RFID世界網(wǎng) >
新聞中心 >
行業(yè)動(dòng)態(tài) >
正文
可視化入侵檢測(cè)系統(tǒng) IDS的新方向
摘要:用計(jì)算機(jī)編輯文檔,發(fā)送郵件,是很多辦公室人士的日常工作,有的時(shí)候甚至是他們的全部工作。從技術(shù)角度來(lái)看,命令行方式環(huán)境下如DOS、Linux等,這些辦公需求基本都可以被滿(mǎn)足,但沒(méi)有人會(huì)放棄Windows。很簡(jiǎn)單,因?yàn)閃indows更簡(jiǎn)單。簡(jiǎn)單和可視化,作為IT產(chǎn)品的一項(xiàng)非常重要的特性,有的時(shí)候其重要性甚至?xí)谐狡渌δ芴匦缘目赡堋?
聯(lián)合電訊社/北京--用計(jì)算機(jī)編輯文檔,發(fā)送郵件,是很多辦公室人士的日常工作,有的時(shí)候甚至是他們的全部工作。從技術(shù)角度來(lái)看,命令行方式環(huán)境下如DOS、Linux等,這些辦公需求基本都可以被滿(mǎn)足,但沒(méi)有人會(huì)放棄Windows。很簡(jiǎn)單,因?yàn)閃indows更簡(jiǎn)單。簡(jiǎn)單和可視化,作為IT產(chǎn)品的一項(xiàng)非常重要的特性,有的時(shí)候其重要性甚至?xí)谐狡渌δ芴匦缘目赡堋?
入侵檢測(cè)的難題
入侵檢測(cè)系統(tǒng)IDS迄今已有近20年的應(yīng)用歷史了,在過(guò)去的數(shù)次技術(shù)變革中,入侵檢測(cè)技術(shù)得到了長(zhǎng)足的發(fā)展,從最初的模式匹配技術(shù),到后來(lái)結(jié)合協(xié)議分析的檢測(cè)技術(shù);從最早的遵循RFC標(biāo)準(zhǔn)的協(xié)議識(shí)別技術(shù),到基于協(xié)議指紋技術(shù)的動(dòng)態(tài)協(xié)議識(shí)別技術(shù);從基于攻擊數(shù)據(jù)特征的檢測(cè)技術(shù),到基于攻擊機(jī)理的檢測(cè)技術(shù)。大量研究人員將精力放在了如何使檢測(cè)更加準(zhǔn)確和全面上,而對(duì)如何讓用戶(hù)能更加準(zhǔn)確地“讀懂”IDS,投入就顯得不足了。最為常見(jiàn)的場(chǎng)景是:將所有數(shù)據(jù)分析結(jié)果全都在界面上“呈現(xiàn)”出來(lái),僅僅是一個(gè)數(shù)據(jù)的展現(xiàn)。這種情況下,不可避免的帶來(lái)用戶(hù)的抱怨:IDS不好用,看不懂IDS的報(bào)警信息。
是否解決這個(gè)問(wèn)題,以及如何解決這個(gè)問(wèn)題,成了影響入侵檢測(cè)產(chǎn)品能否獲得使用者認(rèn)可的關(guān)鍵。那入侵檢測(cè)的數(shù)據(jù)展現(xiàn),應(yīng)當(dāng)往哪個(gè)方向發(fā)展呢
可視化的入侵檢測(cè)系統(tǒng)
作為國(guó)內(nèi)入侵檢測(cè)市場(chǎng)的領(lǐng)頭羊,帶著如何才能更好地使用入侵檢測(cè)這個(gè)目的,啟明星辰進(jìn)行了大量的用戶(hù)調(diào)研工作,隨著信息的收集和反饋的積累,一個(gè)概念逐漸清晰了起來(lái):可視化。
可視化概念的推出,意味著入侵檢測(cè)新時(shí)代的到來(lái)——入侵檢測(cè)技術(shù)幾近完美,現(xiàn)在該輪到關(guān)注用戶(hù)體驗(yàn)了。
