当年,Gartner预测说:“IDS已死。”时至今日,IDS正在走一条缓慢的翻身之路。
入侵检测系统(IDS)主要通过模式匹配技术将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。还有一些IDS中应用了异常检测技术,异常检测首先给系统对象创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。异常检测技术在实用中会产生误报率大的问题,而且很难定义不同网络环境中的正常流量。就目前而言,模式匹配技术仍然是大多成熟商用IDS使用的主要技术。
IDS是网络安全界的代表产品之一,但是IDS在国内更多的是表现为一种形式化的作用,真正发挥作用的很少。在国内,IDS的购买群主要集中在政府特殊部门和专有行业,普通用户一般不会考虑使用IDS设备。正是由于国内IDS用户的特殊性,导致了IDS设备的利润相比其他网络安全产品(例如防火墙)高许多,这也是促使安全厂商都愿意推出IDS的主要原因之一。
但是实际上,在使用IDS的过程中存在很多问题,主要表现在:
1.防范效果不明显。虽然加装了IDS设备,但是仍然会发生数据失窃、主机被控之类的攻击。造成这个结果的根本原因就是基于模式匹配的IDS通过预先定义攻击特征集合,来判断网络数据中是否带有符合攻击特征的数据,而对于最新出现的攻击,如果厂家没有及时发布针对最新攻击的特征规则,或者厂商发布了,而IDS用户没有及时升级攻击特征库,那么IDS就不能检测出特征库中没有的新攻击行为。
2.误报过多。使用IDS以后,攻击日志会出现很多,而网络管理员花了大量时间查找原因,却可能是没有任何攻击。这些误报逐渐导致网络管理员不再关心IDS的报告。
3.性能瓶颈。由于IDS采用的是深包检测技术,对网络中每个数据报文做详细的模式匹配,处理速度会小于网络中其他数据转发设备。而来不及处理到的数据报文如果恰好是包含了攻击数据,就不能检测出来。
正是由于上面的原因,IDS一直没有成为网络安全的主流产品。在大多数情况下,IDS是作为防火墙的一个补充设备存在的。防火墙的状态检测可以阻止绝大多数的外部网络对内部网络的访问,对于必须向外部网络提供服务的网络协议来说,如FTP、HTTP、Telnet等就需要依靠IDS来进行检测。而目前出现的应用防火墙技术,可以有效的阻止防火墙发现不了的针对应用层的攻击。比如Web应用防火墙,可以有效的阻止针对HTTP协议的所有攻击,而SQL应用防火墙,可以保护SQL数据库应用。但是,针对很多协议,由于仍然没有专门为之定制的应用防火墙,针对这些协议的漏洞和攻击,就需要IDS来保护。
