倫敦奧運會帶著許多遺憾緩緩落幕了，美國最終還是超過了中國，在奧運金牌榜、獎牌榜兩方面完成了超越，并延續(xù)了主宰奧運金牌榜的傳統(tǒng)？體育競技的主宰因素很多，如"身體基因"、"科學方法"、"群眾基礎(chǔ)"等。那么，在網(wǎng)絡(luò)安全領(lǐng)域，在入侵防御這個細分的安全市場中，未來的入侵防御系統(tǒng)應該具備哪些因素才能主宰市場，摘取金牌呢？

當前的入侵防御系統(tǒng)在性能、功能多樣性、易用性，以及服務(wù)方面都與用戶需求有著不小的差距。未來的入侵防御系統(tǒng)只有在這幾個方面都取得技術(shù)突破性進展，才有資格站上最高領(lǐng)獎臺。在沒有第三方機構(gòu)提出未來入侵防御系統(tǒng)模型之前，天融信公司依托于自身在入侵防御領(lǐng)域的研究，以及對客戶需求的了解，歸納總結(jié)出"未來入侵防御系統(tǒng)"的六大特性。

入侵防御系統(tǒng)要覆蓋WEB防護能力

在云計算和Web 2.0時代，越來越多的應用以Web方式發(fā)布和提供交互接口，Web應用及其服務(wù)器群已經(jīng)成為主要攻擊目標和重點防護對象。一些專門設(shè)計的Web防護系統(tǒng)其實就是在入侵防御系統(tǒng)基礎(chǔ)上做一些有針對性的裁剪和加強，當然還有一些Web防護系統(tǒng)使用代理技術(shù)，這樣可以獲得更多的分析信息和控制能力，但是仍然面臨嚴重的性能瓶頸問題。有些Web防護系統(tǒng)提供Web漏洞掃描和網(wǎng)站防篡改功能，但這些其實是獨立的，可以單獨提供產(chǎn)品或者集成到其它產(chǎn)品之中，當然也包括入侵防御系統(tǒng)。

實際上，Web服務(wù)系統(tǒng)也是由服務(wù)器主機、操作系統(tǒng)、數(shù)據(jù)庫及應用程序組成，攻擊手段并無特殊性，對Web防護能力理應是入侵防御系統(tǒng)的重要功能之一，下一代入侵防御系統(tǒng)應能夠覆蓋這些能力，不再需要專用的Web防護系統(tǒng)。

目前，天融信新一代擎天萬兆入侵防御系統(tǒng)TopIDP具有高速的數(shù)據(jù)并行檢測處理和轉(zhuǎn)發(fā)能力，應用層處理性能超10Gbps，具備了強大的Web防護能力。

入侵防御系統(tǒng)要依應用增加智能防御

近幾年，隨著硬件計算能力的提高和核心算法的改進，入侵防御系統(tǒng)的性能已經(jīng)有了很大提高，但是相比網(wǎng)絡(luò)擴容速度和網(wǎng)絡(luò)設(shè)備的發(fā)展仍然無法滿足用戶要求。入侵檢測需要對數(shù)據(jù)報文內(nèi)容及其數(shù)據(jù)流進行逐一檢查，沒有快速捷徑，還不能達到向防火墻一樣的線速水平，這也是為什么大多數(shù)入侵防御系統(tǒng)在實際網(wǎng)絡(luò)中部署都要配置"過載保護"的原因。

隨著攻擊手段的豐富，檢測規(guī)則也在不斷增加，但大多數(shù)入侵防御系統(tǒng)在實際運行時都將規(guī)則總數(shù)維持在3000條左右，因為更多的規(guī)則將導致系統(tǒng)計算資源的消耗和運行性能的下降。可見，檢測性能仍然是制約入侵防御系統(tǒng)推廣應用的主要因素。

未來的入侵防御系統(tǒng)應該是基于應用的防御系統(tǒng)，可根據(jù)不同的應用智能地采取不同的防御策略，比如對含有SQL語句的http請求進行深度檢查，而對于視頻下載進行簡單放行，這樣能夠做到"有所為有所不為"，從而大幅度提高實際網(wǎng)絡(luò)應用性能。

