賈 雷

（延安職業(yè)技術(shù)學(xué)院 陜西 716000）

0 引言

先進(jìn)的有針對(duì)性的攻擊逐漸興起, 在攻擊過(guò)程中融合社會(huì)工程學(xué)、零時(shí)差攻擊、僵尸網(wǎng)絡(luò)、AET（高級(jí)規(guī)避攻擊技術(shù)）等多種技術(shù)手段。傳統(tǒng)入侵防御采用的是基于已知漏洞簽名的深度包檢測(cè)技術(shù)，對(duì)于新型高級(jí)攻擊的防護(hù)無(wú)能為力。網(wǎng)絡(luò)入侵防御需要增加先進(jìn)的威脅檢測(cè)和攔截能力，下一代網(wǎng)絡(luò)入侵防御應(yīng)運(yùn)而生。

1 下一代網(wǎng)絡(luò)入侵防御概述

入侵防御系統(tǒng)（IPS）的概念是在2002年由某個(gè)國(guó)際網(wǎng)絡(luò)安全組織提出的，IPS是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)。對(duì)于七層網(wǎng)絡(luò)模型，IPS能夠提供從網(wǎng)絡(luò)層到應(yīng)用層的細(xì)粒度深層防御。通常部署在網(wǎng)絡(luò)的進(jìn)出口處，對(duì)流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行實(shí)時(shí)的深度檢測(cè)，當(dāng)檢測(cè)到攻擊后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。傳統(tǒng)IPS的應(yīng)用提高了網(wǎng)絡(luò)防護(hù)的智能性和主動(dòng)性。

目前，傳統(tǒng)的網(wǎng)絡(luò)安全模型正面臨著風(fēng)險(xiǎn)。有針對(duì)性的威脅日益復(fù)雜，發(fā)展方向是有針對(duì)性的將惡意程序安裝到用戶電腦，它采用先進(jìn)的技術(shù)如AET躲避檢測(cè)，通過(guò)僵尸網(wǎng)絡(luò)實(shí)施多級(jí)攻擊[1]。有數(shù)據(jù)表明，有針對(duì)性的攻擊正在不斷的擴(kuò)大范圍，重點(diǎn)推出針對(duì)行業(yè)和企業(yè)的攻擊，在遠(yuǎn)端操控隱蔽行動(dòng)。例如，從一個(gè)單一的命令和控制服務(wù)器的數(shù)據(jù)顯示，一個(gè)攻擊組織成功破解32個(gè)行業(yè)的70家公司。

Gartner在2011年10月發(fā)布了《定義下一代網(wǎng)絡(luò)入侵防御》的報(bào)告，報(bào)告指出網(wǎng)絡(luò)IPS需要進(jìn)一步發(fā)展，以應(yīng)對(duì)網(wǎng)絡(luò)通信、應(yīng)用程序和安全態(tài)勢(shì)的變化。并提出了下一代網(wǎng)絡(luò)入侵防御系統(tǒng)（Next-Generation Network Intrusion Prevention System，即NGIPS）的概念。Gartner 認(rèn)為網(wǎng)絡(luò)入侵防御實(shí)現(xiàn)了不同信任級(jí)別的網(wǎng)絡(luò)間的實(shí)時(shí)安全檢測(cè)的聯(lián)機(jī)控制功能。使用NGIPS術(shù)語(yǔ)用來(lái)表示網(wǎng)絡(luò)入侵防御系統(tǒng)必須要演變，才能應(yīng)對(duì)業(yè)務(wù)流程使用IT的方式和攻擊試圖破壞業(yè)務(wù)系統(tǒng)的方式的轉(zhuǎn)變。

2 下一代網(wǎng)絡(luò)入侵防御的功能

Gartner認(rèn)為，在原有的第一代IPS功能基礎(chǔ)上，下一代網(wǎng)絡(luò)IPS至少還應(yīng)具備應(yīng)用感知和全?？梢?、環(huán)境感知、內(nèi)容感知、敏捷引擎等4大功能[1]。

