数据中心解决方案安全技术白皮书(14)

2.    硬件引擎

TippingPoint基于ASIC、FPGA和NP技术开发的威胁抑制引擎（TSE，Threat Suppression Engine）是高性能和精确检测的基础。TSE的核心架构由以下部件有机融合而成：

图13 IPS 的基于硬件的威胁抑止引擎

定制的ASIC

FPGA(现场可编程门阵列)

20G高带宽背板

高性能网络处理器

该核心架构提供的大规模并行处理机制，使得TippingPoint IPS对一个报文从2层到7层所有信息的检测可以在215微秒内完成，并且保证处理时间与检测特征数量无线性关系。采用流水线与大规模并行处理融合技术的TSE可以对一个报文同时进行几千种检测，从而将整体的处理性能提高到空前水平。

在具备高速检测功能的同时，TSE还提供增值的流量分类、流量管理和流量整形功能。TSE可以自动统计和计算正常状况下网络内各种应用流量的分布，并且基于该统计形成流量框架模型；当短时间内大规模爆发的病毒导致网络内流量发生异常时，TSE将根据已经建立的流量框架模型限制或者丢弃异常流量，保证关键业务的可达性和通畅性。此外，为防止大量的P2P、IM流量侵占带宽，TSE还支持对100多种点到点应用的限速功能，保证关键应用所需的带宽。

3.    应用防护能力

TippingPoint IPS在跟踪流状态的基础上，对报文进应用层信息的深度检测，可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断。

图14 IPS 的应用防护能力

TippingPoint IPS还支持以下检测机制：

基于访问控制列表（ACL）的检测

基于统计的检测

基于协议跟踪的检测

基于应用异常的检测

报文规范检测（Normalization）

IP报文重组

TCP流恢复

以上机制协同工作，TippingPoint IPS可以对应用流量进行细微粒度的识别与控制，有效检测流量激增、缓冲区溢出、漏洞探测、IPS规避等一些已知的、甚至未知的攻击。

TippingPoint的安全威胁分析团队也处于业界领先的地位。该团队是安全威胁快讯SANS @Risk的主要撰稿人，SANS @Risk每周定期向其全球范围内30万专业订阅者摘要披露最新安全威胁的公告，内容包含最新发现的漏洞、漏洞所带来的影响、表现形式，而且指导用户如何采取防范措施。