隨著網際網路的迅猛發展，越來越多的商業活動從線下發展到了線上，新模式在帶來便利的同時也增加了被攻擊的風險。攻擊手段與防禦技術此消彼長，作為安全防護體系重要元件的入侵檢測與防禦系統（簡稱 IDPS）起著舉足輕重的作用，回顧國內 IDS/IPS 市場的發展，唯有保持核心技術和持續創新的廠商，才能獲得長期穩定的市場地位。 

“冰之眼”IDPS 見證了行業的風起雲湧及客戶不斷變化的安全需求，並及時做出自身的調整來適應這種變化。驀然回首，隨著綠盟科技的快速發展，“冰之眼”IDPS 已經從一株小樹苗長成了一棵參天大樹。在它的成長過程中，不同時期的產品團隊為其持續注入生命力。

國內首家透過 NSS Labs 專業測試

NSS Labs 的 IDPS 評測標準，已經成為業界公認的“試金石”。2010年4月，“冰之眼”IPS 1200 順利透過測試，榮獲 NSS Labs  Approved 認證，並且被NSS Labs認定為最高階別——“Recommended”，成為截至目前國內唯一獲得該認證的產品。 

在測試報告中，NSS Labs 對“冰之眼”IPS 做了如下評價：“管理非常簡單，直觀得讓人驚訝，載入有效的預定義防護策略後，它能夠被快速部署到企業網路之中”、“對已知逃避檢測技術的抵禦非常完美，在所有相關測試中，均獲得 100% 的透過率”、“基於優秀的應用安全防護能力，卓越的千兆處理效能，以及傑出的總體擁有成本，這款產品非常值得使用者考慮”。

據當時的專案組成員李文瑾和範敦球回憶 ：“這個（專案）印象太深刻了，為了衝擊 NSS Labs 測試，團隊投入了很多資源，對整個引擎的架構和攻擊檢測方式做了質的提升，到最後裝置入場了，我們還安排每天倒班支撐，那段時間很艱難，壓力很大，但結果很美好。”NSS Labs 測試透過，也為產品順利進入 Gartner 魔力象限 做好了鋪墊，一年後，“冰之眼”IPS 成功進入該報告。

從千兆、萬兆到百 G，單機效能持續突破

作為直路部署的產品，效能是 IPS 的生命線和基石，在行業集採中，嚴格的效能測試項已經成為標配。在“冰之眼”的效能演進中，有兩個關鍵里程碑。 

1、首家萬兆 IPS

2008 年 12 月，“冰之眼”IPS 產品 4000P 透過中國軟體評測中心（CSTC）的測試，成為業界首款透過第三方權威評測的 10G IPS。本次測試對吞吐、時延、背景流量、併發、新建、攻擊檢測與攔截率等進行了嚴格的測試。其中，網路層效能測試從 64 位元組到 1518 位元組等多種包長的測試流量下，“冰之眼”4000P 吞吐率均達到 100%，達到了雙向線速轉發，並且對混雜在背景流量中的攻擊行為實現 100% 攔截。應用層效能測試專案，“冰之眼”4000P 在使用 Avalanche/Reflflector 混合模擬的 HTTP 流量中，能夠同時維持處理超過 350 萬的併發連線。 

據當時研發經理回憶 ：“對於萬兆 IPS 產品，是我進團隊領的第一個大任務，時間緊、任務重，硬體平臺計算能力有限，我和團隊幾乎每天都加班加點，在引擎架構和流程最佳化以及儀表使用中摸爬滾打 ......” 

2、首家 120G IPS

2016 年某客戶 IPS 集採首次招標 80G 產品，這對長於安全攻防檢測能力的單體盒式裝置為主的綠盟科技來說是極大的挑戰，需要面對長於大容量網路數通處理的友商硬體戰。整個專案的時間非常緊張，而且遇到的挑戰和困難也是前所未有的。比如，機框硬體平臺方案、軟體分散式方案、百 G 性測試儀表等都不具備，為了在短期內提升產品效能，產品組、規則組和架構部組成聯合攻關團隊，測試中前後場緊密配合，如期交付樣機參加集採，在入場測試中，後端研發徹夜加班支援現場測試。最終，IPS 12000A 透過測試並獲得較好的集採份額，產品的效能也實現了質的飛躍，TCP 併發 12000 萬、TCP 新建 180 萬、2544 大包近 200G。 

