4.3 入侵防御技术解析

4.3.1 入侵防御技术的分类

根据入侵防御技术的保护对象不同，可以将其分为两大类，针对网络的入侵防御和针对服务器的入侵防御。在UTM设备中，以应用针对网络的入侵防御技术为主。

1.针对网络的入侵防御

针对网络的入侵防御作用是保护某个特定网络，避免其受到其他不同IP主机的攻击。针对网络的入侵防御技术是以分析、检测，报告安全相关信息为目的，它被设计来监测网络通信，并基于它们的预设或安全策略来阻止有害的网络通信。针对网络的入侵防御技术同样不依赖于被保护目标的资源，自身具备完善的计算单元；通常基于专用操作系统，其自身安全性完全与外挂式的针对主机的入侵防御技术是一样的，也具备事先分析与阻断攻击的优势。

目前针对网络的入侵防御技术有两种典型应用，独立的网络入侵防御系统以及结合在UTM系统中的网络入侵防御技术。从技术原理角度讲，两者是基本一致的，独立的网络入侵防御系统通常与防火墙、防病毒网关等其他网关串联在一起共同保护特定子网，而UTM系统则将这些网关的能力综合在一起，对特定子网实施一体化的安全防护。

2.针对服务器的入侵防御

对一些向外提供服务的重要服务器，其安全防护需求是极其强烈的。这些服务器往往存储着极其重要的数据、或者为用户提供着重要的服务、或者代表着企业形象；这些价值要求对服务器进行重要的防护。

因而也就产生了针对关键服务器的入侵防御技术，它安装在一个独立的硬件平台之上，串行接入到网络，部署在被保护目标服务器与其他网络之间。所有访问被保护目标服务器的数据必须首先经过入侵防御设备，由该设备负责检查流经的报文是否具有恶意数据，如果有则丢弃数据，否则才允许到达被保护的目标服务器。

目前，服务器有两种构架，一种是传统的基于C/S构架的服务结构，另外一种是近十年来流行的基于Web技术的服务构架。基于C/S构架的服务器由于采用了专用的通信协议，非可信终端一般无法访问这样的服务器，因此其保护需求并不强烈；而基于Web技术的服务器，由于采用开放的HTTP协议，面临着各类的攻击，因此其保护需求是非常强烈的，因此这种入侵防御技术通常被应用于Web服务器之前，以保证Web服务器的安全。

4.3.2 入侵防御技术的定义

入侵防御（Intrusion Prevention或Intrusion Detection Prevention）是一种智能化的入侵检测和防御技术，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。入侵防御技术弥补了防火墙的不足，简单地讲，防火墙技术是粒度比较粗的访问控制技术，它在基于TCP/IP协议的过滤方面表现出色，而且在大多数情况下，可以提供网络地址转换、服务代理、流量统计等功能，有些防火墙还能提供VPN功能。

一般情况下，通过UTM设备的数据报文，由入侵防御功能专门深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，入侵防御技术要同时结合考虑应用程序或网络传输中的异常情况，来辅助识别入侵和攻击。比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、操作系统或应用程序弱点正在被利用等现象。应用入侵防御技术的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵、防患于未然，或者至少使其危害性充分降低。因此在UTM系统中，会包含防火墙技术、防病毒技术以及入侵防御技术，这样一个两级的过滤模式，可以在最大程度上保证系统的安全。

包含于UTM设备中的针对网络的入侵防御技术，通常具有以下明显的工作特征。

（1）检测并终止入侵活动

对于UTM设备的应用，管理员通常采用串联方式对设备进出的数据包进行应用层数据内容检查，所以攻击数据流还未到达目标，就会被UTM设备识别出来并丢弃或阻断，从而达到防御目的。由于UTM设备具有丰富的响应机制，因此当入侵防御技术识别出攻击之后，UTM通常会采用丢弃报文数据、阻断连接、拆除连接、邮件告警等多种响应方式。

