化工产品质量与安全管理



            而绕过 NIDS 的检测。
                （5）TOS
                有些网络设备会处理 TOS 选项，如果 NIDS 与受保护主机各自连接的网络

            设备处理不一样的话，通过精心设置 TOS 选项，将会导致 NDIS 的 Sensor 与受
            保护主机收到的数据分组的顺序不一样，于是有可能导致 NIDS 重组后的数据分
            组与被保护主机的数据分组不一致，从而绕过 NIDS 的监测（尤其在 UDP 包中）。
                2. 针对 IDS 的检测方法局限

                NIDS 常用的检测方法有特征检测、异常检测、状态检测、协议分析等。实
            际中的商用入侵检测系统大都同时采用几种检测方法。NIDS 不能处理加密后的
            数据，如果数据在传输中被加密，即使只是简单的替换，NIDS 也难以处理，如
            采用 SSH、HTTPS、带密码的压缩文件等手段，都可以有效地防止 NIDS 的检测。
            NIDS 难以检测重放攻击、中间人攻击、对网络监听也无能为力。目前的 NIDS

            还难以有效地检测 DDoS 攻击。
                （1）系统实现局限
                由于受 NIDS 保护的主机及其运行的程序各种各样，甚至对同一个协议的实

            现也不尽相同，入侵者可能利用不同系统的不同实现的差异来进行系统信息收集
            （如 Nmap 通过 TCP/IP 指纹来进行对操作系统的识别）或者进行选择攻击，由
            于 NIDS 不大可能通晓这些系统的不同实现，故而可能被入侵者绕过。
                （2）异常检测的局限

                异常检测通常采用统计方法来进行检测。统计方法中的阈值难以有效确定，
            太小的值会产生大量的误报，太大的值会产生大量的漏报，例如系统中配置为
            200 个 / 秒半开 TCP 连接为 SYN_Flooding，则入侵者每秒建立 199 个半开连接
            将不会被视为攻击。异常检测常用于对端口扫描和 DDoS 攻击的检测。NIDS 存

            在一个流量日志的上限，如果扫描间隔超过这个上限，NIDS 将忽略掉这个扫描。
            尽管 NIDS 可以将这个上限配置得很长，但此配置越长，对系统资源要求越多，
            受到针对 NIDS 的 DDoS 攻击的可能性就越大。
                （3）特征检测的局限

                特征检测主要针对网络上公布的黑客工具或者方法，但对于很多以源代码发
            布的黑客工具而言，很多入侵者可以对源代码进行简单的修改（如黑客经常修改
            特洛伊木马的代码），产生攻击方法的变体，就可以绕过 NIDS 的检测。



            ·90·