万兆网络环境下的威胁呈现.docx

万兆网络环境下的威胁呈现背景目前应用最为广泛的以太网技术最早出现于1973年，当时的网速只有3M，后来随着网络的发展与普及，各种企业与组织对于网络的传输速率要求越来越高，随之陆续出现了10M、100M、1000M、10G的网络传输与交换技术，这些技术的广泛应用推动着网络技术的不断发展，在过去近40年的网络发展过程中，网络传输与交换速度从最初的3M到现在企业级的10000M，速度提高了3000多倍，对与之相配套的网络管理、网络监控设备也提出了新的要求。图1：TDS5510外观万兆网络带来的数据大集中使得威胁监控再次回归到“集中监控”模式上来，回顾过去的威胁监控所走过的历程：第一阶段：（单一数据来源）集中监控第二阶段：分布式监控第三阶段：（多数据来源）集中监控可以发现，威胁监控从集中式监控到分布式监控，最后又回归到集中式监控，呈现了一个貌似回到原点的螺旋式发展轨迹。在这个过程中，威胁监控从不完善到完善，再到进一步完善，威胁监控在不断接受挑战的过程中完善、前行万兆网络环境对威胁监控的新要求与挑战报警数量的挑战经统计，以往的IDS系统在千兆环境下每天平均要产生300条左右的报警事件，事实证明，这些报警事件已经让安全管理员难以应付。而在万兆数据大集中的环境下，流量的激增必然导致产生更多的海量的报警事件，如何更有效地展示关键威胁，自动屏蔽掉低质量、非关键威胁，降低安全运维人员的工作强度，提高安全运维人员的工作效率从而降低安全运维工作的整体成本，就变得尤为重要在设计上，天阗TDS5510将安全运维自动化、智能化作为一个重要的设计目标，采用了多种手段在威胁呈现层面向用户展示关键、重要的威胁，屏蔽低质量报警和非关键威胁，其技术手段主要包括：威胁智能分析：通过多种维度和指标动态智能分析具体威胁对于用户的重要程度，从而决定是否需要向用户呈现，这种智能技术的采用极大程度地降低了威胁报警的事件量，从而大幅降低了安全监控的运维工作量和难度，是威胁呈现层面的一个非常实用的创新。通过一年的用户环境的实际使用反馈，在众多厂家的IDS对比使用体验中，该技术确实带给用户一种全新的使用体验感受，其设计与价值得到用户的普遍认可图2：TDS在某知名网站一天的全部监控报警威胁报警的折叠呈现：通过将威胁进行两级折叠展示，实现了对上报事件从 攻击事件汇总信息到 攻击事件详细信息 的二级分层展示，这样将同一攻击事件大量重复的冗余信息折叠到了第二级，使得威胁呈现更加突出重点、威胁呈现更加灵活、清晰、有效。通过对用户实际使用的回访调研发现，用户每天只会对少数事件（一般是高级事件）才会展开二级折叠获取 事件详细信息，而对于其它事件只关注攻击事件汇总信息，即不会追溯事件详细信息，这从分说明了对于威胁报警二级折叠呈现的设计符合大多数用户的使用习惯，这个设计避免用户每天需要在海量信息中搜寻所关注的特定事件所需的工作，极大地降低了安全监控的韵味工作量，降低了安全监控运维工作的成本，这个功能不是一个创新，但确实是一个性价比很高的改进。图3：威胁报警的折叠呈现突出重点威胁、热点威胁的挑战在万兆的的网络流量环境下，大量的威胁报警事件混在在一起，使得用户很难区分出威胁重点，在海量的报警事件中查询、统计威胁重点与热点威胁是一件繁琐的工作，如果在海量事件中过滤、统计重点事件、热点威胁对于提高安全监控运维人员的工作效率，减轻安全运维人员的工作量来说就变得非常重要天阗TDS充分考虑到了安全运维人员在日常工作中对于重点威胁、热点威胁的报警展示与统计分析方面的需要，在系统首页最重要的位置上提供了两个独立的专栏区域对重点威胁与热点威胁进行展示与统计，使得安全运维人员对所关注的重点与热点一目了然关注重点威胁：对于对大多数用户来说，由于每天花在安全监控方面的时间和精力有限，因此在监控的时候，往往希望对普遍性的重点威胁能够在第一时间内了解、掌握，如：今天是否发生了拒绝服务攻击，发生了多少次？今天是否有木马、蠕虫、病毒事件发生，发生了多少次等。这类对于大多数来说属于需要普遍关注的威胁事件往往就是安全监控运维工作需要统计分析的重点。天阗TDS在最重要的页面（首页）的最重要位置（左上角）专门提供了一个独立的区域对用户普遍关注的威胁重点进行统计，以此来满足用户在第一时间内获取重点威胁的发生情况与统计信息，免去了用户每天多次重复性地在海量的报警事件中对此类威胁事件进行手工统计的工作。除此之外，考虑到用户在需要对重点威协进行统计的同时，还需要参考以往重点威协发生情况进行对比分析的需求，天阗TDS又对重点威协在以往发生情况的平均水平进行了计算并将计算结果在该区域同时提供给用户，这样用户不但对于重点威协的统计数据能够一目了然，还能够通过参考重点威协以往的平均发生水平数据对当前的重点威协发生情况进行有效的态势判断。“统计现在、分析历史、