二十年风沙洗礼,终成参天大树——“冰之眼”NIDS/NIPS 技术创新之路

“冰之眼”IDPS 在发展演进中,充分体现了绿盟科技优秀的技术基因。

随着互联网的迅猛发展,越来越多的商业活动从线下发展到了线上,新模式在带来便利的同时也增加了被攻击的风险。攻击手段与防御技术此消彼长,作为安全防护体系重要组件的入侵检测与防御系统(简称 IDPS)起着举足轻重的作用,回顾国内 IDS/IPS 市场的发展,唯有保持核心技术和持续创新的厂商,才能获得长期稳定的市场地位。 

“冰之眼”IDPS 见证了行业的风起云涌及客户不断变化的安全需求,并及时做出自身的调整来适应这种变化。蓦然回首,随着绿盟科技的快速发展,“冰之眼”IDPS 已经从一株小树苗长成了一棵参天大树。在它的成长过程中,不同时期的产品团队为其持续注入生命力。

一、国内首家通过 NSS Labs 专业测试

NSS Labs 的 IDPS 评测标准,已经成为业界公认的“试金石”。2010年4月,“冰之眼”IPS 1200 顺利通过测试,荣获 NSS Labs  Approved 认证,并且被NSS Labs认定为最高级别——“Recommended”,成为截至目前国内唯一获得该认证的产品。 

在测试报告中,NSS Labs 对“冰之眼”IPS 做了如下评价:“管理非常简单,直观得让人惊讶,加载有效的预定义防护策略后,它能够被快速部署到企业网络之中”、“对已知逃避检测技术的抵御非常完美,在所有相关测试中,均获得 100% 的通过率”、“基于优秀的应用安全防护能力,卓越的千兆处理性能,以及杰出的总体拥有成本,这款产品非常值得用户考虑”。

据当时的项目组成员李文瑾和范敦球回忆 :“这个(项目)印象太深刻了,为了冲击 NSS Labs 测试,团队投入了很多资源,对整个引擎的架构和攻击检测方式做了质的提升,到最后设备入场了,我们还安排每天倒班支撑,那段时间很艰难,压力很大,但结果很美好。”NSS Labs 测试通过,也为产品顺利进入 Gartner 魔力象限 做好了铺垫,一年后,“冰之眼”IPS 成功进入该报告。

二、从千兆、万兆到百 G,单机性能持续突破

作为直路部署的产品,性能是 IPS 的生命线和基石,在行业集采中,严格的性能测试项已经成为标配。在“冰之眼”的性能演进中,有两个关键里程碑。 

  1. 首家万兆 IPS

2008 年 12 月,“冰之眼”IPS 产品 4000P 通过中国软件评测中心(CSTC)的测试,成为业界首款通过第三方权威评测的 10G IPS。本次测试对吞吐、时延、背景流量、并发、新建、攻击检测与拦截率等进行了严格的测试。其中,网络层性能测试从 64 字节到 1518 字节等多种包长的测试流量下,“冰之眼”4000P 吞吐率均达到 100%,达到了双向线速转发,并且对混杂在背景流量中的攻击行为实现 100% 拦截。应用层性能测试项目,“冰之眼”4000P 在使用 Avalanche/Reflflector 混合模拟的 HTTP 流量中,能够同时维持处理超过 350 万的并发连接。 

据当时研发经理回忆 :“对于万兆 IPS 产品,是我进团队领的第一个大任务,时间紧、任务重,硬件平台计算能力有限,我和团队几乎每天都加班加点,在引擎架构和流程优化以及仪表使用中摸爬滚打 ……” 

  1. 首家 120G IPS

2016 年某客户 IPS 集采首次招标 80G 产品,这对长于安全攻防检测能力的单体盒式设备为主的绿盟科技来说是极大的挑战,需要面对长于大容量网络数通处理的友商硬件战。整个项目的时间非常紧张,而且遇到的挑战和困难也是前所未有的。比如,机框硬件平台方案、软件分布式方案、百 G 性测试仪表等都不具备,为了在短期内提升产品性能,产品组、规则组和架构部组成联合攻关团队,测试中前后场紧密配合,如期交付样机参加集采,在入场测试中,后端研发彻夜加班支持现场测试。最终,IPS 12000A 通过测试并获得较好的集采份额,产品的性能也实现了质的飞跃,TCP 并发 12000 万、TCP 新建 180 万、2544 大包近 200G。 

据负责机框产品的研发经理回忆:“高性能机框产品是我接受过的最具挑战性的任务。分布式架构团队从未接触过,很多工作都是从零开始、摸着石头过河,一边学习一边设计。仪表也是临时向友商借用,并且只能在对方下班后用使用。那段时间大家都是夜猫子,团队采取轮班倒策略。百 G 性能的攻克充分体现了我们是一支 能打硬仗的队伍,单机大容量处理能力为产品拓宽了部署场景,除满足集采外,也为城域网僵木蠕监测市场单机 100G 方案做好了技术储备,在高性能第一个版本之后,团队也集中资源,在提升产品的稳定性、管理端的易用性等多点发力,力争在更广阔的国际市场上有所收获”。 

