***檢測(IDS)及網絡安全發展趨勢

隨着網絡安全風險係數不斷提高，曾經作爲最主要的安全防範手段的防火牆，已經不能滿足人們對網絡安全的需求。作爲對防火牆及其有益的補充，IDS(***檢測系統)能夠幫助網絡系統快速發現***的發生，它擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。

　　一、***檢測系統(IDS)詮釋

　　IDS是一種網絡安全系統，當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時，IDS能夠檢測出來，並進行報警，通知網絡該採取措施進行響應。

　　在本質上，***檢測系統是一種典型的“窺探設備”。它不跨接多個物理網段(通常只有一個監聽端口)，無須轉發任何流量，而只需要在網絡上被動地、無聲息地收集它所關心的報文即可。

　　目前，IDS分析及檢測***階段一般通過以下幾種技術手段進行分析：特徵庫匹配、基於統計的分析和完整性分析。其中前兩種方法用於實時的***檢測，而完整性分析則用於事後分析。

　　二、IDS存在的問題

　　1、誤/漏報率高

　　IDS常用的檢測方法有特徵檢測、異常檢測、狀態檢測、協議分析等。而這些檢測方式都存在缺陷。比如異常檢測通常採用統計方法來進行檢測，而統計方法中的閾值難以有效確定，太小的值會產生大量的誤報，太大的值又會產生大量的漏報。而在協議分析的檢測方式中，一般的IDS只簡單地處理了常用的如HTTP、 FTP、SMTP等，其餘大量的協議報文完全可能造成IDS漏報，如果考慮支持儘量多的協議類型分析，網絡的成本將無法承受。

　　2、沒有主動防禦能力

　　IDS技術採用了一種預設置式、特徵分析式工作原理，所以檢測規則的更新總是落後於***手段的更新。

　　3、缺乏準確定位和處理機制

　　IDS僅能識別IP地址，無法定位IP地址，不能識別數據來源。IDS系統在發現***事件的時候，只能關閉網絡出口和服務器等少數端口，但這樣關閉同時會影響其他正常用戶的使用。因而其缺乏更有效的響應處理機制。

　　4、性能普遍不足

　　現在市場上的IDS產品大多采用的是特徵檢測技術，這種IDS產品已不能適應交換技術和高帶寬環境的發展，在大流量衝擊、多IP分片情況下都可能造成IDS的癱瘓或丟包，形成DoS***。