随着IT技术和通信技术的发展，网络环境日趋复杂，云计算和虚拟化等技术应用使得主机边界、网络边界变得更加动态和模糊，网络攻击日渐频繁，隐蔽性、持续性等高级网络威胁明显增多，传统的单体防御已难以满足安全防护需求，通过攻击之前态势感知的应用日志分析及安全设备的联动防御加强网络防护能力的呼声越来越高。

电力能源行业网络环境都存在一定的复杂性，不同的业务部署了各类的Web应用；在数据层、网络层以及应用层等网络信息系统中的各个环节配置了具有专门功能的防护安全设备。这些安全防护设备不仅涵盖基本的防火墙、防病毒、数据库审计等，也包含较新攻击特征的防御系统，如抗拒绝服务系统、高级持续性威胁防御系统等。但是现有的防护手段依旧无法满足用户更及时准确的把握攻击者动向的迫切需求。

盛邦安全通过多年来对电力能源行业安全事件的分析及处置经验得出，95%以上的攻击者会通过扫描工具，针对系统的数据库、后台管理地址、网页漏洞等进行渗透，收集目标系统的信息。与此同时，被扫描的系统日志上会留下扫描记录以及异常流量信息。由此可见，攻击者在嗅探阶段的恶意扫描行为是可以通过日志、流量提前预知的。

入侵防御系统的核心可以理解成渐进明晰的过程。通过日志告警、异常流量警报等安全设备获取的数据，通过数据分析进行事件分析，进一步实现对未知威胁的预测。基于单个系统的事件预警是通过攻击者对目标系统的嗅探攻击，实时采集分析应用层日志以及告警事件，实时监控系统的安全性。当系统开始遭遇恶意扫描、暴力破解等行为时，入侵防御系统将立即启动告警机制，并及时通过短信、邮件等多种途径发送告警信息。

入侵防御系统基于应用层日志、流量告警事件可划分为3个阶段：未知威胁发现、威胁事件判定、威胁事件告警。

攻击者入侵系统前，首先要通过嗅探攻击进行信息收集，95%的攻击者是会利用扫描工具对目标系统的后台管理地址、数据库、网页漏洞等进行扫描，通过试探性攻击分析确定系统的薄弱点，为后续的入侵攻击寻找目标。攻击者在信息收集时通常使用扫描器或构造特殊的HTTP请求等，使得服务器端的应用程序返回一些错误信息或系统运行环境的信息，从而获取Web服务器和应用程序指纹信息、后台应用程序信息等。但同时攻击者执行的一系列操作都会在系统日志上形成一条条的日志记录以及异常流量告警信息。

日志信息、流量信息是相互关联但又相互孤立的数据。单纯的通过对流量的分析不能准确定位每条预警的有效性，而结合日志信息进行关联分析，可以在攻击者刚刚有所行动时就将攻击行为扼杀在摇篮之中。通过构建大量的基于恶意扫描、渗透爆破等行为模型，针对不同的恶意攻击依据模型，更精准地判定事件，将攻击形式、对系统的数据库、中间件或者是管理后台地址等各种层面的攻击及时、准确地进行预警，为威胁处置、及时响应提供具有针对性的依据。

入侵防御系统通过对可疑行为的分析、判定得出结论之后，及时告知管理员发现可疑入侵行为，并提供简单的处置建议。入侵防御系统能够在及时定位到发生威胁的单个系统，在攻击者还未对目标系统发起攻击前就采取相应的防御手段，将大大减少系统被入侵的风险。

无论网络安全技术多强、多新都无法保障网络运行的绝对安全；不论系统的漏洞修复程度及加固工作做到何种程度，总有更高超的攻击者从意想不到的地方实施入侵；所以，不能单纯的以加固的方式去考虑防御，可以换个思路，从攻击者的入侵行为去分析和入手。不论是利用0day漏洞还是常规漏洞，攻击者都会对目标系统进行嗅探攻击，而这些行为都是可以通过日志信息、流量信息提前知晓的。知己知彼，百战不殆。立足攻击者的角度，将威胁事件通过数据分析的方式得到攻击前的“蛛丝马迹”，就有机会实现将不可控的未知威胁变成可预知的威胁预警，未雨绸缪，防患于未然。