在過去的20年里，網絡技術在不斷發展，攻擊者水平在不斷提高，攻擊工具與攻擊手法日趨復雜多樣，特別是以黑客為代表的攻擊者對網絡的威脅日益突出，他們正不遺余力地與所有安全產品進行著斗爭。攻擊技術和手段的不斷發展促使IDS等網絡安全產品不斷更新換代，使得IDS產品從一個簡單機械的產品發展成為智能化的產品。

雖然這種智能化產品被相當廣泛的企業用戶所認可，但在實際應用中，卻存在各種各樣的實際難點和問題有待解決。本文詳細分析了IDS在應用中的四大難點問題，希望對企業用戶所有幫助。

IDS應用難點之一：如何解決誤報率問題？
　
誤報率一直是IDS產品的技術難點之一。很多公司都有各自不同的解決方法。
　
賽門鐵克的解決辦法有兩種：一是對IDS產品的應用范圍（如作業平臺）事先作一個分類。比如面向一個只有Windows平臺的企業網絡，則IDS包含的針對Unix平臺攻擊的檢測特征功能就可以忽略，從而避免誤報。二是從根源上解決問題，即通過互補產品來減少IDS的誤報。賽門鐵克已有的風險管理產品，就可以首先幫助企業查出漏洞所在，對易遭受攻擊的弱點究根尋源，然后企業在堵住這些漏洞的前提下，應用IDS，其誤報率會大大減少。

東軟認為，IDS的漏報和誤報是一對矛盾體，其產品NetEye IDS可以在理解網絡協議的基礎上，對網絡數據進行重組，并提供應用協議的內容恢復功能，對網絡上發生的應用進行恢復和重放，不但檢測攻擊事件，還重現攻擊的過程。這樣，它不僅可以發現外部攻擊，還可以發現內部用戶的惡意行為。通過內容恢復，管理員可以準確了解攻擊是否發生，有效地減少了誤報。

上海金諾公司的金諾網安入侵檢測系統KIDS，采用安全策略優化、事件合并、事件關聯和多種檢測技術相結合等方法，來解決誤報率問題。金諾網安KIDS采用了金諾公司新一代智能的檢測技術，以基于包特征的檢測技術為主體，充分結合協議狀態分析、流量異常檢測等技術，在保證檢測到已知的最新攻擊行為的前提下，及時發現一些未知的非法入侵行為，從而確保檢測的準確性和廣泛性。另外，KIDS也利用了TCP流重組和IP碎片重組等常見的技術，這些技術都可以有效降低系統的誤報和漏報。

如何降低端口掃描的漏報率和誤報率？早期IDS采用的方法是定義一個時間段，在這個時間段內如發現了超過某一預訂值的連接次數，就認為是端口掃描。這種做法的缺點是，如果掃描的時間超過了定義的時間段，但掃描的端口少于預訂的連接次數，那么這種掃描將不能識別。若對采集到的長期數據進行分析，這樣一些非常緩慢的掃描也逃不過IDS的監測。這種解決方法在東方龍馬入侵偵測系統中有些體現。

IDS應用難點之二：怎樣判斷檢測速度？

IDS的檢測速度，是影響NIDS的技術難題。為了實時對網絡進行入侵偵測，每個基于NIDS的吞吐量是一定的，普通的IDS產品或許可以應付一般規模的企業檢測要求，但對于電信級大型企業則有困難。這方面，賽門鐵克建議，如果企業財力允許，可以考慮在網絡內同時安裝幾套IDS，各自分別負責檢測一部分，這樣就可以解決檢測速度吞吐量不夠的問題。另外，可以考慮在覆蓋企業網絡終端的防病毒工具上做足文章。防病毒工具中集成一些IDS的功能，讓IDS在網絡內的每臺PC上實現，以此來解決檢測速度的問題。目前賽門鐵克正在做這方面的工作。

東軟的NetEye IDS提高檢測速度的方法是，在操作系統的內核級別進行數據重組，對收取數據的驅動進行大量的優化，減少了系統內核到用戶空間的數據拷貝，提高了系統的性能。NetEye IDS是軟硬一體的系統結構，選取高性能的專用硬件，并通過大量測試，保證了硬件性能的最優化，通過選擇專用的數據庫，進行高效的索引，不但減輕了用戶的管理負擔，更極大地提高了存儲效率。

