性能表现是IPS的又一重要指标，但这里的性能应该是更广泛含义上的性能：包括了最大的参数表现和异常状况下的稳定保障。也就是说，性能除了需要关注诸如“吞吐率多大？”，“转发时延多长？”，“一定背景流下检测率如何？”等性能参数表现外，还需要关注：“如果出现了意外情况，怎样/多快能恢复网络的正常通讯？”，这个问题也是IPS出现之初被质疑的一个重点。串接设备出现故障和旁路设备不一样，是会影响到正常业务运营的，而做深层分析的串接设备更加如此，在长时间做大量数据深度分析的情况下，如何确保通讯的顺畅？如何确保出现异常情况后通讯的顺畅？

　　天清入侵防御系统通过内置硬件Watchdog、软件监控进程，对系统的异常实时监控和处理，实现了软件和硬件的双BYPASS功能，在各种异常情况下确保了网络的通畅，部署后不增加网络故障点。天清IPS始终遵循最短时间优先原则，调度任务、算法和CPU时间，具体如图4所示。

        IPS的未来发展方向是什么?

　　明确了IPS的主线功能是深层防御、精确阻断后，IPS未来发展趋势也就明朗化了：不断丰富和完善IPS可以精确阻断的攻击种类和类型，并在此基础之上提升IPS产品的设备处理性能。

　　而在提升性能方面存在的一个悖论就是：需提升性能，除了在软件处理方式上优化外，硬件架构的设计也是一个非常重要的方面，目前的ASIC/NP等高性能硬件，都是采用嵌入式指令+专用语言开发，将已知攻击行为的特征固化在电子固件上，虽然能提升匹配的效率，但在攻击识别的灵活度上过于死板(对变种较难发现)，在新攻击特征的更新上有所滞后(需做特征的编码化)。而基于开放硬件平台的IPS由于采用的是高级编程语言，不存在变种攻击识别和特征更新方面的问题，但在性能上存在处理效率瓶颈：暂时达不到电信级骨干网络的流量要求。

　　所以，入侵防御系统的未来发展方向应该有以下两个方面：

　　第一， 更加广泛的精确阻断范围：扩大可以精确阻断的事件类型，尤其是针对变种以及无法通过特征来定义的攻击行为的防御。

　　第二， 适应各种组网模式：在确保精确阻断的情况下，适应电信级骨干网络的防御需求。

微信公众号

TechTarget

官方微博

TechTarget中国