今日的入侵偵測系統(tǒng)（Intrusion Detection System）產(chǎn)生為數(shù)過多的資訊，但卻缺乏有效過濾、篩選及相互關(guān)聯(lián)資料的技巧及能力。盡管入侵偵測系統(tǒng)能帶來各項優(yōu)點，但在此要特別強調(diào)的是，建置入侵偵測系統(tǒng)對企業(yè)在加強資訊安全上而言，并不是萬無一失的。企業(yè)在還沒有對資訊安全有相當成熟的基本觀念及處理程序之前，建置入侵偵測系統(tǒng)時會面臨較多的困難。因為今日的入侵偵測系統(tǒng)其偵測攻擊事件是依據(jù)入侵攻擊的特徵資料（attack pattern/signature）而不是依據(jù)使用行為（behaviour）的方式，所以入侵偵測被局限在事先定義的系統(tǒng)事件下。另外，管理控制臺（management console）無法有效地管理無限制數(shù)量的監(jiān)聽裝置（sensor/engine），而且也無法支援相互關(guān)聯(lián)於來自多個不同資訊來源的資料；目前的入侵偵測系統(tǒng)所提供的資料相互關(guān)聯(lián)回報大多是建立在預先設(shè)計好的范本（template），這樣的回報方案是很有幫助的，但卻是有限的。

在現(xiàn)今的入侵偵測系統(tǒng)有一項優(yōu)點就是能夠提供十分豐富的資訊，但相對卻也是其最大的缺點－無法有效處理為數(shù)過多的資料。入侵偵測系統(tǒng)核心程式所需的過濾、篩選及建立相互關(guān)聯(lián)資料的技巧尚未被成熟地開發(fā)問世。這樣的技巧需要有將政策（policy）翻譯成為規(guī)則，并將規(guī)則套用至不同監(jiān)聽裝置上的能力，而且要有能力將監(jiān)聽裝置部署在能取得最佳監(jiān)聽資訊的位置。這意味著監(jiān)聽裝置的微調(diào)以及其位置部署最佳化仍需被開發(fā)，而這些解決方案尚停留在研究開發(fā)的階段中。目前入侵偵測系統(tǒng)在建置上所面臨的這些問題是遲早會被解決的，但是企業(yè)在現(xiàn)階段，必須將這些問題提前考慮到入侵偵測系統(tǒng)的建置生命周期中。

目前入侵偵測系統(tǒng)少了什么？
入侵偵測系統(tǒng)技術(shù)目前仍然被視為「尚未完全建全」的狀態(tài)，以科技的角度來看，的確是還有一些缺點及距離。以下將為大家介紹的是我們期望入侵偵測系統(tǒng)所能帶來的功能，但卻是在目前的商業(yè)入侵偵測系統(tǒng)套裝產(chǎn)品中還無法完全克服的瓶頸。

分布式大規(guī)模環(huán)境監(jiān)控
在一個大規(guī)模分布式的網(wǎng)絡環(huán)境中，結(jié)合不同的入侵信息以判斷是否有大規(guī)模的攻擊正在進行是非常困難的。一個多層次的回報系統(tǒng)可以協(xié)助合并來自于不同網(wǎng)絡區(qū)段所產(chǎn)生的入侵信息是非常重要的。但這并不容易克服，因為一個單一的入侵偵測系統(tǒng)的管理控制臺（management console）僅能有效地管理為數(shù)有限的監(jiān)聽裝置（sensor/engine）。一般來說，每個管理控制臺可以連接管理約10至20個監(jiān)聽裝置，有些廠商號稱可以連接管理30個以上至50個不等的監(jiān)聽裝置，但其實際的數(shù)量應取決于各企業(yè)的網(wǎng)絡環(huán)境及建置經(jīng)驗，以評估建置多少個監(jiān)聽裝置才是最佳的數(shù)量。然而在一個大規(guī)模的網(wǎng)絡環(huán)境中，上百個監(jiān)聽裝置是必需的，而數(shù)十個管理控制臺也是無可避免的，所以管理這些系統(tǒng)的管理者也將會有十分沉重的負擔。

事件間的相互關(guān)聯(lián)性
要將各個不同網(wǎng)絡區(qū)段上的網(wǎng)絡端及主機端入侵偵測系統(tǒng)所偵測到的活動，進行相互關(guān)聯(lián)，對判斷攻擊事件上是十分有幫助而且很重要的功能?，F(xiàn)在舉個例子，假設(shè)攻擊者以一個小時才對一個端口或一個IP地址進行慢速的端口掃描，并以這樣的方式對多個不同的IP地址進行掃描，此時各個入侵偵測系統(tǒng)對這種方式的慢速攻擊是非常難偵測出來的。所以如果這些來自于不同地址的主機能將其各自所偵測到的事件相互關(guān)聯(lián)的話，那入侵攻擊方式的特征（attack pattern）就會較容易被察覺出來。研究專家認為，未來的入侵偵測系統(tǒng)將會依賴異常使用偵測方式（Anomaly Detection）來判斷在正常使用之外的可疑活動。[nextpage]

