入侵检测技术，鸡肋还是机会？

引子：

一个深圳的网络安全公司，号称国内最早从事入侵检测技术研究的，前不久网页上摘录了一些海外著名IDS厂商面对记者的问答录，其中涉及了不少IDS趋势和技术瓶颈的问题，到也颇值得借鉴，不过这个公司为这个摘录做了一段妙趣横生的批注，大致是国外这么牛的IDS厂商都解决不了这些技术瓶颈，IDS概念更多是厂商为了推销产品而鼓吹的，实际效果非常可怜云云，劝说用户不要在IDS继续投入了。

其实这些批注也并非完全没有道理，确实部分厂商为追求利润，对IDS概念的过分炒做使其产品本身远远达不到宣传中所能达到的高度，也害的一些单位花了不少冤枉钱，但是就此判断这个技术就是鸡肋，不值得推广，从而作出“IDS无用论”的结论，特别是这种话居然出自于一个号称国内最早从事有关研究的公司，当真是让人啼笑莫名了。

后来终于了解，该公司从事IDS产品设计和技术研究的牛人们纷纷跳槽了，大概是这个公司自己再也做不成这个东西（在最新的各种IDS产品评测和选购指南中，他们的产品已经彻底消失了），顺便带着对那些跳槽员工的一些陈年恩怨，于是干脆搅局，让别人也不要做。

不过不管这个公司动机如何，其中的一些说法到也有很好的教育意义，至少可以看到，IDS-入侵检测技术，由于受制于一些尚未彻底解决的技术瓶颈问题，其市场能量还远远不能得到释放，目前各种各样对IDS技术发展及趋势的争议，依然无止无休。笔者这里不自量力，要把IDS技术目前面临的问题和解决途径，进行一次整理，希望给那些想要了解IDS或者有采购IDS欲望的人，一些有价值的参考。

[@more@]

基本概念

首先介绍有关入侵检测技术的一些基本概念，方便后面的文章阅读

1. 入侵检测系统—洋名叫做IDS(Intrusion Detect System)，分为两种，一种是主机入侵检测（简称HIDS），一种是网络入侵检测系统（简称NIDS），本文所提到的，如未经标注，将局限在网络入侵检测系统。网络入侵检测系统的技术基本上采用的旁路监听的方式，也就是在不干扰正常流量传输的情况下，对所有过往数据包进行监听和分析，并判断是否有攻击行为。主机入侵检测系统是安装到受保护主机上，以守护进程方式运行，并对系统的操作，网络数据传输进行监控。目前，相当多防火墙产品都嵌入了入侵检测模块，并号称具有入侵检测功能，但是对于一些高安全需求场合，依然需要专门独立的入侵检测产品，并通过与防火墙的联动部署，实施对网络安全的整体监控和有效防范，这里面提醒的一点是，由于防火墙的部署是串联在受保护主机和外部网络中间，因此对效率的要求和对数据转发处理能力的要求都格外苛刻，在这种情况下，防火墙上有太多资源消耗在入侵检测的记录和分析上，显然是不利于防火墙自身功能的效率性的，因此这也是有单独入侵检测产品存在的根本原因。

2. 联动—入侵检测产品本身仅仅是检测，而不是防护。但是一些优秀的入侵检测产品可以通过对防火墙的联动有效实施对攻击行为的阻断，也就是当入侵检测产品发现有入侵行为时，能够自动对防火墙发出指令，指挥防火墙实施某种防护策略，阻断攻击。这里提醒的是，防火墙的防护策略通常是人工一次性定义的，由于网络入侵的类型和方式更新很快，而防火墙产品本身却没有能力跟随攻击/防护技术更新，因此通过入侵检测产品动态调整防护策略就是目前最有效的防护手段了。

