从被动应战到主动防御

　　大约在两年前，IPS（入侵防护）的概念被推到了台前。由于IPS增加了对入侵的主动阻断功能，一时间IPS取代IDS（入侵检测）的呼声日渐高涨，而Gartner发表的“IDS将死、IPS获胜”言论更是让这两种技术的争斗达到了白热化。如今，距离“IDS灭亡论”发表已经有一年多时间了，那么IDS和IPS的现状又是如何？接下来，就让我们来逐一看个究竟。 近期，我们在《网络世界》网站（www.cnw.com.cn）上，围绕目前用户对IDS和IPS的应用及需求状况进行了调查，收到的大量读者反馈反映了人们对IDS和IPS的关注程度。我们从中选出100份有效问卷，根据问卷分析发现，59%的用户部署了IDS，27%的用户将IDS列入购买计划，62%用户在关注IPS，并且7%的用户有意向购买IPS，IDS和IPS在国内都呈现出繁荣发展的热闹景象。

　　IDS功过自有公论　

　　在国内，IDS没有受到“灭亡论”的太大影响，尤其是近年来，IDS在网络中的应用逐渐增多起来。在很多对安全等级要求很高的证券、金融以及电信的网络中，我们都能发现IDS的身影。一位证券公司的IT主管告诉记者，随着企业网络结构的不断扩大和日益复杂，由内部员工违规引起的安全问题变得突出起来，防火墙、防病毒等常规的安全手段只能对付外部入侵，而对于内部违规行为却无能为力，而IDS可以审计跟踪内部违反安全策略的行为。另一位汽车销售网的IT工程师认为，IDS可以记录、报警各种安全事件，有利于进行安全审计和事后追踪，对于追溯和阻止拒绝服务攻击能够提供有价值的线索。像证券公司IT主管和汽车销售网的IT工程师这样认为IDS的贡献大于麻烦的用户占53%。

　　联想信息安全的CTO刘科全告诉记者，促使IDS得到广泛应用的另一个因素是，Slammer、冲击波等针对系统漏洞的攻击不断增多，新的软件漏洞不断被发现，一些分析系统缺陷、编写攻击程序或制作蠕虫病毒的简单工具也在不断发展之中，从发现缺陷到释放出蠕虫病毒的时间间隔也在进一步缩短，用户需要一种可以检测攻击的有效工具，IDS就是其中的一种。

　　我们同时也看到，也有很多用户反应IDS带来的麻烦大于贡献。某经济研究院的信息中心刘主任告诉记者，IDS的误报率太高，只要一开机，便响个不停，在每天发出的上万条的报警信息中，真正有价值的信息却寥寥无几，而从上万条信息中挖掘出有用信息费时又费力，通常需要设立专人负责管理IDS，这在缺乏IT人才的企业中是很不现实的。刘主任的观点很具代表性，47%的用户持这种观点。

　　IDS的困惑

　　调查显示，误报和漏报严重、海量信息难以分析、难以与其他设备进行联动、难以部署、存在安全隐患是始终不离IDS左右的老问题（见图一）。其中，前两者是用户反应最为强烈的问题，各式各样的IDS设备都存在不同程度的误报和漏报现象。即使认为IDS贡献大的用户也同样遭遇误报和漏报的困扰，只不过在权衡误报、漏报以及检测入侵方面，这些用户更看重后者。海量信息难以分析也影响了用户对IDS的使用，36%的用户认为IDS存在少量信息难以分析。

　　对于误报和漏报，刘科全认为，这主要是与IDS检测机制的缺乏有关。综合运用多种检测机制，包括特征对比、协议异常分析等技术，可以显著降低IDS的误报和漏报，IDS同时需要引入数据挖掘技术、神经网络、专家分析系统等技术以提高信息分析能力。

　　除了上述不足之外，许多用户还对主机型IDS的安全性提出了置疑。目前的IDS可以分为主机型、网络型、混合型三种。混合型IDS已经不多见，已逐渐淡出市场。网络型IDS的原理是识别反映已知进攻，对异常行为模式进行统计分析，进行事后审计追踪，对安全事件发出报警。主机型IDS的原理是监视分析用户及系统活动，评估重要系统和数据文件的完整性，识别用户违反安全策略的行为，进行系统配置和弱点审计。在选择主机型产品还是网络型产品方面，92%的用户选择网络型的产品。由于主机型产品是以软件形式部署在服务器上，用户担心主机型IDS存在后门，会影响关键服务器的安全水平，同时会降低服务器的运行效率。

　　IDS需要提高

　　85%的用户不满足于IDS的现有功能，认为IDS仍有必要进一步改进功能。用户希望IDS能够按紧急程度不同发出报警、生成详细报告、分析攻击事件、真正实现与安全设备的联动（见图二）。中科院软件所的研究员冯登国认为，未来的IDS还需要面向宽带高速实时的网络环境，引入数据挖掘、分布式部署、免疫和神经网络技术，并且适应IPv6的技术要求。

　　IDS厂商并没有忽视用户需求，对IDS一直进行着改进。例如，启明星辰在天阗入侵检测与管理系统v6.0中，利用流量监控发现异常技术，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间的对应关系，给出入侵威胁和资产脆弱性之间的风险分析结果，能够有效管理安全事件并进行及时处理和响应。从功能上来看，天阗入侵检测与管理系统v6.0已不再是单纯的入侵检测系统，而体现了管理入侵的思想。赛门铁克将蜜罐诱捕技术引入IDS当中，增加IDS应对未知攻击的防护能力。