從性能、效率、檢測率、誤報率等各方面看，使用協議分析的入侵檢測系統比起使用簡單模式匹配的入侵檢測系統有著較大的優勢。下面我們就以HTTP協議為例，結合KIDS（金諾網安入侵檢測系統）中使用的HTTP分析器，對這兩種方法進行比較說明。

GET/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dirHTTP/1.0

一個針對IIS的Unicode攻擊的第一步一般是通過瀏覽器送出類似下面這樣一個HTTP請求：

TCPdport:80;content:“%c1%1c”/i;alert:“IISUnicodeDirectoryTraversal”

TCPdport:80;content:“cmd.exe”/i;alert:“Attempttoexecutecmd”

使用模式匹配的入侵檢測系統會使用類似于下面的規則進行檢測：

第一條規則表示，假如檢測到一個TCP包發向80端口，并且其中含有字符串“%c1%1c”，系統就發出報警“IISUnicodeTraversal”；第二條規則表示，假如檢測到一個TCP包發向80端口，并且其中含有字符串“cmd.exe”（忽略大小寫），系統就發出報警“Attempttoexecutecmd”。

拋開實現上的優化等問題，這樣一個系統有著下面兩個嚴重缺陷：

●誤報　這個方法不考慮TCP連接是否已建立，也不考慮匹配字串會不會可能是合法數據的一部分。非凡是后一情況尤為嚴重。拿換碼序列“%c1%1c”來說，它完全可以是Cookie或GET/POST數據中的合法成員。

●漏報　這一檢測方法要求匹配字串出現在同一數據包中，攻擊者完全可以使用多個數據包來實施這一攻擊。使用Telnet目標主機80，然后直接在命令行上輸入上面的HTTP請求并加上兩個回車，就可以發出攻擊，而這樣的攻擊可能使用了多至64個數據包。攻擊者也可以對“cmd.exe”進行換碼處理——如使用“%63md.exe”，上面的第二條檢測規則就完全沒用了。

KIDS中的HTTP分析器恰恰是針對這兩個缺陷設計的。它具有以下特點：

●使用插件方式運行時動態載入　假如不需要對HTTP進行監測，可以不加載HTTP分析器以節省網絡傳感器的內存開銷。

●KIDS引擎的TCP流重組能力：可對分散在多個數據包中的HTTP請求進行分析處理。

●完整獲取整個HTTP請求：可對請求超長（可能為緩沖區溢出攻擊）進行判定，即使一個HTTP請求跨越了多個TCP包。

●完整分析HTTP0.9、HTTP1.0和HTTP1.1協議：可對一個HTTP連接中的多個HTTP請求分別進行分析處理。

●可對向代理服務器發出的HTTP請求進行分析處理。

●把HTTP請求分解為方法、主機、路徑、查詢字串等部分分別進行分析處理。對路徑部分會進行解碼處理，并對解碼前后的路徑分別進行檢驗。

HTTP分析器里的規則是以xml的方式分層進行組織。我們主要關心的HTTP方法是“GET”、“HEAD”和“POST”，所以我們在Method中對此進行了規定；這意味著，我們只對這三種類型之一的完整HTTP請求進行分析處理。HTTP及其代理的常用端口80、3128和8080在network部分用port標簽進行了規定。rules部分中的host可規定禁止訪問的網站（以域名形式）。path部分規定了如何對解碼前的路徑進行檢驗，而path_decoded部分規定了如何對解碼后的路徑進行檢驗。對于包含“%63md.exe”的路徑，HTTP分析器解碼后會先得到“cmd.exe”，然后很輕易就能在規則中匹配到，并產生編號為1056的事件。HTTP分析器會把事件號和相關信息以統一的格式遞交給響應模塊做下一步處理。

綜上所述，KIDS中的HTTP分析器以獨立的檢測器模塊方式工作，對HTTP請求進行分析處理，能夠更可靠、更有效地對通過HTTP協議發起的攻擊進行檢測。顯然，以模塊化的方式對高層協議進行分析處理，將是未來入侵檢測的方向。