入侵检测及网络安全发展技术探讨

　　IDS虽然存在一些缺陷，但换个角度我们看到，各种相关网络安全的黑客和病毒都是依赖网络平台进行的，而如果在网络平台上就能切断黑客和病毒的传播途径，那么就能更好地保证安全。这样，网络设备与IDS设备联动就应运而生了。

　　IDS与网络交换设备联动，是指交换机或防火墙在运行的过程中，将各种数据流的信息上报给安全设备，IDS系统可根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的动作，并将这些对安全事件反应的动作发送到交换机或防火墙上，由交换机或防火墙来实现精确端口的关闭和断开，由此即产生了入侵防御系统（IPS）的概念。

　　简单地理解，可认为IPS就是防火墙加上入侵检测系统。IPS技术在IDS监测的功能上又增加了主动响应的功能，力求做到一旦发现有攻击行为，立即响应，主动切断连接。它的部署方式不像IDS并联在网络中，而是以串联的方式接入网络中，其功能示意如图2所示。

图2：IPS功能示意图

　　除了IPS，也有厂商提出了IMS（入侵管理系统）。IMS是一个过程，在行为未发生前要考虑网络中有什么漏洞，判断有可能会形成什么攻击行为和面临的入侵危险；在行为发生时或即将发生时，不仅要检测出入侵行为，还要主动阻断，终止入侵行为；在入侵行为发生后，还要深层次分析入侵行为，通过关联分析，来判断是否还会出现下一个攻击行为。

　　四、网络安全的发展方向

　　1．检测和访问控制技术将共存共荣

　　以IDS为代表的检测技术和以防火墙为代表的访问控制技术从根本上来说是两种截然不同的技术行为。

　　（1）防火墙是网关形式，要求高性能和高可靠性。因此防火墙注重吞吐率、延时、HA等方面的要求。防火墙最主要的特征应当是通（传输）和断（阻隔）两个功能，所以其传输要求是非常高的。

　　（2）而IDS是一个以检测和发现为特征的技术行为，其追求的是漏报率和误报率的降低。其对性能的追求主要在：抓包不能漏、分析不能错，而不是微秒级的快速结果。IDS由于较高的技术特征，所以其计算复杂度是非常高的。

　　从这个意义上来讲，检测和访问控制技术将在一个较长的时期内更加关注其自身的特点，各自提高性能和可靠性，既不会由一方取代另一方，也不会简单的形成融合技术。

　　2．检测和访问控制的协同是必然趋势

　　虽然检测技术和访问控制技术存在着一定程度的差异，但是两个技术的协同工作和在应用上的融合又是一个迫切的要求和必然趋势。

　　安全产品的融合、协同、集中管理是网络安全的发展方向。大型企业需要一体化的安全解决方案，需要细力度的安全控制手段。中小企业一边希望能够获得切实的安全保障，一边又不可能对信息安全有太多的投入。从早期的主动响应入侵检测系统到入侵检测系统与防火墙联动，再到IPS和IMS，形成了一个不断完善的解决安全需求的过程。

　　3．如何进行技术融合

　　“集中检测，分布控制”这个观点对于如何看待检测技术和访问控制技术的走向是非常重要的。一个准确度不能完全令人满意的IDS，经过人工的分析可以变得准确。同样，经过大规模的IDS部署后的集中分析以及和其他检测类技术关联分析，可以获得更加精确的结果。这样局部的事件检测就向全局性的事件检测方向发展。根据全局性的检测结果就可以进行全局性的响应和控制。

　　全局性的检测可以有效解决检测的准确率问题，但是同时带来的就是检测过程变长，局部速度不够快的问题。所以，面对一些局部事件和可以准确地判断出的问题，阻断后带来的负面效应相对较少，针对其检测可以比较快速的时候，IPS就是一个比较好的方案了。

　　4．人仍是网络安全管理的决定因素

　　不可否认的是，人的因素仍然是网络安全管理的决定因素，网络安全最薄弱的环节也并不是系统漏洞，而是人的漏洞。安全问题的核心问题就是人的问题。因为一切不安全的因素全来自人（或者说一部分人）。那么我们与信息网络安全威胁的斗争，实际上是与人（或者说一部分人）的斗争，这样性质的斗争，自不待言，注定了它的艰巨性、复杂性和持久性。

　　因此，单纯依靠安全技术和软、硬件产品解决网络安全问题的想法是不现实也是不明智的，提高企业的网络安全意识，加大整体防范网络入侵和攻击的能力，并在此基础上形成一支高素质的网络安全管理专业队伍，及时准确地应对各式各样的网络安全事件，才能从根本上解决我们面临的威胁和困扰。