可視化入侵檢測系統(tǒng) IDS的新方向

     聯(lián)合電訊社/北京--用計算機(jī)編輯文檔，發(fā)送郵件，是很多辦公室人士的日常工作，有的時候甚至是他們的全部工作。從技術(shù)角度來看，命令行方式環(huán)境下如DOS、Linux等，這些辦公需求基本都可以被滿足，但沒有人會放棄Windows。很簡單，因為Windows更簡單。簡單和可視化，作為IT產(chǎn)品的一項非常重要的特性，有的時候其重要性甚至?xí)谐狡渌δ芴匦缘目赡堋?

　　入侵檢測的難題

　　入侵檢測系統(tǒng)IDS迄今已有近20年的應(yīng)用歷史了，在過去的數(shù)次技術(shù)變革中，入侵檢測技術(shù)得到了長足的發(fā)展，從最初的模式匹配技術(shù)，到后來結(jié)合協(xié)議分析的檢測技術(shù);從最早的遵循RFC標(biāo)準(zhǔn)的協(xié)議識別技術(shù)，到基于協(xié)議指紋技術(shù)的動態(tài)協(xié)議識別技術(shù);從基于攻擊數(shù)據(jù)特征的檢測技術(shù)，到基于攻擊機(jī)理的檢測技術(shù)。大量研究人員將精力放在了如何使檢測更加準(zhǔn)確和全面上，而對如何讓用戶能更加準(zhǔn)確地“讀懂”IDS，投入就顯得不足了。最為常見的場景是：將所有數(shù)據(jù)分析結(jié)果全都在界面上“呈現(xiàn)”出來，僅僅是一個數(shù)據(jù)的展現(xiàn)。這種情況下，不可避免的帶來用戶的抱怨：IDS不好用，看不懂IDS的報警信息。

　　是否解決這個問題，以及如何解決這個問題，成了影響入侵檢測產(chǎn)品能否獲得使用者認(rèn)可的關(guān)鍵。那入侵檢測的數(shù)據(jù)展現(xiàn)，應(yīng)當(dāng)往哪個方向發(fā)展呢

　　可視化的入侵檢測系統(tǒng)

　　作為國內(nèi)入侵檢測市場的領(lǐng)頭羊，帶著如何才能更好地使用入侵檢測這個目的，啟明星辰進(jìn)行了大量的用戶調(diào)研工作，隨著信息的收集和反饋的積累，一個概念逐漸清晰了起來：可視化。

　　可視化概念的推出，意味著入侵檢測新時代的到來——入侵檢測技術(shù)幾近完美，現(xiàn)在該輪到關(guān)注用戶體驗了。

　　入侵檢測作為企業(yè)級網(wǎng)絡(luò)安全設(shè)備，其使用者大致可分為兩類：運(yùn)維人員和管理人員。困擾著運(yùn)維人員的問題是：面對事件洪水的無所適從、無法判斷事件是否真實(shí)發(fā)生、不知道該如何有效處理安全事件以及對大規(guī)?？绲赜虿渴饡r的管理。而作為管理人員來說，則容易被冗余信息所困擾，無法直觀了解威脅態(tài)勢。

　　對運(yùn)維人員來說，一般工作流程為：先設(shè)定需要關(guān)注哪些事件重要的，值得關(guān)注的，可以排除干擾信息直奔需要關(guān)注的重點(diǎn)，并分析其中是否存在誤報，對那些確定的安全事件進(jìn)行處理，同時調(diào)整檢測策略，所有的這些數(shù)據(jù)和信息又都可以作為輔助決策需要關(guān)注哪些事件的依據(jù)，這就是運(yùn)維人員的閉環(huán)。

　　而管理人員則關(guān)注更高層面的問題：網(wǎng)絡(luò)中有沒有威脅存在這些威脅出現(xiàn)在什么地方會有什么影響是不是可以解決解決之后網(wǎng)絡(luò)是不是因此而更加安全了怎么來評價是更加安全了之后會不會還有新的威脅存在這是管理人員的閉環(huán)。

　　這兩個閉環(huán)流程，目的是解決運(yùn)維人員可操作，管理人員可決策的問題，這就是入侵檢測系統(tǒng)的“可視化”過程，入侵檢測產(chǎn)品的發(fā)展方向。

　　入侵檢測，這個曾被視作“抓黑客”“找蠕蟲”的安全產(chǎn)品，在“可視化”概念提出后，將獲得一個全新的定義：幫助網(wǎng)絡(luò)管理者及時、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)的各種入侵行為與網(wǎng)絡(luò)異?，F(xiàn)象，并能進(jìn)行告警、跟蹤、定位的實(shí)時檢測系統(tǒng);通過對網(wǎng)絡(luò)面臨威脅的監(jiān)控與分析，展示網(wǎng)絡(luò)總體的安全態(tài)勢的安全管理工具。更加關(guān)注用戶體驗的可視化入侵檢測系統(tǒng)，是對入侵檢測系統(tǒng)客戶價值的一次飛躍式的提升，也必將推動入侵檢測系統(tǒng)普及化時代的到來。