主機(jī)入侵檢測系統(tǒng)分析對象為主機(jī)審計(jì)日志,所以需 要在主機(jī)上安裝軟件�,針對不同的系統(tǒng)、不同的版本需安裝不同的主機(jī)引擎�����,安裝配置較為復(fù)雜�,同時(shí)對系統(tǒng)的運(yùn)行和不亂性造成影響,目前在海內(nèi)應(yīng)用較少。
1�、IDS存在的問題
入侵檢測系統(tǒng)(Intrusion Detect System),目前基本上分為以下兩種:主機(jī)入侵檢測系統(tǒng)(HIDS);網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)���。目前最好綜合使用多種檢測技術(shù)�,而不只是依賴傳統(tǒng)的統(tǒng)計(jì)分析和模式匹配技術(shù)�����。
網(wǎng)絡(luò)入侵監(jiān)測分析對象為網(wǎng)絡(luò)數(shù)據(jù)流�,只需安裝在網(wǎng)絡(luò)的監(jiān)聽端口上,對網(wǎng)絡(luò)的運(yùn)行無任何影響�����,目前海內(nèi)使用較為廣泛��。模式匹配利用對攻擊的特征字符進(jìn)行匹配完成對攻擊的檢測�。而利用協(xié)議分析。利用此技術(shù)���,有效的降低了誤報(bào)和漏報(bào)��。
2�����、缺乏正確定位和處理機(jī)制
IDS技術(shù)采用了一種預(yù)設(shè)置式��、特征分析式工作原理�,所以檢測規(guī)則的更新老是落后于攻擊手段的更新。
3���、機(jī)能普遍不足
IDS僅能識(shí)別IP地址��,無法定位IP地址���,不能識(shí)別數(shù)據(jù)來源。好比異常檢測通常采用統(tǒng)計(jì)方法來進(jìn)行檢測�,而統(tǒng)計(jì)方法中的閾值難以有效確定���,太小的值會(huì)產(chǎn)生大量的誤報(bào)���,太大的值又會(huì)產(chǎn)生大量的漏報(bào)。但目前因?yàn)樗惴ㄌ幚砗鸵?guī)則制定的難度很大�����,目前還不長短常成熟,但卻是入侵檢測技術(shù)發(fā)展的趨勢����。而這些檢測方式都存在缺陷。假設(shè)此特征泛起在Mail里�,由于不符合協(xié)議,就不會(huì)報(bào)警��。而在協(xié)議分析的檢測方式中��,一般的IDS只簡樸地處理了常用的如HTTP�、FTP、SMTP等����,其余大量的協(xié)議報(bào)文完全可能造成IDS漏報(bào),假如考慮支持盡量多的協(xié)議類型分析��,網(wǎng)絡(luò)的本錢將無法承受���。則只在符合的協(xié)議(HTTP)檢測到此事件才會(huì)報(bào)警����。
入侵檢測誤報(bào)和漏報(bào)的解決終極依賴分析技術(shù)的改進(jìn)�����。
統(tǒng)計(jì)分析是統(tǒng)計(jì)網(wǎng)絡(luò)中相關(guān)事件發(fā)生的次數(shù),達(dá)到判別攻擊的目的�。
行為分析技術(shù)不僅簡樸分析單次攻擊事件,還根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生����,攻擊行為是否生效,是入侵檢測分析技術(shù)的最高境界����。因而其缺乏更有效的響應(yīng)處理機(jī)制。另外��,規(guī)則庫是否及時(shí)更新也和檢測的正確程度相關(guān)���。 IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時(shí)候���,只能封閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口����,但這樣封閉同時(shí)會(huì)影響其他正常用戶的使用。
4�����、入侵檢測技術(shù)的發(fā)展趨勢
現(xiàn)在市場上的IDS產(chǎn)品大多采用的是特征檢測技術(shù),這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展�����,在大流量沖擊���、多IP分片情況下都可能造成IDS的癱瘓或丟包�,形成DoS攻擊��。
協(xié)議分析技術(shù)是在對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行重組的基礎(chǔ)上�����,理解應(yīng)用協(xié)議�,再利用模式匹配和統(tǒng)計(jì)分析的技術(shù)來判明攻擊。數(shù)據(jù)重組是對網(wǎng)絡(luò)連接的數(shù)據(jù)流進(jìn)行重組再加以分析���,而不僅僅分析單個(gè)數(shù)據(jù)包����。
5����、沒有主動(dòng)防備能力
IDS常用的檢測方法有特征檢測�、異常檢測�、狀態(tài)檢測、協(xié)議分析等����。例如:某個(gè)基于HTTP協(xié)議的攻擊含有ABC特征,假如此數(shù)據(jù)分散在若干個(gè)數(shù)據(jù)包中�,如:一個(gè)數(shù)據(jù)包含A,另外一個(gè)包含B�,另外一個(gè)包含C,則單純的模式匹配就無法檢測�,只有基于數(shù)據(jù)流重組才能完整檢測。目前入侵檢測分析方法主要有:統(tǒng)計(jì)分析�����、模式匹配�����、數(shù)據(jù)重組�、協(xié)議分析、行為分析等�。