3. 特征识别—目前大部分入侵检测产品对入侵行为的识别依然是通过比较攻击代码中的特征字符串完成的，这一点做病毒的都清楚，目前大部分杀毒软件也是根据特征字符串判断病毒是否存在的。特征识别技术是一种比较容易实现的技术，当然也是缺点很多的技术，第一是效率问题，入侵检测产品在大量追踪网络数据的时候，由于需要对每个数据包进行大量的特征比较，所需耗费的资源可想而知，因此对于纯粹依靠特征识别的入侵检测系统，千兆网络绝对是个门槛，并不是入侵检测产品插上千兆网卡就能冒充千兆，其真正能抓取和分析的数据包流量是个硬指标。第二是误报问题，特征字符串很容易被误报，比如一篇介绍某网络攻击形式的安全文摘，很可能因为包含了这个攻击方式的特征字符串而被误报。第三是漏报问题，通过碎片技术，url encode等各种编码方式进行特征规避的手段层出不穷，单纯特征识别很容易漏过这些狡猾的攻击手段。第四是更新问题，由于网络攻击方式随时会更新和变化，特征库永远都会落在后面，这就好比以前的杀毒软件永远要等到病毒出来肆虐后才有杀毒升级包。

4. 协议解码—协议解码的意思很简单，就是将传输过来的ip数据包组装解析成为应用协议上的数据，然后再对其进行特征匹配，这样的好处有几点，第一是效率提高，虽然增加了解码步骤，但是解码后的特征比较工作就少了，比如系统有1000个攻击特征，但是基于http协议的只有100个，当完成http协议解码后，就只需要在100个特征里做判断比较，而不是1000个；第二是准确率提高，还是刚才例子，一个攻击方式可能是基于smtp 协议的，但是在http协议里传输的一篇文摘里也提到了，如果是纯粹的特征识别，就可能产生误报，但是在协议解码后进行的特征识别，就不会产生这样的匹配记录，从而减少这种误报。同理，对于一些发包工具的伪攻击（所谓的IDS Flood），协议解码也可以很好的规避其流量冲击和报警冲击。

5. 行为分析—行为分析是IDS技术的最高境界，也就是根据操作行为以及所取得的行为结果，分析其是否入侵，但是这涉及非常复杂的数学模型和人工智能问题，目前还停留在学术层面，部分优秀的商业产品对其进行了简单的引用作为辅助判断手段，但是能够纯粹依靠行为分析进行入侵检测，在NIDS领域，相当长一段时间内还不是很可能，这也是NIDS技术目前所面临的巨大瓶颈所在。基于行为判断是否存在入侵攻击，有些类似于最新的防病毒技术，也就是基于一些程序代码的行为判断是否为病毒，但是和防病毒不同的是，作为网络IDS，并不能获得主机上的行为特征信息，而只能局限在网络数据的分析上，就此，网络IDS所需要的攻击行为分析，显然还面临着巨大技术挑战。

6. 数据挖掘—在CRM，ERP以及财务软件领域，数据挖掘的概念几乎被炒烂了，没有一家公司不是声称自己采用了最强大的数据挖掘技术，其实，就笔者所见，绝大部分，特别是国内软件公司，几乎百分之百都是炒做概念，数据挖掘不等于数据统计，以数据库中某个数据字段作为作为坐标，以某个sql语句的count或者sum操作作为纵轴，画出一个二维或者三维的统计图表，然后就说，看，我们强大的数据挖掘！这是扯淡。真正的数据挖掘，其核心根本不在于如何操作数据库的关联和统计，而是一个如何搭建构造一个优秀的数学模型，能够从大量的统计数据中进行有效的二次归纳和整理，并利用近似人工智能的分析能力得出有价值的结论，而这种能力，深厚的行业经验，多年的技术积累是必不可少的，绝对不是可以凭借一些所谓的数据库技术就能够随便摆平的。

目前IDS技术也面临这个问题，如何能够在大量的报警（很可能是很多徒劳的攻击行为）信息中，与其他关联的信息进行比照和分析，进行有效的归纳总结，得出攻击者意图，攻击目的和攻击心理，并有效锁定攻击者，是IDS未来应用的重要方向之一。同时，利用数据挖掘技术，分析网络环境的脆弱性和各网络节点的脆弱性，也是一项任重道远的工作。