（2）检测准确可靠

UTM串行接入到网络中才能实施其安全策略，这要求UTM中的入侵防御要保证检测的准确性，UTM设备通常会采用多种检测技术，特征检测可以准确检测已知的攻击，特征库可以实现在线升级并且不需要重新启动探测器；异常检测基于对监控网络的自学习能力，可以有效地检测新出现的攻击；应用层DoS/DDoS检测专门的针对拒绝服务攻击；并且检测设备中通常还集成了针对缓冲区溢出等特定攻击的检测。对于UTM设备中的入侵防御来讲，检测的精确度十分关键，试想如果攻击被漏报，则信息系统将遭受重大打击；如果正常的业务被误报成某种攻击，则信息系统所能提供的正常服务被意外终止。对信息系统来讲，发生这些情况都是灾难性的。

（3）具备高可靠性

UTM串行接入网络的特性引发了用户对其可靠性的要求，即一旦设备发生故障，不能导致信息系统的不可用。因此UTM设备通常需要众多的高可靠性技术来提高其运行的可靠程度。一般具备一个UTM设备会包含双机热备、负载均衡、双电源支持等特性。

4.3.3 入侵防御技术的基本原理

入侵防御技术需要通过直接嵌入到网络流量中实现防御入侵的目的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在UTM设备中被清除掉。实现在UTM上的入侵检测技术系统结构图如图4-1所示。

入侵防御技术能够实现实时检查和阻止入侵的原理在于，UTM设备拥有数量众多的入侵特征匹配特征和匹配算法，能够防止各种攻击。当新的攻击手段被发现之后，UTM设备就会创建一个新的特征匹配条件以及相对应的匹配算法。

此外，由于用户希望对于发现的入侵行为采取不同的处理方式，因此UTM设备还需要为入侵检测技术准备一个响应模块，响应模块根据用户定义的响应策略，针对不同的入侵给予不同的处理方式，比如：丢弃报文、终止连接、发送邮件给管理员、声音报警、大屏幕显示等，这些处理方式适应了不同用户的需求，对发现的入侵行为能够进行有效的处理。

如果有攻击者利用Layer4（传输层）至Layer7（应用层）的漏洞发起攻击，UTM设备中的入侵防御功能能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查，不能检测应用层的内容。因为防火墙的包过滤技术不会针对每一字节进行检查，因而也就无法发现攻击活动，而UTM的入侵防御技术可以做到逐一字节地检查数据包。所有流经的数据包首先被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。不同的匹配算法负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

从UTM中的入侵防御技术原理和流程可以看出，和传统防火墙技术相比，UTM除了能检查身份证件，还能检查旅客的指纹，能“搜身”，这样抓获“恐怖分子”的机会就会大大增加。因此UTM中的入侵防御功能大大提高了信息系统的安全保障能力。

4.3.4 入侵防御与入侵检测的关系

在入侵防御技术的发展过程中，它与入侵检测技术的关系出现过冲突和矛盾；这两者之间的关系，经历了两个阶段，即概念模糊阶段和概念澄清阶段。

1.概念模糊阶段

在这个阶段，有人认为入侵防御技术就是入侵检测技术（Intrusion Detection System， IDS）的升级，有了入侵防御技术，就可以替代以前的入侵检测技术。

从入侵防御系统的起源来看，这个“升级”似乎有些道理：NetworkICE公司在2000年首次提出了入侵防御这个概念，并于同年的9月18日推出了BlackICEGuard，这是一个串行部署的入侵检测，直接分析网络数据并实时对恶意数据进行丢弃处理。

但这种概念一直受到质疑，自2002年我国引进入侵防御这一项新技术以来就不断地受到挑战，而且各大安全厂商和用户都没有表现出对此种技术的兴趣，普遍的一个观点是：在入侵检测技术基础上发展起来的入侵防御技术，在没能解决入侵检测技术问题的前提下是无法得到推广应用的。

这个问题就是“误报”和“滥报”，应用入侵检测技术的用户常常会有这种苦恼：入侵检测设备界面上充斥着大量的报警信息，经过安全专家分析后，被告知这是不重要的事件甚至是误警。但入侵检测设备是旁路检测部署在网络中的，这些报警对正常业务不会造成影响，并且它们对于用户来讲也是需要了解的信息，需要花费资源去做人工分析。而串行部署的入侵防御设备就完全不一样了，一旦出现误报或滥报，便触发主动的阻断响应，用户的正常业务就有可能受到影响，这是所有用户都不愿意看到和接受的。正是这个原因，导致了入侵防御概念在2005年之前的国内市场表现平淡。

