随着入侵检测产品功能的增加，可否在功能增加的同时，不增大管理的难度。例如，入侵检测系统的所有信息都储存在数据库中，此数据库能否自动维护和备份而不需管理 员的干预？另外,入侵检测系统自身安全性如何？是否易于部署？采用何种报警方式？也都是需要考虑的因素。

 

(6). 单一的产品与复杂的网络应用的矛盾

 

入侵检测产品最出的目的是为了检测网络的攻击，但仅仅检测网络中的攻击远远无法满足目前复杂的网应用需求．通常，管理员难以分清网路问题：是由于攻击引起的还是网络故障。入侵检测检测出的攻击事件又如何处理，可否和目前网络中的其他安全产品进行配合。

 

4．入侵检测技术的发展趋势

 

(1)．分析技术的改进

 

入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分析方法主要有：统计分析、模式匹配、数据重组、协议分析、行为分析等。

 

统计分析是统计网络中相关事件发生的次数，达到判别攻击的目的。模式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是对网络连接的数据流进行重组再加以分析，而不仅仅分析单个数据包。

 

协议分析技术是在对网络数据流进行重组的基础上，理解应用协议，再利用模式匹配和统计分析的技术来判明攻击。例如：某个基于HTTP协议的攻击含有ABC特征，如果此数据分散在若干个数据包中，如：一个数据包含A，另外一个包含B，另外一个包含C，则单纯的模式匹配就无法检测，只有基于数据流重组才能完整检测。而利用协议分析。则只在符合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里，因为不符合协议，就不会报警。利用此技术，有效的降低了误报和漏报。

 

行为分析技术不仅简单分析单次攻击事件，还根据前后发生的事件确认是否确有攻击发生，攻击行为是否生效，是入侵检测分析技术的最高境界。但目前由于算法处理和规则制定的难度很大，目前还不是非常成熟，但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术，而不只是依靠传统的统计分析和模式匹配技术。另外，规则库是否及时更新也和检测的准确程度相关。

 

(2)．内容恢复和网络审计功能的引入

 

前面已经提到，入侵检测的最高境界是行为分析。但行为分析前还不是很成熟，因此，个别优秀的入侵检测产品引入了内容恢复和网络审计功能。

 

内容恢复即在协议分析的基础上，对网络中发生的应为加以完整的重组和记录，网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中的网络审计不仅类似防火墙可以记录网络进出信息，还可以记录网络内部连接状况，此功能对内容恢复无法恢复的加密连接尤其有用。

 

内容恢复和网络审计让管理员看到网络的真正运行状况，其实就是调动管理员参与行为分析过程。此功能不仅能使管理员看到孤立的攻击事件的报警，还可以看到整个攻击过程，了解攻击确实发生与否，查看攻击着的操作过程，了解攻击造成的危害。不但发现已知攻击，同时发现未知攻击。不当发现外部攻击者的攻击，也发现内部用户的恶意行为。毕竟管理员是最了解其网络的，管理员通过此功能的使用，很好的达成了行为分析的目的。但使用此功能的同时需注意对用户隐私的保护。