（1）標(biāo)準(zhǔn)第一代IPS功能。

下一代網(wǎng)絡(luò)IPS是在傳統(tǒng)IPS基礎(chǔ)上發(fā)展起來(lái)的，因此，下一代網(wǎng)絡(luò)IPS的首要功能特征是支持面向漏洞簽名和威脅的簽名機(jī)制，能夠成功檢測(cè)并阻擋已知漏洞的攻擊，并且快速研發(fā)及發(fā)布新的特征碼。

（2）應(yīng)用感知和全?？梢?。

能識(shí)別應(yīng)用程序，執(zhí)行應(yīng)用層的安全策略，不僅限于基于端口、協(xié)議、服務(wù)的策略配置。在識(shí)別惡意應(yīng)用程序的基礎(chǔ)上阻止攻擊。

下一代網(wǎng)絡(luò)IPS需要知道在網(wǎng)絡(luò)上有哪些應(yīng)用程序在使用，使用的帶寬是多少，在不同的位置有哪些風(fēng)險(xiǎn)和威脅與應(yīng)用程序相關(guān)聯(lián)。只有通過(guò)了解應(yīng)用程序的使用要求和智能實(shí)施細(xì)粒度的控制，圍繞獲批準(zhǔn)的通信和文件傳輸機(jī)制，減輕通過(guò)變化端口應(yīng)用交付的風(fēng)險(xiǎn)。

（3）環(huán)境感知。

通過(guò)上下文信息關(guān)聯(lián)改善安全規(guī)則的制定。環(huán)境感知能夠提供綜合的網(wǎng)絡(luò)安全相關(guān)信息，如發(fā)動(dòng)攻擊的IP地址，IP地址的信譽(yù)等級(jí)、本身被攻擊的應(yīng)用程序弱點(diǎn)等。有助于IPS引擎更快速更準(zhǔn)確的做出決策，還可減少誤報(bào)。許多攻擊來(lái)自于從惡意網(wǎng)站下載一個(gè)完全不起眼的軟件如PDF文件，位圖，微軟Office文檔，或Java存檔文件。如果沒(méi)有潛在的威脅，系統(tǒng)漏洞，用戶行為，以及許多其他的上下文信息，網(wǎng)絡(luò)IPS設(shè)備幾乎沒(méi)辦法檢測(cè)復(fù)雜的多方位攻擊[2]。如果IPS系統(tǒng)具有實(shí)時(shí)文件信譽(yù)、站點(diǎn)IP地址信譽(yù)或它的地理位置等信息，及時(shí)阻斷率會(huì)明顯提升。如果IPS系統(tǒng)還具有系統(tǒng)信息，如連接的屬性，客戶端系統(tǒng)漏洞，或正常的系統(tǒng)行為模式，及時(shí)阻斷率則會(huì)進(jìn)一步上升。該功能也可以掃描自身網(wǎng)絡(luò)中主機(jī)所開(kāi)啟的服務(wù)，透過(guò)這些服務(wù)，下一代網(wǎng)絡(luò)IPS能動(dòng)態(tài)調(diào)整需要開(kāi)啟的防御規(guī)則，提升系統(tǒng)防護(hù)能力。

（4）內(nèi)容感知。

能夠辨識(shí)出內(nèi)嵌于各種內(nèi)容中的安全威脅，即能夠?qū)θ胝镜陌?、文件和可?zhí)行文件進(jìn)行檢查和分類,如PDF和Office文件以及出站通信，并可實(shí)時(shí)做出通過(guò)、隔離及丟棄等決定。

（5）敏捷引擎。

支持通過(guò)更新來(lái)獲得防御新威脅所需的信息及技術(shù)。IT環(huán)境是高度動(dòng)態(tài)的，隨著網(wǎng)絡(luò)攻擊不斷升級(jí)，網(wǎng)絡(luò)安全防御要不斷跟進(jìn)。下一代網(wǎng)絡(luò)IPS還要滿足私有和公有云架構(gòu)的需求，保護(hù)浮動(dòng)虛擬基礎(chǔ)設(shè)施。

