IDS争议下发展

配合着第四届中国国际计算机信息系统安全展落幕的脚步，《计算机世界》网络与通信版精心组织的信息安全产品《采购指南》月进入了尾声。本月推荐的四大安全产品是: 防火墙、网络杀毒、VPN和IDS，我们不是从基本的概念入手，而是从目前市场和技术上存在的问题出发，引导读者鉴别新技术和新产品，选择适合自己网络特色的安全产品，受到了广大读者的认可。

事实上，信息安全产品的概念、效用、技术、未来发展等一直处于争议之中，许多人怀疑仅凭几项技术能否阻止各类攻击。在入侵检测（IDS）领域尤其如此，漏报和误报问题长期困扰着技术专家和最终用户。虽然问题种种，步履蹒跚，但IDS产业在众多技术专家、厂商、用户以及媒体的共同努力下仍坚定地前进着、发展着，未来充满了希望之光。

有关IDS的争议

虽然入侵检测（IDS）从诞生到繁荣，经历的时间很短，但从来没有一个行业像它那样面临着如此多的争议。从IDS技术的发展到用户的使用效果、投入产出比，甚至IDS系统本身存在的意义等，所有的争议都异常激烈，直关IDS的生死！

从最原始的功能定义讲，IDS是对防火墙的必要补充，可对系统或网络资源进行实时检测，及时发现入侵者，也可预防合法用户对资源的误操作，IDS与其他安全产品构筑出了立体的防御体系。应该说，其存在非常有价值。

如果将防火墙比喻为保护数字家园的“门锁”，那么，IDS就是逡巡在数字家园中的“红外探头”，它能发现异常进入者，并及时报警；与防火墙、VPN联动的IDS，还能向它们发出指令，一旦有异常入侵，迅速“锁死”大门。

IDS的应用与其他安全产品有着极大的不同：从部署位置来说，IDS可部署在大门（网关）处，也可部署在不同的房间（网段）内，还可部署在重点保护的保险箱（关键业务主机）处，因此IDS派生出了基于网络的IDS和基于主机的IDS；从进出公司的流量分析，派生出能够检测百兆、千兆网络流量的IDS；从所采用的入侵检测技术来看，IDS从基于模式匹配、异常行为检测、协议分析发展到安全管理等。

然而现实的状况却远非理想中的乐观。

对IDS的投资是否值得？这一问题目前争议最多。启明星辰Python博士介绍，美国卡耐基·梅隆大学信息安全紧急响应中心根据调查预测，未来，用户网络随着每年网上攻击的加剧，其所遭受的财产损失将以几何级数增长。结果令人沮丧，我们在IDS上投资在增多，所产生的边际效应并没有随之增加。我们能看到前方的远景，但却无法穿越横亘在中央的看不见的“玻璃墙”。究竟出了什么问题？是因为攻击范围的不断扩大、攻击手段的不断发展？还是因为对安全发展趋势的把握有问题？或者是因为网络应用基数增大，损失自然就会增长？……

IDS产品昂贵的费用也令人望而却步。与防火墙不同，IDS技术更加复杂，因此其至少几十万元的市场价格相对于防火墙而言几乎是个天文数字;IDS的部署和管理更加麻烦，需要管理者具有坚实的网络安全基础知识，因此，其人员培训费和后期运维费更是个无底洞。“如果网管员具备了丰富的计算机网络安全知识，通过路由器、协议等低层控制，似乎更能保护网络的安全，没有必要购买昂贵的产品。”北京电信网络局系统集成项目经理邹俊军告诉记者。

IDS似乎走入了一个怪圈: 技术高深的用户不需要IDS，而技术一般的用户又无法真正使用IDS。正因为如此，虽然今年IDS市场开始热启动，但IDS的应用并没有深入普及。IDC公司最近在中国300家行业用户中调查，结果只有8%的用户采用了IDS产品，同时用户对IDS最满意的指标是产品的功能，最不满意的是产品的价格。

IDS技术将向何处发展？目前各类检测技术层出不穷，但各有弊端。以目前用得最多的基于行为的检测和基于知识的检测为例。基于行为的检测也被称为异常检测，与系统无关，通用性较强，甚至可检测出未知攻击，但由于不能对整个系统内的所有用户行为进行全面描述，所以误检率较高。基于入侵知识的检测准确度很高，但局限性在于只能根据已知的入侵序列和系统缺陷检测可疑行为，对于新的入侵及利用系统中的未知缺陷的越权行为无能为力。

目前，大部分现存的IDS都或多或少地存在以下三个问题：IDS所依赖的检测数据在传递中可能被篡改，导致误报和漏报；IDS会占用相当多的系统资源；入侵者可暗中篡改、中止IDS程序，令IDS可靠性下降或完那么，采用IDS有意义吗？另一个严峻的话题被日益提出。用户也处于矛盾中，很多用户认为，IDS很贵，从功能上讲非常有用，不能不信它，但又不可全信它。没有它不放心，有了它也不能全放心。使用得体、配置严密的IDS可以准确发现已知的攻击，让网管晚上踏实地睡觉。但是，也有不少购买了IDS的用户将IDS闲置在机房里，因为它总是不停地告警，使用起来相当麻烦。

