【圖2】Power V IPS部署示意圖

 

　　在防范DoS及DDoS攻擊方面，聯想網御入侵防護系統并非單純以總量計算數據包的方式統計，而是針對每個源IP在單位時間內符合報文特征的次數，綜合進行判斷，因此可以有效防范CC攻擊，以確保合法用戶順利訪問Web站點。

　　針對緩沖區溢出攻擊，聯想網御入侵防護系統提供“虛擬補丁”技術，聯想網御的技術專家團隊及時跟蹤網絡中各種系統、軟件存在的bug，第一時間提供檢測特征碼，為用戶網絡提供一個虛擬的安全補丁，防范大部分的零日攻擊。

　　針對Web應用攻擊，聯想網御入侵防護系統提供了單獨的Web攻擊特征組，對Web應用軟件、應用系統存在的漏洞等進行有針對性的防護。針對SQL注入和XSS攻擊，聯想網御定義了協議自動機（Protocol Automaton，簡稱PA)，用于定義和描述一個特定的網絡攻擊和應用行為，通過PA技術，聯想網御能有效防范SQL注入/XSS攻擊。聯想網御PA技術的主要優勢有以下幾個方面：首先，為每類典型攻擊行為制作了協議模型，這些模型具有通用性，可以涵蓋類型廣泛的攻擊；其次，鑒于SQL注入/XSS的簽名較短的特點，聯想網御在PA技術的基礎上還利用了時序和交叉驗證技術，這樣可以大大提高識別的準確率，最大程度的減少誤報。除此以外，聯想網御還具有完全自主知識產權的IPS引擎和簽名，根據PA的狀態遷移，分層分級進行不同的簽名驗證，只對必要數據進行分析和比對，在保證準確率的同時最大程度上減小了對用戶網絡數據的干擾，保證網絡的訪問質量。

　　針對辦公網的防護，聯想網御入侵防御系統以內網上網行為管理的細粒度訪問控制為主，有效規范了上網行為，提升了網絡使用的效率。

　　采用基于協議自動機的流量識別技術，聯想網御入侵防護系統能夠基于軟件應用和內容識別出P2P應用，并對P2P下載進行攔截、限流，以優化網絡資源；此外，可針對加密型或非加密型即時通訊軟件進行管理及攔截，根據不同需求，進行多層次控制，不僅可禁止實時聊天程序，還可對即時通訊軟件的登陸、聊天、傳輸文件、實時語音、實時視頻等進行分項管理。 聯想網御入侵防護系統還支持對多種流行虛擬隧道軟件進行檢測，通過限制隧道連接，讓非法加密隧道無立身之地，針對日益廣泛的在線游戲軟件，也能進行有效監控，支持對多種流行的在線游戲實現阻斷管理，從而提高企業的整體工作效率。

　　作為首款“內外兼修”的產品，聯想網御入侵防護系統既保障了網上交易系統的穩定運行，又減少了內網重要信息泄露的幾率，為證券公司電子交易系統的穩定運行提供了有力支撐。