交换式网路环境下的监听

    目前网路端入侵侦测系统产品在监听交换式网路环境上有其困难。交换式网路环境所产生的问题为∶

    应该监听交换集线器（Switch）的那一部份？（例如∶Cisco 提供一个专门监听的连接埠）

    如果网路区段之间有不协调的频宽速度时会如何？ （例如∶网路骨干是采用100Mbps，而虚拟区域网段(Virtual LAN)或交换网路区段(switched segment)采用的是10Mbps）， 资讯可能在这样的状况下遗失。

    有什么可以改善封包资讯的遗失？因为封包一旦错误并不会在监听埠上重现。

    应该如何处理当入侵侦测系统连接有速限的监听埠时所造成的额外资讯流失？因为监听埠并无能力处理所有连接超过20Mbps速限的网路端入侵侦测系统。

    未来的入侵侦测系统产品在监听交换网路的能力上将会有较好改善。较理想、可改善交换网路监听的速度及品质的方式，便是将入侵侦测的核心引擎（intrusion detection engine）与入侵攻击特征（attack pattern）的辨识系统分隔开。不过，这样的分隔建置在技术上要达到是十分困难的，因为必须要将较高速且高效能的入侵侦测系统建置在硬体及可程式化的特定应用整合线路
（Application-Specific Integrated Circuits - ASICs）平台上。

    注∶ASIC是特别设计用以执行特定应用程式的硬体晶片，执行效能较一般的处理晶片 （CPU）效率更高。

    建置及运作上的困难

    入侵侦测系统的建置是十分困难的，主要原因出在建置所需的各项资源及技术上的复杂程度；当然这也可以说是所有资讯安全系统建置上所共同面临的问题。入侵侦测系统建置的困难，主要是因为对建置小组而言产生过多的警讯报告。尤其是在初期的建置阶段，警讯报告的过多及重复性将会把整个企业给淹没。要解决建置上的困难可以考虑采用以下的建议∶

    事先规划完善的整体架构

    事先规划有效的紧急事件反应能力及作业流程

    从别人的经验中学习。

    当入侵侦测系统一旦正式开始上线运作，系统升级维护及警讯评估调查所需的资源及人力将会是另一项不可低估轻视的工作。网路专家及调查专家需要评估判断各项警讯以决定是否需要采取进一步的行动。

    对未知攻击方式的有限侦测

    不论是网路端或是主机端入侵侦测系统，目前皆是依赖已知的攻击手法以及过去所曾发生过的攻击方式。新颖的攻击技巧将会为系统带来意外，正如同防毒侦测软体一样，无法有效地侦测到未知的病毒，除非病毒特征（virus signature/ pattern）已经更新并包含到防毒软体之中。较完善的入侵侦测产品厂商会迅速地对最新的攻击手法做回应并且更新其产品，厂商应提高更新入侵攻击特征资料的频率，改以每日或双周更新而非每月或每三个月的方式。期望未来的产品能够让使用者自行决定是要使用异常使用侦测方式（Anomal Detection）或是使用不当使用侦测方式（Misuse Detection），而且未来的产品将能提供使用者即时的自定异常使用或不当使用资讯的功能；对入侵侦测的效果将会有明显的提升。