IPS的引擎設計的好壞是決定IPS入侵防御效果的核心，誤報和漏洞是檢驗IPS引擎的兩個關鍵指標。通常的IPS引擎和簽名的設計和發(fā)布是慢于威脅和漏洞被發(fā)現(xiàn)的速度，有兩大原因：

原因一：當前廠商的IPS引擎和簽名主要還是基于攻擊來設計；

原因二：漏洞的披露速度大幅提升，很多漏洞因此被稱之為"零日漏洞"，"零時漏洞"，基于同一漏洞的攻擊種類和攻擊工具也各不相同。

因此通過發(fā)現(xiàn)攻擊的特征來設計引擎和簽名，往往讓IPS的誤報和漏報率明顯較高，UTM中的IPS功能經(jīng)常應為性能等其他的因素，檢測略往往不被重視。

基于攻擊的引擎 VS基于漏洞的引擎

所謂漏洞是指軟件中的缺陷，這些缺陷可被惡意人員利用，形成攻擊。一般漏洞被發(fā)現(xiàn)以后，會有一些組織如CVE和Bugtraq對這些漏洞進行編號跟蹤。而簽名則用于描述檢測威脅所需要的特征。當一種攻擊被發(fā)現(xiàn)以后，簽名研究人員會對這個攻擊進行特征的提取，一般有兩種方法：基于具體攻擊的(exploit-based)和基于漏洞(vulnerability-based)的。

所謂基于具體攻擊，就是指一個攻擊出現(xiàn)后，研究人員專門針對這個攻擊的特征來編寫簽名，這類簽名能夠防御的范圍非常狹窄，往往只能防御一種特定的攻擊。要躲開這樣的簽名非常容易，只要把攻擊中的特定字符串修改掉就行了。舉一個簡單的例子來說：如果有一個簽名尋找"FUBAR123"這個特定字符串，那么只要修改一些大小寫或者數(shù)字，比如"fUBAR124"，原先的簽名就失效了。如果簽名是基于某一種特定的攻擊方法，那么攻擊者只要稍微修改一下這個模式，就能完全躲開檢測了。基于具體攻擊的簽名開發(fā)周期非常短，對研究人員的技能要求也相對較低，這使得很多廠商能夠在很短時間內(nèi)響應突發(fā)的新型攻擊。

華為賽門鐵克UTM+產(chǎn)品采用的是基于漏洞的簽名技術(shù)。在這種方式下，研究人員同樣也需要提取特征來編寫簽名，但是和基于具體攻擊不一樣的是--研究人員需要充分理解和掌握對應的漏洞的各種技術(shù)信息，并分析對應的已知和未知的攻擊方式，然后才能提取出具備普遍性的特征。通過這種方式開發(fā)的簽名，能夠防御針對該漏洞的未知攻擊，真正做到零日攻擊防御。采用這種方式開發(fā)的簽名還有一個優(yōu)點，即可以讓簽名庫整體規(guī)模在不損失檢測能力的情況下保持在一個非常小的水平，從而降低引擎工作壓力?；诼┒吹暮灻_發(fā)需要廠商具備非常資深的漏洞分析能力，目前只有少數(shù)廠商才具備該能力。

如何保護那些沒有打過補丁的漏洞呢？主要思路其實很簡單：就像一把鑰匙開一把鎖一樣，只有特定特征的蠕蟲才能攻陷一個漏洞。通過對攻擊特征的分析提取出漏洞的特征，把這個特征作為標準模式對網(wǎng)絡流量進行掃描，一旦發(fā)現(xiàn)網(wǎng)絡流量中的攻擊符合這個特征的內(nèi)容，就對這個攻擊進行攔截?；诼┒吹墓絷P注的是漏洞的特征而不是蠕蟲本身的特征，所以當一個新的蠕蟲出現(xiàn)的時候，只要它是攻擊某個漏洞的，我們就能夠立刻阻擋它而不需要關注蠕蟲的特征，因此基于漏洞的特征能有效抵御已知和未知的攻擊。

