为什么要推出IDS与GSN联动规划?

当信息化在各个行业中宽泛利用并带来显著效益的同时，，，，，信息安全成为目前火急必要解决的问题，，，，，由此入侵行为的发觉技术和利用慢慢被人们所器沉。。。。。。。IDS (Intrusion Detection System) 入侵检测系统就是用来通过从推算机网络或推算机系统的关键点网络信息并进行分析，，，，，从中发现网络或系统中是否有违反安全战术的行为和被攻击的迹象。。。。。。。 

全发国际网络GSN（Global Security Network）全局安全网络解决规划，，，，，致力于通过软硬件联动、推算机与网络联动的整体解决规划，，，，，通过网络设备和安全设备蹬撞件，，，，，共同后盾系统、客户端等软件，，，，，联动的实现了对于用户身份、主机健全性以及网络通讯等多方面的保险。。。。。。。

如上所述，，，，，IDS设备能够监控网络中流量的情况，，，，，并针对异常的流量提议预警，，，，，预警信息蕴含源、主张IP。。。。。。。但这些信息对于网络治理人员处置安全事务来说，，，，，并没有太大的意思。。。。。。。这是由于，，，，，要处置网络安全事务，，，，，肯定要追根溯源，，，，，找到问题的本原，，，，，甚至定位到人，，，，，方能彻底解决，，，，，而仅仅提供IP地址这是不够的。。。。。。。IDS与GSN系统的结合，，，，，刚好解决了这个问题，，，，，通过对IDS上报的安全事务的解析，，，，，并通过GSN系统中每个用户的信息来将安全事务定位到人，，，，，并凭据IDS与GSN共享的事务库，，，，，对安全事务给出建议的处置步骤，，，，，或者能够通过预先定造好的战术来对安全事务进行自动的处置，，，，，这就解决了在IDS检测到安全事务后，，，，，处置难的问题。。。。。。。 

IDS与GSN联动规划的实现思路 

通过以上对于IDS与GSN联动的分析，，，，，我们能够得出IDS联动的实现思路： 

1 由IDS监控网络流量，，，，，并对网络异常流量进行上报到GSN系统，，，，，上报信息蕴含攻击的类型；；；；；；；源、主张IP地址等根基信息 

2 由GSN系统对收到的安全事务汇报进行分析，，，，，并凭据系统中的用户身份信息将攻击者和被攻击者定位到人 

3 由GSN系统凭据安全战术对攻击者或被攻击者进行处置。。。。。。。 

为了实现GSN系统与IDS的联动，，，，，必要部署以下GSN的组件： 

RG-SMP 全发国际安全治理平台：掌管对全网身份认证执行统一的安全战术和日志汇总分析RG-SEP 全发国际安全事务解析器：对IDS汇报的安全事务进行汇总上上报SMP进行处置 

联动实现流程如下图所示：：

规划难点：若何平衡“误报”和“漏报”？？？？？？？

全发国际网络GSN与IDS联动规划推出后宽泛利用于各行业客户，，，，，受到用户好评。。。。。。。同时不罕用户也纷纷反馈在使用中遇到的首要问题：若何“既预防漏报，，，，，又削减误报”？？？？？？？ 

多所周知，，，，，IDS上报的事务种类繁多，，，，，通常用户短缺专业知识，，，，，难以处置，，，，，若是对事务不加分析的上报GSN进行处置，，，，，将出现大量“误报”，，，，，导致运维无法发展。。。。。。。但是若是只凭据严沉级别上报攻击，，，，，则可能出现漏报，，，，，而一旦出现漏报也给网络安全带来极大隐患。。。。。。。 

以通过邮件和P2P传布的经典复合型病毒Mydoom为例，，，，，该病毒拥有3个特点： 

1 满足可能使用的端口list时  

2 在端口前提满足时，，，，，传输数据蕴含特点字符“\x85\x13\x3c\x9e\xa2”  

3 在“2”的基础上，，，，，端口是时时使用的（3126到3199之间）情况 

其中规定1仅判断报文的主张端口是否在指定领域内，，，，，这条文则是很容易被其它网络行为（如可自行随机设置端口的P2P软件等）触发，，，，，若是据此告警，，，，，将使用户被海量事务覆没。。。。。。。但是若是对满足规定1的事务视而不见，，，，，又可能导致漏报，，，，，出格是对于批改特点字符的零日攻击束手无策。。。。。。。

若何在误报和漏报之间找到合理的平衡点成为业界普遍无法破解的难题，，，，，直接影响规划的可用性 

“可信度”机造解决之路 

为解决上文中提到的问题，，，，，全发国际创新性的引入“可信度”评估机造，，，，，报警中提供相应可信度数值，，，，，方便用户评估攻击的有效性、真实性。。。。。。。仍以Mydoom的3个特点为例：  

1 当监测到可能被利用的端口时，，，，，系统会天生可信度较低的初步告警。。。。。。。  

2 若在此基础上，，，，，进一步检测到传输数据中蕴含特定恶意特点字符，，，，，则告警可信度将显著提升。。。。。。。  

3 当上述前提均满足，，，，，且攻击行为产生在高坡符用的端口领域内时，，，，，系统将判定该告警拥有极高的可信度，，，，，建议优先措置。。。。。。。

RG-IDS在向GSN平台发送安全事务同时除传递攻击类型、严沉级别、攻击源IP、主张IP等基础信息表，，，，，还蕴含可信度。。。。。。。GSN系统凭据专家知识库预约义规定，，，，，确定当严沉级别和可信度达到某个阀值时向客户发送告警。。。。。。。如对于Mydoom攻击，，，，，当同时满足规定1、2，，，，，可信度达到75%时，，，，，方向用户发送告警，，，，，联动处置；；；；；；；对于只满足规定1，，，，，可信度为50%的事务，，，，，则保留起来，，，，，供用户在解决完垂危事务后查看处置。。。。。。。通过这种方式，，，，，使得用户从大量的P2P利用占用Mydoom攻击端口引起的“误报”中解放出来，，，，，大大简化了运维。。。。。。。 

引入“可信度”机造，，，，，有效解决了“误报”和“漏报”的平衡问题，，，，，提高了IDS与GSN联动规划的可用性。。。。。。。“可信度”是全发国际网络深刻钻研客户业务近况，，，，，把握客户利用需要的又一项技术创新，，，，，进一步美满GSN全局安全网络解决规划，，，，，活泼体现了全发国际网络安全产品线“让安全变的更容易”的价值主张。。。。。。。