【51CTO.com獨(dú)家特稿】尤記得當(dāng)年Gartner曾有預(yù)測說IDS（入侵檢測系統(tǒng)）必將死去，可時至今日，IDS似乎還在高端市場中占有很重要的職位。其實(shí)，曾幾何時51CTO.com記者也有類似的想法，但與很多用戶溝通之后發(fā)現(xiàn)，事實(shí)并非如此，而IDS一直戰(zhàn)斗在反黑的第一線。

IDS真的會消亡么？

事實(shí)上，IDS作為網(wǎng)絡(luò)安全的代表產(chǎn)品之一，其采購群體在國內(nèi)主要集中在政府特殊部門和專有行業(yè)，普通用戶一般不會考慮使用IDS設(shè)備?；蛟S正是由于國內(nèi)IDS市場情況相對特殊，使得IDS設(shè)備的利潤相比其他網(wǎng)絡(luò)安全產(chǎn)品要好一些，這或許成為眾多安全廠商都愿意推出IDS的主要原因之一。

對于那些認(rèn)為“IDS已死”的說法觀點(diǎn)核心，無非是IPS將取代IDS。不過術(shù)業(yè)有專攻，可以肯定的說，IPS與IDS各司其職，IPS更不會取代IDS的地位和作用。在51CTO.com記者看來，IDS（入侵檢測系統(tǒng)）是對傳統(tǒng)安全產(chǎn)品的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。

它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。可以說，IDS入侵檢測系統(tǒng)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。我們不妨來看一看IDS與其他幾種安全產(chǎn)品執(zhí)行的任務(wù)，也許大家會對IDS有一個新的認(rèn)識：

◆IDS負(fù)責(zé)找出攻擊特征，并將安全事件展示出來

◆IPS負(fù)責(zé)實(shí)時阻斷攻擊事件

◆UTM負(fù)責(zé)訪問控制、VPN，甚至限制流量

◆防火墻負(fù)責(zé)包過濾檢測

從上面每種安全產(chǎn)品各自不同的作用來看，我們不難看出，幾乎所有安全產(chǎn)品都需要對網(wǎng)絡(luò)進(jìn)行檢測，而IDS的核心就是檢測技術(shù)。毫無疑問，IDS，不會消亡，而且作為不可或缺的檢測產(chǎn)品將長期戰(zhàn)斗在反黑的第一線。

傳統(tǒng)IDS亟待解決的問題

雖然IDS不可或缺，同時不得不承認(rèn)的是，傳統(tǒng)IDS也存在一些詬病，同樣亟待解決一些問題：

誤判率較高：使用IDS以后，攻擊日志會出現(xiàn)很多，而網(wǎng)絡(luò)管理員花了大量時間查找原因，卻可能是沒有任何攻擊。這些誤報逐漸導(dǎo)致網(wǎng)絡(luò)管理員不再關(guān)心IDS的報告。51CTO.com記者認(rèn)為，造成誤判率較高的根本原因在于傳統(tǒng)IDS無法將安全事件分等級、有重點(diǎn)、有針對性的給用戶提交一份可視化的IDS報告。

防御效果不明顯：雖然部署了IDS設(shè)備，但是很多用戶發(fā)現(xiàn)仍然會發(fā)生數(shù)據(jù)失竊、主機(jī)被控之類的攻擊。在記者看來，之所以防御效果不明顯，是因?yàn)闊o法智能，實(shí)時地更新IDS攻擊特征庫，使得新型攻擊特征，能夠輕松逃過IDS的慧眼。

除此之外，當(dāng)前網(wǎng)絡(luò)環(huán)境復(fù)雜多變，在大量事件中，傳統(tǒng)IDS往往不能夠清晰的反映有安全事件的威脅級別，更不用說，給IT運(yùn)維人員提供處理意見和建議了?；谶@樣的原因，很多用戶對IDS技術(shù)和產(chǎn)品還是有些看法。此前，51CTO.com針對網(wǎng)絡(luò)安全設(shè)備的一次大型調(diào)查中發(fā)現(xiàn)，有相當(dāng)一部分IT經(jīng)理認(rèn)為部署了IDS后，實(shí)際效果并不明顯。而目前用戶對于傳統(tǒng)IDS的使用方法上，通常有幾點(diǎn)經(jīng)驗(yàn)：首先是定期更新廠家的攻擊特征庫，其次是對IDS日志進(jìn)行統(tǒng)計分析，第三就是目前大多數(shù)用戶所做的，在攻擊發(fā)生以后，通過IDS日志尋找可疑的日志信息，從而分析出攻擊的來源和攻擊造成的影響。

