IPS的引擎設(shè)計(jì)的好壞是決定IPS入侵防御效果的核心，誤報(bào)和漏洞是檢驗(yàn)IPS引擎的兩個(gè)關(guān)鍵指標(biāo)。通常的IPS引擎和簽名的設(shè)計(jì)和發(fā)布是慢于威脅和漏洞被發(fā)現(xiàn)的速度，有兩大原因：

原因一：當(dāng)前廠(chǎng)商的IPS引擎和簽名主要還是基于攻擊來(lái)設(shè)計(jì)；

原因二：漏洞的披露速度大幅提升，很多漏洞因此被稱(chēng)之為"零日漏洞"，"零時(shí)漏洞"，基于同一漏洞的攻擊種類(lèi)和攻擊工具也各不相同。

因此通過(guò)發(fā)現(xiàn)攻擊的特征來(lái)設(shè)計(jì)引擎和簽名，往往讓IPS的誤報(bào)和漏報(bào)率明顯較高，UTM中的IPS功能經(jīng)常應(yīng)為性能等其他的因素，檢測(cè)略往往不被重視。

基于攻擊的引擎 VS基于漏洞的引擎

所謂漏洞是指軟件中的缺陷，這些缺陷可被惡意人員利用，形成攻擊。一般漏洞被發(fā)現(xiàn)以后，會(huì)有一些組織如CVE和Bugtraq對(duì)這些漏洞進(jìn)行編號(hào)跟蹤。而簽名則用于描述檢測(cè)威脅所需要的特征。當(dāng)一種攻擊被發(fā)現(xiàn)以后，簽名研究人員會(huì)對(duì)這個(gè)攻擊進(jìn)行特征的提取，一般有兩種方法：基于具體攻擊的(exploit-based)和基于漏洞(vulnerability-based)的。

所謂基于具體攻擊，就是指一個(gè)攻擊出現(xiàn)后，研究人員專(zhuān)門(mén)針對(duì)這個(gè)攻擊的特征來(lái)編寫(xiě)簽名，這類(lèi)簽名能夠防御的范圍非常狹窄，往往只能防御一種特定的攻擊。要躲開(kāi)這樣的簽名非常容易，只要把攻擊中的特定字符串修改掉就行了。舉一個(gè)簡(jiǎn)單的例子來(lái)說(shuō)：如果有一個(gè)簽名尋找"FUBAR123"這個(gè)特定字符串，那么只要修改一些大小寫(xiě)或者數(shù)字，比如"fUBAR124"，原先的簽名就失效了。如果簽名是基于某一種特定的攻擊方法，那么攻擊者只要稍微修改一下這個(gè)模式，就能完全躲開(kāi)檢測(cè)了。基于具體攻擊的簽名開(kāi)發(fā)周期非常短，對(duì)研究人員的技能要求也相對(duì)較低，這使得很多廠(chǎng)商能夠在很短時(shí)間內(nèi)響應(yīng)突發(fā)的新型攻擊。

華為賽門(mén)鐵克UTM+產(chǎn)品采用的是基于漏洞的簽名技術(shù)。在這種方式下，研究人員同樣也需要提取特征來(lái)編寫(xiě)簽名，但是和基于具體攻擊不一樣的是--研究人員需要充分理解和掌握對(duì)應(yīng)的漏洞的各種技術(shù)信息，并分析對(duì)應(yīng)的已知和未知的攻擊方式，然后才能提取出具備普遍性的特征。通過(guò)這種方式開(kāi)發(fā)的簽名，能夠防御針對(duì)該漏洞的未知攻擊，真正做到零日攻擊防御。采用這種方式開(kāi)發(fā)的簽名還有一個(gè)優(yōu)點(diǎn)，即可以讓簽名庫(kù)整體規(guī)模在不損失檢測(cè)能力的情況下保持在一個(gè)非常小的水平，從而降低引擎工作壓力?；诼┒吹暮灻_(kāi)發(fā)需要廠(chǎng)商具備非常資深的漏洞分析能力，目前只有少數(shù)廠(chǎng)商才具備該能力。

如何保護(hù)那些沒(méi)有打過(guò)補(bǔ)丁的漏洞呢？主要思路其實(shí)很簡(jiǎn)單：就像一把鑰匙開(kāi)一把鎖一樣，只有特定特征的蠕蟲(chóng)才能攻陷一個(gè)漏洞。通過(guò)對(duì)攻擊特征的分析提取出漏洞的特征，把這個(gè)特征作為標(biāo)準(zhǔn)模式對(duì)網(wǎng)絡(luò)流量進(jìn)行掃描，一旦發(fā)現(xiàn)網(wǎng)絡(luò)流量中的攻擊符合這個(gè)特征的內(nèi)容，就對(duì)這個(gè)攻擊進(jìn)行攔截。基于漏洞的攻擊關(guān)注的是漏洞的特征而不是蠕蟲(chóng)本身的特征，所以當(dāng)一個(gè)新的蠕蟲(chóng)出現(xiàn)的時(shí)候，只要它是攻擊某個(gè)漏洞的，我們就能夠立刻阻擋它而不需要關(guān)注蠕蟲(chóng)的特征，因此基于漏洞的特征能有效抵御已知和未知的攻擊。

通常情況下基于攻擊的引擎，往往衡量IPS的核心指標(biāo)是簽名的數(shù)量，那么在基于漏洞引擎的設(shè)計(jì)下，它還是否是一個(gè)決定性的指標(biāo)呢？