7. 会话跟踪和回放--对于攻击报警行为，如果管理员只看到了报警信息，恐怕很难就此断定和分析攻击者的意图和攻击具体实施情况，并且无法断定攻击者是否采取了其他非正当或者有危险的操作，甚至无法明确该报警是否是误报情况。这时候，对于一个敬业的管理员，他可能需要追踪和查看当时攻击者的所有网络通讯历史。会话跟踪和重放，就是将有关通讯的网络数据进行有效保存，并在管理员需要查看的时候，能够方便的调用并显示。通常，为了方便阅读，该会话记录应该是已经进行了TCP层的协议解码后的数据，并且应该完整记录该访问者在建立TCP连接到会话释放之间的所有数据传送内容。

会话跟踪和回访技术是个双刃剑，一方面它解决了管理员对攻击过程进行跟踪和分析的需要，另外一方面它也不可避免的带来极大的系统开销和资源损耗，对于高端的IDS来说，以丧失包获取能力来获得这一功能是不可想象的；再有就是如果一些网络管理员具有不良的网络操作嗜好，可以通过该功能对网络上正常的传输数据进行窥探，极大损害了正常网络用户的合法隐私权。因此目前会话跟踪和回访技术，在一些高端IDS 中仅仅作为可选择的功能模块，并且仅仅在发生攻击时才会完成记录工作。

8. 碎片重组技术—碎片穿透技术的兴起对于NIDS来说是一场噩梦，因为网络上数据是按照ip数据包传递的，通常每个数据包会携带1K或几K的数据，攻击特征代码可能存在于1个或几个数据包里，但是通过碎片技术，可以方便的将应用数据包切碎成非常零散的ip小包，这样一些攻击特征就会散布在大量的小数据包里，直到目的地址进行重组，然后还原成正常的数据包，执行攻击或入侵。碎片技术本身就是为了躲避防火墙和IDS的检查而诞生的，换言之就是为了防止特征匹配而进行的，为了对付这种手段，碎片重组技术应运而生。碎片重组技术本身并不复杂，就是在检测这端通过程序将碎片数据包根据包文头的标记进行重组而已，然后再用重组后的数据包进行特征匹配，但是这带来了另一个巨大的困扰，就是碎片重组所不可避免的效率损耗，是IDS迈向千兆网络的巨大瓶颈。现在，基本上主流NIDS产品都支持碎片重组，但是通常碎片重组状态下的包分析能力仅仅是非重组状态下的几分之一。因此，攻击者用碎片技术躲避IDS不成了，就可以换成用碎片技术DoS（拒绝服务攻击）IDS，如何更加有效率的防护碎片攻击，依然是一个深远的课题。

入侵检测的几个问题和解决途径

1. 检测准确度问题

检测准确度的问题不外乎两方面，漏报和误报，不再解释这两个词了，下面逐一描述问题。

漏报问题的由来

a. 流量问题

网络入侵检测产品的一个重要指标就是包获取能力，当网络数据流量超过入侵检测产品本身的包获取能力时，就会有部分数据包无法被分析，因为就可能导致错漏潜在的攻击威胁。因此对于高流量的网络环境，在选择入侵检测产品时，对其性能指标的考核就尤为重要。目前国内的IDS产品有几款已经号称达到了千兆量级，但是能够跑满千兆流量的应该还没有，针对国外一些几千兆的IDS产品（连多个千兆网卡在上面，强！）差距依然还是很大的。

b. 新安全漏洞未更新规则库

攻击技术随时更新，如果一款优秀的IDS产品不能随时更新攻击规则库，那么很短时间就会落伍，会对各种新攻击无动于衷，用户的投资将无法得到有效保护。升级能力和升级的时间间隔将是保障该产品的重要依靠。

c. 特殊隧道及后门

一些特殊的后门程序，会在一些正常的应用服务上绑定某个特殊隧道，供入侵者日后登陆和获取信息。事实上，当隧道产生时，入侵工作实际上已经完成了，网络入侵检测产品目前并不能很好检测完成入侵后所发生的非法侵入的网络通讯数据，因此，如果在部署入侵检测产品前系统已经被侵入，那么入侵检测产品可能很难起到应有的防护作用，这也提醒一些单位，不要指望部署了高级的网络安全设备就能解决一切安全问题，随时了解网络安全情况，还应该有更多的其他手段做辅助。

