在過去近40年的網(wǎng)絡(luò)發(fā)展過程中，網(wǎng)絡(luò)傳輸與交換速度從最初的3M到現(xiàn)在的10000M，速度提高了3000多倍，對與之相配套的網(wǎng)絡(luò)管理、網(wǎng)絡(luò)威脅監(jiān)控設(shè)備（例如IDS）也提出了新的要求。

威脅監(jiān)控的發(fā)展經(jīng)歷了三個階段：

第一階段：（單一數(shù)據(jù)來源）集中監(jiān)控；

第二階段：分布式監(jiān)控；

第三階段：（多數(shù)據(jù)來源）集中監(jiān)控。

萬兆網(wǎng)絡(luò)帶來的數(shù)據(jù)大集中使得威脅監(jiān)控再次回歸到“集中監(jiān)控”模式上來。在這個螺旋式的發(fā)展過程中，威脅監(jiān)控從不完善到完善，再到進(jìn)一步完善，在不斷接受挑戰(zhàn)的過程中完善、前行。

萬兆網(wǎng)絡(luò)環(huán)境對威脅監(jiān)控的新要求與挑戰(zhàn)

一、報警數(shù)量的挑戰(zhàn)

經(jīng)統(tǒng)計，以往的IDS系統(tǒng)在千兆環(huán)境下每天平均要產(chǎn)生300條左右的報警事件，事實(shí)證明，這些報警事件已經(jīng)讓安全管理員難以應(yīng)付。而在萬兆數(shù)據(jù)大集中的環(huán)境下，流量的激增必然導(dǎo)致產(chǎn)生更多的、海量的報警事件，如何更有效地展示關(guān)鍵威脅，自動屏蔽掉低質(zhì)量、非關(guān)鍵威脅，降低安全運(yùn)維人員的工作強(qiáng)度，提高安全運(yùn)維人員的工作效率從而降低安全運(yùn)維工作的整體成本，就變得尤為重要。

在設(shè)計上，啟明星辰的萬兆設(shè)備天闐TDS5510將安全運(yùn)維自動化、智能化作為一個重要的設(shè)計目標(biāo)，采用了多種手段在威脅呈現(xiàn)層面向用戶展示關(guān)鍵、重要的威脅，屏蔽低質(zhì)量報警和非關(guān)鍵威脅，其技術(shù)手段主要包括：

1、威脅智能分析：通過多種維度和指標(biāo)，動態(tài)智能分析具體威脅對于用戶的重要程度，從而決定是否需要向用戶呈現(xiàn)。這種智能技術(shù)的采用極大程度地降低了威脅報警的事件量，從而大幅降低了安全監(jiān)控的運(yùn)維工作量和難度，是威脅呈現(xiàn)層面的一個非常實(shí)用的創(chuàng)新。通過一年的用戶環(huán)境的實(shí)際使用反饋，在眾多廠家的IDS對比使用體驗中，該技術(shù)確實(shí)帶給用戶一種全新的使用體驗感受，其設(shè)計與價值得到用戶的普遍認(rèn)可

2、威脅報警的折疊呈現(xiàn)：通過將威脅進(jìn)行兩級折疊展示，實(shí)現(xiàn)了對上報事件從“攻擊事件匯總信息”到“攻擊事件詳細(xì)信息”的二級分層展示，這樣將同一攻擊事件大量重復(fù)的冗余信息折疊到了第二級，使得威脅呈現(xiàn)更加突出重點(diǎn)，威脅呈現(xiàn)更加靈活、清晰、有效。通過對用戶實(shí)際使用的回訪調(diào)研發(fā)現(xiàn)，用戶每天只會對少數(shù)事件（一般是高級事件）才會展開二級折疊獲取事件詳細(xì)信息，而對于其它事件只關(guān)注攻擊事件匯總信息，即不會追溯事件詳細(xì)信息。這充分說明了對于威脅報警二級折疊呈現(xiàn)的設(shè)計符合大多數(shù)用戶的使用習(xí)慣，避免用戶每天需要在海量信息中搜尋所關(guān)注的特定事件的工作，極大地降低了安全監(jiān)控運(yùn)維工作量，降低了安全監(jiān)控運(yùn)維工作的成本。這個功能不是一個創(chuàng)新，但確實(shí)是一個性價比很高的改進(jìn)。

二、突出重點(diǎn)威脅、熱點(diǎn)威脅的挑戰(zhàn)

在萬兆的的網(wǎng)絡(luò)流量環(huán)境下，大量的威脅報警事件混在在一起，使得用戶很難區(qū)分出威脅重點(diǎn)。在海量的報警事件中查詢、統(tǒng)計威脅重點(diǎn)與熱點(diǎn)威脅是一件繁瑣的工作，如果在海量事件中過濾、統(tǒng)計重點(diǎn)事件、熱點(diǎn)威脅，對于提高安全監(jiān)控運(yùn)維人員的工作效率，減輕安全運(yùn)維人員的工作量來說就變得非常重要。

