在過去的20年里，網(wǎng)絡(luò)技術(shù)在不斷發(fā)展，攻擊者水平在不斷提高，攻擊工具與攻擊手法日趨復(fù)雜多樣，特別是以黑客為代表的攻擊者對網(wǎng)絡(luò)的威脅日益突出，他們正不遺余力地與所有安全產(chǎn)品進行著斗爭。攻擊技術(shù)和手段的不斷發(fā)展促使IDS等網(wǎng)絡(luò)安全產(chǎn)品不斷更新?lián)Q代，使得IDS產(chǎn)品從一個簡單機械的產(chǎn)品發(fā)展成為智能化的產(chǎn)品。

雖然這種智能化產(chǎn)品被相當廣泛的企業(yè)用戶所認可，但在實際應(yīng)用中，卻存在各種各樣的實際難點和問題有待解決。本文詳細分析了IDS在應(yīng)用中的四大難點問題，希望對企業(yè)用戶所有幫助。

IDS應(yīng)用難點之一：如何解決誤報率問題？
　
誤報率一直是IDS產(chǎn)品的技術(shù)難點之一。很多公司都有各自不同的解決方法。
　
賽門鐵克的解決辦法有兩種：一是對IDS產(chǎn)品的應(yīng)用范圍（如作業(yè)平臺）事先作一個分類。比如面向一個只有Windows平臺的企業(yè)網(wǎng)絡(luò)，則IDS包含的針對Unix平臺攻擊的檢測特征功能就可以忽略，從而避免誤報。二是從根源上解決問題，即通過互補產(chǎn)品來減少IDS的誤報。賽門鐵克已有的風險管理產(chǎn)品，就可以首先幫助企業(yè)查出漏洞所在，對易遭受攻擊的弱點究根尋源，然后企業(yè)在堵住這些漏洞的前提下，應(yīng)用IDS，其誤報率會大大減少。

東軟認為，IDS的漏報和誤報是一對矛盾體，其產(chǎn)品NetEye IDS可以在理解網(wǎng)絡(luò)協(xié)議的基礎(chǔ)上，對網(wǎng)絡(luò)數(shù)據(jù)進行重組，并提供應(yīng)用協(xié)議的內(nèi)容恢復(fù)功能，對網(wǎng)絡(luò)上發(fā)生的應(yīng)用進行恢復(fù)和重放，不但檢測攻擊事件，還重現(xiàn)攻擊的過程。這樣，它不僅可以發(fā)現(xiàn)外部攻擊，還可以發(fā)現(xiàn)內(nèi)部用戶的惡意行為。通過內(nèi)容恢復(fù)，管理員可以準確了解攻擊是否發(fā)生，有效地減少了誤報。

上海金諾公司的金諾網(wǎng)安入侵檢測系統(tǒng)KIDS，采用安全策略優(yōu)化、事件合并、事件關(guān)聯(lián)和多種檢測技術(shù)相結(jié)合等方法，來解決誤報率問題。金諾網(wǎng)安KIDS采用了金諾公司新一代智能的檢測技術(shù)，以基于包特征的檢測技術(shù)為主體，充分結(jié)合協(xié)議狀態(tài)分析、流量異常檢測等技術(shù)，在保證檢測到已知的最新攻擊行為的前提下，及時發(fā)現(xiàn)一些未知的非法入侵行為，從而確保檢測的準確性和廣泛性。另外，KIDS也利用了TCP流重組和IP碎片重組等常見的技術(shù)，這些技術(shù)都可以有效降低系統(tǒng)的誤報和漏報。

如何降低端口掃描的漏報率和誤報率？早期IDS采用的方法是定義一個時間段，在這個時間段內(nèi)如發(fā)現(xiàn)了超過某一預(yù)訂值的連接次數(shù)，就認為是端口掃描。這種做法的缺點是，如果掃描的時間超過了定義的時間段，但掃描的端口少于預(yù)訂的連接次數(shù)，那么這種掃描將不能識別。若對采集到的長期數(shù)據(jù)進行分析，這樣一些非常緩慢的掃描也逃不過IDS的監(jiān)測。這種解決方法在東方龍馬入侵偵測系統(tǒng)中有些體現(xiàn)。

