倫敦奧運(yùn)會(huì)帶著許多遺憾緩緩落幕了，美國(guó)最終還是超過(guò)了中國(guó)，在奧運(yùn)金牌榜、獎(jiǎng)牌榜兩方面完成了超越，并延續(xù)了主宰奧運(yùn)金牌榜的傳統(tǒng)？體育競(jìng)技的主宰因素很多，如"身體基因"、"科學(xué)方法"、"群眾基礎(chǔ)"等。那么，在網(wǎng)絡(luò)安全領(lǐng)域，在入侵防御這個(gè)細(xì)分的安全市場(chǎng)中，未來(lái)的入侵防御系統(tǒng)應(yīng)該具備哪些因素才能主宰市場(chǎng)，摘取金牌呢？

當(dāng)前的入侵防御系統(tǒng)在性能、功能多樣性、易用性，以及服務(wù)方面都與用戶需求有著不小的差距。未來(lái)的入侵防御系統(tǒng)只有在這幾個(gè)方面都取得技術(shù)突破性進(jìn)展，才有資格站上最高領(lǐng)獎(jiǎng)臺(tái)。在沒(méi)有第三方機(jī)構(gòu)提出未來(lái)入侵防御系統(tǒng)模型之前，天融信公司依托于自身在入侵防御領(lǐng)域的研究，以及對(duì)客戶需求的了解，歸納總結(jié)出"未來(lái)入侵防御系統(tǒng)"的六大特性。

入侵防御系統(tǒng)要覆蓋WEB防護(hù)能力

在云計(jì)算和Web 2.0時(shí)代，越來(lái)越多的應(yīng)用以Web方式發(fā)布和提供交互接口，Web應(yīng)用及其服務(wù)器群已經(jīng)成為主要攻擊目標(biāo)和重點(diǎn)防護(hù)對(duì)象。一些專門設(shè)計(jì)的Web防護(hù)系統(tǒng)其實(shí)就是在入侵防御系統(tǒng)基礎(chǔ)上做一些有針對(duì)性的裁剪和加強(qiáng)，當(dāng)然還有一些Web防護(hù)系統(tǒng)使用代理技術(shù)，這樣可以獲得更多的分析信息和控制能力，但是仍然面臨嚴(yán)重的性能瓶頸問(wèn)題。有些Web防護(hù)系統(tǒng)提供Web漏洞掃描和網(wǎng)站防篡改功能，但這些其實(shí)是獨(dú)立的，可以單獨(dú)提供產(chǎn)品或者集成到其它產(chǎn)品之中，當(dāng)然也包括入侵防御系統(tǒng)。

實(shí)際上，Web服務(wù)系統(tǒng)也是由服務(wù)器主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用程序組成，攻擊手段并無(wú)特殊性，對(duì)Web防護(hù)能力理應(yīng)是入侵防御系統(tǒng)的重要功能之一，下一代入侵防御系統(tǒng)應(yīng)能夠覆蓋這些能力，不再需要專用的Web防護(hù)系統(tǒng)。

目前，天融信新一代擎天萬(wàn)兆入侵防御系統(tǒng)TopIDP具有高速的數(shù)據(jù)并行檢測(cè)處理和轉(zhuǎn)發(fā)能力，應(yīng)用層處理性能超10Gbps，具備了強(qiáng)大的Web防護(hù)能力。

入侵防御系統(tǒng)要依應(yīng)用增加智能防御

近幾年，隨著硬件計(jì)算能力的提高和核心算法的改進(jìn)，入侵防御系統(tǒng)的性能已經(jīng)有了很大提高，但是相比網(wǎng)絡(luò)擴(kuò)容速度和網(wǎng)絡(luò)設(shè)備的發(fā)展仍然無(wú)法滿足用戶要求。入侵檢測(cè)需要對(duì)數(shù)據(jù)報(bào)文內(nèi)容及其數(shù)據(jù)流進(jìn)行逐一檢查，沒(méi)有快速捷徑，還不能達(dá)到向防火墻一樣的線速水平，這也是為什么大多數(shù)入侵防御系統(tǒng)在實(shí)際網(wǎng)絡(luò)中部署都要配置"過(guò)載保護(hù)"的原因。

隨著攻擊手段的豐富，檢測(cè)規(guī)則也在不斷增加，但大多數(shù)入侵防御系統(tǒng)在實(shí)際運(yùn)行時(shí)都將規(guī)則總數(shù)維持在3000條左右，因?yàn)楦嗟囊?guī)則將導(dǎo)致系統(tǒng)計(jì)算資源的消耗和運(yùn)行性能的下降?？梢?jiàn)，檢測(cè)性能仍然是制約入侵防御系統(tǒng)推廣應(yīng)用的主要因素。

未來(lái)的入侵防御系統(tǒng)應(yīng)該是基于應(yīng)用的防御系統(tǒng)，可根據(jù)不同的應(yīng)用智能地采取不同的防御策略，比如對(duì)含有SQL語(yǔ)句的http請(qǐng)求進(jìn)行深度檢查，而對(duì)于視頻下載進(jìn)行簡(jiǎn)單放行，這樣能夠做到"有所為有所不為"，從而大幅度提高實(shí)際網(wǎng)絡(luò)應(yīng)用性能。

