主持人:下面从技术上谈一下方正安全的拳头产品IDS产品的特点。
方正在推出自己的入侵检测产品,这块有什么样的特点?我们为用户提供什么样的服务?
方正安全IDS产品经理吴华雨先生
吴华雨:方正安全入侵检测有几个特点,方正依托北大,方正IDS依托北大的技术,在几方面有特点。零拷贝技术,从数据包到用户的应用程序之间尽量减少拷贝次数和系统调用次数,争取让CPU达到零负载,这是我们的零拷贝技术。还有一个很重要的技术,我们开发了方正引擎,这个引擎是针对异常检测还有基于波克林算法对底层调用的模型,这个模型保证了对大流量数据处理的高效。
第三个特点,对于未知工具的检测。 主要是因为我们这个产品是基于异常流量的判断,在IDS方面主要有两种模型,第一种是基于特征匹配的,所谓基于特征匹配的,市面主流的产品,比如有的宣传特征库在几千条,特征匹配的模式只有当先出现攻击以后,然后产生特殊代码才能进行检测。而我们基于异常流量的判断分析,它并不是针对于特征的,如果说在网络流量当中有一些异常的数据包,只要是攻击的话,必然是有规律的。比如有很多虚假的IP发大量同样的包,如果现有的特征库里面不存在,只要是这种方式也可以认为是一种攻击。这就是基于特征判断的很重要的例子。
主持人:方正入侵检测系统如何实现对未知攻击的识别?评测里面漏报率和误报率很低。
吴华雨:漏报是指对已存在的攻击不能识别,对协议的解码深度不够,它并不能识别出这种攻击,对数据包的处理能力上存在问题。方正IDS对数据包进行深层解码,深层解码之后得到的数据量比较丰富,这样不会产生漏报。对于误报这块,误报也是对协议和应用层的东西,比如P2P软件有时候产生误报,误报也是对应用和协议分析的力度不够。力度变细变深以后,这种东西因为有大量数据,因为有大量丰富数据进行组合以后,就可以判断了,就可以降低误报。
我们的技术人员在跟客户做实施的时候,需要根据客户网络情况当中的具体数据流量,比如说客户当中有很多SMP的响应,如果在正常情况下IDS认为是一种攻击,其实这个在客户环境当中是正常的。要求技术人员实施的时候,根据客户的环境进行调整。这是降低漏报很重要的措施。
主持人:IDS在将来还有什么技术的发展趋势?方正安全会做哪些调整?增加一些新的产品或者推出新的方案?
吴华雨:方正IDS有一个发展方向,基于分布式算法的IDS。现有网络结构里面的数据流量越来越大,达到像网通的汇聚达到几十G,普通汇聚结点达到上百G的流量,对于庞大的流量进行攻击检测的话,对硬件和软件算法上的要求非常高。解决这个问题需要分步检测,然后综合进行管理,这就是方正IDS的发展方向。
主持人:明年会有新的产品出来吗?
吴华雨:明年会在千兆产品上增加两款。
(责任编辑:luwei) |