入侵檢測系統(tǒng)(Intrusion Detect System)，目前基本上分為以下兩種：主機入侵檢測系統(tǒng)(HIDS);網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS) 。主機入侵檢測系統(tǒng)分析對象為主機審計日志，所以需 要在主機上安裝軟件，針對不同的系統(tǒng)、不同的版本需安裝不同的主機引擎，安裝配置較為復(fù)雜，同時對系統(tǒng)的運行和穩(wěn)定性造成影響，目前在國內(nèi)應(yīng)用較少 。網(wǎng)絡(luò)入侵監(jiān)測分析對象為網(wǎng)絡(luò)數(shù)據(jù)流，只需安裝在網(wǎng)絡(luò)的監(jiān)聽端口上，對網(wǎng)絡(luò)的運行無任何影響，目前國內(nèi)使用較為廣泛 。
一、IDS存在的問題
1、誤/漏報率高
IDS常用的檢測方法有特征檢測、異常檢測、狀態(tài)檢測、協(xié)議分析等 。而這些檢測方式都存在缺陷 。比如異常檢測通常采用統(tǒng)計方法來進行檢測，而統(tǒng)計方法中的閾值難以有效確定，太小的值會產(chǎn)生大量的誤報，太大的值又會產(chǎn)生大量的漏報 。而在協(xié)議分析的檢測方式中，一般的IDS只簡單地處理了常用的如HTTP、FTP、SMTP等，其余大量的協(xié)議報文完全可能造成IDS漏報，如果考慮支持盡量多的協(xié)議類型分析，網(wǎng)絡(luò)的成本將無法承受 。
2、沒有主動防御能力
IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理，所以檢測規(guī)則的更新總是落后于攻擊手段的更新 。
3、缺乏準(zhǔn)確定位和處理機制
IDS僅能識別IP地址，無法定位IP地址，不能識別數(shù)據(jù)來源 。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時候，只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口，但這樣關(guān)閉同時會影響其他正常用戶的使用 。因而其缺乏更有效的響應(yīng)處理機制 。
4、性能普遍不足
現(xiàn)在市場上的IDS產(chǎn)品大多采用的是特征檢測技術(shù)，這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展，在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包，形成DoS攻擊 。
二、入侵檢測技術(shù)的發(fā)展趨勢
(1).分析技術(shù)的改進
入侵檢測誤報和漏報的解決最終依靠分析技術(shù)的改進 。目前入侵檢測分析方法主要有：統(tǒng)計分析、模式匹配、數(shù)據(jù)重組、協(xié)議分析、行為分析等 。
統(tǒng)計分析是統(tǒng)計網(wǎng)絡(luò)中相關(guān)事件發(fā)生的次數(shù)，達到判別攻擊的目的 。模式匹配利用對攻擊的特征字符進行匹配完成對攻擊的檢測 。數(shù)據(jù)重組是對網(wǎng)絡(luò)連接的數(shù)據(jù)流進行重組再加以分析，而不僅僅分析單個數(shù)據(jù)包 。
協(xié)議分析技術(shù)是在對網(wǎng)絡(luò)數(shù)據(jù)流進行重組的基礎(chǔ)上，理解應(yīng)用協(xié)議，再利用模式匹配和統(tǒng)計分析的技術(shù)來判明攻擊 。例如：某個基于HTTP協(xié)議的攻擊含有ABC特征，如果此數(shù)據(jù)分散在若干個數(shù)據(jù)包中，如：一個數(shù)據(jù)包含A，另外一個包含B，另外一個包含C，則單純的模式匹配就無法檢測，只有基于數(shù)據(jù)流重組才能完整檢測 。而利用協(xié)議分析 。則只在符合的協(xié)議(HTTP)檢測到此事件才會報警 。假設(shè)此特征出現(xiàn)在Mail里，因為不符合協(xié)議，就不會報警 。利用此技術(shù)，有效的降低了誤報和漏報 。
【IDS 入侵檢測存在的問題及發(fā)展趨勢】行為分析技術(shù)不僅簡單分析單次攻擊事件，還根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生，攻擊行為是否生效，是入侵檢測分析技術(shù)的最高境界 。但目前由于算法處理和規(guī)則制定的難度很大，目前還不是非常成熟，但卻是入侵檢測技術(shù)發(fā)展的趨勢 。目前最好綜合使用多種檢測技術(shù)，而不只是依靠傳統(tǒng)的統(tǒng)計分析和模式匹配技術(shù) 。另外，規(guī)則庫是否及時更新也和檢測的準(zhǔn)確程度相關(guān) 。
(2).內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計功能的引入
前面已經(jīng)提到，入侵檢測的最高境界是行為分析 。但行為分析前還不是很成熟，因此，個別優(yōu)秀的入侵檢測產(chǎn)品引入了內(nèi)容恢復(fù)和網(wǎng)絡(luò)審計功能 。
內(nèi)容恢復(fù)即在協(xié)議分析的基礎(chǔ)上，對網(wǎng)絡(luò)中發(fā)生的應(yīng)為加以完整的重組和記錄，網(wǎng)絡(luò)中發(fā)生的任何行為都逃不過它的監(jiān)視 。網(wǎng)絡(luò)審計即對網(wǎng)絡(luò)中所有的連接事件進行記錄 。入侵檢測的接入方式?jīng)Q定入侵檢測系統(tǒng)中的網(wǎng)絡(luò)審計不僅類似防火墻可以記錄網(wǎng)絡(luò)進出信息，還可以記錄網(wǎng)絡(luò)內(nèi)部連接狀況，此功能對內(nèi)容恢復(fù)無法恢復(fù)的加密連接尤其有用 。

推薦閱讀

• 

  蘋果和西紅柿可以一起榨汁嗎,蘋果西紅柿汁喝了會脹氣嗎
• 

  摩托車高壓包兩根線怎么接 踏板摩托車高壓包兩根線怎么接
• 

  辣椒苗間距多少合適
• 

  華為信號放大器怎么重新設(shè)置 華為wifi放大器設(shè)置教程
• 

  琵琶介紹
• 

  PS制作彩虹方法
• 

  冰涼粉怎么做好吃原味 冰涼粉做法
• 

  嘴角長痘是什么原因 嘴角為什么會長痘痘
• 

  五險是指哪五種保險
• 

  來蘇兒消毒液噴灑室內(nèi)嗎
• 

  戀愛中如何向女友道歉，給女朋友道歉的方式
• 

  家居隔音裝修怎么裝
• 

  人體內(nèi)的微量元素指的是什么
• 

  市值1977億美元,amd市值
• 

  泡椒雞脆骨怎么做
• 

  泰洲二手車市場在哪里，泰州姜堰二手車市場在哪里

• 吃不完的蛋糕怎么保存 剩蛋糕如何保存不干
• 小米6支持?jǐn)U展存儲卡嗎？
• 清明草怎么放冰箱保存
• 荔枝的保存方法及保存時間
• 榴蓮怎么保存才新鮮
• 如何評價IDS漏洞攻擊檢測覆蓋面指標(biāo)
• 小米6能裝內(nèi)存卡嗎？小米6支不支持TF卡擴展？
• 設(shè)置安全庫存的作用是什么
• IDS 入侵檢測產(chǎn)品從里到外發(fā)生改變
• 淺析IDS與IPS：檢測與防護的共生與發(fā)展