目前TopIDP產(chǎn)品全系列采用多核處理器硬件平臺(tái)，基于先進(jìn)的新一代并行處理技術(shù)架構(gòu)，內(nèi)置處理器動(dòng)態(tài)負(fù)載均衡專利技術(shù)，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的高性能實(shí)時(shí)檢測(cè)和防御，具備了依應(yīng)用增加智能防御的性能。

入侵防御系統(tǒng)要支持安全可視化

簡(jiǎn)單的日志和統(tǒng)計(jì)報(bào)表已經(jīng)不能滿足要求，用戶希望通過(guò)入侵防御系統(tǒng)的穩(wěn)定運(yùn)行，能夠感受到受保護(hù)網(wǎng)絡(luò)的安全態(tài)勢(shì)，甚至能夠根據(jù)各種分析結(jié)果計(jì)算得到一個(gè)分值，再依據(jù)這個(gè)分值設(shè)置行動(dòng)預(yù)案，這有點(diǎn)像現(xiàn)實(shí)生活中的極端天氣橙色預(yù)警，以簡(jiǎn)單的幾種顏色表明可能遭遇的危害程度，進(jìn)而規(guī)定了特定顏色后面對(duì)應(yīng)的必需采取的應(yīng)對(duì)措施。

實(shí)際上簡(jiǎn)單呈現(xiàn)的背后是一套復(fù)雜的綜合分析技術(shù)，需要建立評(píng)價(jià)模型，將事件、事件的風(fēng)險(xiǎn)程度、發(fā)生的頻率、一段時(shí)間內(nèi)的累積次數(shù)、危害程度以及受保護(hù)資產(chǎn)的價(jià)值進(jìn)行綜合計(jì)算分析，得到數(shù)字化的可比較可衡量的分值。給一個(gè)特定網(wǎng)絡(luò)的安全狀況打80分還是90分無(wú)疑是件很棘手的事情，但未來(lái)的入侵防御系統(tǒng)正在向這個(gè)目標(biāo)努力。

入侵防御系統(tǒng)要支持云安全服務(wù)

每個(gè)用戶都希望得到清晰和明確的警示，但網(wǎng)絡(luò)系統(tǒng)異常復(fù)雜，面對(duì)大量繁雜的數(shù)據(jù)報(bào)文，入侵防御系統(tǒng)不可避免地或多或少地會(huì)產(chǎn)生漏報(bào)和誤報(bào)，要準(zhǔn)確地分析趨勢(shì)和警備級(jí)別少不了專業(yè)安全服務(wù)人員的參與。下一代入侵防御系統(tǒng)應(yīng)支持云安全服務(wù)，能夠?qū)⒆陨懋a(chǎn)生的配置、運(yùn)行狀況及產(chǎn)生的事件信息自動(dòng)上送云端，利用安全廠商提供的云安全服務(wù)進(jìn)行統(tǒng)計(jì)分析，進(jìn)而得出安全危害級(jí)別及其應(yīng)對(duì)措施，從云端更新安全配置，或推送新的防護(hù)規(guī)則都是一種積極主動(dòng)的防護(hù)行為。用戶需要的是將安全設(shè)備和服務(wù)集成為統(tǒng)一的聯(lián)動(dòng)體系，更緊密地依賴專業(yè)防護(hù)技術(shù)，從而將更多的時(shí)間和精力投入到業(yè)務(wù)系統(tǒng)開(kāi)發(fā)中去。

統(tǒng)一的云安全服務(wù)還可以達(dá)到"牽一發(fā)而動(dòng)全身"的效果，當(dāng)入侵者在網(wǎng)絡(luò)體系中某一點(diǎn)的突破被感知后，事件會(huì)迅速上傳到云端，再由云端發(fā)起對(duì)接入服務(wù)云的所有入侵防御系統(tǒng)進(jìn)行策略更新，實(shí)現(xiàn)網(wǎng)絡(luò)體系的整體防護(hù)增強(qiáng)，導(dǎo)致入侵者無(wú)法有效利用突破進(jìn)行擴(kuò)展，從而將危害降低到最低級(jí)別。

目前天融信的安全云服務(wù)中心通過(guò)云監(jiān)控、云檢測(cè)、云防護(hù)、云優(yōu)化等多個(gè)服務(wù)系統(tǒng)，實(shí)現(xiàn)了安全服務(wù)從客戶端向云端的遷移，實(shí)現(xiàn)了零部署、零維護(hù)的服務(wù)部署模式，可以無(wú)縫支持TopIDP的服務(wù)需求。