通常情況下基于攻擊的引擎，往往衡量IPS的核心指標是簽名的數(shù)量，那么在基于漏洞引擎的設計下，它還是否是一個決定性的指標呢？

簽名數(shù)量VS簽名質(zhì)量

簽名數(shù)量一直以來被認為是判斷IPS能力的重要指標。簽名的數(shù)量越多，表明能覆蓋的攻擊越多，也表示廠商在該領域擁有更多的積累和研究。其實，夸大入侵防護（IPS）功能里的簽名數(shù)量是太容易的事，很多廠商就在玩以這些數(shù)字為中心的市場宣傳游戲；但實際上，和生活中的很多事情一樣，IPS簽名的質(zhì)量遠遠比數(shù)量要重要得多。在某些場合下，一個可以支持簽名數(shù)量最少的廠商恰恰是最好的選擇。而那些使用基于具體攻擊的、容易出誤報的簽名的IPS方案往往在簽名整體數(shù)量上很好看，但是性能和有效性卻不高。換句話說，IPS簽名數(shù)量并不是衡量IPS產(chǎn)品好壞的有效指標。

華為賽門鐵克深知IPS簽名質(zhì)量和相應速度的重要性，因此以更加全面和寬闊的視角來開發(fā)IPS簽名。華賽的目標是通過關注和研究每個漏洞的潛在演進，堅持開發(fā)基于漏洞的簽名，以讓用戶最少操心的方式，最迅速地將最新的保護能力提供給用戶。編寫簽名采用的方法越是具備通用性，編寫出來的簽名越有可能不僅能保護現(xiàn)存的攻擊，而且能保護未來新出現(xiàn)的針對已知漏洞或類似漏洞的變種攻擊。

當應對一種新型威脅的響應時間非常重要的時候，我們也會選擇編寫一些基于攻擊的簽名。因為這確實是一個最容易的方法：既能快速推出對應的簽名，又具備較低的現(xiàn)網(wǎng)誤報風險。但是一旦有時間，這些基于具體攻擊的簽名就會被重新審視提煉，來確認是否能夠優(yōu)化，即以更加通用的方法來重寫，使其能夠防御更加廣泛的攻擊。

即使某些簽名原本已經(jīng)是基于漏洞的簽名，華賽也會重新審視，看是否可以再次優(yōu)化和合并，使其覆蓋更多的漏洞。

華為賽門鐵克UTM+提升業(yè)務價值

華為賽門鐵克聯(lián)合賽門鐵克，一方面在全球范圍內(nèi)關注最新的病毒和威脅的發(fā)展動態(tài)，以保證擁有最快速的特征更新能力，及時防護已知的攻擊；另一方面采用基于漏洞的攻擊和威脅的檢測技術(shù)，保證了不僅能夠識別已知的攻擊類型，也能對未知的攻擊做出及時有效的響應；高質(zhì)量的簽名則保證了IPS的低誤報。對于客戶而言，在降低安全風險的同時，也因較低的誤報率帶來了良好的業(yè)務體驗。

華為賽門鐵克UTM+中的網(wǎng)絡威脅防護技術(shù)，與傳統(tǒng)IPS相比具有主動防御的能力：不僅能發(fā)現(xiàn)已知的威脅，也能發(fā)現(xiàn)未知的威脅，且在這些威脅進入網(wǎng)絡之前就能有效攔截。

與反病毒被動響應保護機制不同的是，華為賽門鐵克UTM+的網(wǎng)絡威脅防護能夠提供真正的主動防御保護，主要擁有以下四大特性：

第一，通過有效檢測網(wǎng)絡流量識別與基于漏洞特征的攻擊，能抵御未修補的和零日漏洞。

第二，能有效防御基于Web 2.0和瀏覽器插件類型的攻擊，還能攔擊偷渡式下載，也能保護通用的Web應用程序的漏洞，如PDF reader。

第三，通過網(wǎng)絡流量分析，能識別社會工程學型的攻擊，如仿冒的惡意軟件掃描頁面、偽造的影視頻解碼組件和安裝包，或者隱藏的執(zhí)行文件等。

第四，可幫助識別并隔離已經(jīng)受感染的系統(tǒng)，通過分析主機與網(wǎng)絡中的僵尸網(wǎng)絡的活動性，攔截主機到外部未知的惡意網(wǎng)站。