【TechTarget中国原创】本系列前几篇文章介绍了攻击的时间线的概念，提出下一代入侵防御系统需要在全部范围内考虑与主要阶段有关的技术和过程，主要阶段即攻击之前、攻击之时和攻击之后。

　　当然，已有证据表明，安全市场已认识到这种需要。起初只关注时间线的一段的各种各样的厂商已开始提供适用更多的子阶段甚至所有不同阶段的产品。还有一些厂商试图通过互补的伙伴关系达到类似的效果。不管哪种情况，结果只是数据的松耦合或是不同部分的集成。真正的下一代入侵防御系统所需要是在领域和深度方面更充分的集成。理想情况下，一个阶段中的组件应为其他每个阶段中的组件提供有用信息。要实现这样的目标，实现系统集成最少要考虑以下几点：

• 攻击之前阶段进行评估的结果依赖于对系统进行检查的深度，最少可以建立敏锐地发现特定威胁能力，最多可以最终形成对已知弱点的描述。在任一种情况中，这些评估结果都用来自动地协调入侵检测和入侵阻止产品，产生更少的误报，更多的可靠响应动作，甚至更好的性能和功能（比如，对与正在保护的系统不相关的信息不进行检测可以达到这一点）。更进一步，这种协调可以是动态的，因而更加有益，但前提是这些评估是连续的，而不是建立在并不经常进行的快照基础上。
• 类似地，正是这些评估得到的信息可以用于支持攻击之后阶段的工具。特别地，安全事件管理系统／安全信息管理系统(SEM／SIM)可以使用这些信息增强它们相关检测的准确性，以及判断所发现目标优先级的准确性。
• 考虑这一流程的逆过程，不管部署了什么其他的安全机制，多种用于攻击之后阶段的产品，比如NBAD，SEM／SIM和评判工具，不可避免地会发现一定数目的隐藏着的攻击。将这些攻击信息反馈给入侵检测和防御工具有助于防止再次受到同样攻击。同时，发现这些成功的攻击可以指出先前没有关闭的漏洞，将这些信息反馈给用于攻击之前阶段的评估工具，可以使它们发现哪一个其他系统易受攻击并采取相应的措施。然而，这两种情况中的难题是适当的打包并表达反馈信息，以便于其他工具可以自动的使用它们。
• 最后，还需要传统的访问控制工具的参与。这些工具不为其他组件提供任何信息，但当遇到时间线任何一端的工具发出的简要信息时，这些工具无疑会更加有效。

　　显然，集成度达到上述要求非常重要，因为它形成了一个更为有效的解决方案－－这一方案中整体功能大于各部分功能的简单和。在局部上，有效性的增强对已实现的额外的自动层有贡献。总之，非常明显，当今快速变化的蠕虫和病毒使得建立在单独的手工操作之上的防御不再有效，更不用提更为普通的情况，普通的情况中由于漏洞管理和威胁管理流程之间存在间隙，还会同时有决策时间和反应时间。

　　但是，即使实现了自动化，自动化处理也要屈从于或是依赖于更多的重要的先决条件。具体地讲，建立一个环境，在成功部署下一代入侵防御技术的过程的意义是不可低估的。全面的及时的关于受到保护的特定环境的信息是重要组成部分，会从根本上提高系统的有效性。它提供了更好的侦测和确定相关事件的精度，同时通过减少误报便利于实现更好地自动化的处理。没有这样的环境，其他的加强措施仅仅能在交流信息的层而上使阻止系统更为有效。

　　一个完整的想法必须要包括恰当的术语。以上介绍的下一代入侵防御系统可以简单的称为威胁防范系统或是威胁和漏洞管理系统。出于这种原因，任何描述这一领域特征的术语都可用来指代它。这些说法的区别归结为语法方面的区别，大部分是由于视角的不同。本质的特征是最主要的区别（比如，范围，内容和集成方式），这些方面应当成为致力于在信息安全领域取得更为有效成果的厂商关注的重点。