网络边界入侵防御策略中的关键技术

另一种基于网络行为的反网络钓鱼正在一些边界防护经销商中间流通。由于网络钓鱼电子邮件通常要求读者点击一个某个网页的链接，并提供了相关信息，理念是你可以帮助“受感染的用户”——他们受到网络钓鱼电子邮件欺骗，访问设有圈套的网址——通过采用NBAD系统捕获这些连接。结果是这种技术也是为标准的垃圾邮件服务的（因为用户被引导进入网站订购毒品、观看色情视频，以及购买股票），但是由于对用户的损害并不重大，一般不使用该技术。

现在，大量的边界入侵防御产品都在电子邮件中使用URL，此外，终端用户点击URL来检测来袭的垃圾邮件/网络钓鱼邮件并输出反应情况。本质上来讲，虽然这与用于检测正在传播或正在攻击的恶意软件的技术是相同的，但是，它致力于一种具体任务：阻止用户回应任何网络钓鱼电子邮件。

入侵检测与防御系统

尽管这些产品家族听起来似乎应该有一定的联系，但是它们几乎没有类似之处。入侵检测系统（IDS）在网络中的一个或多个端点检测数据流，并就可疑或恶意的信息流提供警报和鉴定。IDS的关键部分是警报系统，以及鉴定和输入意图的数据存储。

入侵防御系统是一个内嵌的设备，可以阻止恶意信息流。一些早期的IPS并不是内嵌的。它们可以检测到恶意信息流，然后减轻该信息流的影响；比如，可以采用TCP重置的方法进而淹没发送器和接收器，或者改变防火墙或路由器中的访问列表规则。然而，同时代的IPS看起来都一样：内嵌的信息流评估器寻找一些理由，丢掉信息包或者重置连接。由于IPS搜索恶意信息流，因此与IDS相比，它区别性更少，并且更为仔细。

比如，在网络中，IDS可以检测到蠕虫病毒的在网络内部扩散，并且警戒这些企图。然而，IDS可以按照对系统受到攻击的企图，攻击对企业的重要程度，或者按照特定攻击企图的漏洞进行分类。IPS的复杂度并不相同。当IPS注意到一个明确的攻击企图时，就会简单地阻止这个攻击。受到攻击的系统是否存在漏洞、是否重要、甚至该系统是否存在，这些并不重要。IPS可以安全地阻止明确的攻击企图。然而，IPS一定不会阻止合法的信息流。因为IDS发出警报，而IPS阻止攻击，大多数IPS仅有几百个激活的特征（防止产生误报：将非法信息标记为合法信息），而IDS通常有成千个攻击特征。