聯合電訊社/北京--用計算機編輯文檔，發(fā)送郵件，是很多辦公室人士的日常工作，有的時候甚至是他們的全部工作。從技術角度來看，命令行方式環(huán)境下如DOS、Linux等，這些辦公需求基本都可以被滿足，但沒有人會放棄Windows。很簡單，因為Windows更簡單。簡單和可視化，作為IT產品的一項非常重要的特性，有的時候其重要性甚至會有超越其它功能特性的可能。

　　入侵檢測的難題

　　入侵檢測系統(tǒng)IDS迄今已有近20年的應用歷史了，在過去的數次技術變革中，入侵檢測技術得到了長足的發(fā)展，從最初的模式匹配技術，到后來結合協議分析的檢測技術;從最早的遵循RFC標準的協議識別技術，到基于協議指紋技術的動態(tài)協議識別技術;從基于攻擊數據特征的檢測技術，到基于攻擊機理的檢測技術。大量研究人員將精力放在了如何使檢測更加準確和全面上，而對如何讓用戶能更加準確地“讀懂”IDS，投入就顯得不足了。最為常見的場景是：將所有數據分析結果全都在界面上“呈現”出來，僅僅是一個數據的展現。這種情況下，不可避免的帶來用戶的抱怨：IDS不好用，看不懂IDS的報警信息。

　　是否解決這個問題，以及如何解決這個問題，成了影響入侵檢測產品能否獲得使用者認可的關鍵。那入侵檢測的數據展現，應當往哪個方向發(fā)展呢

　　可視化的入侵檢測系統(tǒng)

　　作為國內入侵檢測市場的領頭羊，帶著如何才能更好地使用入侵檢測這個目的，啟明星辰進行了大量的用戶調研工作，隨著信息的收集和反饋的積累，一個概念逐漸清晰了起來：可視化。

　　可視化概念的推出，意味著入侵檢測新時代的到來——入侵檢測技術幾近完美，現在該輪到關注用戶體驗了。

　　入侵檢測作為企業(yè)級網絡安全設備，其使用者大致可分為兩類：運維人員和管理人員。困擾著運維人員的問題是：面對事件洪水的無所適從、無法判斷事件是否真實發(fā)生、不知道該如何有效處理安全事件以及對大規(guī)?？绲赜虿渴饡r的管理。而作為管理人員來說，則容易被冗余信息所困擾，無法直觀了解威脅態(tài)勢。

　　對運維人員來說，一般工作流程為：先設定需要關注哪些事件重要的，值得關注的，可以排除干擾信息直奔需要關注的重點，并分析其中是否存在誤報，對那些確定的安全事件進行處理，同時調整檢測策略，所有的這些數據和信息又都可以作為輔助決策需要關注哪些事件的依據，這就是運維人員的閉環(huán)。

　　而管理人員則關注更高層面的問題：網絡中有沒有威脅存在這些威脅出現在什么地方會有什么影響是不是可以解決解決之后網絡是不是因此而更加安全了怎么來評價是更加安全了之后會不會還有新的威脅存在這是管理人員的閉環(huán)。

　　這兩個閉環(huán)流程，目的是解決運維人員可操作，管理人員可決策的問題，這就是入侵檢測系統(tǒng)的“可視化”過程，入侵檢測產品的發(fā)展方向。

　　入侵檢測，這個曾被視作“抓黑客”“找蠕蟲”的安全產品，在“可視化”概念提出后，將獲得一個全新的定義：幫助網絡管理者及時、準確地發(fā)現網絡的各種入侵行為與網絡異?，F象，并能進行告警、跟蹤、定位的實時檢測系統(tǒng);通過對網絡面臨威脅的監(jiān)控與分析，展示網絡總體的安全態(tài)勢的安全管理工具。更加關注用戶體驗的可視化入侵檢測系統(tǒng)，是對入侵檢測系統(tǒng)客戶價值的一次飛躍式的提升，也必將推動入侵檢測系統(tǒng)普及化時代的到來。