為了應(yīng)對(duì)復(fù)雜多變的網(wǎng)絡(luò)流量，除了參考Gartner的定義外，部分IPS廠商還將僵尸網(wǎng)絡(luò)、APT攻擊的防護(hù)和虛擬化等新功能加入到下一代IPS產(chǎn)品中。

3 其它網(wǎng)絡(luò)安全產(chǎn)品

隨著互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)安全問(wèn)題也受到越來(lái)越多的關(guān)注，除下一代網(wǎng)絡(luò)IPS外，各廠商還推出了一系列網(wǎng)絡(luò)安全產(chǎn)品，如數(shù)據(jù)丟失防護(hù)設(shè)備、統(tǒng)一威脅管理設(shè)備、web安全網(wǎng)關(guān)、下一代防火墻等。這些產(chǎn)品功能和采用的技術(shù)與下一代網(wǎng)絡(luò)IPS類似，但他們都不是下一代網(wǎng)絡(luò)IPS。

（1）傳統(tǒng)IPS

從Gartner定義可以知道，下一代網(wǎng)絡(luò)IPS除了具備傳統(tǒng)IPS功能外，還增加了其它新功能。例如，下一代網(wǎng)絡(luò)IPS具有應(yīng)用感知功能，與第一代IPS相比，可辨識(shí)的流量類型更廣，對(duì)應(yīng)用程序存取的控管程度更深；傳統(tǒng)IPS防御規(guī)則調(diào)整周期較長(zhǎng)，而下一代網(wǎng)絡(luò)IPS具有環(huán)境感知功能，可以自動(dòng)調(diào)整防御規(guī)則。二者最大的差異在于應(yīng)用層識(shí)別能力，如圖1所示。在攻擊事件發(fā)生后，下一代網(wǎng)絡(luò)IPS能夠提供封包來(lái)源、IP地址、信譽(yù)及其所存取的應(yīng)用程序等信息，而傳統(tǒng)的IPS，只提供攻擊的來(lái)源和目的IP地址，詳細(xì)信息需通過(guò)其它類型設(shè)備分析得到。

圖1 第一代和下一代網(wǎng)絡(luò)IPS 區(qū)別

（2）基于網(wǎng)絡(luò)的數(shù)據(jù)丟失防護(hù)設(shè)備

基于網(wǎng)絡(luò)的數(shù)據(jù)丟失防護(hù)設(shè)備工作原理是通過(guò)監(jiān)測(cè)、記錄或限制局域網(wǎng)中未加密文檔的方式，來(lái)實(shí)現(xiàn)數(shù)據(jù)丟失防護(hù)。常見(jiàn)的產(chǎn)品可以分為兩類，一類是針對(duì)網(wǎng)絡(luò)或郵件服務(wù)器進(jìn)行檢測(cè)；另一類通過(guò)事先分析機(jī)密文件的特征，決定機(jī)密文件是否可以通過(guò)網(wǎng)絡(luò)傳送。大多數(shù)數(shù)據(jù)丟失防護(hù)設(shè)備采用網(wǎng)絡(luò)流量的深層數(shù)據(jù)包檢測(cè)技術(shù)，重點(diǎn)檢測(cè)先前確定的通過(guò)檢查點(diǎn)的數(shù)據(jù)類型。數(shù)據(jù)丟失防護(hù)設(shè)備的實(shí)施策略是保證數(shù)據(jù)的安全性，和下一代網(wǎng)絡(luò)IPS的主要區(qū)別在于沒(méi)有實(shí)時(shí)性的要求，不能強(qiáng)制執(zhí)行線速網(wǎng)絡(luò)安全策略。

