在过去近40年的网络发展过程中,网络传输与交换速度从最初的3M到现在的10000M,速度提高了3000多倍,对与之相配套的网络管理、网络威胁监控设备(例如IDS)也提出了新的要求。
威胁监控的发展经历了三个阶段:
Ø 第一阶段:(单一数据来源)集中监控;
Ø 第二阶段:分布式监控;
Ø 第三阶段:(多数据来源)集中监控。
万兆网络带来的数据大集中使得威胁监控再次回归到“集中监控”模式上来。在这个螺旋式的发展过程中,威胁监控从不完善到完善,再到进一步完善,在不断接受挑战的过程中完善、前行。
万兆网络环境对威胁监控的新要求与挑战
一、报警数量的挑战
经统计,以往的IDS系统在千兆环境下每天平均要产生300条左右的报警事件,事实证明,这些报警事件已经让安全管理员难以应付。而在万兆数据大集中的环境下,流量的激增必然导致产生更多的、海量的报警事件,如何更有效地展示关键威胁,自动屏蔽掉低质量、非关键威胁,降低安全运维人员的工作强度,提高安全运维人员的工作效率从而降低安全运维工作的整体成本,就变得尤为重要。
在设计上,启明星辰的万兆设备天阗TDS 5510将安全运维自动化、智能化作为一个重要的设计目标,采用了多种手段在威胁呈现层面向用户展示关键、重要的威胁,屏蔽低质量报警和非关键威胁,其技术手段主要包括:
1、威胁智能分析:通过多种维度和指标,动态智能分析具体威胁对于用户的重要程度,从而决定是否需要向用户呈现。这种智能技术的采用极大程度地降低了威胁报警的事件量,从而大幅降低了安全监控的运维工作量和难度,是威胁呈现层面的一个非常实用的创新。通过一年的用户环境的实际使用反馈,在众多厂家的IDS对比使用体验中,该技术确实带给用户一种全新的使用体验感受,其设计与价值得到用户的普遍认可
图1 TDS在某知名网站一天的全部监控报警
2、威胁报警的折叠呈现:通过将威胁进行两级折叠展示,实现了对上报事件从“攻击事件汇总信息”到“攻击事件详细信息”的二级分层展示,这样将同一攻击事件大量重复的冗余信息折叠到了第二级,使得威胁呈现更加突出重点,威胁呈现更加灵活、清晰、有效。通过对用户实际使用的回访调研发现,用户每天只会对少数事件(一般是高级事件)才会展开二级折叠获取事件详细信息,而对于其它事件只关注攻击事件汇总信息,即不会追溯事件详细信息。这充分说明了对于威胁报警二级折叠呈现的设计符合大多数用户的使用习惯,避免用户每天需要在海量信息中搜寻所关注的特定事件的工作,极大地降低了安全监控运维工作量,降低了安全监控运维工作的成本。这个功能不是一个创新,但确实是一个性价比很高的改进。
图2 威胁报警的折叠呈现
二、突出重点威胁、热点威胁的挑战
在万兆的的网络流量环境下,大量的威胁报警事件混在在一起,使得用户很难区分出威胁重点。在海量的报警事件中查询、统计威胁重点与热点威胁是一件繁琐的工作,如果在海量事件中过滤、统计重点事件、热点威胁,对于提高安全监控运维人员的工作效率,减轻安全运维人员的工作量来说就变得非常重要。
天阗TDS充分考虑到了安全运维人员在日常工作中对于重点威胁、热点威胁的报警展示与统计分析方面的需要,在系统首页最重要的位置上提供了两个独立的专栏区域对重点威胁与热点威胁进行展示与统计,使得安全运维人员对所关注的重点与热点一目了然。
1、关注重点威胁:对于大多数用户来说,由于每天花在安全监控方面的时间和精力有限,因此在监控的时候,往往希望对普遍性的重点威胁能够在第一时间内了解、掌握,如:今天是否发生了拒绝服务攻击,发生了多少次?今天是否有木马、蠕虫、病毒事件发生,发生了多少次?等等。这类对于大多数用户来说属于需要普遍关注的威胁事件往往就是安全监控运维工作需要统计分析的重点。
天阗TDS在最重要的页面(首页)的最重要位置(左上角)专门提供了一个独立的区域对用户普遍关注的威胁重点进行统计,以此来帮助用户在第一时间内获取重点威胁的发生情况与统计信息,免去了用户每天多次重复性地在海量的报警事件中对此类威胁事件进行手工统计的工作。除此之外,考虑到用户在需要对重点威协进行统计的同时,还需要参考以往重点威协发生情况进行对比分析的需求,天阗TDS又对重点威协在以往发生情况的平均水平进行了计算并将计算结果在该区域同时提供给用户,这样用户不但对于重点威协的统计数据能够一目了然,还能够通过参考重点威协以往的平均发生水平数据对当前的重点威协发生情况进行有效的态势判断。“统计现在、分析历史、把握未来”是天阗TDS在重点威协呈现上的一套新思路。
图3 重点威胁统计展示
2、关注热点威协:除了对于具有普遍意义的重点威协的展示、统计与对比之外,用户对于近期发生的热点威协也需要高度关注,因为热点威胁(或称流行威胁)一般都具有非常高的威胁等级(比如新蠕虫的爆发,类似熊猫烧香的病毒的大规模感染等),所以对于热点威胁及时有效的监控是威胁监控类产品的重要能力与用户的核心关注。
天阗TDS充分考虑了对于热点威胁监控展示对于用户的重要性,将对热点威胁的监控列为体现天阗技术积累与及时跟进威胁发展的重要能力体现。在产品化的过程中,天阗TDS在最重要页面(首页)开辟了一个独立的区域对近期的热点威协的发生情况进行动态跟踪与展示,让用户能在第一时间内了解掌握热点威胁的发生状况与趋势。
图4 热点威胁统计展示
结语
在万兆威胁监控时代到来之后,对入侵检测技术提出了更高的要求,对威胁的发现、呈现、管理都提出了更高的要求,在发现威胁之后,如何有效地展示威胁成了万兆网络环境下威胁监控的重要内容,启明星辰的万兆设备TDS 5510利用多种技术手段有效地解决了万兆网络环境下的威胁呈现的问题,是万兆威胁监控的高效、理想平台。
图5 天阗TDS 5510