當前位置：安全 → IPS|IDS → 正文

萬兆網絡環境對威脅監控的新要求與挑戰

責任編輯：hli |來源：企業網D1Net 2012-02-20 13:52:00 本文摘自：Yesky軟件頻道

在過去近40年的網絡發展過程中，網絡傳輸與交換速度從最初的3M到現在的10000M，速度提高了3000多倍，對與之相配套的網絡管理、網絡威脅監控設備(例如IDS)也提出了新的要求。

威脅監控的發展經歷了三個階段：

第一階段：(單一數據來源)集中監控;

第二階段：分布式監控;

第三階段：(多數據來源)集中監控。

萬兆網絡帶來的數據大集中使得威脅監控再次回歸到“集中監控”模式上來。在這個螺旋式的發展過程中，威脅監控從不完善到完善，再到進一步完善，在不斷接受挑戰的過程中完善、前行。

萬兆網絡環境對威脅監控的新要求與挑戰

一、報警數量的挑戰

經統計，以往的IDS系統在千兆環境下每天平均要產生300條左右的報警事件，事實證明，這些報警事件已經讓安全管理員難以應付。而在萬兆數據大集中的環境下，流量的激增必然導致產生更多的、海量的報警事件，如何更有效地展示關鍵威脅，自動屏蔽掉低質量、非關鍵威脅，降低安全運維人員的工作強度，提高安全運維人員的工作效率從而降低安全運維工作的整體成本，就變得尤為重要。

在設計上，啟明星辰的萬兆設備天闐TDS 5510將安全運維自動化、智能化作為一個重要的設計目標，采用了多種手段在威脅呈現層面向用戶展示關鍵、重要的威脅，屏蔽低質量報警和非關鍵威脅，其技術手段主要包括：

1、威脅智能分析：通過多種維度和指標，動態智能分析具體威脅對于用戶的重要程度，從而決定是否需要向用戶呈現。這種智能技術的采用極大程度地降低了威脅報警的事件量，從而大幅降低了安全監控的運維工作量和難度，是威脅呈現層面的一個非常實用的創新。通過一年的用戶環境的實際使用反饋，在眾多廠家的IDS對比使用體驗中，該技術確實帶給用戶一種全新的使用體驗感受，其設計與價值得到用戶的普遍認可

　　圖1 TDS在某知名網站一天的全部監控報警

2、威脅報警的折疊呈現：通過將威脅進行兩級折疊展示，實現了對上報事件從“攻擊事件匯總信息”到“攻擊事件詳細信息”的二級分層展示，這樣將同一攻擊事件大量重復的冗余信息折疊到了第二級，使得威脅呈現更加突出重點，威脅呈現更加靈活、清晰、有效。通過對用戶實際使用的回訪調研發現，用戶每天只會對少數事件(一般是高級事件)才會展開二級折疊獲取事件詳細信息，而對于其它事件只關注攻擊事件匯總信息，即不會追溯事件詳細信息。這充分說明了對于威脅報警二級折疊呈現的設計符合大多數用戶的使用習慣，避免用戶每天需要在海量信息中搜尋所關注的特定事件的工作，極大地降低了安全監控運維工作量，降低了安全監控運維工作的成本。這個功能不是一個創新，但確實是一個性價比很高的改進。

　　圖2 威脅報警的折疊呈現

二、突出重點威脅、熱點威脅的挑戰

在萬兆的的網絡流量環境下，大量的威脅報警事件混在在一起，使得用戶很難區分出威脅重點。在海量的報警事件中查詢、統計威脅重點與熱點威脅是一件繁瑣的工作，如果在海量事件中過濾、統計重點事件、熱點威脅，對于提高安全監控運維人員的工作效率，減輕安全運維人員的工作量來說就變得非常重要。

天闐TDS充分考慮到了安全運維人員在日常工作中對于重點威脅、熱點威脅的報警展示與統計分析方面的需要，在系統首頁最重要的位置上提供了兩個獨立的專欄區域對重點威脅與熱點威脅進行展示與統計，使得安全運維人員對所關注的重點與熱點一目了然。

1、關注重點威脅：對于大多數用戶來說，由于每天花在安全監控方面的時間和精力有限，因此在監控的時候，往往希望對普遍性的重點威脅能夠在第一時間內了解、掌握，如：今天是否發生了拒絕服務攻擊，發生了多少次？今天是否有木馬、蠕蟲、病毒事件發生，發生了多少次？等等。這類對于大多數用戶來說屬于需要普遍關注的威脅事件往往就是安全監控運維工作需要統計分析的重點。

天闐TDS在最重要的頁面(首頁)的最重要位置(左上角)專門提供了一個獨立的區域對用戶普遍關注的威脅重點進行統計，以此來幫助用戶在第一時間內獲取重點威脅的發生情況與統計信息，免去了用戶每天多次重復性地在海量的報警事件中對此類威脅事件進行手工統計的工作。除此之外，考慮到用戶在需要對重點威協進行統計的同時，還需要參考以往重點威協發生情況進行對比分析的需求，天闐TDS又對重點威協在以往發生情況的平均水平進行了計算并將計算結果在該區域同時提供給用戶，這樣用戶不但對于重點威協的統計數據能夠一目了然，還能夠通過參考重點威協以往的平均發生水平數據對當前的重點威協發生情況進行有效的態勢判斷。“統計現在、分析歷史、把握未來”是天闐TDS在重點威協呈現上的一套新思路。

　　圖3 重點威脅統計展示

2、關注熱點威協：除了對于具有普遍意義的重點威協的展示、統計與對比之外，用戶對于近期發生的熱點威協也需要高度關注，因為熱點威脅(或稱流行威脅)一般都具有非常高的威脅等級(比如新蠕蟲的爆發，類似熊貓燒香的病毒的大規模感染等)，所以對于熱點威脅及時有效的監控是威脅監控類產品的重要能力與用戶的核心關注。

天闐TDS充分考慮了對于熱點威脅監控展示對于用戶的重要性，將對熱點威脅的監控列為體現天闐技術積累與及時跟進威脅發展的重要能力體現。在產品化的過程中，天闐TDS在最重要頁面(首頁)開辟了一個獨立的區域對近期的熱點威協的發生情況進行動態跟蹤與展示，讓用戶能在第一時間內了解掌握熱點威脅的發生狀況與趨勢。

　　圖4 熱點威脅統計展示

結語

在萬兆威脅監控時代到來之后，對入侵檢測技術提出了更高的要求，對威脅的發現、呈現、管理都提出了更高的要求，在發現威脅之后，如何有效地展示威脅成了萬兆網絡環境下威脅監控的重要內容，啟明星辰的萬兆設備TDS 5510利用多種技術手段有效地解決了萬兆網絡環境下的威脅呈現的問題，是萬兆威脅監控的高效、理想平臺。