IDS應(yīng)用難點之二：怎樣判斷檢測速度？

IDS的檢測速度，是影響NIDS的技術(shù)難題。為了實時對網(wǎng)絡(luò)進行入侵偵測，每個基于NIDS的吞吐量是一定的，普通的IDS產(chǎn)品或許可以應(yīng)付一般規(guī)模的企業(yè)檢測要求，但對于電信級大型企業(yè)則有困難。這方面，賽門鐵克建議，如果企業(yè)財力允許，可以考慮在網(wǎng)絡(luò)內(nèi)同時安裝幾套IDS，各自分別負責檢測一部分，這樣就可以解決檢測速度吞吐量不夠的問題。另外，可以考慮在覆蓋企業(yè)網(wǎng)絡(luò)終端的防病毒工具上做足文章。防病毒工具中集成一些IDS的功能，讓IDS在網(wǎng)絡(luò)內(nèi)的每臺PC上實現(xiàn)，以此來解決檢測速度的問題。目前賽門鐵克正在做這方面的工作。

東軟的NetEye IDS提高檢測速度的方法是，在操作系統(tǒng)的內(nèi)核級別進行數(shù)據(jù)重組，對收取數(shù)據(jù)的驅(qū)動進行大量的優(yōu)化，減少了系統(tǒng)內(nèi)核到用戶空間的數(shù)據(jù)拷貝，提高了系統(tǒng)的性能。NetEye IDS是軟硬一體的系統(tǒng)結(jié)構(gòu)，選取高性能的專用硬件，并通過大量測試，保證了硬件性能的最優(yōu)化，通過選擇專用的數(shù)據(jù)庫，進行高效的索引，不但減輕了用戶的管理負擔，更極大地提高了存儲效率。

上海金諾在解決檢測速度問題上，首先是將系統(tǒng)的硬件平臺進行優(yōu)化，使硬件性能達到最佳，然后是利用一些先進的技術(shù)，如高性能的網(wǎng)絡(luò)數(shù)據(jù)包處理技術(shù)（包括金諾網(wǎng)安獨有的零拷貝技術(shù)、零系統(tǒng)調(diào)用技術(shù)等）、高性能協(xié)議分析技術(shù)（包括基于協(xié)議狀態(tài)的檢測技術(shù)）和基于預(yù)分析的檢測技術(shù)等。

IDS應(yīng)用難點之三：HIDS和NIDS，哪一個更好？

賽門鐵克認為，NIDS只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡(luò)包，在使用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限。HIDS系統(tǒng)則可以檢測多種網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)包。NIDS系統(tǒng)為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn)一些復(fù)雜的需要大量計算與分析時間的攻擊檢測。而這方面正是HIDS的強項。NIDS系統(tǒng)中的傳感器協(xié)同工作能力較弱，同時系統(tǒng)處理加密的會話過程較困難，而對于HIDS則沒有這一障礙。另一方面，由于HIDS系統(tǒng)在反應(yīng)的時間上依賴于定期檢測的時間間隔，反應(yīng)較慢，而且其檢測實時性也沒有基于網(wǎng)絡(luò)的IDS系統(tǒng)好。

鑒于此，賽門鐵克建議，在實施NIDS系統(tǒng)的同時，在特定的敏感主機上增加代理是一個比較完善的策略。因為，HIDS與NIDS并行可以做到優(yōu)勢互補。網(wǎng)絡(luò)部分提供早期警告，而基于主機的部分可提供攻擊成功與否的情況分析與確認。