成都团队研发经理表示 :“我们 IPS 引擎有了较大的性能提升,但挖掘的潜力还很大,后续我们还将继续在性能优化上投入研发资源,每个版本都把性能提升和稳定性列入必备项,除保证产品在高端市场持续有竞争力外,在同档位的中低端型号上性能也要高出友商一截。”

三、“硬核”的安全防护能力

“冰之眼”IDPS 在发展演进中,充分体现了绿盟科技优秀的技术基因,作为安全技术的集大成者,“冰之眼”IDPS 积极吸收各安全研究团队的成果,形成了以威胁检测技术为核心,同时兼顾上网行为管控、流量管理等几大功能的产品。 

  • 流式引擎和并行架构设计

并行加管道混合式引擎架构,可以充分利用硬件平台的多核计算优势。与其他实现技术相比,流式状态解码技术使得引擎的实时性更强、更高效。 

  • 攻击描述语言与签名库

灵活的攻击描述语言,加上安全研究实验室支撑,目前“冰之眼”IDPS 支持近万条签名库,实现紧急漏洞防护签名 24 小时内发 布,例行签名一周内发布。 

  • APT 检测与防护

对于高级可持续性威胁(APT),传统的单一检测方法无法有效应对,“冰之眼”IDPS 与 APT 检测系统(TAC 设备或者云沙箱) 协同,通过行为分析和虚拟执行技术,发现隐藏在流量中的高级恶意代码和恶意回连,并动态调整 IDPS 的防护策略,拦截恶意流量。

  • 高级恶意代码检测

在恶意代码发现能力上,不同于传统基于签名的技术,“冰之眼”IDPS 采用启发式技术、静态模拟技术以及虚拟执行等技术, 对隐藏在流量中的恶意代码识别,能精确拦截。

  • 威胁情报

不同于通过例行签名分发获得防护能力,“冰之眼”IDPS 通过与威胁情报系统(NTI)联动,可以实时获得对恶意 IP 访问、僵尸网络、恶意 URL 以及高级样本的检测防护能力。

  • 机器学习技术

对于无明显特征或者特征难以提取的攻击,如 SQL 注入 /XSS 攻击,绿盟科技安全研究团队通过在云端对 WEB 正常和异常的访问流量进行学习训练,形成基于行为的向量模型,训练后的模型随着例行签名更新发布,使得设备不依赖于特征即可识别此类攻击。

  • 上网行为管理

应用管理 & 流量控制:采用了 DFI/DPI 技术,除支持签名识别技术外,还可以通过流量行为来精准识别应用/协议,为攻击检测和基于应用的流量控制、上网行为管理等提供准确的依据。 

URL 分类过滤:采用设备本地 + 云端双层过滤技术,实现对未知分类的识别以及实时更新。

三、满足客户需求,持续创新

公开数据显示,“冰之眼”IDPS 自 2009 起连续 7 年国内市场占有率第一(IDC 报告),连续 6 年入围 Gartner IDPS 魔力象限, 并在 2018 年进入“挑战者”象限。安全市场复杂多变,系统漏洞和新型攻击技术层出不穷,“冰之眼”IDPS 将始终以满足客户安全需求为己任,继续为客户网络提供专业的安全防护。

附录:“冰之眼”IDPS 发展大事记

  • 2005年:中国第一家IPS。
  • 2007年:中国第一家千兆IPS。
  • 2008年:继续占据IDC定义的2007年中国入侵防御硬件市场领导者地位。
  • 2008年:发布10G IDPS产品。
  • 2009年:国内首家获得EAL3级认证的入侵防护类产品。
  • 2009年:获得Frost&Sullivan颁发的“2009年中国IDS/IPS市场增长战略领导者”奖。
  • 2010年:通过NSSLABS认证,并获得最高级Recommended评价,跻身全球三强。
  • 2012年:发布国内第一款下一代IPS(NGIPS)。
  • 2012年:国内首个进入GartnerIPS魔力象限的产品。
  • 2013年:首家在IPS中引入基于情报驱动的威胁检测和溯源技术。
  • 2014年:发布20G IDPS产品。
  • 2016年:IDS进入运营商僵木蠕监控市场。
  • 2016年:发布120G高性能机框IPS产品。
  • 2018年:在连续6年入选Gartner MQ的基础上,进入“挑战者”象限,亚太唯一一家。
  • 2019年:实现对申威、飞腾和兆芯等处理器千兆、万兆的全覆盖。

合作者:魏向杰、孙月梅、徐兴华、赵阳、肖丰佳、钟岳林、张英、谢正明、孙建坡、杨三杨、李文瑾、范墩球

发表评论