（3）統(tǒng)一威脅管理設(shè)備

基于傳統(tǒng)網(wǎng)絡(luò)防火墻架構(gòu)的統(tǒng)一威脅管理設(shè)備適用于中小型企業(yè)，具有包含第一代防火墻和IPS在內(nèi)的多種安全功能，除了入侵防御之外，還可依據(jù)用戶需求提供防病毒、VPN等網(wǎng)關(guān)級(jí)安全應(yīng)用，但是它不具備應(yīng)用感知、環(huán)境感知、內(nèi)容感知、敏捷引擎等先進(jìn)功能，一般情況下不能集成引擎，是單引擎產(chǎn)品。它只是把多種安全引擎疊加在了一起，這會(huì)使數(shù)據(jù)流在每個(gè)安全引擎分別執(zhí)行解碼、狀態(tài)復(fù)原等操作，導(dǎo)致大量的資源消耗。

（4）Web安全網(wǎng)關(guān)

Web安全網(wǎng)關(guān)是基于Web內(nèi)容檢測(cè)與安全控制的應(yīng)用層安全設(shè)備。其主要功能包括防病毒、URL過(guò)濾、Internet應(yīng)用控制和帶寬管理等。它重點(diǎn)關(guān)注通過(guò)HTTP瀏覽互聯(lián)網(wǎng)時(shí)出站的用戶訪問(wèn)控制和入站的惡意軟件防護(hù)，主要是通過(guò)集成的URL過(guò)濾和Web防病毒軟件，以及基于非簽名的惡意軟件檢測(cè)技術(shù)來(lái)實(shí)現(xiàn)。它可以針對(duì)用戶的Web交互進(jìn)行優(yōu)化，但只支持部分協(xié)議下的IPS功能。

（5）下一代防火墻

下一代防火墻是基于深度封包檢測(cè)技術(shù)的線速綜合網(wǎng)絡(luò)平臺(tái)，可以實(shí)現(xiàn)正在訪問(wèn)和處理的數(shù)據(jù)內(nèi)容的可視化[3]。下一代防火墻將集成下一代網(wǎng)絡(luò)IPS，與統(tǒng)一威脅管理設(shè)備簡(jiǎn)單疊加不同，網(wǎng)絡(luò)IPS功能將無(wú)縫的融合到下一代防火墻產(chǎn)品中，但目前，只是集成了第一代IPS功能。下一代防火墻作為網(wǎng)關(guān)部署在網(wǎng)絡(luò)中，一旦出現(xiàn)問(wèn)題，會(huì)造成整個(gè)網(wǎng)絡(luò)的中斷，而下一代網(wǎng)絡(luò)IPS具有多種可靠性設(shè)計(jì)，可以保證業(yè)務(wù)的暢通。因此，在嚴(yán)重的網(wǎng)絡(luò)入侵情況下，下一代網(wǎng)絡(luò)IPS的穩(wěn)定性和可靠性要優(yōu)于下一代防火墻設(shè)備。McAfee網(wǎng)絡(luò)安全副總裁Greg brown表示“下一代網(wǎng)絡(luò)IPS在未來(lái)將更有潛力，尤其面對(duì)有針對(duì)性的攻擊。短期內(nèi)下一代防火墻并不會(huì)被下一代網(wǎng)絡(luò)IPS所取代，會(huì)出現(xiàn)二者共存的態(tài)勢(shì)，但下一代網(wǎng)絡(luò)IPS更能代表網(wǎng)絡(luò)安全架構(gòu)的演進(jìn)趨勢(shì)[1]?！?/p>

4 關(guān)鍵技術(shù)

