入侵檢測系統往往被認為是保護網絡系統的“最后一道安全防線”。
今天的網絡黑客已經學會將真正的攻擊動作隱藏在大量虛假報警之中，這使得用戶質疑——IDS值得投資嗎
近年來，針對網絡系統發起的攻擊技術大有水漲船高之勢，入侵檢測系統的開發者正在面臨一個兩難選擇：發現異常現象時，是報警，還是不報警？不報警，擔心有漏網之魚；報警，則有可能正中攻擊者的圈套。
IDS值得投資嗎
根據國外權威機構近來發布的入侵檢測產品評測報告，目前主流的入侵檢測系統大都存在三個問題：一、存在過多的報警信息，即使在沒有直接針對入侵檢測系統本身的惡意攻擊時，入侵檢測系統也會發出大量報警。二、入侵檢測系統自身的抗強力攻擊能力差。我們知道，入侵檢測系統的智能分析能力越強，處理越復雜，抗強力攻擊的能力就越差。目前入侵檢測系統的設計趨勢是，越來越多地追蹤和分析網絡數據流狀態，使系統的智能分析能力得到提高，但由此引起的弊端是系統的健壯性被削弱，并且，對高帶寬網絡的適應能力有所下降。三是缺乏檢測高水平攻擊者的有效手段?，F有的入侵檢測系統一般都設置了閥值，只要攻擊者將網絡探測、攻擊速度和頻率控制在閥值之下，入侵檢測系統就不會報警。鑒于以上三點，許多用戶質疑：按照入侵檢測系統目前的技術現狀，它值得投資部署嗎？
IDS需要技術創新
這種質疑不是沒有道理。一個配置合理的防火墻加上完善的網絡安全管理策略，完全可以對付低水平的攻擊行為。人們費盡心機構建的“最后的防線”——入侵檢測系統，必須能夠有效防范“高手”攻擊。但是，如果沒有一個全新的設計思路，目前的入侵檢測系統是不能完全勝任此項重任的。究其原因，主要在于以下三點。
首先，現有的入侵檢測系統依賴于一個攻擊特征庫來識別已知攻擊。從這個角度來看，它并不比一般的病毒檢測方法高明多少。基于攻擊特征庫的設計有著兩個明顯的缺點。其一，很難發現新的攻擊手段；其二，攻擊者同樣可以利用Internet上公布的攻擊特征庫，在一分鐘之內，使一個入侵檢測系統產生上千條報警。
第二，在網絡安全體系結構的設計上，入侵檢測系統通常被部署于防火墻之內。這并不是擔心入侵檢測系統會受到直接攻擊，真正原因是，現有的網絡攻擊已經非常頻繁，一個放置于防火墻之外的入侵檢測系統會讓安全管理者沒有片刻的安寧。但這卻是一個設計失誤——被防火墻系統阻攔住的外部攻擊包對于入侵檢測系統進行有效網絡攻擊智能分析具有非常重要的價值。實際上，缺乏有效的信息源是現有的入侵檢測系統表現“低能”的根本原因。
第三，網絡中上演的攻擊和反攻擊與人類戰爭有相似之處，都是攻與防的較量，如果防守者不采取積極防御措施，永遠只能處于被動挨打局面。具體到入侵檢測系統，積極防御并不是在發現攻擊者時發送警告，甚至回敬幾個攻擊包“打死”對方，而是一種“欺騙戰術”，其基本思想是，建立一個完整的信息保護體系，使各種虛假信息和真實信息混于一體，從而達到信息保護的目的。就網絡入侵檢測而言，當一個攻擊者在全面摸清了目標網絡的詳細情況之后，人們要想防止其進攻幾乎是不可能的。一個攻擊高手往往會用很長時間去探查一個網絡，在進行一番詳細偵察之后，攻擊者只須靜待一個新的系統漏洞的出現。例如，如果攻擊者獲悉了Windows 2000服務器存在的一個堆棧溢出漏洞，他就可能在一分鐘之內，占領目標主機，并在另外一分鐘之內，控制整個目標網絡。
從積極防御的角度看，保護一個網絡必須從兩方面入手。一是在入侵者早期網絡偵察時及時發現對方，二是通過回應欺騙信息給窺探者，并在隨后發生的實際攻擊時準確判定入侵者的身份。以上兩點是相輔相成的。需要指出的是，這種基于欺騙戰術的積極防御，不同于傳統的陷阱系統設計，大多數安全專家認為，一個配置有誤的陷阱系統無疑是一扇敞開的大門，而且一個被攻占的陷阱系統會給用戶帶來法律上的麻煩，他們不贊成使用。
積極防御是有益的嘗試
ActiveDefense（積極防御）技術是由廣州前衛信息安全技術有限公司自主研發的技術，它應用在其eDefence 2000入侵檢測系統之中，可以使一個實際網絡變得真假難辨。部署于防火墻之外的eDefence 2000系統能夠實時檢測網絡攻擊，同時還能夠在入侵者前來窺探時施放各種“煙幕彈”。
該系統另一個與眾不同的設計是，它將檢測系統分為前后兩臺機器，后臺系統不再是一個簡單的管理終端，而是一個有著豐富知識庫的專家系統。利用專家系統提供的面向分析推理的規則語言，只須編寫幾條規則，而后存入知識庫，就可以一眼看出入侵者的真面目。一前一后的雙機設計從根本上改善了整個入侵檢測系統的抗攻擊能力。
在網絡世界中上演的的攻防戰爭將永遠是一場沒有盡頭、“魔高一尺，道高一丈”的斗爭。