入侵侦测系统的侦测限制（四）

小安 • 2024年4月4日下午8:53 • 知识 • 阅读 81

    目前入侵侦测系统少了什么？
    缺乏产品间的整合运作性
    目前尚无正式的业界标准规范来协助入侵侦测系统的建置，然而缺乏标准将会影响到部份企业期望混合使用多项来自于不同厂商的入侵侦测方案，以及确保在不同厂商之间的入侵侦测系统可以相互整合运作。虽然部份厂商的产品支援通用入侵侦测架构（CIDF），但是尚未普遍。由于通用入侵侦测架构定义着组成入侵侦测系统之通用元件的规格，若是能被业界广泛的采用，那将会确保不同的入侵侦测系统可以互相运作沟通。

    系统部署位置及进阶微调工具
    目前仅有少数的工具能帮助企业对入侵侦测系统的建置管理进行微调，而大部份这些工具都是由入侵侦测系统厂商所提供的。因此越多的企业建置这样的技术，厂商们将会开发更多相关的建置范本以帮助其他的企业简化建置微调的程序。

    适切的事件回应
    未来理想的入侵侦测系统应该包含一个警讯自动回应系统，以提供系统在面对入侵攻击时可以独立执行应对之策。但是目前由于以下几项原因，并不建议采用警讯自动回应系统：
    这样的系统设定将会非常复杂，因为面对数量过大的系统设定，在管理上将会非常困难；数量庞大的误判警讯只会增加系统的复杂度。
    在未来，警讯自动回应系统将会影响整体的资讯安全架构，包含自动重新设定网路元件以配合入侵侦测系统，例如防火墙的设定，过滤路由器（filtering routers），网路管理及作业系统等。

    加密后的网路封包
    网路端入侵侦测系统无法对加密（encrypted）过后的网路封包进行分析检视，所以入侵侦测仅能等网路封包到达主机端并经过解密（decrypted）后才能有效地发挥其功能。

    加密功能
    许多入侵侦测系统产品在管理控制台与监听装置之间传递资讯时，并不会对资料进行加密，因此这些资讯有可能会被窃取、删除或是被修改，然而攻击者有可能利用这些资讯来掩饰他们的行迹，或是截取系统的弱点资讯，而用来计划进一步的攻击。如果资讯安全对一个企业环境而言是一项非常重要考量时，将这样的资讯加密将会是一项很有效且安全的作法。

    IDS的明天
    尽管这些技术性上的不足，但是我们仍然可以在一些过滤效力较高、仅会收集并回报有限事件的系统上，看到入侵侦测系统所能带来的优点以及不断提升的系统安全。有限的自动事件侦测及记录档案分析当然会比完全没有这样的功能要来的好，但是除非入侵侦测系统的产品厂商能够克服上述的各项瓶颈，不然入侵侦测系统的应用将还是会有所局限。