盡管HIDS準確度較高，但缺點是不同的系統(tǒng)需要不同的引擎。系統(tǒng)的升級時，需要升級引擎，安裝和維護不方便，同時無法發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊事件。而基于網(wǎng)絡(luò)的IDS安裝調(diào)試簡單，不需在系統(tǒng)上安裝任何軟件，需要的引擎數(shù)少，可最早發(fā)現(xiàn)網(wǎng)絡(luò)上的攻擊，隱蔽性也更好。NIDS的缺點是準確度較低，同時隨著網(wǎng)絡(luò)流量的增大，處理峰值流量的難度加大。
　
目前，市場上基于HIDS的產(chǎn)品較少，僅有賽門鐵克的Intruder Alert。NIDS產(chǎn)品有許多，像東軟、瑞星、東方龍馬等公司都提供NIDS產(chǎn)品。此外，有些公司還推出了將HIDS和NIDS融合在一起的產(chǎn)品。目前金諾網(wǎng)安具有擁有自主知識產(chǎn)權(quán)的入侵檢測系統(tǒng)——KIDS，它是一種綜合的網(wǎng)絡(luò)入侵檢測系統(tǒng)，分別可以保護重要網(wǎng)段和關(guān)鍵的主機，真正可以為企業(yè)單位提供一種有效的安全防護系統(tǒng)。?

IDS應(yīng)用難點之四：如何選擇一個理想的IDS？

談到網(wǎng)絡(luò)安全，人們首先想到的就是防病毒和防火墻。因為它門可以保護處于防火墻身后的網(wǎng)絡(luò)不受外界的侵襲和干擾。

目前，IDS的普及率明顯不如防病毒、防火墻產(chǎn)品的應(yīng)用比例高。

信息安全廠商首先要從觀念上教育我們的用戶，針對網(wǎng)絡(luò)威脅的增加，及時地提供實時主動防護產(chǎn)品IDS；另一方面，利用廠商的技術(shù)與產(chǎn)品優(yōu)勢不斷滿足用戶的關(guān)鍵需求。

如何選擇合適的IDS產(chǎn)品？用戶除了考慮誤報率與檢測速度這兩個重要的參考指標之外，還需要用戶從HIDS和NIDS各自的優(yōu)缺點作互補性考慮后，才能做出妥當?shù)倪x擇，并且用戶要提高在安全服務(wù)委托外包上的認識水平。用戶可以通過考慮以下要素，來選擇一個理想的IDS。

1. 攻擊檢測的規(guī)則庫的大小和檢測的準確程度；
2. 是否有內(nèi)容恢復(fù)功能；
3. 是否有完整網(wǎng)絡(luò)審計、網(wǎng)絡(luò)事件記錄和全面的網(wǎng)絡(luò)信息收集功能；
4. 產(chǎn)品的性能如何；
5. 是否集成網(wǎng)絡(luò)分析和管理的輔助工具，如掃描器、嗅探器等；
6. 是否自帶數(shù)據(jù)庫，不需第三方數(shù)據(jù)源，數(shù)據(jù)是否可自動維護；
7. 管理維護是否足夠簡潔；
8. 互操作性如何，是否可和防火墻聯(lián)動；
9. 自身安全性和隱蔽性如何；
10. 可升級性如何。
在用戶決定購買IDS之前，建議用戶應(yīng)充分了解當前網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，了解以下關(guān)鍵問題：
1. 目前使用的交換機是否支持監(jiān)聽，支持的程度是怎樣的？
2. 用IDS產(chǎn)品，主要想保護的資源是什么？主要防范外網(wǎng)黑客攻擊還是內(nèi)網(wǎng)惡意用戶？
3. IDS產(chǎn)生的事件記錄是否有管理員查看和處理檢測到的攻擊和異常事件？

為了提高IDS的響應(yīng)能力，目前國外比較成熟的做法是，用戶將這項工作委托給其它專業(yè)的安全服務(wù)商。在國內(nèi)還有一個對外包服務(wù)商的信任認知過程，而且要確保有一個與外界網(wǎng)絡(luò)聯(lián)系的實時暢通的渠道。因此，安全服務(wù)委托外包的方式，在國內(nèi)還需時日。