自從Gartner在報(bào)告中指出IPS需要進(jìn)化，國(guó)內(nèi)外網(wǎng)絡(luò)安全廠商便開(kāi)始關(guān)注下一代網(wǎng)絡(luò)IPS產(chǎn)品的研發(fā)，國(guó)外產(chǎn)品如McAfee的M系列，Sourcefire的3D系列,HP Tipping point的S系列，國(guó)內(nèi)主要有威播科技的EX系列，啟明星辰的天清系列，綠盟科技NIPS等設(shè)備。這些產(chǎn)品都是圍繞下一代網(wǎng)絡(luò)入侵防御定義開(kāi)發(fā)的，在Gartner定義的產(chǎn)品特性基礎(chǔ)上，各廠商也根據(jù)自己的技術(shù)優(yōu)勢(shì)詮釋著對(duì)下一代網(wǎng)絡(luò)IPS的理解。

4.1 惡意程序的阻擋

在現(xiàn)在的網(wǎng)絡(luò)環(huán)境下，攻擊手法仍以僵尸網(wǎng)絡(luò)和APT攻擊為主，Gartner研究指出，在2013年之前，僵尸網(wǎng)絡(luò)仍將持續(xù)主宰網(wǎng)絡(luò)攻擊。下一代網(wǎng)絡(luò)IPS加入了針對(duì)僵尸網(wǎng)絡(luò)和APT攻擊的防護(hù)功能。

為了阻擋僵尸網(wǎng)絡(luò)攻擊，大多數(shù)下一代網(wǎng)絡(luò)IPS產(chǎn)品透過(guò)自家數(shù)據(jù)庫(kù)中的IP信譽(yù)服務(wù)等特征文件，辨識(shí)并阻擋流量[4]。如威播科技的EX系列，利用云端惡意程序分析技術(shù)，收集各式惡意程序，并用靜態(tài)及沙箱的動(dòng)態(tài)分析，來(lái)取得命令及控制服務(wù)器端的IP地址、網(wǎng)域名稱及溝通協(xié)議制作特征文件，透過(guò)封包的聯(lián)機(jī)、內(nèi)容等特征來(lái)判定是否為命令及控制服務(wù)器活動(dòng)，如果判定結(jié)果為是系統(tǒng)會(huì)記錄及阻擋聯(lián)機(jī)[5]。有效偵測(cè)的關(guān)鍵是對(duì)比數(shù)據(jù)庫(kù)要具有一定的規(guī)模，威播科技特別加入臺(tái)灣區(qū)僵尸網(wǎng)絡(luò)數(shù)據(jù)庫(kù)，徹底杜絕僵尸網(wǎng)絡(luò)的攻擊。

在APT防護(hù)方面，Sourcefire是透過(guò)特征比對(duì)的方式。它提供了一個(gè)APT防護(hù)模塊，能夠防護(hù)網(wǎng)絡(luò)端未知型態(tài)的攻擊[6]。Sourcefire的3D系列能夠偵測(cè)封包中的檔案，當(dāng)檔案經(jīng)過(guò)設(shè)備時(shí)，IPS會(huì)取得檔案特有的算法值，如果檔案被竄改，該數(shù)值就會(huì)有變化。再將該數(shù)值與廠商提供的算法值數(shù)據(jù)庫(kù)比對(duì)，來(lái)確認(rèn)該檔案是否為惡意文件。

4.2 應(yīng)用程序的識(shí)別與管控

除有效防護(hù)惡意程序外，對(duì)網(wǎng)絡(luò)應(yīng)用程序的識(shí)別和管控成為下一代網(wǎng)絡(luò)IPS的另一關(guān)鍵功能。威播科技的EX系列可以自動(dòng)辨識(shí)1800種以上網(wǎng)絡(luò)應(yīng)用軟件，針對(duì)各種難以辨識(shí)的應(yīng)用程序，采用應(yīng)用層深層穿透辨識(shí)技術(shù)，提高辨識(shí)準(zhǔn)確度，同時(shí)提供網(wǎng)絡(luò)使用的可視化監(jiān)視和管理，可針對(duì)特殊的主機(jī)、應(yīng)用程序類別及主機(jī)網(wǎng)段，進(jìn)行強(qiáng)大的網(wǎng)絡(luò)流量控管，協(xié)助網(wǎng)管人員有效管理網(wǎng)絡(luò)資源使用狀況?；萜盏腘X平臺(tái)提供包括應(yīng)用數(shù)字疫苗、Web應(yīng)用數(shù)字疫苗與顧客開(kāi)發(fā)防護(hù)過(guò)濾器等檢測(cè)機(jī)制，來(lái)達(dá)到應(yīng)用感知與控制要求[7]。

