【TechTarget中国原创】我们看到,过去的几年中,网络入侵检测和防御领域出现了一些进步。这些进步大部分建立在增加数据传输和增强事件侦测能力的基础上。比如,大多数特征数据库已进行了扩展,考虑了所适用的协议。当然,这也导致了一个技术发展趋势,即实现实时反应(如阻止攻击),尽管相对于人工事后启动的校正措施这一技术应用还较少。然而,如果人们需要,尚难以确定这一技术能否在更大的程度上发挥作用。
入侵检测与防御技术面临的巨大挑战是,这些技术只能在一个表示入侵进行过程的时间线(timeline)的一个结点上发挥作用。由于多种原因,理解这一时间线是非常重要的。市场上充斥着一系列自封的、包罗万象的策略、使用须知、配置方案、补丁、漏洞、威胁和某某管理技术和功能,理解这一时间线有助于从这一混乱的局面中厘清它们的位置。也可以帮助企业建立一个全面的监测和反应过程。它也是下一代入侵防护的关键---一个集成了不同模块功能的系统,并且使用最佳加强措施。
时间线本身是一个相对明了的概念。它包括三个主要部分:攻击之前、攻击之时和攻击之后。简要地说,攻击之前的工作是尽量少得暴露弱点;攻击之时的工作是处理已被攻被和正在被攻击的防御弱点;攻击之后的工作主要是扩展检测(extended detection,例如事后检测)和修复、清理。
坦白地说,一些攻击的性质使得时间线的划分模糊不清。比如,强度弱且缓慢、多阶段的攻击是否有一个确切的攻击时刻这类问题是有争议的。相反,它们可视为由多个攻击事件组成,如果没有检查到,会逐渐积累为一个更严重的可识别的攻击。这些细微的差别在本系列文章的第二篇进行详细讨论。在这里,关键的问题是,在一个攻击的不同阶段可以应用不同的技术和子过程,通过实现一个有效应对每个阶段的解决方案,可达到挫败入侵的最好效果。因而,非常有必要对每个阶段进行深入的考查。