1入侵检测系统所面临问题

根据国外权威机构近来的入侵检测产品评测报告，目前主流的入侵检测系统大都存在以下几个问题：

（1）没有太多能力阻断入侵。对于入侵检测系统，其功能有入侵发现以及连接阻断两个方面。实时保护误操作、外部攻击以及内部攻击。但是，识别入侵行为依然是单方面的工作重点。网络安全效果的提升，在黑客入侵识别的同时，也要具备入侵阻断的能力。

（2）较高的漏报率和较高的误报率。在高速交换的网络中，入侵检测系统不能很好地检测所有的数据包。分析的准确率不高，经常产生漏报。检测规则的更新落后于攻击手段的更新；新的攻击没有相应的检测规则，经常产生误报。

（3）IDS之间的互操作能力弱。在快速更新发展的网络技术现实下，网络攻击方式也日新月异，具有代表性的攻击形式就是分布式协同攻击。该行为主要在攻击者操作下，一台主机受到难以计量的服务器攻击，具有很强的隐蔽性与破坏性。虽然在各网络部分安装了各异的IDS，但入侵检测体系结构是在较多的IDS上被运用。保护方式为单独的主机保护，信息交换无法实现，攻击发源难以发现，这样，攻击者常常有恃无恐。所以，协作式、分布式应该是体系结构改革方向，构建IDS间操作协作性。

2解决措施

第一，为使漏报率与误报率迅速下降，不妨在预先分配的系统内部空间地址直接传输网络数据报文，阻止CPU运作。另外，在检测程序中的应用程序可接收系统内核储存数据报文的映射。此内存块接受检测程序的访问，避免用户内存空间被系统内核拷贝，系统调用开销将大大减少。确保准确性检测，要对当前的网络自动获取信息做状态考虑，配置IDS要参考变化的系统状态，让当前网络状态下的IDS模式匹配发生关联。管理者在对网络状况掌握后，应该对非开放端口中的连接企图看做是数据的异常，并在日志中记录以及时刻跟踪。做好攻击预防，确保信息足够安全。第二，联合防火墙与侵入检测系统，做好IDS的策略安全工作，对对象防火墙密匙与地址要响应指定，连接防火墙由IDS发起，在连接正常之后，防火墙可接收到新产生的IDS安全事件，并相应对安全措施做好调整，构建动态的防护体系，做到入侵行为的切断从源头上把握。如此，防火墙反应能力得到了提升，IDS阻断效果大大提升。如：上海广电应确信有限公司作为专业的网络安全设备厂商，入侵检测网络安全方面，采用了高速网络数据采集技术，结合独特的硬件和软件优化，提高了检测分析速度，同时以模式匹配技术为主，结合异常发现技术，采用基于主机和基于网络两种方式兼备的分布式系统，并使用先进的“基于上下文分析”技术，提供了更准确的可互动的入侵检测行为并报警。这里所说的入侵行为涵盖范围很广，不仅包括黑客攻击，还包括各种网络异常行为，如内部网络机密信息泄漏和非法使用网络资源等等。

3技术展望

入侵检测系统的标准化。由于入侵检测系统的市场在近几年中飞速发展，许多公司也投入到这一领域上来。但就目前而言，入侵检测系统还缺乏相应的标准，但标准化是入侵检测系统发展的必然方向。与网络安全技术相结合。结合防火墙、VPN、PKIX和安全电子交易SET等新的网络安全与电子商务技术，入侵检测系统能提供完整的网络安全保障。网络安全已经上升到了社会安全、政治安全以及经济安全领域，管理也需要从多个层次出现，以资产完整性作为保护的最终目标，尽量的将损失控制在最小范围，实现最大化的投资回报率，保证各项业务不受干扰。网络安全的解决是不可能依靠单一的产品完全、有效解决，要走合作协作各安全产品的道路，帮助用户建立一个动态的纵深防御体系。

4结语

网络安全是网络普及下用户最关心的问题。从思想认识上，网络用户认识到了防火墙的重要性。但是，对于入侵检测系统，他们则支支吾吾，道不清。可以说，安全警卫就是防火墙的重要职责，在对规则预先设定后，匹配网络中进出数据，和规则相符的允许通过，截然相反则组织。可以说，防火墙的作用在于控制访问，是第一道网络安全闸门。

作者：张影单位：中国电信西安分公司