圖1 TDS在某知名網(wǎng)站一天的全部監(jiān)控報警
2、威脅報警的折疊呈現(xiàn):通過將威脅進(jìn)行兩級折疊展示���,實現(xiàn)了對上報事件從“攻擊事件匯總信息”到“攻擊事件詳細(xì)信息”的二級分層展示���,這樣將同一攻擊事件大量重復(fù)的冗余信息折疊到了第二級,使得威脅呈現(xiàn)更加突出重點�����,威脅呈現(xiàn)更加靈活、清晰���、有效�。通過對用戶實際使用的回訪調(diào)研發(fā)現(xiàn)�,用戶每天只會對少數(shù)事件(一般是高級事件)才會展開二級折疊獲取事件詳細(xì)信息,而對于其它事件只關(guān)注攻擊事件匯總信息��,即不會追溯事件詳細(xì)信息����。這充分說明了對于威脅報警二級折疊呈現(xiàn)的設(shè)計符合大多數(shù)用戶的使用習(xí)慣,避免用戶每天需要在海量信息中搜尋所關(guān)注的特定事件的工作��,極大地降低了安全監(jiān)控運維工作量����,降低了安全監(jiān)控運維工作的成本��。這個功能不是一個創(chuàng)新�,但確實是一個性價比很高的改進(jìn)。
圖2 威脅報警的折疊呈現(xiàn)
二���、突出重點威脅�����、熱點威脅的挑戰(zhàn)
在萬兆的的網(wǎng)絡(luò)流量環(huán)境下��,大量的威脅報警事件混在在一起���,使得用戶很難區(qū)分出威脅重點�����。在海量的報警事件中查詢��、統(tǒng)計威脅重點與熱點威脅是一件繁瑣的工作�,如果在海量事件中過濾���、統(tǒng)計重點事件�����、熱點威脅����,對于提高安全監(jiān)控運維人員的工作效率��,減輕安全運維人員的工作量來說就變得非常重要。
天闐TDS充分考慮到了安全運維人員在日常工作中對于重點威脅���、熱點威脅的報警展示與統(tǒng)計分析方面的需要�,在系統(tǒng)首頁最重要的位置上提供了兩個獨立的專欄區(qū)域?qū)χ攸c威脅與熱點威脅進(jìn)行展示與統(tǒng)計�,使得安全運維人員對所關(guān)注的重點與熱點一目了然。
1�、關(guān)注重點威脅:對于大多數(shù)用戶來說,由于每天花在安全監(jiān)控方面的時間和精力有限�����,因此在監(jiān)控的時候�,往往希望對普遍性的重點威脅能夠在第一時間內(nèi)了解、掌握����,如:今天是否發(fā)生了拒絕服務(wù)攻擊,發(fā)生了多少次?今天是否有木馬����、蠕蟲�����、病毒事件發(fā)生,發(fā)生了多少次?等等����。這類對于大多數(shù)用戶來說屬于需要普遍關(guān)注的威脅事件往往就是安全監(jiān)控運維工作需要統(tǒng)計分析的重點。
天闐TDS在最重要的頁面(首頁)的最重要位置(左上角)專門提供了一個獨立的區(qū)域?qū)τ脩羝毡殛P(guān)注的威脅重點進(jìn)行統(tǒng)計����,以此來幫助用戶在第一時間內(nèi)獲取重點威脅的發(fā)生情況與統(tǒng)計信息,免去了用戶每天多次重復(fù)性地在海量的報警事件中對此類威脅事件進(jìn)行手工統(tǒng)計的工作���。除此之外��,考慮到用戶在需要對重點威協(xié)進(jìn)行統(tǒng)計的同時�,還需要參考以往重點威協(xié)發(fā)生情況進(jìn)行對比分析的需求��,天闐TDS又對重點威協(xié)在以往發(fā)生情況的平均水平進(jìn)行了計算并將計算結(jié)果在該區(qū)域同時提供給用戶���,這樣用戶不但對于重點威協(xié)的統(tǒng)計數(shù)據(jù)能夠一目了然���,還能夠通過參考重點威協(xié)以往的平均發(fā)生水平數(shù)據(jù)對當(dāng)前的重點威協(xié)發(fā)生情況進(jìn)行有效的態(tài)勢判斷。“統(tǒng)計現(xiàn)在�、分析歷史、把握未來”是天闐TDS在重點威協(xié)呈現(xiàn)上的一套新思路。
圖3 重點威脅統(tǒng)計展示
2��、關(guān)注熱點威協(xié):除了對于具有普遍意義的重點威協(xié)的展示��、統(tǒng)計與對比之外��,用戶對于近期發(fā)生的熱點威協(xié)也需要高度關(guān)注�����,因為熱點威脅(或稱流行威脅)一般都具有非常高的威脅等級(比如新蠕蟲的爆發(fā)��,類似熊貓燒香的病毒的大規(guī)模感染等)�,所以對于熱點威脅及時有效的監(jiān)控是威脅監(jiān)控類產(chǎn)品的重要能力與用戶的核心關(guān)注。
天闐TDS充分考慮了對于熱點威脅監(jiān)控展示對于用戶的重要性��,將對熱點威脅的監(jiān)控列為體現(xiàn)天闐技術(shù)積累與及時跟進(jìn)威脅發(fā)展的重要能力體現(xiàn)����。在產(chǎn)品化的過程中,天闐TDS在最重要頁面(首頁)開辟了一個獨立的區(qū)域?qū)诘臒狳c威協(xié)的發(fā)生情況進(jìn)行動態(tài)跟蹤與展示����,讓用戶能在第一時間內(nèi)了解掌握熱點威脅的發(fā)生狀況與趨勢。
圖4 熱點威脅統(tǒng)計展示
結(jié)語
在萬兆威脅監(jiān)控時代到來之后���,對入侵檢測技術(shù)提出了更高的要求�����,對威脅的發(fā)現(xiàn)��、呈現(xiàn)���、管理都提出了更高的要求,在發(fā)現(xiàn)威脅之后���,如何有效地展示威脅成了萬兆網(wǎng)絡(luò)環(huán)境下威脅監(jiān)控的重要內(nèi)容�����,啟明星辰的萬兆設(shè)備TDS 5510利用多種技術(shù)手段有效地解決了萬兆網(wǎng)絡(luò)環(huán)境下的威脅呈現(xiàn)的問題���,是萬兆威脅監(jiān)控的高效、理想平臺�����。
圖5 天闐TDS 5510
