圖1 TDS在某知名網(wǎng)站一天的全部監(jiān)控報(bào)警
2、威脅報(bào)警的折疊呈現(xiàn):通過將威脅進(jìn)行兩級折疊展示,實(shí)現(xiàn)了對上報(bào)事件從“攻擊事件匯總信息”到“攻擊事件詳細(xì)信息”的二級分層展示�,這樣將同一攻擊事件大量重復(fù)的冗余信息折疊到了第二級�,使得威脅呈現(xiàn)更加突出重點(diǎn)��,威脅呈現(xiàn)更加靈活�����、清晰���、有效���。通過對用戶實(shí)際使用的回訪調(diào)研發(fā)現(xiàn),用戶每天只會(huì)對少數(shù)事件(一般是高級事件)才會(huì)展開二級折疊獲取事件詳細(xì)信息���,而對于其它事件只關(guān)注攻擊事件匯總信息,即不會(huì)追溯事件詳細(xì)信息�����。這充分說明了對于威脅報(bào)警二級折疊呈現(xiàn)的設(shè)計(jì)符合大多數(shù)用戶的使用習(xí)慣����,避免用戶每天需要在海量信息中搜尋所關(guān)注的特定事件的工作�����,極大地降低了安全監(jiān)控運(yùn)維工作量�,降低了安全監(jiān)控運(yùn)維工作的成本��。這個(gè)功能不是一個(gè)創(chuàng)新�,但確實(shí)是一個(gè)性價(jià)比很高的改進(jìn)。
圖2 威脅報(bào)警的折疊呈現(xiàn)
二��、突出重點(diǎn)威脅��、熱點(diǎn)威脅的挑戰(zhàn)
在萬兆的的網(wǎng)絡(luò)流量環(huán)境下�,大量的威脅報(bào)警事件混在在一起,使得用戶很難區(qū)分出威脅重點(diǎn)���。在海量的報(bào)警事件中查詢����、統(tǒng)計(jì)威脅重點(diǎn)與熱點(diǎn)威脅是一件繁瑣的工作���,如果在海量事件中過濾���、統(tǒng)計(jì)重點(diǎn)事件��、熱點(diǎn)威脅�,對于提高安全監(jiān)控運(yùn)維人員的工作效率���,減輕安全運(yùn)維人員的工作量來說就變得非常重要�。
天闐TDS充分考慮到了安全運(yùn)維人員在日常工作中對于重點(diǎn)威脅��、熱點(diǎn)威脅的報(bào)警展示與統(tǒng)計(jì)分析方面的需要����,在系統(tǒng)首頁最重要的位置上提供了兩個(gè)獨(dú)立的專欄區(qū)域?qū)χ攸c(diǎn)威脅與熱點(diǎn)威脅進(jìn)行展示與統(tǒng)計(jì),使得安全運(yùn)維人員對所關(guān)注的重點(diǎn)與熱點(diǎn)一目了然����。
1、關(guān)注重點(diǎn)威脅:對于大多數(shù)用戶來說���,由于每天花在安全監(jiān)控方面的時(shí)間和精力有限,因此在監(jiān)控的時(shí)候���,往往希望對普遍性的重點(diǎn)威脅能夠在第一時(shí)間內(nèi)了解�����、掌握���,如:今天是否發(fā)生了拒絕服務(wù)攻擊�����,發(fā)生了多少次?今天是否有木馬��、蠕蟲���、病毒事件發(fā)生,發(fā)生了多少次?等等��。這類對于大多數(shù)用戶來說屬于需要普遍關(guān)注的威脅事件往往就是安全監(jiān)控運(yùn)維工作需要統(tǒng)計(jì)分析的重點(diǎn)��。
天闐TDS在最重要的頁面(首頁)的最重要位置(左上角)專門提供了一個(gè)獨(dú)立的區(qū)域?qū)τ脩羝毡殛P(guān)注的威脅重點(diǎn)進(jìn)行統(tǒng)計(jì)�,以此來幫助用戶在第一時(shí)間內(nèi)獲取重點(diǎn)威脅的發(fā)生情況與統(tǒng)計(jì)信息,免去了用戶每天多次重復(fù)性地在海量的報(bào)警事件中對此類威脅事件進(jìn)行手工統(tǒng)計(jì)的工作���。除此之外�����,考慮到用戶在需要對重點(diǎn)威協(xié)進(jìn)行統(tǒng)計(jì)的同時(shí)����,還需要參考以往重點(diǎn)威協(xié)發(fā)生情況進(jìn)行對比分析的需求,天闐TDS又對重點(diǎn)威協(xié)在以往發(fā)生情況的平均水平進(jìn)行了計(jì)算并將計(jì)算結(jié)果在該區(qū)域同時(shí)提供給用戶�����,這樣用戶不但對于重點(diǎn)威協(xié)的統(tǒng)計(jì)數(shù)據(jù)能夠一目了然���,還能夠通過參考重點(diǎn)威協(xié)以往的平均發(fā)生水平數(shù)據(jù)對當(dāng)前的重點(diǎn)威協(xié)發(fā)生情況進(jìn)行有效的態(tài)勢判斷�����。“統(tǒng)計(jì)現(xiàn)在����、分析歷史�����、把握未來”是天闐TDS在重點(diǎn)威協(xié)呈現(xiàn)上的一套新思路��。
圖3 重點(diǎn)威脅統(tǒng)計(jì)展示
2、關(guān)注熱點(diǎn)威協(xié):除了對于具有普遍意義的重點(diǎn)威協(xié)的展示��、統(tǒng)計(jì)與對比之外�����,用戶對于近期發(fā)生的熱點(diǎn)威協(xié)也需要高度關(guān)注����,因?yàn)闊狳c(diǎn)威脅(或稱流行威脅)一般都具有非常高的威脅等級(比如新蠕蟲的爆發(fā)�,類似熊貓燒香的病毒的大規(guī)模感染等),所以對于熱點(diǎn)威脅及時(shí)有效的監(jiān)控是威脅監(jiān)控類產(chǎn)品的重要能力與用戶的核心關(guān)注����。
天闐TDS充分考慮了對于熱點(diǎn)威脅監(jiān)控展示對于用戶的重要性,將對熱點(diǎn)威脅的監(jiān)控列為體現(xiàn)天闐技術(shù)積累與及時(shí)跟進(jìn)威脅發(fā)展的重要能力體現(xiàn)�����。在產(chǎn)品化的過程中�����,天闐TDS在最重要頁面(首頁)開辟了一個(gè)獨(dú)立的區(qū)域?qū)诘臒狳c(diǎn)威協(xié)的發(fā)生情況進(jìn)行動(dòng)態(tài)跟蹤與展示�����,讓用戶能在第一時(shí)間內(nèi)了解掌握熱點(diǎn)威脅的發(fā)生狀況與趨勢。
圖4 熱點(diǎn)威脅統(tǒng)計(jì)展示
結(jié)語
在萬兆威脅監(jiān)控時(shí)代到來之后�,對入侵檢測技術(shù)提出了更高的要求,對威脅的發(fā)現(xiàn)�、呈現(xiàn)、管理都提出了更高的要求��,在發(fā)現(xiàn)威脅之后���,如何有效地展示威脅成了萬兆網(wǎng)絡(luò)環(huán)境下威脅監(jiān)控的重要內(nèi)容���,啟明星辰的萬兆設(shè)備TDS 5510利用多種技術(shù)手段有效地解決了萬兆網(wǎng)絡(luò)環(huán)境下的威脅呈現(xiàn)的問題,是萬兆威脅監(jiān)控的高效�、理想平臺(tái)。
圖5 天闐TDS 5510