4.3 環(huán)境感知功能的實(shí)現(xiàn)

環(huán)境感知功能一般透過(guò)掃描封包，取得網(wǎng)絡(luò)環(huán)境中的設(shè)備及軟件等詳細(xì)信息。以McAfee和Sourcefire為例，McAfee網(wǎng)絡(luò)安全平臺(tái)需要搭配專屬硬件，透過(guò)聯(lián)動(dòng)取得網(wǎng)絡(luò)內(nèi)外的詳細(xì)數(shù)據(jù)。而Sourcefire無(wú)需使用外接設(shè)備，利用被動(dòng)式探索技術(shù)[6]，分析經(jīng)過(guò)IPS的封包，得到網(wǎng)絡(luò)設(shè)備、實(shí)體和虛擬主機(jī)、應(yīng)用程序等信息。

4.4 內(nèi)容感知功能的實(shí)現(xiàn)

越來(lái)越多的黑客使用有針對(duì)性的客戶端攻擊，訪問(wèn)重要的企業(yè)資料。下一代安全解決方案需要能夠檢測(cè)到惡意的內(nèi)容。McAfee網(wǎng)絡(luò)安全平臺(tái)采用基于特征的標(biāo)準(zhǔn)內(nèi)容檢測(cè)和基于信譽(yù)的主動(dòng)內(nèi)容檢測(cè)技術(shù)識(shí)別惡意內(nèi)容，可自動(dòng)檢測(cè)異常的協(xié)議和文件[2]。它的檢測(cè)能力包括PDF文件，F(xiàn)lash以XLS文件，最重要的是，可以檢測(cè)到隱藏的惡意軟件通過(guò)包裝在內(nèi)容里的shell代碼，這是有針對(duì)性的攻擊檢測(cè)的關(guān)鍵能力。它可以識(shí)別JavaScript的shell代碼，一旦shell代碼被檢測(cè)到，管理員可提取有效載荷并編寫(xiě)自定義簽名，以阻止未來(lái)的攻擊在網(wǎng)絡(luò)內(nèi)傳播。

4.5 軟件更新

在敏捷引擎方面，下一代網(wǎng)絡(luò)IPS透過(guò)軟件更新，獲得最新的惡意攻擊信息和技術(shù)。各廠商對(duì)該功能的實(shí)現(xiàn)方法不同。McAfee是將特征碼、行為式啟發(fā)偵測(cè)、信譽(yù)服務(wù)等功能，整合進(jìn)IPS引擎，讓設(shè)備擁有多種威脅情報(bào)；而HP的敏捷式引擎，則是將軟件與硬件模塊化，當(dāng)面對(duì)新型威脅開(kāi)發(fā)功能模塊時(shí)，該模塊不會(huì)影響到現(xiàn)有的軟件架構(gòu)，在硬件方面，則能讓客戶依照自己的需求，根據(jù)需求增添模塊化硬件。

4.6 虛擬化技術(shù)

隨著虛擬化技術(shù)的不斷發(fā)展，不少企業(yè)將實(shí)體主機(jī)虛擬化，整并到一臺(tái)虛擬主機(jī)上管理。因此，需使用虛擬網(wǎng)絡(luò)設(shè)備控管網(wǎng)絡(luò)流量。下一代網(wǎng)絡(luò)IPS目前采用2種方式過(guò)濾流量，一種是透過(guò)硬件IPS掃描或阻擋，典型產(chǎn)品如HP、McAfee和威播科技的IPS產(chǎn)品；另一種則是將IPS虛擬化，在虛擬IPS上處理虛擬層的流量。如Sourcefire產(chǎn)品，只需將其提供的3D感應(yīng)器部署在虛擬主機(jī)環(huán)境中，并透過(guò)虛擬交換器指定流量到虛擬IPS，就能夠掃描封包。這種方式架構(gòu)簡(jiǎn)單，不會(huì)影響IPS效能。