一些前沿的网络安全公司已经在考虑如何将网络扫描产品与入侵检测产品进行联动和数据共享，以实现对后门，隧道的识别和有效监测。另外一些智能的分析算法也有助于区别隧道数据传输和正常数据传输的差异，但是在当前阶段，这些算法依然停留在理论和实验环境里。

d. 碎片穿透

在上面的碎片重组技术已经提到了这个问题，如果不实施碎片重组，利用碎片穿透技术实施的攻击就无法被监测；如果实施碎片重组，大量的碎片就可能导致NIDS系统资源耗尽，从而丧失正常分析包的能力，让攻击包在掩护下瞒天过海。

误报问题的由来

a. IDS攻击工具

一些开放源代码的IDS检测工具，因为含有完整的攻击特征代码库，在一些别有用心的人的改造下，就变成了IDS攻击工具，通过大量发送攻击特征数据到指定网络环境，造成该网络环境的IDS产品频繁实现特征匹配从而产生大量报警信息，严重的时候导致整个IDS系统被这些报警信息淹没甚至崩溃。

从原理上说，特征匹配是基于一些特殊字符串的，攻击者只要伪造同样的特殊字符串并发送到IDS检测的网络环境里，就可能造成IDS报警，即便这个字符串并没有真正实施攻击。攻击者进行这样的行为通常是迷惑和阻塞IDS，从而让真正的攻击行为得到掩护并实现瞒天过海的目的，管理员面对大量报警会无所适从，并很可能因此忽略真正的攻击报警。

通常，有效的协议解码能够部分防止这类攻击的发生，另外，行为模式分析也能够杜绝这个现象，但是限于算法技术问题，行为模式分析目前并不成熟。

b. 特征匹配的不合理特性

基于特征匹配的入侵检测，会因为一些特殊网络数据包的字符串触发报警，即便对方并非蓄意伪造，但是也存在一些正常数据传输恰好包含了某段攻击代码特征的情况，这种情况在管理员对TCP会话进行跟踪和回访的时候，很容易识别，而且一般属于个别现象，通常有经验的管理员能够分辨。

协议解码依然可以有效的减少这一误报的发生概率，但是更关键的解决瓶颈依然是行为模式分析的可行性。

c. 一些正常网络操作被误报

一些具有一定技术的工程师，日常可能会进行一些网络拓扑的追溯工作，或者端口扫描操作，比如traceroute操作，比如nmap操作，这些操作并非一定是恶意，但是一般的入侵检测系统都会作出低风险警报，通常管理员需要简单判别一下，该操作的发起者是否有后续危险操作，是否是内部的网络管理员正在进行日常维护等等。当然，好的IDS系统也会让管理员指定一些过滤策略，使从特定来源（比如内部网络管理人员）的这种低风险正常网络操作不再报警，从而减少安全管理员的日常工作强度。

总结：

入侵检测产品，如果检测准确度不能达到满意效果，漏报与误报问题不能有效解决，那么其他任何方面的成就也就不值一提了。从理论上分析，如果行为分析的数学模型和算法能够达到真正商业化的要求，应该是解决这一问题最好的方法。但是至少对于NIDS，目前还显得过于遥远。

现在几种比较好的解决途径，一是IDS应该在特征匹配前完成清晰的协议解码，二是IDS应该有一些针对性的策略，包括提高报文处理效率，增加数据包的获取和检测能力；包括提供高效率的碎片重组算法；包括为一些正常操作提供可选的报警过滤通道；包括为管理者提供必要的会话跟踪回访以协助管理员对报警行为的识别能力；另外值得一提的是多种安全产品的数据共享和协同分析更有助于检测的准确性，主机入侵检测产品和网络入侵检测产品本身就具有很好的互补性，同时如果能够再结合漏洞扫描系统的扫描报告数据，多方数据进行综合比较和分析，就能够对入侵行为有整体的把握，并能真正有效识别攻击。据悉，目前确实有国内安全厂商正在从事有关多种安全产品数据整合，集中分析的研究，希望这种技术能够为IDS检测不尽精确的尴尬提供有效的解决。

