技术 | 原理 | 典型产品 | |
1 | 主机入侵检测系统 | 根据主机活动信息及重要文件,采用特征匹配、系统文件监测、安全规则符合检查、文件数字指纹、大数据分析等综合技术发现入侵行为 | 北信源 360安全卫士 McAfee (EDR) |
2 | 网络入侵检测系统 | 根据网络流量数据进行分析,利用特征检测、协议异常检测等技术方法发现入侵行为 | 绿盟IDS 天融信 启明星辰 |
3 | 统一威胁管理(UTM) | 集成了入侵检测系统相关功能模块 由软硬件和网络技术组成专用硬件设备,形成标准统一威胁管理平台,保护控制进出内网数据 | 部署位置:内外网边界 部署方式: ①透明网桥 ②路由转发 ③NAT网关 |
4 | 高级持续威胁检测(APT) | 是入侵检测技术产品的特殊形态 属于复杂性攻击技术,将恶意代码嵌入文档或邮件中,实现隐蔽网络攻击 技术原理:基于静态/动态分析检测可疑恶意电子文件及关联分析网络安全大数据以发现高级持续威胁活动 | 肚脑虫(Donot) 安天追影威胁分析系统、360天眼威胁感知系统、华为FireHunter 6000系列沙箱及CIS网络安全智能系统 |
5 | 其他 | 产品类型:Web IDS、数据库IDS、工控IDS等 ①Web IDS:利用Web网络通信流量或Web访问日志等信息,检测常见Web攻击,如Webshell、SQL注入、远程文件包含(RFI)、跨站点脚本(xss)等攻击行为。 ②数据库IDS:利用数据库网络通信流量或数据库访问日志等信息,对常见数据库攻击行为进行检测,如数据库系统口令攻击、SQL注入攻击、数据库漏洞利用攻击等。 ③工控IDS:通过获取工控设备、工控协议相关信息,根据工控漏洞攻击检测规则、异常报文特征和工控协议安全策略,检测工控系统的攻击行为。 | |