據負責機框產品的研發經理回憶：“高效能機框產品是我接受過的最具挑戰性的任務。分散式架構團隊從未接觸過，很多工作都是從零開始、摸著石頭過河，一邊學習一邊設計。儀表也是臨時向友商借用，並且只能在對方下班後用使用。那段時間大家都是夜貓子，團隊採取輪班倒策略。百 G 效能的攻克充分體現了我們是一支 能打硬仗的隊伍，單機大容量處理能力為產品拓寬了部署場景，除滿足集採外，也為都會網路僵木蠕監測市場單機 100G 方案做好了技術儲備，在高效能第一個版本之後，團隊也集中資源，在提升產品的穩定性、管理端的易用性等多點發力，力爭在更廣闊的國際市場上有所收穫”。 

成都團隊研發經理表示 ：“我們 IPS 引擎有了較大的效能提升，但挖掘的潛力還很大，後續我們還將繼續在效能最佳化上投入研發資源，每個版本都把效能提升和穩定性列入必備項，除保證產品在高階市場持續有競爭力外，在同檔位的中低端型號上效能也要高出友商一截。”

“硬核”的安全防護能力

“冰之眼”IDPS 在發展演進中，充分體現了綠盟科技優秀的技術基因，作為安全技術的集大成者，“冰之眼”IDPS 積極吸收各安全研究團隊的成果，形成了以威脅檢測技術為核心，同時兼顧上網行為管控、流量管理等幾大功能的產品。 

流式引擎和並行架構設計

並行加管道混合式引擎架構，可以充分利用硬體平臺的多核計算優勢。與其他實現技術相比，流式狀態解碼技術使得引擎的實時性更強、更高效。 

攻擊描述語言與簽名庫

靈活的攻擊描述語言，加上安全研究實驗室支撐，目前“冰之眼”IDPS 支援近萬條簽名庫，實現緊急漏洞防護簽名 24 小時內發 布，例行簽名一週內釋出。 

APT 檢測與防護

對於高階可持續性威脅（APT），傳統的單一檢測方法無法有效應對，“冰之眼”IDPS 與 APT 檢測系統（TAC 裝置或者雲沙箱） 協同，透過行為分析和虛擬執行技術，發現隱藏在流量中的高階惡意程式碼和惡意回連，並動態調整 IDPS 的防護策略，攔截惡意流量。

高階惡意程式碼檢測

在惡意程式碼發現能力上，不同於傳統基於簽名的技術，“冰之眼”IDPS 採用啟發式技術、靜態模擬技術以及虛擬執行等技術， 對隱藏在流量中的惡意程式碼識別，能精確攔截。

威脅情報

不同於透過例行簽名分發獲得防護能力，“冰之眼”IDPS 透過與威脅情報系統（NTI）聯動，可以實時獲得對惡意 IP 訪問、殭屍網路、惡意 URL 以及高階樣本的檢測防護能力。

機器學習技術

對於無明顯特徵或者特徵難以提取的攻擊，如 SQL 注入 /XSS 攻擊，綠盟科技安全研究團隊透過在雲端對 WEB 正常和異常的訪問流量進行學習訓練，形成基於行為的向量模型，訓練後的模型隨著例行簽名更新發布，使得裝置不依賴於特徵即可識別此類攻擊。

上網行為管理

應用管理 & 流量控制：採用了 DFI/DPI 技術，除支援簽名識別技術外，還可以透過流量行為來精準識別應用/協議，為攻擊檢測和基於應用的流量控制、上網行為管理等提供準確的依據。 

URL 分類過濾：採用裝置本地 + 雲端雙層過濾技術，實現對未知分類的識別以及實時更新。

滿足客戶需求，持續創新

公開資料顯示，“冰之眼”IDPS 自 2009 起連續 7 年國內市場佔有率第一（IDC 報告），連續 6 年入圍 Gartner IDPS 魔力象限， 並在 2018 年進入“挑戰者”象限。安全市場複雜多變，系統漏洞和新型攻擊技術層出不窮，“冰之眼”IDPS 將始終以滿足客戶安全需求為己任，繼續為客戶網路提供專業的安全防護。

附錄：“冰之眼”IDPS 發展大事記（建議手機橫屏觀看）