IDS存在的问题及发展趋势(2)

　　(2).内容恢复和网络审计功能的引入

　　前面已经提到，入侵检测的最高境界是行为分析。但行为分析前还不是很成熟，因此，个别优秀的入侵检测产品引入了内容恢复和网络审计功能。

　　内容恢复即在协议分析的基础上，对网络中发生的应为加以完整的重组和记录，网络中发生的任何行为都逃不过它的监视。网络审计即对网络中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中的网络审计不仅类似防火墙可以记录网络进出信息，还可以记录网络内部连接状况，此功能对内容恢复无法恢复的加密连接尤其有用。

　　内容恢复和网络审计让管理员看到网络的真正运行状况，其实就是调动管理员参与行为分析过程。此功能不仅能使管理员看到孤立的攻击事件的报警，还可以看到整个攻击过程，了解攻击确实发生与否，查看攻击着的操作过程，了解攻击造成的危害。不但发现已知攻击，同时发现未知攻击。不当发现外部攻击者的攻击，也发现内部用户的恶意行为。毕竟管理员是最了解其网络的，管理员通过此功能的使用，很好的达成了行为分析的目的。但使用此功能的同时需注意对用户隐私的保护。

　　(3).集成网络分析和管理功能

　　入侵检测不但对网络攻击是一个检测。同时，侵检测可以收到网络中的所有数据，对网络的故障分析和健康管理也可起到重大作用。当管理员发现某台主机有问题时，也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法，最好能和主动分析结合。所以，入侵检测产品集成网管功能，扫描器(Scanner)，嗅探器(Sniffer)等功能是以后发展的方向。

　　(4).安全性和易用性的提高

　　入侵检测是个安全产品，自身安全极为重要。因此，目前的入侵检测产品大多采用硬件结构，黑洞式接入，免除自身安全问题。同时，对易用性的要求也日益增强，例如：全中文的图形界面，自动的数据库维护，多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。

　　(5).改进对大数据量网络的处理方法

　　随着对大数据量处理的要求，入侵检测的性能要求也逐步提高，出现了千兆入侵检测等产品。但如果入侵检测检测产品不仅具备攻击分析，同时具备内容恢复和网络审计功能，则其存储系统也很难完全工作在千兆环境下。这种情况下，网络数据分流也是一个很好的解决方案，性价比也较好。这也是国际上较通用的一种作法。

　　(6).防火墙联动功能

　　入侵检测发现攻击，自动发送给放火墙，防火墙加载动态规则拦截入侵，称为防火墙联动功能。目前此功能还没有到完全实用的阶段，主要是一种概念。随便使用会导致很多问题。目前主要的应用对象是自动传播的攻击，如Nimda等，联动只在这种场合有一定的作用。无限制的使用联动。如未经充分测试，对防火期的稳定性和网络应用会造成负面影响。但随着入侵检测产品检测准确度的提高，联动功能日益趋向实用化。