我们看到，过去的几年中，网络入侵检测和防御领域出现了一些进步。这些进步大部分建立在增加数据传输和增强事件侦测能力的基础上。比如，大多数特征数据库已进行了扩展，考虑了所适用的协议。当然，这也导致了一个技术发展趋势，即实现实时反应（如阻止攻击），尽管相对于人工事后启动的校正措施这一技术应用还较少。然而，如果人们需要，尚难以确定这一技术能否在更大的程度上发挥作用。

　　入侵检测与防御技术面临的巨大挑战是，这些技术只能在一个表示入侵进行过程的时间线（timeline）的一个结点上发挥作用。由于多种原因，理解这一时间线是非常重要的。市场上充斥着一系列自封的、包罗万象的策略、使用须知、配置方案、补丁、漏洞、威胁和某某管理技术和功能，理解这一时间线有助于从这一混乱的局面中厘清它们的位置。也可以帮助企业建立一个全面的监测和反应过程。它也是下一代入侵防护的关键---一个集成了不同模块功能的系统，并且使用最佳加强措施。

　　时间线本身是一个相对明了的概念。它包括三个主要部分：攻击之前、攻击之时和攻击之后。简要地说，攻击之前的工作是尽量少得暴露弱点；攻击之时的工作是处理已被攻被和正在被攻击的防御弱点；攻击之后的工作主要是扩展检测（extended detection，例如事后检测）和修复、清理。

　　坦白地说，一些攻击的性质使得时间线的划分模糊不清。比如，强度弱且缓慢、多阶段的攻击是否有一个确切的攻击时刻这类问题是有争议的。相反，它们可视为由多个攻击事件组成，如果没有检查到，会逐渐积累为一个更严重的可识别的攻击。这些细微的差别在本系列文章的第二篇进行详细讨论。在这里，关键的问题是，在一个攻击的不同阶段可以应用不同的技术和子过程，通过实现一个有效应对每个阶段的解决方案，可达到挫败入侵的最好效果。因而，非常有必要对每个阶段进行深入的考查。