倫敦奧運會帶著許多遺憾緩緩落幕了，美國最終還是超過了中國，在奧運金牌榜、獎牌榜兩方面完成了超越，并延續了主宰奧運金牌榜的傳統？體育競技的主宰因素很多，如"身體基因"、"科學方法"、"群眾基礎"等。那么，在網絡安全領域，在入侵防御這個細分的安全市場中，未來的入侵防御系統應該具備哪些因素才能主宰市場，摘取金牌呢？

當前的入侵防御系統在性能、功能多樣性、易用性，以及服務方面都與用戶需求有著不小的差距。未來的入侵防御系統只有在這幾個方面都取得技術突破性進展，才有資格站上最高領獎臺。在沒有第三方機構提出未來入侵防御系統模型之前，天融信公司依托于自身在入侵防御領域的研究，以及對客戶需求的了解，歸納總結出"未來入侵防御系統"的六大特性。

入侵防御系統要覆蓋WEB防護能力

在云計算和Web 2.0時代，越來越多的應用以Web方式發布和提供交互接口，Web應用及其服務器群已經成為主要攻擊目標和重點防護對象。一些專門設計的Web防護系統其實就是在入侵防御系統基礎上做一些有針對性的裁剪和加強，當然還有一些Web防護系統使用代理技術，這樣可以獲得更多的分析信息和控制能力，但是仍然面臨嚴重的性能瓶頸問題。有些Web防護系統提供Web漏洞掃描和網站防篡改功能，但這些其實是獨立的，可以單獨提供產品或者集成到其它產品之中，當然也包括入侵防御系統。

實際上，Web服務系統也是由服務器主機、操作系統、數據庫及應用程序組成，攻擊手段并無特殊性，對Web防護能力理應是入侵防御系統的重要功能之一，下一代入侵防御系統應能夠覆蓋這些能力，不再需要專用的Web防護系統。

目前，天融信新一代擎天萬兆入侵防御系統TopIDP具有高速的數據并行檢測處理和轉發能力，應用層處理性能超10Gbps，具備了強大的Web防護能力。

入侵防御系統要依應用增加智能防御

近幾年，隨著硬件計算能力的提高和核心算法的改進，入侵防御系統的性能已經有了很大提高，但是相比網絡擴容速度和網絡設備的發展仍然無法滿足用戶要求。入侵檢測需要對數據報文內容及其數據流進行逐一檢查，沒有快速捷徑，還不能達到向防火墻一樣的線速水平，這也是為什么大多數入侵防御系統在實際網絡中部署都要配置"過載保護"的原因。

隨著攻擊手段的豐富，檢測規則也在不斷增加，但大多數入侵防御系統在實際運行時都將規則總數維持在3000條左右，因為更多的規則將導致系統計算資源的消耗和運行性能的下降。可見，檢測性能仍然是制約入侵防御系統推廣應用的主要因素。

未來的入侵防御系統應該是基于應用的防御系統，可根據不同的應用智能地采取不同的防御策略，比如對含有SQL語句的http請求進行深度檢查，而對于視頻下載進行簡單放行，這樣能夠做到"有所為有所不為"，從而大幅度提高實際網絡應用性能。

目前TopIDP產品全系列采用多核處理器硬件平臺，基于先進的新一代并行處理技術架構，內置處理器動態負載均衡專利技術，實現了對網絡數據流的高性能實時檢測和防御，具備了依應用增加智能防御的性能。

入侵防御系統要支持安全可視化

簡單的日志和統計報表已經不能滿足要求，用戶希望通過入侵防御系統的穩定運行，能夠感受到受保護網絡的安全態勢，甚至能夠根據各種分析結果計算得到一個分值，再依據這個分值設置行動預案，這有點像現實生活中的極端天氣橙色預警，以簡單的幾種顏色表明可能遭遇的危害程度，進而規定了特定顏色后面對應的必需采取的應對措施。

實際上簡單呈現的背后是一套復雜的綜合分析技術，需要建立評價模型，將事件、事件的風險程度、發生的頻率、一段時間內的累積次數、危害程度以及受保護資產的價值進行綜合計算分析，得到數字化的可比較可衡量的分值。給一個特定網絡的安全狀況打80分還是90分無疑是件很棘手的事情，但未來的入侵防御系統正在向這個目標努力。

