一家名叫TrustPipe的初创企业发布了其基于分类网络的攻击和阻塞安全平台。该公司称，经过对该软件平台历经两年的测试，受其保护的系统从未 被黑客攻破过。TrustPipe公司创建三年以来一直默默无闻，但其第一版TrustXP的发布，还是令业界为之一振。该版本是专为微软去年春天停止支 持的WindowsXP而编写的。

虽然微软已经不再对XP提供支持，但XP仍然在无数的设备中使用，特别是在POS机以及全球数以百万计 的个人电脑上，尤其是在中国。TrustXP有潜力解决这些系统中的安全隐患，延长这些系统的服务时间。该公司目前已经得到了美国主要的POS机供应商 NCR的认可，计划为其提供TrustXP服务。

公司联合创办人兼首席执行官里奇利·埃弗斯（Ridgely Evers）说，这些不受支持的XP设备可以从TurstPipe中受益，因为该软件可以在攻击有机会利用新发现的漏洞之前对攻击进行阻断，而这些漏洞微 软将永远不再发布补丁。公司还将在2015年年底前发布其他Windows操作系统的版本及Linux和Mac版本。公司的目标是让TrustPipe可 适用于任何设备，包括手机、平板电脑、计算机、工业控制系统、光控开关、恒温器乃至整个物联网。

这 是完全有可能的事情，因为这个跨操作系统平台用来识别所有恶意事件的全部核心表达式仅仅才1.5M，流量扫描引擎也不过500K。相比之下，传统的杀毒软 件仅仅有标识的病毒代码库就有50M到350M。TrustPipe声称该软件不仅可以用来防毒，还可以防御所有已知的网络攻击。

西海岸 实验室（West Coast Labs）独立测试报告显示，经过两年的尝试，TrustPipe的防御始终未能被攻破，而且该平台从未报告假阳性提示或假阴性提示。西海岸实验室首席执 行官斯科特·马克尔（Scott Markle）说，“我们不能有效地攻破路由背后由TurstPipe引擎针对网络攻击设定的端点，这对我们来说完全是个全新的东西。”

该 系统由一个服务器和一个软件代理组成，软件代理负责检查流量并从主机寻找标识来最终识别恶意流量，然后对其进行阻断。服务器为软件代理提供管理接口，接收 由软件代理收集来的新威胁中的流量捕获，写入这些新威胁的标识并将这些新标识分发至所有的代理。通常这样的更新至少要一年一到两次。

服务器既可以部署在公有云，也可以部署在私有云。NCR公司的服务器将部署在其私有云上，而TrustPipe自己的服务器则部署在亚马逊公有云上。所有这些云端都对新发现的攻击标识进行共享。

每个软件代理都包含可以识别所有已知网络攻击的整个元表达式标记。这些标记，或者说是行为表达式，足以确定任何给定网络会话是否是一组已知的攻击。

这 些标记通过已知攻击连接的网络会话，利用广泛、耗时的包级别分析方法进行创建。该分析方法将数据包流分解成会话，并为组成每个会话的诸如协议、类别和内容 的数据包分配其相关特征的整数值。然后对这些整数进行整合，代表标记了诸如整数频次、与其他整数的近似度、每个事件间的距离等特征的数据流和分析报告。结 果就是给定的一组数据得到了分析，TrustPipe称之为行为表达式。

通过对每个网络会话进行分析，可以得出一个或多个行为表达式。这些行为表达式足以定义会话是否是某个已知攻击的一部分。事实证明，该软件需要相对较少的表达式就可以定义所有已知的攻击行为。例如，TrustPipe仅用14组行为表达式就可以识别所有的已知病毒。

如果某病毒出现新的变种，传统杀毒软件平台要想检测到它，必须向其病毒库添加一个新的标识。相比之下，TrustPipe无须向其行为表达式主体添加任何东西就可以检测出已知病毒的新变种。新变种病毒可以改变一种病毒的标识，但却无法改变定义它的行为表达式。这完全是两码事。

在操作中，TrustPipe代理将每项网络事务都转换成一个映射了元表达式的整数，用以寻找匹配。并在其发现后，对流量进行阻断。代理是操作系统中处于网络层的一个中间件。公司目前拥有两项美国专利技术。

埃弗斯说，TrustPipe不是司法鉴定工具。虽然它可以快速而准确地检测和阻断威胁，但却不能识别阻断了哪些变异攻击。所以要做出这方面的判断，还是需要像杀毒软件这样的其他工具的。

马克尔说，TrustPipe不是为了取代一切而生的。它只是使用了与任何其他安全技术都不同的工作原理。它能做的，以及其处理方式甚至都不能称之为是防火墙或是入侵防御系统（IPS）的一部分。它只是用一种高效的方法把事件给办了。

Trust XP个人版已经可以购买，只需花费五美元就可以得到包括所有更新在内的五年授权许可。公司正在开发的企业版将会提供个人版没有的功能选项。比如，个人版可 以屏蔽端口扫描，而企业版可以设定允许端口扫描作为渗透测试的一部分。再比如，企业版还可以定制为支持支付卡行业标准。