Internet的飛速發(fā)展，為信息的傳播和利用帶來(lái)了極大的方便，同時(shí)也使人類社會(huì)面臨著信息安全的巨大挑戰(zhàn)。為了應(yīng)對(duì)日益嚴(yán)重的信息安全問(wèn)題，防火墻、入侵檢測(cè)、安全審計(jì)、流量監(jiān)控等安全產(chǎn)品逐步得到推廣和應(yīng)用。這些安全產(chǎn)品從一定程度上緩解了日益緊迫的安全問(wèn)題，但如何集成各個(gè)產(chǎn)品的優(yōu)點(diǎn)，更好地發(fā)揮安全產(chǎn)品的作用，是網(wǎng)絡(luò)管理人員面臨的新問(wèn)題。

概括起來(lái)，在目前的網(wǎng)絡(luò)安全管理中存在以下問(wèn)題：

1．各安全設(shè)備往往是孤立運(yùn)行的，其報(bào)警信息之間難以關(guān)聯(lián)，使得管理員缺乏對(duì)網(wǎng)絡(luò)整體安全狀況的認(rèn)識(shí)。

2．安全事件發(fā)生后，無(wú)法快速確定安全事件的根源，網(wǎng)絡(luò)業(yè)務(wù)恢復(fù)時(shí)間長(zhǎng)。

3．對(duì)某些特定安全事件缺乏準(zhǔn)確有效的檢測(cè)方法，如DDoS攻擊，蠕蟲(chóng)病毒等。

4．多種網(wǎng)絡(luò)設(shè)備之間的串接，或者在交換機(jī)上進(jìn)行多重鏡像實(shí)現(xiàn)包捕獲，會(huì)造成網(wǎng)絡(luò)運(yùn)行性能下降。

將入侵檢測(cè)、安全審計(jì)、異常流量三大功能進(jìn)行集成，采用一體化安全檢測(cè)（Unified Detection System ，簡(jiǎn)稱UDS）技術(shù)，能夠有效地解決上述問(wèn)題，與分別采用各類技術(shù)相比，具有七大方面的優(yōu)勢(shì)。

提高管理員安全決策的準(zhǔn)確性

多種檢測(cè)手段的集成，可以使用戶從不同方面更加全面地了解網(wǎng)絡(luò)安全狀況。不同的旁路檢測(cè)產(chǎn)品審查的重點(diǎn)不相同，當(dāng)發(fā)生安全違規(guī)事件時(shí)，通過(guò)三種工具之間的相互印證和關(guān)聯(lián)分析，可以提高管理員決策的準(zhǔn)確性。例如：流量顯示網(wǎng)絡(luò)中突然產(chǎn)生很高的TCP流量，通過(guò)IDS報(bào)警可以看出，是P2P軟件下載造成的，通過(guò)審計(jì)系統(tǒng)則可以看到更詳細(xì)的信息，比如下載的文件名，文件類型，大小等等。有利于管理員監(jiān)控網(wǎng)絡(luò)資源是否被合法使用。

實(shí)現(xiàn)攻擊源和攻擊目標(biāo)的快速定位

以Internet蠕蟲(chóng)傳播為例，被蠕蟲(chóng)感染的主機(jī)的網(wǎng)絡(luò)行為會(huì)不同于正常主機(jī)，這時(shí)利用審計(jì)功能可以快速發(fā)現(xiàn)異常主機(jī)，結(jié)合IDS的攻擊報(bào)警即可確定感染源。例如：對(duì)于超長(zhǎng)數(shù)據(jù)的緩沖區(qū)溢出，IDS可以進(jìn)行預(yù)警，管理員再通過(guò)審計(jì)模塊察看具體的超長(zhǎng)數(shù)據(jù)內(nèi)容，可以準(zhǔn)確判斷一次報(bào)警是否為攻擊，更可以為追蹤入侵者提供有力證據(jù)。

實(shí)現(xiàn)對(duì)特定安全事件的全面檢測(cè)

