入侵防御系统搭建

下一代入侵防御系统产品 

下一代入侵防御系统（NIPS）是*的网络型入侵防 13716326466

御产品，围绕精确识别，有效阻断的核心理念，通过对网络的深度解析，可及时准确发

现各类非法入侵攻击行为，并执行实时精确阻断，主动而高效的保护用户网络安全。

SANGFOR NIPS不仅可以应对对漏洞攻击、蠕虫病毒、软件、木马后门、溢出攻击、

数据库攻击、暴力，而且可以对高级威胁攻击、未知威胁攻击等多种深层攻击行为进行

防御，有效弥补网络层防护产品深层防御效果的不足，为用户提供了完整的立体式网络安全

防护。

SANGFOR NIPS相比传统入侵防御系统更加强调通过多维度的检测技术包含基于      AI

和沙箱等技术实现识别的精确性，同时，通过简单的运维操作方式提升管理和运维的有效性。

1.1产品功能特色

1.1.1L2-7层全面入侵防御

SANGFOR NIPS支持  7,000多种攻击特征，能够检测常见的病毒、蠕虫、后门、木马、

僵尸网络攻击以及缓冲区溢出攻击和漏洞攻击；封堵主流的高级逃逸攻击；检测和防御主流

的异常流量，含各类 Flood攻击；提供用户自定义攻击特征码功能，可网络层到应用层

的对比内容；提供虚拟补丁功能，让没有及时修补漏洞的客户，能够**网络安全正常运行。

随着七层应用的丰富，针对应用层的攻击越来越多，据*机构统计，75%网络攻击发

生在应用层，而传统的网络攻击防御技术已经无法应付当今复杂多样的安全需求。将

10余年应用层的研究成果应用于  NIPS，能够针对应用进行识别和管控，即使加密过的数据

流也能应付自如，可识别**过 5,000种以上应用，能准确识别   IM、P2P下载、文件传输、

软件、流媒体等应用以及常见的移动应用，并利用  P2P智能流控技术，实现对隧道与

加密 P2P应用的精确识别，较终实现对应用的安全管理和控制。

1.1.2云沙箱未知威胁检测

SANGFOR NIPS在发现未知流量时，将会主动（配置允许的条件下）将未知流量上传

到云端沙盒进行未知威胁的检测工作。云端沙盒可以通过监测沙盒环境下的文件执行

情况、异常网络行为、注册表改动等行为来进行未知威胁的判定工作，再通过特征库更新的

方式下发到所有在线的 NIPS上。

目前已经有上万台设备与云端联动，每天运行大量的未知流量发现新威胁特征，

用以充实特征库，帮助用户抵御较新的攻击行为。

1.1.3威胁预警与处置

在云端通过安全事件响应分析模块自动对安全事件进行及时的响应和分析，产出安全事

件的危害描述、漏洞特征、攻击特征和防护策略，网关设备通过更新机制把安全事件更新包

更新到本地，并通过控制台弹窗的方式告知用户当前的安全事件和危害，本地扫描器针对漏

洞特征对当前防护的业务系统进行全面扫描分析定位是否存在此安全事件漏洞。如果本地存

在安全漏洞，则通过安全引擎对此漏洞的安全攻击特征进行防护，并且通过自动化生成安全

防护策略的方式帮助用户达到全面有效防护此安全事件的目的。在对此安全事件完成安全防

护后，本地扫描器还会再次扫描评估是否全面有效的防护了此安全事件。

1.1.4智能运维管理

日常运维中大多数用户每天都会看到上千条的安全日志，在对于这些安全问题的处理上

如果依靠人工分析那么往往无法快速有效的策略配置。在对设备的配置方面还需要原厂工程

师协助处理，这个日常工作带来了很大的延误。SANGFOR NIPS通过基于问题的发现，可

自动生成响应的防护策略，帮助客户快速简单的实现策略更新，**时间实现安全防护。

同时，为了便于设备上线，支持场景化的配置向导，用户选择不同的部署方式以及使用

场景，即可实现产品的快速实施；支持安全策略一体化配置，通过一条策略即可实现不同安

全功能的配置，简化用户配置工作；

较终通过设备内置的安全运营中心，检测用户网络各阶段存在的安全问题，并形成待办

列表，帮助用户快速消除安全隐患。

1.2全面的入侵防御能力

SANGFOR NIPS不仅可以应对对漏洞攻击、蠕虫病毒、软件、木马后门、溢出攻

击、数据库攻击、暴力，而且可以对高级威胁攻击、未知威胁攻击等多种深层攻击行为

进行防御，有效弥补网络层防护产品深层防御效果的不足，为用户提供了完整的立体式网络

安全防护，同时，通过简单的运维操作方式提升管理和运维的有效性。

1.2.1基于应用的深度入侵防御

SANGFOR NIPS的灰度威胁关联分析引擎具备  7000+条入侵防御特征库，可以全面识

别各种安全威胁；另外，凭借在应用层领域 10余年以上的技术积累，组建了专业的

安全攻防团队，可以为用户定期提供较新的威胁特征库更新，以确保防御的及时性。

