智能化和可视化：下一代IDS发展方向

　　启明星辰公司发布的新一代入侵检测系统（IDS）将管理员从海量事件分析中解脱出来。

　　本报记者 胡英

　　入侵检测系统（IDS）毫无疑问早已成为企业网络必须配备的安全产品，经过十多年的发展，无论是技术体系还是市场格局，都已经非常清晰完善。然而，厂商并没有停止研发的步伐。3月23日，国内老牌IDS厂商启明星辰宣布推出新一代网络威胁检测产品天阗威胁检测与智能分析系统。启明星辰产品管理中心副总监沈颖表示：这是一款具历史意义和实用价值的新一代IDS产品，它解决了长期以来困扰安全管理人员的对海量报警事件进行分析的难题。

　　沈颖向记者介绍了该产品推出的背景：长期以来，分析IDS的报警事件和日志信息是管理人员日常最大的工作量，也是最大的挑战，它不仅要求管理员具有很强的专业知识，还让管理员面临着事件数量日益膨胀的挑战。“以奥运会为例，奥运是海量事件的顶点。奥运期间，启明监控的流量数以G计，监控的事件数量达到了千万条级。为此，启明星辰投入了不少专家做IDS分析。这件事情给了我们很大的冲击。”他说。“管理员日常面临的威胁事件越来越多，但也许每100个事件中只有3个事件会给网络带来严重威胁，其他都是一般的威胁，那么，管理员该如何辨别呢？IDS给管理员带来了越来越多的困惑。”

　　那么，能否将一些共性的攻击事件范式化呢？答案是肯定的。

　　奥运过后，启明星辰就开始对IDS方面的经验进行调查和归纳，调查对象包括启明星辰的客户、行业专家以及启明星辰自己的安全服务专家。当时启明星辰成立了一个新一代入侵检测概念开发小组。这个小组不做技术开发，只研究IDS事件处理的的哪些经验可以范式化？哪些经验可以纳入人工知识体系？哪些经验可进入产品的知识库体系？哪些经验可以写到程序中？“经历整整六个月的时间，我们归纳了两个层次，每个层次有五个角度，总共十个角度，下面又划出很多子流程。然后将这一概念IDS交给研发部门进行研发，经过一年时间的技术开发，终于开发出了新一代IDS系统——天阗威胁检测与智能分析系统。”他说。

　　新一代IDS引入了两个关键词：智能化和可视化。所谓“智能化”，在应用方面可归纳为三点：一是找出关键事件；二是告诉用户这个事件该怎么处理；三是当用户处理完后智能判断处理结果效果如何。“也就是帮助管理员针对海量事件进行智能分析、智能判断和智能处理，这些以往是靠专家做，现在可以交给程序做。这样做的效果是，将用户从海量的分析中解脱出来，比如，系统会自动告诉用户，100个事件中有3个会确实影响网络安全，应该怎样处理，其他可忽略，不必花费太大的精力去处理。”

　　另外一个关键词“可视化”，是将这些后台的分析在前面展示出来，比如在屏幕上定位攻击地点、展示威胁指数，显示是菜鸟级的黑客还是重要级的黑客等等。让用户所见必是所得。

　　“智能化和可视化，必是未来IDS的发展方向。”沈颖总结说。