而很多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)和對象技術(shù)的大型應(yīng)用，都應(yīng)該得到應(yīng)用層的入侵檢測保護。入侵檢測技術(shù)只是網(wǎng)絡(luò)安全防御與響應(yīng)構(gòu)造中的一個枝節(jié)，要提升網(wǎng)絡(luò)系統(tǒng)的安全性，就需要將不同的網(wǎng)絡(luò)安全技術(shù)聯(lián)合在一起，將分布式協(xié)同檢測和應(yīng)用層入侵檢測都納入到IDS系統(tǒng)，從而構(gòu)筑完整的網(wǎng)絡(luò)安全檢測、響應(yīng)和防護體系結(jié)構(gòu)，提供完整的網(wǎng)絡(luò)安全保障。

（五）構(gòu)建標準化的入侵檢測系統(tǒng)。近幾年，很多企業(yè)和網(wǎng)絡(luò)公司都投入到這一領(lǐng)域，但就目前而言入侵檢測系統(tǒng)還缺乏相應(yīng)的標準，不同的IDS之間幾乎不能實現(xiàn)數(shù)據(jù)交換和信息通信。為了能夠構(gòu)建出各入侵檢測響應(yīng)系統(tǒng)間的信息共享，以及對信息和數(shù)據(jù)的格式進行交換，以及實現(xiàn)系統(tǒng)管理的需要，美國國防高級研究計劃署和互聯(lián)網(wǎng)工程任務(wù)組 IETF 的入侵檢測工作組（IDWG）已經(jīng)制定出了關(guān)于IDS 規(guī)范化的一系列標準草案。但還不夠成熟，仍在不斷地改進和完善中，但是入侵檢測系統(tǒng)的標準化是其發(fā)展的必然方向。

參考文獻：

[1]彭建.IDS入侵檢測系統(tǒng)研究[J].科技廣場，2011，6：31-34

[2]龔民，孫建華，朱秀蘭.入侵檢測系統(tǒng)的分析技術(shù)研究[J].電腦知識與技術(shù)，2009，34：53-55

[3]叢慧源.淺析入侵檢測系統(tǒng)存在問題及發(fā)展趨勢[J].網(wǎng)絡(luò)通訊及安全，2009，2：796-797