目前TopIDP產(chǎn)品全系列采用多核處理器硬件平臺，基于先進的新一代并行處理技術(shù)架構(gòu)，內(nèi)置處理器動態(tài)負載均衡專利技術(shù)，實現(xiàn)了對網(wǎng)絡(luò)數(shù)據(jù)流的高性能實時檢測和防御，具備了依應用增加智能防御的性能。

入侵防御系統(tǒng)要支持安全可視化

簡單的日志和統(tǒng)計報表已經(jīng)不能滿足要求，用戶希望通過入侵防御系統(tǒng)的穩(wěn)定運行，能夠感受到受保護網(wǎng)絡(luò)的安全態(tài)勢，甚至能夠根據(jù)各種分析結(jié)果計算得到一個分值，再依據(jù)這個分值設(shè)置行動預案，這有點像現(xiàn)實生活中的極端天氣橙色預警，以簡單的幾種顏色表明可能遭遇的危害程度，進而規(guī)定了特定顏色后面對應的必需采取的應對措施。

實際上簡單呈現(xiàn)的背后是一套復雜的綜合分析技術(shù)，需要建立評價模型，將事件、事件的風險程度、發(fā)生的頻率、一段時間內(nèi)的累積次數(shù)、危害程度以及受保護資產(chǎn)的價值進行綜合計算分析，得到數(shù)字化的可比較可衡量的分值。給一個特定網(wǎng)絡(luò)的安全狀況打80分還是90分無疑是件很棘手的事情，但未來的入侵防御系統(tǒng)正在向這個目標努力。

入侵防御系統(tǒng)要支持云安全服務(wù)

每個用戶都希望得到清晰和明確的警示，但網(wǎng)絡(luò)系統(tǒng)異常復雜，面對大量繁雜的數(shù)據(jù)報文，入侵防御系統(tǒng)不可避免地或多或少地會產(chǎn)生漏報和誤報，要準確地分析趨勢和警備級別少不了專業(yè)安全服務(wù)人員的參與。下一代入侵防御系統(tǒng)應支持云安全服務(wù)，能夠?qū)⒆陨懋a(chǎn)生的配置、運行狀況及產(chǎn)生的事件信息自動上送云端，利用安全廠商提供的云安全服務(wù)進行統(tǒng)計分析，進而得出安全危害級別及其應對措施，從云端更新安全配置，或推送新的防護規(guī)則都是一種積極主動的防護行為。用戶需要的是將安全設(shè)備和服務(wù)集成為統(tǒng)一的聯(lián)動體系，更緊密地依賴專業(yè)防護技術(shù)，從而將更多的時間和精力投入到業(yè)務(wù)系統(tǒng)開發(fā)中去。

統(tǒng)一的云安全服務(wù)還可以達到"牽一發(fā)而動全身"的效果，當入侵者在網(wǎng)絡(luò)體系中某一點的突破被感知后，事件會迅速上傳到云端，再由云端發(fā)起對接入服務(wù)云的所有入侵防御系統(tǒng)進行策略更新，實現(xiàn)網(wǎng)絡(luò)體系的整體防護增強，導致入侵者無法有效利用突破進行擴展，從而將危害降低到最低級別。

目前天融信的安全云服務(wù)中心通過云監(jiān)控、云檢測、云防護、云優(yōu)化等多個服務(wù)系統(tǒng)，實現(xiàn)了安全服務(wù)從客戶端向云端的遷移，實現(xiàn)了零部署、零維護的服務(wù)部署模式，可以無縫支持TopIDP的服務(wù)需求。

