【51CTO.com独家特稿】尤记得当年Gartner曾有预测说IDS(入侵检测系统)必将死去,可时至今日,IDS似乎还在高端市场中占有很重要的职位。其实,曾几何时51CTO.com记者也有类似的想法,但与很多用户沟通之后发现,事实并非如此,而IDS一直战斗在反黑的第一线。
IDS真的会消亡么?
事实上,IDS作为网络安全的代表产品之一,其采购群体在国内主要集中在政府特殊部门和专有行业,普通用户一般不会考虑使用IDS设备。或许正是由于国内IDS市场情况相对特殊,使得IDS设备的利润相比其他网络安全产品要好一些,这或许成为众多安全厂商都愿意推出IDS的主要原因之一。
对于那些认为“IDS已死”的说法观点核心,无非是IPS将取代IDS。不过术业有专攻,可以肯定的说,IPS与IDS各司其职,IPS更不会取代IDS的地位和作用。在51CTO.com记者看来,IDS(入侵检测系统)是对传统安全产品的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。可以说,IDS入侵检测系统被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。我们不妨来看一看IDS与其他几种安全产品执行的任务,也许大家会对IDS有一个新的认识:
◆IDS负责找出攻击特征,并将安全事件展示出来
◆IPS负责实时阻断攻击事件
◆UTM负责访问控制、VPN,甚至限制流量
◆防火墙负责包过滤检测
从上面每种安全产品各自不同的作用来看,我们不难看出,几乎所有安全产品都需要对网络进行检测,而IDS的核心就是检测技术。毫无疑问,IDS,不会消亡,而且作为不可或缺的检测产品将长期战斗在反黑的第一线。
传统IDS亟待解决的问题
虽然IDS不可或缺,同时不得不承认的是,传统IDS也存在一些诟病,同样亟待解决一些问题:
误判率较高:使用IDS以后,攻击日志会出现很多,而网络管理员花了大量时间查找原因,却可能是没有任何攻击。这些误报逐渐导致网络管理员不再关心IDS的报告。51CTO.com记者认为,造成误判率较高的根本原因在于传统IDS无法将安全事件分等级、有重点、有针对性的给用户提交一份可视化的IDS报告。
防御效果不明显:虽然部署了IDS设备,但是很多用户发现仍然会发生数据失窃、主机被控之类的攻击。在记者看来,之所以防御效果不明显,是因为无法智能,实时地更新IDS攻击特征库,使得新型攻击特征,能够轻松逃过IDS的慧眼。
除此之外,当前网络环境复杂多变,在大量事件中,传统IDS往往不能够清晰的反映有安全事件的威胁级别,更不用说,给IT运维人员提供处理意见和建议了。基于这样的原因,很多用户对IDS技术和产品还是有些看法。此前,51CTO.com针对网络安全设备的一次大型调查中发现,有相当一部分IT经理认为部署了IDS后,实际效果并不明显。而目前用户对于传统IDS的使用方法上,通常有几点经验:首先是定期更新厂家的攻击特征库,其次是对IDS日志进行统计分析,第三就是目前大多数用户所做的,在攻击发生以后,通过IDS日志寻找可疑的日志信息,从而分析出攻击的来源和攻击造成的影响。
不过要做到后面两点,需要IDS提供相应的日志事件管理软件,并且配有专业分析人员。这对于很多用户来,这样势必会增加IDS的运维成本。而在启明星辰产品管理中心副总监沈颖看来,通过融入智能分析系统,并且让IDS展示出的攻击事件有重点,分级别的呈现在用户面前,就能解决目前众多用户的问题。
融入智能分析 IDS的一次浴火重生
如果能在传统IDS检测技术基础上,融入智能分析系统,将威胁事件可视化,再加以辅助处理,那么IDS可谓是一次浴火重生。
所谓智能分析系统是指根据众多安全专家的经验与知识,设计的一整套威胁事件智能分析的方法和算法,实现了IDS智能化的威胁检测。换句话说,如果IDS具备了智能分析系统,就意味着IDS具备安全专家长期实战积累下来的知识和经验,这将极大减少IT运维人员的工作量。
