网络行为分析：对付旧敌人的新思路

核心提示： 传统安全措施尚存不足在PC和互联网得到广泛使用之前，公司网络通常使用专有的协议和专用硬件来进行内外网隔离，网络行为分析：对付旧敌人的新思路(2)，针对这种通过“黑盒子”方式提供安全的模式，黑客和病毒编写者为了攻击系统，更司空见惯的情况是，我们需要配置多个桌面及配置多

传统安全措施

尚存不足

在PC和互联网得到广泛使用之前，公司网络通常使用专有的协议和专用硬件来进行内外网隔离。针对这种通过“黑盒子”方式提供安全的模式，黑客和病毒编写者为了攻击系统，不得不了解每个攻击目标存在的各种安全漏洞。因此，黑客对目标的攻击往往仅局限于单独的系统，很难发动大规模的攻击。而如今，我们生活在PC主导企业、互联网是公司业务必要组成部分的大环境下，这种技术的一致性在创造了便利的同时，也为黑客、病毒编写者及信息世界的其他不法分子提供了可乘之机。

一些安全应用软件（如反病毒软件）往往依靠特征引擎（signature engine）来识别威胁。特征引擎将产生的数据与病毒库中已有病毒特征进行对比。如果特征引擎发现两者匹配，那么它就会发出报警，或者采取某种措施来缓解威胁。基于特征的威胁识别对付已知威胁非常有效，但在识别未知威胁方面效果有限，这就暴露了特征引擎模式存在的巨大缺陷。变通办法是不断更新病毒特征库。但是在新威胁出现，反病毒软件厂商努力开发出合适的特征代码时，已经存在明显的时差了：不管停机还是被全面感染，用户的网络都可能面临惨重损失。而且许多病毒和蠕虫很容易伪装和变种，这样反病毒引擎在下一次特征更新之前很难发现它们。

传统的安全产品历来侧重于保护网络边界，因此很多公司在网络边界上使用了防火墙，但遗憾的是，现实普遍的情况是，网络的核心更不安全。因此，包括赛门铁克在内的很多安全产品提供商提出了端点防护的建议，端点安全似乎是堵住这种缺口的一种方法，但这种方法在大型网络上很不方便，因为用户往往有许多不同的应用，所以那些“一应俱全式”的单一桌面配置方法很难实现。更司空见惯的情况是，我们需要配置多个桌面及配置多个用户文件，所以公司需要很多端点安全策略。