多核与整流数据监测助力IPS新突破

当网络攻击行为演变为一种大众化的网络方式时，多样的攻击手段被一个操作简单、可任意下载的攻击工具集成，网络攻击的成本和门槛可变得忽略不计的时候，众多企业的信息化资产常常处于任人宰割的危险境地，而真正危险的是，还不知道如何去解决。

　　IPS产品的出现，为企业信息化安全提供了高效、智能的解决方案。多样化的攻击手段和攻击种类，导致传统的网络安全设备，无法单一应对这些威胁。通俗来讲，如果把防火墙比喻成防盗门、IDS比喻成摄像头，那么IPS应该是扮演保安的角色，拥有更多是主动性和人工智能。

　　IPS早在2005年就出现在国内市场上，随着IPS产品日益增多，用户的选择余地也越来越多，到底什么样的IPS产品才是用户真正需要的?其实，仔细倾听用户的需求，再回顾网络攻击历史和当前网络攻击的手段，就可以找到答案。

　　IPS作为网关级产品，必须拥有高效网络数据通信处理性能，保证用户正常业务的带宽，同时对网络流量中的攻击行为、带宽滥用等有害流量进行精准的检测和阻断。简而言之，就是高性能前提下的应用数据流无损化保障。

　　天融信的TopIDP产品为了突破IPS产品的性能瓶径，采用了先进的RMI 8核32线程处理器的专业硬件平台，将并行多线程微码处理技术成功融入到自主知识产权TOS(Topsec Operating System)系统之中。在物理的多核基础上，虚拟大量的应用协议分析模块，形成先进的并行多线程微码处理架构技术体系，提高了产品的性能。

   

    虽然IPS产品需要高性能来满足用户的网络数据处理要求，但是同时也要保证用户的网络不会受到入侵的攻击，这也是IPS产品的在网络安全上的价值所在。现有的IPS产品中，决大部分产品属于单包过滤产品，他们的特点是拥有高性能的处理，却牺牲了攻击检测阻断的准确性。而在当前流行的网络攻击方式和种类是逐步向网络上层延伸，攻击行为常常掩藏在7层应用的数据流中，大量的攻击数据流都是封装在标准的应用协议数据流中，通过通用的端口，进行伪装，欺骗无法流重组和协议分析的IPS产品。而基于单个数据包检测的IPS产品更是无法有效抵御TCP流分段重叠的攻击，很多的攻击行为通过TCP流分段组合即可轻松穿透这种引擎，在受保护的目标服务器上形成真正的攻击。犹如蒸馏水里混合了自来水，颜色都一样，简单的目视色差分析，并不能真正解决问题。

　　这就需要IPS产品不仅应该在网络层和传输层上要分析和跟踪TCP、UDP、ICMP、IP等协议，通过对这些协议的准确性校验，来判定起始流的封装。更重要的是对HTTP、SMTP、POP3、FTP、TFTP、SNMP、HTTPS Telnet、HTTPS、DNS、RPC、LDAP、QQ、ICQ、MSN、Yahoo Messenger等多种常见应用层协议的合法性分析。天融信的TopIDP技术可以深度感知并检测流经的数据，对于TCP流分段重叠进行完整和合法性校验，基于目标设备的操作系统进行准确的的流重组检测。该检测引擎首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组，然后对重组后的完整数据进行攻击检测，从而从根源上彻底阻断了TCP流分段重叠攻击行为，彻底实现在应用层中将有害流量从正常业务中分离。

   

    IPS产品无论采用哪种技术，目的都是为了确保提升检测的性能和准确性，最大程度的保护用户的网络系统。从目前产品的发展来看，IPS产品的发展前景还是很值得期待的，如果IPS产品能够突破原来的一些瓶颈问题，应该能更好地解决用户的网络安全入侵问题。