x众所周知,IDS(入侵监测系统)一直是解决网络信息安全问题的关键产品,其对安全威胁及病毒等的防护及防御功能已经深入人心。甚至可以认为,只要有信息安全需求的地方就会有IDS的存在。IDS作为用以监测网络的信息安全产品,其安全功能的重要性毋庸置疑,但如何在实现安全的基础上逐步提升应用的简单性,是安全厂商需要重点关注的问题。
　　
　　传统IDS的不足
　　
　　IDS的核心是检测技术,并且已经成为网络安全产品的核心技术之一。IDS从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。
　　可以说,IDS入侵检测系统被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
　　虽然IDS在不断进步,但传统的IDS也存在一些不足。比如:使用IDS以后误判率较高,攻击日志会出现很多,而网络管理员花了大量时间查找原因,却可能没有发现任何攻击。这些误报逐渐导致网络管理员不再关心IDS的报告。
　　此外,有些企业虽然部署了IDS设备,但是防御效果不明显。很多用户发现仍然会发生数据失窃、主机被控之类的攻击。
　　而从用户的角度而言,任何一个稍微复杂的大型网络系统,如果它运用了传统的入侵检测类产品IDS,那么这个系统的IT运维人员往往需要精通对事件的分析技术,并投入大量精力进行威胁排序、威胁定位、威胁处理与统计报告等很多工作。显然,在这种情况下,运维压力会非常大。
　　尤其是当前网络环境复杂多变,在大量事件中,传统IDS往往不能够清晰地反映安全事件的威胁级别,更不用说给IT运维人员提供处理意见和建议了。基于这样的原因,很多用户对IDS技术和产品还不太满意。
　　目前用户对于传统IDS的使用通常有几点经验:首先是定期更新厂家的攻击特征库,其次是对IDS日志进行统计分析,第三就是在攻击发生以后,通过IDS日志寻找可疑的日志信息,从而分析出攻击的来源和攻击造成的影响。
　　不过要做到后面两点,需要IDS提供相应的日志事件管理软件,并且配有专业分析人员。对于很多用户来,这样势必会增加IDS的运维成本。目前在国际上,比较领先的做法是融入智能分析系统,并且让IDS展示出的攻击事件有重点、分级别地呈现在用户面前,解决目前众多用户的问题。
　　
　　智能分析与可视化
　　
　　所谓智能分析系统,是指根据众多安全专家的经验与知识设计的一整套威胁事件智能分析的方法和算法,实现了IDS智能化的威胁检测。换句话说,如果IDS具备了智能分析系统,就意味着IDS具备安全专家长期实战积累下来的知识和经验,这将极大减少IT运维人员的工作量。
　　若想更深入了解智能分析系统,我们不妨先来看一看安全专家处理IDS报警事件的四个步骤:
　　1.确认需要关注的事件:从众多事件日志中排除一些无威胁事件,找出重点关注事件。
　　2.事件分析:通过分析重点关注事件,排除误报的可能。
　　3.事件处理:通过分析后的安全威胁事件,有针对性地进行修复或系统加固,并适当地改变IDS安全策略。
　　4.统计汇报:量化事件产生的数据,提交报告辅助宏观决策。
　　如果将上面专家处理步骤标准化、智能化,开发出一套行之有效的可执行程序,使其变成智能分析系统,那么可以想象,加入智能分析系统的IDS将如虎添翼,从海量事件中自动找出重点安全事件,同时极大地解放IT运维人员的生产力。
　　智能分析系统的核心就是将原有专家处理告警的四个步骤标准化、程序化。从威胁能力、发生频率、流行程度以及用户关注度等不同维度分析事件所带来的影响,从真正意义上解决目前很多IDS用户的困扰,能够在海量事件中,找出重点威胁事件,这是结合了专家知识库后的智能分析系统核心价值所在。
　　此外,通过智能分析系统,将威胁事件可视化,再进行辅助处理,对于用户来说也是一件令人兴奋的事情。因为将威胁可视化可以为IT运维人员提供宏观信息,并能迅速直观发现重点关注事件。
　　目前,国内已经开发出了相应的智能分析系统——天阗威胁检测与智能分析系统。该系统使得威胁检测的结果具有更强的可读性,从而使得威胁检测变得可视化,网络信息安全的运维也相应变得简单。
　　该系统特别突出了产品在智能分析方面的技术能力,同样是对于复杂的大型网络系统,天阗威胁检测与智能分析系统的用户就可以降低其运维人员进行事件分析与处理的工作量,并降低用户使用的技术門槛,即用户无需过多地了解信息安全技术,也可以快速高效进行威胁处理。
　　与此同时,天阗威胁检测与智能分析系统还实现了对重点威胁、威胁定位、威胁处理效果等方面的可视化,通过可视化的表达,简化了事件发现、处理、评估等一系列用户参与过程,这些也让网络安全管理变得更加简单有效。