2. 检测范畴问题

a.是否对企业实际关注的安全问题能够得到控制

入侵检测产品，从传统意义上说，所检测的范畴是指通常的，流行的网络攻击行为，对于安全厂商，他们也只能对那些针对流行的应用系统，操作系统的攻击行为进行研究和防护，不可能面向各个具体而专业的企业信息化应用中去。

在实际应用过程中发现，企业的信息安全绝对不是那些流行攻防所能涵盖的，一些传统意义上不算攻击入侵的行为确是企业关注的重点，比如内网中的机密文件是否外泄（也许是作为邮件的附件）；比如是否有员工正在浏览和下载受限制的内容（色情或反动）等等。

一个安全厂商，不可能针对每个企业去定制监测程序，但是一个优秀的入侵检测产品，却可以作到定制新的检测策略，通过用户可定义的检测特征，将一些企业实际关心的问题体现到入侵检测的规则中去，确保企业所关心的信息，不会轻易的被别人获取或者流失。也就是说，一个良好的IDS产品，在内容过滤方面也应该是有所作为的。

当然这里又涉及了一个问题，就是目前所能作到的可定义检测特征还停留在字符串比较的层面上，对于加密传输的信息依然没有办法进行甄别，另外对于一些二进制的文件或影音以及图象文件，也无法作到有效的识别和验证，因此信息安全防护，单纯依靠网络入侵检测基本上是不够的。主机入侵检测通常更加容易实现和强化这一工作，但是主机入侵检测系统又无法跟踪和检测一些桌面办公电脑上的非法数据传输问题。因此面向企业提供有针对性的安全数据传输检测，依然还是一个很难完全有效解决的工作。

b.是否能够对内网事件进行有效监控

内网监控是最近新提出的一种网络入侵检测的发展趋势，对于一些“保守派”而言，他们不十分赞同在传统的网络入侵检测产品里增加一些技术实现不相关的模块，但是对于企业实际的运营而言，对内网异常事件的有效监控也是非常必要的。

内网异常事件通常有如下几种：

1. 内网拨号 –一些企业很担心局域网内有用户正在对外拨号，比如一些木马工具会自动执行拨号程序，有时候企业担心内部用户对外拨号到不一定是为了费用或者控制上网考虑，而是如果有人通过拨号网络侵入该用户电脑，并以此为跳板攻击核心服务器的话，可能整个企业局域网的安全防护体系行同虚设。对于一些企业，带笔记本上网，为了获取或传送重要资料，而内网带宽又被占满的时候，一着急就拨号的人的确大有人在，对这一行为的监控也就有着其实在的需求。

2. 内网主机异常开停机 –核心数据服务器在半夜三点突然停机重起，一台用户电脑在凌晨两点突然被打开，对于企业来说，这意味着什么？通常这些行为不会被入侵检测系统识别，因为这本身也不是传统入侵检测所涵盖的范畴，但是这些行为往往隐含着不可告人的原因，比如也许核心数据服务器被装载了木马，半夜受人控制执行了某些操作；比如某员工半夜到公司传递和搜集公司机密文档，关注这些异常主机操作，往往是挖出内部安全问题的关键。

3. Mac地址与IP 对应的异常变动—通常，除了管理员在组建和配置局域网络时候对这些进行调配外，通常普通使用者不会去碰这些东西，发生这一现象，如果是在未经企业的网络管理员允许和知情的情况下，那么就很有可能是该用户执行某种会话劫持的操作，以该方式劫持别人的网络通讯并伪造别人的身份。这样就可能导致公司机密文件泄露以及非法权限的获取。

总结，对于企业而言，选购IDS 产品的时候，不要单方面被厂商的宣传所诱导，更应该关注自己企业的实际需要，一般，那些具有良好定制能力的产品可以更好满足企业信息化中实际产生的非通用安全隐患问题，但是限于检测技术所能达到的境界，通过单一的入侵检测产品彻底保障企业信息安全，是不现实的。

