智能分析系統讓IDS入侵檢測系統浴火重生
原創【51CTO.com獨家特稿】尤記得當年Gartner曾有預測說IDS(入侵檢測系統)必將死去,可時至今日,IDS似乎還在高端市場中占有很重要的職位。其實,曾幾何時51CTO.com記者也有類似的想法,但與很多用戶溝通之后發現,事實并非如此,而IDS一直戰斗在反黑的第一線。
IDS真的會消亡么?
事實上,IDS作為網絡安全的代表產品之一,其采購群體在國內主要集中在政府特殊部門和專有行業,普通用戶一般不會考慮使用IDS設備。或許正是由于國內IDS市場情況相對特殊,使得IDS設備的利潤相比其他網絡安全產品要好一些,這或許成為眾多安全廠商都愿意推出IDS的主要原因之一。
對于那些認為“IDS已死”的說法觀點核心,無非是IPS將取代IDS。不過術業有專攻,可以肯定的說,IPS與IDS各司其職,IPS更不會取代IDS的地位和作用。在51CTO.com記者看來,IDS(入侵檢測系統)是對傳統安全產品的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。
它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。可以說,IDS入侵檢測系統被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。我們不妨來看一看IDS與其他幾種安全產品執行的任務,也許大家會對IDS有一個新的認識:
◆IDS負責找出攻擊特征,并將安全事件展示出來
◆IPS負責實時阻斷攻擊事件
◆UTM負責訪問控制、VPN,甚至限制流量
◆防火墻負責包過濾檢測
從上面每種安全產品各自不同的作用來看,我們不難看出,幾乎所有安全產品都需要對網絡進行檢測,而IDS的核心就是檢測技術。毫無疑問,IDS,不會消亡,而且作為不可或缺的檢測產品將長期戰斗在反黑的第一線。
傳統IDS亟待解決的問題
雖然IDS不可或缺,同時不得不承認的是,傳統IDS也存在一些詬病,同樣亟待解決一些問題:
誤判率較高:使用IDS以后,攻擊日志會出現很多,而網絡管理員花了大量時間查找原因,卻可能是沒有任何攻擊。這些誤報逐漸導致網絡管理員不再關心IDS的報告。51CTO.com記者認為,造成誤判率較高的根本原因在于傳統IDS無法將安全事件分等級、有重點、有針對性的給用戶提交一份可視化的IDS報告。
防御效果不明顯:雖然部署了IDS設備,但是很多用戶發現仍然會發生數據失竊、主機被控之類的攻擊。在記者看來,之所以防御效果不明顯,是因為無法智能,實時地更新IDS攻擊特征庫,使得新型攻擊特征,能夠輕松逃過IDS的慧眼。
除此之外,當前網絡環境復雜多變,在大量事件中,傳統IDS往往不能夠清晰的反映有安全事件的威脅級別,更不用說,給IT運維人員提供處理意見和建議了。基于這樣的原因,很多用戶對IDS技術和產品還是有些看法。此前,51CTO.com針對網絡安全設備的一次大型調查中發現,有相當一部分IT經理認為部署了IDS后,實際效果并不明顯。而目前用戶對于傳統IDS的使用方法上,通常有幾點經驗:首先是定期更新廠家的攻擊特征庫,其次是對IDS日志進行統計分析,第三就是目前大多數用戶所做的,在攻擊發生以后,通過IDS日志尋找可疑的日志信息,從而分析出攻擊的來源和攻擊造成的影響。
不過要做到后面兩點,需要IDS提供相應的日志事件管理軟件,并且配有專業分析人員。這對于很多用戶來,這樣勢必會增加IDS的運維成本。而在啟明星辰產品管理中心副總監沈穎看來,通過融入智能分析系統,并且讓IDS展示出的攻擊事件有重點,分級別的呈現在用戶面前,就能解決目前眾多用戶的問題。
融入智能分析 IDS的一次浴火重生
如果能在傳統IDS檢測技術基礎上,融入智能分析系統,將威脅事件可視化,再加以輔助處理,那么IDS可謂是一次浴火重生。
所謂智能分析系統是指根據眾多安全專家的經驗與知識,設計的一整套威脅事件智能分析的方法和算法,實現了IDS智能化的威脅檢測。換句話說,如果IDS具備了智能分析系統,就意味著IDS具備安全專家長期實戰積累下來的知識和經驗,這將極大減少IT運維人員的工作量。