5 發(fā)展前景

傳統(tǒng)IPS攻擊檢測(cè)方法大多依賴于二進(jìn)制的決策邏輯：“如果安全則通過(guò)”和“如果惡意則阻斷”。其它所有活動(dòng)則發(fā)出警報(bào)，由安全分析人員進(jìn)行詳細(xì)調(diào)查。下一代網(wǎng)絡(luò)IPS的目標(biāo)應(yīng)該是足夠的自動(dòng)分析和評(píng)估能力，加快惡意事件的調(diào)查。

比如，檢測(cè)一個(gè)PDF下載，當(dāng)今的網(wǎng)絡(luò)入侵防御設(shè)備，可以提醒甚至阻止可疑的事件。但如果這次活動(dòng)僅僅是一個(gè)更廣泛的攻擊的一部分，全面分析應(yīng)該涉及一些額外問(wèn)題的提出和回答[2]：發(fā)起下載的用戶是誰(shuí)？是瀏覽網(wǎng)頁(yè)，網(wǎng)絡(luò)釣魚(yú)郵件，還是USB設(shè)備連接下載導(dǎo)致了事件的發(fā)生？網(wǎng)站、IP地址，位置，信譽(yù)等哪些信息可以提供？哪些事件與這個(gè)活動(dòng)有關(guān)，垃圾郵件，僵尸網(wǎng)絡(luò)，文件傳輸？同時(shí)還要對(duì)整個(gè)網(wǎng)絡(luò)威脅評(píng)估，包括：系統(tǒng)層次有哪些風(fēng)險(xiǎn)？哪些系統(tǒng)可能會(huì)受到影響？那些數(shù)據(jù)面臨風(fēng)險(xiǎn)等。McAfee認(rèn)為，未來(lái)的下一代入侵防御必須接近人工智能的自動(dòng)化水平，解決上述這些問(wèn)題。

目前大多數(shù)企業(yè)保護(hù)IT環(huán)境免受惡意滲透，監(jiān)視和數(shù)據(jù)竊取的入侵檢測(cè)和預(yù)防系統(tǒng)，遠(yuǎn)遠(yuǎn)落后最新的攻擊方法。Gartner認(rèn)為，到2014年底，20%網(wǎng)絡(luò)IPS裝置和40%的新的下一代防火墻的采購(gòu)將包括下一代網(wǎng)絡(luò)IPS功能。隨著云計(jì)算和虛擬化技術(shù)的不斷普及，下一代網(wǎng)絡(luò)入侵防御具有巨大的潛在市場(chǎng)。

[1] John Pescatore,Greg Young.Defining Next-Gene-ration Network Instusion Prevention[R].Stamford:Gartner Group,2011.

[2] McAfee.下一代網(wǎng)絡(luò)入侵防御系統(tǒng)白皮書(shū),2012.

[3] 岑義濤.下一代防火墻：未來(lái)新起點(diǎn)[N].網(wǎng)絡(luò)世界,2013-03-04(033).

[4] 陳思翰.次世代IPS不可或缺的5大重要功能[EB/OL].http://www.ithome.com.tw/itadm/article.php?c=79292&s=1, 2013-03-19.

[5]威播,EX系列產(chǎn)品白皮書(shū)，http://www.broadweb. com.tw/index.php?option=com_content&view=article&id=88&Itemid=97.

[6] http://www.sourcefire.com/security-technologies.

[7] 惠普憑借新一代入侵防御系統(tǒng)保護(hù)企業(yè)安全[EB/OL].http://www.enet.com.cn/article/2012/0912/A20120912161816.shtml,2012-09-12.