我们不得不承认,IDS是一种很好的安全防护手段,但它绝不是尽善尽美的,它也有很多自身的限制。在实时监视网络活动时,可能会有一些情况虽已发现,但是采取措施却为时已晚。
IDS有如此重大的作用,但在国内的应用远远谈不到普及,这一方面是由于用户的认知程度较低,另一方面是由于入侵检测是一门比较新的技术,还存在一些技术上的困难,不是所有厂商都有研发入侵检测产品的实力。目前的入侵检测产品大多存在如下一些
问题。
误报和漏报的矛盾 入侵检测系统对网络上所有的数据进行分析,如果攻击者对系统进行攻击尝试,而系统相应服务开放,只是漏洞已经修补,那么,这一次攻击是否需要报警,就是一个需要管理员判断的问题。因为这也代表了一种攻击的企图。但大量的报警事件会分散管理员的精力,反而无法对真正的攻击作出反应。和误报相对应的是漏报,随着攻击的方法不断更新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。
隐私和安全的矛盾 入侵检测系统可以收到网络的所有数据,同时可以对其进行分析和记录,这对网络安全极其重要,但难免对用户的隐私构成一定威胁,这就要看具体的入侵检测产品是否能提供相应功能,以供管理员进行取舍。
被动分析与主动发现的矛盾 入侵检测系统是采取被动监听的方式发现网络问题,无法主动发现网络中的安全隐患和故障。如何解决这个问题也是入侵检测产品面临的难题。
海量信息与分析代价的矛盾 随着网络数据流量的不断增长,入侵检测产品能否高效处理网络中的数据也是衡量入侵检测产品的重要依据。
功能性和可管理性的矛盾 随着入侵检测产品功能的增加,能否在功能增加的同时,不增大管理的难度?例如,入侵检测系统的所有信息都储存在数据库中,此数据库能否自动维护和备份而不需管理员的干预?另外,入侵检测系统自身安全性如何?是否易于部署?采用何种报警方式?也都是需要考虑的因素。
单一产品与复杂网络应用的矛盾 入侵检测产品最初的目的是为了检测网络的攻击。但仅仅检测网络中的攻击远远无法满足目前复杂的网络应用需求。通常,管理员难以分清网路问题:是由于攻击引起还是网络故障引起?入侵检测检测出的攻击事件又如何处理,可否和目前网络中的其他安全产品进行配合?