3.防护途径问题

对于主机入侵检测产品，可以实现的防护途径非常多，包括屏蔽和注销当前发生攻击行为用户帐号，包括中断当前网络连接，包括执行特殊指定命令等，对于网络入侵检测产品，就做不到这些面向主机的具体操作了，通常，网络入侵检测产品是依靠如下方式实施有效防护的。

a. 联动防火墙，实施阻断—通过对防火墙的联动，利用防火墙对该攻击ip 进行阻断

b. 发送RST报文，主动阻断—对受攻击目标或攻击来源发送RST数据包，强行中断该连接。

c. 多种报警手段—提供各种报警提醒方式，包括电子邮件甚至短消息，依靠管理员人工力量进行防护干预。

总结：

入侵检测产品，如果起不到保护作用，对网络安全的贡献也就大打折扣了，通常所建议的标准方式还是防火墙联动，目前大部分IDS产品都宣称支持防火墙联动，但是请关注到底支持几种防火墙的联动，很多IDS都是只支持本厂商同品牌的IDS，选择这个就意味着整个安全体系的框架要完全搭建在一个安全厂商身上，一些优秀的IDS产品可以支持多种主流防火墙联动，这样就有利于企业在搭建网络防护体系时有更充分的选择空间。

4.管理性问题

好的IDS产品，应该能够为不同层面的管理者（包括网络安全的专职管理员，企业信息部门的负责人以及企业领导多重角色）提供不同的报表和统计分析数据，并能为有效防护各种攻击提供周到严谨的。

a. 能否提供足够直观的管理界面

作为一个技术产品，IDS的管理界面却不能太过偏重技术化，功能模块划分清楚，操作布局分布合理，警告提醒清晰明了，统计图表分类科学都是必不可少的要求。

b. 能否提供足够清晰的报表

对于优秀的IDS产品，在提供准确的报警同时，应该对报警内容所涉及的攻击途径有清晰完整的报告，并能有效协助管理员进行防范和采取对策，一个清晰的攻击报表应该包括如下内容：完整的攻击原理介绍，详细的防护手段介绍，相关补丁的下载连接，厂商和各大安全站点对问题描述的连接，攻击可能导致的威胁和严重程度的评估，可能导致误报的原因和人工识别攻击真伪的途径，相关联的攻击行为和危险操作的连接。更重要的是，这些报表应该完全是中文的，并且应该是由安全专家真正有效整理的。目前国内一些IDS厂商提供的有关报表虽然详尽，但是完全是从国外安全站点直接摘抄的，全部英文专业术语，不利于国内企业网络管理人员的阅读和分析，好一些的用专业的英语翻译对这些资料进行了翻译整理，但是限于技能，这些翻译后的资料往往显得生硬，而且一些技术术语的描述十分勉强。

c. 能否提供足够方便的定制能力

前文说到企业信息安全的一些侧重点往往并不被通用的攻防策略所涵盖，在这个前提下一些定制策略是很必要的，除此之外，对于不同网络环境，不同防护目标和防护需求，选择不同的防护策略并进行相应配置是非常必要的，如何能方便定义所需要的策略和防护途径，选择适合特定网络环境的检测和防护手段，是入侵检测产品能够真正发挥有效作用的关键。

d. 能否提供足够方便的外延能力

前文多次提到，单纯的入侵检测产品，确实很难有效保障企业的信息安全，也无法保障所有数据检测的真实可靠性，因此多种安全产品的相互协调和数据共享，联合分析就显得尤为必要。实际上网络安全作为一个整体概念，并不能单纯依靠简单的安全产品堆砌来实现，而是基于一种正确的安全管理思想，在这种思想下有效整合各种安全产品，才能更有效的实现真正意义的安全防护，所谓的“IDS无用论”可以理解为，单纯的使用IDS产品，确实是对网络安全无甚大用的。

目前的IDS产品外延能力还局限在防火墙联动上，一些前沿的安全公司正在努力进行将各种安全产品数据共享和组合分析的可能性，但目前在这个领域成熟的商业产品尚未出现，不过可以肯定的是，如果能够提供可靠的外延拓展能力，未来发展的空间和适应的领域将会更广阔。