入侵防御系統(tǒng)要集成DDOS防御能力

據(jù)相關(guān)權(quán)威機構(gòu)數(shù)據(jù)統(tǒng)計，DDOS攻擊占到所有攻擊事件的70%，是惡意攻擊者最常使用同時也是危害性最大的攻擊手段之一。現(xiàn)有入侵防御系統(tǒng)主要對可以用模式定義的攻擊行為進行檢測和防御，雖然有些也具有DDOS防御模塊，但普遍功能較弱，性能較差。在DDOS攻擊頻發(fā)和安全性較高的網(wǎng)絡(luò)環(huán)境中，往往需要額外配置獨立的DDOS防護設(shè)備來彌補其不足，不僅增加了網(wǎng)絡(luò)復雜性，也為用戶帶來了額外的成本付出。

由于DDOS攻擊發(fā)生時會產(chǎn)生大量的并發(fā)請求，極大地消耗處理器資源，所以要求入侵防御系統(tǒng)能夠在數(shù)據(jù)包到達的第一時間即模式匹配前進行檢測和防御，這部分功能通常位于操作系統(tǒng)的內(nèi)核態(tài)運行，并且采用快速的統(tǒng)計分析算法。

有研究表明將僵尸網(wǎng)絡(luò)定義和引入IP信譽機制相結(jié)合能夠有效防御DDOS攻擊，不過目前技術(shù)上還不成熟，相信隨著DDOS防御技術(shù)的不斷發(fā)展，未來入侵防御系統(tǒng)應具備完整和較強的對DDOS攻擊的檢測和防御能力，在標稱性能許可范圍內(nèi)能夠抵御各種DDOS攻擊行為，從而完整地進行攻擊防御，不再需要獨立的DDOS防護設(shè)備。

入侵防御系統(tǒng)要集成防病毒能力

現(xiàn)實網(wǎng)絡(luò)中的病毒與攻擊區(qū)分越來越模糊，木馬和蠕蟲既是一種病毒也是一種攻擊手段，那種靠文件拷貝復制傳播的年代已經(jīng)成為過去，現(xiàn)今的病毒可以直接利用主機漏洞通過網(wǎng)絡(luò)快速傳播，這種主動發(fā)起的擴散方式也形成了對網(wǎng)絡(luò)的攻擊。如果仔細觀察，我們會發(fā)現(xiàn)在入侵防御系統(tǒng)和病毒檢測系統(tǒng)中都具有對木馬、后門和蠕蟲的檢測規(guī)則，這說明這些威脅已經(jīng)成為兩者需要共同應對的問題。

傳統(tǒng)的病毒檢測系統(tǒng)設(shè)計思路是用網(wǎng)絡(luò)處部署的防病毒網(wǎng)關(guān)來統(tǒng)一進行病毒檢測和防御，以此替代每個客戶端上的防病毒軟件，所以防病毒網(wǎng)關(guān)一般都采用代理方式，先將網(wǎng)絡(luò)中傳輸?shù)膱笪倪€原為文件，然后針對文件進行病毒查殺，查殺方式與客戶端上的防病毒軟件并無不同，實際上相當于用一個防病毒網(wǎng)關(guān)替代無數(shù)的客戶端上的防病毒軟件，雖然有效，但最大的問題是性能提升空間非常有限，無法滿足用戶要求。

如果將攻擊檢測和病毒檢測合二為一，就需要采用統(tǒng)一的檢測引擎和核心算法。這樣不僅提高了檢測效率，還可以有效降低數(shù)據(jù)報文時延。所以從應用和系統(tǒng)的角度都需要將網(wǎng)絡(luò)病毒的防御作為未來入侵防御系統(tǒng)的基本功能。

主宰取決于自己

關(guān)于未來入侵防御系統(tǒng)的概念定義目前已是眾說紛紜，并且在很長一段時間內(nèi)還將繼續(xù)討論下去，這里我們從現(xiàn)有系統(tǒng)存在的缺陷及用戶期望和需求的角度進行分析，勾繪出一個概念輪廓，即未來的入侵防御系統(tǒng)應具有：覆蓋WEB防護能力、依應用而定的智能防御、支持安全可視化、支持云安全服務(wù)、集成DDOS防御能力、集成病毒防御能力這六大功能。擁有如此，才能主宰未來，才能成為入侵防御這個賽場上的金牌冠軍。