對(duì)DDoS攻擊和未知蠕蟲(chóng)，IDS往往難以實(shí)現(xiàn)有效檢測(cè)，但二者均會(huì)引起網(wǎng)絡(luò)流量的顯著異常。UDS由于在IDS的基礎(chǔ)上集成了流量檢測(cè)功能，彌補(bǔ)了IDS的先天不足，帶來(lái)了更全面的檢測(cè)能力。例如：一次DDoS或蠕蟲(chóng)攻擊，會(huì)讓流量檢測(cè)模塊顯示某一協(xié)議以及某一應(yīng)用產(chǎn)生大量的流量，而結(jié)合IDS模塊則可以看到流量類型等更具體的攻擊信息。流量模塊提供了攻擊所產(chǎn)生的網(wǎng)絡(luò)流量，管理員依此來(lái)評(píng)估具體損失，IDS模塊可以確定具體的攻擊類型，并且進(jìn)行IP定位，用來(lái)查找網(wǎng)絡(luò)安全隱患。

提高用戶的投資性價(jià)比

在一次包捕獲的基礎(chǔ)上完成多重分析，與同時(shí)采用多臺(tái)設(shè)備相比，提高了處理的效率，減少了設(shè)備串連時(shí)發(fā)生故障的可能，也降低了多重鏡像對(duì)網(wǎng)絡(luò)性能的影響。此外，當(dāng)用一種綜合產(chǎn)品取代多種分離產(chǎn)品，在滿足功能和性能要求的同時(shí)，其價(jià)格優(yōu)勢(shì)是非常明顯的，可有效的提高用戶的投資性價(jià)比。

方便部署

將旁路檢測(cè)功能統(tǒng)一到一個(gè)設(shè)備上來(lái)實(shí)現(xiàn)，有利于產(chǎn)品的安裝實(shí)施和部署。旁路產(chǎn)品通常的接入方式是通過(guò)交換機(jī)配置鏡像或利用串接TAP接入，需要在交換機(jī)上設(shè)置多個(gè)鏡像端口或者串接多個(gè)TAP。不但會(huì)有多重鏡像造成交換機(jī)性能下降的情況出現(xiàn)，而且還會(huì)面臨部分交換機(jī)不支持多重鏡像的尷尬，并且串接多個(gè)TAP，也容易造成單點(diǎn)故障。

集中管理，綜合分析

旁路檢測(cè)的典型流程是將網(wǎng)絡(luò)上的數(shù)據(jù)報(bào)文進(jìn)行全面捕獲，在保證不丟包的狀態(tài)下對(duì)數(shù)據(jù)報(bào)文進(jìn)行分析，根據(jù)不同的預(yù)定義規(guī)則形成安全事件、告警或統(tǒng)計(jì)數(shù)據(jù)。因此在保持底層技術(shù)上統(tǒng)一、上層實(shí)現(xiàn)多樣化的UDS檢測(cè)系統(tǒng)則有效的擴(kuò)展了檢測(cè)范圍，可以實(shí)現(xiàn)多樣化的綜合檢測(cè)需求。同時(shí)，在未來(lái)的產(chǎn)品架構(gòu)上也具有很好的擴(kuò)展性。例如：系統(tǒng)對(duì)多種檢測(cè)的結(jié)果進(jìn)行交叉關(guān)聯(lián)，集中檢測(cè)可以安全事件為單位進(jìn)行報(bào)警，從而為管理員提供一個(gè)清晰的層次。一次DDoS攻擊事件中，異常流量模塊將劃分出時(shí)間范圍，IDS模塊提供詳細(xì)的攻擊類型信息，流量模塊統(tǒng)計(jì)所產(chǎn)生的網(wǎng)絡(luò)流量，不但可以計(jì)算此次安全事件的攻擊強(qiáng)度，還可以為日后計(jì)算損失提供依據(jù)，而審計(jì)模塊可以記錄該攻擊行為所影響的具體的應(yīng)用服務(wù)，可以為日后追蹤攻擊源頭提供證據(jù)。