随着时间的推进，技术的发展以及设备制造厂商对入侵防御技术应用的理解，自2006年起，入侵防御技术及应用被更多的用户认可和应用，进入了快速发展的阶段。

2.概念澄清阶段

“入侵防御技术可以阻断攻击，这正是入侵检测技术所做不了的，所以入侵防御技术是入侵检测技术的升级，是入侵检测技术的替代品”，可能很多人都会有这种看法。

我们知道，串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力；而旁路部署的入侵检测设备可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但可惜的是无法实时的阻断。于是入侵防御就是一种能防御防火墙所不能防御的深层入侵威胁（入侵检测技术）的在线部署（防火墙方式）安全技术，其思路示意如图4-2所示。

而为什么会有这种需求呢？这是由于用户发现了一些无法控制的入侵威胁行为，而这也正是入侵检测技术的作用。

入侵检测技术对那些异常的、可能是入侵行为的数据进行检测和报警，告知用户网络中的实时状况，并提供相应的解决、处理方法，侧重于风险管理。

入侵防御技术对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免用户对异常状况的处理资源开销，侧重于风险管理。

这也解释了入侵检测技术和入侵防御技术的关系，并非取代和互斥，而是相互协作：没有部署入侵检测设备的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过入侵检测设备的广泛部署，了解网络的当前实时状况，据此状况可进一步判断应该在何处部署安全产品，如UTM设备等。

在经历了这个阶段之后，人们不再认为具备入侵防御能力的产品可以替代入侵检测类产品，而一致认为这是两个应用目标完全不同的技术；也就是说，如果某信息系统在网络的边界部署了具备入侵防御能力的UTM设备来进行威胁控制，它还需要在信息系统内部部署入侵检测类产品来实现威胁管理。

从应用角度来讲，入侵防御技术本身就是一整套技术的集合，它包含了入侵检测技术、入侵响应技术、报文高速转发技术、事件统计分析技术以及设备高可靠性保障技术，这些技术有的独立存在于UTM设备中的入侵防御功能之中，而有的则存在于UTM设备平台之上，以便入侵防御功能以及UTM设备中的其他模块调度使用。

4.3.5 入侵检测技术

作为UTM中入侵防御功能的重要支撑技术，入侵检测技术如何确保检测结果无误报和滥报，使得串接设备不会形成新的网络故障点？这是UTM设备中入侵检测技术必须要解决的问题，否则UTM将无法得到大规模应用；而如何防御各种深层入侵行为则是另外一个需要解决的问题，这也是入侵防御技术区别于UTM设备其他安全技术的本质特点。这需要UTM设备中的入侵检测技术能尽量多地发现攻击行为（缓冲区溢出攻击、恶意代码攻击、后门、木马、间谍软件）。

如何确保UTM设备对深层入侵行为的准确判断？一般有如下几种检测机制。

（1）基于特征匹配的检测技术

这是最早也是最常用的检测技术，通常检测系统具有一个特征集，对需要检测的数据与特征集中的特征字符串逐一匹配，直到实现匹配或者穷尽特征集。

这种检测技术的准确度依赖于特征集定义的良好程度，如果特征集定义得精确，检测的准确度就相对较高。但并不是所有的攻击都可以通过特征匹配来实现识别的，例如目前比较流行的SQL注入攻击，由于变种极多，任何机构和个人均无法穷尽所有的SQL注入攻击特征。这是特征匹配技术的最大缺陷，但特征匹配技术的优势在于如果攻击特征是可穷尽的，那么其准确度和执行效率最高。

（2）基于审计的攻击检测

基于审计信息的攻击检测以及自动分析可以向系统安全管理员报告计算机系统活动的评估报告，通常是脱机的、滞后的。对攻击的实时检测系统的工作原理是基于对用户历史行为的建模，以及早期的证据或模型。审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测；当发现有可疑的用户行为发生时，保持跟踪并监测该用户的行为。

