首页
基本面
Intrusion Detection 和 Prevention Systems (IDPS)

Intrusion Detection 和 Prevention Systems (IDPS)

Monitor for 和 prevent malicious activity 和 breaches.

InsightIDR Product

What is an Intrusion Detection 和 Prevention System?
境内流离失所者的种类
Techniques of IDPS
IDPS Best Practices

Gartner® 2024 Strategic Roadmap for Managing Threat Exposure

管理威胁暴露并不容易——这是一系列短暂的防御和进攻任务，每个组织看起来都不一样.

Download the Report

What is an Intrusion Detection 和 Prevention System?

入侵检测和防御系统(IDPS)是一种网络监控策略，它既被动地监控流量，又在可疑或恶意行为被标记后主动阻止.

IDPS也可以被描述为位于网络一侧并监视流量的可见性工具. 它由管理控制台和传感器组成，当遇到与先前检测到的攻击签名匹配的东西时，传感器会将活动报告给控制台.

国内流离失所者和. Managed Detection 和 Response (MDR)

以上最后一点是辨别这两种策略之间区别的关键，这两种策略表面上看起来很相似. IDPS检测已知的攻击特征，并能够快速将当前活动与过去的攻击进行匹配. One of the primary functions of an MDR程序是检测新的或未知类型的攻击，并对这些新威胁采取对策.

国内流离失所者和. 杀毒

Getting into the weeds of process, IDPS的任务是扫描连接在一起的端点和系统的整个网络. 它采用宏观视角，并与大型威胁组织实施的现代企业攻击相匹配. 杀毒 primarily scans files on a network, 确保网络上存在的每个文件的完整性和适当性-如果不是，则快速隔离它们.

境内流离失所者的种类

IDPS 系统s can look 和 act differently in subtle ways, depending on the end-use of the telemetry gathered. Let’s take a look at how the National Institute of St和ards 和 Technology describes IDPS 系统 function across some key scenarios:

Network-Based IDPS

A network-based IDPS monitors network traffic for network segments, analyzing the network activity to identify suspicious activity. It can identify many different types of events, 和 is most commonly deployed at a boundary between networks, like firewalls or remote access servers.

基于主机的国内流离失所者

基于主机的IDPS监视主机内发生的事件特征，以查找可疑活动. This includes monitoring network traffic, 系统日志, 运行的进程, application activity, file access 和 modification, 和系统和 application configuration changes. 基于主机的idps通常部署在关键主机(如公共服务器)上.

无线国内流离失所者

无线IDPS监控无线网络流量并分析协议以识别可疑活动. 它不能识别应用程序或更高层网络协议中的可疑活动. 它通常部署在组织的无线网络范围内, but can also monitor for unauthorized wireless networking.

Network Behavior Analysis (NBA) System

NBA系统检查网络流量以识别产生异常流量的威胁，例如 distributed denial of service (DDoS) attacks, certain forms of 恶意软件, 和 policy violations. NBA系统最常用于监控组织内部网络上的流量, 也可用于监控组织之外的外部流量.

Techniques of IDPS

What are some of the inner-workings of an IDPS? The below list isn't exhaustive of each 和 every process involved, 但它包含了在发生可疑活动时可以执行的协议.

Heuristic-Based Detection

启发式检测通过匹配特定的行为而不是代码中的精确模式来识别恶意代码. It watches the way the code runs, 并根据更复杂的规则决定危险的行为.

Statistical Analysis

管理员可以通过查看日志的统计分析了解当前系统的行为, 趋势预测, 和 troubleshooting efforts. 通过先进的统计分析，可以更快地检测到异常事件，并更快地实施响应计划.

Protocol Analysis

应用层协议分析是该技术的核心, 将未损坏的协议与可能可疑的活动进行比较, with the ultimate goal of catching anomalies 和 denying access.

Behavioral Analysis

此过程将洞察力应用于网络事件，目的是检测受损凭据, 横向运动, 和 other malicious behavior. This typically applies to how 用户的行为 on a network versus static threat indicators.

Active Prevention 和 Response

要阻止不断演变的威胁和破坏，显然需要检测和响应方法. 然而, 预防流程可以缓解安全组织可能面临的更大问题. 预防技术包括阻止正在进行的攻击, monitoring for changes in a security environment, 并积极修改攻击内容以减轻其影响.

IDPS Best Practices

To conduct IDPS techniques in the most hygienic way possible, 在建立入侵检测和防御系统时，利用一些最佳实践是一个好主意.

Conduct a Thorough Network Assessment

这种类型的评估是否允许安全团队正确管理和修补对网络构成风险的漏洞, 保护组织免受威胁行为者和可能的破坏. 评估将有助于定义网络上的漏洞，并获得对网络整体结构的可见性，以便分析人员可以定义什么是“好的”.

Regularly Update IDPS Signatures 和 Rules

基于签名的检测通常“活在当下”，不擅长检测未知攻击. 它们可以将签名与已知行为进行比较，并以这种方式捕捉可疑活动, 因此，定期更新签名和管理特定对象的规则非常重要网络安全目标.

Collaborate between Firewalls 和 SIEM Systems

防火墙通常生成数据，然后由 security information 和 event management (SIEM) 系统. 这些防火墙数据可以以日志、网络流量和警报的形式出现. 这种共生关系有助于构建健康网络行为的图景.

Conduct Periodic Assessments 和 Audits

剩下的在合规 with both internal 和 external policies (i.e. government-m和ated policies) is critical to network health. 定期安排网络评估和审计可以确保符合安全配置, 密码策略, 和 access control requirements. 根据内部构建的基准评估网络安全可以并且将有助于减轻威胁.