当前入侵检测系统问题与解决措施

2023-10-18 理论教育版权反馈

【摘要】：入侵检测系统在信息安全中有着重要的作用，但在国内的应用还远远没有普及。目前的入侵检测产品大多存在以下问题。和误报相对应的是漏报情况，随着攻击方法的不断更新，入侵检测系统能否检测出网络中存在的所有攻击也是一个重要的难题。（三）被动分析与主动发现的矛盾入侵检测系统是采取被动监听的方式发现网络问题，无法主动发现网络中的安全隐患和故障。

入侵检测系统在信息安全中有着重要的作用，但在国内的应用还远远没有普及。一方面是由于用户的认知程度较低，另一方面是由于入侵检测是一门比较新的技术，还存在一些技术上的困难，不是所有厂商都有研发入侵检测产品的实力。目前的入侵检测产品大多存在以下问题。

（一）误报和漏报的矛盾

入侵检测系统对网络上所有的数据进行分析，如果攻击者对系统进行攻击尝试，而系统相应服务开放，只是漏洞已经修补，那么这一次攻击是否需要报警，这就是一个管理员需要判断的问题。因为这也代表了一种攻击的企图。但大量的报警事件会分散管理员的精力，反而无法对真正的攻击做出反应。和误报相对应的是漏报情况，随着攻击方法的不断更新，入侵检测系统能否检测出网络中存在的所有攻击也是一个重要的难题。

（二）隐私和安全的矛盾

入侵检测系统可以收到网络的所有数据，同时可以对其进行分析和记录，这对网络安全极其重要。同时，这也对用户的隐私构成一定威胁，关键要看具体的入侵检测产品是否能提供相应功能以供管理员进行取舍。

（三）被动分析与主动发现的矛盾

入侵检测系统是采取被动监听的方式发现网络问题，无法主动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的问题。(www.chuimin.cn)

（四）海量信息与分析代价的矛盾

随着网络数据流量的不断增长，入侵检测产品能否高效处理网络中的数据也是衡量入侵检测产品的重要依据。

（五）功能性和可管理性的矛盾

随着入侵检测产品功能的增加，可否在功能增加的同时，不增大管理的难度？例如，入侵检测系统的所有信息都存储在数据库中，此数据库能否自动维护和备份而无须管理员的干预，另外，入侵检测系统自身安全性如何，是否易于部署，采用哪种报警方式，这些也都是需要考虑的因素。

（六）单一的产品与复杂的网络应用的矛盾

入侵检测产品最初是为了检测网络的攻击，但仅仅检测网络中的攻击远远无法满足目前复杂的网络应用需求。通常，管理员难以分清网络问题是由于攻击引起的还是网络本身的故障。入侵检测检测出的攻击事件又如何处理？可否和目前网络中的其他安全产品进行联合处理？

当前入侵检测系统问题与解决措施

相关推荐