【TechTarget中国原创】本系列文章的前几篇讲到充分地分析入侵防御问题需要考虑整个的攻击过程。前面文章将连续的攻击过程分为三个不同的阶段:利用漏洞进行攻击之前、攻击之时和攻击之后,并且随后非常详细地描述了与第一阶段相关的过程和技术。本篇着重分析余下的两个阶段,为进一步讨论下一代入侵防御技术的必要条件打下基础。
攻击的种类是多种多种的,在一定程度上难以准确地界定整个攻击时间线上的这一部分。有些攻击可能以短时间内(例如,小于1秒)的几个数据包的形式出现,立即就可以识别出。而另一些攻击可能具有间歇活动的特征,跨跃一段很长的时间(例如,几个小时,几天,甚至是几周),甚至,除非收集到大量的事件记录并且进行集中分析才能确认为攻击。所以,尽管每一攻击都有个确定的开始,但当发生攻击时并不总能识别出这一开始时间点。
为简单起见,从现在开始我们仅仅关注一个攻击刚开始的初始时间和实时系统在攻击开始后识别到攻击的这一段时间,换句话说,真实的时间零点再加上其后的一个很小的时间间隔(例如,小于一两秒钟)。从技术的角度讲,这是当前入侵和防御技术的现状。
这些技术在过去的几年中已应用到很大的范围中,没有必要用过多笔墨在这一问题上进行详细描述。做为两种先驱产品,入侵检测技术被动地监测业务数据流以发现可疑的行为和与进攻有关的特征。大部分的入侵检测产品依赖于额外的响应机制;相反,典型的入侵防御设备在线安装,主动地参与数据传输,因而可以直接对检测到的攻击做出反应(比如,在本地设备中阻击攻击)。
当然,实现任何水平的自动应对都需要具有高精度的检测。过多的阻止非攻击性数据流最终都会降低生产率。因而,这一问题是以上两种类型的入侵管理产品共同的发展方向。多种产品中附加的协议异常和基于漏洞的特征检验是这方面的两种常见的例子。然而,在检测精度方面,总是存在改进的余地。
比如,大多数的产品只关注流经它的数据流。使用这种操作方式,它们忽略了与潜在目标或是在网络环境中的主机相关的信息。恰当的收集并使用这类信息,可以提高自动化处理的水平,在准确性和性能两方面都有一个显著的提高。
同时,在当今存在不断变化的威胁的环境中,期望一种单一的产品截获所有的攻击是不现实的。然而,并不排除这样的方法,从其他已受过攻击的产品中采集信息,用以支持对未来攻击的自动阻止。