對(duì)安全事件深入分析、取證記錄，可追蹤溯源

異常流量會(huì)話錄播。通過(guò)異常流量的檢測(cè)結(jié)果分析，當(dāng)發(fā)現(xiàn)某種協(xié)議類型的流量異常時(shí)，啟動(dòng)UDS的會(huì)話錄播功能，可方便安全管理人員對(duì)異常流量的審計(jì)。例如：對(duì)于未知蠕蟲(chóng)攻擊，異常流量系統(tǒng)可以預(yù)警，但是因?yàn)榇巳湎x(chóng)為突發(fā)，異常流量系統(tǒng)就在第一時(shí)間內(nèi)預(yù)警，所以還尚無(wú)機(jī)構(gòu)為此命名，UDS系統(tǒng)也無(wú)法報(bào)警出具體的蠕蟲(chóng)名字，這樣管理員可以通過(guò)系統(tǒng)自動(dòng)記錄下會(huì)話數(shù)據(jù)流，日后再確認(rèn)具體蠕蟲(chóng)名稱。

IDS日志與安全審計(jì)日志、異常流量報(bào)警日志的交叉報(bào)表功能。被蠕蟲(chóng)感染或遠(yuǎn)程控制的主機(jī)，其流量分布、行為表現(xiàn)會(huì)不同于正常主機(jī)。通過(guò)審計(jì)或異常流量的日志發(fā)現(xiàn)異常主機(jī)，可以使管理員在處理IDS模塊的報(bào)警時(shí)更加關(guān)注那些異常主機(jī)，提高分析的準(zhǔn)確性。例如：對(duì)于一次安全事件，如蠕蟲(chóng)攻擊，交叉報(bào)表可以給管理員提供一個(gè)很清晰的層次，可以通過(guò)異常流量模塊來(lái)確認(rèn)一次安全事件，IDS模塊則提供了安全事件的具體攻擊類型、蠕蟲(chóng)名稱，流量模塊可以提供安全事件產(chǎn)生的數(shù)據(jù)量，審計(jì)模塊為確認(rèn)并追蹤攻擊源以及受害系統(tǒng)提供了依據(jù)。

IDS與主機(jī)資源信息的關(guān)聯(lián)。在各種安全設(shè)備上報(bào)的攻擊事件中，并非每次攻擊都會(huì)對(duì)目標(biāo)網(wǎng)絡(luò)的安全構(gòu)成威脅。以一次典型的針對(duì)IIS的緩沖區(qū)溢出攻擊為例，如果目標(biāo)主機(jī)不可達(dá)，或者其操作系統(tǒng)不是Windows系統(tǒng)、沒(méi)有運(yùn)行IIS服務(wù)、不存在相關(guān)的漏洞，都會(huì)導(dǎo)致攻擊不成功。為此可以將IDS的報(bào)警與主機(jī)資源信息進(jìn)行關(guān)聯(lián)，判斷該報(bào)警的真實(shí)性，降低IDS的誤報(bào)率。UDS的精確報(bào)警功能從一定程度上解決了該類問(wèn)題，如果能進(jìn)一步關(guān)聯(lián)漏洞掃描的結(jié)果，將會(huì)進(jìn)一步增強(qiáng)報(bào)警的準(zhǔn)確性。例如：入侵者對(duì)一臺(tái)Linux系統(tǒng)發(fā)動(dòng)一次unicode攻擊，其實(shí)這個(gè)攻擊是針對(duì)于Windows平臺(tái)的，這次攻擊并不能成功，如果運(yùn)行環(huán)境中數(shù)據(jù)流量較大，報(bào)警較多，管理員則可以通過(guò)降低策略中的報(bào)警強(qiáng)度，過(guò)濾掉這些入侵企圖，而記錄真正有效的、有威脅的攻擊。

基于以上七大優(yōu)勢(shì)可以預(yù)計(jì)，一體化安全檢測(cè)技術(shù)和產(chǎn)品將得到越來(lái)越多的關(guān)注和應(yīng)用。