由EDS引发的思考
　　IDS（Intrusion Detection System，入侵检测系统）能检测到网络上发生的入侵行为，这当然是好事，即使不能由此防止黑客的入侵，但知道事情的真相总比不知道强。最近我读了一位国外专家的文章，他提出了一个新概念——EDS（Error Detection System，错误检测），并认为，EDS应该代替IDS。其实，EDS究竟能否代替IDS并不重要，但这却引起了我的思考。
　　
　　为了保障网络的，用户的网络应该可控，没有用户会希望自己的网络被别人控制着，更不愿意黑客潜伏在自己的网络中，转而去攻击第三方，所以可控性是安全很重要的一个面。可控性本身包含很多方面：对安全策略的控制、对网络上提供的服务的控制、对网络准许的服务的控制、对日志的控制、对网络的监控、对安全策略的执行的控制等。知情是可控的基础，所谓知情就是不仅仅是了解网络中发生了什么，跑的是什么数据内容，而且要了解谁在使用网络、谁同谁通信、网络的安全策略及日志是什么，如果网络出现了异常，还要知道，异常发生的具体时间……在此基础上，用户需要对数据进行鉴别，从中了解，哪些是准许的数据、哪些不是准许的数据，准许的数据被放行，不准许的数据应被禁止。
　　
　　这就好比一个商店的人员进出状况，其中可能有顾客，也可能有小偷。但是，商店无法要求每一个进出者必须是顾客，否则就不让进。有时候，商家也需要让那些暂时不买东西的潜在客户也进来，一是为了增加人气，二是制造潜在客的购买机会。但是如果所有人都进来，可能小偷也会混进来。网络中的数据传输也是如此，准许放行的数据可能是正常的，也可能是异常的。问题在于什么是正常数据，什么是非正常数据。在异常数据中，有恶意攻击的数据，也有由于网络错误产生的数据，也有大量的无用数据。这里要强调一点，无用的数据有时候是必需的，也是无法全部消除的，这和商店的“通行策略”是完全一样。讨论的目的是为了说明，当事件发生后，确定它是一个正常的或者不正常的事件很容易，但要确定该事件是好还是坏却很困难，其中具有很大的不确定性。一个人进了商店，如果买东西了，是好顾客，如果偷东西了，就是坏顾客。问题在于，对那些进了商店却没有买东西的人，如何定义？
　　
　　入侵检测的困难就在如此。在一个事件的过程中，对一个具有高度不确定性的行为进行实时检测，是一件非常困难的事。所以我们可以理解，为什么Gartner宣布IDS走向死亡的两大理由是漏报和误报。当IDS放宽检测标准时，就会出现大量的漏报，因为其安全策略的判定标准是“无罪推定”；当IDS从严时，就会出现大量的误报，因为这时的安全策略是“宁可错杀一千，不可放过一个”。IDS能不能确定一个恰当的安全策略，理论上存在，但实际操作时就知道，目前，还没有很好的方法可以精确实现，稍微好点的办法是利用人工智能。
　　
　　全面解决网络知情
　　现在我们再想想看，我们真的希望检测到入侵行为吗？答案是否定的，其实，我们根本就不希望发生入侵行为。要控制入侵行为的发生，首先要知情，全面地掌握网络上的流动信息，可以通过网络监控手段——日志、身份认证日志，了解具体情况。同时，平时能经常进行检查和评估，以便持续地改进安全策略，让安全策略和控制机制都能达到最优。这样就有可能做到杜绝网络入侵行为。从这个意义上讲，知情确实很重要。
　　
　　怎样才能做到对网络完全知情？仅仅靠IDS肯定不够，厂商们应该提供一类新的软件，把Sniffer、日志审计、网管、身份认证、网络监控和IDS等都集成起来，就可以全面解决网络的知情问题，并进一步解决网络的可控问题。
　　
--------------------next---------------------