入侵检测已死?应用时代的入侵检测技术

虽然入侵检测技术不是什么新型的热点技术,但其在业界一直被广泛讨论。2003年,某安全机构发表了一篇著名的文章,叫《入侵检测已死》,之后,关于入侵检测技术对当今商业化时代安全问题的作用这种讨论达到了高潮。

随后,从入侵检测技术衍生出很多新的技术,例如入侵防护技术(IPS)、网络行为异常检测(NBA),这些都在各大安全社区被广泛讨论。 

同时,稍有安全知识的人都知道,单纯的防护技术总是不够的,必须要有附加的一层来检测攻击。(注意有了检测也还是不够的,还需要应急响应)不管技术的流行趋势是什么,对于入侵检测的需求是一直存在的。

不管选不选IDS不重要,但拥有一套方法来检测攻击了解都发生了什么是非常重要的。因此,有远见的公司甚至将终端用户当作IDS的一部分,因为终端用户可以来发现攻击。

而愚蠢的公司选择将媒体当作IDS,直道媒体报道被攻击了,才做出响应。不要成为后者。一些法规、行业规定都明确指出需要入侵检测技术,以美国为例,FISMA,HIPAA,PCI-DSS,在这些规定中,都对入侵检测做了些要求。尤其是PCI-DSS,作为支付卡数据安全标准,其对数据安全的细节要求很高,必须应用IDS和IPS才能满足这种需求。 

上有政策层面的要求,下有企业自身对入侵检测的要求,为什么IDS在渐渐消失呢?我想这大概就是后概念时代的必然结果,入侵检测的需求太简单,以至于就一句话:能够发现入侵。而入侵检测技术又太复杂,以至于安全厂商放了太多的注意力在技术的开发上。

对入侵发现的需求是切切实实存在的,而且将持续存在,但这并没有规定一定要选择IDS,炒作技术、忽悠外行已经行不通了,在这个当今这个时代,能够切实可用、解决问题才能王道,而不在于是否使用了流行技术。不管技术流行趋势如何变,感知环境、发现入侵的需求是永远不会变的。