不過要做到后面兩點(diǎn)，需要IDS提供相應(yīng)的日志事件管理軟件，并且配有專業(yè)分析人員。這對于很多用戶來，這樣勢必會增加IDS的運(yùn)維成本。而在啟明星辰產(chǎn)品管理中心副總監(jiān)沈穎看來，通過融入智能分析系統(tǒng)，并且讓IDS展示出的攻擊事件有重點(diǎn)，分級別的呈現(xiàn)在用戶面前，就能解決目前眾多用戶的問題。

融入智能分析  IDS的一次浴火重生

如果能在傳統(tǒng)IDS檢測技術(shù)基礎(chǔ)上，融入智能分析系統(tǒng)，將威脅事件可視化，再加以輔助處理，那么IDS可謂是一次浴火重生。

所謂智能分析系統(tǒng)是指根據(jù)眾多安全專家的經(jīng)驗(yàn)與知識，設(shè)計的一整套威脅事件智能分析的方法和算法，實(shí)現(xiàn)了IDS智能化的威脅檢測。換句話說，如果IDS具備了智能分析系統(tǒng)，就意味著IDS具備安全專家長期實(shí)戰(zhàn)積累下來的知識和經(jīng)驗(yàn)，這將極大減少IT運(yùn)維人員的工作量。

若想更深入的了解智能分析系統(tǒng)，我們不妨先來看一看安全專家處理IDS報警事件的四個步驟：

1、 確認(rèn)需要關(guān)注的事件：從眾多事件日志中排除一些無威脅事件，找出重點(diǎn)關(guān)注事件。

2、 事件分析：通過分析重點(diǎn)關(guān)注事件，排除誤報的可能。

3、 事件處理：通過分析后的安全威脅事件，有針對性的進(jìn)行修復(fù)或系統(tǒng)加固，并適當(dāng)?shù)母淖僆DS安全策略。

4、 統(tǒng)計匯報：量化事件產(chǎn)生的數(shù)據(jù)，提交報告輔助宏觀決策。

如果將上面專家處理步驟標(biāo)準(zhǔn)化，智能化，開發(fā)出一套行之有效的可執(zhí)行程序，使其變成智能分析系統(tǒng)，那么可以想象，加入智能分析系統(tǒng)的IDS將如虎添翼，從海量事件中，自動找出重點(diǎn)安全事件，同時極大地解放了IT運(yùn)維人員的生產(chǎn)力。從下面的圖片中，或許大家會理解的更深刻一些。  

圖1：智能分析系統(tǒng)示意圖

從圖中我們不難看出智能分析系統(tǒng)的核心。就是將原有專家處理告警的四個步驟標(biāo)準(zhǔn)化、程序化。從威脅能力、發(fā)生頻率、流行程度以及用戶關(guān)注度等不同維度分析事件所帶來的影響，從真正意義上解決了目前很多IDS用戶的困擾，能夠在海量事件中，找出重點(diǎn)威脅事件，這是結(jié)合了專家知識庫后的智能分析系統(tǒng)核心價值所在。

此外，通過智能分析系統(tǒng)，將威脅事件可視化，再進(jìn)行輔助處理，對于用戶來說也是一件令人興奮的事情。因?yàn)閷⑼{可視化可以為IT運(yùn)維人員提供宏觀信息，并能迅速直觀發(fā)現(xiàn)重點(diǎn)關(guān)注事件。

打個比方，如果能夠?qū)⒅悄芊治龀龅闹攸c(diǎn)事件分級別，有重點(diǎn)的展示在用戶面前，那么IT運(yùn)維人員就不必從海量事件信息中再查找什么應(yīng)該關(guān)注，什么不應(yīng)該關(guān)注；哪些不是威脅，哪些是威脅！