系统应具备处理自适应的用户参数的能力。能够判断使用行为的合法或可疑。系统应当能够避免“肃反扩大/缩小化”的问题。这种办法同样适用于检测程序的行为以及对数据资源（文件或数据库）的存取行为。

（3）基于神经网络的攻击检测技术

如上所述，基于审计统计数据的攻击检测系统，具有一些天生的弱点，因为用户的行为可以是非常复杂的，所以想要准确匹配一个用户的历史行为和当前的行为是相当困难的。错发的警报往往来自对审计数据的统计算法基于的不准确或不贴切的假设。SRI的研究小组已利用和发展神经网络技术来进行攻击检测，但用神经网络解决传统的统计分析技术也面临以下的几个问题：

· 难于建立确切的统计分布；

· 难于实现方法的普适性；

· 算法实现成本很高；

· 系统臃肿难于剪裁。

神经网络技术是一种对基于传统统计技术的攻击检测方法的改进，但目前该项技术尚不成熟，所以传统的统计方法仍将继续发挥作用。实际上，它也能为发现用户的异常行为提供相当有参考价值的信息。

（4）基于专家系统的攻击检测技术

进行安全检测工作自动化的另外一个研究方向是基于专家系统的攻击检测技术，即根据安全专家对可疑行为的分析经验来形成一套推理规则，在此基础之上构成相应的专家系统。由此专家系统自动进行对所涉及的攻击操作进行分析。

所谓专家系统是基于一套由专家经验事先定义的规则的推理系统。例如，在数分钟之内某个用户连续进行登录，失败超过三次就可以被认为是一种攻击行为。类似的规则在统计系统似乎也有，同时应当说明的是基于规则的专家系统或推理系统也有其局限性，因为作为这类系统的基础推理规则一般都是根据已知的安全漏洞进行安排和策划的，而对系统最危险的威胁则主要来自未知的安全漏洞。实现一个基于规则的专家系统是一个知识工程问题，而且其功能应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。

（5）基于模型推理的攻击检测技术

攻击者在入侵一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的模型。根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图，尽管攻击者并不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。而为了准确判断，需要为不同的入侵者和不同的系统建立特定的攻击脚本。

当有证据表明发生某种特定的攻击模型时，系统应当收集其他证据来证实或者否定攻击的真实，以尽可能地避免错报。

为了防止过多的不相干信息的干扰，用于安全目的的攻击检测系统在审计系统之外一般还配备适合系统安全策略的信息采集器或过滤器。同时，还应当充分利用来自其他信息源的信息。在某些系统内可以在不同的层次进行审计跟踪。如有些系统的安全机制中采用三级审计跟踪，包括审计操作系统核心调用行为的跟踪、审计用户和操作系统界面级行为的跟踪和审计应用程序内部行为的跟踪。

虽然学术上提供了众多的检测技术，但对于UTM产业来说更多的考虑是如何更好地使这些技术真正被应用，这里以国内主流安全厂商使用的柔性检测技术为例进行说明。

常用的攻击检测方法有两种，一种方法是通过定义攻击行为的数据特征来实现对已知攻击的检测，其优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截；但仅能识别已知的攻击、抗变种能力弱。另一种方法是通过分析攻击产生原理，定义攻击类型的统一特征，能准确识别基于相同原理的各种攻击、不受攻击变种的影响，但技术门槛高、扩充复杂、应对新攻击速度有限。两种检测机制的对比如图4-3所示。

融合“基于特征的检测机制”和“基于原理的检测机制”形成的“柔性检测”机制，它最大的特点就是基于原理的检测方法与基于特征的检测方法并存，有机组合了两种检测方法的优势。这种融合不仅是一个两种检测方法的大融合，而且细分到对攻击检测防御的每一个过程中，在抗躲避的处理、协议分析、攻击识别等过程中都包含了动态与静态检测的融合，柔性检测机制的原理如图4-4所示。

