入侵侦测及防御系统(IDPS)

监视和防止恶意活动和破坏.

探索InsightIDR

什么是入侵检测和防御系统? 

入侵检测和防御系统(IDPS)是一种网络监控策略,它既被动地监控流量,又在可疑或恶意行为被标记后主动阻止.

IDPS也可以被描述为位于网络一侧并监视流量的可见性工具. 它由管理控制台和传感器组成,当遇到与先前检测到的攻击签名匹配的东西时,传感器会将活动报告给控制台.

国内流离失所者和. 管理检测和响应(MDR)

以上最后一点是辨别这两种策略之间区别的关键,这两种策略表面上看起来很相似. IDPS检测已知的攻击特征,并能够快速将当前活动与过去的攻击进行匹配. 的主要功能之一 MDR程序 是检测新的或未知类型的攻击,并对这些新威胁采取对策.

国内流离失所者和. 杀毒

进入过程的杂草, IDPS的任务是扫描连接在一起的端点和系统的整个网络. 它采用宏观视角,并与大型威胁组织实施的现代企业攻击相匹配. 杀毒 主要扫描网络上的文件, 确保网络上存在的每个文件的完整性和适当性-如果不是,则快速隔离它们.

境内流离失所者的种类

国内流离失所者系统的外观和行为可能会以微妙的方式有所不同, 取决于所收集的遥测数据的最终用途. 让我们来看看 国家标准与技术研究所描述 IDPS系统跨一些关键场景的功能:

基于网络的国内流离失所者

基于网络的IDPS对网络流量进行网段监控, 分析网络活动,识别可疑活动. 它可以识别许多不同类型的事件, 最常部署在网络之间的边界, 比如防火墙或远程访问服务器.

基于主机的国内流离失所者

基于主机的IDPS监视主机内发生的事件特征,以查找可疑活动. 这包括监控网络流量, 系统日志, 运行的进程, 应用程序活动, 文件访问和修改, 系统和应用程序配置也会发生变化. 基于主机的idps通常部署在关键主机(如公共服务器)上.

无线国内流离失所者

无线IDPS监控无线网络流量并分析协议以识别可疑活动. 它不能识别应用程序或更高层网络协议中的可疑活动. 它通常部署在组织的无线网络范围内, 但也可以监控未经授权的无线网络.

网络行为分析(NBA)系统

NBA系统检查网络流量以识别产生异常流量的威胁,例如 分布式拒绝服务攻击,某些形式的 恶意软件,以及违反政策. NBA系统最常用于监控组织内部网络上的流量, 也可用于监控组织之外的外部流量.

IDPS技术

国内流离失所者的内部工作是什么? 下面的列表并不是每个过程的详尽描述, 但它包含了在发生可疑活动时可以执行的协议. 

Heuristic-Based检测

启发式检测通过匹配特定的行为而不是代码中的精确模式来识别恶意代码. 它监视代码运行的方式, 并根据更复杂的规则决定危险的行为.

统计分析 

管理员可以通过查看日志的统计分析了解当前系统的行为, 趋势预测, 以及故障排除工作. 通过先进的统计分析,可以更快地检测到异常事件,并更快地实施响应计划.

协议分析 

应用层协议分析是该技术的核心, 将未损坏的协议与可能可疑的活动进行比较, 最终目的是发现异常并拒绝访问.

行为分析 

此过程将洞察力应用于网络事件,目的是检测受损凭据, 横向运动, 以及其他恶意行为. 这通常适用于如何 用户的行为 在网络上与静态威胁指标.

积极预防和应对 

要阻止不断演变的威胁和破坏,显然需要检测和响应方法. 然而, 预防流程可以缓解安全组织可能面临的更大问题. 预防技术包括阻止正在进行的攻击, 监视安全环境中的变化, 并积极修改攻击内容以减轻其影响.

国内流离失所者最佳做法

尽可能以最卫生的方式开展国内流离失所者技术, 在建立入侵检测和防御系统时,利用一些最佳实践是一个好主意. 

进行全面的网络评估

这种类型的 评估 是否允许安全团队正确管理和修补对网络构成风险的漏洞, 保护组织免受 威胁的演员 还有漏洞的可能性. 评估将有助于定义网络上的漏洞,并获得对网络整体结构的可见性,以便分析人员可以定义什么是“好的”.

定期更新IDPS签名和规则 

基于签名的检测通常“活在当下”,不擅长检测未知攻击. 它们可以将签名与已知行为进行比较,并以这种方式捕捉可疑活动, 因此,定期更新签名和管理特定对象的规则非常重要 网络安全 目标.

防火墙和SIEM系统之间的协作

防火墙通常生成数据,然后由 安全信息和事件管理(SIEM) 系统. 这些防火墙数据可以以日志、网络流量和警报的形式出现. 这种共生关系有助于构建健康网络行为的图景.

进行定期评估和审计 

剩下的在 合规 内部和外部政策(例如.e. 政府强制政策)对网络健康至关重要. 定期安排网络评估和审计可以确保符合安全配置, 密码策略, 访问控制要求. 根据内部构建的基准评估网络安全可以并且将有助于减轻威胁.

阅读更多

入侵检测系统:阅读最新的博客文章