使用異常使用偵測方式的入侵偵測系統(tǒng)將在事件相互關(guān)聯(lián)上有較好的成效，因為它在察覺入侵攻擊的能力不是建立在入侵方式的特征資料，而使建立在偵測異常的使用行為。異常使用偵測方式的入侵偵測系統(tǒng)目前尚未廣泛地在商業(yè)入侵偵測系統(tǒng)套裝產(chǎn)品上被應用。結(jié)合異常使用偵測技巧的入侵偵測系統(tǒng)將會顯著地提升在偵測未知攻擊方式之特征的能力。當然其可管理性也將會成為另一個考量，因為這樣的系統(tǒng)會產(chǎn)生更加龐大的資料量，因此也會需要更多的時間及更高的計算機運算能力來監(jiān)聽異常使用的活動。

降低警訊誤判的頻率
無論任何警衛(wèi)系統(tǒng)都會產(chǎn)生錯誤的警訊判斷，入侵偵測系統(tǒng)當然也不會例外。即使當時毫無任何入侵行為發(fā)生，它們可能還是會回報有疑似入侵攻擊的行為正在進行中；這樣的誤判警訊在進行調(diào)查及解決時是非常耗時的。降低誤判警訊的關(guān)鍵全在于監(jiān)聽裝置（sensor/engine）的部署位置及微調(diào)監(jiān)聽裝置，以期有效對應到所制定的政策（policy）。過濾攻擊事件的政策（policy）必需很清楚明確地制定，以有效協(xié)助監(jiān)聽裝置進行微調(diào)工作。因為各個監(jiān)聽裝置間會產(chǎn)生相對的互動，適當?shù)牟渴鹞恢眉拔⒄{(diào)將會變得較為復雜，反而因此需要解決因這樣的互動所導致的誤判警誤。

目前入侵偵測系統(tǒng)少了什麼？
交換式網(wǎng)路環(huán)境下的監(jiān)聽
目前網(wǎng)路端入侵偵測系統(tǒng)產(chǎn)品在監(jiān)聽交換式網(wǎng)路環(huán)境上有其困難。交換式網(wǎng)路環(huán)境所產(chǎn)生的問題為∶ 應該監(jiān)聽交換集線器（Switch）的那一部份？（例如∶Cisco 提供一個專門監(jiān)聽的連接埠）如果網(wǎng)路區(qū)段之間有不協(xié)調(diào)的頻寬速度時會如何？（例如∶網(wǎng)路骨干是采用100Mbps，而虛擬區(qū)域網(wǎng)段（Virtual LAN）或交換網(wǎng)路區(qū)段（switched segment）采用的是10Mbps），資訊可能在這樣的狀況下遺失。

有什麼可以改善封包資訊的遺失？因為封包一旦錯誤并不會在監(jiān)聽埠上重現(xiàn)。應該如何處理當入侵偵測系統(tǒng)連接有速限的監(jiān)聽埠時所造成的額外資訊流失？因為監(jiān)聽埠并無能力處理所有連接超過20Mbps速限的網(wǎng)路端入侵偵測系統(tǒng)。

未來的入侵偵測系統(tǒng)產(chǎn)品在監(jiān)聽交換網(wǎng)路的能力上將會有較好改善。較理想、可改善交換網(wǎng)路監(jiān)聽的速度及品質(zhì)的方式，便是將入侵偵測的核心引擎（intrusion detection engine）與入侵攻擊特徵（attack pattern）的辨識系統(tǒng)分隔開。不過，這樣的分隔建置在技術(shù)上要達到是十分困難的，因為必須要將較高速且高效能的入侵偵測系統(tǒng)建置在硬體及可程式化的特定應用整合線路（Application-Specific Integrated Circuits - ASICs）平臺上。注∶ASIC是特別設(shè)計用以執(zhí)行特定應用程式的硬體晶片，執(zhí)行效能較一般的處理晶片（CPU）效率更高。

建置及運作上的困難
入侵偵測系統(tǒng)的建置是十分困難的，主要原因出在建置所需的各項資源及技術(shù)上的復雜程度；當然這也可以說是所有資訊安全系統(tǒng)建置上所共同面臨的問題。入侵偵測系統(tǒng)建置的困難，主要是因為對建置小組而言產(chǎn)生過多的警訊報告。尤其是在初期的建置階段，警訊報告的過多及重覆性將會把整個企業(yè)給淹沒。要解決建置上的困難可以考慮采用以下的建議∶ 事先規(guī)劃完善的整體架構(gòu)，事先規(guī)劃有效的緊急事件反應能力及作業(yè)流程。從別人的經(jīng)驗中學習。