通过运用柔性检测机制，UTM设备进一步增强了设备的抗躲避能力、精确阻断能力、变形攻击识别能力和对新攻击应变能力，提高了精确检测的覆盖面。

4.3.6 入侵响应技术

对于UTM设备中的入侵防御功能来说，一个关键的部分是确定使用哪一种入侵响应方式以及根据响应结果来决定采取哪些行动。在UTM设备中，通常相应模块作为一个公共模块，不仅仅为入侵防御功能提供服务，还会为防火墙、防病毒等其他安全模块提供服务。目前，UTM设备中响应模块所提供的服务与相关的入侵防御包含如下几个方面。

（1）保护性响应

本地响应以对被保护目标实施保护为第一目的，因此它通常包含：

① 报文丢弃，将含有恶意数据的网络报文直接丢弃，使之不能通过UTM设备；

② 阻断链接，不仅丢弃含有恶意数据的报文，阻断这个报文所在的整个网络连接，使报文相关的连接无法通过UTM设备。

（2）入侵警告和预防

一方面，UTM可以有意地断开与攻击者的网络对话，例如给入侵者的计算机发送TCP的RESET包，或发送TCMP Destination Unreachable（目标不可达）包；另一方面，系统可以通过各种方式通知信息系统管理人员：有可疑或者入侵事件发生。通常UTM设备提供的这些通知方式有：邮件、短消息、声音报警、屏幕显示等。

（3）安全策略修正

安全策略修正类似于自动控制的反馈环节，并具有自学习进化功能。UTM设备通过安全策略以堵住导致入侵发生的漏洞，这个概念与一些研究者提出的关键系统耦合的观点是一致的，它可通过增加敏感水平来改变UTM的分析操作过程，或通过插入规则改变专家系统，来提高对一些攻击的怀疑水平或增加监视范围、以比通常更好的采样间隔来收集信息。通过安全策略修正，UTM设备能够更加准确有效地发现入侵行为。

4.3.7 高速数据处理技术

由于UTM设备串行接入在被保护目标之前，其系统性能不能成为信息系统的瓶颈，因此必须要为网络提供足够的带宽保证；而UTM设备中的入侵防御功能作为复杂计算模块，更不能成为UTM设备的系统瓶颈。目前，由于网络的发展非常迅速，一般的网络局域网主干交换带宽速度由100Mbps的网络发展到1000Mbps，对串行设备带来了巨大的挑战。由于传统的入侵检测技术一般基于简单的模式匹配实现，在100Mbps满负荷的网络环境中工作已经相当吃力，而网络带宽10倍的增加，如果不考虑其他条件，意味着要求UTM设备为入侵防御技术提供10倍的处理能力，因此网络的发展，对UTM设备提出了1000Mbps或更高性能数据检测的需求。而UTM所包含的这些安全技术能力中，入侵防御技术属于比较复杂的计算模块，因此高性能入侵防御技术对高性能的UTM设备来讲是最为重要的。

为了提高UTM设备报文捕获的效率，可以通过修改网卡驱动程序，使用DMA和数据零复制技术，进而大大提高了效率。

零复制技术省略了TCP/IP堆栈的处理，直接将网卡通过DMA数据传输将报文数据传递到了IDS系统可以访问的空间，大大减少了传统方式中因为上下文切换和数据复制而带来的系统开销，使用了零复制技术之后，系统的捕包效率大大提高，完全可以满足在千兆高速环境下进行入侵检测分析。DMA和数据零复制技术与传统入侵检测报文捕获技术的比较如图4-5所示。

另外，整体结构的优化也有助于进一步提高UTM设备中入侵防御功能的运行速度。目前比较流行的系统结构优化技术有如下四种。

（1）并行处理

在多CPU并行处理机上，通过使用多线程，可将多个报文同时进行处理；为了减少同步带来的代价，使用报文的预分析，然后根据预分析的结果进行任务分配，将一个报文的所有分析和匹配工作都交给一个工作线程去处理，从而使多个线程可以同时并行处理多个报文。

（2）使用汇编语言实现关键处理

通过使用汇编语言可以大大减少使用高级语言带来的冗余代码，在核心的关键处理上（模式集合的匹配上）使用汇编语言实现能够大大提高处理效率。

（3）优化内存分配算法

在UTM设备中，会大量的使用内存分配和释放操作。如果都通过系统的分配释放函数来实现，则会大大影响系统的处理速度。而通过使用简化而且合理的内存分配算法，便能够减少相应代价。