上海金諾在解決檢測速度問題上，首先是將系統的硬件平臺進行優化，使硬件性能達到最佳，然后是利用一些先進的技術，如高性能的網絡數據包處理技術（包括金諾網安獨有的零拷貝技術、零系統調用技術等）、高性能協議分析技術（包括基于協議狀態的檢測技術）和基于預分析的檢測技術等。

IDS應用難點之三：HIDS和NIDS，哪一個更好？

賽門鐵克認為，NIDS只檢查它直接連接網段的通信，不能檢測在不同網段的網絡包，在使用交換以太網的環境中就會出現監測范圍的局限。HIDS系統則可以檢測多種網絡環境下的網絡包。NIDS系統為了性能目標通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現一些復雜的需要大量計算與分析時間的攻擊檢測。而這方面正是HIDS的強項。NIDS系統中的傳感器協同工作能力較弱，同時系統處理加密的會話過程較困難，而對于HIDS則沒有這一障礙。另一方面，由于HIDS系統在反應的時間上依賴于定期檢測的時間間隔，反應較慢，而且其檢測實時性也沒有基于網絡的IDS系統好。

鑒于此，賽門鐵克建議，在實施NIDS系統的同時，在特定的敏感主機上增加代理是一個比較完善的策略。因為，HIDS與NIDS并行可以做到優勢互補。網絡部分提供早期警告，而基于主機的部分可提供攻擊成功與否的情況分析與確認。

盡管HIDS準確度較高，但缺點是不同的系統需要不同的引擎。系統的升級時，需要升級引擎，安裝和維護不方便，同時無法發現網絡上的攻擊事件。而基于網絡的IDS安裝調試簡單，不需在系統上安裝任何軟件，需要的引擎數少，可最早發現網絡上的攻擊，隱蔽性也更好。NIDS的缺點是準確度較低，同時隨著網絡流量的增大，處理峰值流量的難度加大。
　
目前，市場上基于HIDS的產品較少，僅有賽門鐵克的Intruder Alert。NIDS產品有許多，像東軟、瑞星、東方龍馬等公司都提供NIDS產品。此外，有些公司還推出了將HIDS和NIDS融合在一起的產品。目前金諾網安具有擁有自主知識產權的入侵檢測系統——KIDS，它是一種綜合的網絡入侵檢測系統，分別可以保護重要網段和關鍵的主機，真正可以為企業單位提供一種有效的安全防護系統。?

IDS應用難點之四：如何選擇一個理想的IDS？

談到網絡安全，人們首先想到的就是防病毒和防火墻。因為它門可以保護處于防火墻身后的網絡不受外界的侵襲和干擾。

目前，IDS的普及率明顯不如防病毒、防火墻產品的應用比例高。

信息安全廠商首先要從觀念上教育我們的用戶，針對網絡威脅的增加，及時地提供實時主動防護產品IDS；另一方面，利用廠商的技術與產品優勢不斷滿足用戶的關鍵需求。

如何選擇合適的IDS產品？用戶除了考慮誤報率與檢測速度這兩個重要的參考指標之外，還需要用戶從HIDS和NIDS各自的優缺點作互補性考慮后，才能做出妥當的選擇，并且用戶要提高在安全服務委托外包上的認識水平。用戶可以通過考慮以下要素，來選擇一個理想的IDS。

1. 攻擊檢測的規則庫的大小和檢測的準確程度；
2. 是否有內容恢復功能；
3. 是否有完整網絡審計、網絡事件記錄和全面的網絡信息收集功能；
4. 產品的性能如何；
5. 是否集成網絡分析和管理的輔助工具，如掃描器、嗅探器等；
6. 是否自帶數據庫，不需第三方數據源，數據是否可自動維護；
7. 管理維護是否足夠簡潔；
8. 互操作性如何，是否可和防火墻聯動；
9. 自身安全性和隱蔽性如何；
10. 可升級性如何。
在用戶決定購買IDS之前，建議用戶應充分了解當前網絡的拓撲結構，了解以下關鍵問題：
1. 目前使用的交換機是否支持監聽，支持的程度是怎樣的？
2. 用IDS產品，主要想保護的資源是什么？主要防范外網黑客攻擊還是內網惡意用戶？
3. IDS產生的事件記錄是否有管理員查看和處理檢測到的攻擊和異常事件？

為了提高IDS的響應能力，目前國外比較成熟的做法是，用戶將這項工作委托給其它專業的安全服務商。在國內還有一個對外包服務商的信任認知過程，而且要確保有一個與外界網絡聯系的實時暢通的渠道。因此，安全服務委托外包的方式，在國內還需時日。