使用基于异常的IDS,与之相反,任何新的攻击方式只要不是正常行为都能被检查到,IDS管理员必须训练和周期地重新训练IDS系统,目的是创建一个正常行为的基线,这会导致一段时间内频繁地出现虚报现象,直到这个基线被调试好为止。
1999年我出席了由Marcus Ranum主持的一个讲座,他提到了基于异常的系统是IDS未来的发展方向,象这样的产品已经可用,如来自Lancope和Arbor Network的产品,但是我仍然希望有人能想出如何才能开发出便宜的易用的东西,这可能导致一类网络底层管理程序增加同样的智能到网络上,无论是虚拟还是真实机器的构成,底层管理需都要借用虚拟平台。
顺便说一下,病毒扫描程序也需要从异常检测技术(如IDS一样)受益,这个观点现在已经被大多数病毒扫描程序证实,它们主要依赖于病毒特征的匹配,尽管如此还是要遭受大量的病毒/木马/蠕虫的爆发,目前基于病毒特征匹配的杀毒工具很明显基本上没什么��果了。
结论
前面这些就是我想到的Linux安全的未来,同时,继续保持使用这个专栏中提到的技术:防火墙、病毒扫描程序、自动补丁/升级工具、VPN和特殊应用程序安全控制如chroot以及审核跟踪。
那么,再见了,本专栏的文章全部结束,我将集中精力在其他新鲜事物上,我将继续我安全编辑的角色,将一如既往地支持Linux journal,给大家带来一些安全领域的内容。