2.1 深層防御

有數(shù)據(jù)顯示，70%以上的攻擊行為發(fā)生在傳輸層和應(yīng)用層之間，我們稱這類4-7層上的攻擊為深層攻擊行為。深層攻擊行為有如下特點：

第一：新攻擊種類出現(xiàn)頻率高，新攻擊手段出現(xiàn)速度快。

據(jù)美國CERT/CC的統(tǒng)計數(shù)據(jù)，2006年共收到信息系統(tǒng)漏洞報告8064個，比2005年增長了34.6%，漏洞數(shù)量的迅速增長標志著新攻擊類型的迅速增長，而在同一份報告中，采用分布式蜜罐技術(shù)捕獲的新攻擊樣本數(shù)量平均每天有近100個，最多的一天幾近700，這意味著平均每天發(fā)現(xiàn)100種新的攻擊手段，最多的一天發(fā)現(xiàn)的新攻擊手段可多達700種，這是一個非常驚人的數(shù)據(jù)。

第二：攻擊過程隱蔽。

文件捆綁：打開一份文檔，結(jié)果執(zhí)行了一個與文檔捆綁的木馬程序；文件偽裝：可愛的熊貓圖片，竟然是蠕蟲病毒；跨站腳本攻擊：僅僅是訪問了一個網(wǎng)站的頁面，就被安上了間諜軟件。攻擊行為正以越來越可以亂真的面貌出現(xiàn)。

除了深層攻擊行為這些自身的特點外，越來越多的業(yè)務(wù)應(yīng)用，也增加了判斷攻擊行為的難度：到底是正常的應(yīng)用還是是違規(guī)的應(yīng)用呢？

如何更好的實現(xiàn)對這些深層攻擊的防御，是入侵防御系統(tǒng)需要解決的問題。

深層需要高效和準確，防御則意味著及時的阻斷，深層防御需要兼顧兩者。

2.2 精確阻斷

啟明星辰認為：深層防御之道，精確阻斷為先。

精確阻斷是深層防御的先決條件：沒有實現(xiàn)對攻擊行為的準確判斷，誤阻斷了正常業(yè)務(wù)或者是沒有阻斷那些隱藏的、變形的攻擊行為，都將給客戶帶來巨大的損失。而深層防御也對精確阻斷提出了更高的要求：不能對新的攻擊行為實現(xiàn)精確的阻斷，深層防御就無從談起。

深層防御、精確阻斷，是天清入侵防御系統(tǒng)客戶價值的核心。