天清入侵防御系统白皮书——深层防御与精确阻断

　　2.1 深层防御

　　有数据显示，70%以上的攻击行为发生在传输层和应用层之间，我们称这类4-7层上的攻击为深层攻击行为。深层攻击行为有如下特点：

　　第一：新攻击种类出现频率高，新攻击手段出现速度快。

　　据美国CERT/CC的统计数据，2006年共收到信息系统漏洞报告8064个，比2005年增长了34.6%，漏洞数量的迅速增长标志着新攻击类型的迅速增长，而在同一份报告中，采用分布式蜜罐技术捕获的新攻击样本数量平均每天有近100个，最多的一天几近700，这意味着平均每天发现100种新的攻击手段，最多的一天发现的新攻击手段可多达700种，这是一个非常惊人的数据。

　　第二：攻击过程隐蔽。

　　文件捆绑：打开一份文档，结果执行了一个与文档捆绑的木马程序；文件伪装：可爱的熊猫图片，竟然是蠕虫病毒；跨站脚本攻击：仅仅是访问了一个网站的页面，就被安上了间谍软件。攻击行为正以越来越可以乱真的面貌出现。

　　除了深层攻击行为这些自身的特点外，越来越多的业务应用，也增加了判断攻击行为的难度：到底是正常的应用还是是违规的应用呢？

　　如何更好的实现对这些深层攻击的防御，是入侵防御系统需要解决的问题。

　　深层需要高效和准确，防御则意味着及时的阻断，深层防御需要兼顾两者。

　　2.2 精确阻断

　　启明星辰认为：深层防御之道，精确阻断为先。

　　精确阻断是深层防御的先决条件：没有实现对攻击行为的准确判断，误阻断了正常业务或者是没有阻断那些隐藏的、变形的攻击行为，都将给客户带来巨大的损失。而深层防御也对精确阻断提出了更高的要求：不能对新的攻击行为实现精确的阻断，深层防御就无从谈起。

　　深层防御、精确阻断，是天清入侵防御系统客户价值的核心。