世界难题：误报和漏报

所有的争议最后都聚焦在两个关键点上：IDS的误报和漏报。误报和漏报是反对者对IDS技术和产品诟病最多的地方。因为所有IDS系统都存在误报和漏报，所以即使安装了IDS，人们还是不放心。今年上半年，美国信息安全杂志（ISM）对美国大型用户的IDS应用现状进行了调查，让用户评价IDS，结果令人非常吃惊，用户给IDS的打分平均只有5～7分（10分制），在及格的边缘徘徊。

IDS的误报和漏报，已成为世界性的难题。就IDS的发展趋势问题，ISM杂志还采访了业界的几位重量级人物，其中包括ISS的传奇人物Klaus、NFR公司的首席技术官Ranum、Cisco公司负责其IDS产品的Gleichauf以及广为大家采用的开放源代码IDS系统Snort的作者Roesch。这几家公司在市场上是面对面的竞争对手，但是在对IDS的发展上面，却显示了少有的一致，大家都表示了对“误报”和“漏报”问题的担忧，同时表达了对智能化管理的希冀。

IDS由于太敏感，对某些稍微不同于正常的系统访问（但实际也是正常的系统访问）发出报警，“狼来了”的呼声太频会浪费管理人员大量的时间，同时造成人们的麻痹心理，某些黑客则利用这一心理将真实的攻击搭载在误报警中，或用大量的“半连接”阻塞IDS，形成新的拒绝访问（DoS）攻击。更为糟糕的是，某些与IDS联动的防火墙在误报的指引下频繁作出响应，使系统关闭大量正常的应用，最终导致网络效率的急剧下降，严重时造成系统的瘫痪。

但是，关于误报的定义却存在不少争议。安氏中国公司的赵粮博士举了一个简单例子，例如Nimda病毒，如果被保护网络中根本不存在Windows计算机，就不能造成感染，但这时的IDS肯定会报警，并反应在管理员的控制台上。这种报警算不算误报呢？它有两方面的含义，一方面它提示管理员注意，有攻击者对自己的网络发动了攻击；另一方面，它提示的攻击根本不可能发生，这对IDS来说极像一次误报。因此很多人将此类报警看成误报，但它却是一次正常的报警。

因此，在考察当前IDS系统投资效用比时，对于误报的理解更为重要。安氏中国公司赵粮博士认为，大部分用户不可能雇佣高水平的安全专家来专门鉴别有效报警、无效报警和纯误报。用户购买IDS系统的目的是希望购买的软件可以完成上述“高手”才能完成的工作，从而使普通的系统管理员就可以管理维护这些已经非常昂贵的家伙。当前的实际状况是，按照许多专家的估计，系统管理员大概需要花20%左右的时间来处理每日的误报。因此，对管理员的培训比产品本身更重要，而很多用户忽略了这一点。

漏报是绝对不能容忍的，它决定了IDS的生死，所以目前关于IDS的性能评测基本锁定在一定流量条件下的不丢包、不漏报上。但目前漏报现象却非常严重，尤其在千兆网络环境中。一方面，某些黑客会采用新的攻击方式，将传送的信息“粉碎”伪装成正常的信息发送，致使IDS检测不到它；另一方面，在千兆的流量下，对每一个信息包进行检测同时保持千兆的速率，几乎是不可能的，效率与精确度永远是一对矛盾，这决定于用户真正需要什么？北京电信局邹俊军告诉记者，目前市场上火热的千兆IDS都是在炒作概念，将它应用在百兆环境中也许最合适，而用在千兆网络中，要么将极大降低网络速率，要么就会产生大量的漏报。

除非将误报和漏报控制在一个极低的水平，否则产业难有长久发展的机会。

争议中的希望

年轻的IDS产业就像一个勇敢的跋涉者，虽然争议重重，偶尔大起大落，但在跌跌撞撞中，IDS产业不断地朝着当初设定的目标迈进，并逐渐走出了低谷，往上攀升，成为目前信息安全产业仅次于防火墙、网络杀毒的第三大领域。

IDC公司在最新的中国网络安全产品调查报告中显示，2001年，中国入侵检测与漏洞评估产品的市场规模达到了1亿5千万人民币，占总体信息安全市场份额的13.4%；预计今年的市场总额达将2亿2千万人民币，其年复合增长速度为52.2%，排在第3位。

从IDS本身的功能来说，它正是用户所需要的。既然有需求，并发现了症结所在，产业在众多风险资金、技术专家和用户的共同努力下，正在寻找穿透那道无形“玻璃墙”的方法，迈向希望的彼岸。

归根结底，技术是保障产业顺利发展的核心。IDS技术专家已确定未来IDS的主要研究方向：解决误报和漏报问题。那么，决定一个IDS误报和漏报的指标是什么呢？IDS技术专家赵粮认为一个是引擎和手法；一个是管理能力。这两方面都离不开新技术的支撑，IDS体系结构的研究、安全通信机制研究、入侵检测技术的研究、响应策略与恢复的研究以及协作式入侵检测技术的研究将是未来的研究方向。各大公司也已投入巨额资金在IDS新技术和新产品的研发上。

产业内众多风险资金和厂商的加盟也为IDS增加了不少的人气。目前，国内市场上IDS厂商已经发展到多家，除了国际著名的ISS、Cisco、Symantec在中国牢牢地扎下根基外，国内著名的安全企业也将巨额资金投资用于IDS