入侵检测和防御概述
瞻博网络 IDP 系统通过检测和防御威胁来增强网络安全。它监控流量中是否存在恶意活动,使用签名数据库识别攻击,并应用安全策略来实现实时缓解。该系统提供主动威胁检测和响应。
入侵检测过程可以监控网络中发生的事件,并分析事件以确定是否存在与您的安全策略不符、可能引发事故、违规或迫在眉睫的威胁的迹象。入侵防御过程可以执行入侵检测,然后阻止检测到的事故。安全措施是 IDS 和 IPS,它们成为您网络的一部分,以检测和阻止潜在的事件。
优势
通过利用入侵检测和防御 (IDP),您可以显著增强网络的安全态势,抵御各种已知和新出现的威胁。以下是一些好处:
-
主动威胁防御 — 防止攻击造成损失。
-
网络可见性 — 提供对潜在安全问题的洞察。
-
可定制的防护 — 允许根据特定网络需求定制安全策略。
-
合规性支持 — 帮助满足网络安全监管要求。
-
自动响应和补救 — IDP 系统可以通过以下方式自动响应检测到的威胁:
-
阻止恶意流量
-
隔离受影响的防火墙
-
提醒管理员
此作有助于将安全事件的影响降至最低。
-
IDP 工作流程
IDP 系统会检查流量以检测并缓解威胁。流量检测引擎使用基于签名的检测、协议异常检测和行为分析来分析数据包。如果发现威胁,则会在策略实施和作阶段决定是阻止、发出警报还是记录活动。这些事件将被记录并报告回给管理员以进行进一步分析。威胁情报和更新通过添加新的威胁数据不断改进检测,并确保对不断变化的网络威胁提供实时防护。
图 1:工作流程组件
表 1:IDP 工作流程 列出了 IDP 工作流程的详细信息。
| 组件 | 说明 |
|---|---|
| 流量检测引擎(或 IDP 检测流程) | 检查数据包是否存在潜在安全风险(匹配已知的攻击模式)。 |
| 检测机制 | 基于签名的检测、协议异常检测(识别与预期网络行为的偏差)和行为分析(根据历史数据检测异常模式)。 |
| 策略实施和作 | 识别到威胁后,系统会实施策略并决定是阻止、发出警报还是记录活动。 |
| 记录和报告 | 记录或报告检测到的事件。管理员分析并响应 |
| 威胁情报和更新 | 不断向系统提供新的威胁数据。请参阅 自适应威胁分析。 |
IDP 如何运作?
IDP 策略允许您有选择地对通过安全设备的网络流量实施各种攻击检测和预防技术。这些安全设备提供与瞻博网络 IDP 系列 IDP 设备上相同的 IDP 签名集,以保护网络免受攻击。
要在安全设备上下载并配置初始 IDP 功能,请参阅 IDP 基本配置。