入侵防御系統要支持云安全服務

每個用戶都希望得到清晰和明確的警示，但網絡系統異常復雜，面對大量繁雜的數據報文，入侵防御系統不可避免地或多或少地會產生漏報和誤報，要準確地分析趨勢和警備級別少不了專業安全服務人員的參與。下一代入侵防御系統應支持云安全服務，能夠將自身產生的配置、運行狀況及產生的事件信息自動上送云端，利用安全廠商提供的云安全服務進行統計分析，進而得出安全危害級別及其應對措施，從云端更新安全配置，或推送新的防護規則都是一種積極主動的防護行為。用戶需要的是將安全設備和服務集成為統一的聯動體系，更緊密地依賴專業防護技術，從而將更多的時間和精力投入到業務系統開發中去。

統一的云安全服務還可以達到"牽一發而動全身"的效果，當入侵者在網絡體系中某一點的突破被感知后，事件會迅速上傳到云端，再由云端發起對接入服務云的所有入侵防御系統進行策略更新，實現網絡體系的整體防護增強，導致入侵者無法有效利用突破進行擴展，從而將危害降低到最低級別。

目前天融信的安全云服務中心通過云監控、云檢測、云防護、云優化等多個服務系統，實現了安全服務從客戶端向云端的遷移，實現了零部署、零維護的服務部署模式，可以無縫支持TopIDP的服務需求。

入侵防御系統要集成DDOS防御能力

據相關權威機構數據統計，DDOS攻擊占到所有攻擊事件的70%，是惡意攻擊者最常使用同時也是危害性最大的攻擊手段之一。現有入侵防御系統主要對可以用模式定義的攻擊行為進行檢測和防御，雖然有些也具有DDOS防御模塊，但普遍功能較弱，性能較差。在DDOS攻擊頻發和安全性較高的網絡環境中，往往需要額外配置獨立的DDOS防護設備來彌補其不足，不僅增加了網絡復雜性，也為用戶帶來了額外的成本付出。

由于DDOS攻擊發生時會產生大量的并發請求，極大地消耗處理器資源，所以要求入侵防御系統能夠在數據包到達的第一時間即模式匹配前進行檢測和防御，這部分功能通常位于操作系統的內核態運行，并且采用快速的統計分析算法。

有研究表明將僵尸網絡定義和引入IP信譽機制相結合能夠有效防御DDOS攻擊，不過目前技術上還不成熟，相信隨著DDOS防御技術的不斷發展，未來入侵防御系統應具備完整和較強的對DDOS攻擊的檢測和防御能力，在標稱性能許可范圍內能夠抵御各種DDOS攻擊行為，從而完整地進行攻擊防御，不再需要獨立的DDOS防護設備。

入侵防御系統要集成防病毒能力

現實網絡中的病毒與攻擊區分越來越模糊，木馬和蠕蟲既是一種病毒也是一種攻擊手段，那種靠文件拷貝復制傳播的年代已經成為過去，現今的病毒可以直接利用主機漏洞通過網絡快速傳播，這種主動發起的擴散方式也形成了對網絡的攻擊。如果仔細觀察，我們會發現在入侵防御系統和病毒檢測系統中都具有對木馬、后門和蠕蟲的檢測規則，這說明這些威脅已經成為兩者需要共同應對的問題。

傳統的病毒檢測系統設計思路是用網絡處部署的防病毒網關來統一進行病毒檢測和防御，以此替代每個客戶端上的防病毒軟件，所以防病毒網關一般都采用代理方式，先將網絡中傳輸的報文還原為文件，然后針對文件進行病毒查殺，查殺方式與客戶端上的防病毒軟件并無不同，實際上相當于用一個防病毒網關替代無數的客戶端上的防病毒軟件，雖然有效，但最大的問題是性能提升空間非常有限，無法滿足用戶要求。

如果將攻擊檢測和病毒檢測合二為一，就需要采用統一的檢測引擎和核心算法。這樣不僅提高了檢測效率，還可以有效降低數據報文時延。所以從應用和系統的角度都需要將網絡病毒的防御作為未來入侵防御系統的基本功能。

主宰取決于自己

關于未來入侵防御系統的概念定義目前已是眾說紛紜，并且在很長一段時間內還將繼續討論下去，這里我們從現有系統存在的缺陷及用戶期望和需求的角度進行分析，勾繪出一個概念輪廓，即未來的入侵防御系統應具有：覆蓋WEB防護能力、依應用而定的智能防御、支持安全可視化、支持云安全服務、集成DDOS防御能力、集成病毒防御能力這六大功能。擁有如此，才能主宰未來，才能成為入侵防御這個賽場上的金牌冠軍。