总结：一个入侵检测产品，仅仅能提供正确的检测，显然是不足以有效帮助管理员完成防护工作，因此具有良好的管理操作平台是必须的，目前对于这一领域而言，最值得关注的技术动向是外延能力，这一方面如果不能取得更实质的技术突破，如果IDS还是在安全防护方面孤军作战，限于IDS所处的地位和所不可避免的一些技术局限，“IDS无用论”的说法就会继续延续，甚至难以反驳。而只有在安全管理思想支配下，有效整合各种安全产品的数据，并作出统一处理和分析，IDS的价值才会真正得到充分的发挥。

5.自身安全性问题

IDS作为软件产品（包括以硬件为载体形式的），也要依靠于操作系统，网络通讯来工作，因此也会面临各种各样的攻击，通常，针对IDS可能的安全问题有如下几类

a. 针对安全漏洞的攻击

IDS产品也会有安全漏洞，任何软件产品都可能存在安全漏洞，就此IDS产品也不能免俗，但是通常从事IDS产品研发的公司都是安全企业，一般在产品代码安全审计方面颇具经验，因此这种问题的概率还是比其他通用软件要小一些。目前一些知名的IDS厂商产品的安全漏洞也被公布和发现，作为采购者，也应当及时跟踪有关安全动态，并敦促有关厂商提供最新的升级服务。

b. 流量攻击

IDS Flood技术已经非常成熟，一种是通过发包工具，按照snort（国际上最有名的开放源代码的IDS产品）的规则库发送大量含有攻击特征代码的数据包，从而造成IDS产生海量误报信息，从而淹没IDS报警窗口，是目前非常流行的一种手段，良好的IDS产品是可以防止这一行为的；但是对于基于碎片的海量流量冲击，通过纯数据流量压垮IDS的数据处理能力，或者更直接的直接DoS IDS所在的操作系统，目前依然没有特别好的处理途径， IDS通常可以通过联动防火墙来阻断这种攻击，不过防火墙对这类攻击的防护能力，依然是有限的。流量问题，是宽带网络普及后难以避免的娠痛。

c. 数据截获和会话劫持

分布式IDS的兴起，极大的增强了网络管理员对IDS实施有效部署和统一管理的能力，但是所带来的额外问题是，一些管理控制数据将在网络内传输，也就是存在着被窥探，甚至被劫持的可能性。优秀的IDS产品目前已经可以轻易解决这一问题，数据的加密传输，和有效的数据验证手段，可以有效防止这种威胁的存在。

d. 越权或非法操作

IDS终究需要人来管理，如果管理IDS的人出了问题，那IDS也就很难发挥其作用了，目前针对性的策略是对管理者操作管理的有效记录，并能随时被最高层的管理人员调阅分析，同时严格的权限划分也可以将这一威胁极大减小。不过，根治这一隐患的途径，依然还是对人的管理。

总结

IDS产品作为安全类产品，其自身的安全问题也是非常重要的，虽然目前并不属于IDS技术发展的主流方向，但是任何忽视自身安全的IDS产品，显然是不值得信任的。

全文总结

IDS技术目前还存在一些不成熟，不严谨的方面，一些技术瓶颈大约两三年内还不可能达到有效解决。这也是所谓IDS无用论说法的主要依据。

但是作为网络管理者，你不可能等两三年后再去解决网络安全问题，这也是IDS市场仍然在持续发展的根本原因，因为网络安全的威胁随时存在，必须随时面对和处理，黑客不会仁慈到等IDS技术成熟了再去向网络发难。目前一些IDS所暴露的问题，一方面是部分安全厂商不负责任的对产品进行吹捧和夸大，另外也是一些企业和机关单位居然轻信了这些吹捧夸大的文字，错误的相信了IDS单一产品所带来的防护效果，从而导致了一些安全问题。实际上，正确理解IDS，就是需要正确认识到，安全绝对不是安全产品堆砌所能实现的，良好的安全管理思想，合理的安全规范，正确的安全架构，以及聘请专业的安全服务，并辅助以优秀的安全产品，才能够维护真正有效的安全。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/7406370/viewspace-913927/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/7406370/viewspace-913927/