入侵检测系统面临的主要问题及其未来发展方向
来源:用户上传
作者: 祝亚楠
与防火墙这样技术高度成熟的产品相比,入侵检测系统还存在相当多的问题。直到今天,还不时有人用Gartner公司副总裁Richard Stiennon发布的研究报告《入侵检测寿终正寝,入侵防御万古长青》(Intrusion Detection Is Dead―LongLive Intrusion Prevention)来批驳入侵检测系统。
一、入侵检测技术将面临的问题
1.面临的问题
(1)误报。它是指被入侵检测系统测出但其实是正常及合法使用受保护网络和计算机的警报。没有一个入侵检测不会误报,原因是缺乏共享信息的标准机制和集中协调的机制,不同的网络及主机有不同的安全问题,不同的入侵检测系统有各自的功能;缺乏揣摩数据在一段时间内行为的能力;缺乏有效跟踪分析,等等。
(2)精巧及有组织的攻击。入侵检测技术要能跟上现代化网络增长的速度和复杂结构发展的步伐,必须寻求支持整个网络的入侵袭击识别技术。另外,高速网络技术尤其是交换技术和加密信道技术的发展,使得通过共享网段侦听的网络数据采集方法显得不足,而巨大的通信量对数据分析也提出了新的要求。
2.问题的主要因素
(1)攻击者的水平不断提高,他们拥有日趋成熟的自动化工具,越来越复杂细致的攻击手法。相对而言,入侵检测工具应用的技术老化,依据的已有攻击方法陈旧。
(2)恶意信息采用加密的方法传输,网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测工具往往假设攻击信息是通过明文传输的,因此对信息稍加改变便可能骗过它的检测。
(3)必须协调、适应多样性的环境中的不同的安全策略,网络及其中的设备越来越多样化,既存在关键资源如邮件服务器、企业数据库,又存在众多相对不是很重要的PC机。检测系统要能有所定制以更适应多样的环境要求。
(4)不断增大的网络流量,对入侵检测的实时性提出了挑战,商业产品一般都建议采用当前最好的硬件环境。我们不仅要从系统体系结构上、算法上加以改进,而且应该考虑采用硬件固化的方法来克服单纯使用软件造成的速度问题。
(5)广泛接受的术语和概念框架的缺乏。入侵检测系统的厂家基本处于各自为战的情况,标准的缺乏使得其间的互通几乎不可能。
(6)采用不恰当的自动反应所造成的风险。入侵检测系统可以很容易地与防火墙结合,当发现有攻击行为时,过滤掉所有来自攻击者的IP数据。但是不恰当的反应很容易带来新问题,如:攻击者假冒大量不同的IP进行模拟攻击,而IDS系统自动配置防火墙,将这些实际上并没有进行任何攻击的地址都过滤掉,于是形成了新的拒绝访问攻击。
(7)对IDS自身的攻击,和其他系统一样,IDS本身也存在安全漏洞。若对IDS攻击成功,则直接导致其报警失灵,入侵者在其后所作的行为将无法被记录。
二、入侵检测技术的发展方向
传统IDS随着市场的需求推动和技术自身的发展,出现了一些新的形式。从总体上讲,目前除了完善常规的、传统的技术外,入侵检测系统应重点加强与统计分析相关技术的研究。其主要发展方向可概括为下几点。
1.分析技术由统计分析、模式匹配、数据重组等技术转向协议分析和行为分析。协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再利用模式匹配和统计分析的技术来判明攻击。行为分析技术不仅简单分析单次攻击事件,而且根据前后发生的事件确认是否确有攻击发生,攻击行为是否生效。
2.部署方式从集中式向分布式智能Agent发展,具有使用分布式的方法来检测分布式的攻击的能力,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
3.检测技术从模式匹配向神经网络及数据挖掘等智能化入侵检测方向发展,特别是具有自学习能力的专家系统,实现了知识库的不断更新与扩展,使设计的入侵检测系统的防范能力不断增强,具有更广泛的应用前景。
4.响应方式从被动的告警向主动的联动和自动阻断方向发展。入侵检测发现攻击,自动发送给防火墙,防火墙加载
动态规则拦截入侵,称为联动功能,可以极大地增强网络的安全。
5.嵌入操作系统内核。由于黑客攻击的目标主要是终端部分,因此入侵检测系统最好能与操作系统内核结合起来,这样就可以从根本上确定黑客攻击系统到了什么程度。未来的入侵检测系统将会结合其他网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具。
总之,入侵检测系统能够从网络安全的立体纵深、多层次防御的角度提供安全服务,尽管在技术上仍有许多未克服的问题,但正如攻击技术不断发展一样,入侵的检测也会不断更新成熟,必将进一步受到人们的重视。
转载注明来源:https://www.xzbu.com/9/view-981524.htm