智能化和可視化:下一代IDS發展方向

入侵檢測系統(IDS)毫無疑問早已成為企業網絡必須配備的安全產品，經過十多年的發展，無論是技術體系還是市場格局，都已經非常清晰完善。然而，廠商并沒有停止研發的步伐。3月23日，國內老牌IDS廠商啟明星辰宣布推出新一代網絡威脅檢測產品天闐威脅檢測與智能分析系統。啟明星辰產品管理中心副總監沈穎表示:這是一款具歷史意義和實用價值的新一代IDS產品，它解決了長期以來困擾安全管理人員的對海量報警事件進行分析的難題。

沈穎向記者介紹了該產品推出的背景:長期以來，分析IDS的報警事件和日志信息是管理人員日常最大的工作量，也是最大的挑戰，它不僅要求管理員具有很強的專業知識，還讓管理員面臨著事件數量日益膨脹的挑戰。“以奧運會為例，奧運是海量事件的頂點。奧運期間，啟明監控的流量數以G計，監控的事件數量達到了千萬條級。為此，啟明星辰投入了不少專家做IDS分析。這件事情給了我們很大的沖擊。”他說。“管理員日常面臨的威脅事件越來越多，但也許每100個事件中只有3個事件會給網絡帶來嚴重威脅，其他都是一般的威脅，那么，管理員該如何辨別呢?IDS給管理員帶來了越來越多的困惑。”

那么，能否將一些共性的攻擊事件范式化呢?答案是肯定的。

奧運過后，啟明星辰就開始對IDS方面的經驗進行調查和歸納，調查對象包括啟明星辰的客戶、行業專家以及啟明星辰自己的安全服務專家。當時啟明星辰成立了一個新一代入侵檢測概念開發小組。這個小組不做技術開發，只研究IDS事件處理的哪些經驗可以范式化?哪些經驗可以納入人工知識體系?哪些經驗可進入產品的知識庫體系?哪些經驗可以寫到程序中?“經歷整整六個月的時間，我們歸納了兩個層次，每個層次有五個角度，總共十個角度，下面又劃出很多子流程。然后將這一概念IDS交給研發部門進行研發，經過一年時間的技術開發，終于開發出了新一代IDS系統——天闐威脅檢測與智能分析系統。”他說。

新一代IDS引入了兩個關鍵詞:智能化和可視化。所謂“智能化”，在應用方面可歸納為三點:一是找出關鍵事件，二是告訴用戶這個事件該怎么處理，三是當用戶處理完后智能判斷處理結果、效果如何。“也就是幫助管理員針對海量事件進行智能分析、智能判斷和智能處理，這些以往是靠專家做，現在可以交給程序做。這樣做的效果是，將用戶從海量的分析中解脫出來，比如，系統會自動告訴用戶，100個事件中有3個會確實影響網絡安全，應該怎樣處理，其他可忽略，不必花費太大的精力去處理。”

另外一個關鍵詞“可視化”，是將這些后臺的分析在前面展示出來，比如在屏幕上定位攻擊地點、展示威脅指數，顯示是菜鳥級的黑客還是重量級的黑客等等。讓用戶所見必是所得。

“智能化和可視化，必是未來IDS的發展方向。”沈穎總結說。