从规则集看IDS网络探测器的检测能力

　　随着企业和组织对网络安全的日益重视，网络IDS产品以其强大的检测攻击的能力已经成为必要的防火墙、防病毒产品后又一个安全组件设备。从检测方式看IDS产品可分为基于规则（基于误用）和基于异常。基于规则的IDS技术相对成熟，检测准确性可以做的很高，但致命弱点是和反病毒产品一样只能检测已知攻击。基于异常的检测技术还不太成熟，检测准确性不太高，但其最大的优势是通过分析异常检测某些未知攻击，是当前理论界和工业界的研究热点[1]，随着研究的深入在不久的将来很可能逐步取得突破（实际上以协议分析技术为基础协议异常分析已经相当成熟了）。

　　从IDS检测引擎的实现上主要有两种，一种是简单的ngrep类型的引擎，这种检测引擎对数据包作基本的IP/TCP/UDP/ICMP等三、四层协议解码后就结合数据包数据区的内容匹配来检测攻击，这种实现方式的优点是实现简单，加入规则容易，在规则总数较少的情况下效率较高。ngrep类型的引擎缺点也非常明显，由于只对数据包内容做生硬的匹配无法抵抗多种的变形攻击，非常容易受到愚弄而被绕过，也因为数据匹配的范围很大，在规则总数大量增加的情况下引擎的效率会极剧下降。为了减少ngrep类检测引擎与生俱来的缺陷，当今主流IDS网络探测器普遍使用了高层协议分析技术，也就是加入了对第七层应用层协议的解码和状态分析，这样做虽然很大程度上加大了检测引擎的复杂性，但极大的提高了检测的准确性并能检测检测到某些协议异常的未知攻击，由于匹配区间的减小，在大量加载规则的情况下也不会造成性能太大下降，因此基于协议分析的引擎比单纯的ngrep类型的检测要高级的多。

　　目前市面上充斥了大量的IDS产品，都号称自己是优秀的产品，拥有强大的检测能力，是否真如厂商所称的那样呢？当然你可以读各种各样的厂商或第三方的产品测试报告来试图了解个大概，但IDS产品的测试非常复杂，涉及到各种技术和环境的影响，因为IDS技术从整体上还不成熟，所以应该说当前大多数的IDS评测也是极不完善的，从测试方法上就存在很多先天的缺陷，其结果并不能真实反映产品实际环境下的能力，有时候评测结果甚至完全是误导性的。