目前入侵侦测系统少了什么？

    入侵侦测系统技术目前仍然被视为「尚未完全建全」的状态，以科技的角度来看，的确是还有一些缺点及距离。以下将为大家介绍的是我们期望入侵侦测系统所能带来的功能，但却是在目前的商业入侵侦测系统套装产品中还无法完全克服的瓶颈。

    分布式大规模环境监控

    在一个大规模分布式的网络环境中，结合不同的入侵信息以判断是否有大规模的攻击正在进行是非常困难的。一个多层次的回报系统可以协助合并来自于不同网络区段所产生的入侵信息是非常重要的。但这并不容易克服，因为一个单一的入侵侦测系统的管理控制台能有效地管理为数有限的监听装置。一般来说，每个管理控制台可以连接管理约10至20个监听装置，有些厂商号称可以连接管理30个以上至50个不等的监听装置，但其实际的数量应取决于各企业的网络环境及建置经验，以评估建置多少个监听装置才是最佳的数量。然而在一个大规模的网络环境中，上百个监听装置是必需的，而数十个管理控制台也是无可避免的，所以管理这些系统的管理者也将会有十分沉重的负担。

    事件间的相互关联性

    要将各个不同网络区段上的网络端及主机端入侵侦测系统所侦测到的活动，进行相互关联，对判断攻击事件是十分有帮助而且很重要的功能。现在举个例子，假设攻击者以一个小时才对一个端口或一个IP地址进行慢速的端口扫描，并以这样的方式对多个不同的IP地址进行扫描，此时各个入侵侦测系统对这种方式的慢速攻击是非常难侦测出来的。所以如果这些来自于不同地址的主机能将其各自所侦测到的事件相互关联的话，那入侵攻击方式的特征就会较容易被察觉出来。研究专家认为，未来的入侵侦测系统将会依赖异常使用侦测方式来判断在正常使用之外的可疑活动。

    使用异常使用侦测方式的入侵侦测系统将在事件相互关联上有较好的成效，因为它在察觉入侵攻击的能力不是建立在入侵方式的特征资料，而使建立在侦测异常的使用行为。异常使用侦测方式的入侵侦测系统目前尚未广泛地在商业入侵侦测系统套装产品上被应用。结合异常使用侦测技巧的入侵侦测系统将会显著地提升在侦测未知攻击方式之特征的能力。当然其可管理性也将会成为另一个考量，因为这样的系统会产生更加庞大的资料量，因此也会需要更多的时间及更高的计算机运算能力来监听异常使用的活动。

    降低警讯误判的频率

    无论任何警卫系统都会产生错误的警讯判断，入侵侦测系统当然也不会例外。即使当时毫无任何入侵行为发生，它们可能还是会回报有疑似入侵攻击的行为正在进行中；这样的误判警讯在进行调查及解决时是非常耗时的。降低误判警讯的关键全在于监听装置的部署位置及微调监听装置，以期有效对应到所制定的政策。过滤攻击事件的政策必需很清楚明确地制定，以有效协助监听装置进行微调工作。因为各个监听装置间会产生相对的互动，适当的部署位置及微调将会变得较为复杂，反而因此需要解决因这样的互动所导致的误判警误。