若想更深入的了解智能分析系统,我们不妨先来看一看安全专家处理IDS报警事件的四个步骤:
1、 确认需要关注的事件:从众多事件日志中排除一些无威胁事件,找出重点关注事件。
2、 事件分析:通过分析重点关注事件,排除误报的可能。
3、 事件处理:通过分析后的安全威胁事件,有针对性的进行修复或系统加固,并适当的改变IDS安全策略。
4、 统计汇报:量化事件产生的数据,提交报告辅助宏观决策。
如果将上面专家处理步骤标准化,智能化,开发出一套行之有效的可执行程序,使其变成智能分析系统,那么可以想象,加入智能分析系统的IDS将如虎添翼,从海量事件中,自动找出重点安全事件,同时极大地解放了IT运维人员的生产力。从下面的图片中,或许大家会理解的更深刻一些。
图1:智能分析系统示意图
从图中我们不难看出智能分析系统的核心。就是将原有专家处理告警的四个步骤标准化、程序化。从威胁能力、发生频率、流行程度以及用户关注度等不同维度分析事件所带来的影响,从真正意义上解决了目前很多IDS用户的困扰,能够在海量事件中,找出重点威胁事件,这是结合了专家知识库后的智能分析系统核心价值所在。
此外,通过智能分析系统,将威胁事件可视化,再进行辅助处理,对于用户来说也是一件令人兴奋的事情。因为将威胁可视化可以为IT运维人员提供宏观信息,并能迅速直观发现重点关注事件。
打个比方,如果能够将智能分析出的重点事件分级别,有重点的展示在用户面前,那么IT运维人员就不必从海量事件信息中再查找什么应该关注,什么不应该关注;哪些不是威胁,哪些是威胁!
这时如果IDS还能提供辅助分析处理手段,那么就将有助于IT运维管理人员选择知识库中的经验和建议,从而大大的节约用户IT运维成本。
图2 安全事件辅助处理
众所周知,国内有很多安全厂商在IDS技术和设备方面投入了很多研发力量,据记者了解,其中启明星辰在这方面取得了显著突破。据沈颖介绍,3月正式推出市场的天阗7.0威胁检测系统,就可以满足上面所述的需求。
从多个维度对事件进行分析,帮助用户智能的突出重点事件,并将重点威胁可视化,提供辅助处理建议,是新一代IDS——天阗7.0的优势所在。对于IDS来说,天阗7.0的问世,从某种意义上说是让威胁检测具备了人工智能,这意味着IDS只有专业人员才会使用的时代已经过去,面对海量事件无所适从的时代已经过去,告警事件不知如何处理的情况不再发生。
IDS的未来 机会和挑战并存
在51CTO.com记者看来,事实上,正是由于智能分析技术融入IDS的实现,才使得威胁检测的结果具有更强的可读性,从而使得威胁检测变得可视化。通过可视化的表达,简化了事件发现、处理、评估等一系列用户参与过程,这些让网络信息安全的运维也相应变得简单起来。毫不夸张的说,IDS这个信息安全老三样产品,在新世纪第二个十年之初,迎来了一次浴火重生。
此外,随着IT系统架构的不断演进,用户对企业网络安全需求却越来越高,以往单台设备挡天下的局面已经成为历史,IDS技术和产品的发展方向也符合这样的衍生规律,在日趋复杂的运维体系中,谁能够使复杂的事情简单化,谁就能在激烈的市场竞争中占据绝对有利态势。实现这样的目标并非难事,比如将融入智能分析系统的IDS与漏洞扫描,或是防火墙、UTM、IPS、上网行为管理设备、终端安全管理等网络安全设备联动起来,就能为企业构建起一座坚固的城墙。
然而,IDS技术和产品未来也将面对巨大的挑战。如果让上面的简单安全理念成为现实,满足用户不同的需求,IDS还需要不断地扩充智能分析系统,建立良好的策略分发机制,不能有丝毫的懈怠。同时,面对当前统一计算、虚拟化等新一代网络环境,安全问题依然很突出,这也是用户关注的重点,如何解决虚拟化环境中的安全问题和威胁事件处理,也将是IDS技术和产品发展必须攻克的课题之一。不过可以预见的是,随着IT系统架构不断的演进,必定会促进像IDS、UTM、防火墙等网络安全产品不断前行。
【51CTO.COM 独家特稿,转载请注明出处及作者!】
【编辑推荐】
