华为下一代入侵防御系统NIP6330特性

　　环境感知

　　对于多数的企业而言，会采用IPS对网络安全进行防御和审计，但是IPS存在先天的一些劣势很难修复：传统的IPS能够做到的只是尽心尽责的记录攻击行为并进行记录，它们并不能深入去分析这些攻击行为有什么渊源，管理员可能面对的是每天几万条甚至更多的安全记录，面对海量的风险告警，想要找到正确的源头是很难的。华为下一代入侵防御系统基于“环境感知”进行智能的防范行为去解决这些问题。例如知道内网中存在Windows服务器，那么会告诉用户存在一些Windows的安全风险;发现流量中有QQ的应用，评估QQ能带来的风险，通过两种风险的展示，向管理员全面展示环境的风险态势。而这种智能化的处理方式，传统的IPS显然是无法实现的。在不同的工作环境中，提供不同的，有针对性的风险展示，是华为下一代入侵防御系统的一大亮点。

　　华为下一代入侵防御系统感知受保护网络中的资产信息，以其作为策略调整和风险评估的依据。支持手动录入、主动感知和第三方扫描软件导入资产信息，包括资产类型、操作系统、资产价值和开启的服务等，根据感知的资产信息，NIP6330进行策略自动调整，基于感知到的资产信息选取合适的签名，自动生成入侵防御策略，有针对性地防护，当环境有变化时，华为下一代入侵防御系统能第一时间感知相关的变化情况，及时自动调整或提醒管理员进行相关的策略调整以应对新的风险。包括使用AD 集成获得用户的身份信息，利用漏洞状态和地理环境定位信息来做出更有效的报警及阻截策略。环境感知能力也包括集成信誉系统利用安全情报数据进行防御。

　　当华为下一代入侵防御系统检测到攻击时，从签名中提取本次攻击针对的操作系统、服务等信息。然后将提取的信息与设备中存储的实际资产信息进行比对，同时根据资产的价值确定攻击事件的风险等级，并对这些告警日志进行分级管理，通过分级管理，可以帮助管理员过滤误报攻击事件、忽略非关键事件，重点聚焦高风险攻击事件。

　　通过对环境的感知，形成所保护网络的静态安全风险，同时对攻击的实时检测，形成所保护网络的动态安全风险。

　　日志分级

　　在安全防御的整个过程当中，获取数据是很重要的一个环节，针对数据进行分析同样也是一个不可或缺的环节。当传统的IPS系统一旦部署完成，它就开始日以继夜的产生日志。面对这些堆积如山的日志，许多管理员选择完全忽略，导致问题无法得到有效的处理。另外传统的IPS设备通常采用Top N式报表，来代表最多的攻击事件，但一万笔不重要的攻击，比不上一笔重要的攻击，没有太大的实质用途。传统的IPS设备仅基于攻击报文的特征进行检测，却忽略了真实网络环境中受保护资产的实际情况，也容易产生大量误报，导致管理员需要浪费精力处理误报事件。

　　与IPS处理方式相反的例子是：在华为下一代入侵防御系统上，将日志分成5级，如果攻击行为完全匹配攻击目标，则定义为5级需要高度关注，而按照匹配度的下降，将日志分为其他的级别，这样安全管理人员可以全心全力去关注真正重要的安全事件，这些大约只占全部攻击事件的5%，从而大幅度的降低有效日志量，提高日志的有效性。加入日志分级的功能，是为了减少传统安全设备的误报，提高精确度，解决传统安全的死扣。

　　从以上两点来说，单纯的网络接入设备和单纯的IPS很难满足现有的用户需求，而这也是我们评测下一代入侵防御系统的初衷。

　　高性能硬件

　　软件匹配引擎在处理正则表达式规则的时候，性能都比较低，极大的制约了设备检测性能，华为NGIPS引擎采用了全球领先的提供商Cavium的MIPS64处理器，可以为IPS提供高性能的硬件模式匹配引擎，同时采用全新架构的智能感知引擎，在大流量深度检测的情况下仍保持高达60Gpbs的检测性能，强劲的硬件配置保证了软件运行的稳定和高效。

　　软硬混合计算

　　NIP6330下一代入侵防御采用全新的软硬结合一体化架构，对有规律、大批量、高运算能力要求的报文处理，采用专用多核平台由专用的协处理器硬件处理。对小规模的运算，仍然用软件处理。这样的处理方式让整体性能更高：

　　●采用异步匹配技术，模式匹配中最耗系统资源尤其是CPU资源的核心处理完全交给硬件的匹配引擎来处理，在匹配的同时不影响CPU处理其他业务，并行的处理大大提供报文处理效率和减低时延。

　　●规则的增加不影响匹配的性能，硬件引擎能满足上万条威胁签名的同时加载，而传统的IPS引擎在加载大量的签名时匹配效率严重下降，造成设备性能降低，，而用硬件匹配引擎则能完美解决这个问题。

　　●提供ZIP等压缩文件的硬件解压能力，IPS引擎要对压缩的网页或者文件进行检测，就要有强大的解压缩引擎，而Cavium同样提供硬件解压缩能力，可以保证对ZIP等压缩包中的文件进行高性能的IPS检测。