網絡安全入侵檢測技術面臨的哪些挑戰

網絡安全入侵檢測技術面臨的以下挑戰：

• 錯誤率較高：這里的錯誤率是指入侵檢測對攻擊行為的誤報或者漏報。常見的入侵檢測方法有狀態檢測、誤用檢測、異常檢測、協議分析等。以上的檢測方法均存在一定的缺陷，例如協議檢測技術只能處理常見的網絡協議，但是新的攻擊技術會用到一些不常見的協議報文，遇到這樣的情況，就會發生漏報的現象。再如，異常檢測用到的方法是統計方法，但是在統計方法中需要確定閾值，如何確定合適的閾值給入侵檢測技術帶來了不小的困難，閾值如果過小，會將許多正常行為判斷成異常行為，產生誤報現象。但是閾值過大又會將很多攻擊行為誤判成正常行為，這樣漏報率就會很高。因此，如何解決錯誤率較高這個問題是當今入侵檢測的一大挑戰。

• 實時性較低：檢驗入侵檢測技術的一個重要標準是實時性。實時性是指入侵檢測系統能夠在一定的時間閾值內檢測出網絡的入侵行為，并在入侵行為發生前予以阻擋。這是入侵檢測技術應該具備的特點，也是其區別于防火墻技術的最大不同點。但是，目前的入侵檢測系統實時性普遍比較低，無法滿足在入侵行為發生前準確并及時地發現有攻擊行為的網絡數據包這個要求。

• 安全性較低：值得注意的是，入侵檢測系統作為整個網絡信息系統的一部分，也是攻擊者攻擊的目標。攻擊者會通過拒絕服務（DoS）攻擊的方式對入侵檢測系統進行攻擊，這就需要入侵檢測系統自身的安全性和抗攻擊性要高。但是實際上，有些入侵檢測系統在設計之初就存在一定的安全漏洞，無法保證自身的安全性，這樣一旦入侵檢測系統被攻擊成功，整個網絡系統將失去保護傘，暴露在攻擊者的攻擊范圍內。因此，好的入侵檢測系統必須具備兩個特點，第一是要具備在各種復雜的網絡環境下工作的能力；第二是系統應該具備非常高的穩定性，因為入侵檢測系統需要在整個計算機網絡中進行監視，負載比較大，這種情況下容易受到拒絕服務攻擊，因此一個好的入侵檢測系統必須能夠抵擋各種網絡攻擊行為，從而提高自身的安全性。

• 效率低下：入侵檢測系統處理數據的速度是考察其效率的重要指標之一。目前的網絡攻擊向著大流量、分布式的方向發展，特別是隨著分布式拒絕服務攻擊技術的發展，使得攻擊者可以同時操作無數臺主機對同一個系統進行攻擊，這種情況下的攻擊流量會非常大，這就考驗了入侵檢測系統處理數據的能力。當前主流的入侵檢測技術是特征檢測技術，但是當面對大流量、多主機的攻擊時這種技術的效率明顯不高。

• 漏報問題嚴重：攻擊者不斷增加的知識、日趨成熟多樣的自動化工具，以及越來越復雜細致的攻擊手法，導致不得不增多入侵規則策略，從而使系統的處理負荷線性增加，結果對一些攻擊行為不能及時識別并做出響應，漏報問題顯著。

目前入侵檢測技術存在問題的解決措施如下：

• 分布式入侵檢測與通用人侵檢測架構：傳統的 IDS 一般局限于單一主機或網絡構架，對異構系統及大規模網絡的檢測明顯不足。同時不同的 IDS 系統之間不能協同工作，為解決這一問題，需要分布式檢測技術和通用人侵檢測構架。一是針對分布式網絡攻擊的檢測方法；二是使用分布式的方法來檢測分布式的攻擊，其中的關鍵技術為檢測信息的協同處理與入侵攻擊的全局信息的提取。分布式 IDS 在數據收集、入侵分析和自動響應方面能夠最大限度地發揮系統資源的優勢，其設計模型具有很大的靈活性。

• 與網絡安全技術相結合：結合防火墻、VPN、PKIX 和安全電子交易 SET 等新的網絡安全與電子商務技術，入侵檢測系統能提供完整的網絡安全保障。

• 智能的人侵檢測：入侵方法越來越多洋化與綜合化，盡管已經有智能代理、神經網絡與遺傳算法在入侵檢測領域的應用與研究，但這只是個基礎性的研究工作。需要對智能化的 IDS 加以進一步的研究以解決其自學習與自適應的能力。

• 應用層入侵檢：許多入侵的語義只有在應用層很難理解，而目前的 IDS 僅能檢測 WEB 之類的通用協議，而不能處理 Lotus Notes、數據庫系統等其他的應用系統。許多基于客戶、服務器結構與中間件技術及面向對象技術的大型應用，需要應用層的入侵檢測保護。

• 入侵檢測系統的評測方法：面對功能越來越復雜的 IDS，用戶需對眾多的 IDS 進行評價，從而設計通用的入侵檢測測試與評估方法的平臺，實現對多種 IDS 的檢測己成為當前 IDS 應用的另一重要研究與發展領域。

回答所涉及的環境：聯想天逸510S、Windows 10。