入侵檢測系統（IDS）是一種不同于防火墻的、主動保護網絡資源的網絡安全系統，是防火墻合理和必要的補充。它完全改變了傳統網絡安全防護體系被動防守的局面，使網絡安全防護變得更積極、更主動，特別是IDS的可視化安全管理功能給網絡安全防護工作帶來了革命性的變化。

隨著信息化的高速發展和網絡在人們生活、工作中的應用、普及，人們的安全意識也大大提高，對網絡安全產品的需要也日益緊迫和嚴格。眼下，用戶對于安全管理系統的要求已不滿足于僅僅在出錯時彈出一個對話框，而是希望系統在監控過往信息的同時能夠對數據進行分析、消化，并以一種更加人性化的方式將網絡上存在的安全風險準確地告知用戶，使用戶一目了然并能迅速做出決策。

一、安全風險的可見和可控

安全風險的可見是指：能夠看見和理解網絡運作與網絡上數據的本來面目。比如：在某一時刻，流經網絡的數據量有多大？某一臺重要的服務器有沒有遭受安全威脅？網上是否存在有攻擊嫌疑的主機？等等。重要的是，這些問題的答案應當一目了然。另外，用戶如果需要查看一周之內的安全信息或最嚴重的幾種安全威脅的統計分析報表，系統也應當能夠立即提供。用戶只有在全面掌握安全風險的基礎上才能對這些風險進行有效控制，從而在安全管理過程中做出正確決策。

安全風險的可控是指: 利用安全策略、安全管理制度和安全技術手段降低安全問題產生的可能性和影響程度。例如：管理員接到報警得知某用戶多次登錄失敗，則可以斷定該用戶對公司局域網有不良企圖，就可以將其加入到黑名單列表中，對于一些重要的文件或目錄，管理員將該用戶的權限設置為禁止寫或禁止刪除，如果該用戶有意或無意地執行相應操作，系統將會阻止。當然，對安全風險進行的這一系列控制都是建立在風險可見的基礎上。

二、安全信息的直觀性

安全信息的直觀性主要表現在網絡信息的人文化和安全信息的圖表化兩個方面。

1. 網絡信息的人文化

傳統IDS所產生的信息往往帶有很強的技術特征。例如安全事件的地址信息為IP地址（如192.168.3.9），這種信息難于理解和記憶。網絡信息的人文化是指網絡信息與客戶的人文信息相結合。網絡信息是指網絡資源信息和網絡結構信息，其表現為員工的工作站、企業的服務器、外網的IP地址或者其他網絡設備信息。人文信息主要指員工信息、部門信息和組織結構信息，服務器則用簡單易記的名稱代表。這種轉換機制類似于互聯網的域名系統，例如新浪的IP地址是：202.101.43.242，而人們往往用www.sina.com.cn這種容易理解和記憶的名字。

金諾網安的KIDS系統就提供了這樣的主機名綁定功能，將員工的主機名、用戶名或服務器名與IP地址綁定。這樣一來，在控制臺的監控窗口中顯示的不再是難以理解的IP地址，而是主機名Linda或服務器名Mail Server。在安全事件窗口中，與安全事件相關連的是源主機名和目標主機名，使得員工的網絡行為、對服務器的訪問連接和安全事件的相關者（入侵者、受攻擊者）一目了然。

2. 安全信息的圖表化

以圖表形式生成的報表或報告主要有以下幾種。

● 快照：提供當前網絡情況的分析，包括網絡流量、攻擊情況等。

● 統計報告：一段時間內各種網絡情況的統計，包括事件日志列表、危險（高風險）事件列表、攻擊統計、響應統計。

● 詳細報告：包括特定類型攻擊明細、對某種特定服務的攻擊情況、按攻擊次數從多到少對事件排序、特定服務器訪問情況。

● 客戶定制報告：提供按客戶要求定制報告功能。

金諾網安的KIDS系統提供了多種報告網絡安全狀況的方式和功能強大的報表分析工具，能夠滿足用戶的各種需要。如：流量圖可以體現網絡當前的流量狀況，明細報表提供了按時間段或按嚴重程度對各類事件的報告，分析報表對報警數據庫中記錄的數據進行統計分析，還能以拄狀圖、餅圖等形式反映統計結果。