入侵檢測(cè)作為企業(yè)級(jí)網(wǎng)絡(luò)安全設(shè)備,其使用者大致可分為兩類(lèi):運(yùn)維人員和管理人員。困擾著運(yùn)維人員的問(wèn)題是:面對(duì)事件洪水的無(wú)所適從、無(wú)法判斷事件是否真實(shí)發(fā)生、不知道該如何有效處理安全事件以及對(duì)大規(guī)??绲赜虿渴饡r(shí)的管理。而作為管理人員來(lái)說(shuō),則容易被冗余信息所困擾,無(wú)法直觀(guān)了解威脅態(tài)勢(shì)。
對(duì)運(yùn)維人員來(lái)說(shuō),一般工作流程為:先設(shè)定需要關(guān)注哪些事件重要的,值得關(guān)注的,可以排除干擾信息直奔需要關(guān)注的重點(diǎn),并分析其中是否存在誤報(bào),對(duì)那些確定的安全事件進(jìn)行處理,同時(shí)調(diào)整檢測(cè)策略,所有的這些數(shù)據(jù)和信息又都可以作為輔助決策需要關(guān)注哪些事件的依據(jù),這就是運(yùn)維人員的閉環(huán)。
而管理人員則關(guān)注更高層面的問(wèn)題:網(wǎng)絡(luò)中有沒(méi)有威脅存在這些威脅出現(xiàn)在什么地方會(huì)有什么影響是不是可以解決解決之后網(wǎng)絡(luò)是不是因此而更加安全了怎么來(lái)評(píng)價(jià)是更加安全了之后會(huì)不會(huì)還有新的威脅存在這是管理人員的閉環(huán)。
這兩個(gè)閉環(huán)流程,目的是解決運(yùn)維人員可操作,管理人員可決策的問(wèn)題,這就是入侵檢測(cè)系統(tǒng)的“可視化”過(guò)程,入侵檢測(cè)產(chǎn)品的發(fā)展方向。
入侵檢測(cè),這個(gè)曾被視作“抓黑客”“找蠕蟲(chóng)”的安全產(chǎn)品,在“可視化”概念提出后,將獲得一個(gè)全新的定義:幫助網(wǎng)絡(luò)管理者及時(shí)、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)的各種入侵行為與網(wǎng)絡(luò)異?,F(xiàn)象,并能進(jìn)行告警、跟蹤、定位的實(shí)時(shí)檢測(cè)系統(tǒng);通過(guò)對(duì)網(wǎng)絡(luò)面臨威脅的監(jiān)控與分析,展示網(wǎng)絡(luò)總體的安全態(tài)勢(shì)的安全管理工具。更加關(guān)注用戶(hù)體驗(yàn)的可視化入侵檢測(cè)系統(tǒng),是對(duì)入侵檢測(cè)系統(tǒng)客戶(hù)價(jià)值的一次飛躍式的提升,也必將推動(dòng)入侵檢測(cè)系統(tǒng)普及化時(shí)代的到來(lái)。
入侵檢測(cè)的難題
入侵檢測(cè)系統(tǒng)IDS迄今已有近20年的應(yīng)用歷史了,在過(guò)去的數(shù)次技術(shù)變革中,入侵檢測(cè)技術(shù)得到了長(zhǎng)足的發(fā)展,從最初的模式匹配技術(shù),到后來(lái)結(jié)合協(xié)議分析的檢測(cè)技術(shù);從最早的遵循RFC標(biāo)準(zhǔn)的協(xié)議識(shí)別技術(shù),到基于協(xié)議指紋技術(shù)的動(dòng)態(tài)協(xié)議識(shí)別技術(shù);從基于攻擊數(shù)據(jù)特征的檢測(cè)技術(shù),到基于攻擊機(jī)理的檢測(cè)技術(shù)。大量研究人員將精力放在了如何使檢測(cè)更加準(zhǔn)確和全面上,而對(duì)如何讓用戶(hù)能更加準(zhǔn)確地“讀懂”IDS,投入就顯得不足了。最為常見(jiàn)的場(chǎng)景是:將所有數(shù)據(jù)分析結(jié)果全都在界面上“呈現(xiàn)”出來(lái),僅僅是一個(gè)數(shù)據(jù)的展現(xiàn)。這種情況下,不可避免的帶來(lái)用戶(hù)的抱怨:IDS不好用,看不懂IDS的報(bào)警信息。
