刚才已经介绍了NetEye IPS使用了NEL这种层次性的语言，实际上可以做到将很多事件进行关联，根据攻击的某个具体的特征定义的检测规则，这种规则又叫攻击规则，攻击规则未必能够表现漏洞的本质，因而可能存在漏报问题。如果一个攻击同时符合漏洞规则和攻击规则，NetEye IPS还可以将两者关联起来。这里的一个例子就是在间中发现是一段x86的代码，然后代进一步判断是否符合xe8、x07、x90等特征，如果该规则被检测到地则表明攻击者发起了一次特定的攻击。

　　再看一下用户自定义规则，我曾经遇到过一个没有对网站进行任何的防护，只要一个普通的用户就可以在上面进行发布木马或安装木马，虽然这听起来比较低级可笑，但在国内确实这属于很普遍的。那么用户自定义规则，使用NEL定义允许外部访问的文件及路径列表，可以有效地阻止攻击者对于上传木马的访问。这利用了整个网站的环境信息，所以我们一直在强调环境信息是IPS它能够区别于IDS的一个非常重要的点。

　　因为今天是电信的一个会议，我再略微讲一下启发式的规则，希望我们构建一种模式使大家都能找一种合理的模式，使得安全问题更进一步。昨天屈先生给我们讲了一个行为安全的问题，以计算机科学发展的水平来看，我觉得要完全的理解一个行为，以及行为的意义还是非常困难的，我做过很长时间人工智能方面的工作，实际上要了解意义要需要很长的时间。模式安全的含义是什么呢，实际启发式规则的理念也有人问什么是启发式规则，我们完全可以用之前、历史的信息来判断当前的流量是否安全。应用安全的复杂性使得我们有时候只能根据以往的用户使用模式，来判断当前用户使用模式是否为攻击，NEL强大的定制能力使得用户可以制定启发式规则，大大提高系统的安全性。用户可以与东软的工程师一起，针对自己的应用环境，开发出定制化的Web异常规则，增强系统的主动防御能力，更好地抵御各类SQL注入、URL攻击等等。启发式规则怎么用呢?经过一段时间的调研我发现一种最好的应用方式，单独的用户，尤其是中国大量的网站并不会因此而买一台IPS，IPS很贵的，我设想的一种模式就是像东软这样的厂商跟电信IDC和用户达成一个三位一体的形式，IPS进行建模，可能面对的是多个用户，但IPS并不需要知道网站各种的细节，所以本质上可以支持非常多的用户，复杂对相对来说是比较小的，我觉得种局面是很好的。

　　再讲一下NEL开放式平台，我们希望它能成为应用安全领域的“JAVA”供大家使用，因为只有在使用中大家才会发现它有怎样的好处。NEL是NetEye IPS安全魔方中的的基础性平台。NEL具有很强的描述能力，通过引入事件的概念，并且还是一个过程语言，可以定义变量、结构、甚至还能定义谓词函数。NEL具备带来最大的开发模式上的变化，不像以前的一些程序，这些引擎分析和实践检测部分是捆在一起，每增加一种协议的支持都需要特定的东西。NEL就把这两件事分开，协议这部分带把是由协议分析人员实现的，这样也就会具有很高的效率。我希望基于NEL构造一个产业链NetEye IPS的多层应用规则架构—创新框架、开放平台，这是东软内部的一个开发小组，分成三层，NEL开发团队、NEL协议分析团队、攻击安全团队分别做三件事，技术合作伙伴也可以参与进来，NetEye IPS可以推广给更多的行业人员，NEL并不只适用于IPS，还可以适用于其它的部分。我的演讲就到这里，谢谢大家。