三、安全的可管理性

安全的可管理性表現了對安全易于管理的程度。通過各種管理手段可以方便用戶對安全信息的掌握和對安全的控制。可管理性主要分為以下兩種：

1. 信息的可管理性

首先，系統通過建立主機IP地址和內部員工之間的映射關系來完成內部員工的管理。通過IP地址可以反查用戶名，通過用戶名可以查IP地址。KIDS中的主機名綁定功能就提供了一個包含IP地址和主機名稱之間映射關系的列表，供用戶在需要時查詢。

其次，系統對安全風險管理的對象進行分類，如：員工對象、服務對象、服務器對象等。然后，對各種對象進行分類管理，如：內部員工管理、服務管理、服務器管理。對安全信息進行分類有助于用戶對信息的瀏覽，并迅速識別其關注的事件。

再次，系統還具有網絡流量的統計功能，可以隨時監控網段的使用情況。一旦發現某一時刻網絡流量異常則網絡管理員可以通過其他指標分析目前網絡中是否存在資源濫用的現象并采取相應的措施。KIDS的流量圖功能可以使網絡管理員隨時查看網絡的流量狀況。

除此之外，還需要對一組重要服務器（目標地址）或一組可疑的或特定的主機（源地址）進行專門管理: 加入到重要服務器組中的對象可以是在網絡中起關鍵作用、需要重點保護的主機，加入到重點檢測組中的對象應當是有攻擊嫌疑的內部或外部主機。KIDS系統不但提供了對特定源地址或目標地址的管理，還可以根據監控情況生成相應的報表，實現了監控和報表的一體化。新版本的KIDS當中還將推出資源的概念，對網絡中的資產、傳感器等進行分組管理。

2. 控制的可管理性

IDS對網絡的控制手段有：根據黑名單斷開、根據灰名單報警、阻塞HTTP請求、通知防火墻阻斷、通過SNMP Trap報警和執行用戶自定義程序等。

網絡管理員經過一段時間的觀察之后，可能總結出一些有重大攻擊嫌疑的地址或一些可能包含帶毒文件的網頁。對于這類需要阻斷的地址，管理員可以將其添加到黑名單列表中，以后，不管是這些主機訪問網上資源，還是網上其他主機訪問黑名單列表中的主機，IDS都將實施阻斷，這種雙向阻斷的管理策略為網絡安全提供了高度的保障。另外，對于一些雖然可疑，但問題“情節”并不十分嚴重的主機，可以將其添加到灰名單列表，灰名單列表的監控功能也是雙向的，一旦訪問的源地址或目標地址中出現了灰名單列表中的IP地址，IDS會根據預先設定的方式報警。

擁有防火墻的用戶如能使IDS和防火墻聯動，則控制功能可以進一步加強: 當IDS發現入侵時，可以在報警的同時通知防火墻攔截可疑的數據包，實現對入侵行為全方位的控制。對于網絡中原先就使用網管軟件的用戶來說，如果IDS產生的報警消息可以被他們的網管軟件所接收，那就意味著其現有資源可以得到最大限度的利用，而且可以實現對包括入侵在內的各種網絡異常現象的統一管理。IDS可以通過SNMP Trap消息將報警事件發送到網管平臺，實現與各類網管平臺的集成。

四、結束語

綜上所述，只有全面掌握安全風險才能有效進行安全管理，入侵檢測系統（IDS）在安全風險可見性上具有天然優勢，而這種優勢必須通過可視化的管理手段才能發揮出來。管理可視化主要體現在安全