二十年风沙洗礼,终成参天大树
2020-04-26
随着互联网的迅猛发展,越来越多的商业活动从线下发展到了线上,新模式在带来便利的同时也增加了被攻击的风险。攻击手段与防御技术此消彼长,作为安全防护体系重要组件的入侵检测与防御系统(简称IDPS)起着举足轻重的作用,回顾国内 IDS/IPS 市场的发展,唯有保持核心技术和持续创新的厂商,才能获得长期稳定的市场地位。
“冰之眼”IDPS 见证了行业的风起云涌及客户不断变化的安全需求,并及时做出自身的调整来适应这种变化。蓦然回首,随着js1996官网登录的快速发展,“冰之眼”IDPS 已经从一株小树苗长成了一棵参天大树。在它的成长过程中,不同时期的产品团队为其持续注入生命力。
一、国内首家通过 NSS Labs 专业测试
NSS Labs 的 IDPS 评测标准,已经成为业界公认的“试金石”。2010年4月,“冰之眼”IPS 1200 顺利通过测试,荣获 NSS Labs Approved 认证,并且被NSS Labs认定为最高级别——“Recommended”,成为截至目前国内唯一获得该认证的产品。
在测试报告中,NSS Labs 对“冰之眼”IPS 做了如下评价:“管理非常简单,直观得让人惊讶,加载有效的预定义防护策略后,它能够被快速部署到企业网络之中”、“对已知逃避检测技术的抵御非常完美,在所有相关测试中,均获得 100% 的通过率”、“基于优秀的应用安全防护能力,卓越的千兆处理性能,以及杰出的总体拥有成本,这款产品非常值得用户考虑”。
据当时的项目组成员李文瑾和范敦球回忆 :“这个(项目)印象太深刻了,为了冲击 NSS Labs 测试,团队投入了很多资源,对整个引擎的架构和攻击检测方式做了质的提升,到最后设备入场了,我们还安排每天倒班支撑,那段时间很艰难,压力很大,但结果很美好。”NSS Labs 测试通过,也为产品顺利进入 Gartner 魔力象限 做好了铺垫,一年后,“冰之眼”IPS 成功进入该报告。
二、从千兆、万兆到百 G,单机性能持续突破
作为直路部署的产品,性能是 IPS 的生命线和基石,在行业集采中,严格的性能测试项已经成为标配。在“冰之眼”的性能演进中,有两个关键里程碑。
1、首家万兆 IPS
2008 年 12 月,“冰之眼”IPS 产品 4000P 通过中国软件评测中心(CSTC)的测试,成为业界首款通过第三方权威评测的 10G IPS。本次测试对吞吐、时延、背景流量、并发、新建、攻击检测与拦截率等进行了严格的测试。其中,网络层性能测试从 64 字节到 1518 字节等多种包长的测试流量下,“冰之眼”4000P 吞吐率均达到 100%,达到了双向线速转发,并且对混杂在背景流量中的攻击行为实现 100% 拦截。应用层性能测试项目,“冰之眼”4000P 在使用 Avalanche/Reflflector 混合模拟的 HTTP 流量中,能够同时维持处理超过350 万的并发连接。
据当时研发经理回忆 :“对于万兆 IPS 产品,是我进团队领的第一个大任务,时间紧、任务重,硬件平台计算能力有限,我和团队几乎每天都加班加点,在引擎架构和流程优化以及仪表使用中摸爬滚打 ......”
