新的威胁类型不断涌现，传统的安全设备显然已经过时，我们该如何选择，以确保安全?

新威胁不断涌现且愈发高级

在过去的几年中，我们已经看到越来越多针对财富500强企业和政府网络的攻击，商业化的运作使这些攻击在本质上具有高度针对性和持续性，有些攻击甚至持续几个月，同时大部分此类攻击意在窃取有价值的信息。

现代的恶意软件通常分为利用软件漏洞和通过有效载荷交付获得合法访问两种类型。经过多年的发展和积累，大量的资源被投入其中，使用的技术已经成熟。我们看到越来越多的黑客使用0-day获得通过软件漏洞进行攻击。同时，通过社会工程恶意软件可以获得合法的访问如网络钓鱼、感染U-key等等。

目前许多的恶意软件还使用复杂的逃避检测技术，通过伪装或修饰的网络攻击以躲避信息安全系统的检测。传统安全设备基于特征的检测机制在本质上是静态的，使恶意软件开发人员可以很轻松地使恶意软件逃避这些检测，就像隐形战斗机可在雷达和其它防御系统检测不到的情况下发起攻击。

传统安全设备是否依然可靠?

在过去的数十年里，防火墙一直是网络安全基础架构最重要的基石之一。发展到现在，防火墙已经经历了包过滤检测、状态检测、NGFW等数代的发展。防火墙为了应对所面临的威胁，在最近几代更新的安全设备中引入了基于特征的安全机制。在发现新的攻击后，要分析流量并将新流量特征添加到特征库中。系统监控流量匹配特征中的模式，如果找到匹配项，会将流量标记为可能的攻击。目前大多数的入侵检测和入侵防御系统使用的都是基于特征的引擎。

基于特征的方式非常适合于检测未加密的已知攻击，但也有非常明显的缺陷，也就是必须要知道攻击后才能够进行分析并编写新的特征。对于以多种形态出现的新的恶意软件和攻击类型、APT及0-day攻击所带来的威胁，基于特征的方法基本上无能为力。部分厂商利用的“沙箱技术”也是一个静态检测方法。在发生危害之前，恶意软件可以不断在沙箱中测试和调优，直到沙箱无法检测它。

(责任编辑：)