入侵检测系统的发展方向
入侵检测系统的发展方向
2009-05-18 10:38
入侵检测系统作为信息安全领域的一个组成部分,有着自己的独特的地方,虽然一直以来关于入侵检测的存在就有着仁者见仁的百家观点,但是IDS所面临的具体环境起码可以作为机器学习、人工只能的试验场,从中考虑计算机只能方法的应用也是个比较有意思的问题!
1 分布式入侵检测与通用入侵检测架构
传统的IDS 一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的IDS 系统之间不能协同工作,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构;
2 应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的IDS 仅能检测如WEB 之类的通用协议,而不能处理如Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护;
3 智能化的入侵检测
入侵方法越来越多样化与综合化,已经有模糊技术、神经网络与遗传算法在入侵检测领域的应用研究,这些方法常用于入侵特征的辨识与泛化,需对智能化的IDS 做进一步的研究以解决其自学习与自适应能力,来完善系统模型,提高检测的效率和准确性。现阶段,诸如机器学习、人工免疫的方法在入侵检测中应用研究也是比较广泛的!
4 入侵检测的评测方法
用户需对众多的IDS 系统进行评价,设计通用的入侵检测测试与评估方法与平台,实现对多种IDS 系统的检测已成为当前IDS 的另一重要研究与发展领域。IDS作为一个实用的系统,从机器学习的观点看来是一个无监督的学习系统,那么评测方法就有点“与众不同”了。-:)
5 综合性检测系统
与其它的网络安全技术(包括硬件技术) 相结合,形成综合的检测系统,解决传统方法检测对象单一、检测攻击形式简单的问题和一些难以解决的问题。作为面向实际应用的话,就不能拿实验室的理论说话,要讲究真的实际效果,那么要考虑的方方面面就比较多了;
6 宽带高速网络的实时入侵检测技术
大量高速网络技术近年来不断出现,在此背景下的各种宽带接入手段层出不穷,如何实现高速网络环境的入侵检测已成为一个现实问题。这需要考虑两个方面,首先,入侵检测系统的软件结构和算法需要重新设计,以适应高速网络的新环境,重点是提高运行速度和效率。另一方面是,随着高速网络技术的不断进步和成熟,新的高速网络协议的设计也成为未来的一个发展趋势,现有的入侵检测系统如何适应和利用未来新的网络协议结构是一个全新的问题;
7 无限接入环境下的入侵检测技术
Ad HOC网络以后轻型组网的主流,在无形网络环境下如何实现对入侵行为的检测,还是需要考虑一些不同的问题。
1、2其实已经是传统的IDS必须考虑的问题了;3、4将智能方法应用到IDS中去,这其实也是通行的做法,只是人们观点各异,可能不这么认为罢了;5、6、7就是在不同的网络介质、环境下产生的新的问题,值得考虑!