Как работает технология обнаружения вторжений в межсетевых экранах?

Технология обнаружения вторжений в межсетевых экранах работает путём просмотра сетевого трафика, проходящего через экран, и поиска трафика, соответствующего определённым шаблонам. intuit.ru Обнаружение такого трафика указывает на попытку вторжения. intuit.ru

Для корректного определения атак используются сигнатуры — предварительно определённые шаблоны, связанные с различными типами атак. intuit.ru Они хранятся в локальной базе данных и используются системой для анализа трафика. intuit.ru

Существуют два основных метода обнаружения угроз: vasexperts.ru

1. Обнаружение на основе сигнатур. vasexperts.ru Система ведёт базу данных сигнатур уже известных вирусов, с которой сравнивает сетевые пакеты. vasexperts.ru Если часть кода пакета совпадает с кодом вируса из базы, то система это обнаружит. vasexperts.ru Чтобы сохранять свою эффективность, базы данных сигнатур должны регулярно пополняться информацией о появившихся вирусах. vasexperts.ru
2. Обнаружение на основе аномалий. vasexperts.ru Этот метод использует машинное обучение для создания и постоянного улучшения базовой модели нормальной сетевой активности. vasexperts.ru Текущая сетевая активность сравнивается с моделью для выявления вызывающих подозрения событий или тенденций. vasexperts.ru Поскольку система сообщает о любом аномальном поведении, она способна обнаружить новые виды кибератак, не выявляемые методом на основе сигнатур. vasexperts.ru

После обнаружения подобного трафика система выполняет шаги по нейтрализации как вторжения, так и его источника. intuit.ru