阅读网文"IDS的六大问题"

六大问题

我们不得不承认，IDS是一种很好的安全防护手段，但它绝不是尽善尽美的，它也有很多自身的限制。（任何技术多是存在缺陷的，问题是贡献与缺陷的比例）在实时监视网络活动时，可能会有一些情况虽已发现，但是采取措施却为时已晚。(毕竟在算法，实时方面要实现非常困难，要体现网络的高速与安全也许就是难以兼得)

    IDS有如此重大的作用，但在国内的应用远远谈不到普及（也许此文的作者孤陋寡闻，在国内IDS得到广泛的应用，有单独提供，有集成于网络防火墙），这一方面是由于用户的认知程度较低，另一方面是由于入侵检测是一门比较新的技术（IDS的系统架构基本成熟，所谓的新要体现在不断升级的网络环境上，要体现在监测分析算法上），还存在一些技术上的困难，不是所有厂商都有研发入侵检测产品的实力（该技术领域进入的困难已经比较小，市场已经基本融合了能够生存的集体，最好不要盲目杀入此领域，一般选择进入该领域，会采用基于网络的IDS简单系统，然后作算法创新，提出更强的实时性. ）。目前的入侵检测产品大多存在如下一些问题。

    误报和漏报的矛盾

    入侵检测系统对网络上所有的数据进行分析（这个描述的是网络IDS，非主机IDS），如果攻击者对系统进行攻击尝试，而系统相应服务开放，只是漏洞已经修补，那么，这一次攻击是否需要报警，就是一个需要管理员判断的问题（关系到安全限制）。因为这也代表了一种攻击的企图。但大量的报警事件会分散管理员的精力，反而无法对真正的攻击作出反应。和误报相对应的是漏报，随着攻击的方法不断更新，入侵检测系统是否能报出网络中所有的攻击也是一个问题（作为一个被动升级的防御，IDS是检测系统，强调防守，非主动出击，对应的解决方案就是不断及时地更新规则库）。

    隐私和安全的矛盾

    入侵检测系统可以收到网络的所有数据，同时可以对其进行分析和记录，这对网络安全极其重要，但难免对用户的隐私构成一定威胁，这就要看具体的入侵检测产品是否能提供相应功能，以供管理员进行取舍。
（安全与隐私也好比上面讨论的网络速度与实时，无论是微软还是Google，他们在技术改进的时候，也同样被关注隐私的用户不断谴责，最终，技术还是进步的！）
    被动分析与主动发现的矛盾

    入侵检测系统是采取被动监听的方式发现网络问题，无法主动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的难题。
    主动发现，要求智能化非常强，何况如此一来，总有漏网之鱼啊，防守与出击，谁是谁非，难以取舍，没有必要过分强求。
    海量信息与分析代价的矛盾

    随着网络数据流量的不断增长，入侵检测产品能否高效处理网络中的数据也是衡量入侵检测产品的重要依据。
海量是相对的，分析的速度是绝对的，每秒分析流量多少Bit
    功能性和可管理性的矛盾

    随着入侵检测产品功能的增加，能否在功能增加的同时，不增大管理的难度？例如，入侵检测系统的所有信息都储存在数据库中，此数据库能否自动维护和备份而不需管理员的干预？另外,入侵检测系统自身安全性如何？是否易于部署？采用何种报警方式？也都是需要考虑的因素。
设计软件的用户特性，包括可扩展性，可维护性，安全性（IDS自身的安全性），有很多的文章描述如何逃避IDS，包括使用Http头文件修改等方法。
    单一产品与复杂网络应用的矛盾

    入侵检测产品最初的目的是为了检测网络的攻击。但仅仅检测网络中的攻击远远无法满足目前复杂的网络应用需求。通常，管理员难以分清网路问题：是由于攻击引起还是网络故障引起？入侵检测检测出的攻击事件又如何处理，可否和目前网络中的其他安全产品进行配合？