簽名數(shù)量VS簽名質(zhì)量

簽名數(shù)量一直以來(lái)被認(rèn)為是判斷IPS能力的重要指標(biāo)。簽名的數(shù)量越多，表明能覆蓋的攻擊越多，也表示廠(chǎng)商在該領(lǐng)域擁有更多的積累和研究。其實(shí)，夸大入侵防護(hù)（IPS）功能里的簽名數(shù)量是太容易的事，很多廠(chǎng)商就在玩以這些數(shù)字為中心的市場(chǎng)宣傳游戲；但實(shí)際上，和生活中的很多事情一樣，IPS簽名的質(zhì)量遠(yuǎn)遠(yuǎn)比數(shù)量要重要得多。在某些場(chǎng)合下，一個(gè)可以支持簽名數(shù)量最少的廠(chǎng)商恰恰是最好的選擇。而那些使用基于具體攻擊的、容易出誤報(bào)的簽名的IPS方案往往在簽名整體數(shù)量上很好看，但是性能和有效性卻不高。換句話(huà)說(shuō)，IPS簽名數(shù)量并不是衡量IPS產(chǎn)品好壞的有效指標(biāo)。

華為賽門(mén)鐵克深知IPS簽名質(zhì)量和相應(yīng)速度的重要性，因此以更加全面和寬闊的視角來(lái)開(kāi)發(fā)IPS簽名。華賽的目標(biāo)是通過(guò)關(guān)注和研究每個(gè)漏洞的潛在演進(jìn)，堅(jiān)持開(kāi)發(fā)基于漏洞的簽名，以讓用戶(hù)最少操心的方式，最迅速地將最新的保護(hù)能力提供給用戶(hù)。編寫(xiě)簽名采用的方法越是具備通用性，編寫(xiě)出來(lái)的簽名越有可能不僅能保護(hù)現(xiàn)存的攻擊，而且能保護(hù)未來(lái)新出現(xiàn)的針對(duì)已知漏洞或類(lèi)似漏洞的變種攻擊。

當(dāng)應(yīng)對(duì)一種新型威脅的響應(yīng)時(shí)間非常重要的時(shí)候，我們也會(huì)選擇編寫(xiě)一些基于攻擊的簽名。因?yàn)檫@確實(shí)是一個(gè)最容易的方法：既能快速推出對(duì)應(yīng)的簽名，又具備較低的現(xiàn)網(wǎng)誤報(bào)風(fēng)險(xiǎn)。但是一旦有時(shí)間，這些基于具體攻擊的簽名就會(huì)被重新審視提煉，來(lái)確認(rèn)是否能夠優(yōu)化，即以更加通用的方法來(lái)重寫(xiě)，使其能夠防御更加廣泛的攻擊。

即使某些簽名原本已經(jīng)是基于漏洞的簽名，華賽也會(huì)重新審視，看是否可以再次優(yōu)化和合并，使其覆蓋更多的漏洞。

華為賽門(mén)鐵克UTM+提升業(yè)務(wù)價(jià)值

華為賽門(mén)鐵克聯(lián)合賽門(mén)鐵克，一方面在全球范圍內(nèi)關(guān)注最新的病毒和威脅的發(fā)展動(dòng)態(tài)，以保證擁有最快速的特征更新能力，及時(shí)防護(hù)已知的攻擊；另一方面采用基于漏洞的攻擊和威脅的檢測(cè)技術(shù)，保證了不僅能夠識(shí)別已知的攻擊類(lèi)型，也能對(duì)未知的攻擊做出及時(shí)有效的響應(yīng)；高質(zhì)量的簽名則保證了IPS的低誤報(bào)。對(duì)于客戶(hù)而言，在降低安全風(fēng)險(xiǎn)的同時(shí)，也因較低的誤報(bào)率帶來(lái)了良好的業(yè)務(wù)體驗(yàn)。

華為賽門(mén)鐵克UTM+中的網(wǎng)絡(luò)威脅防護(hù)技術(shù)，與傳統(tǒng)IPS相比具有主動(dòng)防御的能力：不僅能發(fā)現(xiàn)已知的威脅，也能發(fā)現(xiàn)未知的威脅，且在這些威脅進(jìn)入網(wǎng)絡(luò)之前就能有效攔截。

與反病毒被動(dòng)響應(yīng)保護(hù)機(jī)制不同的是，華為賽門(mén)鐵克UTM+的網(wǎng)絡(luò)威脅防護(hù)能夠提供真正的主動(dòng)防御保護(hù)，主要擁有以下四大特性：

第一，通過(guò)有效檢測(cè)網(wǎng)絡(luò)流量識(shí)別與基于漏洞特征的攻擊，能抵御未修補(bǔ)的和零日漏洞。

第二，能有效防御基于Web 2.0和瀏覽器插件類(lèi)型的攻擊，還能攔擊偷渡式下載，也能保護(hù)通用的Web應(yīng)用程序的漏洞，如PDF reader。

第三，通過(guò)網(wǎng)絡(luò)流量分析，能識(shí)別社會(huì)工程學(xué)型的攻擊，如仿冒的惡意軟件掃描頁(yè)面、偽造的影視頻解碼組件和安裝包，或者隱藏的執(zhí)行文件等。

第四，可幫助識(shí)別并隔離已經(jīng)受感染的系統(tǒng)，通過(guò)分析主機(jī)與網(wǎng)絡(luò)中的僵尸網(wǎng)絡(luò)的活動(dòng)性，攔截主機(jī)到外部未知的惡意網(wǎng)站。