确保业务连续性——入侵防御为了阻止恶意攻击（例如自动蠕虫、间谍软件、拒绝服务攻击（DoS）等）和入侵，越来越多的组织正寻求入侵防御系统（IPS）的帮助。与传统的入侵检测系统（IDS）相比，IPS已经不再局限于对攻击进行检测，它还可以在攻击抵达目的地之前拦截它。但是，许多IPS解决方案仍依靠传统的攻击特征签名方式，并且采用“等待—创建—发送”的方式来检测和防范攻击。这种方式的固有缺点在于：网络会一直面临新攻击的威胁，除非为新攻击创建签名，并进行系统升级，而且用户可以在检测节点部署新的签名。这种有局限性的攻击特征检测技术使得用户无法全面了解他们的网络正面临的各种威胁。除了为实现既准确又及时地检测而面临的挑战之外，IPS的另一个缺陷在于将自身视为一种独立技术（而不是支持各企业核心业务的一种工具），这迫使各企业不得不根据各自的IPS的要求来调整其运营和流程。入侵防御和入侵检测所面临的挑战随着互联网安全威胁传播速度越来越快，复杂程度越来越高，它们为企业造成的损失也是越来越严重。网络蠕虫的发生频率和复杂性近来就一直在增加，并且成为传播最快的威胁，因为它们在传播时不需要用户的互动。为了对付这些挑战，越来越多的企业寻求IPS的帮助，对蠕虫、间谍软件和其它攻击采取自动、实时的保护。传统的IDS只能向管理员发出遭到攻击的警告，而IPS则既可以检测攻击又可以通过阻止非法通信流到达目标来对攻击进行防范。幸亏有了这些先进的入侵防御功能，许多企业都期望IPS能为他们的网络安全保护带来革命性变化。但是，要想让入侵防御真正实现这些预期目标，IPS还必须在检测攻击时解决以下两个根本挑战：·准确性·时效性如何快速而又准确的检测威胁长期困扰着IDS解决方案，而如果IPS解决方案不能解决这些问题，它们也会因不能为用户创造重大价值而以失败告终。攻击特征检测的弱点检测攻击和恶意通信流的传统方式就是利用签名方式，即对通过的数据包进行解析，寻找与签名中列出的攻击的句法和内容相匹配的数据包。这些签名被加载到IPS或者IDS引擎中，并被应用于所有通过的通信流。尽管复杂的算法和广泛的签名覆盖是检测和安全防范的一个重要方面，它们自身还是不足以保护企业免受当前快速传播的各种威胁。增加再多的签名从本质上讲也无法解决问题。这意味着只有等到攻击已经现实出现了之后才能创建针对该攻击的特征签名。越来越复杂的目标算法证明足以检测已知的威胁，但这些相同的算法在关键时刻显现出不足，一个常见的原因就是它们不能识别现有威胁的新变体。攻击漏洞的间隔在缩短攻击漏洞的间隔（即从宣布发现漏洞到利用该漏洞进行攻击的时间间隔）逐渐减少也对准确发现用户面临的威胁提出挑战。2003年的蠕虫攻击事件更突出了这种趋势——MircrosoftRPCDCOM漏洞在被宣布后还不到15天就出现利用该漏洞的攻击程序，接着，11天后又出现了冲击波蠕虫。2004年，在公布LSASS漏洞后仅仅17天，攻击该漏洞的震荡波蠕虫就出现了，而在公布了某商用桌面防火墙产品漏洞后不到一天就出现了Witty蠕虫攻击。更糟糕的是，这种趋势并没有减弱的迹象：根据2004年前6个月的赛门铁克互联网安全威胁报告，漏洞被利用的平均间隔时间首次低于30天。30天的攻击漏洞的间隔如此引人注目是因为这是大多数机构研发补丁所遵循的周期，也就是说自动化的攻击现在看上去比大多数机构为被攻击的漏洞打补丁的周期还短。这样，各企业的IPS不能仅仅依靠传统的攻击特征检测技术来抵御新的威胁，这一点在现在已经变得非常重要了。快速传播的威胁在这场与时间赛跑的过程中，攻击扩散的速度是另一个关键因素。在过去，各种攻击从它们产生到传播的速度还比较慢，这让管理员们有时间对他们的防御做必要的更改，比如增加新的签名、更改安全策略、或者修改防火墙规则和路由器的访问控制列表。而如今，各种混合型威胁正以“互联网时代速度”进行传播。比如，在2003年1月，Slammer蠕虫在短短的15分钟内就感染了互联网上存在漏洞的所有计算机。这种闪点般的攻击传播速度迫使安全管理员们的反应速度必须以分钟计，而不能再以小时计算了。在8小时内提供新的攻击特征签名已经越来越无法阻止现在快速传播的各种攻击了。根据当前的威胁特点，要想提供有效的安全防范，对已发现的漏洞必须在8分钟以内采取措施，但相信很快，这八分钟间隔就会变成8秒钟了。无视业务需求除了静态签名和快速传播的各种威胁，僵化、以技术为驱动的产品更加重了对安全的挑战。许多机构正着手开发新的入侵防御技术，并评估如何以最佳方式将该技术与它们现有的业务流程集成在一起。以技术为中心的解决方案将IPS视为独立技术，而不是支持企业核心业务的工具，这反而把情况弄复杂了。这样的方案迫使各企业必须重新配置它们的网络、抛弃它们已经建立的控制、调整它们的操作和流程才能符合IPS的要求。但是，这些举