天闐TDS充分考慮到了安全運(yùn)維人員在日常工作中對于重點(diǎn)威脅、熱點(diǎn)威脅的報警展示與統(tǒng)計分析方面的需要，在系統(tǒng)首頁最重要的位置上提供了兩個獨(dú)立的專欄區(qū)域?qū)χ攸c(diǎn)威脅與熱點(diǎn)威脅進(jìn)行展示與統(tǒng)計，使得安全運(yùn)維人員對所關(guān)注的重點(diǎn)與熱點(diǎn)一目了然。

1、關(guān)注重點(diǎn)威脅：對于大多數(shù)用戶來說，由于每天花在安全監(jiān)控方面的時間和精力有限，因此在監(jiān)控的時候，往往希望對普遍性的重點(diǎn)威脅能夠在第一時間內(nèi)了解、掌握，如：今天是否發(fā)生了拒絕服務(wù)攻擊，發(fā)生了多少次？今天是否有木馬、蠕蟲、病毒事件發(fā)生，發(fā)生了多少次？等等。這類對于大多數(shù)用戶來說屬于需要普遍關(guān)注的威脅事件往往就是安全監(jiān)控運(yùn)維工作需要統(tǒng)計分析的重點(diǎn)。

天闐TDS在最重要的頁面（首頁）的最重要位置（左上角）專門提供了一個獨(dú)立的區(qū)域?qū)τ脩羝毡殛P(guān)注的威脅重點(diǎn)進(jìn)行統(tǒng)計，以此來幫助用戶在第一時間內(nèi)獲取重點(diǎn)威脅的發(fā)生情況與統(tǒng)計信息，免去了用戶每天多次重復(fù)性地在海量的報警事件中對此類威脅事件進(jìn)行手工統(tǒng)計的工作。除此之外，考慮到用戶在需要對重點(diǎn)威協(xié)進(jìn)行統(tǒng)計的同時，還需要參考以往重點(diǎn)威協(xié)發(fā)生情況進(jìn)行對比分析的需求，天闐TDS又對重點(diǎn)威協(xié)在以往發(fā)生情況的平均水平進(jìn)行了計算并將計算結(jié)果在該區(qū)域同時提供給用戶，這樣用戶不但對于重點(diǎn)威協(xié)的統(tǒng)計數(shù)據(jù)能夠一目了然，還能夠通過參考重點(diǎn)威協(xié)以往的平均發(fā)生水平數(shù)據(jù)對當(dāng)前的重點(diǎn)威協(xié)發(fā)生情況進(jìn)行有效的態(tài)勢判斷。“統(tǒng)計現(xiàn)在、分析歷史、把握未來”是天闐TDS在重點(diǎn)威協(xié)呈現(xiàn)上的一套新思路。

2、關(guān)注熱點(diǎn)威協(xié)：除了對于具有普遍意義的重點(diǎn)威協(xié)的展示、統(tǒng)計與對比之外，用戶對于近期發(fā)生的熱點(diǎn)威協(xié)也需要高度關(guān)注，因為熱點(diǎn)威脅（或稱流行威脅）一般都具有非常高的威脅等級（比如新蠕蟲的爆發(fā)，類似熊貓燒香的病毒的大規(guī)模感染等），所以對于熱點(diǎn)威脅及時有效的監(jiān)控是威脅監(jiān)控類產(chǎn)品的重要能力與用戶的核心關(guān)注。

天闐TDS充分考慮了對于熱點(diǎn)威脅監(jiān)控展示對于用戶的重要性，將對熱點(diǎn)威脅的監(jiān)控列為體現(xiàn)天闐技術(shù)積累與及時跟進(jìn)威脅發(fā)展的重要能力體現(xiàn)。在產(chǎn)品化的過程中，天闐TDS在最重要頁面（首頁）開辟了一個獨(dú)立的區(qū)域?qū)诘臒狳c(diǎn)威協(xié)的發(fā)生情況進(jìn)行動態(tài)跟蹤與展示，讓用戶能在第一時間內(nèi)了解掌握熱點(diǎn)威脅的發(fā)生狀況與趨勢。

結(jié)語

在萬兆威脅監(jiān)控時代到來之后，對入侵檢測技術(shù)提出了更高的要求，對威脅的發(fā)現(xiàn)、呈現(xiàn)、管理都提出了更高的要求，在發(fā)現(xiàn)威脅之后，如何有效地展示威脅成了萬兆網(wǎng)絡(luò)環(huán)境下威脅監(jiān)控的重要內(nèi)容，啟明星辰的萬兆設(shè)備TDS5510利用多種技術(shù)手段有效地解決了萬兆網(wǎng)絡(luò)環(huán)境下的威脅呈現(xiàn)的問題，是萬兆威脅監(jiān)控的高效、理想平臺。