用计算机编辑文档,发送邮件,是很多办公室人士的日常工作,有的时候甚至是他们的全部工作。从技术角度来看,命令行方式环境下(如DOS、Linux等),这些办公需求基本都可以被满足,但没有人会放弃Windows。很简单,因为Windows更简单。简单和可视化,作为IT产品的一项非常重要的特性,有的时候其重要性甚至会有超越其它功能特性的可能。
入侵检测的难题
入侵检测系统(IDS)迄今已有近20年的应用历史了,在过去的数次技术变革中,入侵检测技术得到了长足的发展,从最初的模式匹配技术,到后来结合协议分析的检测技术;从最早的遵循RFC标准的协议识别技术,到基于协议指纹技术的动态协议识别技术;从基于攻击数据特征的检测技术,到基于攻击机理的检测技术。大量研究人员将精力放在了如何使检测更加准确和全面上,而对如何让用户能更加准确地“读懂”IDS,投入就显得不足了。最为常见的场景是:将所有数据分析结果全都在界面上“呈现”出来,仅仅是一个数据的展现。这种情况下,不可避免的带来用户的抱怨:IDS不好用,看不懂IDS的报警信息。
是否解决这个问题,以及如何解决这个问题,成了影响入侵检测产品能否获得使用者认可的关键。那入侵检测的数据展现,应当往哪个方向发展呢?
可视化的入侵检测系统
作为国内入侵检测市场的领头羊,带着如何才能更好地使用入侵检测这个目的,启明星辰进行了大量的用户调研工作,随着信息的收集和反馈的积累,一个概念逐渐清晰了起来:可视化。
可视化概念的推出,意味着入侵检测新时代的到来——入侵检测技术几近完美,现在该轮到关注用户体验了。
入侵检测作为企业级网络安全设备,其使用者大致可分为两类:运维人员和管理人员。困扰着运维人员的问题是:面对事件洪水的无所适从、无法判断事件是否真实发生、不知道该如何有效处理安全事件以及对大规模跨地域部署时的管理。而作为管理人员来说,则容易被冗余信息所困扰,无法直观了解威胁态势。
对运维人员来说,一般工作流程为:先设定需要关注哪些事件(重要的,值得关注的),可以排除干扰信息直奔需要关注的重点,并分析其中是否存在误报,对那些确定的安全事件进行处理,同时调整检测策略,所有的这些数据和信息又都可以作为辅助决策需要关注哪些事件的依据,这就是运维人员的闭环。
而管理人员则关注更高层面的问题:网络中有没有威胁存在?这些威胁出现在什么地方?会有什么影响?是不是可以解决?解决之后网络是不是因此而更加安全了?怎么来评价是更加安全了?之后会不会还有新的威胁存在?这是管理人员的闭环。
这两个闭环流程,目的是解决运维人员可操作,管理人员可决策的问题,这就是入侵检测系统的“可视化”过程,入侵检测产品的发展方向。
入侵检测,这个曾被视作“抓黑客”“找蠕虫”的安全产品,在“可视化”概念提出后,将获得一个全新的定义:帮助网络管理者及时、准确地发现网络的各种入侵行为与网络异常现象,并能进行告警、跟踪、定位的实时检测系统;通过对网络面临威胁的监控与分析,展示网络总体的安全态势的安全管理工具。更加关注用户体验的可视化入侵检测系统,是对入侵检测系统客户价值的一次飞跃式的提升,也必将推动入侵检测系统普及化时代的到来。