天清入侵防御系统白皮书——产品技术特点

　　3.1 串行防御和免疫防护

　　天清入侵防御系统支持串行接入模式，串接在网络当中，以边界防护设备的形式接入网络，任何对受保护网络的访问数据都将穿过天清入侵防御引擎。其标准的接入方式如下图所示：

串接模式的部署

　　和入侵检测设备不同的串接模式，使实时防御成为可能。与基于静态规则进行边界防护的防火墙相比,入侵防御系统可以实现动态的深层次的防御,具体如下图:

防火墙和IPS的不同阻断

　　在发现攻击行为之后，天清入侵防御系统可以主动的阻断这些攻击行为，对内部网络的系统实现免疫防护。即使内部系统存在相应的风险漏洞也可以由入侵防御引擎来将实现先于攻击达成的防护。

　　3.2 高效的数据处理性能

　　正如很多边界防护设备一样，串行的接入模式需要面对的一个主要问题是如何使设备不成为网络传输的瓶颈。天清入侵防御系统采用了如下先进技术确保其具有高效的传输性能:

　　POLL技术：在通常的系统中，数据处理都是采用中断响应机制来进行的。采用中断在数据包较少的情况下，是一个比较好的解决方案，但在数据量较大的情况下，尤其是在千兆级环境下，处理大量中断所消耗的系统资源是相当可观的，我们在这里采用了轮询方式的POLL技术，CPU一直保持工作状态，而并且等待唤醒状态，以节约在大数据量情况下的CPU开销。在对数据包的转发中采用POLL技术，可以确保较低的传输时延。

　　驱动的内部无锁技术：常见的数据结构有这么三种：堆栈、队列和树。在不同的情况下，采用不同的数据结构，我们对捕获后的数据的存储方式采用的是环状队列，也就是说，无需等待中断，随时都可以从存储空间中实时获得可进行分析的数据，

　　自适应的CPU负载均衡技术：我们将每一个实际的CPU都虚拟成了多个虚拟的CPU，分别用于处理不同的事务：分别处理中断、检测和通讯等。

　　以上这三项技术的协同应用，使得天清入侵防御系统在数据包的处理性能方面有着出众的表现。其微秒级的分析时延，完全可以适应电信级用户网络环境需求。

　　3.3 权威性的检测特征库

　　启明星辰认为，基于误用的检测方法要达到精确检测其核心之一就是检测特征（signature）提取的准确性，构造一个好的入侵防御系统，依赖于能否准确地提取和描述检测特征。特别是在串行环境下，明晰而精确的检测特征将会是决定保护措施优劣的重要砝码。

　　天清入侵防御系统在提炼检测特征的时候采用了如下两种方式：

　　方式A：基于漏洞机理的分析方法。

　　利用漏洞机理的方法来提取和定义特征，可以实现检测和具体攻击工具的无关性，特别对于防止新型变种的攻击和攻击工具改造非常有效。

　　方式B：基于攻击过程的分析方法。

　　攻击过程分析法则是完全站在攻击者的角度，破析完整的攻击过程，可以判断攻击是处在攻击尝试阶段还是已经攻击成功。

　　另外，天清入侵防御系统中对检测特征的定义都是通过统一的标准化VT++语言来描述，VT++语言的使用，不但保证了特征的快速更新，还向用户提供了便于自行定义检测特征的接口，从而扩充了检测内容和范围。

　　天清入侵防御系统的检测防御规则库全面兼容CVE和CNCVE，对用户而言，提供了更详细了解网络中发生行为的机会。

　　3.4 准确的攻击检测能力

　　入侵检测系统对客户带来的价值体现在对攻击和可疑行为的及时发现和主动响应上，而实现及时的发现，就要求入侵检测系统拥有全面的攻击检测能力。

　　天清入侵防御系统在对数据链路层到应用层的网络数据全面分析的基础之上，融合漏洞分析信息，可以对上报的攻击事件进行事先的预分析，达到精确报警的目的。

　　此外，天清入侵防御系统采用了启明星辰公司设计并实现的高效协议自识别方法——VFPR (Venus Fast Protocol Recognition)，该协议自识别方法基于协议指纹识别和协议规则验证技术实现，能够在网络协议通信初期根据前期网络报文特征自动识别所属协议类型，并采用预先建立的协议验证规则进一步验证协议识别结果正确性。VFPR方法包括前期协议样本特征提取和在线协议识别两个阶段，其中，协议样本特征提取阶段包括协议类型样本的协议指纹提取和相应协议验证规则建立过程，协议识别阶段包括协议指纹快速匹配和协议识别结果快速验证等过程方法。VFPR方法的协议指纹识别过程基于快速哈希表方法实现，而协议验证规则执行过程基于高效的专用网络报文处理虚拟机实现。通过使用VFPR方法，对于一些采用非常规端口的协议也能实现及时的识别和检测。