（4）精简运行的操作系统

通过精简运行的操作系统，使用优化程序技术是提高入侵防御性能的必要条件，同时保证了UTM设备的自身安全性。

4.3.8 入侵报警的关联分析技术

由于网络的复杂性，导致UTM设备会提供大量的报警信息，这些信息中有的是可疑的、有的是一次攻击中的多个过程。而采用关联分析技术可以有效地减少误报、避免重复报警，增加UTM设备的攻击检测准确率。

具体来讲，关联分析技术是对用户的多个网络行为进行关联，是提高检测精度的有效手段。比如一个用户首先对HTTP服务进行了慢速CGI扫描，服务端反馈的结果证明其运行了可能含有漏洞的某个CGI，之后该用户又发送了包含ShellCode的请求，从这两次行为分别看，每个都不能绝对地将其界定为恶意行为；而如果将两个行为联系起来，则基本上可以确定该行为的高风险等级。

针对入侵的检测应用中可能出现一个网络异常行为、并在多个监测点作为事件报告而形成事件洪流的问题，首次提出了数据关联性分析模块并采用了基于统计分析的二次事件分析技术，能够对不同时间、不同地点、不同事件的大量信息进行统一处理，简洁、准确地报告出正确的网络安全事件。

大规模网络的数据集中在一起分析，可以发现下列一些在局部网络无法检测的现象。

· 一对多的攻击现象

比如病毒发作时的传染行为，特点为一个源在一段时间内向多个目标发动攻击的行为。

· 多对一的攻击现象

比如分布式拒绝服务行为，对网络带宽较大的主机而言，这是最有效的拒绝服务攻击方式。

· 攻击传递现象

包括病毒的传染，以及黑客常用的手段——先攻击一台主机再利用它攻击其他计算机，具有很强的隐蔽性。

对于大规模的蠕虫类、病毒类和分布攻击事件，如果对事件的源、目的信息逐条记录，将产生大量的报警日志信息，这对系统的正常运行将产生不利影响。如果UTM系统支持对于事件的归并处理技术，即对于事件可采取按源地址归并、以目的地址归并、以源或目的地址归并的归并策略。这样既可以降低事件的报警频率、避免日志洪流的产生，又可以明确攻击发生的规模情况。

在实际网络环境下，攻击者在实施攻击的过程中，扫描行为、口令试探行为、访问文件行为、会话、流量往往会在不同的时间点执行。关联分析正是要依靠多个报警事件的特征信息来对网络安全的全局状况做出判断。

事件之间的关联关系可分为产生式关联和即时式关联两种。所谓产生式关联，即根据事件之间的直接因果关系，推断出众多事件的根本原因。其基本原理为，假设：A→B，且B→C，则A→C。（“→”代表产生关系）。

产生式关联的几种不同的处理方法如下：

· 基于编码，即根据现象与原因之间的产生关系，生成编码表，然后依照编码表对现象进行匹配，从而找到原因；

· 基于谓词逻辑，即基于现象间的逻辑产生关系，由叶子现象推导现象；

· 基于对象，即力图通过专用对象描述语言来描述网络环境中抽象对象（包括物理设备、抽象链接、应用程序等）之间的关系，并以此为依托建立起类似SNMP协议MIB库的事件库，分析中则通过症状发生节点寻找到公共根节点。

产生式关联是针对那些彼此之间有直接因果关系的事件，但事实上这种简单的关联关系并不能描述全部的事件关系。例如某A、B事件间的关系表述如下：“在事件A发生后，两分钟内又发生了事件B”。在这种情况下A、B事件之间不存在直接因果关系，因而无法用产生式关系来描述，但这种事件的发生模式又的确是安全分析人员所关注的。事件之间类似这样的关系称为即时（Temporal）关系。

即时关联通常以专用语言做形式化描述，并针对这样的描述语言定制专用编译器。即将网络中的各个子事件作为输入，由事件编译器对这些输入进行编译，最终产生根事件。

通过关联分析，可以使UTM设备中的入侵防御功能的事件监测精度大大提高，为UTM实现对边界安全提供必要的保证。