入侵防御系統(tǒng)要集成DDOS防御能力

據(jù)相關(guān)權(quán)威機(jī)構(gòu)數(shù)據(jù)統(tǒng)計(jì)，DDOS攻擊占到所有攻擊事件的70%，是惡意攻擊者最常使用同時(shí)也是危害性最大的攻擊手段之一?，F(xiàn)有入侵防御系統(tǒng)主要對(duì)可以用模式定義的攻擊行為進(jìn)行檢測(cè)和防御，雖然有些也具有DDOS防御模塊，但普遍功能較弱，性能較差。在DDOS攻擊頻發(fā)和安全性較高的網(wǎng)絡(luò)環(huán)境中，往往需要額外配置獨(dú)立的DDOS防護(hù)設(shè)備來(lái)彌補(bǔ)其不足，不僅增加了網(wǎng)絡(luò)復(fù)雜性，也為用戶帶來(lái)了額外的成本付出。

由于DDOS攻擊發(fā)生時(shí)會(huì)產(chǎn)生大量的并發(fā)請(qǐng)求，極大地消耗處理器資源，所以要求入侵防御系統(tǒng)能夠在數(shù)據(jù)包到達(dá)的第一時(shí)間即模式匹配前進(jìn)行檢測(cè)和防御，這部分功能通常位于操作系統(tǒng)的內(nèi)核態(tài)運(yùn)行，并且采用快速的統(tǒng)計(jì)分析算法。

有研究表明將僵尸網(wǎng)絡(luò)定義和引入IP信譽(yù)機(jī)制相結(jié)合能夠有效防御DDOS攻擊，不過(guò)目前技術(shù)上還不成熟，相信隨著DDOS防御技術(shù)的不斷發(fā)展，未來(lái)入侵防御系統(tǒng)應(yīng)具備完整和較強(qiáng)的對(duì)DDOS攻擊的檢測(cè)和防御能力，在標(biāo)稱性能許可范圍內(nèi)能夠抵御各種DDOS攻擊行為，從而完整地進(jìn)行攻擊防御，不再需要獨(dú)立的DDOS防護(hù)設(shè)備。

入侵防御系統(tǒng)要集成防病毒能力

現(xiàn)實(shí)網(wǎng)絡(luò)中的病毒與攻擊區(qū)分越來(lái)越模糊，木馬和蠕蟲(chóng)既是一種病毒也是一種攻擊手段，那種靠文件拷貝復(fù)制傳播的年代已經(jīng)成為過(guò)去，現(xiàn)今的病毒可以直接利用主機(jī)漏洞通過(guò)網(wǎng)絡(luò)快速傳播，這種主動(dòng)發(fā)起的擴(kuò)散方式也形成了對(duì)網(wǎng)絡(luò)的攻擊。如果仔細(xì)觀察，我們會(huì)發(fā)現(xiàn)在入侵防御系統(tǒng)和病毒檢測(cè)系統(tǒng)中都具有對(duì)木馬、后門和蠕蟲(chóng)的檢測(cè)規(guī)則，這說(shuō)明這些威脅已經(jīng)成為兩者需要共同應(yīng)對(duì)的問(wèn)題。

傳統(tǒng)的病毒檢測(cè)系統(tǒng)設(shè)計(jì)思路是用網(wǎng)絡(luò)處部署的防病毒網(wǎng)關(guān)來(lái)統(tǒng)一進(jìn)行病毒檢測(cè)和防御，以此替代每個(gè)客戶端上的防病毒軟件，所以防病毒網(wǎng)關(guān)一般都采用代理方式，先將網(wǎng)絡(luò)中傳輸?shù)膱?bào)文還原為文件，然后針對(duì)文件進(jìn)行病毒查殺，查殺方式與客戶端上的防病毒軟件并無(wú)不同，實(shí)際上相當(dāng)于用一個(gè)防病毒網(wǎng)關(guān)替代無(wú)數(shù)的客戶端上的防病毒軟件，雖然有效，但最大的問(wèn)題是性能提升空間非常有限，無(wú)法滿足用戶要求。

如果將攻擊檢測(cè)和病毒檢測(cè)合二為一，就需要采用統(tǒng)一的檢測(cè)引擎和核心算法。這樣不僅提高了檢測(cè)效率，還可以有效降低數(shù)據(jù)報(bào)文時(shí)延。所以從應(yīng)用和系統(tǒng)的角度都需要將網(wǎng)絡(luò)病毒的防御作為未來(lái)入侵防御系統(tǒng)的基本功能。

主宰取決于自己

關(guān)于未來(lái)入侵防御系統(tǒng)的概念定義目前已是眾說(shuō)紛紜，并且在很長(zhǎng)一段時(shí)間內(nèi)還將繼續(xù)討論下去，這里我們從現(xiàn)有系統(tǒng)存在的缺陷及用戶期望和需求的角度進(jìn)行分析，勾繪出一個(gè)概念輪廓，即未來(lái)的入侵防御系統(tǒng)應(yīng)具有：覆蓋WEB防護(hù)能力、依應(yīng)用而定的智能防御、支持安全可視化、支持云安全服務(wù)、集成DDOS防御能力、集成病毒防御能力這六大功能。擁有如此，才能主宰未來(lái)，才能成為入侵防御這個(gè)賽場(chǎng)上的金牌冠軍。