2、首家 120G IPS
2016 年某客户 IPS 集采首次招标 80G 产品,这对长于安全攻防检测能力的单体盒式设备为主的js1996官网登录来说是极大的挑战,需要面对长于大容量网络数通处理的友商硬件战。整个项目的时间非常紧张,而且遇到的挑战和困难也是前所未有的。比如,机框硬件平台方案、软件分布式方案、百 G 性测试仪表等都不具备,为了在短期内提升产品性能,产品组、规则组和架构部组成联合攻关团队,测试中前后场紧密配合,如期交付样机参加集采,在入场测试中,后端研发彻夜加班支持现场测试。最终,IPS 12000A 通过测试并获得较好的集采份额,产品的性能也实现了质的飞跃,TCP 并发 12000 万、TCP 新建 180 万、2544 大包近 200G。
据负责机框产品的研发经理回忆:“高性能机框产品是我接受过的最具挑战性的任务。分布式架构团队从未接触过,很多工作都是从零开始、摸着石头过河,一边学习一边设计。仪表也是临时向友商借用,并且只能在对方下班后用使用。那段时间大家都是夜猫子,团队采取轮班倒策略。百 G 性能的攻克充分体现了我们是一支 能打硬仗的队伍,单机大容量处理能力为产品拓宽了部署场景,除满足集采外,也为城域网僵木蠕监测市场单机 100G 方案做好了技术储备,在高性能第一个版本之后,团队也集中资源,在提升产品的稳定性、管理端的易用性等多点发力,力争在更广阔的国际市场上有所收获”。
成都团队研发经理表示 :“我们 IPS 引擎有了较大的性能提升,但挖掘的潜力还很大,后续我们还将继续在性能优化上投入研发资源,每个版本都把性能提升和稳定性列入必备项,除保证产品在高端市场持续有竞争力外,在同档位的中低端型号上性能也要高出友商一截。
三、“硬核”的安全防护能力
“冰之眼”IDPS 在发展演进中,充分体现了js1996官网登录优秀的技术基因,作为安全技术的集大成者,“冰之眼”IDPS 积极吸收各安全研究团队的成果,形成了以威胁检测技术为核心,同时兼顾上网行为管控、流量管理等几大功能的产品。
流式引擎和并行架构设计
并行加管道混合式引擎架构,可以充分利用硬件平台的多核计算优势。与其他实现技术相比,流式状态解码技术使得引擎的实时性更强、更高效。
攻击描述语言与签名库
灵活的攻击描述语言,加上安全研究实验室支撑,目前“冰之眼”IDPS 支持近万条签名库,实现紧急漏洞防护签名 24 小时内发 布,例行签名一周内发布。
APT 检测与防护
对于高级可持续性威胁(APT),传统的单一检测方法无法有效应对,“冰之眼”IDPS 与 APT 检测系统(TAC 设备或者云沙箱) 协同,通过行为分析和虚拟执行技术,发现隐藏在流量中的高级恶意代码和恶意回连,并动态调整 IDPS 的防护策略,拦截恶意流量。
高级恶意代码检测
在恶意代码发现能力上,不同于传统基于签名的技术,“冰之眼”IDPS 采用启发式技术、静态模拟技术以及虚拟执行等技术, 对隐藏在流量中的恶意代码识别,能精确拦截。
威胁情报
不同于通过例行签名分发获得防护能力,“冰之眼”IDPS 通过与威胁情报系统(NTI)联动,可以实时获得对恶意 IP 访问、僵尸网络、恶意 URL 以及高级样本的检测防护能力。
机器学习技术
对于无明显特征或者特征难以提取的攻击,如 SQL 注入 /XSS 攻击,js1996官网登录安全研究团队通过在云端对 WEB 正常和异常的访问流量进行学习训练,形成基于行为的向量模型,训练后的模型随着例行签名更新发布,使得设备不依赖于特征即可识别此类攻击。
上网行为管理
应用管理 & 流量控制:采用了 DFI/DPI 技术,除支持签名识别技术外,还可以通过流量行为来精准识别应用/协议,为攻击检测和基于应用的流量控制、上网行为管理等提供准确的依据。
URL 分类过滤:采用设备本地 + 云端双层过滤技术,实现对未知分类的识别以及实时更新。
三、满足客户需求,持续创新
公开数据显示,“冰之眼”IDPS 自 2009 起连续 7 年国内市场占有率第一(IDC 报告),连续 6 年入围Gartner IDPS 魔力象限, 并在 2018 年进入“挑战者”象限。安全市场复杂多变,系统漏洞和新型攻击技术层出不穷,“冰之眼”IDPS 将始终以满足客户安全需求为己任,继续为客户网络提供专业的安全防护。
附录:“冰之眼”IDPS 发展大事记