當入侵偵測系統(tǒng)一旦正式開始上線運作，系統(tǒng)升級維護及警訊評估調(diào)查所需的資源及人力將會是另一項不可低估輕視的工作。網(wǎng)路專家及調(diào)查專家需要評估判斷各項警訊以決定是否需要采取進一步的行動。 [nextpage]

對未知攻擊方式的有限偵測
不論是網(wǎng)路端或是主機端入侵偵測系統(tǒng)，目前皆是依賴已知的攻擊手法以及過去所曾發(fā)生過的攻擊方式。新穎的攻擊技巧將會為系統(tǒng)帶來意外，正如同防毒偵測軟體一樣，無法有效地偵測到未知的病毒，除非病毒特徵（virus signature/pattern）已經(jīng)更新并包含到防毒軟體之中。較完善的入侵偵測產(chǎn)品廠商會迅速地對最新的攻擊手法做回應并且更新其產(chǎn)品，廠商應提高更新入侵攻擊特徵資料的頻率，改以每日或雙周更新而非每月或每三個月的方式。期望未來的產(chǎn)品能夠讓使用者自行決定是要使用異常使用偵測方式（Anomaly Detection）或是使用不當使用偵測方式（Misuse Detection），而且未來的產(chǎn)品將能提供使用者即時的自定異常使用或不當使用資訊的功能；對入侵偵測的效果將會有明顯的提升。

目前入侵偵測系統(tǒng)少了什麼？
缺乏產(chǎn)品間的整合運作性
目前尚無正式的業(yè)界標準規(guī)范來協(xié)助入侵偵測系統(tǒng)的建置，然而缺乏標準將會影響到部份企業(yè)期望混合使用多項來自於不同廠商的入侵偵測方案，以及確保在不同廠商之間的入侵偵測系統(tǒng)可以相互整合運作。雖然部份廠商的產(chǎn)品支援通用入侵偵測架構(gòu)（Common Intrusion Detection Framework - CIDF），但是尚未普遍。由於通用入侵偵測架構(gòu)定義著組成入侵偵測系統(tǒng)之通用元件的規(guī)格，若是能被業(yè)界廣泛的采用，那將會確保不同的入侵偵測系統(tǒng)可以互相運作溝通。

系統(tǒng)部署位置及進階微調(diào)工具
目前僅有少數(shù)的工具能幫助企業(yè)對入侵偵測系統(tǒng)的建置管理進行微調(diào)，而大部份這些工具都是由入侵偵測系統(tǒng)廠商所提供的。因此越多的企業(yè)建置這樣的技術(shù)，廠商們將會開發(fā)更多相關(guān)的建置范本以幫助其他的企業(yè)簡化建置微調(diào)的程序。

適切的事件回應
未來理想的入侵偵測系統(tǒng)應該包含一個警訊自動回應系統(tǒng)，以提供系統(tǒng)在面對入侵攻擊時可以獨立執(zhí)行應對之策。但是目前由於以下幾項原因，并不建議采用警訊自動回應系統(tǒng)∶ 這樣的系統(tǒng)設(shè)定將會非常復雜，因為面對數(shù)量過大的系統(tǒng)設(shè)定，在管理上將會非常困難， 數(shù)量龐大的誤判警訊只會增加系統(tǒng)的復雜度。

在未來，警訊自動回應系統(tǒng)將會影響整體的資訊安全架構(gòu)，包含自動重新設(shè)定網(wǎng)路元件以配合入侵偵測系統(tǒng)，例如防火墻的設(shè)定，過濾路由器（filtering routers），網(wǎng)路管理及作業(yè)系統(tǒng)等。

加密後的網(wǎng)路封包
網(wǎng)路端入侵偵測系統(tǒng)無法對加密（encrypted）過後的網(wǎng)路封包進行分析檢視，所以入侵偵測僅能等網(wǎng)路封包到達主機端并經(jīng)過解密（decrypted）後才能有效地發(fā)揮其功能。

加密功能
許多入侵偵測系統(tǒng)產(chǎn)品在管理控制臺與監(jiān)聽裝置之間傳遞資訊時，并不會對資料進行加密，因此這些資訊有可能會被竊取、刪除或是被修改，然而攻擊者有可能利用這些資訊來掩飾他們的行跡，或是截取系統(tǒng)的弱點資訊，而用來計劃進一步的攻擊。如果資訊安全對一個企業(yè)環(huán)境而言是一項非常重要考量時，將這樣的資訊加密將會是一項很有效且安全的作法。

IDS的明天
盡管這些技術(shù)性上的不足，但是我們?nèi)匀豢梢栽谝恍┻^濾效力較高、僅會收集并回報有限事件的系統(tǒng)上，看到入侵偵測系統(tǒng)所能帶來的優(yōu)點以及不斷提升的系統(tǒng)安全。有限的自動事件偵測及記錄檔案分析當然會比完全沒有這樣的功能要來的好，但是除非入侵偵測系統(tǒng)的產(chǎn)品廠商能夠克服上述的各項瓶頸，不然入侵偵測系統(tǒng)的應用將還是會有所局限。