第三章 存在的问题

　　尽管有众多的商业产品出现，与诸如防火墙等技术高度成熟的产品相比，入侵检测系统还存在相当多的问题。这一章我们便要讨论一下对其进行威胁的主要因素，值得注意的是，这些问题大多是目前入侵检测系统的结构所难以克服的（包括waRcher），而且这些矛盾可能越来越尖锐。
　　
　　以下便是对入侵检测产品提出挑战的主要因素[3]：
　　
　　1.攻击者不断增加的知识，日趋成熟多样自动化工具，以及越来越复杂细致的攻击手法。
　　
　　安全问题正日渐突出，尤其是2000年初出现了对诸如Yahoo，ebay等著名ICP的攻击事件。IDS必须不断跟踪最新的安全技术，才能不致被攻击者远远超越。

　　2.恶意信息采用加密的方法传输。
　　
　　网络入侵检测系统通过匹配网络数据包发现攻击行为，IDS往往假设攻击信息是通过明文传输的，因此对信息的稍加改变便可能骗过IDS的检测。TFN现在便已经通过加密的方法传输控制信息。还有许多系统通过VPN（虚拟专用网）进行网络之间的互联，如果IDS不了解其所用的隧道机制，会出现大量的误报和漏报。

　　3.必须协调、适应多样性的环境中的不同的安全策略。

　　网络及其中的设备越来越多样化，即存在关键资源如邮件服务器、企业数据库，也存在众多相对不是很重要的PC机。不同企业之间这种情况也往往不尽相同。IDS要能有所定制以更适应多样的环境要求。

　　4.不断增大的网络流量。
　　
　　用户往往要求IDS尽可能快的报警，因此需要对获得的数据进行实时的分析，这导致对所在系统的要求越来越高，商业产品一般都建议采用当前最好的硬件环境（如NFR5.0要求主频最少700以上的机器）。尽管如此，对百兆以上的流量，单一的IDS系统仍很难应付。可以想见，随着网络流量的进一步加大（许多大型ICP目前都有数百兆的带宽），对IDS将提出更大的挑战，在PC机上运行纯软件系统的方式需要突破。

　　5.广泛接受的术语和概念框架的缺乏。

　　入侵检测系统的厂家基本处于各自为战的情况，标准的缺乏使得其间的互通几乎不可能。

　　6.不断变化的入侵检测市场给购买、维护IDS造成的困难。

　　入侵检测系统是一项新生事物，随着技术水平的上升和对新攻击的识别的增加，IDS需要不断的升级才能保证网络的安全性，而不同厂家之间的产品在升级周期、升级手段上均有很大差别。因此用户在购买时很难做出决定，同时维护时也往处于很被动的局面。

　　7.采用不恰当的自动反应所造成的风险。

　　入侵检测系统可以很容易的与防火墙结合，当发现有攻击行为时，过滤掉所有来自攻击者的IP的数据。但是，不恰当的反应很容易带来新的问题，一个典型的例子便是：攻击者假冒大量不同的IP进行模拟攻击，而IDS系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，于是形成了新的拒绝访问攻击（DOS）。

　　8.对IDS自身的攻击。

　　和其他系统一样，IDS本身也往往存在安全漏洞。如果查询bugtraq的邮件列表，诸如Axent NetProwler,NFR,ISS Realsecure等知名产品都有漏洞被发觉出来。若对IDS攻击成功，则直接导致其报警失灵，入侵者在其后所作的行为将无法被记录。（这也是为什么安全防卫必须多样化的原因之一。）

　　9.大量的误报和漏报使得发现问题的真正所在非常困难。

　　采用当前的技术及模型，完美的入侵检测系统无法实现。参考文献[1]中提到了若干种逃避IDS检测的办法，这种现象存在的主要原因是：
　　
　　IDS必须清楚的了解所有操作系统网络协议的运作情况，甚至细节，才能准确的进行分析，否则[1]中提到的insertion,evasion的问题便无法解决。而不同操作系统之间，甚至同一操作系统的不同版本之间对协议处理的细节均有所不同。而力求全面则必然违背IDS高效工作的原则。

　　10.客观的评估与测试信息的缺乏。

　　11.交换式局域网造成网络数据流的可见性下降，同时更快的网络使数据的实时分析越发困难。

　　第四章 结论

　　未来的入侵检测系统将会结合其它网络管理软件，形成入侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测软件的出现极大的方便了网络的管理，其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多未克服的问题，但正如攻击技术不断发展一样，入侵的检测也会不断更新、成熟。同时，正如本文一开始便提到的，网络安全需要纵深的、多样的防护。即使拥有当前最强大的入侵检测系统，如果不及时修补网络中的安全漏洞的话，安全也无从谈起。