上帝保佑, 上回SARS病毒为什么突然消失？或者归功于有效的隔离呢?
温度异常检测器明显不足……
隔离设施与系统不敷使用……
SARS至今仍无疫苗……
在IT的信息世界里，专业发展的的防毒系统（anti-Virus）与入侵检测系统（NIDS/IPS）发展已有数年之久，在这些系统指导下，IT管理者已普遍在PC/Server安装有防毒软件，或是在网关处部署了入侵检测的防火墙。这些设施就像自然界的病毒疫苗一样，已经是企业信息安全必要的措施，它可以根据信息文件或是传送的数据封包内特定的特征将这些病毒过滤。
数年前因特网上的攻击出现一种全新的攻击模式，称为「混合式威胁」(Blended Threats)-蠕虫，手法狡诈，破坏力强大。混合式威胁之所以如此厉害，在于它能通过多种不同的途径攻入企业网络，并在入侵的过程中沿路探出各个弱点并立即加以利用，与较早出现的病虫或病毒的渗透方式大不相同，其中威胁最严重的就是这些攻击可以自动发起，完全勿需人为操作。
当这些蠕虫出现的时候，所有防毒系统与入侵检测系统却多束手无策，原因是这些蠕虫病毒的特征尚未被发现，而蠕虫感染的速度异常快，IT管理员发觉这些特征基础（Signature-base）的防毒措施根本无法应付这些突如其来的蠕虫病毒。于是就会思索，企业信息安全的管理不再只是那些防毒软件或防火墙而已，如何建立完善的以网络行为基础(Network Behavior-base)的蠕虫病毒检疫机制，通过网络行为的异常表现，随时检测出未知型病毒的来临。
现今2008年，IT管理员面临的环境又与数年前不同：随着笔记本电脑盛行，移动用户急速增加，因特网应用服务的蓬勃发展，越来越多的恶意程序、病毒因为商业、军事目的而使用各种社交活动手法(如病毒或垃圾信、恶意网页等植入后门等)，加以感染网络，而这些后门程序使整个网络更加危机重重。网管员所面临的威胁，已不只是蠕虫攻击。各种病毒、后门、黑客，利用ARP/RARP协议伪装，可精准找出Intranet 所有的MAC & IP而加以监听、窃取、攻击，形成今日信息安全最严肃的课题。
与自然世界的病毒有很大的不同，现阶段IT世界的病毒，威胁倍增，值得注意的是：
􀁺
病毒的制造者是 – 人类，比自然界的病毒产生快速许多
􀁺
30%比重的病毒属于未知型病毒，隐性的后门程序、间谍程序…等不明的恶意程序增加
􀁺
利用操作系统或应用服务系统(SQL, Web Server...)漏洞
􀁺
新的感染途径来自于网络内部 – 员工私自携入的一部中毒计算机或USB储存设备，或者出差人员从不安全的公用计算机通过VPN连入企业内部网络。
􀁺
网络成为主要而有效的感染媒介，例如VPN、有线/无线局域网络、操作系统/应用程序本身的漏洞，或者被引诱下载广告软件/间谍软件/恶意后门程序，或者局域网络过于开放，接上计算机可以存取企业网络……哪怕只是联机什么事都不做，结果也会是网络无法主动设防。
􀁺
ARP 欺骗攻击的工具滥用，造成网络混乱、不稳定，不仅造成他人网络地址的冲突，也会造成网络资源及重要信息被盗取。
􀁺
有效的防御系统缺乏。

而根据知名全球防毒研发暨技术支持中心分析归纳指出，企业信息管理部门管理员目前面临的信息与网络的安全管理难题，主要有以下六点：
(1) 面临30%更多的未知、有目的的恶意程序，特征基础的防毒、安全设备无法检测对抗这些网络威胁

