入侵检测和防御系统(IDPS)是一种网络监控策略,它既被动地监控流量,又在可疑或恶意行为被标记后主动阻止.
IDPS也可以被描述为位于网络一侧并监视流量的可见性工具. 它由管理控制台和传感器组成,当遇到与先前检测到的攻击签名匹配的东西时,传感器会将活动报告给控制台.
以上最后一点是辨别这两种策略之间区别的关键,这两种策略表面上看起来很相似. IDPS检测已知的攻击特征,并能够快速将当前活动与过去的攻击进行匹配. 的主要功能之一 MDR程序 是检测新的或未知类型的攻击,并对这些新威胁采取对策.
进入过程的杂草, IDPS的任务是扫描连接在一起的端点和系统的整个网络. 它采用宏观视角,并与大型威胁组织实施的现代企业攻击相匹配. 杀毒 主要扫描网络上的文件, 确保网络上存在的每个文件的完整性和适当性-如果不是,则快速隔离它们.
国内流离失所者系统的外观和行为可能会以微妙的方式有所不同, 取决于所收集的遥测数据的最终用途. 让我们来看看 国家标准与技术研究所描述 IDPS系统跨一些关键场景的功能:
基于网络的IDPS对网络流量进行网段监控, 分析网络活动,识别可疑活动. 它可以识别许多不同类型的事件, 最常部署在网络之间的边界, 比如防火墙或远程访问服务器.
基于主机的IDPS监视主机内发生的事件特征,以查找可疑活动. 这包括监控网络流量, 系统日志, 运行的进程, 应用程序活动, 文件访问和修改, 系统和应用程序配置也会发生变化. 基于主机的idps通常部署在关键主机(如公共服务器)上.
无线IDPS监控无线网络流量并分析协议以识别可疑活动. 它不能识别应用程序或更高层网络协议中的可疑活动. 它通常部署在组织的无线网络范围内, 但也可以监控未经授权的无线网络.
NBA系统检查网络流量以识别产生异常流量的威胁,例如 分布式拒绝服务攻击,某些形式的 恶意软件,以及违反政策. NBA系统最常用于监控组织内部网络上的流量, 也可用于监控组织之外的外部流量.
国内流离失所者的内部工作是什么? 下面的列表并不是每个过程的详尽描述, 但它包含了在发生可疑活动时可以执行的协议.
启发式检测通过匹配特定的行为而不是代码中的精确模式来识别恶意代码. 它监视代码运行的方式, 并根据更复杂的规则决定危险的行为.
管理员可以通过查看日志的统计分析了解当前系统的行为, 趋势预测, 以及故障排除工作. 通过先进的统计分析,可以更快地检测到异常事件,并更快地实施响应计划.
应用层协议分析是该技术的核心, 将未损坏的协议与可能可疑的活动进行比较, 最终目的是发现异常并拒绝访问.
此过程将洞察力应用于网络事件,目的是检测受损凭据, 横向运动, 以及其他恶意行为. 这通常适用于如何 用户的行为 在网络上与静态威胁指标.
要阻止不断演变的威胁和破坏,显然需要检测和响应方法. 然而, 预防流程可以缓解安全组织可能面临的更大问题. 预防技术包括阻止正在进行的攻击, 监视安全环境中的变化, 并积极修改攻击内容以减轻其影响.
尽可能以最卫生的方式开展国内流离失所者技术, 在建立入侵检测和防御系统时,利用一些最佳实践是一个好主意.
这种类型的 评估 是否允许安全团队正确管理和修补对网络构成风险的漏洞, 保护组织免受威胁行为者和可能的破坏. 评估将有助于定义网络上的漏洞,并获得对网络整体结构的可见性,以便分析人员可以定义什么是“好的”.
基于签名的检测通常“活在当下”,不擅长检测未知攻击. 它们可以将签名与已知行为进行比较,并以这种方式捕捉可疑活动, 因此,定期更新管理特定网络安全目标的签名和规则非常重要.
防火墙通常生成数据,然后由 安全信息和事件管理(SIEM) 系统. 这些防火墙数据可以以日志、网络流量和警报的形式出现. 这种共生关系有助于构建健康网络行为的图景.
剩下的在 合规 内部和外部政策(例如.e. 政府强制政策)对网络健康至关重要. 定期安排网络评估和审计可以确保符合安全配置, 密码策略, 访问控制要求. 根据内部构建的基准评估网络安全可以并且将有助于减轻威胁.