IDS缺乏正確定位和處理機(jī)制，IDS存在的問(wèn)題

主機(jī)入侵檢測(cè)系統(tǒng)分析對(duì)象為主機(jī)審計(jì)日志，所以需 要在主機(jī)上安裝軟件，針對(duì)不同的系統(tǒng)、不同的版本需安裝不同的主機(jī)引擎，安裝配置較為復(fù)雜，同時(shí)對(duì)系統(tǒng)的運(yùn)行和不亂性造成影響，目前在海內(nèi)應(yīng)用較少。

　1、IDS存在的問(wèn)題

入侵檢測(cè)系統(tǒng)(Intrusion Detect System)，目前基本上分為以下兩種：主機(jī)入侵檢測(cè)系統(tǒng)(HIDS);網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS)。目前最好綜合使用多種檢測(cè)技術(shù)，而不只是依賴(lài)傳統(tǒng)的統(tǒng)計(jì)分析和模式匹配技術(shù)。
網(wǎng)絡(luò)入侵監(jiān)測(cè)分析對(duì)象為網(wǎng)絡(luò)數(shù)據(jù)流，只需安裝在網(wǎng)絡(luò)的監(jiān)聽(tīng)端口上，對(duì)網(wǎng)絡(luò)的運(yùn)行無(wú)任何影響，目前海內(nèi)使用較為廣泛。模式匹配利用對(duì)攻擊的特征字符進(jìn)行匹配完成對(duì)攻擊的檢測(cè)。而利用協(xié)議分析。利用此技術(shù)，有效的降低了誤報(bào)和漏報(bào)。

2、缺乏正確定位和處理機(jī)制
IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理，所以檢測(cè)規(guī)則的更新老是落后于攻擊手段的更新。

3、機(jī)能普遍不足
IDS僅能識(shí)別IP地址，無(wú)法定位IP地址，不能識(shí)別數(shù)據(jù)來(lái)源。好比異常檢測(cè)通常采用統(tǒng)計(jì)方法來(lái)進(jìn)行檢測(cè)，而統(tǒng)計(jì)方法中的閾值難以有效確定，太小的值會(huì)產(chǎn)生大量的誤報(bào)，太大的值又會(huì)產(chǎn)生大量的漏報(bào)。但目前因?yàn)樗惴ㄌ幚砗鸵?guī)則制定的難度很大，目前還不長(zhǎng)短常成熟，但卻是入侵檢測(cè)技術(shù)發(fā)展的趨勢(shì)。而這些檢測(cè)方式都存在缺陷。假設(shè)此特征泛起在Mail里，由于不符合協(xié)議，就不會(huì)報(bào)警。而在協(xié)議分析的檢測(cè)方式中，一般的IDS只簡(jiǎn)樸地處理了常用的如HTTP、FTP、SMTP等，其余大量的協(xié)議報(bào)文完全可能造成IDS漏報(bào)，假如考慮支持盡量多的協(xié)議類(lèi)型分析，網(wǎng)絡(luò)的本錢(qián)將無(wú)法承受。則只在符合的協(xié)議(HTTP)檢測(cè)到此事件才會(huì)報(bào)警。
入侵檢測(cè)誤報(bào)和漏報(bào)的解決終極依賴(lài)分析技術(shù)的改進(jìn)。
統(tǒng)計(jì)分析是統(tǒng)計(jì)網(wǎng)絡(luò)中相關(guān)事件發(fā)生的次數(shù)，達(dá)到判別攻擊的目的。
行為分析技術(shù)不僅簡(jiǎn)樸分析單次攻擊事件，還根據(jù)前后發(fā)生的事件確認(rèn)是否確有攻擊發(fā)生，攻擊行為是否生效，是入侵檢測(cè)分析技術(shù)的高境界。因而其缺乏更有效的響應(yīng)處理機(jī)制。另外，規(guī)則庫(kù)是否及時(shí)更新也和檢測(cè)的正確程度相關(guān)。 IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時(shí)候，只能封閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口，但這樣封閉同時(shí)會(huì)影響其他正常用戶(hù)的使用。
4、入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)
現(xiàn)在市場(chǎng)上的IDS產(chǎn)品大多采用的是特征檢測(cè)技術(shù)，這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展，在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包，形成DoS攻擊。
協(xié)議分析技術(shù)是在對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行重組的基礎(chǔ)上，理解應(yīng)用協(xié)議，再利用模式匹配和統(tǒng)計(jì)分析的技術(shù)來(lái)判明攻擊。數(shù)據(jù)重組是對(duì)網(wǎng)絡(luò)連接的數(shù)據(jù)流進(jìn)行重組再加以分析，而不僅僅分析單個(gè)數(shù)據(jù)包。

5、沒(méi)有主動(dòng)防備能力
IDS常用的檢測(cè)方法有特征檢測(cè)、異常檢測(cè)、狀態(tài)檢測(cè)、協(xié)議分析等。例如：某個(gè)基于HTTP協(xié)議的攻擊含有ABC特征，假如此數(shù)據(jù)分散在若干個(gè)數(shù)據(jù)包中，如：一個(gè)數(shù)據(jù)包含A，另外一個(gè)包含B，另外一個(gè)包含C，則單純的模式匹配就無(wú)法檢測(cè)，只有基于數(shù)據(jù)流重組才能完整檢測(cè)。目前入侵檢測(cè)分析方法主要有：統(tǒng)計(jì)分析、模式匹配、數(shù)據(jù)重組、協(xié)議分析、行為分析等。

文章名稱(chēng)：IDS缺乏正確定位和處理機(jī)制，IDS存在的問(wèn)題
文章路徑：http://www.muchs.cn/news20/172420.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁(yè)設(shè)計(jì)公司、靜態(tài)網(wǎng)站、網(wǎng)站改版、網(wǎng)站設(shè)計(jì)公司、虛擬主機(jī)、云服務(wù)器

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)