(2) 中毒或内部netcut黑客的vlan内网ARP伪装攻击，部署于网关的IPS设备无法检测

(3) 网络就像黑箱一样，无法在异常发生时，确切了解与分析这些数据封包/Session流量/端口位置

(4) 当网络异常发生的时候，管理员无法主动的掌握状况，常是被动的知会，抱怨或网络灾难接踵而至

(5) 没有人能够24 小时全年无休工作（除了间谍软件等恶意程序）

(6) 商机与信誉，在网络恢复运作之前，只能眼睁睁地流失
如何提供最短的病毒防治反应时间，是现阶段IT管理者极为重要的工作

NBADsensor设计目的之一是为了围剿日益严重的ARP与蠕虫病毒的攻击，不仅要在线实时检测蠕虫的攻击，甚至网络管理者可以启动流量分析工具，追踪网络行为或流量的异常。这些网络异常行为的攻击侦测包括：
①.ARP攻击侦测 – 网络常有中毒或用户刻意使用ARP工具来扰乱整个网络，使管理员疲于奔命，NBADsensor 具备完善ARP spoofing 的攻击检测功能 – 提供了ARP扫描侦测 (xarp scan detection)、ARP异常侦测 (xarp anomaly detection) 及ARP攻击侦测 (xarp attack detection)三种防护手段。利用这些侦测(detection)， NBAD可以检测出ARP攻击的异常行为，并送出通知让管理者采取快速反应的动作。
②. 蠕虫攻击 – 因为操作系统或数据库的漏洞造成蠕虫利用后门散播，进而拖垮整个网络；NBAD支持目前已经发现的知名蠕虫病毒侦测。
③. 流量异常侦测(anomaly based) – 这是一种统计基础的防卫机制，预设每个IP合理的信息流量临
界值(thresholds)，当某网络用户session流量超过此临界值，NBADsensor可立即根据预设的管制动作采取行动。
④. 扫描侦测 – 通常病毒、蠕虫、黑客进行感染或攻击之前都会进行Port Scan / IP Scan ， 因此掌握这些扫描很重要。
⑤. 钓鱼侦测 – 可侦测使用者浏览到恶意网页，而遭到挟持植入后门程序。
监视与稽核的目的是及时掌握与记录攻击或异常的发生，但是当这样的攻击已发生的时候，如何快速的处理以减少或阻止危害的发生，并减轻管理人员的工作负荷，就必须具备有完善处理攻击危害的机制，最好可以做到自动化的要求，在第一时间即可遏止危害的扩散，并具备完整的事件与网络行为的记录，让管理员及受害者可以确切了解所发生状况。

NBADsensor的自动处理机制：
􀁺
侦测 – NBADsensor会监控维护VLAN内MAC/IP信息，一旦探测MAC/IP出现变动或发生异常行为，NBADsensor会将根据预设策略做出相应动作。
􀁺
隔离 – 检测到黑客、病毒攻击时候，最好采取的措施就是隔离。这不仅可以让攻击源不再危害骨干网络，也可以切断网络病毒传染的途径。NBADsensor可以采取的隔离政策，包括有：切断联机、采取记录动作。
􀁺
通知 – 让管理员及病毒受害者了解病毒或黑客攻击的状况及系统处理状态，可使整体网络的运作效率显著提高。

A、布署简单
NBADsensor以VLAN Trunk 或Sniffer的形式旁接在Core Switch上，以探针的方式自动收集、管理内网MAC/IP资料，不需要更改网络结构，减少了项目实施所带来的影响。
B、针对性强
NBADsnesor主要解决了目前内网管理所面临的ARP问题。以管理内网MAC/IP地址为基本手段，特别针对目前ARP威胁及DHCP管理等网络棘手问题做出防护功能。
C、自动防护机制
当NBADsensor侦测到内网异常时，会根据预设策略进行管制。如果预设策略为Lock by MAC，NBADsensor会自动封堵异常MAC，最积极的目的是协助管理员达成管理自动化，布署重生机制，达成局域网稽核、攻击防护、完整及多层次的可用性与深层的安全管理使被隔离者达到妥善的自我治疗、复原的目的。
D、实时通知
提供Windows POP–up实时通知功能，可让网络管理员在第一时间了解与掌握网络异常。