主持人：下面从技术上谈一下方正安全的拳头产品IDS产品的特点。

　　方正在推出自己的入侵检测产品，这块有什么样的特点？我们为用户提供什么样的服务？

方正安全IDS产品经理吴华雨先生

　　吴华雨：方正安全入侵检测有几个特点，方正依托北大，方正IDS依托北大的技术，在几方面有特点。零拷贝技术，从数据包到用户的应用程序之间尽量减少拷贝次数和系统调用次数，争取让CPU达到零负载，这是我们的零拷贝技术。还有一个很重要的技术，我们开发了方正引擎，这个引擎是针对异常检测还有基于波克林算法对底层调用的模型，这个模型保证了对大流量数据处理的高效。

　　第三个特点，对于未知工具的检测。主要是因为我们这个产品是基于异常流量的判断，在IDS方面主要有两种模型，第一种是基于特征匹配的，所谓基于特征匹配的，市面主流的产品，比如有的宣传特征库在几千条，特征匹配的模式只有当先出现攻击以后，然后产生特殊代码才能进行检测。而我们基于异常流量的判断分析，它并不是针对于特征的，如果说在网络流量当中有一些异常的数据包，只要是攻击的话，必然是有规律的。比如有很多虚假的IP发大量同样的包，如果现有的特征库里面不存在，只要是这种方式也可以认为是一种攻击。这就是基于特征判断的很重要的例子。

　　主持人：方正入侵检测系统如何实现对未知攻击的识别？评测里面漏报率和误报率很低。

　　吴华雨：漏报是指对已存在的攻击不能识别，对协议的解码深度不够，它并不能识别出这种攻击，对数据包的处理能力上存在问题。方正IDS对数据包进行深层解码，深层解码之后得到的数据量比较丰富，这样不会产生漏报。对于误报这块，误报也是对协议和应用层的东西，比如P2P软件有时候产生误报，误报也是对应用和协议分析的力度不够。力度变细变深以后，这种东西因为有大量数据，因为有大量丰富数据进行组合以后，就可以判断了，就可以降低误报。

　　我们的技术人员在跟客户做实施的时候，需要根据客户网络情况当中的具体数据流量，比如说客户当中有很多SMP的响应，如果在正常情况下IDS认为是一种攻击，其实这个在客户环境当中是正常的。要求技术人员实施的时候，根据客户的环境进行调整。这是降低漏报很重要的措施。

　　主持人：IDS在将来还有什么技术的发展趋势？方正安全会做哪些调整？增加一些新的产品或者推出新的方案？

　　吴华雨：方正IDS有一个发展方向，基于分布式算法的IDS。现有网络结构里面的数据流量越来越大，达到像网通的汇聚达到几十G，普通汇聚结点达到上百G的流量，对于庞大的流量进行攻击检测的话，对硬件和软件算法上的要求非常高。解决这个问题需要分步检测，然后综合进行管理，这就是方正IDS的发展方向。

　　主持人：明年会有新的产品出来吗？

　　吴华雨：明年会在千兆产品上增加两款。

(责任编辑：luwei)