What's the difference between an Intrusion Detection System (IDS) and an Intrusion Prevention System (IPS)?

入侵检测系统主要是被动的。它扫描网络流量，并将潜在威胁通知管理员，但除此之外无法采取行动。入侵防御系统是入侵检测的进化版，能够自动响应和修复。

什么是网络入侵检测和防御？

网络入侵检测和防御系统（IDPS）是入侵检测和入侵防御之间的交叉点。它监控和分析网络流量，查找可疑或异常活动。潜在威胁的识别基于深度学习和预定义规则的结合。

有时，这可能涉及向网络管理员发送警报。IDPS 可能会阻止来自源地址的流量，甚至采用其他网络安全解决方案来减轻潜在的攻击。有些 IDPS 解决方案甚至可以通过删除恶意软件或代码来消除攻击。

与大多数犯罪分子一样，威胁行为者在远离安全团队窥探的情况下暗中行动时最容易得手。不能让他们得逞。你的工作就是要揭露攻击者，阻止他们的行动。

入侵检测系统（IDS）和入侵防御系统（IPS）的结合恰恰可以让您做到这一点。

入侵检测和防御类型

除了网络入侵检测和防御外，还有几种 IDPS 技术。

无线

无线 IDP 系统旨在分析无线网络和网络协议。虽然它们的主要目的与基于网络的 IDPS 相同，但一般不分析更高级的网络协议。这是因为，与 NIDPS 不同，WIDPS 不会看到网络上的所有流量，而是通过持续采样网络流量来运行。

基于主机

基于主机的 IDPS 作为代理部署在单个设备、主机或端点上，通常是关键业务或高度敏感的设备、主机或端点。这类解决方案监控的特征包括系统日志、运行进程、网络流量、文件访问和修改活动以及配置更改。

网络行为分析

基于网络的 IDPS 专门检查网络接入点的流量，而网络行为分析系统则检查网络，利用人工智能识别和标记异常行为。

入侵检测和防御类型

顾名思义，IDP 的功能有两个方面--检测和预防。 或者换一种说法，就是系统如何识别和修复威胁。根据美国国家标准与技术研究院（National Institute of Standards and Technology）的说法，检测方法主要分为三类。

1.基于签名的检测基于活动或行为模式与已知威胁的匹配。这可能包括已知的恶意软件特征、异常系统配置或明显违反组织安全策略的行为。基于签名的检测的主要缺点是无法理解或评估复杂的通信或识别以前未知的威胁。

2.异常检测 将网络活动与既定基线进行比较，将任何偏差标记为潜在恶意。异常检测的唯一真正缺点是需要时间来训练系统，并为网络上的每个实体建立行为档案。缺乏经验的用户也可能在无意中将恶意活动作为配置文件的一部分。

3.有状态协议分析 类似于基于异常的检测，但它利用的是供应商开发的行为特征，可以普遍应用。虽然这种方法需要大量资源，但往往能识别出其他方法所忽略的攻击。尽管如此，通过用可接受的协议行为掩盖恶意活动，还是有可能骗过有状态协议分析系统的。

预防能力可以是被动的，也可以是主动的，包括

结束 TPC 会话
激活内联防火墙
限制带宽使用
修改或删除恶意内容
重新配置网络安全设备
激活第三方脚本或程序

入侵检测系统与入侵防御系统

IDS 主要是被动的。它扫描网络流量，并将潜在威胁通知管理员，但除此之外无法采取行动。IPS 是入侵检测的进化版，能够自动响应和修复。

用于网络安全的 CylanceGATEWAY

CylanceGATEWAY™是人工智能支持的零信任网络接入 (ZTNA)。它允许您的远程员工通过任何网络，从任何受管或未受管设备到云端或本地的任何应用程序，建立安全的网络连接。这种云原生 ZTNA 解决方案可提供对任何应用程序的可扩展出站访问，同时隐藏关键资产，防止未经授权的用户访问，最大限度地减少攻击面。

CylanceGATEWAY 的多租户架构专为数字化转型和分布式工作而设计。其强大的人工智能和机器学习功能可改善您的安全态势，简化细粒度动态安全策略和访问控制的配置和管理。

了解更多

更多资源