新一代攻击的特点

　　1、混合型攻击使用多种技术的混合-—如病毒、蠕虫、木马和后门攻击，往往通过email和被感染的网站发出，并很快的传递到下一代攻击或攻击的变种，使得对于已知或未知的攻击难以被阻挡。这种混合型攻击的例子有nimda、codered和bugbear等。

　　2、现在针对新漏洞的攻击产生速度比以前要快得多。防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁变得尤其重要。

　　3、带有社会工程陷阱元素的攻击，包括间谍软件、网络欺诈、基于邮件的攻击和恶意web站点等数量明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。

图1 gartner发布的漏洞与补丁时间表

　　传统的安全方法正在失效

　　如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头，分析和监视网络层(l3)和协议层(l4)，基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括:

　　(1)利用端口扫描器的探测可以发现防火墙开放的端口。

　　(2)攻击和探测程序可以通过防火墙开放的端口穿越防火墙。

　　(3)pc上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部，所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等，它们产生非授权访问或将私密信息发送给攻击者。

　　较老式的防火墙对每一个数据包进行检查，但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。

　　当攻击者将攻击负载拆分到多个分段的数据包里，并将它们打乱顺序发出时，较新的深度包检测防火墙往往也会被愚弄。
对深度检测的需求

　　现今为了成功的保护企业网络，安全防御必须部署在网络的各个层面，并采用更新的检测和防护机制。用于增强现有安全防御的一些新型安全策略包括:

　　设计较小的安全区域来保护关键系统。

　　增加基于网络的安全平台，以提供在线(“in-line”)检测和防御。

　　采用统一威胁管理(unified threat management，简称utm)，提供更好的管理、攻击关联，降低维护成本。

　　研究有效的安全策略，并培训用户。

　　增加基于网络的安全

　　基于网络的安全设备能够部署在现有的安全体系中来提高检测率，并在有害流量进入公司网络之前进行拦截。基于网络的安全设备在线(“in-line”)部署，阻挡攻击的能力要比传统的依靠镜像流量的“旁路式”安全设备强得多。基于网络的安全设备的例子包括入侵防御系统(ips)、防病毒网关、反垃圾邮件网关和统一威胁管理(utm)设备。utm设备是将多种安全特性相结合的统一安全平台。除了实时阻挡攻击之外，基于网络的安全还包括以下优点:

　　减少维护成本。攻击特征、病毒库和探测引擎可以对单台设备而不是上百台主机更新。

　　升级对于用户、系统或者应用来说是透明的，无需停机，更新可以实时进行——不像操作系统和应用程序打补丁那样需要重启系统。

　　保护在基于网络的安全设备后面的所有主机，因此减少了基于主机的病毒特征库、操作系统补丁和应用程序补丁升级的急迫性，使it专业人员在发生问题之前有较充分的时间来测试补丁。

　　保持以前使用的设备、操作系统和应用，无需将它们都升级到最新的版本。

　　在网络边界或关键节点上阻挡攻击，在恶意流量进入公司网络之前将其拦截。

　　不像基于主机的安全应用那样可能被最终用户或恶意程序关闭。

　　可与已有的安全技术共存并互补。