谈谈对趋势TDA的理解

       趋势威胁发现设备（Threat Discovery Appliance-简称TDA）是集成趋势科技“云安全”技术，可全面支持检测2-7层的恶意威胁，以识别和应对下一代网络威胁。趋势宣称，TDA与趋势科技“云安全”技术配合，TDA可检测基于Web威胁或邮件内容的攻击，如Web攻击和网络钓鱼，趋势云安全2.0 的多协议关联分析技术可以在近百种常见协议中进行智能分析 ，通过监控企业网络中各种异常的行为，追踪威胁发起者，定位威胁感染源头，利用趋势科技TDS和OfficeScan 10 的即时保护进行联动，可以阻断病毒进入终端，有效的阻止由病毒爆发、肉鸡、网络挂马、蠕虫爆发、非法入侵等已知和未知的网络威胁。

   个人认为，TDA的产品定位非常好，众所周知，杀毒软件最大的问题就是被动防护，在病毒库更新前，对于新的病毒基本没有查杀能力；其次，很多网络版杀毒软件在发现病毒无法清除时，除了报警，没有相应的自我应急隔离能力，因此，要抑制新病毒特别是蠕虫类病毒的爆发就很难了，更糟糕的是，用户本以为安装了杀毒软件，升级了病毒库，就可以万事大吉了，但实际情况却不是。TDA检测的是网络上正在发作的病毒或木马或其他攻击行为，同时宣称对未知病毒也有一定的检测能力，这可以让用户对自己网络的安全状况作个更全面的了解，正好弥补了杀毒软件的软肋。

   从技术原理上讲，趋势的TDA就是一台NIDS，其入侵攻击检测能力与传统的IDS有什么区别？孰强孰劣？本人没有做过比较，不能下结论。但IDS的通病“误报”和“漏报”的问题，我想趋势TDA也不能幸免，但有一点我想可以肯定，趋势TDA在网络病毒的检测能力上，比传统IDS会强不少。

   TDA的“云安全”到底有多强大，本人也没有考证过，但涉及到“云”的问题，TDA在与互联网完全隔离的网络部署时，“云”就基本没有威力了。

   其次，TDA即使检测到了网络上正在发作的攻击或病毒或木马，与IDS一样，即使能够定位到源头的IP地址，除了报警，后续的应急隔离手段就很有限了，通过与OfficeScan联动算是其一，但前提需要用户部署OfficeScan。如果TDA能够提供更多的对威胁源头的应急隔离手段和能力，TDA的发展会更上一步，同样对IDS也是一样，前提是减少“误报”。