1.入侵检测产品发展现状

入侵检测系统(Intrusion Detect System)，目前基本上分为以下两种：主机入侵检测系统(HIDS)；网络入侵检测系统(NIDS)。主机入 侵检测系统分析对象为主机审计日志，所以需 要在主机上安装软件，针对不同的系统、不同的版本需安装不同的主机引擎，安装配置较为复杂，同时对系统的运行和稳定性造成影响，目前在国内应用较少。网络入侵监测分析对象为网络数据流，只需安装在网络的监听端口上，对网络的运行无任何影响，目前国内使用较为广泛。本文分析的为目前使用广泛的网络入侵监测系统。

 

2.为什么需要入侵检测系统？

 

目前在网络安全方面，国内的用户对防火墙已经有了很高的认知程度，而对入侵检测系统的作用大多不是非常了解。防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起访问控制的作用，是网络安全的第一道闸门。优秀的防火墙甚至对高层的应用协议进行动态分析，保护进出数据应用层的安全。但防火墙的功能也有局限性。防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。

　　

同时,由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能．如果把放火防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。不但可以发现从外部的攻击，也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门，是防火墙的必要补充，构成完整的网络安全解决方案。

 

3. 入侵检测系统目前存在的问题

　

入侵检测系统有如此重大的作用，但在国内的应用远远谈不到普及，一方面是由于用户的认知程度较底，另一方面是由于入侵检测是一门比较新的技术，还存在一些技术上的困难，不是所有厂商都有研发入侵检测产品的实力。目前的入侵检测产品大多存在这样一些问题：

 

(1). 误报和漏报的矛盾

 

入侵检测系统对网络上所有的数据进行分析，如果攻击者对系统进行攻击尝试，而系统相应服务开放，只是漏洞已经修补，那么这一次攻击是否需要报警，这就是一个需要管理员判断的问题。因为这也代表了一种攻击的企图。但大量的报警事件会分散管理员的精力，反而无法对真正的攻击作出反映。和误报相对应的是漏报，随着攻击的方法不断更新，入侵检测系统是否能报出网络中所有的攻击也是一个问题。

 

(2). 隐私和安全的矛盾

 

入侵检测系统可以收到网路的所有数据，同时可以对其进行分析和记录，这对网络安极其重要，但难免对用户的隐私构成一定风险，这就要看具体的入侵检测产品是否能提供相应功能以供管理员进行取舍。

 

(3). 被动分析与主动发现的矛盾

 

入侵检测系统是采取被动监听的方式发现网络问题，无法主动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的问题。

 

(4). 海量信息与分析代价的矛盾

 

随着网路数据流量的不断增长，入侵检测产品能否处理高效处理网路中的数据也是衡量入侵检测产品的重要依据。