下图为灰度威胁关联分析引擎的工作原理：

**,威胁行为建模,在灰度威胁样本库中，形成木马行为库、SQL攻击行为库、P2P行

为库、病毒蠕虫行为库等数十个大类行为样本，根据他们的风险性我们初始化一个行为权重，

如异常流量 0.32、病毒蠕虫 0.36等等，同时拟定一个威胁阀值，如阀值=1。

*二，用户行为经过单次解析引擎后，发现攻击行为，立即将相关信息，如 IP、用户、

攻击行为等反馈给灰度威胁样本库。

*三，在灰度威胁样本库中，针对单次解析引擎的反馈结果，如攻击行为、IP、用户等

信息，不断归并和整理，形成了基于 IP、用户的攻击行为的表单。

*四，基于已有威胁样本库，将特定用户的此次行为及样本库中的行为组合，进行权值

计算和阀值比较，例如某用户的行为组权重之和为 1.24，**过了预设的阀值 1，我们会认定

此类事件为威胁事件。

由此可见，威胁关联分析引擎对丰富的灰度威胁样本库和权重的准确性提出了更高的

要求，SANGFOR NIPS在两方面得以增强：

**，通过 SANGFOR NIPS抓包，客户可以记录未知流量并提交给的威胁探针

云，在云中心，*会对威胁反复测试，加快灰度威胁的更新速度，不断丰富灰度威

胁样本库。

*二，不断的循环验证和权重微调，形成了准确的权重知识库，为检测未知威胁

奠定了基础。

1.2.2常见应用层攻击防护

SANGFOR NIPS能够有效防护  OWASP组织提出的 10大  web安全威胁的主要攻击：

防 SQL注入攻击

SQL注入攻击产生的原因是由于在开发  web应用时，没有对用户输入数据的合法性进

行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结

果，获得某些他想得知的数据，这就是所谓的 SQL Injection，即 SQL注入。SANGFOR NIPS

可以通过高效的 URL过滤技术，过滤  SQL注入的关键信息，从而有效的避免网站服务器受

到 SQL注入攻击。

防 XSS跨站脚本攻击

跨站攻击产生的原理是攻击者通过向 Web页面里插入恶意  html代码，从而达到特殊目

的。SANGFOR NIPS通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含

有的跨站攻击的恶意代码，从而保护用户的 WEB服务器安全。

防 CSRF攻击

CSRF即跨站请求伪造，从成因上与  XSS漏洞完全相同，不同之处在于利用的层次上，

CSRF是对  XSS漏洞更高级的利用，利用的核心在于通过  XSS漏洞在用户浏览器上执行功

能相对复杂的 JavaScript脚本代码劫持用户浏览器访问存在  XSS漏洞网站的会话，攻击者可

以与运行于用户浏览器中的脚本代码交互，使攻击者以受攻击浏览器用户的权限执行恶意操

作。SANGFOR NIPS通过先进的数据包正则表达式匹配原理，可以准确地过滤数据包中含

有的 CSRF的攻击代码，防止  WEB系统遭受跨站请求伪造攻击。

1.2.3完整的终端安全保护

传统网络安全设备对于终端的安全保护**于病毒防护。事实上终端的安全不仅仅是病

毒，很多用户在部署过防病毒软件之后，终端的安全事件依然频发，如何完整的保护终端成

为众多用户关注的焦点。SANGFOR NIPS提供完整的终端安全保护，*的保护终端不

受威胁困扰。

1、病毒防护

SANGFOR NIPS采用流模式和启发式文件扫描技术，可对  HTTP、SMTP、POP3、FTP

等多种协议类型的近百万种病毒进行查杀，包括木马、蠕虫、宏病毒、脚本病毒等，同时可

对多线程并发、深层次压缩文件等进行有效控制和查杀。NIPS中的协议解析引擎采用了并

行解析架构，可以对包括 HTTP、SMTP、POP3、FTP等不同的协议并发进行解析，较大的

提高解析效率。协议解析引擎和杀毒引擎之间直接通过共享内存传递病毒样本和杀毒结果，

进程之间数据交互零拷贝，不会因为不同引擎间的数据拷贝导致杀毒效率降低。另外，杀毒

引擎对于已经查杀过病毒样本，将智能的提取样本特征写入缓存，当协议解析引擎再次发起

相同的病毒样本查杀任务时，可以快速的返回查杀结果，从而较大的提高病毒查杀效率。

2、基于终端的漏洞防护

内网终端仍然存在漏洞被利用的问题，多数传统安全设备仅仅提供基于服务器的漏洞防

护，对于终端漏洞的利用视而不见。SANGFOR NIPS同时提供基于终端的漏洞保护能防护

如：后门程序预防、协议脆弱性保护、exploit保护、网络共享服务保护、shellcode预防、间程序预防等基于终端的漏洞防护，有效防止了终端漏洞被利用而成为攻击的跳板。