這時如果IDS還能提供輔助分析處理手段，那么就將有助于IT運(yùn)維管理人員選擇知識庫中的經(jīng)驗(yàn)和建議，從而大大的節(jié)約用戶IT運(yùn)維成本。  

圖2 安全事件輔助處理

眾所周知，國內(nèi)有很多安全廠商在IDS技術(shù)和設(shè)備方面投入了很多研發(fā)力量，據(jù)記者了解，其中啟明星辰在這方面取得了顯著突破。據(jù)沈穎介紹，3月正式推出市場的天闐7.0威脅檢測系統(tǒng)，就可以滿足上面所述的需求。

從多個維度對事件進(jìn)行分析，幫助用戶智能的突出重點(diǎn)事件，并將重點(diǎn)威脅可視化，提供輔助處理建議，是新一代IDS——天闐7.0的優(yōu)勢所在。對于IDS來說，天闐7.0的問世，從某種意義上說是讓威脅檢測具備了人工智能，這意味著IDS只有專業(yè)人員才會使用的時代已經(jīng)過去，面對海量事件無所適從的時代已經(jīng)過去，告警事件不知如何處理的情況不再發(fā)生。

IDS的未來 機(jī)會和挑戰(zhàn)并存

在51CTO.com記者看來，事實(shí)上，正是由于智能分析技術(shù)融入IDS的實(shí)現(xiàn)，才使得威脅檢測的結(jié)果具有更強(qiáng)的可讀性，從而使得威脅檢測變得可視化。通過可視化的表達(dá)，簡化了事件發(fā)現(xiàn)、處理、評估等一系列用戶參與過程，這些讓網(wǎng)絡(luò)信息安全的運(yùn)維也相應(yīng)變得簡單起來。毫不夸張的說，IDS這個信息安全老三樣產(chǎn)品，在新世紀(jì)第二個十年之初，迎來了一次浴火重生。

此外，隨著IT系統(tǒng)架構(gòu)的不斷演進(jìn)，用戶對企業(yè)網(wǎng)絡(luò)安全需求卻越來越高，以往單臺設(shè)備擋天下的局面已經(jīng)成為歷史，IDS技術(shù)和產(chǎn)品的發(fā)展方向也符合這樣的衍生規(guī)律，在日趨復(fù)雜的運(yùn)維體系中，誰能夠使復(fù)雜的事情簡單化，誰就能在激烈的市場競爭中占據(jù)絕對有利態(tài)勢。實(shí)現(xiàn)這樣的目標(biāo)并非難事，比如將融入智能分析系統(tǒng)的IDS與漏洞掃描，或是防火墻、UTM、IPS、上網(wǎng)行為管理設(shè)備、終端安全管理等網(wǎng)絡(luò)安全設(shè)備聯(lián)動起來，就能為企業(yè)構(gòu)建起一座堅(jiān)固的城墻。

然而，IDS技術(shù)和產(chǎn)品未來也將面對巨大的挑戰(zhàn)。如果讓上面的簡單安全理念成為現(xiàn)實(shí)，滿足用戶不同的需求，IDS還需要不斷地擴(kuò)充智能分析系統(tǒng)，建立良好的策略分發(fā)機(jī)制，不能有絲毫的懈怠。同時，面對當(dāng)前統(tǒng)一計算、虛擬化等新一代網(wǎng)絡(luò)環(huán)境，安全問題依然很突出，這也是用戶關(guān)注的重點(diǎn)，如何解決虛擬化環(huán)境中的安全問題和威脅事件處理，也將是IDS技術(shù)和產(chǎn)品發(fā)展必須攻克的課題之一。不過可以預(yù)見的是，隨著IT系統(tǒng)架構(gòu)不斷的演進(jìn)，必定會促進(jìn)像IDS、UTM、防火墻等網(wǎng)絡(luò)安全產(chǎn)品不斷前行。

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. IDS入侵檢測在企業(yè)應(yīng)用中的四種難題
2. 智能分析讓你的IDS變聰明