　　3.5 简易便捷的管理部署

　　对于使用网络安全产品的用户而言，简单管理的第一步就是简单的部署方式，天清入侵防御系统遵循了“零更改”的部署原则。基于这个原则，天清入侵防御系统可以很容易的接入到用户网络当中，并且不会对网络拓扑、应用服务、运营性能造成任何影响。用户无需设置交换机镜像，而只需将入侵防御引擎透明接入到网络中，便可即时开始对网络的防护。

　　天清入侵防御系统除了支持标准的单层部署模式外，还支持多级分布式的部署方式。特别的，对于大规模部署的用户来说，可以按照自身网络的行政业务结构，来部署与之紧密结合的集中监管、统一控制的分级控制体系。通过集中下发防御策略，使得上级部门可以实现全网统一的安全防御策略，通过统一上报的信息上传机制，使得上级部门可以及时了解各下属单位及全网的安全状况，以便及时修改和更新防御策略。另外，天清入侵防御系统还支持了多监控台设置，多个用户可以仅安装信息显示中心系统，并连接到天清入侵防御系统的控制中心，来实时接收所有上报的报警信息。此种方式特别的适合于有分权管理需求的用户。

　　3.6 灵活的安全策略管理

　　天清入侵防御系统采用基于策略的防护方式，内置了多种默认安全策略集，用户可以根据需要选择最适合自己需要的策略，以达到最佳防护效果。

　　除了默认的安全策略集外，天清入侵防御系统还提供了向导式的策略管理方式，在策略集间还可实现与、或、并、交等逻辑操作，便于用户自定义选择最佳安全策略。

　　对于初次使用天清入侵防御系统的客户，天清还提供了动态策略调整的方式，可以根据预设事件发生的频率来自动调整使用的安全策略，从而实现减少日志量和自动修改事件风险级别。

　　3.7 丰富的响应分析方式

　　天清入侵防御系统在发现网络中的各种攻击和违规行为后，除了主动式的阻断外，还可以通过多种响应方式及时通知系统管理员得知，这些方式包括：

　　屏幕显示报警

　　后台日志记录

　　SNMP Trap信息

　　发送电子邮件

　　声音报警和执行自定义程序

　　……

　　除了实时的响应方式外，天清入侵防御系统对储存在后台数据库中的日志信息还提供了多种的分析手段。用户可以从系统提供的100余种默认报表模版中进行选择，既可以对事件详细追踪处理，也可以发现主要安全事件的焦点所在。

　　天清入侵防御系统还提供了多样化的日志过滤查询条件，用户可以进行自主定义习惯的查询模式，进行有效的日志分析查询，报表的题头、内容、字段可供用户自主调整。

　　通过对于缺省模版的选择和自定义过滤查询条件，用户可以进行自主制定多样化的分析报告模版并进行保存使用。

　　对于生成的报表，用户还可以手动、自动导出为多种常用格式（如：WORD\EXCEL），并设置邮件定时发送报告功能。

　　3.8 完善的系统可靠保障

　　和入侵检测系统不同，串行接入的天清入侵防御系统对系统可靠性的要求要高出许多，在一些特殊情况下，确保网络业务是第一要义。这些特殊情况包括：

　　特殊情况一：掉电及硬件故障。

　　掉电对网络设备的危害是不言而喻的。特别的，当串接在网络中的入侵防御系统掉电了，对业务层面的影响将会是巨大的。同样，入侵防御系统出现硬件故障，也将对业务运营造成影响。

　　特殊情况二：系统软件故障。

　　天清入侵防御系统内置WatchDog功能，对入侵防御引擎的系统状态实现实时的监控。一旦发现防御引擎出现软件故障，即刻启动BYPASS功能。

BYPASS的示意图