是否解決這個(gè)問(wèn)題,以及如何解決這個(gè)問(wèn)題,成了影響入侵檢測(cè)產(chǎn)品能否獲得使用者認(rèn)可的關(guān)鍵。那入侵檢測(cè)的數(shù)據(jù)展現(xiàn),應(yīng)當(dāng)往哪個(gè)方向發(fā)展呢
可視化的入侵檢測(cè)系統(tǒng)
作為國(guó)內(nèi)入侵檢測(cè)市場(chǎng)的領(lǐng)頭羊,帶著如何才能更好地使用入侵檢測(cè)這個(gè)目的,啟明星辰進(jìn)行了大量的用戶(hù)調(diào)研工作,隨著信息的收集和反饋的積累,一個(gè)概念逐漸清晰了起來(lái):可視化。
可視化概念的推出,意味著入侵檢測(cè)新時(shí)代的到來(lái)——入侵檢測(cè)技術(shù)幾近完美,現(xiàn)在該輪到關(guān)注用戶(hù)體驗(yàn)了。
入侵檢測(cè)作為企業(yè)級(jí)網(wǎng)絡(luò)安全設(shè)備,其使用者大致可分為兩類(lèi):運(yùn)維人員和管理人員。困擾著運(yùn)維人員的問(wèn)題是:面對(duì)事件洪水的無(wú)所適從、無(wú)法判斷事件是否真實(shí)發(fā)生、不知道該如何有效處理安全事件以及對(duì)大規(guī)??绲赜虿渴饡r(shí)的管理。而作為管理人員來(lái)說(shuō),則容易被冗余信息所困擾,無(wú)法直觀(guān)了解威脅態(tài)勢(shì)。
對(duì)運(yùn)維人員來(lái)說(shuō),一般工作流程為:先設(shè)定需要關(guān)注哪些事件重要的,值得關(guān)注的,可以排除干擾信息直奔需要關(guān)注的重點(diǎn),并分析其中是否存在誤報(bào),對(duì)那些確定的安全事件進(jìn)行處理,同時(shí)調(diào)整檢測(cè)策略,所有的這些數(shù)據(jù)和信息又都可以作為輔助決策需要關(guān)注哪些事件的依據(jù),這就是運(yùn)維人員的閉環(huán)。
而管理人員則關(guān)注更高層面的問(wèn)題:網(wǎng)絡(luò)中有沒(méi)有威脅存在這些威脅出現(xiàn)在什么地方會(huì)有什么影響是不是可以解決解決之后網(wǎng)絡(luò)是不是因此而更加安全了怎么來(lái)評(píng)價(jià)是更加安全了之后會(huì)不會(huì)還有新的威脅存在這是管理人員的閉環(huán)。
這兩個(gè)閉環(huán)流程,目的是解決運(yùn)維人員可操作,管理人員可決策的問(wèn)題,這就是入侵檢測(cè)系統(tǒng)的“可視化”過(guò)程,入侵檢測(cè)產(chǎn)品的發(fā)展方向。
入侵檢測(cè),這個(gè)曾被視作“抓黑客”“找蠕蟲(chóng)”的安全產(chǎn)品,在“可視化”概念提出后,將獲得一個(gè)全新的定義:幫助網(wǎng)絡(luò)管理者及時(shí)、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)的各種入侵行為與網(wǎng)絡(luò)異?,F(xiàn)象,并能進(jìn)行告警、跟蹤、定位的實(shí)時(shí)檢測(cè)系統(tǒng);通過(guò)對(duì)網(wǎng)絡(luò)面臨威脅的監(jiān)控與分析,展示網(wǎng)絡(luò)總體的安全態(tài)勢(shì)的安全管理工具。更加關(guān)注用戶(hù)體驗(yàn)的可視化入侵檢測(cè)系統(tǒng),是對(duì)入侵檢測(cè)系統(tǒng)客戶(hù)價(jià)值的一次飛躍式的提升,也必將推動(dòng)入侵檢測(cè)系統(tǒng)普及化時(shí)代的到來(lái)。