【IT168 专稿】入侵防御功能是UTM产品的重要功能之一，H3C生产的独立式入侵防御产品（IPS）在国内市场具有很高的占有率，在长期研发中积累了许多关键技术，SecPath U200利用平台式软件开发模式，将那些关键技术继承了过来，使得SecPath U200的入侵防御功能具有以下一些特点。

高精度、高效率的入侵检测引擎
    入侵检测引擎（软件）是入侵防御功能的核心，它直接关系到入侵防御的两个重要功能指标：漏报率和误报率，也直接关系到开启入侵防御功能后UTM设备的两个重要性能指标：吞吐量和时延。

    SecPath U200采用了H3C公司自主知识产权的FIRST（Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎。FIRST引擎的架构如下图所示：
 

    一方面，FIRST引擎创新性地将协议识别与特征匹配紧密地结合起来，利用特征匹配精确地识别出攻击特征码，利用协议识别分析出协议异常，将特征匹配与协议识别的结果结合起来，只有关联了特定应用层协议上下文的攻击特征码匹配了，才被判断为一次有效攻击，从而大大提高了检测精度，显著降低了误报率和漏报率。
另一方面，FIRST引擎独创了软、硬件灵活适配的设计机制，并采用了流水线与大规模并行处理机制，保证检测效率与检测特征数量无线性关系，可以对一个报文同时进行几千种攻击特征和几千种协议特征的并行匹配检测，从而将整体的处理性能提高到空前水平。

全面、及时的攻击特征库
    攻击特征库是FIRST引擎进行攻击检测的依据，没有完善的攻击特征库，再强大的检测引擎也无法发挥作用，就像动力强劲的发动机没有合适的、足够的燃油一样。

   H3C公司多年的网络技术与安全技术积累，造就了资深的攻击特征库团队和安全服务团队，建有攻防实验室，紧跟网络技术与安全技术的发展前沿和网络攻防的最新动态，定期更新并发布攻击特征库升级包（SecPath U200可以自动升级或由网管人员手动升级），源源不断地为强大的检测引擎注入高质量的燃油。

H3C攻击特征库具有如下特点：
1. 覆盖全面，包含了主流操作系统、主流网络设备、主流数据库系统、主流应用软件系统的全部漏洞特征，同时也包含了黑客、蠕虫、基于Web的攻击、病毒、木马、DoS/DDoS、扫描、间谍软件、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用特征；
2. 更新及时，常规情况下每周进行攻击特征库更新，紧急情况下24小时内提供更新的攻击特征库；
3. 攻击特征库与国际权威的漏洞库兼容；
4. 攻击特征库虽然兼容国际，但仍根植中国，更多关注国内特有的网络安全状况，及时对国内特有的攻击提供防御；
5. 攻击特征库包含了与该攻击相关的详细描述，包括攻击的目标系统信息、攻击的危害程度、攻击的解决方法等；
6. 攻击特征分类合理、细致，易于查询、易于归类操作。