若想更深入的了解智能分析系統,我們不妨先來看一看安全專家處理IDS報警事件的四個步驟:
1、 確認需要關注的事件:從眾多事件日志中排除一些無威脅事件,找出重點關注事件。
2、 事件分析:通過分析重點關注事件,排除誤報的可能。
3、 事件處理:通過分析后的安全威脅事件,有針對性的進行修復或系統加固,并適當的改變IDS安全策略。
4、 統計匯報:量化事件產生的數據,提交報告輔助宏觀決策。
如果將上面專家處理步驟標準化,智能化,開發出一套行之有效的可執行程序,使其變成智能分析系統,那么可以想象,加入智能分析系統的IDS將如虎添翼,從海量事件中,自動找出重點安全事件,同時極大地解放了IT運維人員的生產力。從下面的圖片中,或許大家會理解的更深刻一些。
圖1:智能分析系統示意圖
從圖中我們不難看出智能分析系統的核心。就是將原有專家處理告警的四個步驟標準化、程序化。從威脅能力、發生頻率、流行程度以及用戶關注度等不同維度分析事件所帶來的影響,從真正意義上解決了目前很多IDS用戶的困擾,能夠在海量事件中,找出重點威脅事件,這是結合了專家知識庫后的智能分析系統核心價值所在。
此外,通過智能分析系統,將威脅事件可視化,再進行輔助處理,對于用戶來說也是一件令人興奮的事情。因為將威脅可視化可以為IT運維人員提供宏觀信息,并能迅速直觀發現重點關注事件。
打個比方,如果能夠將智能分析出的重點事件分級別,有重點的展示在用戶面前,那么IT運維人員就不必從海量事件信息中再查找什么應該關注,什么不應該關注;哪些不是威脅,哪些是威脅!
這時如果IDS還能提供輔助分析處理手段,那么就將有助于IT運維管理人員選擇知識庫中的經驗和建議,從而大大的節約用戶IT運維成本。
圖2 安全事件輔助處理
眾所周知,國內有很多安全廠商在IDS技術和設備方面投入了很多研發力量,據記者了解,其中啟明星辰在這方面取得了顯著突破。據沈穎介紹,3月正式推出市場的天闐7.0威脅檢測系統,就可以滿足上面所述的需求。
從多個維度對事件進行分析,幫助用戶智能的突出重點事件,并將重點威脅可視化,提供輔助處理建議,是新一代IDS——天闐7.0的優勢所在。對于IDS來說,天闐7.0的問世,從某種意義上說是讓威脅檢測具備了人工智能,這意味著IDS只有專業人員才會使用的時代已經過去,面對海量事件無所適從的時代已經過去,告警事件不知如何處理的情況不再發生。
IDS的未來 機會和挑戰并存
在51CTO.com記者看來,事實上,正是由于智能分析技術融入IDS的實現,才使得威脅檢測的結果具有更強的可讀性,從而使得威脅檢測變得可視化。通過可視化的表達,簡化了事件發現、處理、評估等一系列用戶參與過程,這些讓網絡信息安全的運維也相應變得簡單起來。毫不夸張的說,IDS這個信息安全老三樣產品,在新世紀第二個十年之初,迎來了一次浴火重生。
此外,隨著IT系統架構的不斷演進,用戶對企業網絡安全需求卻越來越高,以往單臺設備擋天下的局面已經成為歷史,IDS技術和產品的發展方向也符合這樣的衍生規律,在日趨復雜的運維體系中,誰能夠使復雜的事情簡單化,誰就能在激烈的市場競爭中占據絕對有利態勢。實現這樣的目標并非難事,比如將融入智能分析系統的IDS與漏洞掃描,或是防火墻、UTM、IPS、上網行為管理設備、終端安全管理等網絡安全設備聯動起來,就能為企業構建起一座堅固的城墻。
然而,IDS技術和產品未來也將面對巨大的挑戰。如果讓上面的簡單安全理念成為現實,滿足用戶不同的需求,IDS還需要不斷地擴充智能分析系統,建立良好的策略分發機制,不能有絲毫的懈怠。同時,面對當前統一計算、虛擬化等新一代網絡環境,安全問題依然很突出,這也是用戶關注的重點,如何解決虛擬化環境中的安全問題和威脅事件處理,也將是IDS技術和產品發展必須攻克的課題之一。不過可以預見的是,隨著IT系統架構不斷的演進,必定會促進像IDS、UTM、防火墻等網絡安全產品不斷前行。
【51CTO.COM 獨家特稿,轉載請注明出處及作者!】
【編輯推薦】
