如何解决IDS问题？

著名评估机构Gartner认为，IDS对网络安全几乎没有意义。传统的IDS系统误报太多，且不能检查出未知的威胁。它在高速环境中容易受到威胁，在连续模式匹配方案中也有困难。为此，Gartner建议用户放弃IDS，转而把资金投向防火墙等更好的策略。

IDS存在的隐患

误报漏报率太高。IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测。而统计方法中的阈值难以有效确定，太小的值会产生大量的误报，太大的值又会产生大量的漏报。而在协议分析的检测方式中，一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等，其余大量的协议报文完全可能造成IDS漏报，如果考虑支持尽量多的协议类型分析，成本将是用户无法承受的。再比如在异常检测中，各种协议变体、过多的IP分片和异常TCP分段都有可能导致IDS误报。

没有主动防御能力。IDS技术是一种预设置式的工作方式，特征分析式工作原理。检测规则的更新总是落后于攻击手段的更新，所以这永远是亡羊补牢，被动防守。

缺乏准确定位和处理机制。IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。IDS系统在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响其他正常用户的使用。缺乏更有效的响应处理机制。

性能普遍不足。现在市场上的IDS产品大多采用的是特征检测技术，这类产品是专门为小于100M的共享式网络环境设计的。现在，这种IDS产品已经不能适应交换技术和高带宽环境的发展，在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包，形成DoS攻击。

联动思想应运而生

IDS是否真的没有存在的必要呢？显然不是，如果把防火墙比作大门的话，那么IDS设备就如同监控系统。显然，无论大门如何坚固，我们都不能拆除内部监控系统。那么面对IDS的不足，我们该如何应对呢？

换个角度来考虑这个问题，可以看到，各种相关网络安全的黑客和病毒都是依赖网络平台进行，而如果在网络平台上就能切断黑客和病毒的传播途径，那么就能更好地保证安全。这样，网络设备与IDS设备联动思想就应运而生。

为了弥补这些缺陷，IDS与新一代智能化的网络交换设备联动成为最佳选择。

IDS与网络交换设备联动是指，交换机在运行的过程中，将各种数据流的信息上报给安全设备，IDS系统可根据上报信息和数据流内容进行检测，并发现网络安全事件的时候，进行有针对性的动作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确端口的关闭和断开。

这种智能交换机的主要特点，应该是能支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能，同时具备线速交换、稳定商用等特性。IDS与网络交换设备联动，可以降低IDS误报漏报率、主动防御、准确事件定位和响应、 优化IDS性能。

IDS作为网络安全系统必不可少的一部分，应用领域在迅速扩大，技术走向也日益明朗，从IDS（入侵检测）向IPS（入侵防御）发展成为必然，但目前并没有完善的IPS解决方案和设备。

港湾网络智能交换设备已经与多家IDS系统进行了互通测试，并在海关、电子政务等网络中开始实际应用。港湾网络认为，在IDS向IPS发展历程中，通过智能交换机对IDS的补充，是一个非常实际而且不会给用户带来任何额外投资的理想过渡方案。