入侵检测系统的未来发展

1. 入侵检测系统的未来发展

7.1分布式入侵检测

网络交换以及数据信道加密等技术的发展与应用，使得基于主机和网络的入侵检测技术已无法满足当前复杂的攻击，为了解决二者的不足，分布式入侵检测应运而生。基于不同技术的分布式入侵检测是入侵检测的未来发展方向。

7.2智能化入侵检测

智能化方法，现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等，这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统，实现了知识库的不断更新与扩展，使设计的入侵检测系统防范能力不断增强，应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的也已经有了尝试。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。

7.3应用层入侵检测

目前的入侵检测系统仅能检测通用协议，而不能处理如Lotus Notes、数据库系统等其他的应用系统，将来应用层入侵检测技术是研发的重点之一。

7.4.高速网络的入侵检测

在入侵检测系统中，截获网络的每一个数据包，并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源，随着百兆、千兆甚至万兆网络的大量应用，需要研究高速网络的入侵检测。

7.5入侵检测系统的标准化

目前入侵检测系统的协同处理能力差，入侵检测系统由管理中心和数据检测引擎组成，组成部件各司其职，分工明确，但是彼此间的沟通与协调不够，对未来数据实时处理的要求力不从心。例如，漏洞扫描程序例行的试探攻击就不应该触发入侵检测系统的报警；而利用伪造的源地址进行攻击，就可能联动防火墙关闭服务从而导致拒绝服务，这也是互动系统需要考虑的问题。所以应关注开发具备协同机制的入侵检测系统，以使入侵检测充分考虑攻击行为的特征和网络安全的整体性和动态性，以提高检测能力和网络系统的整体防护能力。

7.6与其他网络安全相结合的入侵检测技术

目前，信息安全受到前所未有的挑战，保证信息技术安全，绝不是靠单纯的数据加密技术、身份认证技术、防火墙技术等，而是把它们综合起来应用，互相推动发展。入侵检测技术作为网络安全技术中的重要技术之一，应该融入到整体防御体系之中，与其他安全设备协同工作。理想的情况是建立一个相关安全产品能够互相通信并协同工作的安全体系，实现防火墙、入侵检测、病毒防护和审计的互通，以实现整体的安全防护。

7.7自动响应机制的入侵检测系统

响应是入侵检测系统必备的功能部件，最简单的入侵响应方式是入侵事件通知，即当检测到入侵行为发生时，入侵检测系统通过报警或发E-mail来提醒管理人员做出及时处理。目前基于自动响应的入侵检测系统多采用终端连接、复位等方式来单纯切断攻击链路，并没有更进一步的措施与反制手段。不过采用自动响应手段来反击攻击者，通常是危险的，并且行为也涉及法律是否允许的问题。

7.8入侵检测系统的自身保护

目前，入侵者为了躲避入侵检测系统的检测，先会采用各种方式、各种途径攻击入侵检测系统，使其不能正常工作。因此，入侵检测系统面临自身安全性的挑战。